3. 3
INTERNET :
1969 - La Guerra Fría:
EL Pentágono - EL "ARPANET".
1982 Desarrollo del Protocolo TCP/IP
(Protocolo de Control de Transmisión/ Protocolo de Internet.
1983 Arpanet - Milnet.
1986 National Science Foundation (NSF)
5 supercomputadoras que interconectan redes de Universidades e Investigadores (NSFnet)
1991 Tim Berners - Lee.
Desarrollo del Lenguaje de hipertexto creando el protocolo de ligas a las páginas de Internet HTML.
Un millón de usuarios en el mundo
1992 El Congreso de Estados Unidos autoriza Internet para usos comerciales
Administración y asignación de los Nombres de Dominio – ICANN (Internet Corporation For Assigned Names
and Numbers).
1995 Inicia el crecimiento de los proveedores de acceso a Internet.(AOL -
CompuServe - Prodigy, etc.)
1996 Ley Modelo UNCITRAL sobre Comercio Electrónico
Más de 40 millones de usuarios
2001 Ley Modelo UNCITRAL sobre Firmas Electronicas
Aprox. 513.41 millones de usuarios de internet (A.Latina 25.33 Mx. 4.42)
33.41 millones de nombres de dominio registrados
4. 4
• El genial y explosivo éxito de internet debe
ser atribuido en parte a que es un medio
democrático y de naturaleza descentralizada.
• Se procura pasar de átomos (papel) a bits.
• El comercio electrónico, por el hecho de
manifestarse de manera electrónica no deja
de ser comercio.
• El comercio electrónico en México tiene más
15 años utilizándose principalmente por
instituciones financieras y grandes empresas
(Cash Management y EDI).
COMERCIO ELECTRÓNICO :
5. 5
UNCITRAL (Leyes Modelo Comercio Electrónico y Firma Electrónica)
Unión Internacional de Telecomunicaciones. Iniciativa de Comercio Electrónico para países
en desarrollo
OCDE – Lineamientos de Política Criptográfica.
Cámara Internacional de Comercio.(GUIDEC) Prácticas Internacionales Uniformes sobre
autenticación y certificación)
Organización de Normas Internacionales ISO. Criterios para aceptación mutua de entidades
de certificación
Centro de las NU para la facilitación del Comercio Electrónico. Norma Internacional
para el intercambio electrónico de datos
Conferencia de las NU sobre Comercio y desarrollo (SEAL Enlace seguro de autenticación
electrónica para certificación cruzada e intercambio entre autoridades nacionales de certificación
Unión Universal de Servicios Postales (marco para seguridad de datos y políticas
criptográficas en oficinas de correos)
Organización Mundial de Aduanas (implantación de normas EDI)
OMPI - Organización Mundial de la Propiedad Intelectual.
APEC – Cooperación Económica Asia Pacífico. Anteproyecto de normas de acción sobre comercio
electrónico.
Área de Libre Comercio de las Américas. Comité conjunto de expertos del gobierno y sector
privado sobre comercio electrónico
WITSA – Asociación Mundial sobre tecnologías de la información y servicios
Barra Americana de Abogados. Lineamientos para la evaluación de infraestructura de llave
publica y lineamientos de firmas digitales
GBDE – Dialogo Global en materia de Comercio Electrónico.
ORGANIZACIONES INTERNACIONALES
6. 6
Principios Internacionalmente Aceptados:
El sector privado debe ser líder.
Los gobiernos deben evitar restricciones amplias al Comercio Electrónico
(papel de facilitador)
Donde la intervención gubernamental es requerida debe ser para apoyar y
reforzar un predecible, consistente y simple ambiente legal para el
comercio.
Los Gobiernos deben reconocer las cualidades únicas de Internet.
El comercio electrónico en Internet, sería facilitado en una base
internacional (globalización).
Necesidad de definición de estándares uniformes:
Sistemas de pago electrónico
Seguridad (confidencialidad, autenticación, integridad, no repudiación)
Infraestructura de servicios de seguridad.
Sistemas de protección electrónicos del copyright.
Catálogos electrónicos.
Conferencias en video y en datos.
Tecnología de alta velocidad en los canales de datos
8. 8
Reconocimiento jurídico internacional de los contratos y transacciones
electrónicas en Internet, basado en normas uniformes a nivel local.
Estándares internacionales para la firma digital y entidades
certificadoras.
Orden internacional para evitar abusos en el registro de nombres de
dominio.
Confianza y protección a los Consumidores.
Políticas sobre los contenidos en Internet:
Protección al patrimonio e identidad cultural.
Evitar y/o sancionar contenidos ilícitos.
Políticas de libre acceso a las telecomunicaciones.
Protección de la Propiedad Intelectual.
Reglas nacionales e internacionales de jurisdicción y competencia para
la solución de controversias.
Normas de responsabilidad legal y delitos informáticos.
Protección de los datos personales del individuo y flujo de datos
transfronterizos.
Reglas sobre impuestos y tarifas arancelarias.
LO QUE SIGNIFICA:
9. 9
• OCDE (Organización para la Cooperación y el Desarrollo Económico)
• OMC (Organización Mundial del Comercio)
• OMPI (Organización Mundial de la Propiedad Intelectual)
• ALCA (Área de Libre Comercio de las Américas)
• APEC (Cooperación Económica Asia Pacífico)
• UNCITRAL (Comisión de las NU para el D. Mercantil Internacional)
– Incorporación de Ley Modelo de Comercio Electrónico en Reformas
Mayo 2000
• Participación en diversos foros
• Coordinación internacional de organismos internos
de política pública (Ej: COMPRANET, TRAMITANET, SIEM,
SIGER: Sistema de Modernización Registral, E-MÉXICO, E-
GOBIERNO, etc.)
COMPROMISOS INTERNACIONALES
SUSCRITOS POR MÉXICO:
10. 10
ESTADOS UNIDOS:
UTAH
– En mayo de 1995 fue emitida la primera ley sobre firmas digitales por el
Estado de Utah, y es conocida como “Utah Digital Signature Act”.
ABA
– El Comité de Seguridad de la Información, de la División de Comercio
Electrónico, de la American Bar Association, emitió, en agosto de 1996, la
“Guía de Firmas Digitales”.
NCCSL
– El 15 de agosto de 1997, la Conferencia Nacional de Comisionados sobre
Derecho Estatal Uniforme, elaboró la “Uniform Electronic Transactions Act”
(UETA), la cual se aprobó el 30 de julio de 1999.
– El 4 de agosto del 2000 se aprobó la “Uniform Computer Information
Transactions Act” (UCITA), la cual se encuentra en proceso de adopción por
los diversos Estados de la Unión Americana.
PRESIDENCIA
– El 30 de junio el 2000 se emite la “Electronic Signatures in Global and
National Commerce Act” (E-Sign Act.) vigente a partir del 1 de octubre del
2000 (otorgando a la firma y documento electrónico un estatus legal
equivalente a la firma autógrafa y al documento en papel).
NORMATIVIDAD
11. 11
• ALEMANIA (El 13 de junio de 1997 fue promulgada la Ley sobre Firmas Digitales y el 7 de junio del
mismo año, fue publicado su Reglamento).
• ARGENTINA (El 17 de marzo de 1997, el Sub-Comité de Criptografía y Firma Digital, dependiente de
la Secretaría de la Función Pública, emitió la Resolución 45/97 -firma digital en la Administración Pública-
el 14/12/2001 Ley de Firma Digital para la República Argentina 25/506.
• C.E.E. (Directivas en materia de firmas electrónicas. Marco Comunitario. Diciembre de 1999).
• CANADÁ (British Columbia Bill 13-2001, The Electronic Transactions Act).
• COLOMBIA (Ley 527 de 1999. Por medio de la cual se define y reglamenta el acceso y uso de los
mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de
certificación)
• CHILE (2002 Ley sobre documentos electrónicos, firma electrónica y servicios de certificación).
• ESPAÑA (Real Decreto Ley 14/1999 sobre Firmas Electrónicas. Septiembre de 1999, Instrucción sobre
el Uso de la Firma Electrónica de los Fedatarios Públicos -En estudio proyecto Ley de Servicios de la
Sociedad de Información-).
• ITALIA (El 15 de marzo de 1997, fue publicado el “Reglamento sobre: Acto, Documento y Contrato en
Forma Electrónica” aplicable a las diversas entidades de la Administración Pública, el 15 de abril de 1999
las reglas técnicas sobre firmas digitales y el 23 de enero del 2002 la ley sobre firma electrónica).
• JAPÓN (1/04/2001 Ley sobre firma electrónica y Servicios de Certificación).
• PANAMÁ (3/08/2001 Ley 43 de Comercio Electrónico).
ENTRE OTROS …
12. 12
SITUACIÓN LEGAL EN MÉXICO
ANTECEDENTES LEGISLATIVOS
Código de Comercio 1884 - Telégrafo
Código Civil 1928 - Teléfono
Leyes Bancarias 1990 - Medios Telemáticos.
Ley PROFECO 1992 - Ventas a distancia. Telemarketing.
Leyes Fiscales 1998 - Declaraciones y pagos en formato
electrónico.
Otros esfuerzos Gubernamentales.
La legislación existente hasta 1999, requería para la validez del acto o contrato
del soporte de la forma escrita y la firma autógrafa, para vincular a las partes
en forma obligatoria
13. 13
RECONOCIMIENTO JURÍDICO A CONTRATOS Y
OPERACIONES ELECTRÓNICAS EN INTERNET
• Reformas en materia de Comercio Electrónico Mayo 2000
• Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público
• Código Fiscal de la Federación
• Ley Federal del Procedimiento Administrativo y Acuerdo TRAMITANET
• Reglamento del Código Fiscal de la Federación
• Reglamento Interior del Servicio de Administración Tributaria
• Ley de Instituciones de Crédito, Ley del Mercado de Valores, Legislación de Seguros y Fianzas
• Ley de los Sistemas de Ahorro para el Retiro y su Reglamento
• Reglas de carácter general para prestar los servicios de recepción de formas oficiales y recaudar los ingresos
federales por parte de las Instituciones de Crédito
• Ley de Protección y Defensa al Usuario de los Servicios Financieros
• Ley General de Organizaciones y Actividades Auxiliares de Crédito
• Ley de Concursos Mercantiles y de Reforma al artículo 88 de la Ley Orgánica del Poder Judicial de la Federación
• Ley Federal contra la Delincuencia Organizada
• Código Penal Federal
• Ley de Comercio Exterior
• Reglamento de la Ley de Comercio Exterior
• Ley de Propiedad Industrial
• Reglamento de la Ley General de Salud en materia de publicidad
• Norma Oficial Mexicana EDI-001 Guía de Implantación del Intercambio Electrónico de Datos
• Acuerdo que establece los lineamientos de operación del Registro Público de Comercio
• Convenios de Colaboración entre la SECOFI y la Asociación Nacional del Notariado Mexicano y Corredores
Públicos
• Acuerdo SECOFI - AMIPCI
• Reglamento Interior BANXICO, IES Banxico
• Reformas Fiscales 2001
14. 14
El 29 de mayo del año 2000, se publicó en el Diario
Oficial de la Federación el Decreto por el que se
reforman y adicionan diversas disposiciones
del Código Civil Federal, del Código Federal de
Procedimientos Civiles, del Código de
Comercio y de la Ley Federal de Protección al
Consumidor, estas reformas constituyen los
cimientos del marco legal del Comercio Electrónico
en México, tomando como punto de partida las
experiencias internacionales y el trabajo de
UNCITRAL al respecto
REFORMAS EN MATERIA DE COMERCIO ELECTRÓNICO
15. 15
• Las reformas y adiciones al CÓDIGO CIVIL FEDERAL se centraron en el
reconocimiento a la celebración de actos jurídicos a través de medios
electrónicos, ópticos o de cualquier otra tecnología, añadiéndose los “medios
tecnológicos” como medio idóneo para expresar el consentimiento. Es importante
resaltar que se estableció una equivalencia funcional entre el consentimiento
expresado por medios tecnológicos y la firma autógrafa “siempre que la
información generada o comunicada en forma íntegra, a través de dichos medios
sea atribuible a las personas obligadas y accesible para su ulterior consulta”.
• Se reconoce en el CÓDIGO FEDERAL DE PROCEDIMIENTOS CIVILES como
prueba, la información contenida en los medios electrónicos, ópticos o en
cualquier otra tecnología, dando una serie de reglas para su valoración por parte
del juzgador: La fiabilidad del método para generar, comunicar, recibir o
archivar la información (que pueda conservarse sin cambio), su atribución a
las personas obligadas y la posibilidad de acceder a ella en ulteriores
consultas. Asimismo y para que la información generada, comunicada, recibida
o archivada por medios electrónicos se considere como original (para su
conservación o presentación) deberá acreditarse que dicha información se ha
mantenido íntegra e inalterada a partir del momento en que se generó por
primera vez en su forma definitiva y ésta pueda ser accesible para su ulterior
consulta
16. 16
• En el CODIGO DE COMERCIO se define el concepto “Mensaje de Datos”
como la información generada, enviada, recibida, archivada o comunicada a
través de medios electrónicos, ópticos o cualquier otra tecnología.
Respecto de la obligación a los comerciantes de conservar por un plazo mínimo
de 10 años los originales de aquellas cartas, telegramas, mensajes de datos o
cualesquiera otros documentos en que se consignen contratos, convenios o
compromisos que den nacimiento a derechos y obligaciones, en el caso de
mensajes de datos se requerirá que el contenido de la información se haya
mantenido íntegro e inalterado a partir del momento en que se generó por
primera vez en su forma definitiva y sea accesible para su ulterior consulta. La
Secretaría de Economía deberá emitir una Norma Oficial Mexicana que
establezca los requisitos que deberán observarse para la conservación de
mensajes de datos.
Se establece una presunción en materia mercantil, salvo pacto en contrario,
de que el mensaje proviene del emisor (atribución a la persona obligada) si
ha sido enviado: i) Usando medios de identificación, tales como claves o
contraseñas de él (para lo que se requerirá de un previo acuerdo entre las
partes), o ii) Por un sistema de información programado por el emisor o en
su nombre para que opere automáticamente.
17. 17
En materia mercantil, al igual que en la civil, cuando la ley exija la forma
escrita para los contratos y la firma de los documentos relativos, esos
supuestos se tendrán por cumplidos tratándose de mensaje de datos
siempre que éste sea atribuible a las personas obligadas y accesible
para su ulterior consulta.
Y se reconoce como prueba a los mensajes de datos. Para valorar la
fuerza probatoria de dichos mensajes, se estimará primordialmente la
fiabilidad del método en que haya sido generada, archivada, comunicada o
conservada la información.
• Se reformó la LEY FEDERAL DE PROTECCIÓN AL CONSUMIDOR para
reconocer la utilización de medios electrónicos, ópticos o cualquier otra
tecnología en la instrumentación de las operaciones que celebren los
proveedores con los consumidores, dando las bases sobre las cuales
habrán de realizarse dichas operaciones (confidencialidad, certeza,
seguridad en la información proporcionada al consumidor, etc.), previendo
sanciones administrativas (acaso las mas altas) para el caso de que los
proveedores no cumplan con dichas disposiciones.
18. 18
Para que un mensaje de datos en el que se consignen contratos, convenios o
compromisos que den nacimiento a derechos y obligaciones, pueda considerarse
legalmente válido, es necesario asegurar que la información en él contenida reúna las
siguientes características:
INTEGRIDAD:
Entendida en dos vertientes, la primera respecto de la fiabilidad del método para
generarla, comunicarla, recibirla o archivarla. Y la segunda como la forma de
garantizar que la información en él contenida no fue alterada. Al respecto la Secretaría
de Economía publicó el pasado 16 de noviembre en el DOF, para consulta pública, un
proyecto de Norma Oficial Mexicana que establecerá los requisitos que deban
observarse para la conservación de mensajes de datos, con fundamento en lo
dispuesto por el artículo 49 segundo párrafo del Código de Comercio.
ATRIBUCIÓN:
La forma en que podemos garantizar que las partes que se obligan en la relación
jurídica son quienes dicen ser y expresan su voluntad libre de vicios. Esta atribución a
las personas obligadas en la relación jurídica que se pretende formalizar en un
mensaje de datos, no es más que una “FIRMA ELECTRÓNICA”, la cual puede ser de
dos tipos:
SIMPLE (partiendo de la presunción, en materia mercantil, de que el mensaje ha sido
enviado usando medios de identificación como claves o contraseñas por ambas
partes conocidas, para lo cual se requerirá de un acuerdo previo y firmado en forma
autógrafa por las partes) o
19. 19
FIABLE o AVANZADA (entendida como proceso electrónico que permite al receptor
de un mensaje de datos identificar formalmente a su autor, el cual mantiene bajo su
exclusivo control los medios para crear dicha firma, de manera que esté vinculada
únicamente a él y a los datos a que se refiere el mensaje, permitiendo detectar
cualquier modificación ulterior al contenido del mismo, garantizando así la identidad
del titular y que éste no pueda desconocer la autoría del documento. Para esto será
necesario que se expida legislación federal relativa a la firma electrónica “fiable” en la
que se regule la actividad de los prestadores de servicios de certificación, a los
propios certificados de firmas electrónicas, así como la admisibilidad y forma de
presentar como prueba en juicio a los mensajes de datos firmados y se establezcan
los requisitos técnicos necesarios, procurando preservar la neutralidad tecnológica.
ACCESIBILIDAD:
Se refiere a que el contenido de un mensaje de datos en el que se consignen
contratos, convenios o compromisos que den nacimiento a derechos y obligaciones,
pueda estar disponible al usuario (emisor, receptor, juez, auditor, autoridades, etc.)
para su ulterior consulta, siempre y cuando reúna las dos características
anteriormente anotadas. Para lo cual deberá establecerse en la legislación federal
que al efecto deberá emitirse la forma de presentar a “los usuarios” estos mensajes
de datos, la cual podría hacerse previa certificación de atribución e integridad por
parte del prestador de servicios de certificación.
20. 20
Regula las actuaciones y procedimientos del Poder Ejecutivo Federal (dependencias y
organismos descentralizados de la Administración Pública Federal). Reformada el 30 de
mayo del 2000, habilita el empleo de medios electrónicos para llevar a cabo algunos
procedimientos administrativos de gestión:
• Notificaciones, citatorios, emplazamientos, requerimientos, solicitud de informes, documentos
y resoluciones administrativas, entre otros, cuando así lo haya aceptado expresamente el
promovente y siempre que pueda comprobarse fehacientemente la recepción de los mismos
• Las promociones o solicitudes que los particulares presenten, en las etapas que las propias
dependencias y organismos así lo determinen mediante reglas de carácter general,
empleando medios de identificación electrónica tendrán el mismo valor probatorio que los
firmados en forma autógrafa
El uso de dichos medios de comunicación electrónica será optativo para cualquier
interesado, incluídos los particulares que se encuentren inscritos en el Registro de Personas
Acreditadas
La certificación de los medios de identificación electrónica del promovente, así como la
verificación de la fecha y hora de recepción de las promociones o solicitudes y de la
autenticidad de las manifestaciones vertidas en las mismas, deberán hacerse por las
dependencias u organismos descentralizados, bajo su responsabilidad y de conformidad con
las disposiciones generales que al efecto emita la Secretaría de Contraloría y Desarrollo
Administrativo.
LEY FEDERAL DE PROCEDIMIENTO ADMINISTRATIVO
21. 21
Publicado en el DOF el 17 de enero del 2002 por la Secretaría de Contraloría y Desarrollo Administrativo.
Objeto: La certificación del medio de identificación electrónica que utilicen los particulares en los trámites
electrónicos que realicen; La verificación de la fecha y hora de recepción de las promociones y solicitudes
formuladas a través de medios de comunicación electrónica (marca de tiempo o sello digital); La
comprobación de la autenticidad de las manifestaciones vertidas en dichas promociones o solicitudes, y las
notificaciones, citatorios, emplazamientos, requerimientos, solicitudes de informes o documentos y las
resoluciones administrativas que emitan por medios electrónicos, relacionados con el trámite electrónico
promovido por el particular.
En el acuerdo se establece también que se utilizará un sistema de encripción de clave pública (PKI) para
generar el certificado digital y dos tipos de certificación; básica y de alta seguridad, dependiendo de la
necesidad o no de la presencia física del particular o su representante para acreditar identidad, existencia
legal y facultades de su representante, en su caso, los cuales podrán ser emitidos por las dependencias u
organismos descentralizados de la Administración Pública Federal (Entidad Certificadora), que estuvieren
autorizadas para ello por la Secretaria de la Contraloría y Desarrollo Administrativo (Autoridad Certificadora
Central) , previa solicitud de los interesados.
Cada dependencia interesada en fungir como Entidad Certificadora, deberá declarar en un documento a
disposición de los interesados las prácticas de certificación adoptadas (Tipos de certificación que emitan,
trámites en los que podrán ser utilizados los certificados expedidos, métodos para identificar al titular del
certificado, mecanismos que permitan al titular verificar su propio certificado, procedimientos para emitir y
consultar la lista de certificados revocados, procedimientos de auditoría establecidos, mecanismos de
custodia de identificación electrónica e impresa).
ACUERDO “TRAMITANET”
22. 22
Objetivo: Establecer los requisitos que deben observarse para la conservación del contenido de
mensajes de datos que consignen contratos, convenios o compromisos y que en consecuencia
originen el surgimiento de derechos y obligaciones.
Campo de aplicación: Es de observancia general para los comerciantes que deban conservar los
mensajes en que se consignen los citados documentos, así como para todas aquellas personas
con quienes los comerciantes otorguen o pacten dichos contratos, convenios o compromisos.
Definiciones : Se incluyen definiciones a los conceptos utilizados en la NOM.
Método a seguir para la conservación de los mensajes de datos: (se describe en el apéndice
del proyecto, requiere de la utilización de tecnología PKI y de la existencia y participación de un
Prestador de Servicios de Certificación). La información que se desee conservar se podrá
almacenar en uno o varios archivos diferentes y/o en una o varias computadoras.
Método para digitalizar archivos soportados en medio físico: La migración deberá ser cotejada
por un tercero legalmente autorizado, quien constatará que dicha migración se realice íntegra e
inalterablemente tal y como se generó por primera vez en su forma definitiva.
Elementos que intervienen en la conservación de mensajes de datos: firma electrónica y/o
digital; el prestador de servicios de certificación; La constancia emitida por el prestador de servicios
de certificación; equipos y programas informáticos en y con los que se almacenen los mensajes de
datos,
Vigilancia: a cargo de la Secretaría de Economía conforme a sus atribuciones y la legislación
aplicable.
NOM.- REQUISITOS QUE DEBEN OBSERVARSE PARA
LA CONSERVACIÓN DE MENSAJES DE DATOS
23. 23
FORMACIÓN DE ARCHIVOS PARCIALES
(i) el nombre del archivo del sistema de información en el que está o estuvo almacenado el contenido del archivo,
(ii) el tipo del archivo, y
(iii) el contenido del mismo
OBTENCIÓN DE LOS COMPENDIOS O RESUMENES DIGITALES
Se calcula el compendio o resumen digital del archivo o archivos parciales.
INTEGRACIÓN DEL EXPEDIENTE ELECTRÓNICO
(i) el nombre del expediente, que debe de coincidir con el nombre con el que se identifica en el sistema de información
en donde está o estuvo almacenado,
(ii) un índice, que contiene el nombre y el compendio de cada archivo parcial que integra el expediente,
(iii) la identificación del operador del sistema de conservación, y
(iv) su firma digital.
OBTENCIÓN DE LA CONSTANCIA DEL PRESTADOR DE SERVICIOS DE CERTIFICACIÓN
(i) el nombre del archivo en donde está almacenada la constancia,
(ii) el expediente enviado por el sistema de conservación,
(iii) fecha y hora del momento en que se crea la constancia,
(iv) la identificación del prestador de servicios de certificación y
(v) su firma digital.
MÉTODO DE VERIFICACIÓN DE AUTENTICIDAD
(i) verificar la firma digital del prestador de servicios de certificación en la constancia;
(ii) verificar la firma digital del operador del sistema de conservación en el expediente contenido en la constancia, y
(iii) recalcular el compendio de él o los archivos parciales y verificar que coincidan con los compendios asentados en
el expediente.
NOM. APENDICE
24. 24
• Firmas Electrónicas y Prestadores de Servicios de
Certificación
• Ley contra el Crimen Electrónico.
• Ley de Protección de Datos y Privacidad.
• Protección y reconocimiento a la propiedad
intelectual del software
• Legislación en materia de nombres de dominio.
Adicionalmente a lo anterior, también se está proponiendo en dicha
Cámara de Senadores una reforma constitucional al Artículo 16 para
elevar al rango de garantía individual el derecho a la protección de
los datos personales del individuo, que además daría sostén al
proyecto legislativo que sobre éste mismo tema señalamos
anteriormente.
PROYECTOS LEGISLATIVOS
25. 25
• Desde 1998 algunas personas morales (grandes contribuyentes) pueden
presentar sus declaraciones anuales al SAT por medios electrónicos firmando
electrónicamente con un certificado digital que el propio SAT les proporciona.
Para ello el SAT contrató con una empresa proveedora el software y las
licencias para fungir como Autoridad Registradora y Certificadora.
• Lo anterior supone un problema en el ámbito procesal, toda vez que el SAT se
convierte en juez y parte (por un lado emite el certificado digital y por otro es la
entidad que recibe el documento firmado electrónicamente).
• Para evitar el problema señalado anteriormente han mantenido contacto con
Banxico, pretendiendo que el propio Banxico, alguna nueva sociedad mercantil o
una sociedad mercantil existente, previa adecuación de su objeto realice las
actividades de Agencia Registradora Central.
• La finalidad del SAT es que para la presentación de la declaración anual del
2001, todas las personas morales estén en posibilidad de hacerla por medios
electrónicos. Como se recordará, el artículo 31 del Código Fiscal de la
Federación sufrió una modificación para precisar que los contribuyentes con
pagos provisionales mensuales, obligados a presentar sus declaraciones a
través de medios electrónicos, también utilizarán este medio para la
presentación de avisos, debiendo cumplir con los requisitos que establezcan las
reglas de la Resolución Miscelánea Fiscal.
REFORMAS FISCALES
26. 26
• Asimismo, se incluyó la posibilidad de que los demás contribuyentes también pudieran
hacer uso de los medios electrónicos para la presentación de declaraciones y avisos,
siempre que se cumplieran con los requisitos de las reglas de carácter general expedidas
por la Secretaría de Hacienda y Crédito Público.
• Por otro lado una de las grandes modificaciones al Código Fiscal de la Federación para el
2001 (como una medida para simplificar el cumplimiento de las obligaciones fiscales),
consistió en otorgar a los contribuyentes una nueva forma para comprobar sus
adquisiciones, uso o goce temporal de los mismos, o la prestación de servicios recibidos,
la cual básicamente residía en obtener la devolución del cheque nominativo o la emisión
de estados de cuenta, de las instituciones de crédito o casas de bolsa, aunado a una serie
de requisitos.
• Esta opción entró en vigor en marzo del 2001, no obstante, poco después de dicha
entrada en vigor, se publicó la regla 2.4.20. de la Resolución Miscelánea Fiscal 2000, para
prorrogar su aplicación hasta el 30 jun 2001
• En la Décima Sexta Modificación a la Resolución Miscelánea Fiscal de 2000 se permite a
las instituciones de crédito y las casas de bolsa no devolver los cheques nominativos o no
emitir los estados de cuenta a que estaban obligados, sin considerarse cometida una
infracción por lo que resta del ejercicio.
• En la ABM se han llegado a acuerdos en el sentido de únicamente considerar como
comprobante fiscal al estado de cuenta electrónico expedido por los Bancos y Casas de
Bolsa, para lo cual habrá que hacer las reformas y adecuaciones legales necesarias.
COMPROBANTE FISCAL ELECTRÓNICO
27. 27
• La Asociacion de Notariado y la de los Corredores Publicos firmaron un convenio
con Secretaria de Economia sobre certificacion digital, por el que dichas
asociaciones se constituyen en entidades certificadoras (previo contrato que estas
celebraron con la empresa ACERTIA para su operación) y los notarios y
corredores como agentes certificadores
• En el ámbito financiero, el Banco de México cuenta con las atribuciones legales
suficientes para implementar y regular el uso de medios electrónicos y sistemas
de seguridad en los sistemas de pagos, en las transferencias de fondos, y en la
celebración de operaciones activas, pasivas y de servicios de los intermediarios
financieros.
• Con el objeto de que puedan celebrarse operaciones confiables a través de
medios electrónicos entre los intermediarios financieros, el Banco de México está
promoviendo una infraestructura de seguridad para el uso de medios de
identificación en mensajes electrónicos. Dicho esquema se basa en sistemas de
criptografía asimétrica a partir de los cuales se crean pares de claves
matemáticamente relacionadas entre sí, una de las claves es dada a conocer
ampliamente mientras la otra es guardada en secreto. La primera, conocida como
clave pública, sirve para verificar que se ha utilizado la clave privada
correspondiente. La otra, conocida como clave privada, es la que se utiliza para
expresar la voluntad de reconocer el mensaje como propio.
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN
28. 28
• Al efecto, se deja huella de la asociación que existe entre la clave pública y la
privada en un documento denominado certificado digital, el cual se hace público.
Debido al gran número posible de claves públicas, resulta necesario establecer
una infraestructura para administrar y distribuir las claves públicas de los usuarios,
y garantizar, a través de la expedición de certificados digitales, que la asociación
que existe entre una clave pública determinada y su propietario, sea confiable y
asociada a un solo individuo.
• La manera cómo funcionará la Infraestructura Extendida de Seguridad se presenta
a continuación:
• La Agencia Registradora Central será la encargada de supervisar el
funcionamiento de la infraestructura, registrar las claves públicas así como
autorizar la operación de las demás entidades que forman parte del esquema. De
ella dependerán de manera directa la Agencia Certificadora y la Agencia
Registradora (ambas funciones las puede desarrollar una sola empresa).
• La Agencia Certificadora tendrá a su cargo identificar al agente certificador,
corroborar la unicidad de las claves, expedir y registrar el certificado, con base en
el precertificado que le presenten los agentes certificadores.
• Los Agentes Certificadores, dependerán de la agencia certificadora y tendrán la
función de identificar al usuario, verificar la relación entre claves y expedir el
precertificado antes mencionado.
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN
29. 29
• Por lo que respecta a la Agencia Registradora, ésta tiene como
responsabilidad el registro, publicación y, en su caso, revocación de los
certificados.
• El Banco de México participará, en principio, como Agencia Registradora Central
en las operaciones que se celebren con las instituciones de crédito en el SIAC,
en específico en el SPEUA y en el SUBAN.
• Para tal efecto se modificarán los contratos, los manuales de operación y las
disposiciones relativas a fin de incorporar la Infraestructura Extendida de
Seguridad, para prever la generación de la clave pública y privada de los
bancos; las características del software para la generación de las claves; el
procedimiento para la obtención del certificado, la manera de registrar la clave
pública en el Banco de México, las personas que fungirán como agentes
certificadores y los requerimientos técnicos para establecer comunicación con el
Banco de México.
• Con el objeto de evitar premuras en la implementación de la Infraestructura
Extendida de Seguridad se prevé un plazo amplio para la entrada en vigor de las
nuevas disposiciones.
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN
30. 30
• En su primera etapa se tiene contemplado que este sistema comience a operar
con pocas instituciones, incorporándose paulatinamente el resto hasta incorporar
al cien por ciento de ellas. En la primera etapa quedarían fuera el SICAM, el TIIE-
BAN y el OPCI-BAN.
• En cuanto a las operaciones de las instituciones de crédito con su clientela, por el
momento el Banco de México no ha emitido disposición alguna para regular el uso
de medios de identificación electrónica de las operaciones de la banca con su
clientela, lo cual no impide que se desarrollen estos sistemas en virtud de que,
como se mencionó, la Ley de Instituciones de Crédito permite a los bancos
celebrar operaciones con el público mediante el uso de equipos y sistemas
automatizados.
• Por último, como ya comentamos, Banxico está evaluando la conveniencia de
crear una sociedad mercantil o adecuar alguna ya existente (como CECOBAN)
para que realice las actividades de Agencia Registradora Central. Esta empresa
haría aplicable la Infraestructura Extendida de Seguridad, no sólo al sector
financiero, sino también al sector público y privado, hasta en tanto o en lugar de
llevar a cabo las reformas legales en materia de firma electrónica y prestadoras de
servicios de certificación.
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN
31. 31
FIRMA
• Concepto
• Identificación de la persona
• Expresión del consentimiento (voluntad de asumir el contenido de un
documento en el que se estampa)
• Medio de prueba
• Inexistencia de definición legal
• Consentimiento = Firma
• Exteriorización de la declaración de voluntad de una persona
• Migrar a medios electrónicos:
Equivalente funcional:
ATRIBUCIÓN
INTEGRIDAD
ACCESIBILIDAD
Reconocimiento y validez jurídica del contrato celebrado
electrónicamente
Exigibilidad judicial
32. 32
FIRMA
AUTÓGRAFA
FIRMA
ELECTRÓNICA
FIABLE
ELEMENTOS FORMALES.-
La firma como signo personal. X X
El animus signandi, voluntad
de asumir el contenido de un
documento.
X X
ELEMENTOS FUNCIONALES
Función Identificadora, relación
jurídica entre el acto firmado y
la persona que lo ha firmado.
X X
Función de Autenticación. El
autor del acto expresa su
consentimiento y hace propio
el mensaje
X X
INTEGRIDAD X
ACCESIBILIDAD X
FIRMA
33. 33
ELEMENTOS PARA UNA LEGISLACIÓN EN MATERIA DE
FIRMA ELECTRÓNICA
• Completar el marco comercial
• Reconocer la validez de diversas formas de firma electrónica:
• SIMPLE: acuerdo entre las partes
• FIABLE: que garantice
• Autenticidad
• Confidencialidad
• Integridad
• No repudiación
• Cumpla con un mínimo de requisitos
• Única y vinculada a un firmante
• Que permita detectar cualquier alteración (de la firma o del mensaje).
• Organización (Prestadores de Servicios)
• Agentes (Fedatarios, Instituciones Públicas, Personas Morales)
• Entidades de Certificación y Registro
• Requisitos (Prestadores de Servicios y Certificados)
• Reconocimiento de certificados extranjeros
34. 34
Características de un sistema seguro
SERVICIOS DE
SEGURIDAD
DEFINICIÓN
Usser-password
Tarjeta Inteligente
Huella digital
Autenticación
Prueba/garantía de la identidad
de quién envía información
MECANISMOS
DISPONIBLES
Control de
acceso
Permisos diferenciados de
acceso a segmentos/necesidades
específicas por cliente
Perfiles de usuario
Confidencialidad
Garantía de que el contenido
de la información se mantiene
oculto salvo para el destinatario
Algoritmos de
encripción (llave pública
y privada)
Integridad
Garantía de que el contenido de
mensaje no sufrió niniguna
modificación
Algoritmos de encripción
(llave privada)
Algoritmos checksum
No
repudiación
Inhabilidad de un individuo de
desconocer una transacción
una vez realizada
Algoritmos de encripción
(llave pública)
35. 35
• PKI: (PUBLIC KEY INFRASTRUCTURE) marco de trabajo y
servicios para la generación, producción, distribución,control y
seguimiento de certificados
• Características de los servicios de certificación PKI:
– Basados en estándares internacionales y nacionales
– Compatibles con diversas aplicaciones y productos
– Interoperabilidad segura en todo el sistema
– Uso de firma digital y aplicaciones de intercambio de llaves
– Cumplimiento de la legislación y regulaciones nacionales e
internacionales
Implantación del modelo PKI de seguridad
37. 37
LLAVE PRIVADA
– Sólo existe una llave privada por individuo
– Para uso único del propietario
– Es secreta
– Se usa para desencriptar información y generar firmas digitales
LLAVE PUBLICA
– Un usuario puede tener N llaves públicas
– Es puesta a disposición de todos los usuarios
– Se usa para encriptar información y verificar firmas digitales
• Las llaves públicas/privadas se usan para encriptar,firmar y
revisar posibles alteraciones en documentos/transacciones, así como
para identificar individuos
• Las funciones realizadas por una parte del par de llaves pueden ser
validadas sólo al usar la otra parte del par
Conceptos básicos de PKI
38. 38
• Es un bloque de información creado al aplicar un algoritmo
criptográfico de firmado a un archivo por medio de la llave
pública
• La firma digital vincula la identidad de la persona que origina
una transacción y asegura la integridad de la información
• Un certificado atestigua la validez de la identidad de un
individuo/entidad. Generalmente es emitido por una CA quien
al firmar digitalmente, une una llave pública con el nombre de
un individuo.
• Su propósito es el permitir la verificación de la premisa que
una llave pertenece de hecho a un individuo
Conceptos básicos de PKI
FIRMA DIGITAL
CERTIFICADO DIGITAL
39. 39
Contenido de un certificado digital
Llave pública
•F1 00 12 AB …FF
Número de serie
Datos Administrativos
• Nombre
• Dirección e e-mail
• Puesto
• Compañía
• Limitaciones (Tipo)
Período de validez
•Fecha emisión/expiración
Estatus
Activo/revocado
Dominio
FIRMA DE LA AUTORIDAD
CERTIFICADORA
•$#%&&%$BBVABANCOMER
ALGORITMO UTLIZADO
•RSA
Certificado
Archivo .CER
Llave privada
•$#%&&%$#”ras%Q#6
Archivo .KEY
Información Privada
•Puede estar en un
archivo en PC, disco,
smart card, Palm Pilot
•Protegida (encriptado)
con una contraseña, NIP
huella digital, voz,etc.
40. 40
Dispositivos de almacenamiento de certificados
Chip
Card
Servidor
Browser
Se almacenan en
una tarjeta inteligente
Se almacena en un
servidor
Se almacena en el la
computadora del
cliente
modificando
localmente la
configuración del
Browser del cliente
•Se pueden utilizar en
cualquier lado
•Dispositivo de
almacenamiento más seguro
•Es caro ya que se requieren
lectoras especiales
•La tecnología aún no es
accesible para todos los
usuarios
Dispositivo de
almacenamiento Ventajas Desventajas
El cliente puede
accesarla a través de
una clave desde
cualquier computadora.
Unicamente se puede utilizar
desde la computadora donde
se almacenó el certificado
localmente
•Es el certificado más
barato
•Dependencia total de un solo
servidor
•Cliente se autentica sin
certificado
41. 41
• Al ser una secuencia de 1 y 0 de una estructura matemática
especial, pueden ser verificados con una veracidad del 100%
y tomaría millones de años el duplicar un certificado
digital
• Aceptación internacional por los estándares establecidos
• Permite las garantías de la firma física
• Provee autenticación para tener transacciones seguras
• Cumple con los requerimiento de auditorias internas
• Permite la seguridad de las transacciones electrónicas
• Los costos operativos de generación y administración de
certificados son bajos a largo plazo
• Los certificados implementados dentro de un esquema PKI
logran que la seguridad como un todo sea más sencilla de
monitorear
Ventajas de un certificado digital
43. 43
• Implica la generación, producción, distribución, control, seguimiento y
destrucción de las llaves públicas/privadas asociadas con los
certificados de llave pública
• La administración de certificados tiene dos elementos básicos:
Autoridad Certificadora (CA) y el Directorio de Servicios
Agencia Certificadora (CA)
• Es la entidad que genera y revoca los certificados para un conjunto de
usuarios y es responsable de su autenticidad. Sus funciones se
pueden resumir en:
– Generación de certificados al garantizar su identidad por medio de una
firma digital
– Agendar fechas de expiración de los certificados
– Revocar los certificados
• Una característica fundamental de la CA es que sea un ente de alta
confianza para la comunidad
Administración de certificados
44. 44
• Las CA tienen un conjunto de políticas operativas que describen la
implantación y apoyo a las políticas de seguridad,condensadas en un
detallado documento conocido como la Declaración de Prácticas de
Certificación (CPS). Estas políticas incluyen:Procedimientos
Verificación de Identidad, Rango de Usuarios a Certificar, Ciclo de
Vida de un certificado
• Lista de Revocación de Certificados (CRL) determina la validez de
un certificado, condensándolo en una lista
Administración de certificados
Declaración de Prácticas de Certificación (CPS)
45. 45
• La Agencia Registradora (RA) se define como aquel agente/
agentes encargados de la autenticación de la identidad de los
usuarios de la Agencia Certificadora (CA). Posteriormente
manda la petición del usuario a la CA
• La RA se puede auxiliar de Agentes Certificadores, es el
intermediario entre los usuarios y la CA. La calidad del
proceso de autenticación de la RA determina el nivel de
confianza que se tendrá en los certificados.
• Una RA puede ser conceptualizada como un punto de
presencia local para las CA, donde los usuarios pueden aplicar
para la obtención de un certificado
Registro de los certificados
46. 46
• Permite que usuarios que no se conocen entre si se
comuniquen de manera segura en redes inseguras
• Permite la identificación electrónica confiable
• Permite la creación de relaciones de confianza
• Es la base para el uso de firmas digitales y no repudiación
• Puede utilizarse en una amplia gama de aplicaciones
financieras, de comunicación, de comercio electrónico
Ventajas del esquema de seguridad PKI
47. 47
LEY MODELO UNCITRAL SOBRE FIRMAS ELECTRÓNICAS:
Por “Firma Electrónica” se entenderán los datos en forma electrónica
consignados en un mensaje de datos, adjuntados o lógicamente asociados
al mismo, que puedan ser utilizados para identificar al firmante en relación
con el mensaje de datos e indicar que el firmante aprueba la información
recogida en el mensaje de datos.
INICIATIVA DE DECRETO POR EL QUE SE REFORMAN Y ADICIONAN
DIVERSAS DISPOSICIONES DEL CÓDIGO DE COMERCIO, EN MATERIA DE
FIRMA ELECTRÓNICA:
Firma electrónica: los datos en forma electrónica consignados en un
mensaje de datos, o adjuntados o lógicamente asociados al mismo, que
puedan ser utilizados para identificar al firmante en relación con el mensaje
de datos e indicar que el firmante aprueba la información contenida en el
mensaje de datos y que produce los mismos efectos jurídicos que la firma
autógrafa.
Firma Electrónica
48. 48
ESTIMADO ROBERTO:
POR MEDIO DE LA PRESENTE TE SOLICITO QUE SE
TRANSFIERAN 1,000.00 DE LA CUENTA 123456-7 A LA
CUENTA 987654-3.
ATENTAMENTE.
ALICIA.
Mensaje de Datos
49. 49
SUBSTITUIR CADA LETRA DEL MENSAJE DE DATOS
POR OTRA LETRA, ‘k’ POSICIONES ADELANTE EN EL
ALFABETO.
POR EJEMPLO: SI k = 2
LA LETRA “A” SE SUSTITUYE POR LA “C”, “B” POR
“D”… “X” POR “Z” ; “Y” POR “A” ; “Z” POR “B”…
EL NÚMERO “1” POR “3” ; “2” POR “4” … “8” POR “0”
“9” POR “1” Y “0” POR “2”…
Procedimiento de Encripción
53. 53
La firma electrónica se considerará fiable …, si:
• los datos de creación de la firma, en el contexto en que son utilizados, corresponden
exclusivamente al firmante;
• los datos de creación de la firma estaban, en el momento de la firma, bajo el control
exclusivo del firmante;
• es posible detectar cualquier alteración de la firma electrónica hecha después del
momento de la firma; y
d) cuando uno de los objetivos del requisito legal de firma consista en dar seguridades en
cuanto a la integridad de la información a que corresponde, es posible detectar cualquier
alteración de esa información hecha después del momento de la firma.
Fiabilidad de la Firma
LEY MODELO UNCITRAL SOBRE FIRMAS ELECTRÓNICAS
En ausencia de acuerdo entre las partes, la firma electrónica se considerará fiable, si:
I - Los datos de creación de la firma, en el contexto en que son utilizados, corresponden
exclusivamente al firmante;
II - Los datos de creación de la firma estaban, en el momento de la firma, bajo el control
exclusivo del firmante;
III - Es posible detectar cualquier alteración de la firma electrónica hecha después del
momento de la firma;
IV - Respecto a la integridad de la información de un mensaje de datos es posible detectar
cualquier alteración de ésta hecha después del momento de la firma;
INICIATIVA DECRETO DE REFORMA A C. COM.
54. 54
Detección de falta de integridad de la firma.
Detección de falta de integridad en el mensaje de datos.
Control exclusivo del firmante.
Fiabilidad de la Firma
56. 56
Resumen
• Es irreversible, es decir, a partir del resultado no
se puede derivar el mensaje de datos original.
• El resultado es de longitud fija (128 0 160 bits).
• No es viable encontrar dos mensajes de datos
diferentes que produzcan el mismo resultado
(Colisión).
Funciones de Integridad
59. 59
Detección de falta de integridad de la firma.
Detección de falta de integridad en el mensaje de
datos.
Control exclusivo del firmante.
Recordando la Fiabilidad de la Firma
60. 60
• Alicia genera, en su computadora, 2 claves: una
clave privada y una clave pública.
• Las claves están matemáticamente relacionadas.
• Alicia debe guardar la clave privada, y no darla a
conocer a nadie.
• Alicia puede dar a conocer la clave pública a sus
socios comerciales, como Roberto.
• No es posible para Roberto que, conociendo la
clave pública de Alicia, pueda obtener la clave
privada.
• Lo que se encripta con la clave privada sólo puede
desencriptarse con la pública.
Métodos Asimétricos
61. 61
Resumen
Clave Privada de Alicia
Encripción
Alicia
Firma Digital de
Alicia sobre el
Mensaje de Datos.
Integridad y Encripción Asimétrica
62. 62
Clave Pública de Alicia
Encripción
Roberto
Resumen
Comparación
Integridad y Encripción Asimétrica
63. 63
Detección de falta de integridad de la firma.
Detección de falta de integridad en el mensaje
de datos.
Control exclusivo del firmante.
Recordando la Fiabilidad de la Firma
64. 64
El certificado digital de Alicia es un mensaje de datos
emitido y firmado electrónicamente por alguien en
quien Roberto confía y que vincula a Alicia con su
clave pública.
Al ente emisor del certificado digital se le denomina
Agencia Certificadora.
La Agencia Certificadora puede ser un ente de dominio
aplicativo (Banco para el que Roberto trabaja).
La Agencia Certificadora puede ser un servicio al
público (tercero confiable).
Medios de Identificación
65. 65
El método de firma sólo proporciona el punto de
partida.
Los medios de identificación son un componente
importante.
La ubicación de la fecha y hora de la firma es también
necesaria.
El problema no es sólo de método, es en general, un
problema de infraestructura. (PKI = Public Key
Infraestructure) se debe contar con los Prestadores de
Servicios de Certificación
Procesos de Autenticación
66. 66
. . . E Business
Seguridad
Factura electrónica y pago
Relación
con
clientes
Canales
Posibilidades de Negocio
E-
Banking
E-Trade
Virtual
Adquirente
Internet
Contenido
E-Trade
E-Banking
Bancos
Canales
de
venta
Portal
Portales
Verticales
E-Commerce
Nuevos negs.
67. 67
Evolución del e-Banking. . .
Según un estudio de Booz-Allen and Hamilton, los costos de una transacción realizada en una oficina
del banco pueden alcanzar hasta 1.08 dólares, mientras que si el usuario la realiza mediante el centro de
llamadas puede costarle 0.54 centavos de dólar, 0.28 centavos si utiliza su computadora y sólo 0.13
centavos si es realizada por internet.
En agosto del 2001 en el mundo existen aprox. 513.41 millones de usuarios de internet (en 1997 se
estimaban 40 millones), de los cuales 25.33 millones son de America Latina.
2 0 %
3 0 %
4 0 %
5 0 %
6 0 %
7 0 %
8 0 %
1 9 9 8 1 9 9 9 2 0 0 0 1 T .
2 0 0 1
S U C U R S AL E S
B AN C A
E L E C T R Ó N IC A
ENMEX
ICO 2000 2001 2002 2003 2004 2005
Usuarios del Web(Miles) 2,409 3,309 4,427 5,847 7,454 9,257
Valor Transacciones B2C(US Dlls)
Compradores Web
$239,224,838 $407,100,439 $683,112,566 $1,134,483,805
457,131 663,517 930,144 1,277,430 1,694,651 2,190,097
$92,236,895 $153,066,359
68. 68
“Esta locura va a desaparecer muy
pronto…”
Thomas Edison en 1922 respecto del Radio
“No existe ningún futuro en un negocio
basado en cobrar lo que siempre ha sido
gratis…”
Wall Street Journal al respecto del futuro de la TV por cable
“Por que alguien querría tener un
computadora en casa…”
Ken Olson fundador de Digital Computers 1977
“Internet no es importante para nuestra
estrategia de negocios…”
Bill Gates en 1995 al salir el IPO de Netscape