Anda di halaman 1dari 9

REGLAMENTO

DE INFRACCIONES Y SANCIONES DE LOS


PRESTADORES DE SERVICIOS DE CERTIFICACION DIGITAL

El ltimo sbado 4 de marzo de 2017, se public en el determinar la existencia de indicios para informar a
diario de El Peruano, el nuevo Reglamento de la Comisin. La Comisin evaluar el informe
Infracciones Y Sanciones de los Prestadores de Servicios recibido por la Secretaria y determinar si
de Certificacin Digital (Resolucin de la Presidencia del corresponde abrir un procedimiento administrativo
Consejo Directivo del INDECOPI N 39-2017- sancionador. Tanto la Secretara como la Comisin
INDECOPI/COD). podrn disponer actuaciones previas para la
investigacin, tales como la inspeccin.
El mencionado reglamento tiene como objeto regular el 2. Presentacin de descargos: Los descargos
procedimiento, criterios y requisitos para la aplicacin debern hacerse por escrito dentro de los 5 das
de sanciones por parte de la Comisin que gestiona la hbiles siguientes la notificacin del inicio del
Infraestructura oficial de la Firma Electrnica a los procedimiento. Excepcionalmente, dicho periodo
prestadores del servicio de certificacin digital podr ser ampliado a solicitud del Prestador de
acreditados y reconocidos en la referida infraestructura. Servicios.
Asimismo, encontramos en el reglamento las conductas 3. Recurso: procede apelacin ante el Tribunal de
tipo que sern consideras infracciones. Defensa de la Competencia y de la Propiedad
Intelectual. El recurso se interpondr ante la
ASPECTOS GENERALES Comisin en el plazo de 15 das hbiles desde la
fecha de notificacin de la resolucin sancionadora.
1. mbito de ampliacin: Se considera infraccin a
toda conducta u omisin que se encuentre LAS INFRACCIONES Y SANCIONES
tipificado como tal en los Cuadros N 1; 2; 3 y 4. Las
infracciones puede ser calificadas como leves, Tipos de sanciones
graves y muy graves. - Multas pecuniarias
La potestad sancionadora se aplica al momento de - Suspensin temporal de la acreditacin
incurrir en la infraccin cuenten con la acreditacin - Cancelacin definitiva de la misma
o el reconocimiento otorgada por la Comisin, pese
a que con posterioridad la acreditacin o el La graduacin de las infracciones se presenta en los
reconocimiento haya sido cancelada, expirada, cuadros anexos.
suspendida o estuvieran inhabilitados.
2. Alcance: (i) Prestadores de Servicios de Escala de sanciones
Certificacin Digital debidamente acreditados por Los prestadores que incurran en las infracciones
la Comisin o por el rgano funcional que la tipificadas, se le aplica la sancin del primer cuadro. Sin
antecedi en sus funciones o (ii) Prestadores de embargo, cuando en un perodo de dos (02) aos se
Servicios de Certificacin Digital reconocidos por imponga a un Prestador dos (02) o ms sanciones que
la CNB o por la CFE. en conjunto sumen veinticuatro (24) meses o ms de
3. rgano competente: La Comisin Transitoria suspensin temporal, una siguiente infraccin grave
para la Gestin de la Infraestructura Oficial de Firma ser sancionada con la cancelacin definitiva de la
Electrnica y su correspondiente, Secretaria acreditacin.
Tcnica.
CRITERIOS PARA EXIMIR, IMPONER Y REDUCIR
PROCEDIMIENTO ADMINISTRATIVO SANCIONES
SANCIONADOR
1. Criterios de graduacin: Agravantes son los
1. Actuaciones previas: la Secretaria Tcnica podr casos de (i) obstruccin o directa negativa a
realizar las investigaciones necesarias a fin de prestar colaboracin durante la investigacin o



Cmo a

(ii) reincidencia o incumplimiento reiterado. Por posteriores a la notificacin de la


el contrario, lo Atenuantes son (i) Reparacin Resolucin sancionadora, se dar por
voluntaria del dao causado (ii) Subsanacin de cancelada la totalidad de la multa.
la conducta infractora durante el procedimiento b. Por una infraccin grave pague el 70% de la
y (iii) Reconocimiento expreso de multa dentro de los 15 das hbiles
responsabilidad. posteriores a la notificacin de la
2. Subsanacin de infraccin: en caso la Resolucin sancionadora, se dar por
infraccin de carcter leve y el Prestador cancelada la totalidad de la multa
corrigiese su conducta dentro de los 5 das c. Por una infraccin muy grave pague el 85%
posteriores a la fecha de notificacin de la de la multa dentro de los 15 das hbiles
Resolucin de inicio del procedimiento, ser posteriores a la notificacin de la
eximido de sancin, salvo que tenga Resolucin sancionadora, se dar por
antecedentes de infracciones inscritas en el cancelada la totalidad de la multa.
Registro. En todos los casos, se deber renunciar al
3. La Reiteracin de la misma infraccin y derecho de apelar la resolucin que le impuso
gravedad, se considerar como agravante. la multa.
4. Persistencia: si los hechos u omisiones 6. Registro: En el Registro de Prestadores de
persisten luego de 30 das calendarios Servicios de Certificacin Digital Sancionados
posteriores a la fecha de la resolucin firme, se anotar el nombre del prestador, la
podra imponrsele una nueva sancin. infraccin, la sancin, las resoluciones, la fecha
5. Reduccin de multa: de cancelacin. El registro se mantendr por 2
a. Por una infraccin leve pague el 50% de la aos contados a partir del da siguiente de la
multa dentro de los 15 das hbiles notificacin de la Resolucin firme.



Cmo a

Cuadro N 1
Infracciones y sanciones base por tipo de infraccin
Entidades de Certificacin

TIPO DE FACTOR
I. DE LAS ENTIDADES DE CERTIFICACIN INFRACCI GRAVEDAD
N (UIT)
No emitir certificados digitales manteniendo una secuencia correlativa en el nmero de serie. LEVE 10
No reconocer certificados digitales emitidos por entidades de certificacin extranjeras que
LEVE 10
hayan sido incorporadas por reconocimiento a la Infraestructura Oficial.

No cumplir con los requerimientos de la Comisin Transitoria para la Gestin de la


Infraestructura Oficial de Firma Electrnica en lo referente a la Poltica de Certificacin,
Declaracin de Prcticas de Certificacin, Poltica de Seguridad, Poltica de Privacidad y Plan
GRAVE 19
de Privacidad. Estos documentos debern ser aprobados por la Comisin Transitoria para la
Gestin de la Infraestructura Oficial de Firma Electrnica dentro del procedimiento de
acreditacin y de los seguimientos anuales.
No informar a los usuarios de todas las condiciones de emisin y de uso de sus certificados
LEVE 15
digitales, incluyendo las referidas a la cancelacin de stos.
No mantener el control y la reserva de la clave privada que emplea para firmar digitalmente
MUY GRAVE 25
los certificados digitales que emite.
No mantener la debida diligencia y cuidado respecto a la clave privada de la Entidad de
Certificacin, estando en la obligacin de comunicar inmediatamente a la Comisin
MUY GRAVE 24
Transitoria para la Gestin de la Infraestructura Oficial de Firma Electrnica cualquier
potencial o real compromiso de la clave privada.

No mantener depsito de los certificados digitales emitidos y cancelados, consignando su


GRAVE 16
fecha de emisin y vigencia.

Almacenar las claves privadas de los usuarios finales. MUY GRAVE 24

No cancelar el certificado digital pese a suscitarse alguna de las causales establecidas en el


artculo 17 del Reglamento de la Ley de Firmas y Certificados Digitales; y, No estipular en
MUY GRAVE 25
los contratos de los titulares y suscriptores las causales y condiciones bajo las cuales deba
efectuarse la cancelacin del certificado.

No mantener la confidencialidad de la informacin relativa a los titulares y suscriptores de


certificados digitales o no limitar su empleo a las necesidades propias del servicio de MUY GRAVE 22
certificacin.
No mantener la informacin relativa a los certificados digitales, por un perodo mnimo de diez
LEVE 15
(10) aos a partir de su cancelacin.
No cumplir los trminos bajo los cuales obtuvo la acreditacin, as como los requerimientos
adicionales que establezca la Comisin Transitoria para la Gestin de la Infraestructura MUY GRAVE 22
Oficial de Firma Electrnica conforme a lo establecido en el Reglamento.
No informar a la Comisin Transitoria para la Gestin de la Infraestructura Oficial de Firma
Electrnica respecto de acuerdos de certificacin cruzada que proyecte celebrar, as como GRAVE 17
los trminos bajo los cuales dichos acuerdos se suscribiran.

No solicitar autorizacin a la Comisin Transitoria para la Gestin de la Infraestructura Oficial


de Firma Electrnica respecto de acuerdos de certificacin cruzada que proyecte celebrar, GRAVE 17
as como los trminos bajo los cuales dichos acuerdos se suscribiran.
No informar a la Comisin Transitoria para la Gestin de la Infraestructura Oficial de Firma
Electrnica para efectos del reconocimiento de certificados emitidos por entidades GRAVE 20
extranjeras.
No solicitar autorizacin a la Comisin Transitoria para la Gestin de la Infraestructura Oficial
de Firma Electrnica para efectos del reconocimiento de certificados emitidos por entidades GRAVE 17
extranjeras.
No cumplir con las disposiciones de la Comisin Transitoria para la Gestin de la
Infraestructura Oficial de Firma Electrnica a que se refiere el artculo 27 del presente LEVE 13
Reglamento.
No brindar todas las facilidades al personal autorizado por la Comisin Transitoria para la
Gestin de la Infraestructura Oficial de Firma Electrnica para efectos de supervisin y MUY GRAVE 22
auditora.



Cmo a

No demostrar que los controles tcnicos que emplea son adecuados y efectivos a travs de
la verificacin independiente del cumplimiento de los requisitos especificados en el estndar GRAVE 18
WebTrust for Certification Authorities y la obtencin del sello Webtrust.

No acreditar domicilio en el pas durante las supervisiones que lleve a cabo la AAC MUY GRAVE 22



Cmo a

Cuadro N 2
Infracciones y sanciones base por tipo de infraccin
Entidades de Registro o Verificacin

FACTOR
TIPO DE GRAVEDAD
II. DE LAS ENTIDADES DE REGISTRO O VERIFICACIN
INFRACCIN (UIT)

No identificar a los titulares y/o suscriptores del certificado digital contenidas en


sus polticas de registro o verificacin, declaracin de prcticas de registro, MUY GRAVE 23
verificacin, poltica de seguridad y poltica y plan de privacidad.

No aprobar las solicitudes de emisin, modificacin, re-emisin, suspensin o


cancelacin de certificados digitales, comunicndolo a la respectiva Entidad de
MUY GRAVE 22
Certificacin, segn se encuentre estipulado en la correspondiente Declaracin
de Prcticas de Certificacin.
No denegar las solicitudes de emisin, modificacin, re-emisin, suspensin o
cancelacin de certificados digitales, comunicndolo a la respectiva Entidad de
GRAVE 20
Certificacin, segn se encuentre estipulado en la correspondiente Declaracin
de Prcticas de Certificacin.
No cumplir con los requerimientos de la Comisin Transitoria para la Gestin
de la Infraestructura Oficial de Firma Electrnica respecto de la Poltica de
Registro o Verificacin, Declaracin de Prcticas de Registro o Verificacin,
Poltica de Seguridad y Poltica y Plan de Privacidad. Estos documentos MUY GRAVE 23
debern ser aprobados por la Comisin Transitoria para la Gestin de la
Infraestructura Oficial de Firma Electrnica dentro del procedimiento de
acreditacin.
No determinar objetivamente y en forma directa la veracidad de la informacin
proporcionada por los solicitantes del certificado digital, bajo su responsabilidad. MUY GRAVE 24

No mantener la confidencialidad de la informacin relativa a los suscriptores y


titulares de certificados digitales, limitando su empleo a las necesidades
propias del servicio de registro o verificacin, salvo orden judicial o pedido del
titular o suscriptor del certificado digital, segn sea el caso, realizado mediante
MUY GRAVE 23
un mecanismo que garantice el no repudio, debiendo respetar para tales
efectos los lineamientos establecidos por la Comisin Transitoria para la
Gestin de la Infraestructura Oficial de Firma Electrnica en la Norma Marco
sobre Privacidad.
No recoger nicamente informacin o datos personales de relevancia para la
emisin de los certificados. GRAVE 17

No acreditar domicilio en el pas durante las supervisiones que lleve a cabo la MUY GRAVE 22
AAC.
No cumplir con las disposiciones de la Comisin Transitoria para la Gestin de
la Infraestructura Oficial de Firma Electrnica a que se refiere el artculo 31 del LEVE 15
presente Reglamento.
No brindar todas las facilidades al personal autorizado por la Comisin
Transitoria para la Gestin de la Infraestructura Oficial de Firma Electrnica MUY GRAVE 22
para efectos de supervisin y auditora.
No informar a los usuarios de todas las condiciones para la prestacin de sus GRAVE 18
servicios.



Cmo a

Cuadro N 3
Infracciones y sanciones base por tipo de infraccin
Prestadores de Servicios de Valor Aadido

FACTOR
TIPO DE
III. DE LOS PRESTADORES DE SERVICIOS DE VALOR AADIDO GRAVEDAD
INFRACCIN
(UIT)
No participar en la transmisin o envo de documentos electrnicos firmados
GRAVE 17
digitalmente, siempre que el usuario lo haya solicitado expresamente.
No certificar los documentos electrnicos con fecha y hora cierta (Sellado de Tiempo)
o en el almacenamiento de tales documentos, aplicando medios que garanticen la
GRAVE 19
integridad y no repudio de los datos de origen y recepcin (Sistema de
Intermediacin Digital).
No almacenar los documentos electrnicos con fecha y hora cierta (Sellado de
Tiempo) aplicando medios que garanticen la integridad y no repudio de los datos de GRAVE 17
origen y recepcin (Sistema de Intermediacin Digital).
No generar certificados de autenticacin a los usuarios que lo soliciten. LEVE 11

No cumplir con los requerimientos de la Comisin Transitoria para la Gestin de la


Infraestructura Oficial de Firma Electrnica respecto de la Poltica de Valor Aadido,
Declaracin de Prcticas de Servicios de Valor Aadido, Poltica de Seguridad,
GRAVE 18
Poltica y Plan de Privacidad. Estos documentos debern ser aprobados por la
Comisin Transitoria para la Gestin de la Infraestructura Oficial de Firma
Electrnica dentro del procedimiento de acreditacin.
No informar a los usuarios de todas las condiciones para la prestacin de sus LEVE 14
servicios.
No mantener la confidencialidad de la informacin relativa a los usuarios de los
servicios, limitando su empleo a las necesidades propias del servicio de valor
aadido prestado, salvo orden judicial o pedido del usuario utilizando medios que MUY GRAVE 23
garanticen el no repudio, debiendo respetar para tales efectos los lineamientos
establecidos en la Norma Marco sobre Privacidad.
No tener operativo software, hardware y dems componentes adecuados para la
prestacin de servicios de valor aadido y las condiciones de seguridad adicionales
basadas en estndares internacionales o compatibles a los internacionalmente MUY GRAVE 22
vigentes que aseguren la interoperabilidad y las condiciones exigidas por la
Autoridad Administrativa Competente.
Incumplir los trminos bajo los cuales obtuvo la acreditacin, as como los
requerimientos adicionales que establezca la Comisin Transitoria para la Gestin
MUY GRAVE 21
de la Infraestructura Oficial de Firma Electrnica conforme a lo establecido en el
presente Reglamento.
Incumplir con las disposiciones de la Comisin Transitoria para la Gestin de la
Infraestructura Oficial de Firma Electrnica a que se refiere el artculo 38 del presente LEVE 15
Reglamento.
No brindar todas las facilidades al personal autorizado por la Comisin Transitoria
para la Gestin de la Infraestructura Oficial de Firma Electrnica para efectos de MUY GRAVE 22
supervisin y auditora.
No informar a los usuarios de todas las condiciones para la prestacin de sus LEVE 15
servicios.
No acreditar domicilio en el pas durante las supervisiones que lleve a cabo la AAC. MUY GRAVE 22



Cmo a

Cuadro N 4
Infracciones y sanciones base por tipo de infraccin
Software de Firma Digital

FACTOR
TIPO DE GRAVEDAD
IV. DEL SOFTWARE DE FIRMA DIGITAL
INFRACCIN
(UIT)

Incumplir con los requerimientos de la Comisin Transitoria para la Gestin de


la Infraestructura Oficial de Firma Electrnica respecto de los manuales de LEVE 15
uso y/o administracin del software de creacin de firma digital.

Incumplir los trminos bajo los cuales obtuvo la acreditacin, as como los
requerimientos adicionales que establezca la Comisin Transitoria para la
Gestin de la Infraestructura Oficial de Firma Electrnica conforme a lo MUY GRAVE 24
establecido en el Reglamento de la Ley de Firmas y Certificados Digitales y la
respectiva Gua de Acreditacin.
No acreditar domicilio en el pas durante las supervisiones que lleve a cabo la MUY GRAVE 22
AAC.
No informar a los usuarios de todas las condiciones para la prestacin de sus GRAVE 17
servicios.
No brindar facilidades al personal autorizado por la Comisin Transitoria para
la Gestin de la Infraestructura Oficial de Firma Electrnica para efectos de GRAVE 19
supervisin y auditora.



Cmo a

Cuadro N 5
Factor tamao de empresa infractora

Tipo de empresa Facturacin Factor = Ft

Hasta 50 UIT 0.1

Microempresa Ms de 50 hasta 100 UIT 0.2


Hasta 150 UIT
Ms de 100 hasta 150 UIT 0.3

Ms de 150 hasta 500 0.4

Ms de 500 hasta 900 0.5


Pequea empresa Mayor a
150 UIT hasta 1700 UIT Ms de 900 hasta 1,300 0.6

Ms de 1,300 hasta 1,700 UIT 0.7

Mediana empresa Ms de 1,700 hasta 2,000 UIT 0.8


Mayor a 1700 UIT hasta 2300
UIT Ms de 2,000 hasta 2,300 UIT 0.9

Gran empresa
Mayor a 2300 UIT Mayor a 2,300 UIT 1



Cmo a

Cuadro N6
Factores Agravantes y Atenuantes


Factores Agravantes y Atenuantes Calificacin

AGRAVANTES

F1: Entorpecimiento o negativa durante


las diligencias de investigacin

S +30%

No 0

F2: Reincidencia o incumplimiento


reiterado
1 vez +10%

2 vez +25%

3 vez o ms +40%

No hay reincidencia 0

F3: Otras circunstancias de la comisin


de la infraccin

Si aplica Hasta +30%

No 0

ATENUANTES

F4: Adopt las medidas necesarias


para la reparacin voluntaria del dao
causado
S adopt medidas -10%

No aplica 0%

F5: Subsanacin total de la conducta


presuntamente infractora durante el
procedimiento.

S -10%

No aplica 0%

F6: Administrado reconoce su


responsabilidad de forma expresa
(Modificatoria LPAG-DL 1272)
Desde -1%
S reconoce hasta -50%

No Aplica 0%