Artículo 2º-Ámbito de aplicación. El presente reglamento se aplicará a:

a)         Los funcionarios o unidades internas de la Contraloría General de la República, para los efectos y conforme a los procedimientos que en su oportunidad se emitan;

b)         Los distintos sujetos pasivos de la fiscalización de la Contraloría General de la República, siempre y cuando voluntariamente suscriban el servicio de acuerdo con los términos contenidos en el Formulario de Suscripción para el Uso de Certificados Digitales, así como a las disposiciones del presente Reglamento.

c)         Proveedores y otros usuarios o interesados en tener transacciones y trámites electrónicos con la Contraloría General de la República, siempre y cuando voluntariamente suscriban el el servicio de acuerdo con los términos contenidos en el Formulario de Suscripción para el Uso de Certificados Digitales, así como a las disposiciones del presente Reglamento.

Artículo 3º-Definiciones:

a.         Certificado Digital: Credencial electrónica que utiliza un mecanismo criptográfico con el fin de garantizar la autenticación de usuarios para que éstos puedan firmar electrónicamente, con el efecto de que queda vinculado un documento, una persona y una firma, asegurando la integridad y no alteración del documento y la firma.

b.         Certificado Digital Registrado: Certificado Digital emitido por una autoridad certificadora debidamente registrada ante la Dirección de Certificadores de Firma Digital del Ministerio de Ciencia y Tecnología.

c.         Firma digital: Resultado de obtener, mediante mecanismos o dispositivos, un patrón, que unívocamente se asocie a una persona física y a su voluntad de firmar manifestada por un medio electrónico que una vez utilizado se considera equivalente a la firma manuscrita del documento electrónico donde se inserta.

d.         Formulario de Suscripción para el Uso de Certificados Digitales: Documento que debe ser suscrito por el usuario al momento en que recibe el medio de almacenamiento con el correspondiente Certificado Digital, el cual contiene los términos de uso del certificado, los cuales el Suscriptor manifiesta expresamente conocerlos y aceptarlos en un todo.

e.         Función Certificadora: Función asignada a la Unidad de Servicios de Información de la Contraloría General de la República, consistente en la emisión, control y administración de los Certificados Digitales para uso del órgano contralor así como de usuarios externos (sujetos pasivos, proveedores y otros) que voluntariamente lo soliciten.

f.          Identidad digital: Conjunto de rasgos unívocos que caracterizan a una persona física o jurídica, individual o colectiva, en un medio de transmisión digital.

g.         Infraestructura de Llave Pública: Es la combinación de programas, tecnologías de encriptación, procesos, y servicios que van a permitir asegurar las comunicaciones y las transacciones del negocio.

h.         Listas de certificados no utilizables: Lista de certificados que han sido desechados por la Función Certificadora y no podrán ser utilizados.

i.          Medio de Almacenamiento. Medio físico donde residirá la información del certificado digital, el cual puede consistir en un disco compacto o en un token.

j.          Página Web: Página de Internet o documento electrónico que contiene información específica de un tema en particular y que es almacenado en algún sistema de cómputo que se encuentre conectado a la red mundial de información denominada Internet.

k.         Suscriptor: Persona física, poseedor de un Certificado Digital emitido por la Unidad de Servicios de Información de la Contraloría General, que funge como responsable de su debida custodia y adecuado uso, y con el cual podrá interactuar legítimamente con los sistemas de tecnología de información de la Contraloría General y otros trámites electrónicamente realizados que se encuentre autorizado como usuario.

CAPITULO II

De la organización y distribución de Competencias

Artículo 4º-Competencia del Jefe de la Unidad de Servicios de Información en la administración de la Función Certificadora. La Función Certificadora es un proceso adscrito a la Unidad de Servicios de Información de la Contraloría General, la cual será encargada de administrar la infraestructura y servicios de certificados digitales para la firma digital de los documentos transmitidos y almacenados electrónicamente por parte de los Suscriptores de este servicio.

Artículo 5º-Responsabilidad de la Función Certificadora. El cumplimiento de las funciones relativas a la emisión y administración de certificados estará a cargo de la Jefatura de la Unidad de Servicios de Información, o de o los funcionarios en los que ésta lo delegue, siendo responsable de:

a)         Determinar las políticas de selección, asignación y distribución de certificados digitales a los y las funcionarias de la Contraloría General de la República.

b)         Aprobar y rechazar solicitudes de suscripción al servicio de Certificados Digitales.

c)         Registrar y validar la identidad de los usuarios de Certificados Digitales para su inmediata emisión en el medio de almacenamiento respectivo.

d)         Entregar el Certificado Digital de forma personal y atender las consultas verbales que cada Suscriptor formule sobre su funcionamiento y alcance.

e)         Verificar que el certificado cumpla todos los requisitos exigidos por este Reglamento.

f)          Verificar la documentación presentada por el Suscriptor a fin de que sea firmada por éste en original y una copia, y entregar esta última al Suscriptor.

g)         Custodiar los formularios originales de suscripción para el uso de certificados digitales.

h)         Realizar el procedimiento de renovación y el vencimiento anticipado de certificados de acuerdo con lo dispuesto en este Reglamento.

i)          Recibir y dar trámite a las solicitudes de vencimiento anticipado, renovación, suspensión y reposición de los certificados.

Artículo 6º-Funciones indelegables del Jefe de la Unidad de Servicios de Información en lo que a la Función Certificadora corresponde. Son funciones indelegables de la Jefatura de la Unidad de Servicios de Información en lo que a la Función Certificadora corresponde:

a)         Planear, dirigir, organizar, supervisar y controlar las actividades propias de la Función Certificadora.

b)         Velar por el cumplimiento de la normativa vigente, políticas y procedimientos en materia de su competencia.

c)         Establecer y mantener la comunicación y la coordinación necesarias con todas las demás dependencias de la Contraloría General, involucradas en el proceso y con las personas internas y externas adscritas al servicio de Firma digital.

d)         Emitir las directrices y procedimientos internos para la asignación, ejecución y control de los trabajos.

e)         Coordinar la aplicación de medios, instrumentos metodológicos y sistemas de trabajo, que permitan acelerar los trámites y asegurar la prestación de los servicios a los usuarios en el momento oportuno.

f)          Evaluar el desempeño del personal en el que se le haya delegado funciones atinentes a los Certificados Digitales.

g)         Realizar otras funciones propias del cargo.

Artículo 7º-Control y operación de Certificados Digitales. El control y la operación de los equipos donde reside la información relativa a los Certificados Digitales estará a cargo de la Unidad de Sistemas y Tecnologías de Información, quien debe mantener y evaluar la confiabilidad y calidad de los procedimientos utilizados, la integridad, confidencialidad y disponibilidad de los datos. Entre sus funciones está:

a)         Planear dirigir, coordinar y controlar las actividades de configuración y mantenimiento de la infraestructura tecnológica de Certificados Digitales.

b)         Establecer y verificar que se cumpla con los procedimientos de:

i.          Seguridad lógica y física.

ii.         Respaldo de la información.

c)         Verificar que los algoritmos y longitudes de claves utilizados cumplen con los estándares de tecnología de Firma digital.

d)         Revisar periódicamente las bitácoras de eventos e informes de operación del sistema.

e)         Confeccionar informes de anomalías detectadas, así como las acciones tomadas o por tomar para corregirlas o reducir su daño.

CAPÍTULO III

De los Certificados Digitales y las Firmas Digitales

Artículo 8º-Implementación de los Certificados Digitales y Firmas Digitales. Las directrices acerca de los trámites en los que como administración activa o función fiscalizadora pueden ser utilizados estos u otros medios electrónicos, serán definidos para cada tipo de proceso por parte de la Contralora General, de lo cual se publicará un aviso en el Diario Oficial La Gaceta. Por lo tanto, en ausencia de dichas directrices se entiende que se continuarán utilizando los medios de firma manuscrita para todo efecto legal. Lo anterior, a efecto de verificar en cada caso que existen las condiciones técnicas y administrativas para su debida gestión.

Artículo 9º-Uso de Certificados Digitales para sujetos pasivos y proveedores. La relación entre la Contraloría General y el Suscriptor de ese certificado, se rige por lo establecido en el presente Reglamento y los términos del Formulario de Suscripción para el Uso de Certificados Digitales y demás normativa vigente.

Artículo 10.-Validez de los Certificados Digitales otorgados por la Unidad de Servicios de Información. Las Firmas Digitales amparadas a los Certificados Digitales tendrán validez y efecto únicamente para las actividades y documentos descritos en el Formulario de Suscripción para el Uso de Certificados Digitales, siendo responsabilidad del Suscriptor la custodia debida del mismo y su adecuado uso, por tratarse de un medio de identificación digital cuya autenticidad será reconocida por la Contraloría General de la República.

Artículo 11.-Presunción de autoría y responsabilidad. Todo documento, mensaje electrónico o archivo digital asociado a una Firma digital certificada por la Contraloría General de la República en el ámbito establecido en el artículo 10 anterior, se presumirá, salvo prueba en contrario, como de la autoría y responsabilidad del Suscriptor del correspondiente Certificado Digital, vigente al momento de su emisión, siempre y cuando se ajuste a los procedimientos y controles dispuestos por este Reglamento.

Artículo 12.-Medio de almacenamiento. Los Certificados Digitales serán entregados en disco compacto para ser utilizados únicamente por el Suscriptor, sin perjuicio de que éste provea un medio de almacenamiento tipo "token", en cuyo caso el certificado podrá ser almacenado en éste.  El certificado será almacenado de manera protegida mediante una clave alfanumérica que digitará el Suscriptor al momento de su creación, con esta clave se garantiza que únicamente, mediante el uso de ésta podrá ser instalado el certificado en un equipo de cómputo.

Artículo 13.-Responsabilidad del Suscriptor por la debida custodia y uso del certificado y firma digital. Es deber del Suscriptor salvaguardar el medio de almacenamiento en un lugar seguro y utilizarlo en forma personal para efectos de los trámites autorizados y conforme a los procedimientos establecidos, no revelando a nadie la clave de seguridad del certificado. Si en algún momento el Suscriptor sospecha que la seguridad del medio (o del certificado en si) se ha visto comprometida por pérdida, sustracción, robo o deterioro, entre otros, debe reportarlo de inmediato a la Unidad de Servicios de Información de la Contraloría General para que se proceda a su inhabilitación y a emitir un certificado nuevo.

Artículo 14.-Contenido de los certificados digitales. Los Certificados Digitales contendrán la siguiente información:

a)         Nombre, cargo y número de cédula del Suscriptor del certificado.

b)         Correo electrónico del Suscriptor del certificado, que será considerado como domicilio electrónico legal para los efectos de las comunicaciones y notificaciones oficiales del tipo de gestión que el contrato unilateral de adhesión habilite.

c)         La identificación de la Contraloría General de la República.

d)         Un número de serie único e irrepetible.

e)         La fecha de expedición y de vencimiento.

f)          La especificación del propósito, límites o restricciones a que esté sometido el certificado digital.

Artículo 15.-Período de vigencia del certificado digital. Los Certificados Digitales tendrán una vigencia de tres años a partir de la fecha de su emisión, estando indicadas en el certificado, tanto la fecha de emisión como la de vencimiento.

Artículo 16.-De la renovación y suspensión del certificado. Para la renovación de los Certificados Digitales el Suscriptor requerirá únicamente que se mantengan las condiciones que originaron su emisión; caso contrario, deberá demostrar ante la Unidad de Servicios de Información que aun requiere el uso de Certificados Digitales de la Contraloría General.  Para la renovación del Certificado Digital, el Suscriptor deberá gestionarlo con un mínimo de quince días naturales de anticipación ante la Unidad de Servicios de Información de la Contraloría General, lo cual podrá hacer en forma personal, por escrito o mediante correo electrónico firmado digitalmente al amparo del Certificado Digital que se desea renovar, dirigido a la Unidad de Servicios de Información.

Artículo 17.-Derechos del Suscriptor de un Certificado Digital. El Suscriptor de un Certificado Digital tiene los siguientes derechos:

a)         Que la Unidad de Servicios de Información emplee los elementos técnicos disponibles para brindar seguridad y confidencialidad de la información proporcionada por él, y a ser informado sobre ello.

b)         A ser informado por la Unidad de Servicios de Información sobre los medios a los que puede acudir para solicitar aclaraciones del mal funcionamiento del sistema, o presentar sus reclamos.

c)         A la generación de un nuevo certificado en caso de error, pérdida, daño, mal uso del medio de almacenamiento, o por alguna otra razón por la cual deje de funcionar el medio de almacenamiento o el certificado digital.

d)         A solicitar el vencimiento anticipado del certificado digital.

e)         A utilizar un Certificado Digital Registrado para realizar sus transacciones con esta Contraloría General en lugar del certificado que ésta le hubiera otorgado originalmente.

Artículo 18.-Obligaciones del Suscriptor del Certificado Digital. Son obligaciones del Suscriptor de un Certificado Digital:

a)         Facilitar a la Unidad de Servicios de Información la información requerida para la generación del correspondiente certificado.

b)         Proteger la confidencialidad del Certificado Digital y de su clave asociada, informando inmediatamente a la Unidad de Servicios de Información en caso de que dicha confidencialidad se vea o se sospeche que haya sido comprometida.

c)         Utilizar el Certificado Digital únicamente para el fin o procedimientos concretos para los cuales fue emitido.

d)         Comunicar a la Unidad de Servicios de Información (vía telefónica, fax o por correo electrónico con Firma digital) del cambio de alguno de los datos contenidos en el Certificado Digital que hubiera sido objeto de verificación al momento de entrega de este.

e)         Comunicar de inmediato (vía telefónica, por escrito o por correo electrónico con Firma digital) a la Unidad de Servicios de Información de la pérdida, sustracción o robo del medio de almacenamiento.

f)          Suscribir personalmente el Formulario de Suscripción para el Uso de Certificados Digitales.

g)         Renovar el Certificado Digital en los quince días naturales anteriores a que se cumpla la fecha de su expiración.

h)         Comunicar a la Contraloría General (por escrito o por correo electrónico con Firma digital) cuando posea un Certificado Digital Registrado para que ésta proceda al vencimiento anticipado del certificado otorgado por la Unidad de Servicios de Información.

Artículo 19.-Entrega de los Certificados Digitales. La entrega de los certificados se hará estrictamente de manera personal, previa presentación de la cédula de identidad, una vez firmado el Formulario de Suscripción para el Uso de Certificados Digitales. No se hará entrega a persona distinta al dueño del Certificado Digital, excepción hecha de aquellos casos en que exista un poder debidamente acreditado al efecto.

Artículo 20.-Vencimiento anticipado de la vigencia del Certificado Digital. El Certificado Digital podrá ser dejado sin efecto, cuando se presenten algunas de las causas siguientes:

a.         Cuando sea solicitado expresamente por el Suscriptor, para lo cual debe comunicarlo (por escrito o correo electrónico con Firma digital) a la Unidad de Servicios de Información.

b.         Cuando finalice la relación laboral cuando se trate de funcionarios de la Contraloría General.

c.         Luego de presentar la declaración jurada de bienes final de su gestión.

d.         Cuando sea ordenado por acto administrativo.

e.         Cuando se solicite por orden de autoridad judicial.

f.          Cuando contra el Suscriptor del certificado se hubiera dictado auto de apertura a juicio, por delitos en cuya comisión se haya utilizado la Firma digital.

g.         Cuando el interesado comunique a esta Contraloría que posee un Certificado Digital Registrado, o cuando este órgano contralor detecte que el Suscriptor o usuario está utilizando un Certificado Digital Registrado para llevar a cabo sus transacciones con este órgano contralor.

h.         Cuando el usuario o suscriptor comunique a la Unidad de Servicios de Información del extravío, hurto o robo del mismo o tenga la sospecha de que se hayan presentado tales circunstancias.  En caso de que el Suscriptor solicite por sí mismo el vencimiento anticipado de la vigencia del Certificado Digital, deberá comunicarlo de manera personal, o mediante correo electrónico firmado digitalmente, a la Unidad de Servicios de Información para que esta lleve a cabo el vencimiento anticipado del certificado digital.  Una vez que un Certificado Digital se encuentra vencido ninguna Firma digital que se efectúe al amparo del mismo tendrá validez.

Artículo 21.-Ineficacia de trámites no autorizados. Toda gestión, reclamo o recurso planteado por el Suscriptor o usuario que se realice utilizando el Certificado Digital y la Firma digital ante la Contraloría General de la República, que sea ajena a las autorizadas mediante el Formulario de Suscripción para el Uso de Certificados Digitales, se considerará como no realizada en el debido lugar y forma, por lo que carecerá de efecto legal alguno.

CAPÍTULO IV

Disposiciones finales

Artículo 22.-Sustitución de certificado. Una vez que los Suscriptores o usuarios cuenten con un Certificado Digital Registrado, el mismo sustituirá para los mismos fines y efectos al certificado digital proporcionado por la Contraloría General.

Artículo 23.-Continuidad en el uso de claves de acceso. El uso de los Certificados Digitales y Firmas Digitales conforme al presente reglamento no sustituye en ningún caso la utilización presente y futura de las claves de acceso que la Contraloría General de la República proporciona a los usuarios internos y externos para la utilización de los sistemas informáticos que operan en el órgano contralor, salvo cuando expresamente se disponga lo contrario en las normas y procedimientos que rigen esos sistemas.

Artículo 24.-Integración normativa. Los aspectos no regulados por este Reglamento o en su caso por los respectivos formularios de suscripción para el uso de certificados digitales se regularán por los que dispone la Ley Nº 8454 y Reglamento, y demás normas legales y reglamentarias conexas.

Artículo 25.-Rige a partir de su publicación en el Diario Oficial. 

Transitorio: El uso del domicilio electrónico proporcionado por los Suscriptores para efectos de las notificaciones oficiales que debe realizar la Contraloría General de la República, quedará sujeto a lo que disponga el respectivo reglamento de notificaciones interno que en su oportunidad emita el órgano contralor.

Publíquese.