Resumen: Esta parte faculta a la División a acreditar y regular a las autoridades certificantes a fin de garantizar un nivel básico de calidad de sus servicios, que son de vital importancia para la confiabilidad de las firmas digitales.
Para obtener o retener una licencia de autoridad certificante, quien pretenda serlo
1. Debe ser suscriptor de un certificado publicado en un repositorio reconocido
2. Debe emplear como personal operativo sólo a personas que no hubiesen sido condenadas en los últimos quince años por delitos de fraude, falso testimonio o engaño.
3. Debe emplear como personal operativo sólo a personas que hubiesen demostrado tener conocimientos y la capacidad de cumplir con los requisitos del presente capítulo.
4. Debe presentar en la División una suficiente garantía, a menos que la autoridad certificante sea el gobernador, algún organismo del gobierno estadual, la Fiscalía de Estado, el Consejo Judicial de Utah, una ciudad o una municipalidad, siempre y cuando los mencionados actuaran a través de funcionarios designados, autorizados por ley o reglamento, a ejercer las funciones de autoridad certificante; y este Estado o uno de los organismos mencionados sea el suscriptor de todos los certificados emitidos por dicha autoridad certificante.
5. Debe tener la posibilidad de usar un sistema confiable, incluso un método seguro para controlar el uso de su clave privada.
6. Debe presentar a la División prueba de poseer un suficiente capital de explotación que le permita realizar negocios en calidad de autoridad certificante.
7. Debe tener oficinas en este Estado o contar con un representante matriculado para la notificación de actos procesales en este Estado, y
8. Debe cumplir con todos los demás requisitos exigidos por la reglamentación de la División.
La División emitirá una licencia de acreditación a la autoridad certificante:
1. Que esté calificada conforme al apartado (1) de el presente artículo:
2. Que presente por escrito una solicitud de licencia a la División, y
3. Que abone una tasa estipulada por la División.
La División puede clasificar las licencias de acuerdo con ciertas limitaciones específicas, tales como número máximo de certificados pendientes, máximo total de límites de confianza recomendados en certificados emitidos por la autoridad certificante o bien emisión sólo dentro de una única organización, y puede emitir licencias restringidas dentro de los límites de cada clasificación. Si la autoridad certificante emite un certificado que exceda las restricciones de la licencia, actúa como autoridad certificante no acreditada. (unlicensed).
La División puede revocar o suspender la licencia a una autoridad certificante si ésta no cumple con lo dispuesto en el presente capítulo o si no sigue siendo calificada según lo establece el apartado (1) de este artículo, de conformidad con los procedimientos judiciales estipulados en la Ley de Procedimientos Administrativos, título 63, capítulo 46b.
La División puede reconocer la acreditación o autorización de autoridades certificantes que realicen otros organismos gubernamentales, siempre y cuando los requisitos para la acreditación sean substancialmente similares a los que rigen en este Estado. En tal caso:
1. La parte 4 del presente capítulo, relacionada con las presunciones y efectos legales, regirá para los certificados emitidos por autoridades certificantes acreditadas por dicho organismo gubernamental de la misma manera que rige para las autoridades certificantes de este Estado, y
2. Los límites de responsabilidad de El artículo 309 se aplicarán a las autoridades certificantes acreditadas o autorizadas por dicho organismo gubernamental del mismo modo que rigen para las de este Estado.
Salvo que las partes estipulen lo contrario por contrato suscripto entre ellas, los requisitos para la acreditación que establece este artículo no afectan la efectividad, aplicabilidad ni la validez de una firma digital, salvo que la parte 4 del presente capítulo no regirá en relación con la firma digital que no pueda ser verificada por un certificado emitido por autoridad certificante acreditada. Más aún, los límites de responsabilidad establecidos por El artículo 309 no rigen para las autoridades certificantes no acreditadas.
Este artículo prevé que la División pueda acreditar autoridades certificantes. La acreditación requiere un mínimo sistema regulatorio de modo de poder brindar un nivel básico de confiabilidad en el ejercicio profesional de la autoridad certificante. Las partes de una transacción pueden beneficiarse con esta confiabilidad básica especificando que sus firmas digitales deben ser verificables por referencia a certificados emitidos por autoridades certificantes acreditadas.
Al estipular los requisitos mínimos para la acreditación, el presente artículo no impide que una autoridad certificante pueda fijar para sí misma requisitos más estrictos.
El apartado (1) (d) limita la acreditación a personas que demuestren solvencia financiera posting "suficientes garantías", fianzas o cartas de crédito cuyo monto fija la norma administrativa. La fianza o carta de crédito garantiza que la autoridad certificante pueda responder por daños, al menos en gran medida, en caso de error u omisión.
De conformidad con el apartado (6), una firma digital puede ser eficaz, exigible y válida aunque esté verificada sólo por un certificado emanado de autoridad certificante no acreditada. La presente Ley no impide la aplicación de otras leyes para determinar qué es lo que constituye una firma; una marca, como por ejemplo, una firma digital, puede constituir firma válida según los términos de otra ley que no sea ésta. El objeto de la presente Ley es aumentar la confiabilidad de las firmas digitales, no minar la confiabilidad de firma alguna invalidándola por falta de una licencia regulatoria. La acreditación ayuda a garantizar un nivel mínimo de confiabilidad dentro del ejercicio general de la profesión, pero una firma digital de todos modos puede ser confiable y legalmente válida si está autenticada por un certificado emitido por autoridad certificante no acreditada, o sin que medie autenticación alguna por certificado.
Si una autoridad certificante eligiera operar en este Estado sin acreditación asumiría un mayor riesgo de responsabilidad. Véase sección 309 y comentarios conexos.
Véase
Normas 3.1 (exigir a las autoridades certificantes que utilicen sistemas confiables); 3.3 (exigir que las autoridades certificantes tengan solvencia financiera); 3.4 (exigir prácticas que garanticen empleados y contratantes confiables y competentes).Por lo menos una vez al año, un contador público con experiencia en temas de seguridad informática, o bien un acreditado profesional de la computación, evaluarán las operaciones de cada autoridad certificante acreditada con el fin de determinar si se cumplen las normas exigidas por este capítulo. La División puede especificar con mayor lujo de detalles los requisitos para los auditores.
Tomando en cuenta la información recogida en la auditoría, el auditor clasificará el desempeño de la autoridad certificante como de:
1. Cumplimiento total: La autoridad certificante cumple razonablemente con todos los requisitos regulatorios y establecidos por la ley.
2. Cumplimiento satisfactorio: La autoridad certificante cumple razonablemente con todos los requisitos regulatorios y establecidos por la ley; sin embargo, se advierte uno o más casos de incumplimiento o de incapacidad de demostrar el cumplimiento, pero se los considera de escasa importancia.
3. Cumplimiento parcial: La autoridad certificante cumple con algunos de los requisitos regulatorios y establecidos por la ley, pero se le comprueba incumplimiento, o incapacidad de demostrar cumplimiento, de uno o más resguardos importantes.
4. Incumplimiento: La autoridad certificante cumple muy pocos o ninguno de los requisitos regulatorios establecidos por ley, no lleva registros adecuados para demostrar cumplimiento de numerosos requisitos, o bien se negó a permitir la auditoría.
La División publicará en el registro de publicidad de la autoridad certificante la fecha de la auditoría y la resultante clasificación que recibió la autoridad.
La División puede eximir a la autoridad certificante acreditada de las exigencias fijadas por el apartado (1) de el presente artículo:
1. Si la autoridad certificante solicita por escrito ser eximida;
2. Si en la última auditoría que se le hubiera practicado hubiese obtenido la calificación de cumplimiento total o cumplimiento satisfactorio, y
3. Si la autoridad certificante declara bajo juramento una de las siguientes tres alternativas:
1. que hubiera emitido menos de seis certificados durante el año anterior, y el total de los límites de confianza recomendados, de todos esos certificados, no excediera los US$ 10.000;
2. que la vigencia total de todos los certificados emitidos por dicha autoridad durante el año anterior fuera inferior a 30 días, y el total de los límites de confianza recomendados, de todos esos certificados, no excediera los US$ 10.000;
3. que los límites de confianza recomendados de todos los certificados pendientes y emitidos por la autoridad certificante totalizaran menos de US$ 1.000.
Si la declaración que presenta la autoridad certificante conforme a este apartado falsea algún dato relevante, se considerará que dicha autoridad no cumplió con la obligación de auditoría exigida por este artículo.
Si la autoridad certificante acreditada resultara eximida conforme a este apartado, la División publicará en el registro de publicidad que dicha autoridad ha sido eximida del requerimiento de una auditoría de gestión.
Una ley puede exigir la auditoría como cuestión general, pero son las instituciones de auditores profesionales y de profesionales en seguridad informática las que deben sentar las pautas y prácticas generales necesarias para implementar este requisito legal. Para los auditores, el Instituto Norteamericano de Contadores Públicos (American Institute of Certified Public Accountants) fija normas para auditorías. Para los profesionales de la seguridad informática, el International Information System Security Certification Consortium ha reunido un caudal de conocimientos, realiza evaluaciones y otorga credenciales indicando la experiencia con que cuenta una persona en temas de seguridad de los sistemas de información. Ambos organismos conocen la legislación sobre firma digital y saben de la necesidad de encarar este tema en el futuro.
Las Normas ABA no exigen la auditoría.
===================================================== El artículo 203 de la Ley de Utah, de 1995, relacionada con los registros de publicidad de la autoridad certificante ha sido reemplazada por El artículo ?(2) de la reforma propuesta a la Ley de Utah y Código Administrativo de Utah?
=====================================================
La División puede investigar las actividades de una autoridad certificante relativas al cumplimiento de lo prescripto por el presente capítulo y ordenarle que profundice su investigación y garantice el cumplimiento de lo dispuesto en el presente capítulo.
La División puede restringir la licencia de una autoridad certificante tal como se establece en El artículo ?(3) si la autoridad no cumple alguna orden emanada de la División; también puede suspenderle o revocarle la licencia según se establece en El artículo ?(4)
Toda persona que a sabiendas o intencionalmente viole alguna cláusula del presente capítulo, o alguna disposición emanada de la División conforme a este artículo, será pasible de una penalidad civil que no sobrepasará los US$ 5.000 por infracción, o el 90% del límite recomendado de confianza, la cifra que sea menor.
Si la División determina que una autoridad certificante ha infringido lo dispuesto por el presente capítulo, puede ordenarle el pago de las costas en que se hubiere incurrido en los procedimientos relativos a la orden.
La División puede ejercer la autoridad que le otorga este artículo de conformidad con las facultades que le otorga la Ley de Procedimientos Administrativos, título 63, capítulo 46b, y la autoridad certificante acreditada puede lograr judicialmente que se revisen los actos de la División tal como lo prescribe la misma Ley de Procedimientos Administrativos. La División a su vez puede solicitar una orden judicial para exigir el cumplimiento de cualquiera de sus resoluciones, y puede recaudar todos los montos adeudados conforme a este artículo, de la manera estipulada para la ejecución civil de órdenes por la Ley de Procedimientos Administrativos, título 63, capítulo 46b.
No hay normas específicas relacionadas con el tema de el presente artículo.
=====================================================
Las secciones 205 y 206 de la Ley de Utah de 1995 han sido reemplazadas por el Código Adm. de Utah xx? y x?
=====================================================
Ninguna autoridad, acreditada o no, realizará su actividad de negocios de manera tal de generar un riesgo elevado y no razonable de pérdida a sus suscriptores, a personas que confían en certificados por ella emitidos o en un repositorio.
La División puede publicar en uno o más repositorios reconocidos breves anuncios advirtiendo a suscriptores, a personas que confían en firmas digitales y/o repositorios respecto de cualquier actividad de una autoridad certificante, acreditada o no, que genere un riesgo no razonable conforme al apartado (1) de el presente artículo. La autoridad certificante acusada de crear dicho riesgo puede impugnar la publicación de la nota presentando una breve defensa por escrito. Al recibir la impugnación, la División la publicará junto con la nota de la División, y de inmediato notificará a la autoridad certificante la fecha de una audiencia. Celebrada la audiencia, la División la anulará de la lista de autoridades certificantes autorizadas objetadas por generar un riesgo no razonable, si dicha publicación no estuviera justificada por este artículo; y asimismo, cancelará su publicación si ya no estuviera más justificada, ó la continuará o enmendará si permaneciera justificada, o bien proseguirá las acciones judiciales para eliminar o reducir un riesgo no razonable por el apartado 1 de este artículo. La División publicará su decisión en uno o más repositorios reconocidos.
En la manera prevista por la Ley de Procedimientos Administrativos, título 63, capítulo 46b, la División puede emitir órdenes y obtener prohibiciones u otra medida cautelar para impedir que una autoridad certificante viole lo dispuesto por el presente artículo, ya sea que dicha autoridad esté, o no, acreditada. Este artículo no acuerda a ninguna otra persona que no sea a la División el derecho de entablar acciones.
La facultad que tenga cualquier organismo del Estado para hacer cumplir efectivamente una medida contra una autoridad certificante depende en definitiva de los límites de la competencia (jurisdicción) de los tribunales de dicho Estado. Así, la autoridad certificante debe tener los vínculos con el Estado que le exige la ley para que los tribunales estaduales puedan obligar al cumplimiento de las disposiciones de su organismo.
Lo previsto por el apartado (3) de este artículo no crea un derecho privado de entablar acciones, ni impide ningún reclamo por actos ilícitos civiles o contratos no basados en una violación de este artículo.
El Estado debe evaluar el ámbito de su inmunidad gubernamental respecto de el presente artículo, particularmente del apartado (2). En Utah y muchos Estados más, los organismos estaduales gozan de inmunidad en cuanto a responsabilidad por actos ilícitos civiles en el cumplimiento de las funciones que les asigna la ley.
El presente artículo establece un procedimiento para aplicar la Parte 3 de las Normas ABA a las autoridades certificantes, cualquiera sea la acreditación, en casos de malapraxis grave.