Derecho
La Directiva N° 002-2024-PCM/SGTD, que se oficializó mediante la Resolución N° 007-2024-PCM/SGTD, precisa que el objeto es cumplir también con lo dispuesto en el Reglamento del Decreto Legislativo N° 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y fija disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo.
Seguridad
La finalidad es contribuir en la prestación segura de servicios digitales y procesos de gestión interna de las instituciones estatales con el uso adecuado de las firmas digital y electrónica, recalca el documento que publicó la Presidencia del Consejo de Ministros (PCM).
Las disposiciones del documento serán de aplicación obligatoria a las entidades señaladas en el artículo I del Título Preliminar del Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado mediante Decreto Supremo N° 004-2019-JUS, con excepción de las personas jurídicas señaladas en el numeral 8 del citado artículo.
Así también a las empresas que realizan actividad empresarial del Estado que se encuentran en el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (Fonafe) y de los gobiernos regionales y locales, en lo que corresponda, señala.
Utilización
De acuerdo con el documento, las entidades deberán utilizar la firma digital aplicando las disposiciones establecidas en la directiva; para emitir, publicar o intercambiar datos, información o documentos electrónicos con otras instituciones estatales, ciudadanos o personas; y en escenarios con alto riesgo de que su autoría se pueda cuestionar o desconocer.
Además, autoriza a las entidades públicas utilizar las modalidades de firma electrónica simple o avanzada para lo cual deberán realizar una evaluación previa del riesgo del uso de esa modalidad a fin de determinar el nivel de riesgo (bajo, medio o alto), mediante el uso de normas técnicas o estándares internacionales en gestión de riesgos ampliamente reconocidos.
A la par, las instituciones estatales tendrán que documentar el resultado de la evaluación de riesgo efectuada; y utilizar la firma electrónica simple en escenarios con bajo riesgo de que su autoría se pueda cuestionar o desconocer.
Las entidades usarán la firma electrónica avanzada en escenarios con mediano riesgo de que su autoría pueda ser cuestionada o desconocida; así como elaborarán y aprobarán procedimientos específicos que permitan el uso adecuado de cada modalidad utilizada, indica la directiva.
En caso de controversia sobre la autoría de una firma digital o electrónica, la carga de la prueba variará según la modalidad utilizada, de conformidad con lo establecido en el artículo 2A del Reglamento de la Ley N° 27269, menciona.
Así, este artículo señala que para la firma electrónica simple o avanzada, la carga de la prueba recaerá en quien la invoque como auténtica; mientras que para la firma digital estará a cargo de quien la señale como apócrifa.
La directiva aclara que toda mención a la firma digital deberá entenderse que se refiere a la firma electrónica cualificada establecida en el artículo 1A del Reglamento de la Ley N° 27269.
Formatos
El documento establece que los formatos de la firma digital que se deben utilizar en las entidades son CAdES, XAdES y PAdES. El primero se encuentra descrito en la especificación técnica ETSI TS 101 733 y es apropiado para firmar ficheros de cualquier tipo o tamaño, y cuando se requiera que la firma digital se guarde en formato binario, enfatiza.
En cuanto al formato XAdES, la directiva indica que está descrito en la especificación técnica ETSI TS 101 903. Es apropiado para firmar ficheros de cualquier tipo y cuando se requiera que la firma digital se guarde en formato XML, anota.
Respecto al formato PAdES, descrito en la especificación técnica ETSI TS 102 778-3, es apropiado para firmar ficheros en formato PDF y cuando se requiera que la firma digital quede embebida dentro del fichero firmado, recalca.
La directiva especifica que se podrá crear en uno de los siguientes modos: visible e invisible. En el primero, una representación gráfica (elemento visual conformado por texto y/o imagen) se asociará a la firma digital; mientras que el segundo no se asociará ninguna representación gráfica (elemento visual) a la firma digital, por lo tanto, su existencia no será visible al ojo humano, puntualiza.
Niveles
Los niveles de la firma digital que deben utilizar las entidades públicas empiezan en el Básico (nivel B). Una firma digital de esta característica protege la integridad del dato firmado y evidencia la autoría de la firma; no obstante, su verificabilidad es posible mientras el certificado digital del firmante se mantenga vigente (es decir, que no se encuentre ni revocado, ni expirado).
Una firma digital de este nivel incorpora la fecha y hora del computador donde se creó, por lo que se debe adoptar en situaciones en las que la precisión de la fecha y hora de su creación no es determinante y/o cuando no requiera que se verifique en una fecha posterior a la vigencia del certificado digital del firmante.
Con sello de tiempo (nivel T) es la firma digital de nivel B que incluye una fecha y hora cierta provista por un tercero en el rol de prestador de servicios de valor añadido, en la modalidad de Sistema de Sellado de Tiempo. Este nivel se debe elegir cuando la consignación de la fecha y hora del momento de su creación es determinante.
La firma digital con disponibilidad de datos de validación en el largo plazo (nivel LT) es una de nivel T que contiene, además, los datos de validación de largo plazo o sus referencias. Busca asegurar la disponibilidad de los datos de validación, incluso si sus fuentes de origen ya no están disponibles. Este nivel debe elegirse cuando se requiere que la firma digital sea verificable en el largo plazo, más allá de la vigencia del certificado digital del firmante.
Lea también en El Peruano:
? Egresa promoción de 450 agentes penitenciarios. El personal cumplió seis ciclos académicos, incluido uno de práctica https://t.co/9RGwq7QrMw pic.twitter.com/V3fe3mO96D
— Diario El Peruano (@DiarioElPeruano) December 21, 2024