Resumen: En esta parte se definen los términos y se brindan pautas para la interpretación de la ley. También se especifica el papel de la División.
Podrá citarse el presente capítulo llamándoselo Ley de Firma Digital de Utah.
Se interpretará a este capítulo en coherencia con lo que se considere razonable en ciertas circunstancias, para lograr los siguientes fines:
La norma 2.1 establece principios similares que deben tenerse en cuenta al interpretar dichas normas. El texto dice así:
(1) Salvo que se establezca lo contrario, debe interpretarse que las presentes Normas son compatibles con lo que se considere comercialmente razonable en esas circunstancias.
(2) Las cuestiones no resueltas por las presentes Normas deben resolverse de conformidad con los principios generales que surgen de las mismas.
Los comentarios a la Norma 2.1 explicitan lo que se entiende por "razonable". Se trata de un principio interpretativo "destinado a llenar lagunas y brindar significación a los términos generales que se aplican en situaciones fácticas específicas" "recurriendo a las tradicionales pautas interpretativas, tales como la conducta de las partes en el negocio y los usos y costumbres del Sector" y atribuir una buena fe implícita a sus intenciones. Véanse comentarios 2.1.1 a 2.1.6
A los fines del presente capítulo, y salvo que se indique lo contrario, las siguientes expresiones significan:
1. "Aceptar un certificado":
1. Manifestar que se aprueba un certificado, porque se conoce o se tiene noticia de su contenido; o bien,
2. Solicitar un certificado a una autoridad certificante autorizada, sin cancelar ni revocar la solicitud notificando la cancelación o revocación a la autoridad certificante y obteniendo de ésta un recibo escrito y firmado, si la autoridad certificante subsiguientemente emite un certificado respondiendo a dicha solicitud.
2. "Criptosistema asimétrico": algoritmo o serie de algoritmos que brindan un par de claves confiable.
3. "Certificado": registro basado en la computadora, que:
1. Identifica a la autoridad certificante que lo emite;
2. Nombra o identifica a quien lo suscribe;
3. Contiene la clave pública de quien lo suscribe, y
4. Está firmado digitalmente por la autoridad certificante que lo emite.
4. "Autoridad certificante": persona que emite un certificado.
5. "Registro de publicidad de la autoridad certificante": registro en línea de acceso público, que lleva la División, relativo a la autoridad certificante acreditada. Este registro tiene el contenido especificado por la regla de la División conforme a ...?
6. "Fórmula de certificación": declaración de las prácticas que emplea una autoridad certificante al emitir certificados.
7. "Certificar": con referencia a un certificado, significa declarar que refleja todos los hechos relevantes.
8. "Confirmar": verificar mediante un adecuado examen e investigación
9. "Corresponder": con referencia a las claves, significa pertenecer al mismo par de claves.
10. "Firma digital": transformación de un mensaje empleando un criptosistema asimétrico tal, que una persona que posea el mensaje inicial y la clave pública del firmante pueda determinar con certeza:
1. Si la transformación se creó usando la clave privada que corresponde a la clave pública del firmante, y
2. Si el mensaje ha sido modificado desde que se efectuó la transformación.
11. "División": División Empresas y Código Comercial, del Departamento Comercial de Utah.
12. "Falsificar una firma digital":
1. Crear una firma digital sin autorización del tenedor legítimo de la clave privada, o bien
2. Crear una firma digital verificable mediante un certificado donde aparezca incluida una persona inexistente o que no posea la clave privada correspondiente a la clave pública mencionada en él.
13. "Poseer una clave privada": tener la posibilidad de utilizar una clave privada.
14. "Incorporar por referencia": hacer que un mensaje pase a formar parte de otro identificando el mensaje que será incorporado y expresando la intención de que resulte incorporado.
15. "Emitir un certificado": actos que realiza la autoridad certificante para crear un certificado y notificar al suscriptor mencionado en el certificado sobre el contenido de dicho certificado.
16. "Par de claves": clave privada y su correspondiente clave pública en un criptosistema asimétrico, claves que tienen la propiedad de que la clave pública puede verificar una firma digital que crea la clave privada.
17. "Autoridad certificante acreditada": autoridad certificante a quien la División le ha extendido una acreditación. Dicha acreditación debe estar vigente.
18. "Mensaje": representación digital de información.
19. "Notificar": comunicar un hecho a otra persona de una manera que fehacientemente se parezca, dadas las circunstancias, a lo que sería ponerla al tanto de la información.
20. "Personal operativo": una o más personas físicas que actúan como autoridad certificante o como representante de ella, que sean empleadas de una autoridad certificante o las ligue a ellas un contrato, y que cumplan:
1. Responsabilidades gerenciales o de determinación de políticas para la autoridad certificante, o bien
2. Deberes que involucren la emisión de certificados, la creación de claves privadas o el manejo de los servicios de computación de la autoridad certificante.
21. "Persona": persona física o jurídica capaz de firmar un documento, sea legalmente o como cuestión de hecho.
22. "Clave privada": de dos claves, una de ellas, que se usa para crear una firma digital.
23. "Clave pública": de dos claves, una de ellas, que se usa para verificar una firma digital.
24. "Publicar": registrar o archivar en un repositorio.
25. "Derecho limitado de pago": sentencia condenatoria al pago de daños y perjuicios contra una autoridad certificante, por un tribunal que tenga jurisdicción sobre dicha autoridad, en una acción civil promovida por violación del presente capítulo
26. "Receptor": persona que recibe o tiene una firma digital y está en condiciones de confiar en ella.
27. "Repositorio reconocido": repositorio reconocido por la División conforme al artículo 501 del presente capítulo.
28. "Límite de confianza recomendado": cifra monetaria recomendada hasta donde confiar en un certificado de conformidad con el artículo 309 (1).
29. "Repositorio": sistema para almacenar y recuperar certificados y demás información pertinente a las firmas digitales.
30. "Revocar un certificado": volverlo ineficaz en forma permanente a partir de cierta fecha especificada. La revocación se efectúa mediante anotación o inclusión dentro de un conjunto de certificados revocados, y no implica que haya que destruir ni volver ilegible dicho certificado.
31. "Poseer legalmente una clave privada": estar habilitado para utilizar una clave privada
1. que el tenedor o sus representantes no han revelado a persona alguna en violación al art. 305 (1), y
2. que el tenedor no hubiese obtenido mediante robo, engaño, intercepción u otro medio ilegal.
32. "Suscriptor": persona que:
1. es el sujeto cuyo nombre figura en un certificado;
2. acepta el certificado, y
3. tiene una clave privada que corresponde a la clave pública mencionada en dicho certificado.
33. "Suficiente garantía" garantía de cumplimiento de obligaciones contractuales otorgada por un garante autorizado por el Departamento de Seguros de Utah a realizar operaciones comerciales en dicho Estado, o bien una carta de crédito irrevocable emitida por una institución financiera autorizada por el Departamento de Instituciones Financieras de Utah para funcionar en ese Estado, la cual, en cualquiera de los dos casos, debe cumplir con los siguientes requisitos:
1. Que sea pagadera a la División, a favor de personas que tengan derechos de cobro limitados contra la autoridad certificante que figura como obligado principal o emitente de la carta de crédito.
2. Que se libre por un monto especificado por una norma de la División, conforme al artículo ....
3. Que en ella se mencione que se la libra de conformidad con el presente capítulo.
4. Que especifique un plazo de vigencia que se extienda por lo menos durante la vigencia de la acreditación que se otorgue a la autoridad certificante, y
5. Que se ajuste a una forma prescripta o aprobada por norma de la División.
La suficiente garantía también puede establecer que la responsabilidad anual total sobre la garantía a todas las personas que presenten un reclamo amparándose en ella no puede exceder el importe nominal de la garantía
34. "Suspender un certificado": volverlo temporariamente ineficaz a partir de determinada fecha.
35. "Timbre fechador": Significa:
1. Agregar a un mensaje, a una firma digital o a un certificado una anotación firmada digitalmente donde se indique como mínimo la fecha, la hora y la identidad de la persona que efectúa la anotación, o bien
2. La anotación así agregada.
36. "Certificado de transacción": certificado válido, que incorpore por referencia una o más firmas digitales.
37. "Sistema confiable": equipos y programas de computación:
1. Que sean razonablemente confiables contra la posibilidad de intrusión o uso indebido;
2. Que brinden un razonable grado de disponibilidad, confiabilidad y correcto funcionamiento, y
3. Que se adapten debidamente al desempeño de sus funciones específicas.
38. "Certificado válido": Certificado:
1. Que ha sido emitido por una autoridad certificante;
2. Que ha sido aceptado por el suscriptor allí mencionado;
3. Que no ha sido revocado ni suspendido;
4. Que no ha vencido.
Se establece que un certificado de transacción constituye un certificado válido sólo en relación con la firma digital incorporada en él por referencia.
39. "Verificar una firma digital": En relación con una firma digital, mensaje o clave pública, determinar fehacientemente:
1. Que la firma digital fue creada por la clave privada correspondiente a la clave
pública, y
2. Que el mensaje no ha sufrido modificaciones con posterioridad a la creación de la firma digital.
La "División" es el organismo administrativo de Utah encargado de procesar los registros (archivos) relativos a empresas, sociedades, compañías de responsabilidad limitada y nombres de fantasía. También procesa los registros de "financing statements" (declaración presentada por un acreedor ante la autoridad competente, respecto de la constitución de un derecho de garantía, necesaria para el perfeccionamiento de tal derecho a favor de él) según lo establece el artículo 9 del Código Comercial de Utah, y comisiona a escribanos.
En la mayoría de los demás Estados, las funciones de la División las lleva a cabo la oficina del Secretario de Estado. Según se desprende del entrecomillado, la palabra "División" podría reemplazarse por otra a lo largo del texto, si el presente borrador sirviera de punto de partida para sancionar una ley semejante en algún otro lugar.
& "Certificado válido"
El "certificado válido" se define solamente a los fines de esta ley, y no sugiere nada respecto de la validez de certificados que no entren dentro del alcance de la definición. En una palabra, los certificados que no son "válidos" según lo entiende esta ley pueden sin embargo tener valor legal por aplicación de reglas y principios que no sean de esta ley. En particular, los emitidos por autoridades certificantes no acreditadas pueden tener valor para determinar una firma reconocida legalmente, con independencia de la presente ley.
Algunas definiciones de el presente artículo—tales como "incorporar por referencia" y "notificar"—son tomadas de la terminología jurídica corriente, y deben ser interpretadas de conformidad.
Las definiciones de el presente artículo son substancialmente las mismas de las Normas ABA, salvo las siguientes, que no aparecen en tales normas: "registro de publicidad de la autoridad certificante", "personal operativo", "repositorio reconocido", "límite de confianza recomendado", ""tener legalmente una clave privada" y "suficiente garantía".
El artículo 16.5 del Título I del Código de Gobierno de California define de la siguiente manera la "firma digital":
(a) Se entiende por "firma digital" la creación, mediante computadora, de un identificador electrónico que reúna todos los atributos de una firma válida aceptable:
1) Que sea exclusivo del firmante;
2) Que sea susceptible de ser verificado;
3) Que esté bajo el control absoluto del firmante;
4) Que esté unido de tal manera a los datos que, si tales datos sufren alguna modificación, la firma quede invalidada.
5) Que haya sido adoptado como norma por no menos de dos de las siguientesorganizaciones:
A) La Unión Internacional de Telecomunicaciones (ex CCITT o Comité
Consultor Internacional de Telégrafos y Teléfonos);
B) El Instituto Nacional Norteamericano de Normas (American National
Standards Institute, ANSI);
C) La Junta de Actividades de Internet (Internet Activities Board, IAB);
D) El Instituto Nacional de Ciencia y Tecnología (NIST);
E) La Organización Internacional de Normas (International StandardsOrganization, ISO).
6) Que exista de conformidad con las reglamentaciones adoptadas por el Secretario de Estado de acuerdo con el Código de Gobierno 11500 y siguientes, la Ley de Procedimientos Administrativos de California.
La División será la autoridad certificante, y está facultada para emitir, suspender y revocar certificados en la manera prescripta para las autoridades certificantes acreditadas. La Parte 3 rige para la División respecto de los certificados que emite.
La División mantendrá una base de datos a la cual pueda acceder el público, que contenga el registro de publicidad de cada autoridad certificante acreditada. También publicará el contenido de dicha base de datos en por lo menos un repositorio reconocido.
La División establecerá reglas compatibles con el presente capítulo, para conseguir sus objetivos:
2. Para determinar el monto apropiado que se considere suficiente garantía, teniendo en cuenta:
a) el costo que dicha garantía representa para las autoridades certificantes acreditadas, y
b) la garantía de responsabilidad financiera que brinda a las personas que confían en los certificados emitidos por autoridades certificantes acreditadas;
3. Para supervisar los soportes lógicos a usarse en la creación de firmas digitales y publicar informes relativos a ellos;
4. Para determinar los requisitos que debe reunir la forma de los certificados emitidos por autoridades certificantes acreditadas;
5. Para determinar los requisitos que deben cumplir las autoridades certificantes al llevar sus registros;
6. Para determinar los requisitos de contenido, forma y fuentes de información de los registros de publicidad de la autoridad certificante, la puesta al día de tal información, como también otras prácticas y políticas relativas a los registros de publicidad de las autoridades certificantes;
7. Para especificar la forma de las fórmulas de certificación, y
8. Para cualquier otro acto tendiente a dar validez e implementar la presente Ley de Firma Digital.
El rol de la División, en tanto autoridad certificante, debería limitarse principalmente a: (a) generar otras autoridades certificantes que, en lugar de la División, realizan casi toda la labor de emitir certificados al sector privado; (b) permitir que las autoridades certificantes acreditadas pertenecientes al gobierno del Estado funcionen como tales, y © prestar servicios a los usuarios dentro de la División misma. Para establecer que la División sea una autoridad certificante no hace falta que ella emita una gran cantidad de certificados. Para el sector privado, la División podría actuar fundamentalmente de móvil impulsor en la emisión de certificados, emitiendo sólo la cantidad necesaria como para que se ponga en funcionamiento la infraestructura de firma digital del sector principalmente privado. Para el gobierno del Estado, la División podría emitir sólo los certificados necesarios como para permitir que funcionen otras autoridades certificantes del Estado, puesto que para actuar de autoridad certificante uno debe ser suscriptor de un certificado; de lo contrario, uno no podría firmar en forma verificable los certificados que uno emite.
El principal papel de la División reside, no sólo en actuar de autoridad certificante en sí misma, sino más bien en el área de la formulación de políticas, facilitando la adopción de la necesaria tecnología para la firma digital y realizando una labor de supervisión regulatoria.
El siguiente artículo de la Ley de Firma Digital de Utah también se refiere a las normas de la División: El artículo 501 también delega en la División la facultad de reconocer repositorios. El artículo ?(2)© permite a la División cobrar un arancel para acreditar autoridades certificantes. El artículo ?(1) faculta a la División para especificar detalles acerca de las calificaciones de los auditores.
Este artículo queda fuera de la esfera de acción de las Normas ABA, salvo que las reglas para las autoridades certificantes regiría para la División en su rol limitado de autoridad certificante.
El artículo 16.5 del Título I del Código de Gobierno de California delega de igual manera en el Secretario de Estado la facultad de establecer reglamentaciones relativas a las firmas digitales.