Artículo
2º-Definiciones. Para los efectos del presente Reglamento, se entenderá
por:
1)
AUTENTICACIÓN: Verificación de la identidad de un individuo.
a.
En el proceso de registro, es el acto de evaluar las credenciales de la entidad
final (por ejemplo, un suscriptor) como evidencia de que realmente es quien
dice ser.
b.
Durante el uso, es el acto de comparar electrónicamente las credenciales y la
identidad enviada (Ej., código de usuario y contraseña, certificado digital,
etc.) con valores previamente almacenados para comprobar la identidad.
2)
AUTENTICACIÓN MUTUA: Proceso mediante el cual dos entidades verifican su
identidad en forma recíproca.
3)
AUTENTICIDAD: La veracidad, técnicamente constatable, de la identidad del autor
de un documento o comunicación. La autenticidad técnica no excluye el
cumplimiento de los requisitos de autenticación o certificación que desde el
punto de vista jurídico exija la ley para determinados actos o negocios.
4)
AUTORIDAD DE REGISTRO (AR): Entidad delegada por el certificador registrado
para la verificación de la identidad de los solicitantes y otras funciones
dentro del proceso de expedición y manejo de certificados digitales. Representa
el punto de contacto entre el usuario y el certificador registrado.
5)
BITÁCORAS DE AUDITORIA: Registro cronológico de las actividades del sistema,
que son suficientes para habilitar la reconstrucción, revisión, y la inspección
de la secuencia del entorno y las actividades secundarias o primarias para cada
evento en la ruta de una transacción desde su inicio hasta la salida del
resultado final.
6)
CERTIFICACIÓN: Proceso de creación de un certificado de llave pública para un
suscriptor.
7)
CERTIFICADO
DIGITAL: Una estructura de datos creada y firmada digitalmente por un
certificador, del modo y con las características que señalan este Reglamento,
la Norma INTE
/ISO 21188 versión vigente y las políticas que al efecto emita
la DCFD
, cuyo propósito primordial es posibilitar a sus suscriptores la creación de
firmas digitales, así como la identificación personal en transacciones electrónicas.
Sin perjuicio del concepto anterior,
la DCFD
podrá autorizar a los certificadores registrados la generación de
certificados con propósitos diferentes o adicionales a los indicados.
(Así
reformado el inciso anterior por el artículo 1° del decreto ejecutivo N°
34890 del 27 de octubre de 2008)
8)
CERTIFICADO SUSPENDIDO: Cesación temporal o interrupción de la validez de un
certificado.
9)
CERTIFICADO VÁLIDO: Se refiere a aquel certificado que se encuentra activo, que
ha sido emitido por un certificador registrado.
10)
CERTIFICADOR: La persona jurídica pública o privada, nacional o extranjera,
prestadora del servicio de creación, emisión y operación de certificados
digitales.
11)
CERTIFICADOR RAÍZ: El nodo superior autocertificante de la jerarquía nacional
de certificadores registrados.
12)
CERTIFICADOR REGISTRADO: El certificador inscrito y autorizado por la Dirección
de Certificadores de Firma Digital.
13)
CERTIFICADOR PADRE: Certificador registrado que se encuentra en la posición
inmediata superior con respecto a otro certificador registrado, en la jerarquía
de certificadores.
14)
CERTIFICADOR SUBORDINADO: Certificador registrado que se encuentra en la
posición inmediata inferior con respecto a otro certificador registrado, en la
jerarquía de certificadores.
15)
COMPROMISO: Violación de la seguridad de un sistema, por haber ocurrido una
divulgación no autorizada de información sensible.
16)
CONTROL MÚLTIPLE: Condición mediante la cual dos o más partes, separada y
confidencialmente, tienen la custodia de los componentes de una llave
particular, pero que individualmente no tienen conocimiento de la llave
resultante.
17)
DATOS DE ACTIVACIÓN: Valores de datos (que no son las llaves), que son
requeridos para operar los módulos criptográficos y que necesitan ser
protegidos (ejemplo: PINs, frase clave, biométricos o llaves distribuidas
manualmente).
18)
DECLARACIÓN DE LAS PRÁCTICAS DE CERTIFICACIÓN (DPC): Declaración de las
prácticas que utiliza el certificador para la emisión de los certificados
(define el equipo, las políticas y los procedimientos que el certificador
utiliza para satisfacer los requerimientos especificados en las políticas del
certificado que son soportados por él).
19)
DIRECCIÓN DE CERTIFICADORES DE FIRMA DIGITAL (DCFD): Dependencia del Ministerio
de Ciencia, Tecnología y Telecomunicaciones (*), encargada de la administración y supervisión del
sistema de certificación digital.
(*)(Así
modificada su denominación por el artículo 11 de la Ley "Traslado del
sector Telecomunicaciones del Ministerio de Ambiente, Energía y
Telecomunicaciones al Ministerio de Ciencia y Tecnología, N° 9046 del 25 de
junio de 2012)
20)
DISPOSITIVO O MODULO SEGURO DE CREACION DE FIRMAS (MSCF): Dispositivo que
resguarda las claves y el certificado de un suscriptor, utilizado para generar
su firma digital y que, al menos, garantiza:
a.
Que los datos utilizados para la generación de la firma solo pueden producirse
una vez en la práctica y se garantiza razonablemente su confidencialidad;
b.
Que existe una expectativa razonable de que los datos utilizados para la
generación de la firma no pueden ser descubiertos por deducción y la firma está
protegida contra falsificación por medio de la tecnología disponible a la
fecha, siendo posible detectar cualquier alteración posterior; y,
c.
Que los datos empleados en la generación de la firma pueden ser protegidos de
modo fiable por el firmante legítimo, contra su utilización por cualesquiera
terceros.
21)
DOCUMENTO ELECTRÓNICO: Cualquier manifestación con carácter representativo o
declarativo, expresada o transmitida por un medio electrónico o informático.
22)
ENTE COSTARRICENSE DE ACREDITACIÓN (ECA): La dependencia pública a que se
refiere la "Ley del Sistema Nacional para la Calidad", número 8279 de 2 de mayo
del 2002.
23)
ENTIDAD FINAL: Suscriptor del certificado.
24)
FIRMA DIGITAL: Conjunto de datos adjunto o lógicamente asociado a un documento
electrónico, que permita verificar su integridad, así como identificar en forma
unívoca y vincular jurídicamente al autor con el documento.
25)
FIRMA DIGITAL CERTIFICADA: Una firma digital que haya sido emitida al amparo de
un certificado digital válido y vigente, expedido por un certificador
registrado.
26)
INFRAESTRUCTURA DE LLAVE PÚBLICA (PKI por sus siglas en inglés): Se refiere a
una estructura de hardware, software, personas, procesos y políticas que
emplean tecnología de firma digital para proveer una asociación verificable
entre una llave pública y un suscriptor específico que posee la llave privada
correspondiente.
27)
INTEGRIDAD: Propiedad de un documento electrónico que denota que su contenido y
características de identificación han permanecido inalterables desde el momento
de su emisión, o bien que -habiendo sido alterados posteriormente- lo fueron
con el consentimiento de todas las partes legitimadas.
28)
LEY: La Ley de Certificados, Firmas Digitales y Documentos electrónicos, Ley
número 8454 del 30 de agosto del 2005.
29)
LGAP: La Ley General de la Administración Pública.
30)
LINEAMIENTOS TÉCNICOS: El conjunto de definiciones, requisitos y regulaciones
de carácter técnico-informático, contenido en
la Norma INTE
/ISO 21188 versión vigente y en las políticas que al efecto emita
la DCFD.
(Así
reformado el inciso anterior por el artículo 1° del decreto ejecutivo N°
34890 del 27 de octubre de 2008)
31)
LRC: Lista de revocación de certificados.
32)
MECANISMO EN LÍNEA PARA VERIFICAR EL ESTADO DEL CERTIFICADO: Mecanismo mediante
el cual se permite a las partes que confían, consultar y obtener, la
información del estado de un certificado sin requerir para ello el uso de una
LRC.
33)
OFICINA DE TARJETAS (card bureau): Agente del certificador registrado o de la
autoridad de registro que personaliza la tarjeta de circuito integrado (o
tarjeta inteligente), que contiene la llave privada del suscriptor (como
mínimo).
34)
PARTE CONFIANTE: Se refiere a las personas físicas, equipos, servicios o
cualquier otro ente que confía en la validez de un certificado emitido por un
certificador específico.
35)
POLÍTICAS DEL CERTIFICADO (PC): Conjunto de reglas que indican la aplicabilidad
del certificado a una comunidad particular y/o clase de aplicaciones con los
requerimientos comunes de seguridad.
36)
PROTOCOLO EN LÍNEA PARA DETERMINAR EL ESTADO DEL CERTIFICADO (OCSP POR SUS SIGLAS
EN INGLÉS): Protocolo suplementario para determinar el estado actual de un certificado.
37)
RECUPERACIÓN DE LLAVES: Capacidad de restaurar la llave privada de una entidad
a partir de un almacenamiento seguro, en el caso de que se pierda, corrompa o que
por cualquier otra razón se convierta en no utilizable.
38)
RE-EMISIÓN DE LLAVES DEL CERTIFICADO: Proceso por medio del cual una entidad
con un par de llaves y un certificado previamente emitidos, luego de la
generación de un nuevo par de llaves, recibe un nuevo certificado y una nueva
llave pública.
39)
REGLAMENTO: Este Reglamento.
40)
RENOVACIÓN DEL CERTIFICADO: Proceso donde una entidad emite una nueva instancia
de un certificado existente, con un nuevo período de validez.
41)
REPOSITORIO: Sistema de almacenamiento y distribución de certificados e
información relacionada (Ej., almacenamiento y distribución de certificados,
almacenamiento y recuperación de políticas de certificación, estado del
certificado, etc.).
42)
ROL DE CONFIANZA: Función de trabajo que permite ejecutar labores críticas. Si
dichas labores se ejecutan de una forma insatisfactoria puede ocurrir un
impacto adverso, que dará como resultado una degradación en la confianza que
provee el certificador.
43)
SELLO DE GARANTÍA (tamper evident): Características de un dispositivo que
proveen evidencia de que existió un intento de ataque sobre él.
44)
SERVICIOS DE VALIDACIÓN DE CERTIFICADOS: Servicios provistos por el
certificador registrado o sus agentes que ejecutan la tarea de confirmar la
validez del certificado a una tercera parte que confía.
45)
SUSCRIPTOR: La persona física a cuyo favor se emite un certificado digital y
que lo emplea para los propósitos señalados en el inciso 7) anterior, en
conjunto con las claves, contraseñas y/o dispositivos necesarios al efecto y de
cuya custodia es responsable.
46)
VERIFICACIÓN DE FIRMA: Con relación a la firma digital, significa determinar
con precisión: (1) que la firma ha sido creada durante el período operacional
de un certificado válido, utilizando la llave pública listada en el
certificado; y, (2) que el mensaje no ha sido alterado desde que la firma fue
creada.