oooooci - procuraduria
TRANSCRIPT
validez y seguridad jurídica electrónica
ANEXO N° 1
CARTA DE PRESENTACIÓN DE LA OFERTA
Bogotá, D.C., 18 de septiembre de 2015
Señores
PROCURADURÍA GENERAL DE LA NACIÓNCarrera 5 No. 15 - 80
Ciudad
Ref: SELECCIÓN MÍNIMA CUANTÍA N° 07 DE 2015
El suscrito actuando como Representante Legal de la Sociedad CERTICAMARA S.A.; de
acuerdo con las condiciones que se establecen en los documentos de la presente invitación
pública; cordialmente me permito presentar propuesta para SELECCIONAR AL
OFERENTE QUE ENTREGUE A TÍTULO DE COMPRAVENTA CERTIFICADOSDIGITALES QUE PERMITAN FIRMAR DIGITALMENTE LAS TRANSACCIONES DE LA
PROCURADURÍA GENERAL DE LA NACIÓN A TRAVÉS DEL SISTEMA INTEGRADO DEINFORMACIÓN FINANCIERA - SIIF.
En el caso que la Entidad me adjudique dicho proceso, me comprometo a suscribir el
contrato correspondiente y efectuar los trámites de legalización a cargo del contratista,
dentro del término señalado para el efecto.
Así mismo declaro:
• Que esta propuesta y el contrato que llegare a celebrar sólo compromete al oferente.
• Que ninguna otra persona fuera del proponente tiene interés comercial en esta propuesta
ni en el contrato que de ella se derive.
• Que si se nos adjudica el contrato, nos comprometemos a suscribir el contrato dentro de
los términos señalados para ello.
• Que conozco la información general y especial y demás documentos que integran la
invitación pública y acepto los requerimientos en ellos contenidos.
• Que el suscrito afirma bajo la gravedad de juramento, que no existe ninguna causal de
inhabilidad, incompatibilidad y/o prohibición, de las señaladas en la Constitución Política,
en la Ley, especialmente en el artículo 8 de la Ley 80 de 1993, la Ley 1150 de 2007, la Ley
1474 de 2011 y demás normas concordantes, que impidan la participación del oferente en
el presente proceso de selección y en la celebración y ejecución del respectivo contrato.
• Que los activos y recursos que conforman el patrimonio del proponente provienen de
actividades lícitas.
OOOOOCi
Carrera7 N°. 26-20 Piso 18, Edificio Seguros Tequendama / Tel. 3790300 Bogotá, Colombia
certcámara.validez y seguridad jurídica electrónica
• Que declaro que conozco, entiendo y acepto las especificaciones técnicas y las
condiciones de la contratación exigidas por la Entidad para el presente proceso contractual
y me comprometo a cumplir con ocasión de la ejecución del contrato.
• Que la propuesta consta de folios numerados en forma consecutiva tanto en el original
como en las copias.
• Que el valor total de la propuesta es por la suma de ($ 6.032.000).
• Que la Procuraduría General de la Nación puede notificar sus actos a través del buzón de
correo electrónico señalado en esta carta de presentación (Ley 1437 de 2011, Artículo 56).
• Que toda la información que se allega al proceso de selección es pública, salvo las
excepciones previstas en la ley.
Con la presentación de la oferta, acepto tal condición.
Atentamente,
HÉCTCC.C. No. 79r9$&,771 ExpedtdS'én Bogotá
Dirección: Carrera 7 No 26-20 piso 19
Número de teléfono: 3790300
0000002
Carrera7 N°. 26-20 Piso 18, Edificio Seguros Tequendama / Tel. 3790300 Bogotá, Colombia
CÁMARA DE COMERCIO DE BOGOTÁ
Cámara sede virtual
de Comerciode BpgOtá CÓDIGO DE VERIFICACIÓN: 28xlGZGla26
28 DE AGOSTO DE 2015 HORA: 15:20:04
R047109240 PAGINA: 1
***********************************
ESTE CERTIFICADO FUE GENERADO ELECTRÓNICAMENTE Y CUENTA CON UN CÓDIGO
DE VERIFICACIÓN QUE LE PERMITE SER VALIDADO SOLO UNA VEZ, INGRESANDO A
WWW.CCB.ORG.CO
RECUERDE QUE ESTE CERTIFICADO LO PUEDE ADQUIRIR DESDE SU CASA U
OFICINA DE FORMA FÁCIL, RÁPIDA Y SEGURA EN WWW.CCB.ORG.CO
-^ CERTIFICADO DE EXISTENCIA Y REPRESENTACIÓN LEGAL O INSCRIPCIÓN DE
W DOCUMENTOS.
LA CÁMARA DE COMERCIO DE BOGOTÁ, CON FUNDAMENTO EN LAS MATRICULAS E
INSCRIPCIONES DEL REGISTRO MERCANTIL
CERTIFICA:
NOMBRE : SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL CERTICAMARA S A
SIGLA : CERTICAMARA S A
N.I.T. : 830084433-7
DOMICILIO : BOGOTÁ D.C.
CERTIFICA:
MATRICULA NO: 01079279 DEL 30 DE MARZO DE 2001
CERTIFICA:
RENOVACIÓN DE LA MATRICULA :5 DE MARZO DE 2015
ULTIMO AÑO RENOVADO : 2015
CERTIFICA:
DIRECCIÓN DE NOTIFICACIÓN JUDICIAL : CARRERA 7 # 26-20 PISO 18
^ MUNICIPIO : BOGOTÁ D.C.
W EMAIL DE NOTIFICACIÓN JUDICIAL : [email protected]
DIRECCIÓN COMERCIAL : CARRERA 7 # 2 6-20 PISO 18
MUNICIPIO : BOGOTÁ D.C.
EMAIL COMERCIAL : [email protected]
CERTIFICA:
CONSTITUCIÓN: QUE POR ESCRITURA PUBLICA NO. 0000743 DE NOTARÍA 5 DE
BOGOTÁ D.C. DEL 21 DE MARZO DE 2001, INSCRITA EL 30 DE MARZO DE 2001
BAJO EL NUMERO 00770976 DEL LIBRO IX, SE CONSTITUYO LA SOCIEDAD
COMERCIAL DENOMINADA SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL
zadel
fSmuTrupUo
0000003
CÁMARA DE COMERCIO DE BOGOTÁ
Cámara sede virtual
de ComercioÓe BOgOtá CÓDIGO DE VERIFICACIÓN: 28xlGZGla26
28 DE AGOSTO DE 2015 HORA: 15:20:04
R047109240 PAGINA: 3
***********************************
SERVICIOS CRIPTOGRÁFICOS DE TODA CLASE; 8) LA ASESORÍA EN LA
PROYECCIÓN Y PUESTA EN FUNCIONAMIENTO DE PROYECTOS DE COMERCIO
ELECTRÓNICO O DE USO DE TECNOLOGÍAS DE INFORMACIÓN, PRINCIPALMENTE
PERO NO EXCLUSIVAMENTE EN EL ÁMBITO EMPRESARIAL; 9) LA, PRESTACIÓN DE
SERVICIOS DE CONSULTORÍA TÉCNICA, JURÍDICA Y DE PROCESOS TANTO A
PARTICULARES COMO A ENTIDADES PÚBLICAS Y/O PRIVADAS INCLUYENDO, PERO
SIN LIMITARSE A ELLO, LA CONSULTORÍA EN TEMA RELACIONADOS CON LA
SEGURIDAD EN ENTORNOS ELECTRÓNICOS; 10) LA CONSULTORÍA EN MATERIA DE
INFORMÁTICA FORENSE Y EN EL DESARROLLO DE PROYECTOS DE VIRTUALIZACIÓN
O DESMATERIALIZACIÓN DE DOCUMENTOS. PARA EL DESARROLLO DE SU OBJETO,
LA ENTIDAD PODRÁ EJECUTAR TODOS LOS ACTOS O CONTRATOS QUE FUEREN
CONVENIENTES O NECESARIOS PARA SU CABAL CUMPLIMIENTO Y QUE TENGAN
RELACIÓN DIRECTA O INDIRECTA CON EL MISMO, TALES COMO COMPRAR, VENDER,
IMPORTAR, ARRENDAR O TOMAR EN ARRENDAMIENTO, PERMUTAR Y EN GENERAL
REALIZAR TODA CLASE DE NEGOCIOS JURÍDICOS SOBRE BIENES CORPORALES O
INCORPORALES, MUEBLES O INMUEBLES; CONSTITUIR SOCIEDADES, EMPRESAS
UNIPERSONALES, ENTIDADES SIN ÁNIMO DE LUCRO O CUALQUIER OTRO TIPO DE
PERSONA JURÍDICA, HACERSE SOCIO, CAPITALISTA O ASOCIADO DE ELLAS;
SUSCRIBIR A CUALQUIER TÍTULO, ENAJENAR, USUFRUCTUAR, O MANEJAR PARTES
DE INTERÉS, CUOTAS SOCIALES O ACCIONES EN SOCIEDADES; CELEBRAR CON
ESTABLECIMIENTOS DE CRÉDITO, ENTIDADES FINANCIERAS Y CON EMPRESAS
ASEGURADORAS CONTRATOS DE MUTUO O DE GARANTÍA Y EN GENERAL TODAS LAS
OPERACIONES QUE SE REQUIERAN PARA EL ADECUADO FUNCIONAMIENTO DE LA
SOCIEDAD; GIRAR, ACEPTAR, ENDOSAR, COBRAR Y NEGOCIAR TODA CLASE DE
TÍTULOS VALORES; ACEPTAR DONACIONES, HERENCIAS Y LEGADOS.
CERTIFICA:
CAPITAL:
** CAPITAL AUTORIZADO **
VALOR : $10,000,000,000.00
NO. DE ACCIONES : 10,000,000.00
VALOR NOMINAL : $1,000.00
** CAPITAL SUSCRITO **
VALOR : $4,700,256,207.00
0000004
CÁMARA DE COMERCIO DE BOGOTÁ
sede virtual
de Comerciode BOgOtá CÓDIGO DE VERIFICACIÓN: 28xlGZGla26
28 DE AGOSTO DE 2015 HORA: 15:20:04
R047109240 PAGINA: 5
RODRÍGUEZ GÓMEZ CARLOS EDUARDO C.C. 000000016775663
** JUNTA DIRECTIVA: SUPLENTE (S) **
QUE POR ACTA NO. 012 DE ASAMBLEA DE ACCIONISTAS DEL 23 DE MARZO DE
2010, INSCRITA EL 28 DE MAYO DE 2010 BAJO EL NUMERO 01387542 DEL LIBRO
IX, FUE (RON) NOMBRADO (S):
NOMBRE IDENTIFICACIÓN
PRIMER RENGLÓN
SAAVEDRA MITROVICH CRISTIAN CLAUDIO C.C. 000000019157568
SEGUNDO RENGLÓN
CASTELLANOS GONZÁLEZ BENEDICTO C.C. 000000017170537
QUE POR ACTA NO. 14 DE ASAMBLEA DE ACCIONISTAS DEL 29 DE MARZO DE
2011, INSCRITA EL 12 DE MAYO DE 2011 BAJO EL NUMERO 01478181 DEL LIBRO
IX, FUE (RON) NOMBRADO (S):
NOMBRE IDENTIFICACIÓN
TERCER RENGLÓN
RODRÍGUEZ GUZMAN OLGA LUCIA C.C. 000000041575423
QUE POR ACTA NO. 012 DE ASAMBLEA DE ACCIONISTAS DEL 23 DE MARZO DE
2010, INSCRITA EL 28 DE MAYO DE 2010 BAJO EL NUMERO 01387542 DEL LIBRO
IX, FUE (RON) NOMBRADO (S) :
NOMBRE IDENTIFICACIÓN
CUARTO RENGLÓN
VELEZ DE NICHOLIS LINA MARÍA C.C. 000000042969302
QUE POR ACTA NO. 15 DE ASAMBLEA DE ACCIONISTAS DEL 28 DE JUNIO DE
2011, INSCRITA EL 13 DE JULIO DE 2011 BAJO EL NUMERO 01495514 DEL
LIBRO IX, FUE (RON) NOMBRADO (S):
NOMBRE IDENTIFICACIÓN
QUINTO RENGLÓN
CABAL DUQUE CLARA INÉS C.C. 000000066847464
CERTIFICA:
REPRESENTACIÓN LEGAL: LA SOCIEDAD TENDRÁ UN GERENTE, QUIEN SERA
SU REPRESENTANTE LEGAL, TENDRÁ EL USO DE LA RAZÓN SOCIAL Y SERA
EL ADMINISTRADOR DE LOS NEGOCIOS SOCIALES DE ACUERDO A LO
ESTABLECIDO EN LA LEY Y EN ESTOS ESTATUTOS. EL GERENTE TENDRÁ DOS
SUPLENTES, UN PRIMER SUPLENTE DEL GERENTE Y UN SEGUNDO SUPLENTE
0000005
CÁMARA DE COMERCIO DE BOGOTÁ
Cámara sede virtual
de Comerciode BQgOtá CÓDIGO DE VERIFICACIÓN: 28xlGZGla26
28 DE AGOSTO DE 2015 HORA: 15:20:04
R047109240 PAGINA: 7
***********************************
LE HAGAN LAS AUTORIDADES ADMINISTRATIVAS. EL PRIMER SUPLENTE TENDRÁ
LAS MISMAS FUNCIONES DEL GERENTE QUE FUERON ENUMERADAS ANTERIORMENTE,
ADEMÁS DE LAS CONTEMPLADAS EN LA LEY. EN EL CASO DEL SEGUNDO SUPLENTE,
ÉSTE TENDRÁ COMO ÚNICAS FUNCIONES ACTUAR COMO REPRESENTANTE LEGAL
SUPLENTE DE LA SOCIEDAD EN TEMAS EMINENTEMENTE ADMINISTRATIVOS.
CERTIFICA:
** REVISOR FISCAL **
QUE POR ACTA NO. 0000007 DE ASAMBLEA DE ACCIONISTAS DEL 30 DE MARZO DE
2005, INSCRITA EL 11 DE MAYO DE 2005 BAJO EL NUMERO 00990564 DEL LIBRO
IX, FUE (RON) NOMBRADO (S):
NOMBRE IDENTIFICACIÓN
REVISOR FISCAL - PERSONA JURÍDICA
KPMG LTDA N.I.T. 0000086000084 64
QUE POR DOCUMENTO PRIVADO NO. DE REVISOR FISCAL DEL 25 DE SEPTIEMBRE
DE 2012, INSCRITA EL 27 DE SEPTIEMBRE DE 2012 BAJO EL NUMERO 01669739
DEL LIBRO IX, FUE (RON) NOMBRADO (S):
NOMBRE IDENTIFICACIÓN
REVISOR FISCAL
ARANGO MAYO LIANA MARCELA C.C. 000001018416667
QUE POR DOCUMENTO PRIVADO NO. SIN NUM DE REVISOR FISCAL DEL 10 DE
OCTUBRE DE 2014, INSCRITA EL 11 DE NOVIEMBRE DE 2014 BAJO EL NUMERO
01884039 DEL LIBRO IX, FUE (RON) NOMBRADO (S):
NOMBRE IDENTIFICACIÓN
REVISOR FISCAL SUPLENTE
ALAYON VELASQUEZ MAYRA CATALINA C.C. 000001071165850
CERTIFICA:
QUE POR DOCUMENTO PRIVADO NO. sin num DE REPRESENTANTE LEGAL DEL 31 DE
MARZO DE 2015, INSCRITO EL 29 DE ABRIL DE 2015 BAJO EL NUMERO 01934818
DEL LIBRO IX, COMUNICO LA SOCIEDAD MATRIZ:
- CÁMARA DE COMERCIO DE BOGOTÁ
DOMICILIO: BOGOTÁ D.C.
QUE SE HA CONFIGURADO UNA SITUACIÓN DE CONTROL CON LA SOCIEDAD DE LA
REFERENCIA.
FECHA DE CONFIGURACIÓN DE LA SITUACIÓN DE CONTROL : 2015-03-25
0000006
Cámarade Comerciode Bogotá
CÁMARA DE COMERCIO DE BOGOTÁ
SEDE VIRTUAL
CÓDIGO DE VERIFICACIÓN: 28xlGZGla26
28 DE AGOSTO DE 2015 HORA: 15:20:04
R047109240 PAGINA: 9
***********************************
INFORMACIÓN QUE REPOSA EN LOS REGISTROS PÚBLICOS DE LA CÁMARA DE
COMERCIO DE BOGOTÁ, EL CÓDIGO DE VERIFICACIÓN PUEDE SER VALIDADO POR
SU DESTINATARIO SOLO UNA VEZ, INGRESANDO A WWW.CCB.ORG.CO
ESTE CERTIFICADO FUE GENERADO ELECTRÓNICAMENTE CON FIRMA DIGITAL Y
CUENTA CON PLENA VALIDEZ JURÍDICA CONFORME A LA LEY 527 DE 1999.
**********************************************************************
FIRMA MECÁNICA DE CONFORMIDAD CON EL DECRETO 2150 DE 1995 Y LA
AUTORIZACIÓN IMPARTIDA POR LA SUPERINTENDENCIA DE INDUSTRIA Y
COMERCIO, MEDIANTE EL OFICIO DEL 18 DE NOVIEMBRE DE 1996.
0000007
€
RIMUIG&SÍ COLOMBIA
FECHA DE NACIMIENTO 2§-#flAY-1977
BOGOTÁ D.C(CUNDINAMARCA)
LUGAR DE NACIMIENTO
1.70ESTATURA
0+G.S. RH SEXO
índice derecho
04-JUL-1995 BOGOTÁ D.C.
FECHA Y LUGAR DE EXPEDICION^tA,/^*</«—~) ^ "REGISTRADOR NACIONAL
CARLOS «RIEL SÁNCHEZTOMES
A-1500150-00660051-M-0079942771-20150124 0042460713A1 1513205337
0000008
KPMG Ltda.
Calle 90 No. 19C - 74
Bogotá, D.C. - Colombia
Teléfono 57(1)6188100
Fax 57(1)2185490
www.kpmg.com.co
AUDFINBOG-CER2015-25596
EL SUSCRITO REVISOR FISCAL DE LA SOCIEDAD CAMERAL DE
CERTIFICACIÓN DIGITAL CERTICÁMARA S.A.
NTT 830.084.433-7
CERTIFICA QUE:
De acuerdo con registros contables del período comprendido entre el 28 de febrero y el 31 de
agosto de 2015 y soportes de pago, la Sociedad Cameral de Certificación Digital Certicámara
S.A., no ha estado en mora en el pago de las obligaciones frente al Sistema de Seguridad Social
Integral y aportes a las Cajas de Compensación Familiar, que incluye los pagos al Instituto
Colombiano de Bienestar Familiar y al Servicio Nacional de Aprendizaje - SENA.
La presente certificación se expide en Bogotá D.C, el 4 de septiembre de 2015, por solicitud y
con destino a la Administración de la Sociedad Cameral de Certificación Digital Certicámara
S.A, para efectos de lo dispuesto por el artículo 50 de la Ley 789 de 2002.
*********
En cumplimiento del artículo 2 de la Ley 43 de 1990, mi firma como Revisor Fiscal en las
certificaciones se fundamenta en los libros de contabilidad. La información requerida que no es
de carácter contable fue verificada con las fuentes antes mencionadas.
Esta certificación es válida únicamente en original.
evisor F scal de la Sociecjad Cameral de Certificación Digital Certicámara S.A.
T.P. 163.815-T
Miembro de KPMG Ltda.
0000009
KPMG Ltda., sociedad colombiana de responsabilidad limitada y firma miembro de la red de firmas miembro
independientes de KPMG afiliadas a KPMG International Cooperative ("KPMG Intemational"), una entidad suiza.
KPMG Ltda.
Nit. 860.000.846 -
>DIAN*^^ Omtdtn a»IntiMiBi yUumm tkawiÉw
Fonnubrio dd Rsgistro Úrico Tributario
2. Concepto | 0 | 2 |Aetuallzad6n
Espado reservado para la DIAN4. Número de formulario 14340593123
5. Número de Identificación Tributaría (NIT): 6. DV
83008443 3|-|7
12. Dirección seccional
Impuestos da Grandes Contribuyentes
14. Buzón electrónico
IDENTIFICACIÓN
24. Tipo de contribuyente:
Persona jurídica
25. Tipo de documento: 26. Número de Identificación: 27. Fecha expedición:
Lugar de expedición 28. País:
31. Primer apellido
29. Departamento:
32. Segundo apellido 33. Primer nombre
30. Ciudad/Municipio:
14. Otros nombres
35. Razón social:
SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL CERTICAMARA S A
36. Nombre comercial: |37,Sigl«r/ .
CEfTOCAMARA s.A.
UBICACIÓN
36. País:
COLOMBIA
39. Departamento:
Bogotá D.C.
40. Ciudad/Municipio:
Bogotá, D.C.
41. Dirección principal
CR7 26 20P18
42. Correo electrónico:
43. Apartado aéreo
2 9 8
Ti»: Teléfono 1:'
3 7 9 0 3 0 0
45. Teléfono 2:
CLASIFICACIÓN
Actividad
Actividad principal
46. Código:
612_L°±A
47. Fecha inicio actividad:
2 0 0 10 4 0 2
AptMdiidsecundada
48. Código 49 pecha inicio actiyáad:
¡
Otras acttvkja
50. Código:
16 2,0,2 ,3,1,1
Ocupación
51. Código
52. Númeroestablecimientos
Responsabilidades, Calidades y Atributos
53. Código: 7/ 8, 1,5
10
2,3 1,3
11 12
3,5
13
4,0
14 16 16 17 18
05- Impto. renta y compl. régimen ordinario ....; 10-Usuario aduanero
07-Retención en la fuente a titulo de renta / 15-Autorretenedor
08- Retención timbre nacional 23- Agente de retención en ventas
09- Retención en la fuente en el impuesta sobré las ve 13- Gran contribuyente
11-Ventas régimen común - 03-Impuesto al patrimonio
14-Informante de exogena 35- Impuesto sobre la renta para la equidad - CREE.
40- Impuesto a la Riqueza
Usuarios aduanaros Exportadoras
54. Código:
1
2,3
2
1
3
1
4
1
6
1
6
I
7
1
8
1
9
I
10
I
55. Forma
□
56. Tipo
□
Servicio
57. Modo
58. CPC
1
u
m
2
u
en
3
u
m
59. Anexos: SI NO
Para uso exclusivo de la DIAN
60. No. de Folios: 61.Fecha: 2 0 15 0 7 0 9
La Información contenida en al formulario, Hrt responsabilidad de quien lo suscribe y en
consecuencia corresponde exactamente a la realidad, por lo anterior, cualquier falsedad o
Inexactitud en que Incurra podrá ser sancionada.
Articulo 18 Decreto 2460 de Noviembre de 2013
Firma del solicitante:
Sin perjuicio de las verificaciones que la DIAN realice.
Firma autorizada:
984. Nombre GUERRERO FRANCO IVAN DARÍO
985. cargo: Representante Legal Suplente Certificado
OOOOniO
Fecha generación documento PDF: 09-07-2015 03:20:13PM
CONTRALORIAGENERAL DE LA REPÚBLICA
EL CONTRALOR DELEGADO PARA INVESTIGACIONES, JUICIOS FISCALES Y
JURISDICCIÓN COACTIVA
CERTIFICA:
Que una vez consultado el Sistema de Información del Boletín de Responsables Fiscales 'SIBOR', hoy jueves 27
de agosto de 2015, a las 17:41:38, el número de identificación de la Persona Jurídica y el Representante Legalrespectivamente, relacionados a continuación, NO SE ENCUENTRAN REPORTADOS COMORESPONSABLES FISCALES.
No. Identificación P/J
No. Identificación R/L
Código de Verificación
830084337
79.942.771
2540810492015
Esta Certificación es válida en todo el Territorio Nacional, siempre y cuando los números consignados en losrespectivos documentos de identificación, coincidan con los aquí registrados.
De conformidad con el Decreto 2150 de 1995 y la Resolución 220 del 5 de octubre de 2004, la firma mecánica aquíplasmada tiene plena validez para todos los efectos legales.
SILVANO GÓMEZ STRAUCH
OOOOnil
Con el Código de Verificación puede constatar la autenticidad del Certificado.
SIBOR Página 1 del
CERTIFICADO DE ANTECEDENTES web17:39:49
CERTIFICADO ESPECIAL Hoja 1 de 01
No. 75017999
Bogotá DC, 27 de agosto del 2015
La PROCURADURÍA GENERAL DE LA NACIÓN certifica que una vez consultado el Sistema de Información de Registro de Sanciones e Inhabilidades
(SIRI), el(la) senor(a) HÉCTOR JOSÉ GARCÍA SANTIAGO ¡dentificado(a) con CÉDULA DE CIUDADANÍA número 79942771:
NO REGISTRA SANCIONES NI INHABILIDADES VIGENTES
ADVERTENCIA: La certificación de antecedentes deberá contener las anotaciones de providencias ejecutoriadas dentro de los cinco (5) años
anteriores a su expedición y, en todo caso, aquellas que se refieren a sanciones o inhabilidades que se encuentren vigentes en dicho
momento.Cuando se trate de nombramiento o posesión en cargos que exijan para su desempeño ausencia de antecedentes, se certificarán todas las
anotaciones que figuren en el registro. (Artículo 174 Ley 734 de 2002).
NOTA: El certificado de antecedentes disciplinarios es un documento que contiene las anotaciones e inhabilidades generadas por sanciones penales,
disciplinarías, inhabilidades que se deriven de las relaciones contractuales con el estado, de los fallos con responsabilidad fiscal, de las decisiones de
pérdida de investidura y de las condenas proferidas contra servidores, ex servidores públicos y particulares que desempeñen funciones públicas en
ejercicio de la acción de repetición o llamamiento en garantía. Este documento tiene efectos para acceder al sector público, en los términos que
establezca la ley o demás disposiciones vigentes. En caso de nombramiento o suscripción de contratos con el estado, es responsabilidad de la
Entidad, validar la información que presente el aspirante en la página web: http://www.procuraduria.gov.co/portal/antecedentes.html
MARIO ENRIQUE CASTRO GONZÁLEZ
Jefe División Centro de Atención al Público (CAP)
ATENCIÓN :
ESTE CERTIFICADO CONSTA DE 01 HOJA(S), SOLO ES VALIDO EN SU TOTALIDAD. VERIFIQUE QUE EL NUMERO DEL CERTIFICADO SEA EL MISMO EN
TODAS LAS HOJAS.
División Centro de Atención al Público (CAP)
Linea gratuita 018000910315; [email protected]
Carrera 5 No. 15 - 60 Piso 1; Pbx 5878750 ext. 13105; Bogotá DC.
www.procuraduria.gov.co 0000ni2
validez y seguridad jurídica electrónica
ANEXO No. 2
ESPECIFICACIONES TÉCNICAS MÍNIMAS Y SERVICIOS CONEXOS
Las siguientes son las especificaciones técnicas mínimas de los servicios que requiere la entidad,
las cuales se entenderán aceptadas con la suscripción de la carta de presentación de la oferta y
debe cumplir el futuro contratista.
REQUERIMIENTOS TÉCNICOS MÍNIMOS
1. Entrega de certificados digitales a favor de la Procuraduría General de la Nación:
Emisión y asignación de cuarenta (40) certificados digitales alojados en dispositivos criptográficos
de almacenamiento, incluyendo sus respectivos controladores. Los Certificados Digitales deben
tener las siguientes características mínimas:
• Contar con contraseña de seguridad y tener la capacidad mínima de firmar digitalmente
las transacciones que realicen sus titulares en el Sistema Integrado de Información
Financiera SUR II.
• Funcionar con el software de SIIF - Nación en cualquier equipo de cómputo.
• Cumplir con prueba de identidad, encripción fuerte, autenticación, no repudio e integridad.
• Firma digital de mensajes de datos.
• Cifrado de mensajes de datos.
• Firma de documentos a ser enviados o transmitidos.
• Tener una vigencia de un (1) año a partir de su asignación, conforme lo informado por el
supervisor del contrato. Durante este período de vigencia, el contratista deberá prestar
todos los servicios conexos descritos en el presente documento.
• Los certificados digitales deben cumplir con el estándar UIT X.509 V3 y las disposiciones
de campos mínimos requeridos, definidas por la Ley 527 de 1999, el Decreto 1747 de
2000 y la Circular Única No. 10 de la Superintendencia de Industria y Comercio, y demásdisposiciones legales inherentes a entidades de certificación digital en Colombia.
• Los certificados digitales contendrán como datos mínimos requeridos para su emisión:
• documento de identidad, nombre, dirección, teléfono, cargo y correo electrónico, además
de los demás datos definidos en el Artículo 35 de la Ley 527 de 1999.
2. Servicios conexos:
El contratista deberá proporcionar como mínimo los siguientes servicios conexos sin costo
adicional para la Procuraduría General de la Nación:
• Servicio electrónico que permita: a) Radicar la solicitud de expedición de Certificados
Digitales y sus documentos soportes; b) Realizar Tracking a la emisión y asignación de
certificados digitales; y c) Controlar la cantidad de Certificados Digitales entregados.
• Emitir y entregar los certificados dentro de los cinco (5) días hábiles siguientes a la
solicitud elevada por la entidad, a través de correo electrónico anexando los documentos
soportes de identificación del funcionario y certificación laboral.
• Brindar soporte técnico, telefónico, por chat y/o correo electrónico en relación con la
instalación, configuración y solución de conflictos de los certificados digitales, como
mínimo de lunes a viernes de 8:00 am a 6:00 pm. El soporte técnico debe ser
proporcionado por el contratista durante la vigencia de los certificados que emita.
00000.13
Carrera7 N°. 26-20 Piso 18, Edificio Seguros Tequendama / Tel. 3790300 Bogotá, Colombia
certicámara.validez y seguridad jurídica electrónica
Otorgar un cupo de mínimo una reposición gratuita a cada certificado digital emitido. Dicha
reposición debe abarcar al menos el tiempo restante de suscripción del certificado inicial
(debe tenerse en cuenta que el tiempo de vigencia es de 1 año a partir de la emisión y
entrega al funcionario). Solo cuando proceda la reposición de certificados digitales
vigentes que ya cuenten con un dispositivo criptográfico en funcionamiento, el certificado
puede ser emitido en archivo electrónico P12 para ser instalado en el dispositivo existente,
previamente entregado por el contratista con la asignación del certificado inicial. Esta
reposición procederá por perdida de clave o rotación de funcionarios.
Entregar los certificados mediante envío por correo especializado que será asumido por
el contratista.
Custodia de los certificados digitales emitidos. Los certificados digitales que a la fecha de
finalización del plazo de ejecución del contrato no hayan sido asignados a usuarios,
estarán en custodia por el contratista hasta tanto sea asignado el último TOKEN al usuario
final de la PROCURADURÍA GENERAL DE LA NACIÓN de acuerdo a las necesidades.Para tal efecto, el supervisor y el contratista dejarán constancia de la custodia en acta, en
la cual se aclarará que la vigencia de estos certificados digitales se contará a partir de su
asignación.
Dirección: Carrera 7 No 26-20 piso 19
Número de teléfono: 3790300
ogotá
00000.1.4
Carrera7 N°. 26-20 Piso 18, Edificio Seguros Tequendama / Tel. 3790300 Bogotá, Colombia
certicámara
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 1 de 60
Por Introducción
1.1 Declaración de Prácticas de Certificación
Este documento presenta la Declaración de Prácticas de Certificación (DPC) que establece las normas y condiciones generales de los
servicios de certificación que presta la Sociedad Cameral de Certificación Digital Certicámara S.A. con su certificado raíz válido hasta el
Martes, 02 de Abril de 2030 04:42:02 p.m. y cuyo serial se identifica con el número hexadecimal 07 7e 52 93 7b eO 15 e3 57 fO 69 8c cb
ec 0c, en relación con la gestión de la información para el proceso de verificación y emisión de Certificados digitales, las condiciones
aplicables por tipo de producto y/o servicio, expedición, uso, revocación, las políticas de seguridad, controles técnicos, los mecanismos
de información, difusión, servicio al cliente, entre otras.
El certificado raíz será utilizado exclusivamente para la emisión de certificados de autoridades de certificación subordinadas y lista de
certificados de autoridades subordinadas intermedias revocadas, los certificados de CA subordinada a su vez emitirán los certificados de
entidad final, los cuales utilizarán los clientes del servicio de certificación digital de Certicámara.
La DPC está dirigida a todas aquellas personas naturales o jurídicas, solicitantes, suscriptores, en general a usuarios de los certificados
digitales y terceros que confíen en ellos como evidencias jurídicas y probatorias, o en el ámbito que sean implementados, en cumplimiento
de la Ley 527 de 1999, Decreto 1747 de 2000 y Circular Única de la Superintendencia de Industria y Comercio título V - capítulo octavo.
La actualización y/o modificación de la Declaración de Prácticas de Certificación, se realizará a través del procedimiento establecido para
estos casos, que se basa en que cualquier cambio o adecuación sobre el documento deberá ser revisado y analizado por los integrantes
del Comité de Seguridad de Certicámara S. A., y su aprobación final está a cargo del Gerente General de Certicámara S. A. Se deberá
formalizar mediante acta de comité de Seguridad. El Oficial de Seguridad de la Información es el responsable por solicitar al Analista WEB
y Multimedia la publicación de la nueva versión en el sitio Web: https://web.certicamara.com/marco-legal/declaracion-de-practicas-de-
certificaclon/.
1.2 La Sociedad Cameral de Certificación Digital Certicámara S.A
La Sociedad Cameral de Certificación Digital Certicámara S.A., en adelante Certicámara, es una sociedad anónima constituida por las
cámaras de comercio del país con el objetivo de prestar los servicios de certificación digital.
Certicámara es una Entidad de Certificación Digital Abierta de carácter esencialmente Empresarial, que tiene como propósito
fundamental proporcionar las herramientas necesarias para que los empresarios y demás usuarios de Internet del país puedan realizar
Negocios Electrónicos con seguridad Jurídica.
Certicámara tiene su domicilio principal en la ciudad de Bogotá, se encuentra inscrita en el Registro Mercantil bajo el número de matrícula
No. 1079279, y tiene autorización para prestar los servicios de certificación digital abierta de la Superintendencia de Industria y Comercio.
1.3 Protección De Los Derechos De Propiedad Intelectual
Por medio de la presente disposición se establece que toda la información contenida en la Declaración de Practicas de Certificación -DPC-
, pertenece única y exclusivamente a la Sociedad Cameral de Certificación Digital Certicámara S.A., de tal forma que esta se reserva todos
los Derechos relacionados con la propiedad intelectual del presente documento (DPC), incluyendo la información, técnicas, modelos,
políticas internas, procesos y procedimientos, de acuerdo a la normatividad nacional e internacional relacionada con la materia.
0000015
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBUCA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de 51
Comité de SI
Gerente General
Página 3 de 60
1.4.5 Tercero Idóneo
Persona natural o Jurídica, que se considera idónea y que podrá estar a cargo, de forma segura y confiable para el suscríptor, del
procedimiento de la generación de las claves pública y privada. Garantizando con ello la seguridad de que nadie distinto del suscriptor
conocerá dichas claves, de conformidad con los términos establecidos en esta Declaración de Prácticas de Certificación y siguiendo en
todo momento las instrucciones de Certicámara, cumpliendo los requerimientos de las auditorías internas y extemas que garantizan el
aseguramiento de este mecanismo, sin embargo la generación del par de llaves de los suscriptores está a cargo del software de la CA.
1.4.6 Solicitante
Persona natural o jurídica que solicita la expedición de un certificado digital a nombre propio, o de terceros, o en nombre y representación
legal de una persona jurídica.
1.4.7 Suscriptor
Es aquella persona, natural o jurídica, que figura en el certificado digital como titular del mismo, según se deriva de la Práctica de
Certificación establecida para cada uno de ellos.
1.4.8 Entidades de registro:
Son dependencias designadas por Certicámara para realizar recepción de solicitudes, validación de información y aprobación de emisión
de los certificados digitales, cumpliendo con lo establecido en las normas legales colombianas vigentes para autoridades de certificación.
Declaración de prácticas de certificación y parámetros establecidos en los principios de Web Trust.
La autoridad local de registro se encuentra en la ciudad de Bogotá, el encargado de la autoridad de registro central envía la información
al servidor de autoridad de registro de la PKI para el procesamiento y emisión de certificados digitales.
1.5 Suministro del Certificado Digital a los suscriptores por medio de operador logístico
1.5.1 Cubrimiento
La entrega de los certificados digitales se realizara de conformidad a la matriz de cubrimiento del servicio de entrega personalizada del
operador logfstico que tenga contrato vigente con Certicámara para efectuar esta tarea o mediante entrega directa por parte del
funcionario del área logística de Certicámara, cumpliendo con los requerimientos de seguridad necesarios para garantizar que la entrega
es personal y que se mantiene en todo momento confidencialidad de la llave privada del certificado del suscriptor.
Los certificados digitales serán enviados a través del operador logístico al destino diligenciado en el formulario de solicitud o podrán ser
reclamados en las instalaciones de Certicámara Bogotá. Cali o Bucaramanga previa información del solicitante. Para los destinos que no
cuentan con entrega puerta a puerta en la modalidad de entrega personalizada, Certicámara contactará al solicitante para acordar el
punto de servicio del operador logístico, donde el solicitante o un tercero autorizado por él pueda acercarse a reclamar el certificado
digital.
Requisitos de entrega
La entrega se realiza en cualquiera de los eventos previa identificación del solicitante; ante la imposibilidad de entrega personal del
certificado digital, el solicitante debe autorizar a un tercero para recibirlo a través de una carta de autorización firmada por el solicitante,
anexando copia del documento de identificación del solicitante y del tercero autorizado. La guía del operador logístico servirá como
evidencia del acuse de recibo del certificado de firma digital. En los eventos que exista por parte de la entidad contratante un coordinador
encargado de la administración de los certificados digitales, este podrá recibir y distribuir los certificados previa validación de Certicámara
S.A.
Para la entrega del dispositivo vacío (Token) no se requiere previa autorización del solicitante para ser entregado a un tercero.
1.5.2 Tiempo de entrega y gestión
A nivel urbano y ciudades principales el tiempo de entrega desde la emisión del certificado hasta la entrega al solicitante, será
aproximadamente de dos (2) días hábiles; ante la imposibilidad de ubicar al solicitante o tercero autorizado dicho termino podrá ser de
cinco (5) días hábiles.
0000016
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
L Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 5 de 60
• Toda parte confiante del certificado digital deberá:
o Verificar la contabilidad de la firma digital del suscriptor, así como la de Certicámara y cualquiera otra que figure en
los certificados digitales, según lo establecido en esta Declaración de Prácticas de Certificación.
o Verificar que el certificado digital en el que se pretende confiar no se encuentra registrado en la base de datos de
certificados digitales revocados que Certicámara tiene para el efecto, y que se encuentra publicada en el sitio de
Internet de Certicámara.
o Delimitar con precisión los datos que se encuentran firmados digitalmente en el mensaje que recibe.
La clave pública contenida en un certificado digital es un recurso técnico que puede utilizarse como un medio para CIFRAR O ENCRIPTAR
los mensajes de datos que se envían, de tal manera que únicamente el tenedor de la clave privada puede DESENCRIPTAR dicho mensaje y
acceder a dicha información. Si la clave privada se pierde o se destruye, la información que haya sido ENCRIPTADA con la clave pública no
podrá ser descifrada. ElSUSCRIPTOR y la PARTE CONFIANTE reconocen y aceptan que la utilización de la clave pública del suscriptorpara
ENCRIPTAR documentos es su exclusiva responsabilidad, y que perderán toda la información que se encuentre ENCRIPTADA si la clave
privada se pierde o destruye. Certicámara no asume ninguna responsabilidad por este concepto.
• Si durante el periodo de vigencia parte o toda la información contenida en el certificado digital pierde actualidad o validez, el
suscriptor deberá iniciar el procedimiento de revocación del mismo de conformidad con lo establecido en la sección de
Revocación de certificados digitales de esta Declaración de Prácticas de Certificación.
• Los certificados digitales deberán utilizarse tal y como son suministrados por Certicámara.
• Los certificados digitales deberán ser retenidos indefinidamente en la base de datos, independiente del estado en que se
encuentren.
• Los certificados digitales pueden ser utilizados con los siguientes propósitos:
o Identificación: El suscriptor del certificado digital puede identificarse como persona natural y adicionalmente puede
vincularlo con una cualidad o condición que la entidad de certificación verifica al momento de emitir el certificado
digital, demostrando el acceso a la clave privada asociada con la clave pública que se incluye en el certificado digital.
o Integridad: El uso de la Infraestructura de Clave Pública le permite comprobar a una parte confiante que un mensaje
de datos recibido no ha sido alterado entre el envío y la recepción del mismo ni en ningún otro momento.
o No repudio: La persona que recibe un mensaje de datos firmado digitalmente y respaldado por un certificado digital
permite que, cumplidos todos los requisitos de procedimiento del Sistema de Certificación Digital, el suscriptor no
pueda negar el envío de dicho mensaje de datos.
Adicionalmente, si así lo dispone el suscriptor, se podrá utilizar el certificado digital para lograr el siguiente atributo:
o Confidencialidad: La clave pública del suscriptor puede ser usada para cifrar todos los documentos que se le envían,
impidiendo que terceras personas tengan acceso a las comunicaciones que se transmiten a través de comunicaciones
electrónicas abiertas. LA UTILIZACIÓN DE LA CLAVE PÚBLICA POR PARTE DEL SUSCRIPTOR PARA ENCRIPTAR LA
INFORMACIÓN DEBERÁ EN TODO CASO AJUSTARSE A LAS PRESCRIPCIONES LEGALES COLOMBIANAS O DE CUALQUIER
OTRO PAÍS DEL MUNDO EN DONDE SE UTILICE EL SISTEMA DE CERTIFICACIÓN DIGITAL EN MATERIA DE TECNOLOGÍAS
DE INCRIPCIÓN DE INFORMACIÓN. A pesar de ser posible su utilización para el cifrado de datos, Certicámara no se
responsabiliza por esta actividad, debido a que, por motivos de seguridad, la entidad de certificación no guarda copia
de la clave privada del Suscriptor. No se garantiza, por tanto, la recuperación de los datos cifrados en caso de pérdida
de la clave privada por parte del Suscriptor, el Suscriptor o el Tercero que confía lo hará, en todo caso, bajo su propia
responsabilidad.
00000.17"
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 7 de 60
1.8 Definiciones
1.8.1 Certificados digitales
Los certificados digitales son archivos digitales en los que Certicámara realiza ciertas declaraciones, respecto de la identidad del suscriptor
del servicio, basada en la información que suministra el suscriptor y en procedimientos propios de verificación. Un certificado digital
contiene la información esencial que le permite a una persona que lo recibe a través de un medio electrónico conocer la identidad del
remitente del mismo.
Todos los certificados digitales que Certicámara expide son firmados digitalmente por ella. La persona que lo recibe puede tener la
seguridad que el mismo no ha sido alterado y que es efectivamente Certicámara quien lo ha expedido.
1.8.2 Las Entidades de Certificación Digital
Las Entidades de Certificación Digital son TERCEROS DE CONFIANZA que se dedican a la prestación de servicios de certificación digital, a
través de un Sistema de Certificación Digital. Los servicios de certificación digital brindan seguridad a las comunicaciones que se realizan
en redes abiertas, como por ejemplo Internet, mediante la expedición de certificados digitales en los que ofrecen Información a los
usuarios sobre la persona con la que se están comunicando.
Para emitir los certificados digitales las Entidades de Certificación Digital utilizan la Infraestructura de Clave Pública (PKI, por sus siglas en
inglés), que es el conjunto de elementos tecnológicos que, mediante la utilización de un par de claves criptográficas, una privada que solo
posee el suscriptor del servicio y una pública que se incluye en el certificado digital, logran:
1. Identificar a quien envía una comunicación.
2. Impedir que terceras personas puedan observar los mensajes que se envían a través de medios electrónicos.
3. Impedir que un tercero pueda alterar la información que es enviada a través de medios electrónicos.
4. Evitar que el suscriptor del servicio de certificación digital que envió un mensaje electrónico pueda después negar dicho envío.
1.8.3 Autoridad de Certificación Raíz de Certicámara
La Autoridad de certificación raíz (AC) es la autoridad de certificación Raíz de la Infraestructura de Clave Pública de Certicámara cuya
función principal es emitir los certificados digitales a su plataforma de certificación digital. Donde un certificado digital es un documento
electrónico que asocia la identidad de un sujeto (entidad, individuo, dispositivo, etc.) con su correspondiente clave pública y uno o más
atributos. El caso específico de un certificado raíz, se corresponde a un certificado que ninguna entidad de confianza superior firma
digitalmente como raíz, es decir posee un certificado auto firmado, y es a partir de allí, donde comienza la cadena de confianza. Este
proceso de auto firmado hace que los campos del Certificado Raíz cumplan con los estándares internacionales y aplicables que garantizan
la interoperabilidad.
Entonces la AC Raíz dispone de un certificado auto firmado con su clave privada, con el que firma los certificados de clave pública de la
plataforma de certificación de Certicámara, que a su vez emplean sus claves privadas, para firmar los certificados de los suscriptores
finales, de modo que toda la jerarquía se encuentra cubierta por la confianza de la AC Raíz.
Los certificados digitales de clave pública son generados de acuerdo al estándar X.509 versión 3 (1996). El X.509 es el estándar
fundamental que define la estructura del certificado de clave pública. El X.509 es el sector de estandarización de Telecomunicación de la
Unión Internacional de Telecomunicaciones (Internacional Telecomunications Unión-Telecomunications, ITU-T) y el estándar de formato
de certificado de la Organización for Standarization, (ISO).
La arquitectura general, de la certificación digital de Certicámara es la siguiente: La arquitectura jerárquica parte de la Raíz, ancla de la
Cadena de Confianza de la certificación digital, llamada Autoridad de Certificación (AC) Raíz. No existe otra AC que pueda firmar el
certificado de la AC Raíz. Este es el único caso, en el que la AC Raíz crea un certificado auto firmado por sí misma.
0000018
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 9 de 60
• Para la verificación de estado de revocación de certificados OCSP
o WEB:
http://ocsD.certicamara.com
http://ocsp.certicamara.co
A través de esta URL el usuario no se puede consultar directamente la revocación de un certificado, para esto se debe
disponer de un Cliente OCSP que cumpla la RFC2560. Si el usuario no cuenta con este Cliente OCSP, deberá descargar
la lista completa de los certificados revocados (CRL).
El repositorio público de la AC raíz no contiene ninguna información confidencial o privada.
2.2 Publicación
Es obligación para la Entidad de Certificación publicar la información relativa a sus prácticas, sus certificados y el estado actualizado de
dichos certificados. Las publicaciones que realice Certicámara, de toda información clasificada como pública, se anunciará en su respectiva
página Web de la siguiente manera:
• La lista de Certificados Revocados (CRL), se encuentra disponible en formato CRL V2, en el repositorio de la AC raíz.
• Las Políticas de Certificados de la AC raíz, se podrán ubicar en la versión actualizada del presente documento.
• Todas las versiones del presente documento son públicas y se encuentran disponibles en el sitio Web de la AC raíz
https://web.certicamara.com/marco-legal/declaracion-de-practicas-de-certificacion/, en formato PDF.
• Las llaves públicas de los certificados emitidos por la AC subordinada se encuentran disponibles en el repositorio público LDAP,
en formato X.509 v3 y en la dirección https: //ssl.certicamara.com/WebSite4LDAP/Default.aspx, los cuales podrán ser
consultados por un parámetro de búsqueda.
• Los datos de contacto de Certicámara en la dirección https://web.certicamara.com/contactenos/directorio-telefonico-de-
sedes/.
• Los manuales de operaciones de la AC raíz y toda la información considerada relevante a los certificados emitidos se encuentra
en la dirección https://web.certicamara.com/soporte-tecnico/manuales-de-soporte-tecnico/.
• Estado de revocación de certificados OCSP, se encuentra disponible para su consulta vía web en la dirección
http://ocsp.certicamara.com v http://ocsp.certicamara.co.
oooom?
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicamara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 11 de 60
3 Identificación y autenticación
3.1 Registros de nombres
3.1.1 Tipos de nombres
La AC Raíz, sólo genera y firma certificados con tipos de nombres acordes al estándar X. 500. Para la AC raíz:
El ON de la AC raíz está formado por los siguientes atributos:
CN = AC Certicámara S.A.
O = Sociedad Cameral de Certificación Digital - Certicámara S.A.
C=CO
El nombre alternativo (AN) de la AC raíz está formado por los siguientes atributos:
CN=AC Certicámara S.A.
O = Sociedad Cameral de Certificación Digital - Certicámara S.A.
C=CO
Certicámara establece en esta política la emisión de diferentes tipos de certificados. Cada tipo de certificado se identificara por un OÍD
(Object Identifier) único, incluido en el certificado como identificador de política, dentro de la extensión X.509 Certifícate Policies.
Certificado tipo I - Certificados para *
(OÍD política 2.5.862.1.2.)
Este certificado lo genera la Entidad de Certificación de primer nivel para su identificación, es el certificado raíz auto firmado de la
infraestructura de clave pública de Certicámara. El uso de este certificado está enmarcado en las actividades de la AC raíz.
3.1.2 Necesidad de que los nombres sean significativos
Las políticas definidas, garantizan que los nombres distintivos (DN) de los certificados son suficientemente significativos para vincular la
clave pública con una identidad.
3.1.3 Interpretación de formatos de nombres
Las reglas utilizadas para la interpretación de los nombres distinguidos en los certificados emitidos están descritas en la ISO/IEC 9595
(X.500) Distinguished Ñame (DN). Adicionalmente todos los certificados emitidos utilizan codificación UTF8 para todos los atributos, según
la RFC 3280 ("Internet X.509 Public Key Infrastructure Certifícate and Certifícate Revocation List (CRL) Profile").
3.1.4 Unicidad de los nombres
La AC raíz define como campo DN (Distinguished Ñame) del Certificado de Autoridad como único y sin ambigüedad. Para ello se incluirá
como parte del DN, específicamente en el campo CN, el nombre o razón social del titular del certificado. Por lo tanto, la unicidad se
garantiza mediante la confianza sobre la unicidad de los nombres mercantiles en el registro mercantil nacional.
3.1.5 Resolución de conflictos relativos a nombres
Certicámara no actúa como arbitro o mediador, ni resuelve ninguna disputa relativa a la titularidad de nombres de personas u
organizaciones, nombres de dominio, marcas o nombres comerciaies, etc. Así mismo, este organismo se reserva el derecho de rechazar
una solicitud de certificado debido a conflicto de nombres.
0000020
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 13 de 60
4 El ciclo de vida de los certificados
4.1 Solicitud de certificados
Los procedimientos operativos establecidos por Certicámara para la acreditación serán responsabilidad de los aspirantes a la acreditación.
Este proceso se puede llevar a cabo de forma manual dirigiéndose ante las oficinas de Certicámara, a través del sistema automatizado de
solicitud de productos y servicios visitando la dirección electrónica:
Https://solicitudes.certicamara.com/ssps/Solicitudes/AceptoLosTerminos.aspx, o a través de cualquier otro medio electrónico que
disponga Certicámara, bien sea a través de su página web o de la de un tercero, dentro del desarrollo de un proyecto.
La documentación física entregada por el solicitante a Certicámara, será almacenada en archivo físico durante 6 meses y en digital por un
periodo de 10 años, La información del solicitante no será publicada por Certicámara a no ser que se tenga el consentimiento explícito
del suscriptor.
"Los usuarios que hacen uso del sistema de solicitud de productos y servicios suscriben de manera electrónica mediante aceptación de
términos, las condiciones del servicio, especificadas en la presente DPC y en el contrato de prestación de servicios de certificación digital."
Una vez aprobada la solicitud por los sistemas de verificación de Certicámara, el solicitante presenta las garantfas necesarias para obtener
la acreditación como suscriptor de Certicámara, en la cadena de confianza y pasa a ser un suscriptor.
La acreditación del suscriptor establece que opera en conformidad con las políticas y procedimientos establecidos por Certicámara.
• Certicámara se reserva el derecho de solicitar documentos adicionales a los que sean exigidos en el formulario de solicitud o
fotocopias de los mismos cuando asf lo considere necesario para verificar la identidad o cualquier calidad del solicitante, así
como de exonerar de la presentación de cualquiera de ellos cuando la identidad del solicitante haya sido suficientemente
verificada por Certicámara por otros medios. Certicámara se reserva el derecho de exigir que las fotocopias de los documentos
solicitados sean auténticas. Sin limitarse a ellos, Certicámara podrá exigir adicionalmente:
• Referencias comerciales de la empresa.
• Referencias personales del solicitante.
• Certificados laborales.
• Certificaciones bancarias.
• Licencia de conducción válida.
• Certificado Judicial.
• Pasaporte vigente.
• Libreta militar.
• Documento de afiliación al Régimen de Seguridad Social en Salud.
• Documento de afiliación a la empresa Administradora de Riesgos Profesionales.
• Acta de Nombramiento y/o Posesión.
• Certificaciones de Autoridades de Inspección, Vigilancia y Control.
La solicitud de un servicio de certificación digital puede radicarse en cualquiera de las Entidades de Registro que Certicámara
posee para la prestación del servicio, o puede efectuarse a través de los canales electrónicos o físicos que para el efecto disponga
Certicámara.
Certicámara se reserva el derecho de exigir requisitos adicionales a los estipulados en la Práctica de Certificación, cuando así
lo considere necesario para la verificación de la identidad de las personas o para un adecuado cumplimiento de los servicios de
certificación digital.
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point. 0000021
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 15 de 60
4.3.5 Notificación de la emisión del certificado por la AC a otras Autoridades
Certicámara notificará a las entidades, organismos del gobierno y empresas privadas la emisión de un certificado por medio de la página
Web de Certicámara.
4.4 Uso del par de claves y del certificado
El uso de los certificados emitidos por la AC raíz y la AC Subordinada son los previstos en la legislación Colombiana y en sus reglamentos.
4.4.1 Uso de la clave privada del certificado por la ENTIDAD SUBORDINADA
El titular sólo puede utilizar la clave privada y el certificado para los usos autorizados en esta DPC. Certicámara emite certificados con los
campos de uso de clave privada limitados a firma de certificados y firma de CRL.
4.4.2 Uso de la clave pública y del certificado por los terceros de buena fe
Los terceros de buena fe sólo pueden depositar su confianza en los certificados para aquello que establece esta DPC y la Ley.
Los terceros de buena fe pueden realizar operaciones de clave pública de manera satisfactoria confiando en el certificado emitido por la
cadena de confianza. Así mismo, deben asumir la responsabilidad de verificar el estado del certificado utilizando los medios que se
establecen en esta DPC.
4.5 Servidos de rekey de claves privadas y administración de llaves
Certicámara no presta los servicios de rekey de claves privadas y administración de llaves de sus suscriptores.
4.6 Renovación de certificado con cambio de clave
Certicámara notifica con al menos quince días calendarlo de anticipación a sus suscriptores la terminación de la vigencia de su certificado
digital. Esta notificación puede realizarse por correo electrónico a la dirección de correo electrónico proporcionada por el suscriptor o por
cualquier otro medio idóneo de comunicación cuando Certicámara lo considere pertinente. Aquellos suscriptores cuyo Certificado Digital
se encuentren almacenados en dispositivo criptográfico, serán notificados adicionalmente por el software controlador del dispositivo, el
cual le permitirá consultar su vigencia en cualquier momento.
Sin embargo, no es obligación de Certicámara garantizar la efectividad de la notificación sobre la terminación de la vigencia de su
certificado o confirmar la recepción de la misma, pues es una obligación del Suscriptor conocer la vigencia de su certificado digital y
adelantar los trámites de renovación ante Certicámara con antelación al vencimiento de su certificado, teniendo en cuenta que esta
solicitud deberá surtir el proceso de verificación de datos, conciliación de pago y aprobación por parte de Certicámara, proceso que
Certicámara adelantará según lo establecido en los acuerdos de nivel de servicio establecidos con el suscriptor y dependiendo de la calidad
y veracidad de la información proporcionada por el suscriptor.
Es importante destacar, que Certicámara notificará a través del correo electrónico proporcionado por el Suscriptor, además del
vencimiento del certificado digital, otros procesos o procedimientos como mantenimiento u otros, para lo cual se hace uso de la dirección
de correo electrónico suministrada por el solicitante en el proceso de emisión del Certificado digital, dirección electrónica que será
responsabilidad del suscriptor, y por lo tanto es obligación del suscriptor diligenciar correctamente dicha dirección en el formulario de
solicitud del certificado digital, por primera vez y en su renovación.
4.6.1 Causas para la renovación de un certificado
La causa de la renovación de un certificado por parte del suscriptor es por la caducidad.
4.6.2 Entidad ó suscriptor que puede solicitar la renovación del certificado
Las entidades o suscriptores están autorizados(as) para solicitar la renovación de un certificado con cambio de clave cuando:
• Se encuentre próximo a caducarse el servicio y el suscriptor desee continuar utilizando un certificado digital que acredite las
condiciones que le fueron aprobadas en el certificado digital.
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 17 de 60
• Por el compromiso de la clave privada de Certicámara o de su sistema de seguridad de manera tal que afecte la confiabilidad
del certificado digital, por cualquier circunstancia, incluyendo las fortuitas.
• Por el cese de actividades de Certicámara, salvo que los certificados digitales expedidos sean transferidos a otra Entidad de
Certificación.
• Por orden judicial o de entidad administrativa competente.
• Pérdida, inutilización o compromiso de la seguridad del soporte físico del certificado digital que haya sido debidamente
notificada a Certicámara.
• Por la terminación del contrato de suscripción, de conformidad con las causales establecidas en el contrato y en esta Declaración
de Prácticas de Certificación.
• Por cualquier causa que razonablemente induzca a creer que el servicio de certificación haya sido comprometido hasta el punto
que se ponga en duda la confiabilidad del certificado digital.
• El manejo indebido por parte del suscriptor del certificado digital.
• Por el Incumplimiento del suscriptor o de la persona jurídica que representa o a la que está vinculado a través del Contrato del
servicio de Certificación Digital proporcionado por Certicámara.
• Por reporte de cartera vencida ocasionado por el pago no efectuado de los servicios que le está proporcionando Certicámara al
suscriptor o a la persona jurídica que representa. En este supuesto de revocación Certicámara realizará una suspensión del
certificado el cual será identificado dentro de la CRL en el campo de "Código de razón de la lista de revocación de certificados"
con el valor "Posesión de certificado (6)" ó en inglés "Certifícate Hold (6)", con lo cual se podrá interpretar que el certificado se
encuentra suspendido y podrá ser rehabilitado por Certicámara dependiendo de la actualización de reporte de cartera vencida.
Se aclara que Certicámara no ofrece el servicio de suspensión de certificados a los suscriptores.
• Por la concurrencia de cualquier otra causa especificada en la presente Declaración de Prácticas de Certificación.
CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DEREVOCACIÓN ESTABLECIDAS EN ESTE APARTADO. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOSDIGITALES TANSOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS.
EL SUSCRIPTOR Y LA PARTE CONFIANTE TIENEN LA OBLIGACIÓN DE INICIAR EL PROCEDIMIENTO DE REVOCACIÓN DEL CERTIFICADO
ESTA OBUGACIÓN LOS HACE RESPONSABLES DE LOS PERJUICIOS OCASIONADOS POR ESTA OMISIÓN.
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point. fi D fl D H P 3
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0015-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 19 de 60
4.8.4 Revocación
Si Certicámara lo considera necesario realizará, personalmente o por intermedio de terceras personas, las averiguaciones y gestiones
pertinentes para comprobar la existencia de la causal de revocación que sea invocada. Dichas gestiones podrán incluir la comunicación
directa con el suscriptor y la presencia física del tercero que invoca la causal de revocación.
Si la causal es comprobada, Certicámara incorporará el certificado digital en la Base de datos de certificados digitales revocados como
certificado digital revocado. De lo contrario, dará por terminado el proceso de revocación del certificado digital. Se aclara que
Certicámara no ofrece el servicio de suspensión de certificados a los suscriptores.
Certicámara debe Informar al suscriptor, dentro de las 24 horas siguientes, la suspensión del servicio o revocación de su (s) certificado
(s), de conformidad con la normatividad vigente.
Si el suscriptor desea obtener un nuevo certificado digital, debe diligenciar nuevamente el formulario de prestación de servicios de
certificación digital. Puede enviar dicho documento físicamente, a través de correo ordinario o digitalmente a través de correo electrónico,
siempre y cuando este último vaya firmado digitalmente por el representante legal del solicitante.
4.8.5 Revocación del certificado digital por parte del usuario
El usuario de los servicios de certificación digital podrá revocar el certificado de firma digital asociado a su nombre, haciendo uso de la
interfaz que Certicámara dispone para este fin, interfaz en la cual se verificará la identidad del usuario mediante la aplicación de un test
con información relacionada a su historial crediticio y financiero.
El sistema notificará automáticamente al correo electrónico del usuario, la revocación efectiva del certificado de firma digital.
Certicámara puede suspender los certificados de firma digital al término de la vigencia del contrato de prestación de servicios de
certificación digital, en virtud del tiempo que haya sido contratado por parte del suscriptor. Certicámara tendrá la responsabilidad de
reactivar un certificado suspendido, una vez haya sido renovado el contrato de prestación de servicios de certificación digital mediante el
pago de una nueva vigencia y en los términos que establece la DPC para la suspensión y des-suspensión del servicio. Se aclara que
Certicámara no ofrece el servicio de suspensión de certificados a los suscriptores.
Un tercero podrá solicitar la revocación de un certificado de firma digital mediante comunicación al oficial de revocaciones al correo
electrónico [email protected], cuando conozca de la ocurrencia de una de las causales de revocación. El oficial de
revocaciones tiene la potestad de suspender dicho certificado mientras valida la veracidad de la causal de revocación y dependiendo del
resultado de la validación, podrá reactivar o revocar el certificado de firma digital.
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.0000HP4
certicámara
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 21 de 60
4.9.3 Características adicionales
Para hacer uso del Servicio de validación en linea consultando las direcciones httD://ocsp.certicamara.com v http://ocsD.certicamara.co.
es responsabilidad del tercero de buena fe disponer de un Cliente OCSP que cumpla la RFC 2560.
4.10 Finalización de la suscripción
La finalización de la suscripción de un certificado se produce en los siguientes casos:
• Revocación del certificado por cualquiera de las causas de revocación.
• Caducidad de la vigencia del certificado.
4.11 Custodia y recuperación de la llave
4.11.1 Prácticas y políticas de custodia y recuperación de la clave
La clave privada de la AC raíz se custodia por un dispositivo criptográfico HSM. Para el acceso al repositorio de claves privadas se usa el
esquema umbral limite (k,n) de Shamir tanto en software como en dispositivos criptográficos.
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
00000.55
c
certicamara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 23 de 60
5.1.4 Exposición de agua
La instalación de la AC Raíz y AC Subordinada, está protegida para evitar las exposiciones al agua de los mismos, mediante detectores de
humedad, inundación y otros mecanismos de seguridad apropiados al medio.
• Protección y prevención de incendios
La instalación de la AC Raíz y AC Subordinada, cuenta con sistema de detección y extinción inteligentes. Está conformado por:
o Panel de control inteligente.
o Una bomba de gas ECARO 25, no daña la capa de ozono y no contamina el ambiente,
o Boquillas de extensión en el techo,
o Detectores de incendios en el techo y techo falso.
o Sistema de pre alarma. Activa los detectores de incendios para detectar, controlar y localizar el evento. Si dos detectores
de incendios son activados de manera simultánea el sistema procede a descargar el gas transcurridos treinta segundos
del estado de alarma.
o Activación manual de bombona de gas. Cuando falle la activación automática de la bombona, se cuenta con una palanca
debidamente identificada.
o Posee un botón para realizar la descarga de gas ECARO 25, en caso de falla del sistema.
5.1.5 Sistemas de almacenamiento
La información relacionada a la infraestructura de la AC rafz y AC Subordinada se almacenan de forma segura en armarios ignífugos y cajas
fuertes, según la clasificación de la información en ellos contenida.
Estos sistemas de almacenamientos se encuentran en desiguales entidades para eliminar riesgos asociados a una única ubicación. La AC
Rafz y AC Subordinada, cuenta con lugares de almacenamiento interno y externo.
5.1.6 Eliminación de residuos
La AC Raíz y la AC Subordinada mantienen mecanismos de revisión de todos los materiales desechables donde se almacena información
(disquetes, papel, películas, etc.) son chequeados, antes de su eliminación o reutilización, con el objeto de comprobar si contienen
información sensible, siendo físicamente destruidos, salvo que puedan reutilizarse como medio de soporte, en cuyo caso se elimina la
información de manera segura.
5.1.7 Almacenamiento de coplas de seguridad
Todas las copias de seguridad son almacenadas en entidades distantes a la AC Raíz y AC Subordinada. Estas dependencias están protegidas
con medios y mecanismos de seguridad, apegadas a buenas prácticas internacionales de seguridad.
Las copias de seguridad totales incluyen bases de datos, aplicaciones, archivos de transacción y logs de su sistema KeyOne y SSPS los
cuales serán conservados por Certicamara por un periodo de tres meses.
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
0000n?6
cerücámara
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 25 de 60
Oficial de Seguridad de la Información: Debe cumplir y hacer cumplir las políticas de seguridad de la AC rafz y AC
Subordinada, y debe encargarse de cualquier aspecto relativo a la seguridad: física, de las aplicaciones, de la red, etc.
Será el encargado de gestionar los sistemas de protección perimetrai y en concreto de la gestión de las reglas de los
Firewails. Debe encargarse de la instalación, configuración y gestión de los sistemas de detección de intrusiones (IDS)
y de las herramientas asociadas a éstos. Es el responsable de resolver o hacer que se resuelvan las incidencias de
seguridad producidas, de eliminar vulnerabilidades detectadas, etc. Es el responsable de la gestión y control de los
sistemas de seguridad física del DPC, de los sistemas de control de acceso, de los sistemas de acondicionamiento
ambiental y de alimentación eléctrica. Debe encargarse de explicar los mecanismos de seguridad al personal que deba
conocerlos, de concienciar a todo el personal de la AC raíz y la AC Subordinada, y de hacer cumplir las normas y
políticas de seguridad. Debe establecer los calendarios para la ejecución de análisis de vulnerabilidades, ensayos y
pruebas de los planes de continuidad del servicio y auditorías de los sistemas de información. Debe colaborar con los
Auditores en todo aquello que les sea requerido.
♦ Responsabilidades:
• Constatar la existencia de toda la documentación del ciclo productivo requerida y enumerada.
• Comprobar la coherencia de la documentación con los procedimientos, activos inventariados, etc.
• Comprobar el seguimiento de incidencias y eventos.
• Comprobar la protección de los sistemas: explotación de vulnerabilidades, logs de acceso,
usuarios, etc.
• Comprobar alarmas y elementos de seguridad física.
• Comprobar adecuación a normativa y legislación.
• Comprobar conocimiento de los procedimientos por parte del personal implicado.
• Autorizados a consultar archivos, trazas y logs de auditoría de las entidades de la PKI.
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Polnt.
cerücámara
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 27 de 60
5.3.2 Requerimientos de formación
El personal de Certicámara debe estar sujeto a un plan de formación especifico para el desarrollo de su función dentro de la institución.
Dicho plan de formación incluye los siguientes aspectos:
• Formación en los aspectos legales básicos relativos a la prestación de servicios de certificación.
• Conciencia sobre la seguridad física, lógica y técnica.
• Servicios proporcionados por la Autoridad de Certificación.
• Operación del software y hardware para cada rol especifico.
• Conceptos básicos sobre PKI.
• Declaración de Prácticas de Certificación.
• Gestión de incidencias.
• Procedimientos de seguridad para cada rol especifico.
• Procedimientos de operación y administración para cada rol específico.
• Procedimientos para la recuperación de la operación en caso de desastres.
5.3.3 Requerimientos y frecuencia de actualización de la formación Certicámara.
Se preverá inducciones al personal ante cambios tecnológicos del entorno, introducción de nuevas herramientas o modificación de
procedimientos operativos.
Adicionalmente se llevará a cabo sesiones formativas ante cambios en la Declaración de Prácticas de Certificación u otros documentos
relevantes al funcionamiento, administración y/o gerencia de la AC raíz y AC Subordinada.
5.3.4 Frecuencia y secuencia de rotación de tareas de Certicámara.
Certicámara Implanta rotaciones de trabajo entre los distintos roles, con el objeto de incrementar la seguridad y asegurar la contingencia
de la actividad en caso de ausencia de alguno de los trabajadores.
5.3.5 Sanciones por acciones no autorizadas
Las prácticas del personal de Certicámara definen el procedimiento sancionador para los empleados que incumplen las mismas,
especificando las sanciones por efectuar una acción no autorizada, el uso no autorizado de la autoridad o el uso no autorizado de los
sistemas. En cualquier caso si Certicámara, sospecha de que algún empleado está efectuando una acción no autorizada, automáticamente
suspende su permiso de acceso, con la posibilidad de despedido de la institución.
00000P8
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicamara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 29 de 60
• Configuración de cambios al equipo de la AC Raíz y AC Subordinada, en concreto:
o Hardware
o Software
o Sistema Operativo
o Usuarios
o Perfiles de seguridad
o Privilegios de administrador
o Auditorías
• Acceso físico:
o Acceso del personal al centro de cómputo de datos
o Acceso del personal al sistema
o Conocimiento o sospecha de violación de la seguridad física
• Anomalías inesperadas:
o Fallos en el chequeo de la integridad del software
o Ataques a la red (confirmados o bajo sospecha)
o Fallos en la red
o Fallos en el equipamiento
o Fallos de energía
o Quebrantamientos de la Práctica de Certificación
o Reinicio del Sistema Operativo
• Acciones de los operadores de AC Raíz y AC Subordinada:
o Gestión de cuentas
o Realización de copias de seguridad de las bases de datos
o Almacenamiento de las bases de datos
o Manipulación de ficheros
o Envío al directorio de cualquier documento o archivo
o Acceso a las bases de datos
o Firma de las tablas que utiliza en la aplicación
o Uso indebido de las claves privadas
o Acciones tomadas en respuesta a cualquier solicitud
o Carga de la tarjeta inteligente con certificados
o Envío de las claves al módulo criptográfico
o Los relacionados con la gestión del ciclo de vida de los certificados y CRLs.
5.4.2 Análisis de registros de logs
Certicámara cuenta con una herramienta de análisis de logs, que emite automáticamente alertas al área de Tecnología, con el objeto de
que las posibles fallas o alertas sean validadas y remediadas si se requiere.
Ahora bien, en caso de eventos extraordinarios, la extracción de logs deja trazas de auditoría para su posterior revisión.
5.4.3 Periodo de retención para los logs de auditoría
• El área de Seguridad de la Información custodiará por un tiempo máximo de tres años los logs generados de sistema, seguridad
y aplicación.
• El software de monitoreo de logs guarda adicionaimente en una base de datos todos los registros, que hacen parte del alcance
del procedimiento de Copias de Respaldo.
COPIA CONTROLADA ÜOfíftOOQLa versión aprobada más reciente de este documento se encuentra en Share Point. U U U U ) r. 7
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 31 de 60
• Relacionados con el ciclo de vida de los dispositivos criptográficos (HSM):
o Recepción dispositivos
o Entrada o traslado al lugar de almacenamiento
o Uso de dispositivos
o Desinstalación de dispositivos
o Designación del dispositivo para el servicio o reparación
o Retirada de dispositivos
• Otros:
o Actualización de la DPC
o Modificaciones de las obligaciones contractuales
o Acuerdos de confidencialidad
o Trazas de auditoría
o Accesos y modificaciones de la documentación solicitada por los auditores.
o Convenios suscritos por Certicámara
o Autorización de acceso a los sistemas de información.
5.5.2 Periodo de retención para el archivo
Las trazas de la información suministrada por los suscriptores son conservadas durante un período de dos años.
5.5.3 Protección del archivo
Las medidas de seguridad definidas están destinadas a proteger los archivos de accesos (internos o externos) no autorizados, de modo
que sólo ciertas personas pueden consultar, modificar o eliminar los archivos. Los archivos son almacenados en lugares seguros, con todas
las medias de seguridad necesarias para protegerlos de factores naturales.
5.5.4 Procedimientos de copia de seguridad del archivo
Se realizan dos copias diarias de los ficheros que componen los archivos a retener. Una copia se realiza en local y se almacena en un sitio
seguro dentro del centro de datos principal de la AC Subordinada, el cual cumple con las condiciones ambientales y físicas de seguridad.
La segunda copia de los datos se realiza de forma cifrada y remota, se almacena en el Centro de Datos Alterno, ubicado en un edificio
distinto a la sede principal de la AC Subordinada. Los procedimientos se describen en el documento de políticas y procedimientos de la
AC raíz y AC Subordinada.
5.5.5 Procedimientos para obtener y verificar información archivada
Los eventos registrados están protegidos mediante técnicas criptográficas, de forma que nadie salvo las propias aplicaciones de
visualización y gestión de eventos pueda acceder a ellos. Sólo el personal autorizado tiene acceso a los archivos físicos de soportes y
archivos informáticos, para llevar a cabo verificaciones de integridad u otras.
Esta verificación debe ser llevada a cabo por el Oficial de Seguridad de la Información que debe tener acceso a las herramientas de
verificación y control de integridad del registro de eventos de la PKI. De forma automática se realizan comprobaciones de la integridad de
los archivos electrónicos (Backups), en tiempo de su generación y se crea una incidencia en el caso de errores o comportamientos
imprevistos.
0000H3Ü
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 35 de 60
6.1.7 Hardware/Software de generación de claves
La AC Rafz, genera su par de claves utilizando un módulo de hardware criptográfico (HSM). La autenticación contra el HSM requiere de al
menos 2 de 3 operadores. Este procedimiento sigue el esquema K de N, con el modo no persistente del dispositivo criptográfico. En este
modo es necesario garantizar la conexión física del último juego de tarjetas en el lector del HSM, para abrir la clave privada de la AC Raíz.
La sincronización de los relojes de la CA y la RA se realiza con base en la Hora Legal de La República de Colombia1 tomada directamente
de los patrones de referencia del Instituto Nacional de Metrología -INM, de Colombia, de acuerdo con lo establecido en el artículo 14 del
Decreto 4175 de 2011, por el cual se escindieron unas funciones de la Superintendencia de Industria y Comercio y se creó el Instituto
Nacional de Metrología -INM, a partir del 3 de noviembre del año 2011 esta última institución es la encargada de 'mantener, coordinar y
difundir la hora legal de la República de Colombia, adoptada mediante Decreto 2707 de 1982.2
6.1.8 Generación del par de llaves de los suscriptores
El algoritmo que se utiliza para la generación del par de llaves de los suscriptores es RSA no inferior a 2048 bits usando como función
criptográfica de resumen o hash, el denominado SHAl. Los suscriptores utilizan dispositivos de hardware token USB para generar su llave
privada, los cuales cumplen con el estándar FIPS 140 Nivel 3. En el caso de generación de certificado en formato PKCS#12 se utiliza el
algoritmo RSA no inferior a 2048 bits usando como función criptográfica de resumen o hash, el denominado SHAl, cumpliendo el estándar
FIPS 140 Nivel 1 por el uso de Microsoft Enhanced Cryptographic Provider.
6.1.9 Propósitos de utilización de claves
Los certificados emitidos por la AC Raíz incluyen la extensión Keyusage para restringir el propósito de la clave pública del certificado,
indicando que la claves solo es para:
• Firma certificado
• Firma CRL
6.2 Protección de la clave privada
La clave privada de la AC Raíz, es protegida por un esquema de seguridad generada por un dispositivo criptográfico. Con la finalidad de
mantener el resguardo de las claves privadas del certificado auto firmado, la clave privada nunca se encuentra descifrada fuera del HSM.
Las coplas de seguridad mantienen el secreto de la clave privada de la misma forma en que se resguarda la clave privada original.
6.2.1 Estándares para los módulos criptográficos
El HSM que utiliza la AC Raíz, para generar sus claves es certificado FIPS 140-2 Nivel 3.
La clave pública ha sido almacenada en formato electrónico firmado, de modo que están protegidas de fallos electrónicos y/o problemas
con la potencia eléctrica.
Por lo tanto, la puesta en marcha de una AC implica las siguientes tareas:
• Inicialización del estado del módulo HSM.
• Creación de las tarjetas de administración y de operador.
• Generación de las claves de la AC. Z<A
1 La hora legal de la República de Colombia, según el decreto 2707 de 1982, corresponde al Tiempo Universal Coordinado (UTC) disminuido en 5 horas
2 El Instituto Nacional de Metrología, para dar cumplimiento a sus funciones, opera el patrón de tiempo de la República de Colombia con base en la señal
emitida por el conjunto de relojes atómicos de Cesio 133 ubicados en las instalaciones del INM y el cual fue designado como patrón nacional de tiempo
por el artículo 15 de la resolución 41242 de 2013.
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point. H D D D (1 ^ 2
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 37 de 60
6.2.10 Pérdida de vigencia de los sistemas de cifrado
La siguiente tabla ilustra el tiempo que tomaría encontrar la clave privada para diferentes tipos de atacantes con la tecnología actualmente
existente3:
RSA/DSA
274
384
512
768
2304
Atacante
Individual
Semanas
Siglos
Milenios
Inviable
Inviable
Grupo Pequeño
Días
Décadas
Siglos
Inviable
Inviable
Red Académica
Horas
Años
Décadas
Inviable
Inviable
Gran Compañía
Milisegundos
Horas
Días
Siglos
Inviable
Agencia de
Inteligencia
Microsegundos
Segundos
Minutos
Siglos
Milenios
Las claves que Certicámara entrega a sus suscriptores son llaves de 2048 bits. Como se puede apreciar, con la tecnología y recursos
computacionales actualmente existentes, cualquier intento por descifrar la llave privada de los suscriptores tomaría siglos, haciéndolo en
la práctica imposible.
No obstante lo anterior, si alguna circunstancia, como por ejemplo el descubrimiento de nuevas tecnologías, acarrea un incremento en la
vulnerabilidad de los sistemas de cifrado de Certicámara, ésta tomará tan pronto como le sea posible las medidas necesarias para devolver
la confiabilidad al Sistema de Certificación Digital, incluyendo aquellas que se detallan en esta Declaración de Prácticas de Certificación.
6.2.11 Ranking del módulo criptográfico
El módulo criptográfico utilizado tanto por la AC raíz como por la ENTIDAD SUBORDINADA debe poseer la certificación FIPS140-2 nivel 3.
6.3 Otros aspectos de la gestión del par de claves
6.3.1 Archivo de la clave pública
La clave pública de la AC Raíz y AC Subordinada, es archivada según el formato estándar PKCS#7, por un período de 20 años.
6.3.2 Periodos operativos de los certificados y periodo de uso para el par de claves
El par de claves de la AC raíz tendrá una validez hasta el martes, 02 de abril de 2030. Por otro lado los periodos de operación de los
certificados serán de diez años.
6.4 Datos de activación
6.4.1 Generación e Instalación de datos de activación
Los datos de activación de la AC raíz y AC Subordinada se deben generar y almacenar en tarjetas inteligentes. Su protección se garantiza
mediante un PIN en posesión de personal autorizado.
0000033
3 Tomado de "Digital Certiflcates", de Jala! Feghhi, Peter Williams
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 39 de 60
6.7 Controles de seguridad de la red
La infraestructura tecnológica de la AC rafz y AC Subordinada posee una red con todos los mecanismos de seguridad necesarios para
garantizar un servicio fiable e fntegro. Se utiliza cortafuegos o intercambio de datos cifrados entre redes para garantizar integridad. Por
otro lado se utilizan tecnologías de renuncias y alta disponibilidad para garantizar un funcionamiento confiable y de alto rendimiento.
Adidonalmente la infraestructura debe ser auditada periódicamente por personas internas y externas de Certicámara.
6.8 Controles de Ingeniería de los módulos criptográficos
La AC raíz y AC Subordinada utilizan módulos criptográficos hardware y software disponibles comercialmente desarrollados por terceros.
La AC raíz y AC Subordinada únicamente utiliza módulos criptográficos con certificación FIPS 140-2 Level 3 (nShield Solo 500, nShield
Connect 1500, nShield Connect 6000).
0000034
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 41 de 60
Los siguientes son los campos de los certificados que se emiten a los suscriptores:
• Fecha y hora de firmado
• Nombre del documento
• Asunto
• Entidad Certificadora
• Serial del Certificado
• Thumbprint
• Certificado válido desde
• Certificado válido hasta
7.1.3 Identificadores de objeto (OÍD) de los algoritmos
Los OÍD de los algoritmos criptográficos utilizados por la AC Raíz son:
• mdSwithRSAEncryption (1.2.840.113549.1.1.4)
• SHAlwithRSAEncryption (1.2.840.113549.1.1.5)
• SHA256withRSAEncryption (1.2.840.113549.1.1.11)
7.1.4 Formatos de nombres
El certificado de la AC Rafz contiene como DN, en formato X. 500, los nombres del emisor y titular del certificado en los campos emisor
(issuer) y sujetó (subject).
7.1.5 Restricciones de los nombres
Los nombres contenidos en los certificados están restringidos a distinguished ñames X.500, únicos y no ambiguos.
7.1.6 Identificador de objeto (OÍD) de la política de certificación
La AC rafz tiene definida una política de asignación de OID's dentro de su árbol privado de numeración. El OÍD de ias PC de la ACs rafz es:
2.16.862.1.
7.2 Perfil de la CRL y CRL con extensión crítica
7.2.1 Número de versión
La AC Subordinada, emite las CRLs con formato X. 509 v. 2.
0000035
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicamara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 43 de 60
8 Auditoría de conformidad
8.1 Frecuencia de los controles de conformidad para cada entidad
El sistema de acreditación de la AC rafz y AC Subordinada se someterá a una auditoría interna de forma anual, de acuerdo con el programa
de Auditorías elaborado por Certicámara. De esta manera se garantiza la adecuación de su funcionamiento y operatividad con las
estipulaciones incluidas en esta DPC.
Adiclonalmente Certicámara llevará acabo auditorías internas bajo su propio criterio o en cualquier momento, a causa de una sospecha
de incumplimiento de alguna medida de seguridad o por un compromiso de las claves.
Cada año se llevará a cabo una autoría externa para evaluar el grado de conformidad con los criterios Webtrust para Autoridades de
Certificación de AICPA/CICA.
8.2 Auditores
El auditor será seleccionado en el momento de la realización de cada auditoría.
Cualquier empresa o persona contratada para realizar una auditoría de seguridad sobre AC raíz o las ENTIDADES SUBORDINADAS deberá
cumplir con los siguientes requisitos:
• Adecuada y acreditada capacitación y experiencia en PKI, seguridad y procesos de auditoría de sistemas de información.
• Independencia a nivel organizativo de la autoridad de AC raíz, para el caso de auditorías externas.
8.3 Relación entre el auditor y la entidad auditada
La relación entre el auditor y la entidad auditada se limitará estrictamente a los procesos e información requerida para la auditoría. Por
lo tanto la parte auditada (AC raíz o la ENTIDAD SUBORDINADA) no deberá tener ninguna relación, actual o planificada, financiera, legal,
o de cualquier otra clase que pueda derivar en un conflicto de intereses con el auditor. En el caso de los auditores internos, estos no
podrán tener relación funcional con el área objeto de la auditoría.
8.4 Tópicos cubiertos por el control de conformidad
Son objeto de auditoría todos los requisitos técnicos, funcionales y organizativos entre ellos:
• La DPC utilizada.
• Política de Seguridad de la Información.
• Administración de la AC Raíz y AC Subordinada.
• Consideraciones de Confidencialidad.
• Seguridad Física.
• Modelo de Respaldo.
• Plan de Continuidad del negocio.
• Personal Operativo.0000036
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 45 de 60
9 Certificados digitales que expide Certicámara
Buscando satisfacer las diferentes necesidades que surgen en el contexto del uso creciente de las tecnologías de la información y
Comunicaciones, Certicámara expide diversos tipos de certificados digitales.
9.1 El Certificado de Representación de Empresa/Entidad
Se expide a personas naturales nacionales o extranjeras que se han identificado plenamente ante Certicámara con documento(s) de
identidad válldo(s) y vlgente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s)
expedldo(s) por la autoridad competente de cualquier Estado Extranjero, vinculándolas con la calidad de representante legal de una
persona jurídica o Entidad del Estado.
Los Certificados de Representación de Empresa/Entidad certifican la identidad de una persona natural vinculándola con la representación
legal de una persona jurídica, una Entidad del Estado, o como comerciante persona natural en el ámbito de su actividad profesional o
mercantil.
Los Certificados de Representación de Empresa/Entidad tienen como suscriptor tanto a la persona natural que actúa en nombre y
representación legal de una persona jurídica, como a la persona jurídica representada que figura igualmente en el certificado digital.
Requisitos para su expedición:
• El solicitante debe diligenciar el Formulario de prestación de servicios de certificación digital para el tipo
Certificado de Representación de Empresa/Entidad adjuntando los siguientes documentos:
- Fotocopia del documento de identidad:
• Para ciudadanos colombianos mayores de edad copia de la cédula de ciudadanía, para menores de
edad tarjeta de identidad (en este caso se deberá adjuntar el permiso expedido por el ministerio de
trabajo).
• Para extranjeros pasaporte o cédula de extranjería del suscriptor.
Fotocopia del certificado de existencia y representación legal con una vigencia no mayor a 30 días, donde
conste la vinculación con la empresa o documento equivalente.
En caso de que la entidad que representa no sea privada, adjunte documento que establezca su
nombramiento como representante legal.
0000.137
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 47 de 60
9.3 El Certificado de Profesional Titulado
Se expide a personas naturales nacionales o extranjeras que se han identificado plenamente ante Certicámara con documento(s) de
identidad válido(s) y vlgente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s)
expedido(s) por la autoridad competente de cualquier Estado Extranjero identificándola como persona natural vinculándola a la obtención
de un título profesional debidamente reconocido en la República de Colombia o en un Estado Extranjero, y que hayan obtenido el
correspondiente registro, licencia, colegiatura o tarjeta profesional requerida para el ejercicio de su profesión en la República de Colombia
o en un Estado Extranjero.
Los suscrlptores de este tipo de certificados digitales son las personas naturales que logren acreditar suficientemente, a juicio de
Certicámara, que ha obtenido un titulo profesional debidamente reconocido en la República de Colombia o en un Estado Extranjero, y
que han obtenido el correspondiente registro, licencia, colegiatura o tarjeta profesional requerido para el ejercicio de su profesión en la
República de Colombia o en un Estado Extranjero.
El Certificado de Profesional Titulado no garantiza la calidad, idoneidad del ejercicio profesional del suscriptor.
Requisitos para su expedición
• El solicitante debe diligenciar el Formulario de prestación de servicios de certificación digital para el tipo
Certificado de Profesional Titulado adjuntando los siguientes documentos:
Fotocopia del documento de identidad:
• Para ciudadanos colombianos mayores de edad copia de la cédula de ciudadanía, para menores de
edad tarjeta de identidad (en este caso se deberá adjuntar el permiso expedido por el ministerio de
trabajo).
• Para extranjeros pasaporte o cédula de extranjería del suscriptor.
Fotocopia de Tarjeta Profesional, matrícula profesional, certificación de registro, colegiatura o licencia
otorgada por la entidad o autoridad competente. (Donde aplique) o copia autentica del Diploma o Acta de
grado.
9.4
0000038
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 49 de 60
C
9.7 Certificado digital persona jurídica (entidad-empresa)
El Certificado de Firma Digital Persona Jurídica (Entidad - Empresa) es un tipo de Certificado Digital que identifica a una persona jurídica
de derecho público o privado, entidad del Estado o persona jurídica comerciante inscrito en el registro mercantil de las Cámaras de
Comercio, quien tiene el derecho de uso de un determinado sistema de información que será programado para firmar de manera
automatizada o manual a nombre de esa persona jurídica. Así mismo, tendrá la calidad de suscriptor la persona natural que actúa como
representante legal de la persona jurídica.
Garantizando el cumplimiento de las siguientes condiciones en conjunto y simultáneamente:
• Que una persona jurídica determinada se ha identificado como tal y ha solicitado el servicio a través de su representante legal,
y
• que esa persona jurídica podrá programar un sistema de información para que firme digitalmente mensajes de datos, de manera
masiva o individual a través de medios electrónicos, vinculándose jurídicamente.
De conformidad con la normatividad vigente y aplicable para este caso, el Certificado de Firma Digital Persona Jurídica (Entidad -
Empresa), emitidos por Certicámara contempla las siguientes características:
• Cumplimiento de los estándares fijados por la Superintendencia de Industria y Comercio (X509V3);
• Cumplimiento de las condiciones establecidas en el artículo 28 de la ley 527 de 1999, pues no hay perdida de unicidad de la
firma; ni pérdida de control exclusivo, ya que el Usuario suscriptor se compromete - de conformidad con la presente DPC - a
restringir el acceso a la llave privada;
• El control exclusivo se refiere a una persona, -puede ser por lo tanto natural o jurídica, de conformidad con la ley - y sí el
Certificado de Firma Digital Persona Jurídica (Entidad - Empresa) está ubicado en la máquina de la entidad, se debe entender
que la persona jurídica a quien se expide, es quien controla de manera exclusiva la firma;
• Es en cualquier caso - desde la DPC y desde la normativa colombiana vigente - responsabilidad del suscriptor custodiar las llaves;
• Por lo anterior, un Certificado de Firma Digital Persona Jurídica (Entidad - Empresa) emitido por Certicámara, deriva los atributos
propios de la certificación digital: Autenticidad, Integridad y No repudio.
Requisitos para su expedición
El solicitante debe diligenciar el Formulario de prestación de servicios de certificación digital para el tipo Certificado
digital de Persona Jurídica adjuntando los siguientes documentos:
Fotocopia del documento de identidad del representante legal y contacto técnico:
• Para ciudadanos colombianos mayores de edad copia de la cédula de ciudadanía, para menores de
edad tarjeta de identidad (en este caso se deberá adjuntar el permiso expedido por el ministerio de
trabajo).
• Para extranjeros pasaporte o cédula de extranjería del suscriptor.
Fotocopia del certificado de existencia y representación legal con una vigencia no mayor a 30 días, donde
conste la vinculación con la empresa o documento equivalente.
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point. 0000H39
certicámara
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 51 de 60
12 Obligaciones de los Intervlnlentes
12.1 Obligaciones de Certicámara
Certicámara tiene las siguientes obligaciones en la prestación de sus servicios:
• Implementar y mantener los sistemas de seguridad que resulten razonables en función del servicio prestado y en general la
infraestructura necesaria para la prestación del servicio de Certificación Digital.
• Cumplir con la Declaración de Prácticas de Certificación (DPC) y con los acuerdos realizados con los suscriptores.
• Informar al suscriptor las características de la prestación del servicio, los límites de responsabilidad, y las obligaciones que
asume como interviniente en el proceso de certificación digital. En particular Certicámara deberá informar al suscriptor o
terceras personas que lo soliciten, sobre el tiempo y recursos computacionales requeridos para validar la firma digital que se
efectúa con los certificados de firma que expide a sus suscriptores.
• Comprobar directamente o a través de las Entidades de Registro debidamente acreditadas ante Certicámara, la información
definida en esta Declaración de Prácticas de Certificación como verificable para la expedición de certificados digitales.
• Abstenerse de acceder o almacenar la clave privada del suscriptor.
• Conservar por sf mismo o por interpuesta persona la custodia del soporte físico del certificado digital hasta la entrega efectiva
del mismo al suscriptor (si aplica).
• Permitir y facilitar la realización de las auditorías por parte de la Superintendencia de Industria y Comercio de Colombia o el
Organismo Nacional de Acreditación de Colombia.
• Expedir certificados digitales de conformidad con lo establecido en la sección de procedimiento de expedición de certificados
digitales de esta Declaración de Prácticas de Certificación, y las especificaciones acordadas por el suscriptor en el contrato de
suscripción.
• Publicar los certificados digitales expedidos y llevar el Registro de Certificados Emitidos.
• Actualizar la información que tiene registrada en la solicitud de autorización ante la Superintendencia de Industria y Comercio
y el Organismo Nacional de Acreditación de Colombia y toda aquella que estas entidades establezcan.
• Informar a la Superintendencia de Industria y Comercio y al Organismo Nacional de Acreditación de Colombia la ocurrencia de
cualquier evento establecido en la Declaración de Prácticas de Certificación, que comprometa la prestación del servicio.
• Mantener el control y confidencialidad de su clave privada y establecer las seguridades razonables para que no se divulgue o
comprometa.
• Procurar diligentemente la prestación permanente e ininterrumpida de los servicios de certificación digital.
• Permitir el acceso de los suscriptores, de las partes confiantes y de terceros a esta Declaración de Prácticas de Certificación y
al repositorio de la Entidad de Certificación.
• Actualizar la Base de datos de certificados digitales revocados en los términos establecidos en esta Declaración de Prácticas
de Certificación y efectuar los avisos y publicaciones que se establezcan por ley en ésta.
• Revocar los certificados digitales que se requiera de conformidad con lo establecido en la sección 4.7 de esta Declaración de
Prácticas de Certificación.
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point. D tf Ü 0000
certicámara.
PÚBUCA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 53 de 60
la emisión del certificado digital), siempre y cuando el sistema de información de la parte confiante no verifique la cualidad en
la que esté actuando el suscriptor. El mensaje de datos o documento electrónico que el suscriptor firma con su certificado
digital, será el que determinará el contexto de la calidad en la que firma el suscriptor, y si éste está utilizando o no la cualidad
asociada al certificado digital (si aplica).
• Responder por la custodia de la clave privada y de su soporte físico (si aplica) evitando su pérdida, revelación, modificación o
uso no autorizado. Especialmente, el suscriptor deberá abstenerse, sin importar la circunstancia, de anotar en el soporte físico
del certificado digital el código de activación o las claves privadas, ni tampoco en cualquier otro documento que el suscriptor
conserve o transporte consigo o con el soporte físico.
• Solicitar la revocación del certificado digital que le ha sido entregado cuando se cumpla alguno de los supuestos previstos para
la revocación de los certificados digitales.
• Abstenerse en toda circunstancia de revelar la clave privada o el código de activación del certificado digital, así como abstenerse
de delegar su uso a terceras personas.
• Asegurarse de que toda la información contenida en el certificado digital es cierta y notificar inmediatamente a Certicámara en
caso de que se haya incluido cualquier información incorrecta o inexacta o en caso de que por alguna circunstancia posterior la
información del certificado digital no corresponda con la realidad. Asimismo, deberá comunicar de manera inmediata el cambio
o variación que haya sufrido cualquiera de los datos que aportó para adquirir el certificado digital, aunque éstos no estuvieran
incluidos en el propio certificado digital.
• Informar inmediatamente a Certicámara acerca de cualquier situación que pueda afectar la confiabilidad del certificado digital,
e iniciar el procedimiento de revocación del certificado digital cuando sea necesario. Especialmente, deberá notificar de
inmediato la pérdida, robo o falsificación del soporte físico y cualquier intento de realizar estos actos sobre el mismo, asf como
el conocimiento por otras personas del código de activación o de las claves privadas, solicitando la revocación del certificado
digital de conformidad con el procedimiento que se establece en la Declaración de Prácticas de Certificación.
• Destruir el soporte físico cuando así lo exija Certicámara, cuando haya sido sustituido por otro con los mismos fines o cuando
termine el periodo del servicio adquirido del certificado digital con Certicámara, siguiendo en todo caso las instrucciones de
Certicámara.
• Devolver el soporte físico del certificado digital cuando así lo exija Certicámara.
• Respetar los derechos de propiedad industrial e intelectual de Certicámara y de terceras personas en la solicitud y en el uso de
los certificados digitales. Certicámara no incluirá información en el certificado digital cuya inclusión pueda constituir de alguna
forma la violación de los derechos de propiedad intelectual o industrial de Certicámara y de terceras personas.
• Cualquier otra que se derive de la ley, del contenido de esta Declaración de Prácticas de Certificación o de la Práctica de
Certificación.
• Abstenerse de monitorear, alterar, realizar ingeniería reversa o interferir en cualquier otra forma la prestación de servicios de
certificación digital.
EL SUSCRIPTOR PODRA UTILIZAR SU CERTIFICADO PARA: (I) IDENTIFICARSE COMO PERSONA NATURAL, O (II) ASOCIAR SU
IDENTIFICACIÓN PERSONAL A UNA CUALIDAD ESPECIFICA VERIFICADA POR CERTICÁMARA AL MOMENTO DE EMISIÓN DEL
CERTIFICADO DIGITAL (SI APLICA). LA UTILIZACIÓN DEL CERTIFICADO DIGITAL EN UNO U OTRO CASO DEPENDERÁ DIRECTAMENTE DEL
CONTEXTO EN EL QUE SE ESTE UTILIZANDO EL CERTIFICADO DIGITAL Y DE SI EL SISTEMA DE INFORMACIÓN DE LA PARTE CONFIANTE
PUEDE O NO VERIFICAR LA IDENTIFICACIÓN DEL SUSCRIPTOR.
SERA EL DOCUMENTO ELECTRÓNICO O MENSAJE DE DATOS QUE EL SUSCRIPTOR FIRMA DIGITALMENTE, EL QUE OFRECERÁ EL CONTEXTO
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point. 0 0 0 0 H 4-1
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 55 de 60
12.3.3 Conflabilldad del certificado digital
La parte confiante debe seguir las indicaciones que a continuación se enumeran si pretende confiar en un certificado digital emitido por
Certicámara:
• La parte confiante debe verificar que el certificado digital no haya expirado, de conformidad con la fecha de vigencia que figura
en el mismo.
• La parte confiante debe verificar que el certificado digital no se encuentra en la b ase de datos de certificados digitales
revocados de Certicámara que se encuentra publicada en el sitio de Internet de Certicámara. En todo caso, y sin ninguna
excepción, está prohibido determinar el estado de revocación de un certificado digital con base en información distinta a la de
la base de datos de certificados digitales revocados.
• La confiabilidad del certificado digital depende de que el mismo se encuentre firmado digitalmente por Certicámara. La parte
confiante puede verificar la firma digital de Certicámara verificándola con el certificado raíz, que contiene la clave pública de
Certicámara, el cual se encuentra disponible en el sitio de Internet de Certicámara.
El uso de un certificado digital por cualquier interviniente en el Sistema de Certificación Digital está sujeto al seguimiento estricto de las
normas contenidas en:
• El contrato celebrado con cada suscriptor del servicio de certificación digital, que contiene las condiciones generales de
contratación de los servicios de certificación digital de Certicámara S.A. cuyo clausulado se encuentra en el formulario de
solicitud (https://solicitudes.certica mara.com/ssps/Solicitudes/AceptoLosTerminos.asDx).
• La presente Declaración de Prácticas de Certificación con relación a las firmas digitales emitidas mediante sus certificados
digitales. La parte confiante deberá tenerlas en cuenta siempre que pretenda confiar en un certificado digital.
12.4 Obligaciones de Entidades Externas de aprobación
Las entidades externas de aprobación tendrán la obligación de cumpiircon todo lo establecido en la presente Declaración de Prácticas de
Certificación y los requerimientos del marco legal Colombiano vigente según su función de aprobar la emisión de certificados digitales.
Toda entidad externa de aprobación deberá tener vigente un contrato con Certicámara y debe establecer su responsabilidad sobre los
mecanismos de identificación y autenticación sobre las solicitudes, ajustándose a lo que establece los marcos legales, normativos,
procedimentaies y técnicos que definen Certicámara y las entidades que ejercen control y vigilancia sobre la operación de aprobación de
solicitudes de certificados digitales.
Certicámara deberá establecer los mecanismos tecnológicos que permitan a la entidad externa comunicarse de manera segura,
permitiendo que la aprobación sea tramitada de forma adecuada.
Certicámara determinará si la entidad externa de aprobación proporciona los niveles de cumplimiento, según lo establecido
contractualmente, sin perjuicio de las normas de mayorjerarquía vigentes a nivel legal, técnico, operativo y procedimental para el proceso
de aprobación, las cuales estarán disponibles para su estudio y contraste en los sistemas de gestión de Certicámara, los cuales permiten
establecer el acceso según su clasificación de confidencialidad, y en todo caso se encontrarán disponibles por los entes de auditoría y
control en caso de ser requerida.
000004-2
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEY0NE4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0016-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 57 de 60
En caso de que el sistema de información de la parte confiante no realice la verificación de manera automática, será exclusiva
responsabilidad del suscriptor informar a la parte confiante sobre la condición o calidad en la que se está utilizando el certificado digital,
y por lo tanto Certicámara no tendrá frente a la parte confiante, ni frente a terceros deber alguno de información sobre la condición o
calidad en la que el respectivo suscriptor está utilizando el certificado digital, pues ella deriva directamente del contexto en el que esté
actuando éste.
El suscrlptor es el único responsable por las obligaciones que emanen de las operaciones o negocios jurídicos que se realice en con los
certificados digitales, exonerando a Certicámara de toda responsabilidad por este concepto.
13.3 Responsabilidad de la parte confiante
En todo caso, la parte confiante asumirá toda la responsabilidad y riesgos derivados de la aceptación de un certificado digital sin haber
realizado previamente la verificación de su confiabilidad, o sin haber seguido los procedimientos establecidos en esta Declaración de
Prácticas de Certificación, garantizando la plena indemnidad de Certicámara por dicho concepto. La parte confiante asumirá los perjuicios
que sufra como consecuencia de eventos de caso fortuito o fuerza mayor.
14 Garantías que ofrece Certicámara para el cumplimiento de sus obligaciones
• De acuerdo con lo establecido en el artículo 8 del Decreto 1747 de 2.000, Certicámara ha suscrito una póliza de seguro con una
entidad aseguradora autorizada de acuerdo con la legislación colombiana, que ampara los perjuicios contractuales y
extracontractuales de los suscriptores y terceros de buena fe exenta de culpa derivados de errores y omisiones, o de actos de
mala fe de los administradores, representantes legales o empleados de Certicámara en el desarrollo de sus actividades.
• Las condiciones generales de la póliza se pueden consultar en https://web.certicamara.com/garantias/p%C3%B3liza-de-
responsabilidad-civil/. donde hallará la información actualizada de la póliza. De igual forma, usted puede consultar de forma
completa la póliza de responsabilidad civil a través de nuestro formulario de contacto
https://web.certicamara.com/contactenos/formulario-de-contacto/. seleccionando el tema relacionado con su consulta:
CONSULTA DE LA PÓLIZA DE RESPONSABILIDAD CIVIL
c
0000043
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
certicámara.
PÚBLICA
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN DIGITAL
KEYONE 4
Código:
Fecha:
Versión
Elaboró
Revisó
Aprobó:
Página
0015-DE-GER
Junio 2015
15
Oficial de SI
Comité de SI
Gerente General
Página 33 de 60
5.7.3 Procedimiento de actuación ante la vulnerabilidad de la clave privada de una autoridad
El plan de continuidad del negocio del negocio de la AC Raíz y AC Subordinada considera el compromiso o sospecha de su clave privada
como un desastre. En este caso el Documento prevé la publicación y difusión, inmediatamente, de la revocación de su certificado con elobjeto de impedir la confianza en el mismo.
El plan de continuidad del negocio de la AC Rafz y AC Subordinada prevé la revocación de su certificado como consecuencia inmediata delcompromiso de la clave privada.
5.7.4 Seguridad de las Instalaciones tras un desastre natural o de otro tipo
La AC Rafz y la AC Subordinada, disponen de ubicaciones externas para mantener almacenadas las copias de seguridad, para minimizarlos efectos en caso de desastre natural o de otro tipo sobre las instalaciones primarias.
5.8 Cese de la actividad
En el evento en que Certicámara deba por cualquier circunstancia cesar sus actividades deberá:
• Iniciar en forma inmediata el procedimiento de autorización de cese de actividades ante la Superintendencia de Industria yComercio.
• Comunicar la extinción mediante el envfo de un correo electrónico dirigido a todos los suscriptores cuyos certificados digitales
permanezcan en vigor y la publicación de un anuncio en dos diarios de amplia circulación nacional. La citada comunicación se
llevará a cabo con una antelación mínima de dos meses al cese efectivo de la actividad.
• Procurar establecer, cuando ello fuera posible, acuerdos con terceras personas para transmitir todas sus obligaciones y derechos
dentro del sistema de certificación con la intención de continuar el servicio. Si se produce la subrogación, a la cual el suscriptor
da su consentimiento de manera expresa, esta Declaración de Prácticas de Certificación seguirá siendo el documento que
establece las relaciones entre las partes mientras no se establezca un nuevo documento por escrito.
• Proceder, en caso de no haberse podido llevar a cabo transferencia de derechos y obligaciones a otra entidad, a la revocación
de todos los certificados digitales una vez transcurrido el plazo de dos meses desde la comunicación.
• Indemnizar adecuadamente a aquellos Suscriptores que lo soliciten cuando sus Certificados sean revocados con anterioridad al
plazo previsto de vigencia, pactándose como tope para la indemnización el costo efectivo del servicio, descontando a prorrata
el coste por los días transcurridos desde el inicio del contrato hasta la fecha de resolución.
• Cualquier otra obligación que establezca la ley.
0000031
COPIA CONTROLADA
La versión aprobada más reciente de este documento se encuentra en Share Point.
w
MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
RESOLUCIÓN NÚMERO 1 6 3 9 5DE 2009< 3 I MAR. 2009 >
Radicación: 01098902
Por la cual se resuelve un recurso
EL SUPERINTENDENTE DE INDUSTRIA Y COMERCIO
En ejercicio de las facultades legales, en especial tas que le confiere el Código
Contencioso Administrativo y el numeral 24 del artículo 4 del Decreto 2153 de 1992, y
CONSIDERANDO
PRIMERO. Que mediante resolución No. 3816 del 30 de enero de 2009, se amplió el
alcance de la autorización otorgada a la entidad de certificación abierta de la sociedad
Cameral de Certificación Digital CERTICÁMARA S.A.
SEGUNDO. Que dentro del término legal, el representante legal de la sociedad Cameral de
Certificación Digital CERTICÁMARA SA, en adelante CERTICÁMARA, interpuso recursode reposición contra la mencionada resolución 3816 de 2009, para que sea modificada,
corregida o adicionada.
TERCERO. Que con fundamento en el artículo 59 del C.C.A., este Despacho resolverá
todas las cuestiones que hayan sido planteadas y las que aparezcan con ocasión del
recurso.
Argumenta el recurrente que esta Superintendencia omitió incluir en la parte considerativa
del acto administrativo impugnado, todos los actos administrativos mediante los cuales se
amplió la autorización otorgada a la entidad de certificación abierta de CERTICÁMARA y,como consecuencia de ello omitió, en la parte resolutiva, incluir la totalidad del alcance de
la autorización que ha otorgado esta Superintendencia a la mencionada entidad de
certificación.
De otra parte, señala que se incurrió en un error al citar dentro del alcance autorizado
"Certificado de permanencia a Empresa", cuando realmente corresponde a "Certificado de
Pertenencia a Empresa".
Por lo expuesto, solicita la corrección, adición o modificación de la resolución 3816 de
2009.
Para tal efecto, aportó copia de las resoluciones 1007 del 24 de enero de 2002, 22456 del
10 de septiembre de 2004, 28012 del 12 de noviembre de 2004 y 9887 del 13 de abril de
2007 expedidas por esta Superintendencia.
Consideraciones del Despacho
a) En el considerando primero de la resolución 3816 del 30 de enero de 2009, esta
Superintendencia señaló que se había otorgado la autorización como entidad de
certificación abierta a CERTICÁMARA, mediante resoluciones 1007 del 24 de enero de2002.28012 del 12 de noviembre de 2004 y 9887 del 13 de abril de 2007.
0000145
Por la cual se resuelve un recurso
•No obstante, al revisar tanto la documentación aportada por el recurrente, como losarchivos que reposan en esta Superintendencia, se evidencia que esta Superintendenciaotorgó la autorización como entidad de certificación abierta a CERTICÁMARA, medianteresoluciones 1007 del 24 de enero de 2002, 22456 del 10 de septiembre de 2004, 28012del 12 de noviembre de 2004 y 9887 del 13 de abril de 2007.
En efecto, por error se omitió incluir en el considerando primero del acto impugnado, laresolución 22456 del 10 de septiembre de 2004.
b) A su turno, en el articulo primero de la parte resolutiva de la resolución 3816 del 30 deenero de 2009. esta Superintendencia incluyó en un solo cuerpo, la totalidad del alcancede la autorización otorgada a CERTICÁMARA y, para tal efecto, tomó cada uno de losalcances otorgados mediante resoluciones 1007 del 24 de enero de 2002,28012 del 12 de
noviembre de 2004 y 9887 del 13 de abril de 2007.
No obstante, en el mencionado articulo primero se omitió incluir el alcance de laautorización que se habia otorgado mediante resolución 22456 del 10 de diciembre de2004, por lo cual le asiste razón al recurrente al argumentar que quedó incompleto el
alcance autorizado, reseñado en la resolución 3816 de 2009.
c) Finalmente, en el numeral 2 del articulo primero de la parte resolutiva de la resolución3816 de 2009. se observa que por error se incluyó en el alcance autorizado "certificados de
permanencia a empresa", cuando realmente la autorización se otorgó para "certificados de
pertenencia a empresa".
CUARTO. Que con base en lo expuesto, este Despacho procederá a reponer la resolución
3816 del 30 de enero de 2009, con el fin de modificar tanto el considerando primero, como
el articulo primero de la parte resolutiva.
En mérito de lo expuesto, este Despacho,
RESUELVE
ARTÍCULO PRIMERO. Modificar el considerando primero y el articulo primero de la parteresolutiva de la resolución 3816 del 30 de enero de 2009, por las razones expuestas en la
presente resolución, los cuales quedarán asi:
"CONSIDERANDO PRIMERO. Que mediante comunicación radicada en esta
Superintendencia el 25 de julio del año 2008, el señor Erick Rincón Cárdenas, en su
calidad de representante legal de la Sociedad Cameral de Certificación Digital
CERTICÁMARA S.A., solicitó la ampliación del alcance de la automación de la entidad de
certificación abierta, otorgada mediante resoluciones 1007 del 24 de enero de 2002, 22456
del 10 de septiembre de 2004, 28012 del 12 de Noviembre de 2004 y 9887 del 13 de abril
de 2007".
"RESUELVE ARTÍCULO PRIMERO. Ampliar el alcance de la autorización de la entidadde certificación abierta de la sociedad Cameral de Certifícadón Digital CERTICÁMARAS.A., con Nit. 830.084.433-7, el cual quedará así":
"1. Certificados de Representación de Empresa: Expedición de certificados digitales en
donde se relaciona una clave pública con una persona natural, indicando que dicha
persona ostentaba la calidad de representante legal de una persona jurídica determinadaal momento de la expedición de certificado digital. La clave privada correspondiente a laclave pública estará bajo la custodia permanente de la persona natural que figura en el
certificado digital".
oooonw
Por la cual se resuelve un recurso
Notificación:
Sociedad
Nit.
Rep. Legal
Cédula
Oireccíón
Ciudad
Radicación
Sociedad Cameral de Certificación Digital CERTICÁMARA S.A.830.084.433-7
Erick Rincón Cárdenas
79.886.056
Avenida calle 26 No. 68 D - 35 Piso 5
Bogotá, O.C.
01098902
Proyectó: Ana Marta Prieto RangelReviso. Carlos Alberto Pachaco Zúffiga
0000047
s I
CERTI CÁMARA
TIP a CAT 3 NIT «M9590992
•FC181Se55?«
TODOSPORUN
NUEVO PAÍS»*í CQUIDiS E0UC4CI6»
(§)minhacienoa
2.0.0.1. Grupo del Sistema Integrado de Información Financiera - SIIF
Radicado: 2-2015-027385
Bogotá D.C, 16 de julio de 2015 14:51
PATRICIA LIZCANO
Directora Cuentas Institucionales
CERTICAMARA S.A
CRA 7 26 20 PISO 18 19 EDIFICIO SEGUROS TEQUENDAMA
BOGOTÁ D.C. - CUNDINAMARCA
5CU
Radicado entrada
No. Expediente 27262/2015/OFI
Asunto REMISIÓN CERTIFICACIÓN HOMOLOGACIÓN CERTIFICADOS DIGITALES
Apreciada doctora Lizcano:
En atención a su solicitud, se informa que los certificados digitales expedidos porCERTICAMARA S.A., están homologados por el Ministerio de Hacienda y Crédito Publico paraser utilizados en el aplicativo SIIF Nación, dentro del marco establecido en la circular externa
No. 006 del 08 de febrero de 2012 expedida por la Administración SIIF Nación.
Cordialmente,
DAVID FERNANDO MORALES
Administrador del SIIF Nación
Asesor Viceministerio de Haciena
1INGUEZ
V.A-
ELABORÓ HANLLY YURLEIDY SIMBAQUEBA RAMÍREZ
Firmado digitalnienw por.OAVID MORALES DOMÍNGUEZ
Coordinador Grupo De Administración Del SIIF
Carrera 8 No. 6 C 38 Bogotá D.C. ColombiaCódigo Postal 111711
Conmutador (57 1) 381 1700 Fuera de Bogotá 01-8000-910071atendondíente®m¡nhac¡enda gov co
www.minhacienda.gov.co 0000DA8
gemalto
TRADUCCIÓN CERTIFICADA DE INGLÉS A ESPAÑOL
IDBridge K50
Token USB portátil seguro en formato
El IDBridge K50 es un token USB compacto a prueba de manipulaciones, que ofrece
la funcionalidad de una tarjeta inteligente dinámica de múltiples aplicaciones. Se
puede utilizar con cualquier conexión USB para aplicaciones de gestión de identidades
y acceso: tales como la autenticación de red, firmas digitales y otros servicios basados
en la infraestructura de clave pública (PKI).
Tarjeta inteligente segura con conveniencia USB
IDBridge K50 combina la seguridad de tarjetas inteligentes con la conveniencia de una
USB para ofrecer los siguientes beneficios:
> Muy seguros - protección avanzada habilitada por la autenticación de dos factores:
algo que tienen los usuarios - el dispositivo, y algo que ellos conocen - Su PIN.
> Acceso universal - los servicios de control de acceso lógico seguro se pueden
utilizar con cualquier sistema que cuente con una conexión USB. Compatible con los
principales sistemas operativos de escritorio.
> Windows, Mac y Linux - especificaciones USB estándar lo que significa que el
dispositivo funciona prácticamente con cualquier conexión de red.
> Fácil de usar • los usuarios simplemente inserían el dispositivo a un puerto USB e
introducen el PIN para acceder a las aplicaciones de seguridad eficientes.
> Personalizare - Los tokens USB se pueden personalizar con el logotipo de un
cliente y otras marcas.
C
Seguridad a prueba de manipulación
El IDBridge K50 tiene el tamaño de una unidad USB estándar y está empacado en una
carcasa a prueba de manipulaciones, muy útil para su uso en entornos hostiles. El
lector de tarjetas inteligentes integrado es especialmente conveniente en situaciones
en las que se requiere una autenticación segura y cuando los lectores de tarjetas
inteligentes no están disponibles. Con IDBridge K50, sólo ios usuarios autorizados
Traducción Certificada de un documento escrito en Inglés, realizada el 2 de Octubre del 2014
por Claudia París-Cortés, Intérprete, Traductora Oficial Juramentada, según resolución No.
1605 de Agosto 4/87 del Ministerio de Justicia. Bogotá, D.C., Colombia.
tWl KmhIi.i f'.jris ( ot lis
lOLM); iiiionm,. ¡,.,tVfUUUní* 7Aüí ,\ 1N ! .1 ■; ,'
MiNr. i (■) i ,i ni , i k;l
gemaJto
TRADUCCIÓN CERTIFICADA DE INGLÉS A ESPAÑOL
ESPECIFICACIONES TÉCNICAS
Sistemas operativos compatibles
Windows 98, 98SE. Me, 2000, XP, Ediciones Server 2003 x64, Vista 32, 64 bits. Seven, Server
2008R2
>Win CE 4.1, 4.2, 5.0, 6.0
> Linux Kernel 2.6 y superior
> Ediciones de Mac OS X Panther, Tiger, Leopard 32
> Soporte para Solaris, XP embedded
APIs
> Microsoft PC / SC environment con drivers asociados
Interfaz de Host
> Plug and Play
> CCID (Chip Card Interface Device)
> USB 2.0 de alta velocidad (12 Mbps)
Interfaz Humana
■> LED One Color (Azul), doble estado (intermitente: esperar inserción de la tarjeta; Encendido
(ON): lectura de la tarjeta / escritura)
> Diseño robusto a prueba de manipulación
> Ensamble único de tarjeta SIM
Ambiental
> CE, FCC parte 15 Clase B
> EN 60950 / UL 950 / CSA 950
> Funcionamiento: 0 ° C + / + 70 ° C
> Almacenamiento: -20 ° C / + 85 ° C
> Cumple con los requisitos legales RoHS y WEEE
> A prueba de agua
Descarga electrostática
> +/- 8 kV aire de descarga directa
> +/- 4 kV descarga por contacto indirecto
Traducción Certificada de un documento escrito en Inglés, realizada el 2 de Octubre del 2014por Claudia París-Cortés, Intérprete, Traductora Oficial Juramentada, según resolución No.1605 de Agosto 4/87 del Ministerio de Justicia. Bogotá, D.C., Colombia. 0000050
luuli.i P.irisí o i-tesOFFICIAL TRANSLATORRESOLUTION No 1GOf>
AUGUST 4/ K7
MINISIKY Ot JUS1 iCli
Cl
FIPS140-2ValidationCertifícate
TheNationalInstitutoofStandards
andTechnologyoftheUnitedStates
ofAmérica
TheCommunicationsSecurity
EstablishmentoftheGovemment
ofCanadá
TM
CertifícateNo.1099
The
Nati
onal
Instituteof
StandardsandTechnology,astheUn
ited
States
FIPS140-2Cr
ypto
grap
hicModuleVa
lida
tion
Authority;
andth
eCommunicationsSe
curi
tyEstablishm
ent,
astheCanadianFIPS140-2CryptographicModuleValidation
Authorityhereby
valídatetheFIPS
140-2
test
ingresultsoftheCryptographicModule
identified
as:
Gemalto.NETSmartCardbyGemaito
inaccordancewi
ththeDerivedTestRequirements
forFIPS
140-2,
Secu
rity
Requirements
forCryptographicModules.FIPS140-2
spec
ifie
sth
ese
curi
tyrequirements
that
areto
be
satisfiedbyacryptographicmodule
utilized
within
asecurity
system
protecting
SensitiveInformation(U
nite
dStates)or
ProtectedInformation(Canadá)within
computerandtelecommunicationssystems
(includingvoicesystems).
Producíswhichusetheabove
identified
cryptographicmodulemaybela
bele
dascomplyingwith
therequirementsof
FIPS140-2
solo
ngasthepr
oduc
t,th
roug
hout
its
life
cycle,
cont
inúe
sto
useth
evalidatedve
rsió
nof
thecr
ypto
grap
hicmoduleasspecífied
¡nth
isce
rtif
ícat
e.The
validation
report
contains
additional
deta
ilsconceming
test
results.
No
reli
abil
itytest
hasbeenperformedand
(=)
nowarrantyoftheproductsbybothagencies
iseither
expressedorim
plie
d.
CP.
This
certificatein
clud
esdetailsonth
escopeof
conformanceand
validation
auth
orit
ysi
gnat
ures
onthere
vers
e.
TM
ACeniGcaiodMaiK
o(NBT.whefl«oesnotirnptyproducterdommantbyNI
ST.th
eUS
.QtCanaaunGovwnnwnts
ónica
ANEXO N° 4
FORMATO EXPERIENCIA PROPONENTE
RELACIÓN DE CONTRATOSNo
CONTRATO
No
CONTRATANTE OBJETO DATOS DEL
CONTRÁTENTEVALOR
FECHA DE
INICIO
TIEMPO DE
EJECUCIÓNFECHA DE
TERMINACIÓN
215 Superintendenci
a de Sociedades
Suscripción de
un cupo de
quince mil
cincuenta y
seis
certificados de
firmas.
Correo electrónico:
webmasterOsupersoc
¡edades .gov.co
Contacto: Manuel
Guillermo Tovar
Dirección Av. El
dorado No 51 -80
8
.n
"O
06 meses
DNP-MC-
021-12
Departamento
Nacional de
Planeación
Adquirir hasta
Cincuenta
certificados
digitales
Token para
SIIF Nación
Dirección: Calle 26 No
13-19
Correo electrónico:
www.dnp.gov.co
Contacto: Milady
Vargas Quiza
Dirección: Calle 26 No
13-19
9
I(0
08 meses
0>
S
.9■o
tí
TOTAL$ 374.369.600
NOTA: Con el diligenciamiento de este anexo de experiencia acreditada, se autoriza a la
entidad a verificar la información en el contenida.
Dirección: Carrera 7 No 26-20 piso 19
Número de teléfono: 3790300
0000052
Carrera7 N°. 26-20 Piso 18, Edificio Seguros Tequendama / Tel. 3790300 Bogotá, Colombia
SUPERSOCIEDADES - BOGOTÁ Radicación No.:2009-01-218573H.I.T. / C.C. : 830084433Expediente • 55394
Nombra : SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL CKR'Dependencia : SISTEMAS
Tramite 1 42002 - CONCEPTOS ESPECIALES
uperintendenCÍO 'olio> ! 2 Anexoa: NO Término: 15/07/2009de Sociedades F?Ch" : 15/07/2009 Hora , 06:52 AM
Tipo Documento : CERTIFICACIONES Números 159-000979
"Al contestar si lo requiere, Cite el No. de radicación de este Documento"
CERTIFICACIÓN
EL SUSCRITO DIRECTOR ( E )
DE INFORMÁTICA Y DESARROLLO
CERTIFICA:
Que en los archivos de la SUPERINTENDENCIA DE SOCIEDADES, identificada con NIT899.999.086-2 reposa el contrato de Prestación de Servicios con SOCIEDAD CAMERALDE CERTIFICACIÓN DIGITAL CERTICAMARA S. Á., identificada con NIT 830.084.433-7, que a continuación relaciono:
CONTRATO DE COMPRAVENTA No. 215 suscrito en diciembre del 2007 entre laSUPERINTENDENCIA DE SOCIEDADES y Ja SOCIEDAD CAMERAL DECERTIFICACIÓN DIGITAL CERTICAMARA S. A. "CERTICAMARA S. A."
OBJETO: Suscripción de un cupo de quince mil cincuenta y seis (15.056) certificadosdigitales de firmas, cada una con una vigencia de un mes,
FECHA DE INICIO: 28 de diciembre del 2007
FECHA DE FINALIZACIÓN: 03 de Junio del 2008
VALOR TOTAL: TRESCIENTOS SETENTA Y UN MILLONESCUATROCIENTOS MIL PESOS ($371.400.000.00).
Que la mencionada sociedad cumplió satisfactoriamente con el objeto del contrato yademás con todas las responsabilidades descritas en la cláusula tercera del contrato.
Cordialmente,
'i
MANUEL GUILLERMO TOVAR GÓMEZ
Director de Informática y Desarrollo (E)
0000053
BOGOTÁ D.C: AVENIDA EL DORADO No. 51-80, PBX: 3245777 -2201000, UNEA GRATUITA 018000114319Centro de Fax 2201000 OPCIÓN 2 / 3245000, BARRANQUILLA: ORA 57 # 79-10 TEL 953-454495/454506'MEDELUN: CRA 49 # 53-19 PISO 3 TEL: 942-5115218/5113663, MANJZALES: CLL 21 # 22-42 PISO 4 TEL- 968-847393-847987, CAU: CLL 10 # 4-40 OF 201 EDF. BOLSA DE OCCIDENTE PISO 2 TEL- 6880404 CARTAGENA:TORRE RELOJ CR. 7 # 32-39 PISO 2 TEL: 956-646051/642429, CUCUTA: AV 0 (CERO) A # 21-14 TEL- 975-716190717985, BUCARAMANG* CALLE 41 No. 37-62 TEL: 976-321541/44. '
»»» siinf.rRnnif.dadpq nrw en / WfihmaKtí>r@Riir,Arsnc¡p>dadp.s nnv r.a -finlnmhia
• -♦
DNP IODOS
A QUIEN INTERESE
Empresa que expide la Certificación
NIT
Empresa Certificada
NIT
Objeto
No del Contrato
Fecha de Suscripción
Valor inicial del Contrato
Fecha de Inicio
Fecha de Finalización
Duración del contrato
Valor Ejecutado
Porcentaje de Cumplimiento
Calificación
Fecha de expedición
Nombre de la persona que expide la
certificación
Cargo
Dirección
Teléfono/Fax
Departamento Nacional de Raneadón
899.999.011-0
CERTICAMARAS.A
830.084.433-7
Adquirir hasta Cincuenta (50) Certificados
Digitales Token" para SIIF NACIÓN
DNP-MC-021-12
12 de abril de 2013
CUATRO MILLONES SEISCIENTOS
CUARENTA MIL PESOS M/CTE.
($4.640.000).
13 de abril de 2013
31 de diciembre de 2013
8 meses y 18 días
DOS MILLONES NOVECIENTOS
SESENTA Y NUEVE MIL SEISCIENTOS
PESOS M/CTE. ($2.969.600).
100%
Excelente
13 de septiembre de 2013
Milady Vargas Guiza
Subdirectora Administrativa
Calle 26 No 13-19
3815000
Firma de quien certifica: r\ a
MILÁDY VARGAS GUIZAl l/xSubdirectora Administrativa
Calle 26 No. 13-19 PBX 3815000 www.dnp.gov.co
0000054
cerocamaravolidez y seguridad jurídica electrónicónica
ANEXO N°3
PROPUESTA ECONÓMICA
DESCRIPCIÓN
Certificado
Digital
incluidos el
Soporte y
servicios
conexos.
VIGENCIA
1 año
CANT.
40
VALOR
UNITARIO
($ PESOS)
$130.000
VR.
IVA$
$ 20.800
VR. UNITARIO
INCLUIDO IVA
(SPESOS)
$150.800
VR.
TOTAL ($)
$ 6.032.000
C
El valor de las ofertas debe presentarse en moneda legal colombiana, sin centavos.
La Procuraduría General de la Nación se reserva el derecho de realizar la corrección
aritmética de las cifras resultado total contenido en el presente anexo, si a ello hubiere lugar.
Teniendo en cuenta el artículo 420 del Estatuto Tributario, este servicio se encuentra
gravado por el impuesto al valor agregado IVA, tarifa que corresponde al 16%. En
consecuencia en la propuesta se debe discriminar la base gravable, la tarifa del impuesto y
el valor total de la oferta presentada de conformidad con el Anexo de Propuesta Económica
adjunto al presente estudio.
El impuesto se causa en el momento de la emisión de la factura o del documento
equivalente.
Pertenecen al régimen simplificado las personas naturales que no son responsables del
Impuesto al Valor Agregado - IVA por cumplir con todas las condiciones establecidas en el
artículo 499 del Estatuto Tributario.
Las personas naturales o jurídicas responsables del Impuesto al Valor Agregado - IVA,
conforman el Régimen Común.
Serán de exclusiva responsabilidad del proponente los errores u omisiones en que incurra
al indicar el valor de su propuesta, debiendo asumir los mayores costos y/o pérdidas que
se deriven de dichos errores u omisiones, sin que por esta razón haya lugar a alegar ruptura
del equilibrio contractual.
Para efecto del señalamiento del precio ofrecido, el proponente debe tener en Cuenta todos
los costos, gastos, impuestos, seguros, pago de salarios, prestaciones sociales y demás
emolumentos que considere necesarios para la fijación de la propuesta económica.
Carrera7 N°. 26-20 Piso 18, Edificio Seguros Tequendama / Tel. 3790300 Bogotá, Colombia
OBctearnara.validez y segundad jurídica electrónica
La Entidad verificará las operaciones aritméticas de cada uno de los componentes de los
valores.
En caso de presentarse error de esta índole se tendrá en cuenta el valor correcto para
efectos de la adjudicación.
El proponente deberá, en el momento de elaborar su propuesta, evitar formular condiciones
económicas y de contratación artificialmente bajas, con el propósito de obtener la
adjudicación del contrato. Esto de conformidad con lo establecido en el numeral 6 del
artículo 26 de la Ley 80 de 1993.
De acuerdo con lo señalado en el artículo 2.2.1.1.2.2.4, Subsección 2 Selección, del
Decreto 1082 de 2015, cuando de conformidad con la información a su alcance la entidad
estime que el valor de una oferta resulta artificialmente bajo, requerirá al oferente para que
explique las razones que sustentan el valor ofrecido. Analizadas las explicaciones, que el
valor de la oferta sobre la cual la Entidad tuvo dudas sobre su valor, responde a
circunstancias objetivas del oferente y de su oferta que no ponen en riesgo el cumplimiento
del contrato si este es adjudicado a tal oferta, el comité asesor evaluador recomendará
rechazar la oferta o dará continuidad al análisis de la misma en el proceso de evaluación
de las ofertas.
Los precios determinados en la propuesta económica, deberán permanecer inmodificables
durante la vigencia del certificado.
Los precios unitarios se verificarán frente a los arrojados por el estudio previo de mercado.
C.C. ^^79^942^771 Expedición BogotáDirecciónTCáTrera 7 No 26-20 piso 19
Número de teléfono: 3790300
0000056
Carrera7 N°. 26-20 Piso 18, Edificio Seguros Tequendama / Tel. 3790300 Bogotá, Colombia