caedicom colombia - política de registro, custodia y conservación de mensajes de ... ·...

CAEDICOM COLOMBIA - Política de Registro,Custodia y Conservación de mensajes de datos y

documentos electrónicosRedactada según RFC 3647 y CEA 4-1-10 versión 01 de ONAC

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentos electrónicos

Título del documento: CAEDICOM COLOMBIA - Política de Registro, Custodia yConservación de mensajes de datos y documentoselectrónicos

Asunto: Redactada según RFC 3647 y CEA 4-1-10 versión 01 deONAC

Nombre del fichero: CAEDICOMCO_PC_PoliticaRegistroCustodiayConservacion.odt

Versión: 1.7

Estado: VIGENTE

Fecha: 05/03/2020

Autor: Jose Romero Artigas

OID 1.3.6.1.4.1.30051.2.3.3.9

Revisión, Aprobación

Revisado por: Raúl Santisteban Cano Fecha: 05/03/2020

Aprobado por: José Vilata Tamarit Fecha: 05/03/2020

Historial de cambios

Versión Fecha Descripción de la acción Páginas

1.0 06/03/17 Documento inicial, homologado para acreditación con ONAC

21

1.1 12/06/18 Inclusión de las tarifas y modelos de contratoInclusión del punto Documentos Normativos o Técnicos

23

1.2 03/01/19 Se alinea el texto de introducción con elnumeral 10.1 del CEA

4

1.3 07/02/19 Se corrigen las referencias erróneas alDecreto Ley 0019 de 2012

Todas

1.4 25/02/19 Se suprimen referencias a verificaciónde la identidad

11

1.5 20/11/19 Se actualizan las tarifas y modelos decontrato

18

1.6 04/12/19 Se actualiza y se detalla la parte delciclo de vida

11

1.7 05/03/2020 Se incluye la validación del Certificadode existencia y representación legal

Se actualizan las tarifas y modelos decontrato

11

18

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos | | 2


Índice de contenido1 Introducción.......................................................................................................................................................... 4

1.1 Referencias............................................................................................................................................................................4

1.2 Definiciones y abreviaturas................................................................................................................................................5

1.2.1 Definiciones..................................................................................................................................................................5

1.2.2 Abreviaturas.................................................................................................................................................................6

1.3 Documentos normativos o técnicos..................................................................................................................................7

2 Conceptos generales...........................................................................................................................................82.1 Servicio de Registro, Custodia y Conservación de mensajes de datos y documentos electrónicos.................8

2.2 Características de EDICOM LTA.......................................................................................................................................8

2.2.1 Integridad y autenticidad..............................................................................................................................................8

2.2.2 Consulta y trazabilidad.................................................................................................................................................8

2.2.3 Jerarquización de los documentos.............................................................................................................................8

2.2.4 Archivo legal................................................................................................................................................................9

2.2.5 Auditoría del documento..............................................................................................................................................9

2.2.6 Accesibilidad y gestión.................................................................................................................................................9

2.2.7 Redundancia................................................................................................................................................................9

3 ¿Cómo funciona EDICOM LTA?........................................................................................................................10

4 El ciclo de vida de servicio................................................................................................................................114.1 Solicitud................................................................................................................................................................................11

4.2 Revisión de la solicitud.....................................................................................................................................................11

4.3 Revisión................................................................................................................................................................................12

4.4 Toma de la decisión...........................................................................................................................................................13

4.5 Revocación y suspensión del servicio EDICOM LTA..................................................................................................13

5 Política de registro, custodia y conservación de mensajes de datos y documentos electrónicos EDICOMLTA.......................................................................................................................................................................... 15

5.1 Firmado digital de documentos y mensajes.................................................................................................................15

5.2 Generación de claves del certificado de firma de EDICOM LTA..............................................................................16

5.3 Protección de la clave privada del certificado de firma de EDICOM LTA..............................................................16

5.4 Validación del estado del certificado.............................................................................................................................16

5.5 Estampado cronológico de documentos y mensajes..................................................................................................17

6 Requisitos Comerciales y Legales....................................................................................................................186.1 Tarifas y modelos de contrato..........................................................................................................................................18

6.2 Obligaciones y Responsabilidad Civil............................................................................................................................21

6.2.1 Obligaciones de la ECD.............................................................................................................................................21

6.2.2 Obligaciones de los suscriptores del servicio...........................................................................................................21

6.2.3 Obligaciones de las partes confiantes......................................................................................................................21

6.3 Límites de responsabilidad..............................................................................................................................................21

6.4 Legislación aplicable.........................................................................................................................................................22

6.5 Derechos de propiedad intelectual.................................................................................................................................22

7 Peticiones, quejas, reclamos y apelaciones....................................................................................................23

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos | | 3


1 INTRODUCCIÓNEDICOM SAS presta servicios de certificación de CAEDICOM Colombia cumpliendocon la obligación establecida en el artículo 160 del Decreto Ley 0019 de 2012 y en elDecreto reglamentario 333 del 19 de febrero de 2014, así como en la ley 527 de1999 en sus artículos 2 literal d), artículo 29 y artículo 30 modificado por el DecretoLey 0019 de 2012, artículo 42 del decreto 1471 de 2014 y los demás reglamentosque los modifiquen o complementen.

EDICOM SAS tiene su domicilio principal en la ciudad de Bogotá, se encuentrainscrita en el Registro Mercantil bajo el número de matrícula No. 02393355.

Esta Política establece las reglas generales empleadas por la Autoridad deCertificación de EDICOM de Colombia (en adelante CAEDICOM), para el registro,custodia y conservación de mensajes de datos y documentaos electrónicos. Seestablecen en este documento los participantes de estos procesos, especificandosus responsabilidades, derechos y ámbito de aplicación.

La presente política es conforme a la norma del ETSI TS 102 573 “Policyrequirements for trust service providers signing and/or storing data objects”, asícomo a la RFC 3647: “Certificate Policy and Certification Practices Framework”

El presente documento puede ser usado por las partes confiantes y los subscriptoresde los servicios proporcionados por la CAEDICOM como base para garantizar laconfianza de los servicios que se describen.

Esta política esta basada en criptografía de clave pública, integridad, conservación yalmacenamiento de documentos y certificados X.509 v3 y está subordinada alcumplimiento de las Condiciones Generales expuestas en la Declaración dePrácticas de Certificación (DPC) de la CAEDICOM Colombia.

1.1 ReferenciasLos documentos que se citan a continuación se mencionan a lo largo del texto:

[1] Declaración de Prácticas de Certificación de la CAEDICOM Colombia (DPC)

[2] ETSI TS 102 573 V2.1.1 (2012-04) Electronic Signatures and Infrastructures(ESI); Policy requirements for trust service providers signing and/or storing dataobjects

[3] ISO 14641-1 Archivo electrónico. Parte 1: Especificaciones para el diseño yfuncionamiento de un sistema de información para la preservación de informacióndigital.

[4] ETSI TS 319 411-2 V1.2.0 Policy Requirements for certification authorities issuingqualified certificates

[5] ETSI EN 319 132-1 V1.0.0 Electronic Signatures and Infrastructures (ESI);XAdES digital signatures; Part 1: Building blocks and XAdES baseline signatures.

[6] ETSI EN 319 421 V1.1.1 Electronic Signatures and Infrastructures (ESI); Policyand Security Requirements for Trust Service Providers issuing Time-Stamps.

[7] RFC 3647: “Certificate Policy and Certification Practices Framework”

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos | 1Introducción | 4


[8] RFC 5280: “Internet X.509 Public Key Infrastructure Certificate and CertificateRevocation List (CRL) Profile”

1.2 Definiciones y abreviaturas

1.2.1DEFINICIONES

Para los propósitos del presente documento, se aplican los siguientes términos ydefiniciones:

Autoridad de Certificación o Entidad de Certificación Digital: De acuerdo conlo indicado en la Ley 527 de 1999, Artículo 2, Literal d, es aquella personanatural o jurídica que, autorizada conforme a dicha Ley, está facultada paraemitir certificados digitales en relación con las firmas digitales de laspersonas, ofrecer o facilitar los servicios de registro y estampado cronológicode la transmisión y recepción de mensajes de datos, así como cumplir otrasfunciones relativas a las comunicaciones basadas en las firmas digitales. Enla presente Declaración de Prácticas de Certificación, se corresponderá conlas Autoridades de Certificación pertenecientes a la jerarquía de CAEDICOM.

Autoridad de Registro: persona natural o jurídica que CAEDICOM designapara realizar la comprobación de la identidad de los sujetos firmantes ysuscriptores de certificados, y en su caso de la vigencia de facultades derepresentantes y subsistencia de la personalidad jurídica o de larepresentación voluntaria.

Cliente: En los servicios de certificación digital, el término cliente identifica ala persona natural o jurídica con la cual la ECD establece una relacióncomercial.

Centro de procesamiento de datos: ubicación donde se concentran losrecursos necesarios para el procesamiento de la información.

Declaración de Prácticas de Certificación (DPC): Es el documento en el queconsta de manera detallada los procedimientos que aplica CAEDICOM parala prestación de sus servicios.

Documento electrónico: conjunto de registros lógicos almacenado en soportesusceptible de ser leído por equipos electrónicos de procesamiento de datos,que contiene información.

EDICOMLta: EDICOM Long Term Archiving, es el servicio de Registro,Custodia y Conservación de mensajes de datos y documentos electrónicosproporcionado por EDICOM SAS.

Estampado cronológico: (Time stamping). Mensaje de datos firmadodigitalmente y con sello de tiempo por una TSA que vincula a otro mensajede datos con un momento de tiempo concreto, el cual permite establecer conuna prueba que estos datos existían en ese momento y que no sufrieronninguna modificación a partir delmomento en que se realizó el estampado.Se basa en las especificaciones Request For Comments: 3161 – “InternetX.509 Public Key Infrastructure Time–Stamp Protocol (TSP)”.



Firma Digital: Se entenderá como un valor numérico que se adhiere a unmensaje de datos y que, utilizando un procedimiento matemático reconocido,vinculado a la clave del iniciador y al texto del mensaje permite determinarque este valor se ha obtenido exclusivamente con la clave del iniciador y queel mensaje inicial no ha sido modificado después de efectuada latransformación.

Módulo Criptográfico Hardware de Seguridad (HSM): módulo hardwareutilizado para realizar funciones criptográficas y almacenar claves en modoseguro.

OID (Object Identifier): valor que consiste en un número único deidentificación asignado en base a estándares internacionales y comúnmenteutilizado para identificar documentos, sistemas, equipos, etc., con la finalidad,entre otras cosas, de conocer el origen, la titularidad y la antigüedad delobjeto identificado.

Reclamos. Oposiciones que se formulan a una actuación considerada injusta.Exigencia de los derechos del usuario, relacionados con la prestación de losservicios que se ofrecen al cliente interno como externo.

Solicitante: persona natural o jurídica que con el propósito de obtenerservicios de certificación digital de una ECD, demuestra el cumplimiento delos requisitos establecidos en la DPC y PC de éstas, para acceder al serviciode certificación digital.

1.2.2ABREVIATURAS

CAEDICOM Autoridad de Certificación EDICOM

CA Certification Authority

CEA Criterios Específicos de Acreditación

CRL Certificate Revocation List

CPD Centro de Procesamiento de Datos

DPC Declaración de Prácticas de Certificación

FIPS Federal Information Processing Standards

KAM Key Account Manager

OID Object identifier

OCSP On-line Certificate Status Protocol

PC Políticas de Certificado.

PKI Public Key Infrastructure

PKIEDICOM PKI de EDICOM

RA Registration Authority

HSM Hardware security module



1.3 Documentos normativos o técnicosA continuación se especifican los documentos normativos o técnicos que cumpleesta política:

• NTC-ISO-14641-1 “Norma Técnica Colombiana. Archivado Electrónico. Parte1: Especificaciones relacionadas con el diseño y el funcionamiento de unsistema de información para la preservación de información electrónica”Noviembre 2014

• ETSI TS 102 573 v2.1.1 “Electronic Signatures and Infrastructures (ESI);Policy requirements for trust service providers signing and/or storing dataobjects” Abril 2012



2 CONCEPTOS GENERALES

2.1 Servicio de Registro, Custodia y Conservación demensajes de datos y documentos electrónicos

El servicio de Registro, Custodia y Conservación de mensajes de datos ydocumentos electrónicos que ofrece EDICOM en calidad de ECD se denominaEDICOMLta (EDICOM Long Term Archiving)

Los documentos susceptibles de utilizar el servicio de archivo y conservación demensajes de datos deben contar con procesos propios de la función archivística conbase en la Ley 594 de 2000 incluyendo el proceso de descripción archivística bajolos parámetros de la Norma Técnica Colombiana NTC 4095, la cual es una adopciónidéntica de la Norma Internacional General de Descripción Archivística ISAD (G) delaño 2000.

El servicio aplica los métodos de identificación, firma digital y estampado cronológicoprevistos en la ley 527 de 1999, su modificación por el articulo 161 del Decreto Ley0019 de 2012, del Decreto reglamentario 333 de 2014 y los demás reglamentos quelos modifiquen o complementen, sometiendo los documentos almacenados en elsistema a permanentes auditorías del tercero de confianza EDICOM, para garantizarla integridad y autenticidad de los archivos custodiados a lo largo del tiempo.

EDICOMLta pone en servicio una plataforma certificada para el resguardo dedocumentos electrónicos durante el periodo de tiempo que requieran las compañías.La solución garantiza un acceso permanente y la recuperación del 100% de losdocumentos cargados en la plataforma, así como una gestión de las evidencias quepermiten demostrar la integridad de los documentos almacenados.

2.2 Características de EDICOM LTA

2.2.1INTEGRIDAD Y AUTENTICIDAD EDICOM implementa avanzados sistemas de firma digital y estampado cronológico,que cumplen con los requerimientos establecidos por el CEA-4.1-10 v.1 de ONAC.

2.2.2CONSULTA Y TRAZABILIDAD

Todos los documentos electrónicos se almacenan en la plataforma en base ametadatos básicos que permiten definir la trazabilidad entre ellos. Este archivadocon metadatos también facilita la consulta y recuperación inmediata de lainformación con una simple búsqueda desde un entorno web privado y disponible24x7.

2.2.3 JERARQUIZACIÓN DE LOS DOCUMENTOS EDICOM LTA permite resguardar el ciclo completo que ha seguido cada documentoelectrónico. Por ejemplo, en una relación comercial, la factura digital se almacenarávinculada al pedido y al aviso de expedición. Todos esos documentos estaránaccesibles a partir de cualquiera de sus vínculos.

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos | 2Conceptos generales | 8


2.2.4 ARCHIVO LEGAL Los archivos electrónicos se almacenan en el Centro de Procesamiento de Datos(CPD) de EDICOM bajo exigentes medidas de seguridad. Además, la conservaciónse lleva a cabo implementando las especificaciones técnicas de las normasespecificadas en el punto 1.3, con arreglo a la legislación colombiana.

2.2.5AUDITORÍA DEL DOCUMENTO Las firmas y estampas de tiempo de los archivos se someten a procesos de controlperiódicos con el fin de mantener los atributos de integridad y autenticidad queaportan. Esta auditoría también monitoriza las interacciones de cada usuario sobrelos documentos custodiados.

2.2.6ACCESIBILIDAD Y GESTIÓN

EDICOM LTA permite integrarse con los sistemas de gestión internos de lasempresas o con las soluciones de EDI y Facturación Digital de EDICOM,automatizando el resguardo y conservación de estos documentos electrónicos. Todoel proceso se realiza conforme a las directrices del servicio cualificado dealmacenamiento de larga duración. Además, permite la carga manual de nuevosarchivos a través de una interfaz web para el almacenamiento de documentosgenerados con aplicativos locales o digitalizaciones de documentos físicos enorigen.

2.2.7REDUNDANCIA Todos los documentos electrónicos se resguardan de forma paralela en dos CPD deEDICOM, con sus respectivos backup. Ambos Centros de Procesamiento se ubicanen instalaciones físicas distintas, aunque operan de forma síncrona y mantienen unaréplica permanente de recursos y datos en tiempo real. De este modo, se garantizanunas altas condiciones de seguridad y una disponibilidad del 99,9%.

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos | 2Conceptos generales | 9


3 ¿CÓMO FUNCIONA EDICOM LTA?El servicio LTA diseñado por EDICOM tiene como principal objetivo garantizar lamáxima disponibilidad, con el fin de ofrecer a sus usuarios un servicio de elevadafiabilidad e integridad de datos absoluta. El modelo de alta disponibilidad implantadopara el servicio LTA, está basado en la redundancia de cualquier componente delservicio, siendo el centro de proceso de datos el último componente redundado.

Los usuarios del servicio LTA acceden bien de forma interactiva a través de unanavegador web mediante protocolo seguro HTTPS:

https://archiving.qualifiedtrustservice.com

El acceso se realiza también de forma batch a través del servio webservice del LTA.

El servicio permiten realizar las siguientes operaciones:• Firma de documentos y mensajes con XAdES, CadES, u otros módulos de

firma.• Estampado cronológico de los documentos y mensajes.• Almacenamiento de documentos e indexación de metadatos.• Extracción y validación de metadatos.

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos | 3¿Cómo funciona EDICOM LTA? | 10

https://archiving.qualifiedtrustservice.com/edicomLTA00/web/login


4 EL CICLO DE VIDA DE SERVICIO

4.1 SolicitudEl punto de contacto para obtener servicios de CAEDICOM es el número telefónicodel departamento comercial de EDICOM SAS:

+57 1 7953970

o mediante el formulario de contacto que se encuentra en la web de EDICOM SAS

http://www.edicomgroup.com/

Un Key Account Manager tiene la responsabilidad de gestionar ese contactotelefónico y llevar a cabo la captura y registro de los datos del cliente necesariospara la prestación del servicio de certificación digital, que incluyen:

- Tipo de servicio de certificación requerido- Especificaciones del servicio a contratar- Contrato de prestación de servicios de certificación digital - Datos del cliente o del contacto principal (Cédula de ciudadanía/extranjería o

pasaporte)- Certificado de Existencia y Representación Legal expedido por la Cámara de

Comercio de los 30 días anteriores (si se trata de una organización)

También se podrá solicitar documentación adicional para los siguientes casos:- Administrador o representante legal sujeto a inscripción registral: Certificado

del Registro de los 30 días anteriores correspondiente relativo alnombramiento y vigencia de su cargo.

- Representación voluntaria: Poder notarial bastante que contengan unacláusula especial para solicitar certificados de persona jurídica a laCAEDCIOM.

- Asociaciones, Fundaciones o Cooperativas no inscribibles en el registromercantil: Certificado del Registro público donde consten inscritas, relativo asu constitución de los 30 días anteriores.Sociedades civiles y demás personas jurídicas: Documento público queacredite su constitución de manera fehaciente.

4.2 Revisión de la solicitudEl Key Account Manager (KAM) tiene la responsabilidad de informar y recibir delsolicitante la documentación necesaria para realizar el proceso de certificación digitalsegún lo establecido en la sección anterior.

Tras verificar la documentación recibida del solicitante, todos los datos aportados poreste se archivan en la herramienta de Gestión Comercial del departamentoComercial de EDICOM SAS en el estado de ‘Cliente Potencial’. El Key AccountManager procede a la creación de la tarea técnica donde quedan detalladas todaslas características del servicio contratado. La tarea técnica queda asociada a la fichadel cliente quedando de este modo vinculadas.

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos | 4El ciclo de vida de servicio | 11

http://www.edicomgroup.com/es_CO/auxiliar/contact.html


Finalmente, cuando el suscriptor sea una organización, se validará el certificado deexistencia y representación legal en la web del Registro Único Empresarial y Socialde Colombia. Una vez realizadas todas las verificaciones, se descargarán yarchivarán en la tarea los documentos que acrediten que se han llevado a cabodichas comprobaciones.

A partir de este momento, el Key Account Manager será responsable de garantizarque:

a) La información acerca del solicitante es suficiente para realizar el proceso decertificación digital;

b) Se ha resuelto cualquier diferencia de entendimiento conocida entre EDICOMy el solicitante, incluyendo el acuerdo con respecto a la DPC, documentosnormativos u otros documentos reglamentarios;

c) Se ha definido el alcance del servicio de certificación digital solicitado;d) Se dispone de los medios para realizar todas las actividades de verificación;e) CAEDICOM tiene la competencia y la capacidad para llevar a cabo la

actividad y servicios de certificación digital.f) CAEDICOM declina cualquier solicitud de un servicio de certificación digital, si

el mismo no se encuentra en el alcance de la acreditación que le fueotorgado.

De este modo, una vez finalizado el proceso de revisión de la solicitud, la tarea y elservicio pasan al estado “Pendiente de Revisión” y quedan por tanto en espera deser revisados.

4.3 RevisiónEl personal designado del departamento de preventa tiene la responsabilidad derevisar la tarea técnica para asegurar la calidad de la misma y del proceso decertificación. El objetivo de esta revisión consiste en corroborar que la informaciónintroducida por el KAM es correcta, descriptiva y acorde al servicio de certificacióndigital a ofrecer. Entre otros se revisa:

• El tipo de servicio corresponde con lo solicitado por el solicitante.• La información disponible del solicitante es suficiente.• El alcance del servicio está delimitado y es correcto de acuerdo a los

requerimientos.• Que el solicitante y la RA han firmado un contrato para la prestación de

servicios de certificación.• No hay ausencia de información.

Llegados a este punto, en caso de detectarse errores o falta de calidad en lainformación suministrada, la tarea y, por tanto, la solicitud del servicio, serándevueltos al estado “Intervención comercial” quedando por tanto responsable el KAMde proceder de nuevo con la correcta grabación o solicitud de información restantenecesaria. Asimismo, se debe declinar una solicitud de servicio de certificacióndigital, si el mismo no se encuentra en el alcance de la acreditación otorgada porONAC, por lo que se devolverá la solicitud al estado “Intervención comercial”quedando responsable el KAM de declinar o ajustar la solicitud con el cliente a loestablecido dentro del alcance de los servicios acreditados.



Si por el contrario la tarea es considerada correcta, continúa el flujo hacia la fase dedecisión, pasando a un estado interno de “Pendiente de realización”. Dicha accióndejará un registro en la aplicación a efectos de evidenciar la recomendación positiva,con base en la revisión efectuada, para que se tenga en cuenta en la decisión sobrela certificación. De igual modo, el personal de preventa que realiza la revisión, tienela posibilidad de registrar en la aplicación sus comentarios sobre la recomendaciónpara la decisión sobre la certificación con base en la revisión.

4.4 Toma de la decisiónLa creación del servicio se realizará tras la aprobación por parte del responsableTécnico o el personal técnico en quien este delegue.

Para garantizar la imparcialidad en el proceso, la revisión de la solicitud y la toma dedecisión de la creación del entorno del servicio la realizan personas con diferentesroles y de departamentos distintos dentro de la organización, por tanto elResponsable Técnico no puede ser un Key Account Manager.

El Responsable Técnico tiene las siguientes responsabilidades y realiza lassiguientes acciones:

• Toma de decisión sobre la creación del servicio basada en los siguientescriterios◦ Imparcialidad.◦ No discriminación.◦ Equidad.◦ Asuntos relacionados específicamente con el alcance de la certificación.

• Aceptar la solicitud con la creación de las tareas técnicas necesarias para lacreación del servicio.

• El Responsable Técnico reserva y supervisa los recursos técnicos y humanospara la prestación del servicio.

Una vez finalizada la parametrización y puesta en marcha del servicio, un miembrodel departamento técnico realizará la entrega al cliente de la documentación formalmediante el acta de cierre del proyecto, que incluirá:

◦ El nombre y la dirección de CAEDICOM.◦ La fecha en que comienza la prestación del servicio.◦ El nombre y la dirección del cliente.◦ El alcance de la certificación digital (tipo de servicio).◦ Toda otra información exigida para el servicio de certificación.◦ Firma de la Autoridad de Registro.

4.5 Revocación y suspensión del servicio EDICOM LTA.El punto de contacto para solicitar una baja del servicio de EDICOM LTA es elnúmero telefónico del departamento comercial de EDICOM SAS:

+57 1 7953970



o mediante el formulario de contacto que se encuentra en la web de EDICOM


La duración del contrato tiene carácter anual y se entenderá tácitamente renovadode no mediar notificación en contrario por cualquiera de las partes.

Cualquiera de las partes podrá resolver el contrato en cualquier momento mediantesolicitud de baja, comunicada por escrito de forma fehaciente con 45 días deantelación.

Queda expresamente prohibida dicha solicitud de baja efectuada por el Clientemediante comunicación telefónica.




5 POLÍTICA DE REGISTRO, CUSTODIA Y CONSERVACIÓNDE MENSAJES DE DATOS Y DOCUMENTOSELECTRÓNICOS EDICOM LTA

5.1 Firmado digital de documentos y mensajesEl perfil del certificado de EDICOM LTA, utilizado en la firma de los documentos, seajusta a la política de firma de CAEDICOM “Política de Certificados de Firma paraPersona Jurídica”.

En la siguiente tabla se detallan los campos básicos del certificado empleado eneste perfil:

Campo Contenido I C TTVersión v3 S F

Serial Number 482CB1BC0D5CC507 S F

Signature Algorithm SHA256withRSAEncryption S F

Issuer Distinguished NameCN=CAEDICOM Colombia/serialNumber=NIT900680995-4, O=EDICOM, L=Calle 26 #59-51 Oficina 308 Torre Argos - Ciudad Empresarial Sarmiento Angulo - Bogotá, C=CO

S F

Validez 2 años S F

Subject Public Key InfoTipo de clave: RSALongitud de la clave: 2048 bits

S F

Subject S D

CommonName (CN)EDICOM SAS S D

SerialNumber (SN)9006809954 S D

GivenName (GN)DIANA PAOLA S D

Surname (S)NUNEZ CASAS S D

StateOrProvince (ST)BOGOTA S D

Locality (L)calle 26 # 59-51 of 308 torre 3 O D

Street (STREET)26 S D

Pais (C)CO S D

DN Qualifier9006809954-2 S D

SubjectKeyIdentifierFF:FE:1C:26:CF:41:2B:CC:14:5C:A1:F8:72:5F:3F:54:70:C8:7C:EA8F:66:66:41:2B:AB:48:05:B6:32:B3:A3:A6:58:B8:07:0F:DA:EF:9D

S D

AuthorityKeyIdentifier D1:C9:62:FC:4A:E7:C3:89:3B:9A:4D:E9:2B:EA:C1:72:72:BF:67:10 S F

BasicConstraints S X FCAFalso S X F

pathLengthNo aplicable (0) FKeyUsage digitalSignature,nonRepudiation S X FSubjectAlternativeName

E-Mail (RFC [email protected] O D

Certificate Policies S FpolicyIdentifier1.3.6.1.4.1.30051.2.3.3.5 S F

CPSurihttps://acedicom.edicomgroup.com S FPolicyIdentifier1.3.6.1.4.1.30051.2.3.3.5 (dispositivo HSM) S F

userNoticePolitica de Certificado para Certificados de Firma para Persona Juridica S FpolicyIdentifierQCP Public S F

LimitaciónDeUso

1.3.6.1.4.1.30051.3.2Firma digital de documentos comerciales o tributarios S D

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos | 5Política de registro, custodia y conservación de mensajes de datos y documentos electrónicos

EDICOM LTA | 15

mailto:[email protected]


CRLDistributionPoints S FdistributionPointhttp://acedicom.edicomgroup.com/caedicomco.crl S F

Authoritity Information Access

S F

accessMethodCaIssuers S FAccessLocationhttp://acedicom.edicomgroup.com/certs/caedicomco.cer S F

accessMethodOCSP S FAccessLocationhttp://ocsp.acedicom.edicomgroup.com/caedicomco S F

QC Statements(id-pe-qcStatements)

S F

QCSyntax-v2- Presente - S FETSI QcCompliance- Presente - S FQCRetentionPeriod13 años S F

CAEDICOM, emite el certificado de firma acorde a la recomendación ETSI TS 319411-2 V1.2.0 [4].

El tipo de firma realizada está basada en el estándar ETSI EN 319 132-1 v1.0.0 [5]para la especificación de firmas digitales XAdES. Cada firma incluye el identificadorde la política, descrito en el capítulo 7 del documento “Política de Certificados deFirma para Persona Jurídica” de CAEDICOM, que se encuentra disponible al públicoen https://acedicom.edicomgroup.com

5.2 Generación de claves del certificado de firma deEDICOM LTA

Las claves del certificado empleado en el servicio de EDICOM LTA se generan enmódulo de seguridad hardware (en adelante HSM), que cumple con el estándarNIST FIPS 140-2 nivel 3, por personal autorizado de la CAEDICOM. La descripciónde los roles y controles del personal puede encontrarse en la DPC, en el apartados5.2 “Controles Procedimentales” [1].

El entorno de generación de las claves cumple los requisitos normativos impuestospor la CAEDICOM, de acuerdo con la DPC y cumplen con los requerimientosdescritos en ISO 14641 [3]

El algoritmo y tamaño de claves se describen en el capítulo 5.1.1 “Firmado digital deldocumentos y mensajes” de esta política.

5.3 Protección de la clave privada del certificado de firmade EDICOM LTA

Los niveles de seguridad del HSM donde se almacena la clave se describen en elcapítulo 5.2.1 “Generación de claves del certificado de firma de EDICOM LTA” deesta política.

Las copias de Backup de la clave privada se almacenan cifradas en archivosseguros ignífugos.

5.4 Validación del estado del certificadoLa validación del estado de los certificados se realizará en base a la RFC 5280 [10].


EDICOM LTA | 16

https://acedicom.edicomgroup.com/


Para los certificados emitidos por CAEDICOM se especifica en la Declaración dePrácticas de Certificación (DPS) de la CAEDICOM Colombia.

5.5 Estampado cronológico de documentos y mensajes Los documentos firmados con XAdES realizan dentro de su ciclo de firma unestampado cronológico del documento o mensaje.

El servicio de EDICOMLta solicita las estampas de tiempo a la Autoridad deEstampado Cronológico de CAEDICOM

El estampado cronológico se realiza según lo descrito el documento “Política deEstampado Cronológico” de la Autoridad de Estampado Cronológico de laCAEDICOM, que se encuentra disponible al público enhttps://acedicom.edicomgroup.com


EDICOM LTA | 17

https://acedicom.edicomgroup.com/


6 REQUISITOS COMERCIALES Y LEGALES

6.1 Tarifas y modelos de contratoEl valor que fija CAEDICOM para los servicios de Registro, Custodia y Conservaciónde mensajes de datos y documentos electrónicos se establece de acuerdo a lascondiciones contractuales acordadas con los solicitantes del servicio de certificacióndigital y serán adecuadamente calculados y liquidados por el sistema de solicitud deproductos y servicios de CAEDICOM.

El modelo de contrato y las tarifas de este servicio son:

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos | 6Requisitos Comerciales y Legales | 18


6.2 Obligaciones y Responsabilidad Civil

6.2.1OBLIGACIONES DE LA ECDLa CAEDICOM se obliga a cumplir lo siguiente:

• Las obligaciones expuestas en el punto 9.6.1 y 9.6.2 de la Declaración dePrácticas de Certificación (DPC)

• Las obligaciones reflejadas en el contrato de compra de productos y servicios.• Operar los Servicios en las condiciones técnicas y operativas propias del

servicio y con los niveles de disponibilidad especificados en el SLA (ServiceLevel Agreement) vigente en cada momento.

• Atender y solucionar a requerimiento del cliente cualquier anomalía detectadaen las aplicaciones con arreglo a los tiempos máximos determinados en elSLA.

6.2.2 OBLIGACIONES DE LOS SUSCRIPTORES DEL SERVICIO El suscriptor del servicio se obliga a cumplir lo siguiente:

• Las obligaciones expuestas en el punto 9.6.3 de la Declaración de Prácticasde Certificación (DPC)

• Las obligaciones reflejadas en el contrato de compra de productos y servicios.• A hacer efectivo el pago de los servicios con arreglo a las condiciones, forma

de pago y vencimiento pactados.• Actuar como emisor o receptor de la información objeto del servicio, en

ningún caso el cliente podrá hacer uso de las aplicaciones en nombre deterceras partes de no mediar acuerdo específico de colaboración.

6.2.3 OBLIGACIONES DE LAS PARTES CONFIANTES

Según lo especificado en el punto 9.6.4 de la Declaración de Prácticas deCertificación (DPC)

6.3 Límites de responsabilidad La información albergada o transmitida por la utilización de los servicios contratadosen forma de mensajes, textos o cualquier otro soporte pertenecen a todos losefectos al suscriptor, quien será el único responsable ante terceros del contenido dela misma.

CAEDICOM no ejercerá ningún control sobre el contenido de dicha información, perose reserva el derecho de impedir el acceso al Centro Servidor por razones deseguridad o mandato judicial.

CAEDICOM no será responsable del deterioro, pérdida o destrucción de toda o partede la información albergada o transmitida por cualquier causa ajena a la voluntad ola actuación de CAEDICOM. CAEDICOM no asume responsabilidad alguna pordeficiencias o interrupciones de los servicios ajenas a su voluntad, no obstante, silas deficiencias o interrupciones se prolongasen, el suscriptor podrá solicitar a



CAEDICOM el descuento proporcional en los recibos siguientes a los días en que unservicio no haya estado en funcionamiento conforme a las condiciones establecidasen el SLA.

En cualquier otro caso CAEDICOM indemnizará al Cliente por los daños sufridos,previa peritación de los mismos por personal independiente, no superando la cuantíade esta indemnización la cantidad satisfecha por el Cliente a EDICOM durante losseis (6) últimos meses del servicio cuyas deficiencias sean objeto de reclamación.

6.4 Legislación aplicableEl funcionamiento y operaciones de CAEDICOM, así como la presente DPC estánregidos por la legislación colombiana vigente en cada momento.

Explícitamente se asumen como de aplicación las siguientes normas:• Ley 527 de 1999 • Decreto reglamentario 333 de 2014 • Decreto Ley 0019 de 2012

6.5 Derechos de propiedad intelectualTodos los derechos de propiedad intelectual incluyendo los referidos a certificados yCRL’s emitidos por la CAEDICOM, OIDs, la presente DPC, las Políticas deCertificado que le son de aplicación, así como cualquier otro documento, electrónicoo de cualquier otro tipo, propiedad de CAEDICOM, pertenecen a la CAEDICOM.

El uso de la marca CAEDICOM está reservado a EDICOM SAS. Si un suscriptordesea acreditar que está utilizando los servicios de CAEDICOM mediante el uso dela marca CAEDICOM, puede hacer una solicitud a CAEDICOM mediante los canalesexpuestos en el punto 7. CAEDICOM se reserva el derecho a aceptar o rechazardicha solicitud.

Las claves privadas y las claves públicas son propiedad del usuario,independientemente del medio físico que se emplee para su almacenamiento.

El suscriptor conserva cualquier derecho que pudiere ostentar sobre la marcaproducto o nombre comercial contenido en el certificado.

Para tal efecto, atenderá lo dispuesto en el Código de Comercio, la Decisión 486 de2000, la Decisión 351 de 1993 y demás normas complementarias a estas materias.

El uso de marca de certificación cumple los dispuesto en el documento RAC-1.4-03de ONAC (Reglamento de Uso de los Símbolos de Acreditado y/o Asociado). Elsuscriptor no está autorizado a emplear la marca ONAC.



7 Peticiones, quejas, reclamos y apelacionesSegún lo especificado en la Declaración de Prácticas de Certificación (DPC) de laCAEDICOM Colombia.

CAEDICOM COLOMBIA - Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos | 7Peticiones, quejas, reclamos y apelaciones | 23

caedicom colombia - política de registro, custodia y conservación de mensajes de ... ·...

Documents