Artículo 2º-Definiciones. Para los efectos del presente
Reglamento, se entenderá por:
1) AUTENTICACIÓN: Verificación de la identidad de un individuo.
a. En el proceso de registro, es el acto de evaluar las credenciales de
la entidad final (por ejemplo, un suscriptor) como evidencia de que realmente
es quien dice ser.
b. Durante el uso, es el acto de comparar electrónicamente las
credenciales y la identidad enviada (Ej., código de usuario y contraseña,
certificado digital, etc.) con valores previamente almacenados para comprobar
la identidad.
2) AUTENTICACIÓN MUTUA: Proceso mediante el cual dos entidades verifican
su identidad en forma recíproca.
3) AUTENTICIDAD: La veracidad, técnicamente constatable, de la identidad
del autor de un documento o comunicación. La autenticidad técnica no excluye el
cumplimiento de los requisitos de autenticación o certificación que desde el
punto de vista jurídico exija la ley para determinados actos o negocios.
4) AUTORIDAD DE REGISTRO (AR): Entidad delegada por el certificador
registrado para la verificación de la identidad de los solicitantes y otras
funciones dentro del proceso de expedición y manejo de certificados digitales.
Representa el punto de contacto entre el usuario y el certificador registrado.
5) BITÁCORAS DE AUDITORIA: Registro cronológico de las actividades del
sistema, que son suficientes para habilitar la reconstrucción, revisión, y la
inspección de la secuencia del entorno y las actividades secundarias o
primarias para cada evento en la ruta de una transacción desde su inicio hasta
la salida del resultado final.
6) CERTIFICACIÓN: Proceso de creación de un certificado de llave pública
para un suscriptor.
7) CERTIFICADO DIGITAL: Una estructura de datos creada
y firmada digitalmente por un certificador, del modo y con las características
que señalan este Reglamento, la
Norma INTE /ISO 21188 versión vigente y las políticas que al
efecto emita la
DCFD , cuyo propósito primordial es
posibilitar a sus suscriptores la creación de firmas digitales, así como la
identificación personal en transacciones electrónicas. Sin perjuicio del
concepto anterior, la
DCFD podrá autorizar a los certificadores registrados la
generación de certificados con propósitos diferentes o adicionales a los
indicados.
(Así reformado el inciso anterior por el artículo 1° del decreto ejecutivo N° 34890 del 27 de octubre
de 2008)
8) CERTIFICADO SUSPENDIDO: Cesación temporal o interrupción de la
validez de un certificado.
9) CERTIFICADO VÁLIDO: Se refiere a aquel certificado que se encuentra
activo, que ha sido emitido por un certificador registrado.
10) CERTIFICADOR: La persona jurídica pública o privada, nacional o
extranjera, prestadora del servicio de creación, emisión y operación de
certificados digitales.
11) CERTIFICADOR RAÍZ: El nodo superior autocertificante
de la jerarquía nacional de certificadores registrados.
12) CERTIFICADOR REGISTRADO: El certificador inscrito y autorizado por
la Dirección de Certificadores de Firma Digital.
13) CERTIFICADOR PADRE: Certificador registrado que se encuentra en la
posición inmediata superior con respecto a otro certificador registrado, en la
jerarquía de certificadores.
14) CERTIFICADOR SUBORDINADO: Certificador registrado que se encuentra
en la posición inmediata inferior con respecto a otro certificador registrado,
en la jerarquía de certificadores.
15) COMPROMISO: Violación de la seguridad de un sistema, por haber
ocurrido una divulgación no autorizada de información sensible.
16) CONTROL MÚLTIPLE: Condición mediante la cual dos o más partes,
separada y confidencialmente, tienen la custodia de los componentes de una
llave particular, pero que individualmente no tienen conocimiento de la llave
resultante.
17) DATOS DE ACTIVACIÓN: Valores de datos (que no son las llaves), que
son requeridos para operar los módulos criptográficos y que necesitan ser
protegidos (ejemplo: PINs, frase clave, biométricos o
llaves distribuidas manualmente).
18) DECLARACIÓN DE LAS PRÁCTICAS DE CERTIFICACIÓN (DPC): Declaración de
las prácticas que utiliza el certificador para la emisión de los certificados
(define el equipo, las políticas y los procedimientos que el certificador
utiliza para satisfacer los requerimientos especificados en las políticas del
certificado que son soportados por él).
19) DIRECCIÓN DE CERTIFICADORES DE FIRMA DIGITAL (DCFD): Dependencia del
Ministerio de Ciencia, Tecnología y Telecomunicaciones (*), encargada de la
administración y supervisión del sistema de certificación digital.
(*)(Así
modificada su denominación por el artículo 11 de la Ley "Traslado del
sector Telecomunicaciones del Ministerio de Ambiente, Energía y
Telecomunicaciones al Ministerio de Ciencia y Tecnología, N° 9046 del 25 de
junio de 2012)
20) DISPOSITIVO O MODULO SEGURO DE CREACION DE FIRMAS (MSCF):
Dispositivo que resguarda las claves y el certificado de un suscriptor,
utilizado para generar su firma digital y que, al menos, garantiza:
a. Que los datos utilizados para la generación de la firma solo pueden
producirse una vez en la práctica y se garantiza razonablemente su
confidencialidad;
b. Que existe una expectativa razonable de que los datos utilizados para
la generación de la firma no pueden ser descubiertos por deducción y la firma
está protegida contra falsificación por medio de la tecnología disponible a la
fecha, siendo posible detectar cualquier alteración posterior; y,
c. Que los datos empleados en la generación de la firma pueden ser
protegidos de modo fiable por el firmante legítimo, contra su utilización por
cualesquiera terceros.
21) DOCUMENTO ELECTRÓNICO: Cualquier manifestación con carácter
representativo o declarativo, expresada o transmitida por un medio electrónico
o informático.
22) ENTE COSTARRICENSE DE ACREDITACIÓN (ECA): La dependencia pública a
que se refiere la "Ley del Sistema Nacional para la Calidad", número 8279(*) de 2 de mayo del 2002.
(*) (Nota de Sinalevi: La ley N° 8279 a la que hace referencia el inciso anterior fue derogada por el numeral 83 de la Ley
del Sistema Nacional para la Calidad, N° 10473 del 24
de abril de 2024)
23) ENTIDAD FINAL: Suscriptor del certificado.
24) FIRMA DIGITAL: Conjunto de datos adjunto o lógicamente asociado a un
documento electrónico, que permita verificar su integridad, así como
identificar en forma unívoca y vincular jurídicamente al autor con el
documento.
25) FIRMA DIGITAL CERTIFICADA: Una firma digital que haya sido emitida
al amparo de un certificado digital válido y vigente, expedido por un
certificador registrado.
26) INFRAESTRUCTURA DE LLAVE PÚBLICA (PKI por sus siglas en inglés): Se
refiere a una estructura de hardware, software, personas, procesos y políticas
que emplean tecnología de firma digital para proveer una asociación verificable
entre una llave pública y un suscriptor específico que posee la llave privada
correspondiente.
27) INTEGRIDAD: Propiedad de un documento electrónico que denota que su
contenido y características de identificación han permanecido inalterables
desde el momento de su emisión, o bien que -habiendo sido alterados
posteriormente- lo fueron con el consentimiento de todas las partes
legitimadas.
28) LEY: La Ley de Certificados, Firmas Digitales y Documentos
electrónicos, Ley número 8454 del 30 de agosto del 2005.
29) LGAP: La Ley General de la Administración Pública.
30) LINEAMIENTOS TÉCNICOS: El conjunto de definiciones, requisitos y
regulaciones de carácter técnico-informático, contenido en la
Norma INTE /ISO 21188 versión vigente y en las políticas que
al efecto emita la
DCFD.
(Así reformado el inciso anterior por el artículo 1° del decreto
ejecutivo N° 34890 del 27 de octubre de 2008)
31) LRC: Lista de revocación de certificados.
32) MECANISMO EN LÍNEA PARA VERIFICAR EL ESTADO DEL CERTIFICADO:
Mecanismo mediante el cual se permite a las partes que confían, consultar y
obtener, la información del estado de un certificado sin requerir para ello el
uso de una LRC.
33) OFICINA DE TARJETAS (card bureau): Agente
del certificador registrado o de la autoridad de registro que personaliza la
tarjeta de circuito integrado (o tarjeta inteligente), que contiene la llave
privada del suscriptor (como mínimo).
34) PARTE CONFIANTE: Se refiere a las personas físicas, equipos,
servicios o cualquier otro ente que confía en la validez de un certificado
emitido por un certificador específico.
35) POLÍTICAS DEL CERTIFICADO (PC): Conjunto de reglas que indican la
aplicabilidad del certificado a una comunidad particular y/o clase de
aplicaciones con los requerimientos comunes de seguridad.
36) PROTOCOLO EN LÍNEA PARA DETERMINAR EL ESTADO DEL CERTIFICADO (OCSP
POR SUS SIGLAS EN INGLÉS): Protocolo suplementario para determinar el estado
actual de un certificado.
37) RECUPERACIÓN DE LLAVES: Capacidad de restaurar la llave privada de
una entidad a partir de un almacenamiento seguro, en el caso de que se pierda,
corrompa o que por cualquier otra razón se convierta en no utilizable.
38) RE-EMISIÓN DE LLAVES DEL CERTIFICADO: Proceso por medio del cual una
entidad con un par de llaves y un certificado previamente emitidos, luego de la
generación de un nuevo par de llaves, recibe un nuevo certificado y una nueva
llave pública.
39) REGLAMENTO: Este Reglamento.
40) RENOVACIÓN DEL CERTIFICADO: Proceso donde una entidad emite una
nueva instancia de un certificado existente, con un nuevo período de validez.
41) REPOSITORIO: Sistema de almacenamiento y distribución de
certificados e información relacionada (Ej., almacenamiento y distribución de
certificados, almacenamiento y recuperación de políticas de certificación,
estado del certificado, etc.).
42) ROL DE CONFIANZA: Función de trabajo que permite ejecutar labores
críticas. Si dichas labores se ejecutan de una forma insatisfactoria puede
ocurrir un impacto adverso, que dará como resultado una degradación en la
confianza que provee el certificador.
43) SELLO DE GARANTÍA (tamper evident): Características de un dispositivo que proveen
evidencia de que existió un intento de ataque sobre él.
44) SERVICIOS DE VALIDACIÓN DE CERTIFICADOS: Servicios provistos por el
certificador registrado o sus agentes que ejecutan la tarea de confirmar la
validez del certificado a una tercera parte que confía.
45) SUSCRIPTOR: La persona física a cuyo favor se emite un certificado
digital y que lo emplea para los propósitos señalados en el inciso 7) anterior,
en conjunto con las claves, contraseñas y/o dispositivos necesarios al efecto y
de cuya custodia es responsable.
46) VERIFICACIÓN DE FIRMA: Con relación a la firma digital, significa
determinar con precisión: (1) que la firma ha sido creada durante el período
operacional de un certificado válido, utilizando la llave pública listada en el
certificado; y, (2) que el mensaje no ha sido alterado desde que la firma fue
creada.