oooooci - procuraduria

validez y seguridad jurídica electrónica

ANEXO N° 1

CARTA DE PRESENTACIÓN DE LA OFERTA

Bogotá, D.C., 18 de septiembre de 2015

Señores

PROCURADURÍA GENERAL DE LA NACIÓNCarrera 5 No. 15 - 80

Ciudad

Ref: SELECCIÓN MÍNIMA CUANTÍA N° 07 DE 2015

El suscrito actuando como Representante Legal de la Sociedad CERTICAMARA S.A.; de

acuerdo con las condiciones que se establecen en los documentos de la presente invitación

pública; cordialmente me permito presentar propuesta para SELECCIONAR AL

OFERENTE QUE ENTREGUE A TÍTULO DE COMPRAVENTA CERTIFICADOSDIGITALES QUE PERMITAN FIRMAR DIGITALMENTE LAS TRANSACCIONES DE LA

PROCURADURÍA GENERAL DE LA NACIÓN A TRAVÉS DEL SISTEMA INTEGRADO DEINFORMACIÓN FINANCIERA - SIIF.

En el caso que la Entidad me adjudique dicho proceso, me comprometo a suscribir el

contrato correspondiente y efectuar los trámites de legalización a cargo del contratista,

dentro del término señalado para el efecto.

Así mismo declaro:

• Que esta propuesta y el contrato que llegare a celebrar sólo compromete al oferente.

• Que ninguna otra persona fuera del proponente tiene interés comercial en esta propuesta

ni en el contrato que de ella se derive.

• Que si se nos adjudica el contrato, nos comprometemos a suscribir el contrato dentro de

los términos señalados para ello.

• Que conozco la información general y especial y demás documentos que integran la

invitación pública y acepto los requerimientos en ellos contenidos.

• Que el suscrito afirma bajo la gravedad de juramento, que no existe ninguna causal de

inhabilidad, incompatibilidad y/o prohibición, de las señaladas en la Constitución Política,

en la Ley, especialmente en el artículo 8 de la Ley 80 de 1993, la Ley 1150 de 2007, la Ley

1474 de 2011 y demás normas concordantes, que impidan la participación del oferente en

el presente proceso de selección y en la celebración y ejecución del respectivo contrato.

• Que los activos y recursos que conforman el patrimonio del proponente provienen de

actividades lícitas.

OOOOOCi

Carrera7 N°. 26-20 Piso 18, Edificio Seguros Tequendama / Tel. 3790300 Bogotá, Colombia

certcámara.validez y seguridad jurídica electrónica

• Que declaro que conozco, entiendo y acepto las especificaciones técnicas y las

condiciones de la contratación exigidas por la Entidad para el presente proceso contractual

y me comprometo a cumplir con ocasión de la ejecución del contrato.

• Que la propuesta consta de folios numerados en forma consecutiva tanto en el original

como en las copias.

• Que el valor total de la propuesta es por la suma de ($ 6.032.000).

• Que la Procuraduría General de la Nación puede notificar sus actos a través del buzón de

correo electrónico señalado en esta carta de presentación (Ley 1437 de 2011, Artículo 56).

• Que toda la información que se allega al proceso de selección es pública, salvo las

excepciones previstas en la ley.

Con la presentación de la oferta, acepto tal condición.

Atentamente,

HÉCTCC.C. No. 79r9$&,771 ExpedtdS'én Bogotá

Dirección: Carrera 7 No 26-20 piso 19

Número de teléfono: 3790300

0000002


CÁMARA DE COMERCIO DE BOGOTÁ

Cámara sede virtual

de Comerciode BpgOtá CÓDIGO DE VERIFICACIÓN: 28xlGZGla26

28 DE AGOSTO DE 2015 HORA: 15:20:04

R047109240 PAGINA: 1

***********************************

ESTE CERTIFICADO FUE GENERADO ELECTRÓNICAMENTE Y CUENTA CON UN CÓDIGO

DE VERIFICACIÓN QUE LE PERMITE SER VALIDADO SOLO UNA VEZ, INGRESANDO A

WWW.CCB.ORG.CO

RECUERDE QUE ESTE CERTIFICADO LO PUEDE ADQUIRIR DESDE SU CASA U

OFICINA DE FORMA FÁCIL, RÁPIDA Y SEGURA EN WWW.CCB.ORG.CO

-^ CERTIFICADO DE EXISTENCIA Y REPRESENTACIÓN LEGAL O INSCRIPCIÓN DE

W DOCUMENTOS.

LA CÁMARA DE COMERCIO DE BOGOTÁ, CON FUNDAMENTO EN LAS MATRICULAS E

INSCRIPCIONES DEL REGISTRO MERCANTIL

CERTIFICA:

NOMBRE : SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL CERTICAMARA S A

SIGLA : CERTICAMARA S A

N.I.T. : 830084433-7

DOMICILIO : BOGOTÁ D.C.

CERTIFICA:

MATRICULA NO: 01079279 DEL 30 DE MARZO DE 2001

CERTIFICA:

RENOVACIÓN DE LA MATRICULA :5 DE MARZO DE 2015

ULTIMO AÑO RENOVADO : 2015

CERTIFICA:

DIRECCIÓN DE NOTIFICACIÓN JUDICIAL : CARRERA 7 # 26-20 PISO 18

^ MUNICIPIO : BOGOTÁ D.C.

W EMAIL DE NOTIFICACIÓN JUDICIAL : [email protected]

DIRECCIÓN COMERCIAL : CARRERA 7 # 2 6-20 PISO 18

MUNICIPIO : BOGOTÁ D.C.

EMAIL COMERCIAL : [email protected]

CERTIFICA:

CONSTITUCIÓN: QUE POR ESCRITURA PUBLICA NO. 0000743 DE NOTARÍA 5 DE

BOGOTÁ D.C. DEL 21 DE MARZO DE 2001, INSCRITA EL 30 DE MARZO DE 2001

BAJO EL NUMERO 00770976 DEL LIBRO IX, SE CONSTITUYO LA SOCIEDAD

COMERCIAL DENOMINADA SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL

zadel

fSmuTrupUo

0000003



de ComercioÓe BOgOtá CÓDIGO DE VERIFICACIÓN: 28xlGZGla26


R047109240 PAGINA: 3

***********************************

SERVICIOS CRIPTOGRÁFICOS DE TODA CLASE; 8) LA ASESORÍA EN LA

PROYECCIÓN Y PUESTA EN FUNCIONAMIENTO DE PROYECTOS DE COMERCIO

ELECTRÓNICO O DE USO DE TECNOLOGÍAS DE INFORMACIÓN, PRINCIPALMENTE

PERO NO EXCLUSIVAMENTE EN EL ÁMBITO EMPRESARIAL; 9) LA, PRESTACIÓN DE

SERVICIOS DE CONSULTORÍA TÉCNICA, JURÍDICA Y DE PROCESOS TANTO A

PARTICULARES COMO A ENTIDADES PÚBLICAS Y/O PRIVADAS INCLUYENDO, PERO

SIN LIMITARSE A ELLO, LA CONSULTORÍA EN TEMA RELACIONADOS CON LA

SEGURIDAD EN ENTORNOS ELECTRÓNICOS; 10) LA CONSULTORÍA EN MATERIA DE

INFORMÁTICA FORENSE Y EN EL DESARROLLO DE PROYECTOS DE VIRTUALIZACIÓN

O DESMATERIALIZACIÓN DE DOCUMENTOS. PARA EL DESARROLLO DE SU OBJETO,

LA ENTIDAD PODRÁ EJECUTAR TODOS LOS ACTOS O CONTRATOS QUE FUEREN

CONVENIENTES O NECESARIOS PARA SU CABAL CUMPLIMIENTO Y QUE TENGAN

RELACIÓN DIRECTA O INDIRECTA CON EL MISMO, TALES COMO COMPRAR, VENDER,

IMPORTAR, ARRENDAR O TOMAR EN ARRENDAMIENTO, PERMUTAR Y EN GENERAL

REALIZAR TODA CLASE DE NEGOCIOS JURÍDICOS SOBRE BIENES CORPORALES O

INCORPORALES, MUEBLES O INMUEBLES; CONSTITUIR SOCIEDADES, EMPRESAS

UNIPERSONALES, ENTIDADES SIN ÁNIMO DE LUCRO O CUALQUIER OTRO TIPO DE

PERSONA JURÍDICA, HACERSE SOCIO, CAPITALISTA O ASOCIADO DE ELLAS;

SUSCRIBIR A CUALQUIER TÍTULO, ENAJENAR, USUFRUCTUAR, O MANEJAR PARTES

DE INTERÉS, CUOTAS SOCIALES O ACCIONES EN SOCIEDADES; CELEBRAR CON

ESTABLECIMIENTOS DE CRÉDITO, ENTIDADES FINANCIERAS Y CON EMPRESAS

ASEGURADORAS CONTRATOS DE MUTUO O DE GARANTÍA Y EN GENERAL TODAS LAS

OPERACIONES QUE SE REQUIERAN PARA EL ADECUADO FUNCIONAMIENTO DE LA

SOCIEDAD; GIRAR, ACEPTAR, ENDOSAR, COBRAR Y NEGOCIAR TODA CLASE DE

TÍTULOS VALORES; ACEPTAR DONACIONES, HERENCIAS Y LEGADOS.

CERTIFICA:

CAPITAL:

** CAPITAL AUTORIZADO **

VALOR : $10,000,000,000.00

NO. DE ACCIONES : 10,000,000.00

VALOR NOMINAL : $1,000.00

** CAPITAL SUSCRITO **

VALOR : $4,700,256,207.00

0000004


sede virtual

de Comerciode BOgOtá CÓDIGO DE VERIFICACIÓN: 28xlGZGla26


R047109240 PAGINA: 5

RODRÍGUEZ GÓMEZ CARLOS EDUARDO C.C. 000000016775663

** JUNTA DIRECTIVA: SUPLENTE (S) **

QUE POR ACTA NO. 012 DE ASAMBLEA DE ACCIONISTAS DEL 23 DE MARZO DE

2010, INSCRITA EL 28 DE MAYO DE 2010 BAJO EL NUMERO 01387542 DEL LIBRO

IX, FUE (RON) NOMBRADO (S):

NOMBRE IDENTIFICACIÓN

PRIMER RENGLÓN

SAAVEDRA MITROVICH CRISTIAN CLAUDIO C.C. 000000019157568

SEGUNDO RENGLÓN

CASTELLANOS GONZÁLEZ BENEDICTO C.C. 000000017170537





TERCER RENGLÓN

RODRÍGUEZ GUZMAN OLGA LUCIA C.C. 000000041575423



IX, FUE (RON) NOMBRADO (S) :


CUARTO RENGLÓN

VELEZ DE NICHOLIS LINA MARÍA C.C. 000000042969302

QUE POR ACTA NO. 15 DE ASAMBLEA DE ACCIONISTAS DEL 28 DE JUNIO DE

2011, INSCRITA EL 13 DE JULIO DE 2011 BAJO EL NUMERO 01495514 DEL

LIBRO IX, FUE (RON) NOMBRADO (S):


QUINTO RENGLÓN

CABAL DUQUE CLARA INÉS C.C. 000000066847464

CERTIFICA:

REPRESENTACIÓN LEGAL: LA SOCIEDAD TENDRÁ UN GERENTE, QUIEN SERA

SU REPRESENTANTE LEGAL, TENDRÁ EL USO DE LA RAZÓN SOCIAL Y SERA

EL ADMINISTRADOR DE LOS NEGOCIOS SOCIALES DE ACUERDO A LO

ESTABLECIDO EN LA LEY Y EN ESTOS ESTATUTOS. EL GERENTE TENDRÁ DOS

SUPLENTES, UN PRIMER SUPLENTE DEL GERENTE Y UN SEGUNDO SUPLENTE

0000005



de Comerciode BQgOtá CÓDIGO DE VERIFICACIÓN: 28xlGZGla26


R047109240 PAGINA: 7

***********************************

LE HAGAN LAS AUTORIDADES ADMINISTRATIVAS. EL PRIMER SUPLENTE TENDRÁ

LAS MISMAS FUNCIONES DEL GERENTE QUE FUERON ENUMERADAS ANTERIORMENTE,

ADEMÁS DE LAS CONTEMPLADAS EN LA LEY. EN EL CASO DEL SEGUNDO SUPLENTE,

ÉSTE TENDRÁ COMO ÚNICAS FUNCIONES ACTUAR COMO REPRESENTANTE LEGAL

SUPLENTE DE LA SOCIEDAD EN TEMAS EMINENTEMENTE ADMINISTRATIVOS.

CERTIFICA:

** REVISOR FISCAL **





REVISOR FISCAL - PERSONA JURÍDICA

KPMG LTDA N.I.T. 0000086000084 64

QUE POR DOCUMENTO PRIVADO NO. DE REVISOR FISCAL DEL 25 DE SEPTIEMBRE

DE 2012, INSCRITA EL 27 DE SEPTIEMBRE DE 2012 BAJO EL NUMERO 01669739

DEL LIBRO IX, FUE (RON) NOMBRADO (S):


REVISOR FISCAL

ARANGO MAYO LIANA MARCELA C.C. 000001018416667

QUE POR DOCUMENTO PRIVADO NO. SIN NUM DE REVISOR FISCAL DEL 10 DE

OCTUBRE DE 2014, INSCRITA EL 11 DE NOVIEMBRE DE 2014 BAJO EL NUMERO

01884039 DEL LIBRO IX, FUE (RON) NOMBRADO (S):


REVISOR FISCAL SUPLENTE

ALAYON VELASQUEZ MAYRA CATALINA C.C. 000001071165850

CERTIFICA:

QUE POR DOCUMENTO PRIVADO NO. sin num DE REPRESENTANTE LEGAL DEL 31 DE

MARZO DE 2015, INSCRITO EL 29 DE ABRIL DE 2015 BAJO EL NUMERO 01934818

DEL LIBRO IX, COMUNICO LA SOCIEDAD MATRIZ:

- CÁMARA DE COMERCIO DE BOGOTÁ

DOMICILIO: BOGOTÁ D.C.

QUE SE HA CONFIGURADO UNA SITUACIÓN DE CONTROL CON LA SOCIEDAD DE LA

REFERENCIA.

FECHA DE CONFIGURACIÓN DE LA SITUACIÓN DE CONTROL : 2015-03-25

0000006

Cámarade Comerciode Bogotá


SEDE VIRTUAL

CÓDIGO DE VERIFICACIÓN: 28xlGZGla26


R047109240 PAGINA: 9

***********************************

INFORMACIÓN QUE REPOSA EN LOS REGISTROS PÚBLICOS DE LA CÁMARA DE

COMERCIO DE BOGOTÁ, EL CÓDIGO DE VERIFICACIÓN PUEDE SER VALIDADO POR

SU DESTINATARIO SOLO UNA VEZ, INGRESANDO A WWW.CCB.ORG.CO

ESTE CERTIFICADO FUE GENERADO ELECTRÓNICAMENTE CON FIRMA DIGITAL Y

CUENTA CON PLENA VALIDEZ JURÍDICA CONFORME A LA LEY 527 DE 1999.

**********************************************************************

FIRMA MECÁNICA DE CONFORMIDAD CON EL DECRETO 2150 DE 1995 Y LA

AUTORIZACIÓN IMPARTIDA POR LA SUPERINTENDENCIA DE INDUSTRIA Y

COMERCIO, MEDIANTE EL OFICIO DEL 18 DE NOVIEMBRE DE 1996.

0000007

€

RIMUIG&SÍ COLOMBIA

FECHA DE NACIMIENTO 2§-#flAY-1977

BOGOTÁ D.C(CUNDINAMARCA)

LUGAR DE NACIMIENTO

1.70ESTATURA

0+G.S. RH SEXO

índice derecho

04-JUL-1995 BOGOTÁ D.C.

FECHA Y LUGAR DE EXPEDICION^tA,/^*</«—~) ^ "REGISTRADOR NACIONAL

CARLOS «RIEL SÁNCHEZTOMES

A-1500150-00660051-M-0079942771-20150124 0042460713A1 1513205337

0000008

KPMG Ltda.

Calle 90 No. 19C - 74

Bogotá, D.C. - Colombia

Teléfono 57(1)6188100

Fax 57(1)2185490

www.kpmg.com.co

AUDFINBOG-CER2015-25596

EL SUSCRITO REVISOR FISCAL DE LA SOCIEDAD CAMERAL DE

CERTIFICACIÓN DIGITAL CERTICÁMARA S.A.

NTT 830.084.433-7

CERTIFICA QUE:

De acuerdo con registros contables del período comprendido entre el 28 de febrero y el 31 de

agosto de 2015 y soportes de pago, la Sociedad Cameral de Certificación Digital Certicámara

S.A., no ha estado en mora en el pago de las obligaciones frente al Sistema de Seguridad Social

Integral y aportes a las Cajas de Compensación Familiar, que incluye los pagos al Instituto

Colombiano de Bienestar Familiar y al Servicio Nacional de Aprendizaje - SENA.

La presente certificación se expide en Bogotá D.C, el 4 de septiembre de 2015, por solicitud y

con destino a la Administración de la Sociedad Cameral de Certificación Digital Certicámara

S.A, para efectos de lo dispuesto por el artículo 50 de la Ley 789 de 2002.

*********

En cumplimiento del artículo 2 de la Ley 43 de 1990, mi firma como Revisor Fiscal en las

certificaciones se fundamenta en los libros de contabilidad. La información requerida que no es

de carácter contable fue verificada con las fuentes antes mencionadas.

Esta certificación es válida únicamente en original.

evisor F scal de la Sociecjad Cameral de Certificación Digital Certicámara S.A.

T.P. 163.815-T

Miembro de KPMG Ltda.

0000009

KPMG Ltda., sociedad colombiana de responsabilidad limitada y firma miembro de la red de firmas miembro

independientes de KPMG afiliadas a KPMG International Cooperative ("KPMG Intemational"), una entidad suiza.

KPMG Ltda.

Nit. 860.000.846 -

>DIAN*^^ Omtdtn a»IntiMiBi yUumm tkawiÉw

Fonnubrio dd Rsgistro Úrico Tributario

2. Concepto | 0 | 2 |Aetuallzad6n

Espado reservado para la DIAN4. Número de formulario 14340593123

5. Número de Identificación Tributaría (NIT): 6. DV

83008443 3|-|7

12. Dirección seccional

Impuestos da Grandes Contribuyentes

14. Buzón electrónico

IDENTIFICACIÓN

24. Tipo de contribuyente:

Persona jurídica

25. Tipo de documento: 26. Número de Identificación: 27. Fecha expedición:

Lugar de expedición 28. País:

31. Primer apellido

29. Departamento:

32. Segundo apellido 33. Primer nombre

30. Ciudad/Municipio:

14. Otros nombres

35. Razón social:

SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL CERTICAMARA S A

36. Nombre comercial: |37,Sigl«r/ .

CEfTOCAMARA s.A.

UBICACIÓN

36. País:

COLOMBIA

39. Departamento:

Bogotá D.C.

40. Ciudad/Municipio:

Bogotá, D.C.

41. Dirección principal

CR7 26 20P18

42. Correo electrónico:

[email protected]

43. Apartado aéreo

2 9 8

Ti»: Teléfono 1:'

3 7 9 0 3 0 0

45. Teléfono 2:

CLASIFICACIÓN

Actividad

Actividad principal

46. Código:

612_L°±A

47. Fecha inicio actividad:

2 0 0 10 4 0 2

AptMdiidsecundada

48. Código 49 pecha inicio actiyáad:

¡

Otras acttvkja

50. Código:

16 2,0,2 ,3,1,1

Ocupación

51. Código

52. Númeroestablecimientos

Responsabilidades, Calidades y Atributos

53. Código: 7/ 8, 1,5

10

2,3 1,3

11 12

3,5

13

4,0

14 16 16 17 18

05- Impto. renta y compl. régimen ordinario ....; 10-Usuario aduanero

07-Retención en la fuente a titulo de renta / 15-Autorretenedor

08- Retención timbre nacional 23- Agente de retención en ventas

09- Retención en la fuente en el impuesta sobré las ve 13- Gran contribuyente

11-Ventas régimen común - 03-Impuesto al patrimonio

14-Informante de exogena 35- Impuesto sobre la renta para la equidad - CREE.

40- Impuesto a la Riqueza

Usuarios aduanaros Exportadoras

54. Código:

1

2,3

2

1

3

1

4

1

6

1

6

I

7

1

8

1

9

I

10

I

55. Forma

□

56. Tipo

□

Servicio

57. Modo

58. CPC

1

u

m

2

u

en

3

u

m

59. Anexos: SI NO

Para uso exclusivo de la DIAN

60. No. de Folios: 61.Fecha: 2 0 15 0 7 0 9

La Información contenida en al formulario, Hrt responsabilidad de quien lo suscribe y en

consecuencia corresponde exactamente a la realidad, por lo anterior, cualquier falsedad o

Inexactitud en que Incurra podrá ser sancionada.

Articulo 18 Decreto 2460 de Noviembre de 2013

Firma del solicitante:

Sin perjuicio de las verificaciones que la DIAN realice.

Firma autorizada:

984. Nombre GUERRERO FRANCO IVAN DARÍO

985. cargo: Representante Legal Suplente Certificado

OOOOniO

Fecha generación documento PDF: 09-07-2015 03:20:13PM

CONTRALORIAGENERAL DE LA REPÚBLICA

EL CONTRALOR DELEGADO PARA INVESTIGACIONES, JUICIOS FISCALES Y

JURISDICCIÓN COACTIVA

CERTIFICA:

Que una vez consultado el Sistema de Información del Boletín de Responsables Fiscales 'SIBOR', hoy jueves 27

de agosto de 2015, a las 17:41:38, el número de identificación de la Persona Jurídica y el Representante Legalrespectivamente, relacionados a continuación, NO SE ENCUENTRAN REPORTADOS COMORESPONSABLES FISCALES.

No. Identificación P/J

No. Identificación R/L

Código de Verificación

830084337

79.942.771

2540810492015

Esta Certificación es válida en todo el Territorio Nacional, siempre y cuando los números consignados en losrespectivos documentos de identificación, coincidan con los aquí registrados.

De conformidad con el Decreto 2150 de 1995 y la Resolución 220 del 5 de octubre de 2004, la firma mecánica aquíplasmada tiene plena validez para todos los efectos legales.

SILVANO GÓMEZ STRAUCH

OOOOnil

Con el Código de Verificación puede constatar la autenticidad del Certificado.

SIBOR Página 1 del

CERTIFICADO DE ANTECEDENTES web17:39:49

CERTIFICADO ESPECIAL Hoja 1 de 01

No. 75017999

Bogotá DC, 27 de agosto del 2015

La PROCURADURÍA GENERAL DE LA NACIÓN certifica que una vez consultado el Sistema de Información de Registro de Sanciones e Inhabilidades

(SIRI), el(la) senor(a) HÉCTOR JOSÉ GARCÍA SANTIAGO ¡dentificado(a) con CÉDULA DE CIUDADANÍA número 79942771:

NO REGISTRA SANCIONES NI INHABILIDADES VIGENTES

ADVERTENCIA: La certificación de antecedentes deberá contener las anotaciones de providencias ejecutoriadas dentro de los cinco (5) años

anteriores a su expedición y, en todo caso, aquellas que se refieren a sanciones o inhabilidades que se encuentren vigentes en dicho

momento.Cuando se trate de nombramiento o posesión en cargos que exijan para su desempeño ausencia de antecedentes, se certificarán todas las

anotaciones que figuren en el registro. (Artículo 174 Ley 734 de 2002).

NOTA: El certificado de antecedentes disciplinarios es un documento que contiene las anotaciones e inhabilidades generadas por sanciones penales,

disciplinarías, inhabilidades que se deriven de las relaciones contractuales con el estado, de los fallos con responsabilidad fiscal, de las decisiones de

pérdida de investidura y de las condenas proferidas contra servidores, ex servidores públicos y particulares que desempeñen funciones públicas en

ejercicio de la acción de repetición o llamamiento en garantía. Este documento tiene efectos para acceder al sector público, en los términos que

establezca la ley o demás disposiciones vigentes. En caso de nombramiento o suscripción de contratos con el estado, es responsabilidad de la

Entidad, validar la información que presente el aspirante en la página web: http://www.procuraduria.gov.co/portal/antecedentes.html

MARIO ENRIQUE CASTRO GONZÁLEZ

Jefe División Centro de Atención al Público (CAP)

ATENCIÓN :

ESTE CERTIFICADO CONSTA DE 01 HOJA(S), SOLO ES VALIDO EN SU TOTALIDAD. VERIFIQUE QUE EL NUMERO DEL CERTIFICADO SEA EL MISMO EN

TODAS LAS HOJAS.

División Centro de Atención al Público (CAP)

Linea gratuita 018000910315; [email protected]

Carrera 5 No. 15 - 60 Piso 1; Pbx 5878750 ext. 13105; Bogotá DC.

www.procuraduria.gov.co 0000ni2

validez y seguridad jurídica electrónica

ANEXO No. 2

ESPECIFICACIONES TÉCNICAS MÍNIMAS Y SERVICIOS CONEXOS

Las siguientes son las especificaciones técnicas mínimas de los servicios que requiere la entidad,

las cuales se entenderán aceptadas con la suscripción de la carta de presentación de la oferta y

debe cumplir el futuro contratista.

REQUERIMIENTOS TÉCNICOS MÍNIMOS

1. Entrega de certificados digitales a favor de la Procuraduría General de la Nación:

Emisión y asignación de cuarenta (40) certificados digitales alojados en dispositivos criptográficos

de almacenamiento, incluyendo sus respectivos controladores. Los Certificados Digitales deben

tener las siguientes características mínimas:

• Contar con contraseña de seguridad y tener la capacidad mínima de firmar digitalmente

las transacciones que realicen sus titulares en el Sistema Integrado de Información

Financiera SUR II.

• Funcionar con el software de SIIF - Nación en cualquier equipo de cómputo.

• Cumplir con prueba de identidad, encripción fuerte, autenticación, no repudio e integridad.

• Firma digital de mensajes de datos.

• Cifrado de mensajes de datos.

• Firma de documentos a ser enviados o transmitidos.

• Tener una vigencia de un (1) año a partir de su asignación, conforme lo informado por el

supervisor del contrato. Durante este período de vigencia, el contratista deberá prestar

todos los servicios conexos descritos en el presente documento.

• Los certificados digitales deben cumplir con el estándar UIT X.509 V3 y las disposiciones

de campos mínimos requeridos, definidas por la Ley 527 de 1999, el Decreto 1747 de

2000 y la Circular Única No. 10 de la Superintendencia de Industria y Comercio, y demásdisposiciones legales inherentes a entidades de certificación digital en Colombia.

• Los certificados digitales contendrán como datos mínimos requeridos para su emisión:

• documento de identidad, nombre, dirección, teléfono, cargo y correo electrónico, además

de los demás datos definidos en el Artículo 35 de la Ley 527 de 1999.

2. Servicios conexos:

El contratista deberá proporcionar como mínimo los siguientes servicios conexos sin costo

adicional para la Procuraduría General de la Nación:

• Servicio electrónico que permita: a) Radicar la solicitud de expedición de Certificados

Digitales y sus documentos soportes; b) Realizar Tracking a la emisión y asignación de

certificados digitales; y c) Controlar la cantidad de Certificados Digitales entregados.

• Emitir y entregar los certificados dentro de los cinco (5) días hábiles siguientes a la

solicitud elevada por la entidad, a través de correo electrónico anexando los documentos

soportes de identificación del funcionario y certificación laboral.

• Brindar soporte técnico, telefónico, por chat y/o correo electrónico en relación con la

instalación, configuración y solución de conflictos de los certificados digitales, como

mínimo de lunes a viernes de 8:00 am a 6:00 pm. El soporte técnico debe ser

proporcionado por el contratista durante la vigencia de los certificados que emita.

00000.13


certicámara.validez y seguridad jurídica electrónica

Otorgar un cupo de mínimo una reposición gratuita a cada certificado digital emitido. Dicha

reposición debe abarcar al menos el tiempo restante de suscripción del certificado inicial

(debe tenerse en cuenta que el tiempo de vigencia es de 1 año a partir de la emisión y

entrega al funcionario). Solo cuando proceda la reposición de certificados digitales

vigentes que ya cuenten con un dispositivo criptográfico en funcionamiento, el certificado

puede ser emitido en archivo electrónico P12 para ser instalado en el dispositivo existente,

previamente entregado por el contratista con la asignación del certificado inicial. Esta

reposición procederá por perdida de clave o rotación de funcionarios.

Entregar los certificados mediante envío por correo especializado que será asumido por

el contratista.

Custodia de los certificados digitales emitidos. Los certificados digitales que a la fecha de

finalización del plazo de ejecución del contrato no hayan sido asignados a usuarios,

estarán en custodia por el contratista hasta tanto sea asignado el último TOKEN al usuario

final de la PROCURADURÍA GENERAL DE LA NACIÓN de acuerdo a las necesidades.Para tal efecto, el supervisor y el contratista dejarán constancia de la custodia en acta, en

la cual se aclarará que la vigencia de estos certificados digitales se contará a partir de su

asignación.



ogotá

00000.1.4


certicámara

PÚBLICA

DECLARACIÓN DE PRÁCTICAS DE

CERTIFICACIÓN DIGITAL

KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 1 de 60

Por Introducción

1.1 Declaración de Prácticas de Certificación

Este documento presenta la Declaración de Prácticas de Certificación (DPC) que establece las normas y condiciones generales de los

servicios de certificación que presta la Sociedad Cameral de Certificación Digital Certicámara S.A. con su certificado raíz válido hasta el

Martes, 02 de Abril de 2030 04:42:02 p.m. y cuyo serial se identifica con el número hexadecimal 07 7e 52 93 7b eO 15 e3 57 fO 69 8c cb

ec 0c, en relación con la gestión de la información para el proceso de verificación y emisión de Certificados digitales, las condiciones

aplicables por tipo de producto y/o servicio, expedición, uso, revocación, las políticas de seguridad, controles técnicos, los mecanismos

de información, difusión, servicio al cliente, entre otras.

El certificado raíz será utilizado exclusivamente para la emisión de certificados de autoridades de certificación subordinadas y lista de

certificados de autoridades subordinadas intermedias revocadas, los certificados de CA subordinada a su vez emitirán los certificados de

entidad final, los cuales utilizarán los clientes del servicio de certificación digital de Certicámara.

La DPC está dirigida a todas aquellas personas naturales o jurídicas, solicitantes, suscriptores, en general a usuarios de los certificados

digitales y terceros que confíen en ellos como evidencias jurídicas y probatorias, o en el ámbito que sean implementados, en cumplimiento

de la Ley 527 de 1999, Decreto 1747 de 2000 y Circular Única de la Superintendencia de Industria y Comercio título V - capítulo octavo.

La actualización y/o modificación de la Declaración de Prácticas de Certificación, se realizará a través del procedimiento establecido para

estos casos, que se basa en que cualquier cambio o adecuación sobre el documento deberá ser revisado y analizado por los integrantes

del Comité de Seguridad de Certicámara S. A., y su aprobación final está a cargo del Gerente General de Certicámara S. A. Se deberá

formalizar mediante acta de comité de Seguridad. El Oficial de Seguridad de la Información es el responsable por solicitar al Analista WEB

y Multimedia la publicación de la nueva versión en el sitio Web: https://web.certicamara.com/marco-legal/declaracion-de-practicas-de-

certificaclon/.

1.2 La Sociedad Cameral de Certificación Digital Certicámara S.A

La Sociedad Cameral de Certificación Digital Certicámara S.A., en adelante Certicámara, es una sociedad anónima constituida por las

cámaras de comercio del país con el objetivo de prestar los servicios de certificación digital.

Certicámara es una Entidad de Certificación Digital Abierta de carácter esencialmente Empresarial, que tiene como propósito

fundamental proporcionar las herramientas necesarias para que los empresarios y demás usuarios de Internet del país puedan realizar

Negocios Electrónicos con seguridad Jurídica.

Certicámara tiene su domicilio principal en la ciudad de Bogotá, se encuentra inscrita en el Registro Mercantil bajo el número de matrícula

No. 1079279, y tiene autorización para prestar los servicios de certificación digital abierta de la Superintendencia de Industria y Comercio.

1.3 Protección De Los Derechos De Propiedad Intelectual

Por medio de la presente disposición se establece que toda la información contenida en la Declaración de Practicas de Certificación -DPC-

, pertenece única y exclusivamente a la Sociedad Cameral de Certificación Digital Certicámara S.A., de tal forma que esta se reserva todos

los Derechos relacionados con la propiedad intelectual del presente documento (DPC), incluyendo la información, técnicas, modelos,

políticas internas, procesos y procedimientos, de acuerdo a la normatividad nacional e internacional relacionada con la materia.

0000015

COPIA CONTROLADA

La versión aprobada más reciente de este documento se encuentra en Share Point.

certicámara.

PÚBUCA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de 51

Comité de SI

Gerente General

Página 3 de 60

1.4.5 Tercero Idóneo

Persona natural o Jurídica, que se considera idónea y que podrá estar a cargo, de forma segura y confiable para el suscríptor, del

procedimiento de la generación de las claves pública y privada. Garantizando con ello la seguridad de que nadie distinto del suscriptor

conocerá dichas claves, de conformidad con los términos establecidos en esta Declaración de Prácticas de Certificación y siguiendo en

todo momento las instrucciones de Certicámara, cumpliendo los requerimientos de las auditorías internas y extemas que garantizan el

aseguramiento de este mecanismo, sin embargo la generación del par de llaves de los suscriptores está a cargo del software de la CA.

1.4.6 Solicitante

Persona natural o jurídica que solicita la expedición de un certificado digital a nombre propio, o de terceros, o en nombre y representación

legal de una persona jurídica.

1.4.7 Suscriptor

Es aquella persona, natural o jurídica, que figura en el certificado digital como titular del mismo, según se deriva de la Práctica de

Certificación establecida para cada uno de ellos.

1.4.8 Entidades de registro:

Son dependencias designadas por Certicámara para realizar recepción de solicitudes, validación de información y aprobación de emisión

de los certificados digitales, cumpliendo con lo establecido en las normas legales colombianas vigentes para autoridades de certificación.

Declaración de prácticas de certificación y parámetros establecidos en los principios de Web Trust.

La autoridad local de registro se encuentra en la ciudad de Bogotá, el encargado de la autoridad de registro central envía la información

al servidor de autoridad de registro de la PKI para el procesamiento y emisión de certificados digitales.

1.5 Suministro del Certificado Digital a los suscriptores por medio de operador logístico

1.5.1 Cubrimiento

La entrega de los certificados digitales se realizara de conformidad a la matriz de cubrimiento del servicio de entrega personalizada del

operador logfstico que tenga contrato vigente con Certicámara para efectuar esta tarea o mediante entrega directa por parte del

funcionario del área logística de Certicámara, cumpliendo con los requerimientos de seguridad necesarios para garantizar que la entrega

es personal y que se mantiene en todo momento confidencialidad de la llave privada del certificado del suscriptor.

Los certificados digitales serán enviados a través del operador logístico al destino diligenciado en el formulario de solicitud o podrán ser

reclamados en las instalaciones de Certicámara Bogotá. Cali o Bucaramanga previa información del solicitante. Para los destinos que no

cuentan con entrega puerta a puerta en la modalidad de entrega personalizada, Certicámara contactará al solicitante para acordar el

punto de servicio del operador logístico, donde el solicitante o un tercero autorizado por él pueda acercarse a reclamar el certificado

digital.

Requisitos de entrega

La entrega se realiza en cualquiera de los eventos previa identificación del solicitante; ante la imposibilidad de entrega personal del

certificado digital, el solicitante debe autorizar a un tercero para recibirlo a través de una carta de autorización firmada por el solicitante,

anexando copia del documento de identificación del solicitante y del tercero autorizado. La guía del operador logístico servirá como

evidencia del acuse de recibo del certificado de firma digital. En los eventos que exista por parte de la entidad contratante un coordinador

encargado de la administración de los certificados digitales, este podrá recibir y distribuir los certificados previa validación de Certicámara

S.A.

Para la entrega del dispositivo vacío (Token) no se requiere previa autorización del solicitante para ser entregado a un tercero.

1.5.2 Tiempo de entrega y gestión

A nivel urbano y ciudades principales el tiempo de entrega desde la emisión del certificado hasta la entrega al solicitante, será

aproximadamente de dos (2) días hábiles; ante la imposibilidad de ubicar al solicitante o tercero autorizado dicho termino podrá ser de

cinco (5) días hábiles.

0000016

COPIA CONTROLADA


certicámara.

PÚBLICA



KEYONE 4

Código:

Fecha:

L Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 5 de 60

• Toda parte confiante del certificado digital deberá:

o Verificar la contabilidad de la firma digital del suscriptor, así como la de Certicámara y cualquiera otra que figure en

los certificados digitales, según lo establecido en esta Declaración de Prácticas de Certificación.

o Verificar que el certificado digital en el que se pretende confiar no se encuentra registrado en la base de datos de

certificados digitales revocados que Certicámara tiene para el efecto, y que se encuentra publicada en el sitio de

Internet de Certicámara.

o Delimitar con precisión los datos que se encuentran firmados digitalmente en el mensaje que recibe.

La clave pública contenida en un certificado digital es un recurso técnico que puede utilizarse como un medio para CIFRAR O ENCRIPTAR

los mensajes de datos que se envían, de tal manera que únicamente el tenedor de la clave privada puede DESENCRIPTAR dicho mensaje y

acceder a dicha información. Si la clave privada se pierde o se destruye, la información que haya sido ENCRIPTADA con la clave pública no

podrá ser descifrada. ElSUSCRIPTOR y la PARTE CONFIANTE reconocen y aceptan que la utilización de la clave pública del suscriptorpara

ENCRIPTAR documentos es su exclusiva responsabilidad, y que perderán toda la información que se encuentre ENCRIPTADA si la clave

privada se pierde o destruye. Certicámara no asume ninguna responsabilidad por este concepto.

• Si durante el periodo de vigencia parte o toda la información contenida en el certificado digital pierde actualidad o validez, el

suscriptor deberá iniciar el procedimiento de revocación del mismo de conformidad con lo establecido en la sección de

Revocación de certificados digitales de esta Declaración de Prácticas de Certificación.

• Los certificados digitales deberán utilizarse tal y como son suministrados por Certicámara.

• Los certificados digitales deberán ser retenidos indefinidamente en la base de datos, independiente del estado en que se

encuentren.

• Los certificados digitales pueden ser utilizados con los siguientes propósitos:

o Identificación: El suscriptor del certificado digital puede identificarse como persona natural y adicionalmente puede

vincularlo con una cualidad o condición que la entidad de certificación verifica al momento de emitir el certificado

digital, demostrando el acceso a la clave privada asociada con la clave pública que se incluye en el certificado digital.

o Integridad: El uso de la Infraestructura de Clave Pública le permite comprobar a una parte confiante que un mensaje

de datos recibido no ha sido alterado entre el envío y la recepción del mismo ni en ningún otro momento.

o No repudio: La persona que recibe un mensaje de datos firmado digitalmente y respaldado por un certificado digital

permite que, cumplidos todos los requisitos de procedimiento del Sistema de Certificación Digital, el suscriptor no

pueda negar el envío de dicho mensaje de datos.

Adicionalmente, si así lo dispone el suscriptor, se podrá utilizar el certificado digital para lograr el siguiente atributo:

o Confidencialidad: La clave pública del suscriptor puede ser usada para cifrar todos los documentos que se le envían,

impidiendo que terceras personas tengan acceso a las comunicaciones que se transmiten a través de comunicaciones

electrónicas abiertas. LA UTILIZACIÓN DE LA CLAVE PÚBLICA POR PARTE DEL SUSCRIPTOR PARA ENCRIPTAR LA

INFORMACIÓN DEBERÁ EN TODO CASO AJUSTARSE A LAS PRESCRIPCIONES LEGALES COLOMBIANAS O DE CUALQUIER

OTRO PAÍS DEL MUNDO EN DONDE SE UTILICE EL SISTEMA DE CERTIFICACIÓN DIGITAL EN MATERIA DE TECNOLOGÍAS

DE INCRIPCIÓN DE INFORMACIÓN. A pesar de ser posible su utilización para el cifrado de datos, Certicámara no se

responsabiliza por esta actividad, debido a que, por motivos de seguridad, la entidad de certificación no guarda copia

de la clave privada del Suscriptor. No se garantiza, por tanto, la recuperación de los datos cifrados en caso de pérdida

de la clave privada por parte del Suscriptor, el Suscriptor o el Tercero que confía lo hará, en todo caso, bajo su propia

responsabilidad.

00000.17"

COPIA CONTROLADA


certicámara

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 7 de 60

1.8 Definiciones

1.8.1 Certificados digitales

Los certificados digitales son archivos digitales en los que Certicámara realiza ciertas declaraciones, respecto de la identidad del suscriptor

del servicio, basada en la información que suministra el suscriptor y en procedimientos propios de verificación. Un certificado digital

contiene la información esencial que le permite a una persona que lo recibe a través de un medio electrónico conocer la identidad del

remitente del mismo.

Todos los certificados digitales que Certicámara expide son firmados digitalmente por ella. La persona que lo recibe puede tener la

seguridad que el mismo no ha sido alterado y que es efectivamente Certicámara quien lo ha expedido.

1.8.2 Las Entidades de Certificación Digital

Las Entidades de Certificación Digital son TERCEROS DE CONFIANZA que se dedican a la prestación de servicios de certificación digital, a

través de un Sistema de Certificación Digital. Los servicios de certificación digital brindan seguridad a las comunicaciones que se realizan

en redes abiertas, como por ejemplo Internet, mediante la expedición de certificados digitales en los que ofrecen Información a los

usuarios sobre la persona con la que se están comunicando.

Para emitir los certificados digitales las Entidades de Certificación Digital utilizan la Infraestructura de Clave Pública (PKI, por sus siglas en

inglés), que es el conjunto de elementos tecnológicos que, mediante la utilización de un par de claves criptográficas, una privada que solo

posee el suscriptor del servicio y una pública que se incluye en el certificado digital, logran:

1. Identificar a quien envía una comunicación.

2. Impedir que terceras personas puedan observar los mensajes que se envían a través de medios electrónicos.

3. Impedir que un tercero pueda alterar la información que es enviada a través de medios electrónicos.

4. Evitar que el suscriptor del servicio de certificación digital que envió un mensaje electrónico pueda después negar dicho envío.

1.8.3 Autoridad de Certificación Raíz de Certicámara

La Autoridad de certificación raíz (AC) es la autoridad de certificación Raíz de la Infraestructura de Clave Pública de Certicámara cuya

función principal es emitir los certificados digitales a su plataforma de certificación digital. Donde un certificado digital es un documento

electrónico que asocia la identidad de un sujeto (entidad, individuo, dispositivo, etc.) con su correspondiente clave pública y uno o más

atributos. El caso específico de un certificado raíz, se corresponde a un certificado que ninguna entidad de confianza superior firma

digitalmente como raíz, es decir posee un certificado auto firmado, y es a partir de allí, donde comienza la cadena de confianza. Este

proceso de auto firmado hace que los campos del Certificado Raíz cumplan con los estándares internacionales y aplicables que garantizan

la interoperabilidad.

Entonces la AC Raíz dispone de un certificado auto firmado con su clave privada, con el que firma los certificados de clave pública de la

plataforma de certificación de Certicámara, que a su vez emplean sus claves privadas, para firmar los certificados de los suscriptores

finales, de modo que toda la jerarquía se encuentra cubierta por la confianza de la AC Raíz.

Los certificados digitales de clave pública son generados de acuerdo al estándar X.509 versión 3 (1996). El X.509 es el estándar

fundamental que define la estructura del certificado de clave pública. El X.509 es el sector de estandarización de Telecomunicación de la

Unión Internacional de Telecomunicaciones (Internacional Telecomunications Unión-Telecomunications, ITU-T) y el estándar de formato

de certificado de la Organización for Standarization, (ISO).

La arquitectura general, de la certificación digital de Certicámara es la siguiente: La arquitectura jerárquica parte de la Raíz, ancla de la

Cadena de Confianza de la certificación digital, llamada Autoridad de Certificación (AC) Raíz. No existe otra AC que pueda firmar el

certificado de la AC Raíz. Este es el único caso, en el que la AC Raíz crea un certificado auto firmado por sí misma.

0000018

COPIA CONTROLADA


certicámara

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 9 de 60

• Para la verificación de estado de revocación de certificados OCSP

o WEB:

http://ocsD.certicamara.com

http://ocsp.certicamara.co

A través de esta URL el usuario no se puede consultar directamente la revocación de un certificado, para esto se debe

disponer de un Cliente OCSP que cumpla la RFC2560. Si el usuario no cuenta con este Cliente OCSP, deberá descargar

la lista completa de los certificados revocados (CRL).

El repositorio público de la AC raíz no contiene ninguna información confidencial o privada.

2.2 Publicación

Es obligación para la Entidad de Certificación publicar la información relativa a sus prácticas, sus certificados y el estado actualizado de

dichos certificados. Las publicaciones que realice Certicámara, de toda información clasificada como pública, se anunciará en su respectiva

página Web de la siguiente manera:

• La lista de Certificados Revocados (CRL), se encuentra disponible en formato CRL V2, en el repositorio de la AC raíz.

• Las Políticas de Certificados de la AC raíz, se podrán ubicar en la versión actualizada del presente documento.

• Todas las versiones del presente documento son públicas y se encuentran disponibles en el sitio Web de la AC raíz

https://web.certicamara.com/marco-legal/declaracion-de-practicas-de-certificacion/, en formato PDF.

• Las llaves públicas de los certificados emitidos por la AC subordinada se encuentran disponibles en el repositorio público LDAP,

en formato X.509 v3 y en la dirección https: //ssl.certicamara.com/WebSite4LDAP/Default.aspx, los cuales podrán ser

consultados por un parámetro de búsqueda.

• Los datos de contacto de Certicámara en la dirección https://web.certicamara.com/contactenos/directorio-telefonico-de-

sedes/.

• Los manuales de operaciones de la AC raíz y toda la información considerada relevante a los certificados emitidos se encuentra

en la dirección https://web.certicamara.com/soporte-tecnico/manuales-de-soporte-tecnico/.

• Estado de revocación de certificados OCSP, se encuentra disponible para su consulta vía web en la dirección

http://ocsp.certicamara.com v http://ocsp.certicamara.co.

oooom?

COPIA CONTROLADA


certicamara.

PÚBLICA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 11 de 60

3 Identificación y autenticación

3.1 Registros de nombres

3.1.1 Tipos de nombres

La AC Raíz, sólo genera y firma certificados con tipos de nombres acordes al estándar X. 500. Para la AC raíz:

El ON de la AC raíz está formado por los siguientes atributos:

CN = AC Certicámara S.A.

O = Sociedad Cameral de Certificación Digital - Certicámara S.A.

C=CO

El nombre alternativo (AN) de la AC raíz está formado por los siguientes atributos:

CN=AC Certicámara S.A.

O = Sociedad Cameral de Certificación Digital - Certicámara S.A.

C=CO

Certicámara establece en esta política la emisión de diferentes tipos de certificados. Cada tipo de certificado se identificara por un OÍD

(Object Identifier) único, incluido en el certificado como identificador de política, dentro de la extensión X.509 Certifícate Policies.

Certificado tipo I - Certificados para *

(OÍD política 2.5.862.1.2.)

Este certificado lo genera la Entidad de Certificación de primer nivel para su identificación, es el certificado raíz auto firmado de la

infraestructura de clave pública de Certicámara. El uso de este certificado está enmarcado en las actividades de la AC raíz.

3.1.2 Necesidad de que los nombres sean significativos

Las políticas definidas, garantizan que los nombres distintivos (DN) de los certificados son suficientemente significativos para vincular la

clave pública con una identidad.

3.1.3 Interpretación de formatos de nombres

Las reglas utilizadas para la interpretación de los nombres distinguidos en los certificados emitidos están descritas en la ISO/IEC 9595

(X.500) Distinguished Ñame (DN). Adicionalmente todos los certificados emitidos utilizan codificación UTF8 para todos los atributos, según

la RFC 3280 ("Internet X.509 Public Key Infrastructure Certifícate and Certifícate Revocation List (CRL) Profile").

3.1.4 Unicidad de los nombres

La AC raíz define como campo DN (Distinguished Ñame) del Certificado de Autoridad como único y sin ambigüedad. Para ello se incluirá

como parte del DN, específicamente en el campo CN, el nombre o razón social del titular del certificado. Por lo tanto, la unicidad se

garantiza mediante la confianza sobre la unicidad de los nombres mercantiles en el registro mercantil nacional.

3.1.5 Resolución de conflictos relativos a nombres

Certicámara no actúa como arbitro o mediador, ni resuelve ninguna disputa relativa a la titularidad de nombres de personas u

organizaciones, nombres de dominio, marcas o nombres comerciaies, etc. Así mismo, este organismo se reserva el derecho de rechazar

una solicitud de certificado debido a conflicto de nombres.

0000020

COPIA CONTROLADA


certicámara.

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 13 de 60

4 El ciclo de vida de los certificados

4.1 Solicitud de certificados

Los procedimientos operativos establecidos por Certicámara para la acreditación serán responsabilidad de los aspirantes a la acreditación.

Este proceso se puede llevar a cabo de forma manual dirigiéndose ante las oficinas de Certicámara, a través del sistema automatizado de

solicitud de productos y servicios visitando la dirección electrónica:

Https://solicitudes.certicamara.com/ssps/Solicitudes/AceptoLosTerminos.aspx, o a través de cualquier otro medio electrónico que

disponga Certicámara, bien sea a través de su página web o de la de un tercero, dentro del desarrollo de un proyecto.

La documentación física entregada por el solicitante a Certicámara, será almacenada en archivo físico durante 6 meses y en digital por un

periodo de 10 años, La información del solicitante no será publicada por Certicámara a no ser que se tenga el consentimiento explícito

del suscriptor.

"Los usuarios que hacen uso del sistema de solicitud de productos y servicios suscriben de manera electrónica mediante aceptación de

términos, las condiciones del servicio, especificadas en la presente DPC y en el contrato de prestación de servicios de certificación digital."

Una vez aprobada la solicitud por los sistemas de verificación de Certicámara, el solicitante presenta las garantfas necesarias para obtener

la acreditación como suscriptor de Certicámara, en la cadena de confianza y pasa a ser un suscriptor.

La acreditación del suscriptor establece que opera en conformidad con las políticas y procedimientos establecidos por Certicámara.

• Certicámara se reserva el derecho de solicitar documentos adicionales a los que sean exigidos en el formulario de solicitud o

fotocopias de los mismos cuando asf lo considere necesario para verificar la identidad o cualquier calidad del solicitante, así

como de exonerar de la presentación de cualquiera de ellos cuando la identidad del solicitante haya sido suficientemente

verificada por Certicámara por otros medios. Certicámara se reserva el derecho de exigir que las fotocopias de los documentos

solicitados sean auténticas. Sin limitarse a ellos, Certicámara podrá exigir adicionalmente:

• Referencias comerciales de la empresa.

• Referencias personales del solicitante.

• Certificados laborales.

• Certificaciones bancarias.

• Licencia de conducción válida.

• Certificado Judicial.

• Pasaporte vigente.

• Libreta militar.

• Documento de afiliación al Régimen de Seguridad Social en Salud.

• Documento de afiliación a la empresa Administradora de Riesgos Profesionales.

• Acta de Nombramiento y/o Posesión.

• Certificaciones de Autoridades de Inspección, Vigilancia y Control.

La solicitud de un servicio de certificación digital puede radicarse en cualquiera de las Entidades de Registro que Certicámara

posee para la prestación del servicio, o puede efectuarse a través de los canales electrónicos o físicos que para el efecto disponga

Certicámara.

Certicámara se reserva el derecho de exigir requisitos adicionales a los estipulados en la Práctica de Certificación, cuando así

lo considere necesario para la verificación de la identidad de las personas o para un adecuado cumplimiento de los servicios de

certificación digital.

COPIA CONTROLADA

La versión aprobada más reciente de este documento se encuentra en Share Point. 0000021

certicámara.

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 15 de 60

4.3.5 Notificación de la emisión del certificado por la AC a otras Autoridades

Certicámara notificará a las entidades, organismos del gobierno y empresas privadas la emisión de un certificado por medio de la página

Web de Certicámara.

4.4 Uso del par de claves y del certificado

El uso de los certificados emitidos por la AC raíz y la AC Subordinada son los previstos en la legislación Colombiana y en sus reglamentos.

4.4.1 Uso de la clave privada del certificado por la ENTIDAD SUBORDINADA

El titular sólo puede utilizar la clave privada y el certificado para los usos autorizados en esta DPC. Certicámara emite certificados con los

campos de uso de clave privada limitados a firma de certificados y firma de CRL.

4.4.2 Uso de la clave pública y del certificado por los terceros de buena fe

Los terceros de buena fe sólo pueden depositar su confianza en los certificados para aquello que establece esta DPC y la Ley.

Los terceros de buena fe pueden realizar operaciones de clave pública de manera satisfactoria confiando en el certificado emitido por la

cadena de confianza. Así mismo, deben asumir la responsabilidad de verificar el estado del certificado utilizando los medios que se

establecen en esta DPC.

4.5 Servidos de rekey de claves privadas y administración de llaves

Certicámara no presta los servicios de rekey de claves privadas y administración de llaves de sus suscriptores.

4.6 Renovación de certificado con cambio de clave

Certicámara notifica con al menos quince días calendarlo de anticipación a sus suscriptores la terminación de la vigencia de su certificado

digital. Esta notificación puede realizarse por correo electrónico a la dirección de correo electrónico proporcionada por el suscriptor o por

cualquier otro medio idóneo de comunicación cuando Certicámara lo considere pertinente. Aquellos suscriptores cuyo Certificado Digital

se encuentren almacenados en dispositivo criptográfico, serán notificados adicionalmente por el software controlador del dispositivo, el

cual le permitirá consultar su vigencia en cualquier momento.

Sin embargo, no es obligación de Certicámara garantizar la efectividad de la notificación sobre la terminación de la vigencia de su

certificado o confirmar la recepción de la misma, pues es una obligación del Suscriptor conocer la vigencia de su certificado digital y

adelantar los trámites de renovación ante Certicámara con antelación al vencimiento de su certificado, teniendo en cuenta que esta

solicitud deberá surtir el proceso de verificación de datos, conciliación de pago y aprobación por parte de Certicámara, proceso que

Certicámara adelantará según lo establecido en los acuerdos de nivel de servicio establecidos con el suscriptor y dependiendo de la calidad

y veracidad de la información proporcionada por el suscriptor.

Es importante destacar, que Certicámara notificará a través del correo electrónico proporcionado por el Suscriptor, además del

vencimiento del certificado digital, otros procesos o procedimientos como mantenimiento u otros, para lo cual se hace uso de la dirección

de correo electrónico suministrada por el solicitante en el proceso de emisión del Certificado digital, dirección electrónica que será

responsabilidad del suscriptor, y por lo tanto es obligación del suscriptor diligenciar correctamente dicha dirección en el formulario de

solicitud del certificado digital, por primera vez y en su renovación.

4.6.1 Causas para la renovación de un certificado

La causa de la renovación de un certificado por parte del suscriptor es por la caducidad.

4.6.2 Entidad ó suscriptor que puede solicitar la renovación del certificado

Las entidades o suscriptores están autorizados(as) para solicitar la renovación de un certificado con cambio de clave cuando:

• Se encuentre próximo a caducarse el servicio y el suscriptor desee continuar utilizando un certificado digital que acredite las

condiciones que le fueron aprobadas en el certificado digital.

COPIA CONTROLADA


certicámara

PÚBLICA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 17 de 60

• Por el compromiso de la clave privada de Certicámara o de su sistema de seguridad de manera tal que afecte la confiabilidad

del certificado digital, por cualquier circunstancia, incluyendo las fortuitas.

• Por el cese de actividades de Certicámara, salvo que los certificados digitales expedidos sean transferidos a otra Entidad de

Certificación.

• Por orden judicial o de entidad administrativa competente.

• Pérdida, inutilización o compromiso de la seguridad del soporte físico del certificado digital que haya sido debidamente

notificada a Certicámara.

• Por la terminación del contrato de suscripción, de conformidad con las causales establecidas en el contrato y en esta Declaración

de Prácticas de Certificación.

• Por cualquier causa que razonablemente induzca a creer que el servicio de certificación haya sido comprometido hasta el punto

que se ponga en duda la confiabilidad del certificado digital.

• El manejo indebido por parte del suscriptor del certificado digital.

• Por el Incumplimiento del suscriptor o de la persona jurídica que representa o a la que está vinculado a través del Contrato del

servicio de Certificación Digital proporcionado por Certicámara.

• Por reporte de cartera vencida ocasionado por el pago no efectuado de los servicios que le está proporcionando Certicámara al

suscriptor o a la persona jurídica que representa. En este supuesto de revocación Certicámara realizará una suspensión del

certificado el cual será identificado dentro de la CRL en el campo de "Código de razón de la lista de revocación de certificados"

con el valor "Posesión de certificado (6)" ó en inglés "Certifícate Hold (6)", con lo cual se podrá interpretar que el certificado se

encuentra suspendido y podrá ser rehabilitado por Certicámara dependiendo de la actualización de reporte de cartera vencida.

Se aclara que Certicámara no ofrece el servicio de suspensión de certificados a los suscriptores.

• Por la concurrencia de cualquier otra causa especificada en la presente Declaración de Prácticas de Certificación.

CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DEREVOCACIÓN ESTABLECIDAS EN ESTE APARTADO. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOSDIGITALES TANSOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS.

EL SUSCRIPTOR Y LA PARTE CONFIANTE TIENEN LA OBLIGACIÓN DE INICIAR EL PROCEDIMIENTO DE REVOCACIÓN DEL CERTIFICADO

ESTA OBUGACIÓN LOS HACE RESPONSABLES DE LOS PERJUICIOS OCASIONADOS POR ESTA OMISIÓN.

COPIA CONTROLADA

La versión aprobada más reciente de este documento se encuentra en Share Point. fi D fl D H P 3

certicámara.

PÚBLICA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0015-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 19 de 60

4.8.4 Revocación

Si Certicámara lo considera necesario realizará, personalmente o por intermedio de terceras personas, las averiguaciones y gestiones

pertinentes para comprobar la existencia de la causal de revocación que sea invocada. Dichas gestiones podrán incluir la comunicación

directa con el suscriptor y la presencia física del tercero que invoca la causal de revocación.

Si la causal es comprobada, Certicámara incorporará el certificado digital en la Base de datos de certificados digitales revocados como

certificado digital revocado. De lo contrario, dará por terminado el proceso de revocación del certificado digital. Se aclara que

Certicámara no ofrece el servicio de suspensión de certificados a los suscriptores.

Certicámara debe Informar al suscriptor, dentro de las 24 horas siguientes, la suspensión del servicio o revocación de su (s) certificado

(s), de conformidad con la normatividad vigente.

Si el suscriptor desea obtener un nuevo certificado digital, debe diligenciar nuevamente el formulario de prestación de servicios de

certificación digital. Puede enviar dicho documento físicamente, a través de correo ordinario o digitalmente a través de correo electrónico,

siempre y cuando este último vaya firmado digitalmente por el representante legal del solicitante.

4.8.5 Revocación del certificado digital por parte del usuario

El usuario de los servicios de certificación digital podrá revocar el certificado de firma digital asociado a su nombre, haciendo uso de la

interfaz que Certicámara dispone para este fin, interfaz en la cual se verificará la identidad del usuario mediante la aplicación de un test

con información relacionada a su historial crediticio y financiero.

El sistema notificará automáticamente al correo electrónico del usuario, la revocación efectiva del certificado de firma digital.

Certicámara puede suspender los certificados de firma digital al término de la vigencia del contrato de prestación de servicios de

certificación digital, en virtud del tiempo que haya sido contratado por parte del suscriptor. Certicámara tendrá la responsabilidad de

reactivar un certificado suspendido, una vez haya sido renovado el contrato de prestación de servicios de certificación digital mediante el

pago de una nueva vigencia y en los términos que establece la DPC para la suspensión y des-suspensión del servicio. Se aclara que

Certicámara no ofrece el servicio de suspensión de certificados a los suscriptores.

Un tercero podrá solicitar la revocación de un certificado de firma digital mediante comunicación al oficial de revocaciones al correo

electrónico [email protected], cuando conozca de la ocurrencia de una de las causales de revocación. El oficial de

revocaciones tiene la potestad de suspender dicho certificado mientras valida la veracidad de la causal de revocación y dependiendo del

resultado de la validación, podrá reactivar o revocar el certificado de firma digital.

COPIA CONTROLADA

La versión aprobada más reciente de este documento se encuentra en Share Point.0000HP4

certicámara

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 21 de 60

4.9.3 Características adicionales

Para hacer uso del Servicio de validación en linea consultando las direcciones httD://ocsp.certicamara.com v http://ocsD.certicamara.co.

es responsabilidad del tercero de buena fe disponer de un Cliente OCSP que cumpla la RFC 2560.

4.10 Finalización de la suscripción

La finalización de la suscripción de un certificado se produce en los siguientes casos:

• Revocación del certificado por cualquiera de las causas de revocación.

• Caducidad de la vigencia del certificado.

4.11 Custodia y recuperación de la llave

4.11.1 Prácticas y políticas de custodia y recuperación de la clave

La clave privada de la AC raíz se custodia por un dispositivo criptográfico HSM. Para el acceso al repositorio de claves privadas se usa el

esquema umbral limite (k,n) de Shamir tanto en software como en dispositivos criptográficos.

COPIA CONTROLADA


00000.55

c

certicamara.

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 23 de 60

5.1.4 Exposición de agua

La instalación de la AC Raíz y AC Subordinada, está protegida para evitar las exposiciones al agua de los mismos, mediante detectores de

humedad, inundación y otros mecanismos de seguridad apropiados al medio.

• Protección y prevención de incendios

La instalación de la AC Raíz y AC Subordinada, cuenta con sistema de detección y extinción inteligentes. Está conformado por:

o Panel de control inteligente.

o Una bomba de gas ECARO 25, no daña la capa de ozono y no contamina el ambiente,

o Boquillas de extensión en el techo,

o Detectores de incendios en el techo y techo falso.

o Sistema de pre alarma. Activa los detectores de incendios para detectar, controlar y localizar el evento. Si dos detectores

de incendios son activados de manera simultánea el sistema procede a descargar el gas transcurridos treinta segundos

del estado de alarma.

o Activación manual de bombona de gas. Cuando falle la activación automática de la bombona, se cuenta con una palanca

debidamente identificada.

o Posee un botón para realizar la descarga de gas ECARO 25, en caso de falla del sistema.

5.1.5 Sistemas de almacenamiento

La información relacionada a la infraestructura de la AC rafz y AC Subordinada se almacenan de forma segura en armarios ignífugos y cajas

fuertes, según la clasificación de la información en ellos contenida.

Estos sistemas de almacenamientos se encuentran en desiguales entidades para eliminar riesgos asociados a una única ubicación. La AC

Rafz y AC Subordinada, cuenta con lugares de almacenamiento interno y externo.

5.1.6 Eliminación de residuos

La AC Raíz y la AC Subordinada mantienen mecanismos de revisión de todos los materiales desechables donde se almacena información

(disquetes, papel, películas, etc.) son chequeados, antes de su eliminación o reutilización, con el objeto de comprobar si contienen

información sensible, siendo físicamente destruidos, salvo que puedan reutilizarse como medio de soporte, en cuyo caso se elimina la

información de manera segura.

5.1.7 Almacenamiento de coplas de seguridad

Todas las copias de seguridad son almacenadas en entidades distantes a la AC Raíz y AC Subordinada. Estas dependencias están protegidas

con medios y mecanismos de seguridad, apegadas a buenas prácticas internacionales de seguridad.

Las copias de seguridad totales incluyen bases de datos, aplicaciones, archivos de transacción y logs de su sistema KeyOne y SSPS los

cuales serán conservados por Certicamara por un periodo de tres meses.

COPIA CONTROLADA


0000n?6

cerücámara

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 25 de 60

Oficial de Seguridad de la Información: Debe cumplir y hacer cumplir las políticas de seguridad de la AC rafz y AC

Subordinada, y debe encargarse de cualquier aspecto relativo a la seguridad: física, de las aplicaciones, de la red, etc.

Será el encargado de gestionar los sistemas de protección perimetrai y en concreto de la gestión de las reglas de los

Firewails. Debe encargarse de la instalación, configuración y gestión de los sistemas de detección de intrusiones (IDS)

y de las herramientas asociadas a éstos. Es el responsable de resolver o hacer que se resuelvan las incidencias de

seguridad producidas, de eliminar vulnerabilidades detectadas, etc. Es el responsable de la gestión y control de los

sistemas de seguridad física del DPC, de los sistemas de control de acceso, de los sistemas de acondicionamiento

ambiental y de alimentación eléctrica. Debe encargarse de explicar los mecanismos de seguridad al personal que deba

conocerlos, de concienciar a todo el personal de la AC raíz y la AC Subordinada, y de hacer cumplir las normas y

políticas de seguridad. Debe establecer los calendarios para la ejecución de análisis de vulnerabilidades, ensayos y

pruebas de los planes de continuidad del servicio y auditorías de los sistemas de información. Debe colaborar con los

Auditores en todo aquello que les sea requerido.

♦ Responsabilidades:

• Constatar la existencia de toda la documentación del ciclo productivo requerida y enumerada.

• Comprobar la coherencia de la documentación con los procedimientos, activos inventariados, etc.

• Comprobar el seguimiento de incidencias y eventos.

• Comprobar la protección de los sistemas: explotación de vulnerabilidades, logs de acceso,

usuarios, etc.

• Comprobar alarmas y elementos de seguridad física.

• Comprobar adecuación a normativa y legislación.

• Comprobar conocimiento de los procedimientos por parte del personal implicado.

• Autorizados a consultar archivos, trazas y logs de auditoría de las entidades de la PKI.

COPIA CONTROLADA

La versión aprobada más reciente de este documento se encuentra en Share Polnt.

cerücámara

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 27 de 60

5.3.2 Requerimientos de formación

El personal de Certicámara debe estar sujeto a un plan de formación especifico para el desarrollo de su función dentro de la institución.

Dicho plan de formación incluye los siguientes aspectos:

• Formación en los aspectos legales básicos relativos a la prestación de servicios de certificación.

• Conciencia sobre la seguridad física, lógica y técnica.

• Servicios proporcionados por la Autoridad de Certificación.

• Operación del software y hardware para cada rol especifico.

• Conceptos básicos sobre PKI.

• Declaración de Prácticas de Certificación.

• Gestión de incidencias.

• Procedimientos de seguridad para cada rol especifico.

• Procedimientos de operación y administración para cada rol específico.

• Procedimientos para la recuperación de la operación en caso de desastres.

5.3.3 Requerimientos y frecuencia de actualización de la formación Certicámara.

Se preverá inducciones al personal ante cambios tecnológicos del entorno, introducción de nuevas herramientas o modificación de

procedimientos operativos.

Adicionalmente se llevará a cabo sesiones formativas ante cambios en la Declaración de Prácticas de Certificación u otros documentos

relevantes al funcionamiento, administración y/o gerencia de la AC raíz y AC Subordinada.

5.3.4 Frecuencia y secuencia de rotación de tareas de Certicámara.

Certicámara Implanta rotaciones de trabajo entre los distintos roles, con el objeto de incrementar la seguridad y asegurar la contingencia

de la actividad en caso de ausencia de alguno de los trabajadores.

5.3.5 Sanciones por acciones no autorizadas

Las prácticas del personal de Certicámara definen el procedimiento sancionador para los empleados que incumplen las mismas,

especificando las sanciones por efectuar una acción no autorizada, el uso no autorizado de la autoridad o el uso no autorizado de los

sistemas. En cualquier caso si Certicámara, sospecha de que algún empleado está efectuando una acción no autorizada, automáticamente

suspende su permiso de acceso, con la posibilidad de despedido de la institución.

00000P8

COPIA CONTROLADA


certicamara.

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 29 de 60

• Configuración de cambios al equipo de la AC Raíz y AC Subordinada, en concreto:

o Hardware

o Software

o Sistema Operativo

o Usuarios

o Perfiles de seguridad

o Privilegios de administrador

o Auditorías

• Acceso físico:

o Acceso del personal al centro de cómputo de datos

o Acceso del personal al sistema

o Conocimiento o sospecha de violación de la seguridad física

• Anomalías inesperadas:

o Fallos en el chequeo de la integridad del software

o Ataques a la red (confirmados o bajo sospecha)

o Fallos en la red

o Fallos en el equipamiento

o Fallos de energía

o Quebrantamientos de la Práctica de Certificación

o Reinicio del Sistema Operativo

• Acciones de los operadores de AC Raíz y AC Subordinada:

o Gestión de cuentas

o Realización de copias de seguridad de las bases de datos

o Almacenamiento de las bases de datos

o Manipulación de ficheros

o Envío al directorio de cualquier documento o archivo

o Acceso a las bases de datos

o Firma de las tablas que utiliza en la aplicación

o Uso indebido de las claves privadas

o Acciones tomadas en respuesta a cualquier solicitud

o Carga de la tarjeta inteligente con certificados

o Envío de las claves al módulo criptográfico

o Los relacionados con la gestión del ciclo de vida de los certificados y CRLs.

5.4.2 Análisis de registros de logs

Certicámara cuenta con una herramienta de análisis de logs, que emite automáticamente alertas al área de Tecnología, con el objeto de

que las posibles fallas o alertas sean validadas y remediadas si se requiere.

Ahora bien, en caso de eventos extraordinarios, la extracción de logs deja trazas de auditoría para su posterior revisión.

5.4.3 Periodo de retención para los logs de auditoría

• El área de Seguridad de la Información custodiará por un tiempo máximo de tres años los logs generados de sistema, seguridad

y aplicación.

• El software de monitoreo de logs guarda adicionaimente en una base de datos todos los registros, que hacen parte del alcance

del procedimiento de Copias de Respaldo.

COPIA CONTROLADA ÜOfíftOOQLa versión aprobada más reciente de este documento se encuentra en Share Point. U U U U ) r. 7

certicámara.

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 31 de 60

• Relacionados con el ciclo de vida de los dispositivos criptográficos (HSM):

o Recepción dispositivos

o Entrada o traslado al lugar de almacenamiento

o Uso de dispositivos

o Desinstalación de dispositivos

o Designación del dispositivo para el servicio o reparación

o Retirada de dispositivos

• Otros:

o Actualización de la DPC

o Modificaciones de las obligaciones contractuales

o Acuerdos de confidencialidad

o Trazas de auditoría

o Accesos y modificaciones de la documentación solicitada por los auditores.

o Convenios suscritos por Certicámara

o Autorización de acceso a los sistemas de información.

5.5.2 Periodo de retención para el archivo

Las trazas de la información suministrada por los suscriptores son conservadas durante un período de dos años.

5.5.3 Protección del archivo

Las medidas de seguridad definidas están destinadas a proteger los archivos de accesos (internos o externos) no autorizados, de modo

que sólo ciertas personas pueden consultar, modificar o eliminar los archivos. Los archivos son almacenados en lugares seguros, con todas

las medias de seguridad necesarias para protegerlos de factores naturales.

5.5.4 Procedimientos de copia de seguridad del archivo

Se realizan dos copias diarias de los ficheros que componen los archivos a retener. Una copia se realiza en local y se almacena en un sitio

seguro dentro del centro de datos principal de la AC Subordinada, el cual cumple con las condiciones ambientales y físicas de seguridad.

La segunda copia de los datos se realiza de forma cifrada y remota, se almacena en el Centro de Datos Alterno, ubicado en un edificio

distinto a la sede principal de la AC Subordinada. Los procedimientos se describen en el documento de políticas y procedimientos de la

AC raíz y AC Subordinada.

5.5.5 Procedimientos para obtener y verificar información archivada

Los eventos registrados están protegidos mediante técnicas criptográficas, de forma que nadie salvo las propias aplicaciones de

visualización y gestión de eventos pueda acceder a ellos. Sólo el personal autorizado tiene acceso a los archivos físicos de soportes y

archivos informáticos, para llevar a cabo verificaciones de integridad u otras.

Esta verificación debe ser llevada a cabo por el Oficial de Seguridad de la Información que debe tener acceso a las herramientas de

verificación y control de integridad del registro de eventos de la PKI. De forma automática se realizan comprobaciones de la integridad de

los archivos electrónicos (Backups), en tiempo de su generación y se crea una incidencia en el caso de errores o comportamientos

imprevistos.

0000H3Ü

COPIA CONTROLADA


certicámara.

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 35 de 60

6.1.7 Hardware/Software de generación de claves

La AC Rafz, genera su par de claves utilizando un módulo de hardware criptográfico (HSM). La autenticación contra el HSM requiere de al

menos 2 de 3 operadores. Este procedimiento sigue el esquema K de N, con el modo no persistente del dispositivo criptográfico. En este

modo es necesario garantizar la conexión física del último juego de tarjetas en el lector del HSM, para abrir la clave privada de la AC Raíz.

La sincronización de los relojes de la CA y la RA se realiza con base en la Hora Legal de La República de Colombia1 tomada directamente

de los patrones de referencia del Instituto Nacional de Metrología -INM, de Colombia, de acuerdo con lo establecido en el artículo 14 del

Decreto 4175 de 2011, por el cual se escindieron unas funciones de la Superintendencia de Industria y Comercio y se creó el Instituto

Nacional de Metrología -INM, a partir del 3 de noviembre del año 2011 esta última institución es la encargada de 'mantener, coordinar y

difundir la hora legal de la República de Colombia, adoptada mediante Decreto 2707 de 1982.2

6.1.8 Generación del par de llaves de los suscriptores

El algoritmo que se utiliza para la generación del par de llaves de los suscriptores es RSA no inferior a 2048 bits usando como función

criptográfica de resumen o hash, el denominado SHAl. Los suscriptores utilizan dispositivos de hardware token USB para generar su llave

privada, los cuales cumplen con el estándar FIPS 140 Nivel 3. En el caso de generación de certificado en formato PKCS#12 se utiliza el

algoritmo RSA no inferior a 2048 bits usando como función criptográfica de resumen o hash, el denominado SHAl, cumpliendo el estándar

FIPS 140 Nivel 1 por el uso de Microsoft Enhanced Cryptographic Provider.

6.1.9 Propósitos de utilización de claves

Los certificados emitidos por la AC Raíz incluyen la extensión Keyusage para restringir el propósito de la clave pública del certificado,

indicando que la claves solo es para:

• Firma certificado

• Firma CRL

6.2 Protección de la clave privada

La clave privada de la AC Raíz, es protegida por un esquema de seguridad generada por un dispositivo criptográfico. Con la finalidad de

mantener el resguardo de las claves privadas del certificado auto firmado, la clave privada nunca se encuentra descifrada fuera del HSM.

Las coplas de seguridad mantienen el secreto de la clave privada de la misma forma en que se resguarda la clave privada original.

6.2.1 Estándares para los módulos criptográficos

El HSM que utiliza la AC Raíz, para generar sus claves es certificado FIPS 140-2 Nivel 3.

La clave pública ha sido almacenada en formato electrónico firmado, de modo que están protegidas de fallos electrónicos y/o problemas

con la potencia eléctrica.

Por lo tanto, la puesta en marcha de una AC implica las siguientes tareas:

• Inicialización del estado del módulo HSM.

• Creación de las tarjetas de administración y de operador.

• Generación de las claves de la AC. Z<A

1 La hora legal de la República de Colombia, según el decreto 2707 de 1982, corresponde al Tiempo Universal Coordinado (UTC) disminuido en 5 horas

2 El Instituto Nacional de Metrología, para dar cumplimiento a sus funciones, opera el patrón de tiempo de la República de Colombia con base en la señal

emitida por el conjunto de relojes atómicos de Cesio 133 ubicados en las instalaciones del INM y el cual fue designado como patrón nacional de tiempo

por el artículo 15 de la resolución 41242 de 2013.

COPIA CONTROLADA

La versión aprobada más reciente de este documento se encuentra en Share Point. H D D D (1 ^ 2

certicámara.

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 37 de 60

6.2.10 Pérdida de vigencia de los sistemas de cifrado

La siguiente tabla ilustra el tiempo que tomaría encontrar la clave privada para diferentes tipos de atacantes con la tecnología actualmente

existente3:

RSA/DSA

274

384

512

768

2304

Atacante

Individual

Semanas

Siglos

Milenios

Inviable

Inviable

Grupo Pequeño

Días

Décadas

Siglos

Inviable

Inviable

Red Académica

Horas

Años

Décadas

Inviable

Inviable

Gran Compañía

Milisegundos

Horas

Días

Siglos

Inviable

Agencia de

Inteligencia

Microsegundos

Segundos

Minutos

Siglos

Milenios

Las claves que Certicámara entrega a sus suscriptores son llaves de 2048 bits. Como se puede apreciar, con la tecnología y recursos

computacionales actualmente existentes, cualquier intento por descifrar la llave privada de los suscriptores tomaría siglos, haciéndolo en

la práctica imposible.

No obstante lo anterior, si alguna circunstancia, como por ejemplo el descubrimiento de nuevas tecnologías, acarrea un incremento en la

vulnerabilidad de los sistemas de cifrado de Certicámara, ésta tomará tan pronto como le sea posible las medidas necesarias para devolver

la confiabilidad al Sistema de Certificación Digital, incluyendo aquellas que se detallan en esta Declaración de Prácticas de Certificación.

6.2.11 Ranking del módulo criptográfico

El módulo criptográfico utilizado tanto por la AC raíz como por la ENTIDAD SUBORDINADA debe poseer la certificación FIPS140-2 nivel 3.

6.3 Otros aspectos de la gestión del par de claves

6.3.1 Archivo de la clave pública

La clave pública de la AC Raíz y AC Subordinada, es archivada según el formato estándar PKCS#7, por un período de 20 años.

6.3.2 Periodos operativos de los certificados y periodo de uso para el par de claves

El par de claves de la AC raíz tendrá una validez hasta el martes, 02 de abril de 2030. Por otro lado los periodos de operación de los

certificados serán de diez años.

6.4 Datos de activación

6.4.1 Generación e Instalación de datos de activación

Los datos de activación de la AC raíz y AC Subordinada se deben generar y almacenar en tarjetas inteligentes. Su protección se garantiza

mediante un PIN en posesión de personal autorizado.

0000033

3 Tomado de "Digital Certiflcates", de Jala! Feghhi, Peter Williams

COPIA CONTROLADA


certicámara.

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 39 de 60

6.7 Controles de seguridad de la red

La infraestructura tecnológica de la AC rafz y AC Subordinada posee una red con todos los mecanismos de seguridad necesarios para

garantizar un servicio fiable e fntegro. Se utiliza cortafuegos o intercambio de datos cifrados entre redes para garantizar integridad. Por

otro lado se utilizan tecnologías de renuncias y alta disponibilidad para garantizar un funcionamiento confiable y de alto rendimiento.

Adidonalmente la infraestructura debe ser auditada periódicamente por personas internas y externas de Certicámara.

6.8 Controles de Ingeniería de los módulos criptográficos

La AC raíz y AC Subordinada utilizan módulos criptográficos hardware y software disponibles comercialmente desarrollados por terceros.

La AC raíz y AC Subordinada únicamente utiliza módulos criptográficos con certificación FIPS 140-2 Level 3 (nShield Solo 500, nShield

Connect 1500, nShield Connect 6000).

0000034

COPIA CONTROLADA


certicámara.

PÚBLICA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 41 de 60

Los siguientes son los campos de los certificados que se emiten a los suscriptores:

• Fecha y hora de firmado

• Nombre del documento

• Asunto

• Entidad Certificadora

• Serial del Certificado

• Thumbprint

• Certificado válido desde

• Certificado válido hasta

7.1.3 Identificadores de objeto (OÍD) de los algoritmos

Los OÍD de los algoritmos criptográficos utilizados por la AC Raíz son:

• mdSwithRSAEncryption (1.2.840.113549.1.1.4)

• SHAlwithRSAEncryption (1.2.840.113549.1.1.5)

• SHA256withRSAEncryption (1.2.840.113549.1.1.11)

7.1.4 Formatos de nombres

El certificado de la AC Rafz contiene como DN, en formato X. 500, los nombres del emisor y titular del certificado en los campos emisor

(issuer) y sujetó (subject).

7.1.5 Restricciones de los nombres

Los nombres contenidos en los certificados están restringidos a distinguished ñames X.500, únicos y no ambiguos.

7.1.6 Identificador de objeto (OÍD) de la política de certificación

La AC rafz tiene definida una política de asignación de OID's dentro de su árbol privado de numeración. El OÍD de ias PC de la ACs rafz es:

2.16.862.1.

7.2 Perfil de la CRL y CRL con extensión crítica

7.2.1 Número de versión

La AC Subordinada, emite las CRLs con formato X. 509 v. 2.

0000035

COPIA CONTROLADA


certicamara.

PÚBLICA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 43 de 60

8 Auditoría de conformidad

8.1 Frecuencia de los controles de conformidad para cada entidad

El sistema de acreditación de la AC rafz y AC Subordinada se someterá a una auditoría interna de forma anual, de acuerdo con el programa

de Auditorías elaborado por Certicámara. De esta manera se garantiza la adecuación de su funcionamiento y operatividad con las

estipulaciones incluidas en esta DPC.

Adiclonalmente Certicámara llevará acabo auditorías internas bajo su propio criterio o en cualquier momento, a causa de una sospecha

de incumplimiento de alguna medida de seguridad o por un compromiso de las claves.

Cada año se llevará a cabo una autoría externa para evaluar el grado de conformidad con los criterios Webtrust para Autoridades de

Certificación de AICPA/CICA.

8.2 Auditores

El auditor será seleccionado en el momento de la realización de cada auditoría.

Cualquier empresa o persona contratada para realizar una auditoría de seguridad sobre AC raíz o las ENTIDADES SUBORDINADAS deberá

cumplir con los siguientes requisitos:

• Adecuada y acreditada capacitación y experiencia en PKI, seguridad y procesos de auditoría de sistemas de información.

• Independencia a nivel organizativo de la autoridad de AC raíz, para el caso de auditorías externas.

8.3 Relación entre el auditor y la entidad auditada

La relación entre el auditor y la entidad auditada se limitará estrictamente a los procesos e información requerida para la auditoría. Por

lo tanto la parte auditada (AC raíz o la ENTIDAD SUBORDINADA) no deberá tener ninguna relación, actual o planificada, financiera, legal,

o de cualquier otra clase que pueda derivar en un conflicto de intereses con el auditor. En el caso de los auditores internos, estos no

podrán tener relación funcional con el área objeto de la auditoría.

8.4 Tópicos cubiertos por el control de conformidad

Son objeto de auditoría todos los requisitos técnicos, funcionales y organizativos entre ellos:

• La DPC utilizada.

• Política de Seguridad de la Información.

• Administración de la AC Raíz y AC Subordinada.

• Consideraciones de Confidencialidad.

• Seguridad Física.

• Modelo de Respaldo.

• Plan de Continuidad del negocio.

• Personal Operativo.0000036

COPIA CONTROLADA


certicámara.

PÚBLICA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 45 de 60

9 Certificados digitales que expide Certicámara

Buscando satisfacer las diferentes necesidades que surgen en el contexto del uso creciente de las tecnologías de la información y

Comunicaciones, Certicámara expide diversos tipos de certificados digitales.

9.1 El Certificado de Representación de Empresa/Entidad

Se expide a personas naturales nacionales o extranjeras que se han identificado plenamente ante Certicámara con documento(s) de

identidad válldo(s) y vlgente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s)

expedldo(s) por la autoridad competente de cualquier Estado Extranjero, vinculándolas con la calidad de representante legal de una

persona jurídica o Entidad del Estado.

Los Certificados de Representación de Empresa/Entidad certifican la identidad de una persona natural vinculándola con la representación

legal de una persona jurídica, una Entidad del Estado, o como comerciante persona natural en el ámbito de su actividad profesional o

mercantil.

Los Certificados de Representación de Empresa/Entidad tienen como suscriptor tanto a la persona natural que actúa en nombre y

representación legal de una persona jurídica, como a la persona jurídica representada que figura igualmente en el certificado digital.

Requisitos para su expedición:

• El solicitante debe diligenciar el Formulario de prestación de servicios de certificación digital para el tipo

Certificado de Representación de Empresa/Entidad adjuntando los siguientes documentos:

- Fotocopia del documento de identidad:

• Para ciudadanos colombianos mayores de edad copia de la cédula de ciudadanía, para menores de

edad tarjeta de identidad (en este caso se deberá adjuntar el permiso expedido por el ministerio de

trabajo).

• Para extranjeros pasaporte o cédula de extranjería del suscriptor.

Fotocopia del certificado de existencia y representación legal con una vigencia no mayor a 30 días, donde

conste la vinculación con la empresa o documento equivalente.

En caso de que la entidad que representa no sea privada, adjunte documento que establezca su

nombramiento como representante legal.

0000.137

COPIA CONTROLADA


certicámara.

PÚBLICA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 47 de 60

9.3 El Certificado de Profesional Titulado

Se expide a personas naturales nacionales o extranjeras que se han identificado plenamente ante Certicámara con documento(s) de

identidad válido(s) y vlgente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s)

expedido(s) por la autoridad competente de cualquier Estado Extranjero identificándola como persona natural vinculándola a la obtención

de un título profesional debidamente reconocido en la República de Colombia o en un Estado Extranjero, y que hayan obtenido el

correspondiente registro, licencia, colegiatura o tarjeta profesional requerida para el ejercicio de su profesión en la República de Colombia

o en un Estado Extranjero.

Los suscrlptores de este tipo de certificados digitales son las personas naturales que logren acreditar suficientemente, a juicio de

Certicámara, que ha obtenido un titulo profesional debidamente reconocido en la República de Colombia o en un Estado Extranjero, y

que han obtenido el correspondiente registro, licencia, colegiatura o tarjeta profesional requerido para el ejercicio de su profesión en la

República de Colombia o en un Estado Extranjero.

El Certificado de Profesional Titulado no garantiza la calidad, idoneidad del ejercicio profesional del suscriptor.

Requisitos para su expedición

• El solicitante debe diligenciar el Formulario de prestación de servicios de certificación digital para el tipo

Certificado de Profesional Titulado adjuntando los siguientes documentos:

Fotocopia del documento de identidad:



trabajo).


Fotocopia de Tarjeta Profesional, matrícula profesional, certificación de registro, colegiatura o licencia

otorgada por la entidad o autoridad competente. (Donde aplique) o copia autentica del Diploma o Acta de

grado.

9.4

0000038

COPIA CONTROLADA


certicámara.

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 49 de 60

C

9.7 Certificado digital persona jurídica (entidad-empresa)

El Certificado de Firma Digital Persona Jurídica (Entidad - Empresa) es un tipo de Certificado Digital que identifica a una persona jurídica

de derecho público o privado, entidad del Estado o persona jurídica comerciante inscrito en el registro mercantil de las Cámaras de

Comercio, quien tiene el derecho de uso de un determinado sistema de información que será programado para firmar de manera

automatizada o manual a nombre de esa persona jurídica. Así mismo, tendrá la calidad de suscriptor la persona natural que actúa como

representante legal de la persona jurídica.

Garantizando el cumplimiento de las siguientes condiciones en conjunto y simultáneamente:

• Que una persona jurídica determinada se ha identificado como tal y ha solicitado el servicio a través de su representante legal,

y

• que esa persona jurídica podrá programar un sistema de información para que firme digitalmente mensajes de datos, de manera

masiva o individual a través de medios electrónicos, vinculándose jurídicamente.

De conformidad con la normatividad vigente y aplicable para este caso, el Certificado de Firma Digital Persona Jurídica (Entidad -

Empresa), emitidos por Certicámara contempla las siguientes características:

• Cumplimiento de los estándares fijados por la Superintendencia de Industria y Comercio (X509V3);

• Cumplimiento de las condiciones establecidas en el artículo 28 de la ley 527 de 1999, pues no hay perdida de unicidad de la

firma; ni pérdida de control exclusivo, ya que el Usuario suscriptor se compromete - de conformidad con la presente DPC - a

restringir el acceso a la llave privada;

• El control exclusivo se refiere a una persona, -puede ser por lo tanto natural o jurídica, de conformidad con la ley - y sí el

Certificado de Firma Digital Persona Jurídica (Entidad - Empresa) está ubicado en la máquina de la entidad, se debe entender

que la persona jurídica a quien se expide, es quien controla de manera exclusiva la firma;

• Es en cualquier caso - desde la DPC y desde la normativa colombiana vigente - responsabilidad del suscriptor custodiar las llaves;

• Por lo anterior, un Certificado de Firma Digital Persona Jurídica (Entidad - Empresa) emitido por Certicámara, deriva los atributos

propios de la certificación digital: Autenticidad, Integridad y No repudio.

Requisitos para su expedición

El solicitante debe diligenciar el Formulario de prestación de servicios de certificación digital para el tipo Certificado

digital de Persona Jurídica adjuntando los siguientes documentos:

Fotocopia del documento de identidad del representante legal y contacto técnico:



trabajo).


Fotocopia del certificado de existencia y representación legal con una vigencia no mayor a 30 días, donde

conste la vinculación con la empresa o documento equivalente.

COPIA CONTROLADA

La versión aprobada más reciente de este documento se encuentra en Share Point. 0000H39

certicámara

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 51 de 60

12 Obligaciones de los Intervlnlentes

12.1 Obligaciones de Certicámara

Certicámara tiene las siguientes obligaciones en la prestación de sus servicios:

• Implementar y mantener los sistemas de seguridad que resulten razonables en función del servicio prestado y en general la

infraestructura necesaria para la prestación del servicio de Certificación Digital.

• Cumplir con la Declaración de Prácticas de Certificación (DPC) y con los acuerdos realizados con los suscriptores.

• Informar al suscriptor las características de la prestación del servicio, los límites de responsabilidad, y las obligaciones que

asume como interviniente en el proceso de certificación digital. En particular Certicámara deberá informar al suscriptor o

terceras personas que lo soliciten, sobre el tiempo y recursos computacionales requeridos para validar la firma digital que se

efectúa con los certificados de firma que expide a sus suscriptores.

• Comprobar directamente o a través de las Entidades de Registro debidamente acreditadas ante Certicámara, la información

definida en esta Declaración de Prácticas de Certificación como verificable para la expedición de certificados digitales.

• Abstenerse de acceder o almacenar la clave privada del suscriptor.

• Conservar por sf mismo o por interpuesta persona la custodia del soporte físico del certificado digital hasta la entrega efectiva

del mismo al suscriptor (si aplica).

• Permitir y facilitar la realización de las auditorías por parte de la Superintendencia de Industria y Comercio de Colombia o el

Organismo Nacional de Acreditación de Colombia.

• Expedir certificados digitales de conformidad con lo establecido en la sección de procedimiento de expedición de certificados

digitales de esta Declaración de Prácticas de Certificación, y las especificaciones acordadas por el suscriptor en el contrato de

suscripción.

• Publicar los certificados digitales expedidos y llevar el Registro de Certificados Emitidos.

• Actualizar la información que tiene registrada en la solicitud de autorización ante la Superintendencia de Industria y Comercio

y el Organismo Nacional de Acreditación de Colombia y toda aquella que estas entidades establezcan.

• Informar a la Superintendencia de Industria y Comercio y al Organismo Nacional de Acreditación de Colombia la ocurrencia de

cualquier evento establecido en la Declaración de Prácticas de Certificación, que comprometa la prestación del servicio.

• Mantener el control y confidencialidad de su clave privada y establecer las seguridades razonables para que no se divulgue o

comprometa.

• Procurar diligentemente la prestación permanente e ininterrumpida de los servicios de certificación digital.

• Permitir el acceso de los suscriptores, de las partes confiantes y de terceros a esta Declaración de Prácticas de Certificación y

al repositorio de la Entidad de Certificación.

• Actualizar la Base de datos de certificados digitales revocados en los términos establecidos en esta Declaración de Prácticas

de Certificación y efectuar los avisos y publicaciones que se establezcan por ley en ésta.

• Revocar los certificados digitales que se requiera de conformidad con lo establecido en la sección 4.7 de esta Declaración de

Prácticas de Certificación.

COPIA CONTROLADA

La versión aprobada más reciente de este documento se encuentra en Share Point. D tf Ü 0000

certicámara.

PÚBUCA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 53 de 60

la emisión del certificado digital), siempre y cuando el sistema de información de la parte confiante no verifique la cualidad en

la que esté actuando el suscriptor. El mensaje de datos o documento electrónico que el suscriptor firma con su certificado

digital, será el que determinará el contexto de la calidad en la que firma el suscriptor, y si éste está utilizando o no la cualidad

asociada al certificado digital (si aplica).

• Responder por la custodia de la clave privada y de su soporte físico (si aplica) evitando su pérdida, revelación, modificación o

uso no autorizado. Especialmente, el suscriptor deberá abstenerse, sin importar la circunstancia, de anotar en el soporte físico

del certificado digital el código de activación o las claves privadas, ni tampoco en cualquier otro documento que el suscriptor

conserve o transporte consigo o con el soporte físico.

• Solicitar la revocación del certificado digital que le ha sido entregado cuando se cumpla alguno de los supuestos previstos para

la revocación de los certificados digitales.

• Abstenerse en toda circunstancia de revelar la clave privada o el código de activación del certificado digital, así como abstenerse

de delegar su uso a terceras personas.

• Asegurarse de que toda la información contenida en el certificado digital es cierta y notificar inmediatamente a Certicámara en

caso de que se haya incluido cualquier información incorrecta o inexacta o en caso de que por alguna circunstancia posterior la

información del certificado digital no corresponda con la realidad. Asimismo, deberá comunicar de manera inmediata el cambio

o variación que haya sufrido cualquiera de los datos que aportó para adquirir el certificado digital, aunque éstos no estuvieran

incluidos en el propio certificado digital.

• Informar inmediatamente a Certicámara acerca de cualquier situación que pueda afectar la confiabilidad del certificado digital,

e iniciar el procedimiento de revocación del certificado digital cuando sea necesario. Especialmente, deberá notificar de

inmediato la pérdida, robo o falsificación del soporte físico y cualquier intento de realizar estos actos sobre el mismo, asf como

el conocimiento por otras personas del código de activación o de las claves privadas, solicitando la revocación del certificado

digital de conformidad con el procedimiento que se establece en la Declaración de Prácticas de Certificación.

• Destruir el soporte físico cuando así lo exija Certicámara, cuando haya sido sustituido por otro con los mismos fines o cuando

termine el periodo del servicio adquirido del certificado digital con Certicámara, siguiendo en todo caso las instrucciones de

Certicámara.

• Devolver el soporte físico del certificado digital cuando así lo exija Certicámara.

• Respetar los derechos de propiedad industrial e intelectual de Certicámara y de terceras personas en la solicitud y en el uso de

los certificados digitales. Certicámara no incluirá información en el certificado digital cuya inclusión pueda constituir de alguna

forma la violación de los derechos de propiedad intelectual o industrial de Certicámara y de terceras personas.

• Cualquier otra que se derive de la ley, del contenido de esta Declaración de Prácticas de Certificación o de la Práctica de

Certificación.

• Abstenerse de monitorear, alterar, realizar ingeniería reversa o interferir en cualquier otra forma la prestación de servicios de

certificación digital.

EL SUSCRIPTOR PODRA UTILIZAR SU CERTIFICADO PARA: (I) IDENTIFICARSE COMO PERSONA NATURAL, O (II) ASOCIAR SU

IDENTIFICACIÓN PERSONAL A UNA CUALIDAD ESPECIFICA VERIFICADA POR CERTICÁMARA AL MOMENTO DE EMISIÓN DEL

CERTIFICADO DIGITAL (SI APLICA). LA UTILIZACIÓN DEL CERTIFICADO DIGITAL EN UNO U OTRO CASO DEPENDERÁ DIRECTAMENTE DEL

CONTEXTO EN EL QUE SE ESTE UTILIZANDO EL CERTIFICADO DIGITAL Y DE SI EL SISTEMA DE INFORMACIÓN DE LA PARTE CONFIANTE

PUEDE O NO VERIFICAR LA IDENTIFICACIÓN DEL SUSCRIPTOR.

SERA EL DOCUMENTO ELECTRÓNICO O MENSAJE DE DATOS QUE EL SUSCRIPTOR FIRMA DIGITALMENTE, EL QUE OFRECERÁ EL CONTEXTO

COPIA CONTROLADA

La versión aprobada más reciente de este documento se encuentra en Share Point. 0 0 0 0 H 4-1

certicámara.

PÚBLICA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 55 de 60

12.3.3 Conflabilldad del certificado digital

La parte confiante debe seguir las indicaciones que a continuación se enumeran si pretende confiar en un certificado digital emitido por

Certicámara:

• La parte confiante debe verificar que el certificado digital no haya expirado, de conformidad con la fecha de vigencia que figura

en el mismo.

• La parte confiante debe verificar que el certificado digital no se encuentra en la b ase de datos de certificados digitales

revocados de Certicámara que se encuentra publicada en el sitio de Internet de Certicámara. En todo caso, y sin ninguna

excepción, está prohibido determinar el estado de revocación de un certificado digital con base en información distinta a la de

la base de datos de certificados digitales revocados.

• La confiabilidad del certificado digital depende de que el mismo se encuentre firmado digitalmente por Certicámara. La parte

confiante puede verificar la firma digital de Certicámara verificándola con el certificado raíz, que contiene la clave pública de

Certicámara, el cual se encuentra disponible en el sitio de Internet de Certicámara.

El uso de un certificado digital por cualquier interviniente en el Sistema de Certificación Digital está sujeto al seguimiento estricto de las

normas contenidas en:

• El contrato celebrado con cada suscriptor del servicio de certificación digital, que contiene las condiciones generales de

contratación de los servicios de certificación digital de Certicámara S.A. cuyo clausulado se encuentra en el formulario de

solicitud (https://solicitudes.certica mara.com/ssps/Solicitudes/AceptoLosTerminos.asDx).

• La presente Declaración de Prácticas de Certificación con relación a las firmas digitales emitidas mediante sus certificados

digitales. La parte confiante deberá tenerlas en cuenta siempre que pretenda confiar en un certificado digital.

12.4 Obligaciones de Entidades Externas de aprobación

Las entidades externas de aprobación tendrán la obligación de cumpiircon todo lo establecido en la presente Declaración de Prácticas de

Certificación y los requerimientos del marco legal Colombiano vigente según su función de aprobar la emisión de certificados digitales.

Toda entidad externa de aprobación deberá tener vigente un contrato con Certicámara y debe establecer su responsabilidad sobre los

mecanismos de identificación y autenticación sobre las solicitudes, ajustándose a lo que establece los marcos legales, normativos,

procedimentaies y técnicos que definen Certicámara y las entidades que ejercen control y vigilancia sobre la operación de aprobación de

solicitudes de certificados digitales.

Certicámara deberá establecer los mecanismos tecnológicos que permitan a la entidad externa comunicarse de manera segura,

permitiendo que la aprobación sea tramitada de forma adecuada.

Certicámara determinará si la entidad externa de aprobación proporciona los niveles de cumplimiento, según lo establecido

contractualmente, sin perjuicio de las normas de mayorjerarquía vigentes a nivel legal, técnico, operativo y procedimental para el proceso

de aprobación, las cuales estarán disponibles para su estudio y contraste en los sistemas de gestión de Certicámara, los cuales permiten

establecer el acceso según su clasificación de confidencialidad, y en todo caso se encontrarán disponibles por los entes de auditoría y

control en caso de ser requerida.

000004-2

COPIA CONTROLADA


certicámara.

PÚBLICA



KEY0NE4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0016-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 57 de 60

En caso de que el sistema de información de la parte confiante no realice la verificación de manera automática, será exclusiva

responsabilidad del suscriptor informar a la parte confiante sobre la condición o calidad en la que se está utilizando el certificado digital,

y por lo tanto Certicámara no tendrá frente a la parte confiante, ni frente a terceros deber alguno de información sobre la condición o

calidad en la que el respectivo suscriptor está utilizando el certificado digital, pues ella deriva directamente del contexto en el que esté

actuando éste.

El suscrlptor es el único responsable por las obligaciones que emanen de las operaciones o negocios jurídicos que se realice en con los

certificados digitales, exonerando a Certicámara de toda responsabilidad por este concepto.

13.3 Responsabilidad de la parte confiante

En todo caso, la parte confiante asumirá toda la responsabilidad y riesgos derivados de la aceptación de un certificado digital sin haber

realizado previamente la verificación de su confiabilidad, o sin haber seguido los procedimientos establecidos en esta Declaración de

Prácticas de Certificación, garantizando la plena indemnidad de Certicámara por dicho concepto. La parte confiante asumirá los perjuicios

que sufra como consecuencia de eventos de caso fortuito o fuerza mayor.

14 Garantías que ofrece Certicámara para el cumplimiento de sus obligaciones

• De acuerdo con lo establecido en el artículo 8 del Decreto 1747 de 2.000, Certicámara ha suscrito una póliza de seguro con una

entidad aseguradora autorizada de acuerdo con la legislación colombiana, que ampara los perjuicios contractuales y

extracontractuales de los suscriptores y terceros de buena fe exenta de culpa derivados de errores y omisiones, o de actos de

mala fe de los administradores, representantes legales o empleados de Certicámara en el desarrollo de sus actividades.

• Las condiciones generales de la póliza se pueden consultar en https://web.certicamara.com/garantias/p%C3%B3liza-de-

responsabilidad-civil/. donde hallará la información actualizada de la póliza. De igual forma, usted puede consultar de forma

completa la póliza de responsabilidad civil a través de nuestro formulario de contacto

https://web.certicamara.com/contactenos/formulario-de-contacto/. seleccionando el tema relacionado con su consulta:

CONSULTA DE LA PÓLIZA DE RESPONSABILIDAD CIVIL

c

0000043

COPIA CONTROLADA


certicámara.

PÚBLICA



KEYONE 4

Código:

Fecha:

Versión

Elaboró

Revisó

Aprobó:

Página

0015-DE-GER

Junio 2015

15

Oficial de SI

Comité de SI

Gerente General

Página 33 de 60

5.7.3 Procedimiento de actuación ante la vulnerabilidad de la clave privada de una autoridad

El plan de continuidad del negocio del negocio de la AC Raíz y AC Subordinada considera el compromiso o sospecha de su clave privada

como un desastre. En este caso el Documento prevé la publicación y difusión, inmediatamente, de la revocación de su certificado con elobjeto de impedir la confianza en el mismo.

El plan de continuidad del negocio de la AC Rafz y AC Subordinada prevé la revocación de su certificado como consecuencia inmediata delcompromiso de la clave privada.

5.7.4 Seguridad de las Instalaciones tras un desastre natural o de otro tipo

La AC Rafz y la AC Subordinada, disponen de ubicaciones externas para mantener almacenadas las copias de seguridad, para minimizarlos efectos en caso de desastre natural o de otro tipo sobre las instalaciones primarias.

5.8 Cese de la actividad

En el evento en que Certicámara deba por cualquier circunstancia cesar sus actividades deberá:

• Iniciar en forma inmediata el procedimiento de autorización de cese de actividades ante la Superintendencia de Industria yComercio.

• Comunicar la extinción mediante el envfo de un correo electrónico dirigido a todos los suscriptores cuyos certificados digitales

permanezcan en vigor y la publicación de un anuncio en dos diarios de amplia circulación nacional. La citada comunicación se

llevará a cabo con una antelación mínima de dos meses al cese efectivo de la actividad.

• Procurar establecer, cuando ello fuera posible, acuerdos con terceras personas para transmitir todas sus obligaciones y derechos

dentro del sistema de certificación con la intención de continuar el servicio. Si se produce la subrogación, a la cual el suscriptor

da su consentimiento de manera expresa, esta Declaración de Prácticas de Certificación seguirá siendo el documento que

establece las relaciones entre las partes mientras no se establezca un nuevo documento por escrito.

• Proceder, en caso de no haberse podido llevar a cabo transferencia de derechos y obligaciones a otra entidad, a la revocación

de todos los certificados digitales una vez transcurrido el plazo de dos meses desde la comunicación.

• Indemnizar adecuadamente a aquellos Suscriptores que lo soliciten cuando sus Certificados sean revocados con anterioridad al

plazo previsto de vigencia, pactándose como tope para la indemnización el costo efectivo del servicio, descontando a prorrata

el coste por los días transcurridos desde el inicio del contrato hasta la fecha de resolución.

• Cualquier otra obligación que establezca la ley.

0000031

COPIA CONTROLADA


w

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

RESOLUCIÓN NÚMERO 1 6 3 9 5DE 2009< 3 I MAR. 2009 >

Radicación: 01098902

Por la cual se resuelve un recurso

EL SUPERINTENDENTE DE INDUSTRIA Y COMERCIO

En ejercicio de las facultades legales, en especial tas que le confiere el Código

Contencioso Administrativo y el numeral 24 del artículo 4 del Decreto 2153 de 1992, y

CONSIDERANDO

PRIMERO. Que mediante resolución No. 3816 del 30 de enero de 2009, se amplió el

alcance de la autorización otorgada a la entidad de certificación abierta de la sociedad

Cameral de Certificación Digital CERTICÁMARA S.A.

SEGUNDO. Que dentro del término legal, el representante legal de la sociedad Cameral de

Certificación Digital CERTICÁMARA SA, en adelante CERTICÁMARA, interpuso recursode reposición contra la mencionada resolución 3816 de 2009, para que sea modificada,

corregida o adicionada.

TERCERO. Que con fundamento en el artículo 59 del C.C.A., este Despacho resolverá

todas las cuestiones que hayan sido planteadas y las que aparezcan con ocasión del

recurso.

Argumenta el recurrente que esta Superintendencia omitió incluir en la parte considerativa

del acto administrativo impugnado, todos los actos administrativos mediante los cuales se

amplió la autorización otorgada a la entidad de certificación abierta de CERTICÁMARA y,como consecuencia de ello omitió, en la parte resolutiva, incluir la totalidad del alcance de

la autorización que ha otorgado esta Superintendencia a la mencionada entidad de

certificación.

De otra parte, señala que se incurrió en un error al citar dentro del alcance autorizado

"Certificado de permanencia a Empresa", cuando realmente corresponde a "Certificado de

Pertenencia a Empresa".

Por lo expuesto, solicita la corrección, adición o modificación de la resolución 3816 de

2009.

Para tal efecto, aportó copia de las resoluciones 1007 del 24 de enero de 2002, 22456 del

10 de septiembre de 2004, 28012 del 12 de noviembre de 2004 y 9887 del 13 de abril de

2007 expedidas por esta Superintendencia.

Consideraciones del Despacho

a) En el considerando primero de la resolución 3816 del 30 de enero de 2009, esta

Superintendencia señaló que se había otorgado la autorización como entidad de

certificación abierta a CERTICÁMARA, mediante resoluciones 1007 del 24 de enero de2002.28012 del 12 de noviembre de 2004 y 9887 del 13 de abril de 2007.

0000145


•No obstante, al revisar tanto la documentación aportada por el recurrente, como losarchivos que reposan en esta Superintendencia, se evidencia que esta Superintendenciaotorgó la autorización como entidad de certificación abierta a CERTICÁMARA, medianteresoluciones 1007 del 24 de enero de 2002, 22456 del 10 de septiembre de 2004, 28012del 12 de noviembre de 2004 y 9887 del 13 de abril de 2007.

En efecto, por error se omitió incluir en el considerando primero del acto impugnado, laresolución 22456 del 10 de septiembre de 2004.

b) A su turno, en el articulo primero de la parte resolutiva de la resolución 3816 del 30 deenero de 2009. esta Superintendencia incluyó en un solo cuerpo, la totalidad del alcancede la autorización otorgada a CERTICÁMARA y, para tal efecto, tomó cada uno de losalcances otorgados mediante resoluciones 1007 del 24 de enero de 2002,28012 del 12 de

noviembre de 2004 y 9887 del 13 de abril de 2007.

No obstante, en el mencionado articulo primero se omitió incluir el alcance de laautorización que se habia otorgado mediante resolución 22456 del 10 de diciembre de2004, por lo cual le asiste razón al recurrente al argumentar que quedó incompleto el

alcance autorizado, reseñado en la resolución 3816 de 2009.

c) Finalmente, en el numeral 2 del articulo primero de la parte resolutiva de la resolución3816 de 2009. se observa que por error se incluyó en el alcance autorizado "certificados de

permanencia a empresa", cuando realmente la autorización se otorgó para "certificados de

pertenencia a empresa".

CUARTO. Que con base en lo expuesto, este Despacho procederá a reponer la resolución

3816 del 30 de enero de 2009, con el fin de modificar tanto el considerando primero, como

el articulo primero de la parte resolutiva.

En mérito de lo expuesto, este Despacho,

RESUELVE

ARTÍCULO PRIMERO. Modificar el considerando primero y el articulo primero de la parteresolutiva de la resolución 3816 del 30 de enero de 2009, por las razones expuestas en la

presente resolución, los cuales quedarán asi:

"CONSIDERANDO PRIMERO. Que mediante comunicación radicada en esta

Superintendencia el 25 de julio del año 2008, el señor Erick Rincón Cárdenas, en su

calidad de representante legal de la Sociedad Cameral de Certificación Digital

CERTICÁMARA S.A., solicitó la ampliación del alcance de la automación de la entidad de

certificación abierta, otorgada mediante resoluciones 1007 del 24 de enero de 2002, 22456

del 10 de septiembre de 2004, 28012 del 12 de Noviembre de 2004 y 9887 del 13 de abril

de 2007".

"RESUELVE ARTÍCULO PRIMERO. Ampliar el alcance de la autorización de la entidadde certificación abierta de la sociedad Cameral de Certifícadón Digital CERTICÁMARAS.A., con Nit. 830.084.433-7, el cual quedará así":

"1. Certificados de Representación de Empresa: Expedición de certificados digitales en

donde se relaciona una clave pública con una persona natural, indicando que dicha

persona ostentaba la calidad de representante legal de una persona jurídica determinadaal momento de la expedición de certificado digital. La clave privada correspondiente a laclave pública estará bajo la custodia permanente de la persona natural que figura en el

certificado digital".

oooonw


Notificación:

Sociedad

Nit.

Rep. Legal

Cédula

Oireccíón

Ciudad

Radicación

Sociedad Cameral de Certificación Digital CERTICÁMARA S.A.830.084.433-7

Erick Rincón Cárdenas

79.886.056

Avenida calle 26 No. 68 D - 35 Piso 5

Bogotá, O.C.

01098902

Proyectó: Ana Marta Prieto RangelReviso. Carlos Alberto Pachaco Zúffiga

0000047

s I

CERTI CÁMARA

TIP a CAT 3 NIT «M9590992

•FC181Se55?«

TODOSPORUN

NUEVO PAÍS»*í CQUIDiS E0UC4CI6»

(§)minhacienoa

2.0.0.1. Grupo del Sistema Integrado de Información Financiera - SIIF

Radicado: 2-2015-027385

Bogotá D.C, 16 de julio de 2015 14:51

PATRICIA LIZCANO

Directora Cuentas Institucionales

CERTICAMARA S.A

CRA 7 26 20 PISO 18 19 EDIFICIO SEGUROS TEQUENDAMA

BOGOTÁ D.C. - CUNDINAMARCA

5CU

Radicado entrada

No. Expediente 27262/2015/OFI

Asunto REMISIÓN CERTIFICACIÓN HOMOLOGACIÓN CERTIFICADOS DIGITALES

Apreciada doctora Lizcano:

En atención a su solicitud, se informa que los certificados digitales expedidos porCERTICAMARA S.A., están homologados por el Ministerio de Hacienda y Crédito Publico paraser utilizados en el aplicativo SIIF Nación, dentro del marco establecido en la circular externa

No. 006 del 08 de febrero de 2012 expedida por la Administración SIIF Nación.

Cordialmente,

DAVID FERNANDO MORALES

Administrador del SIIF Nación

Asesor Viceministerio de Haciena

1INGUEZ

V.A-

ELABORÓ HANLLY YURLEIDY SIMBAQUEBA RAMÍREZ

Firmado digitalnienw por.OAVID MORALES DOMÍNGUEZ

Coordinador Grupo De Administración Del SIIF

Carrera 8 No. 6 C 38 Bogotá D.C. ColombiaCódigo Postal 111711

Conmutador (57 1) 381 1700 Fuera de Bogotá 01-8000-910071atendondíente®m¡nhac¡enda gov co

www.minhacienda.gov.co 0000DA8

gemalto

TRADUCCIÓN CERTIFICADA DE INGLÉS A ESPAÑOL

IDBridge K50

Token USB portátil seguro en formato

El IDBridge K50 es un token USB compacto a prueba de manipulaciones, que ofrece

la funcionalidad de una tarjeta inteligente dinámica de múltiples aplicaciones. Se

puede utilizar con cualquier conexión USB para aplicaciones de gestión de identidades

y acceso: tales como la autenticación de red, firmas digitales y otros servicios basados

en la infraestructura de clave pública (PKI).

Tarjeta inteligente segura con conveniencia USB

IDBridge K50 combina la seguridad de tarjetas inteligentes con la conveniencia de una

USB para ofrecer los siguientes beneficios:

> Muy seguros - protección avanzada habilitada por la autenticación de dos factores:

algo que tienen los usuarios - el dispositivo, y algo que ellos conocen - Su PIN.

> Acceso universal - los servicios de control de acceso lógico seguro se pueden

utilizar con cualquier sistema que cuente con una conexión USB. Compatible con los

principales sistemas operativos de escritorio.

> Windows, Mac y Linux - especificaciones USB estándar lo que significa que el

dispositivo funciona prácticamente con cualquier conexión de red.

> Fácil de usar • los usuarios simplemente inserían el dispositivo a un puerto USB e

introducen el PIN para acceder a las aplicaciones de seguridad eficientes.

> Personalizare - Los tokens USB se pueden personalizar con el logotipo de un

cliente y otras marcas.

C

Seguridad a prueba de manipulación

El IDBridge K50 tiene el tamaño de una unidad USB estándar y está empacado en una

carcasa a prueba de manipulaciones, muy útil para su uso en entornos hostiles. El

lector de tarjetas inteligentes integrado es especialmente conveniente en situaciones

en las que se requiere una autenticación segura y cuando los lectores de tarjetas

inteligentes no están disponibles. Con IDBridge K50, sólo ios usuarios autorizados

Traducción Certificada de un documento escrito en Inglés, realizada el 2 de Octubre del 2014

por Claudia París-Cortés, Intérprete, Traductora Oficial Juramentada, según resolución No.

1605 de Agosto 4/87 del Ministerio de Justicia. Bogotá, D.C., Colombia.

tWl KmhIi.i f'.jris ( ot lis

lOLM); iiiionm,. ¡,.,tVfUUUní* 7Aüí ,\ 1N ! .1 ■; ,'

MiNr. i (■) i ,i ni , i k;l

gemaJto

TRADUCCIÓN CERTIFICADA DE INGLÉS A ESPAÑOL

ESPECIFICACIONES TÉCNICAS

Sistemas operativos compatibles

Windows 98, 98SE. Me, 2000, XP, Ediciones Server 2003 x64, Vista 32, 64 bits. Seven, Server

2008R2

>Win CE 4.1, 4.2, 5.0, 6.0

> Linux Kernel 2.6 y superior

> Ediciones de Mac OS X Panther, Tiger, Leopard 32

> Soporte para Solaris, XP embedded

APIs

> Microsoft PC / SC environment con drivers asociados

Interfaz de Host

> Plug and Play

> CCID (Chip Card Interface Device)

> USB 2.0 de alta velocidad (12 Mbps)

Interfaz Humana

■> LED One Color (Azul), doble estado (intermitente: esperar inserción de la tarjeta; Encendido

(ON): lectura de la tarjeta / escritura)

> Diseño robusto a prueba de manipulación

> Ensamble único de tarjeta SIM

Ambiental

> CE, FCC parte 15 Clase B

> EN 60950 / UL 950 / CSA 950

> Funcionamiento: 0 ° C + / + 70 ° C

> Almacenamiento: -20 ° C / + 85 ° C

> Cumple con los requisitos legales RoHS y WEEE

> A prueba de agua

Descarga electrostática

> +/- 8 kV aire de descarga directa

> +/- 4 kV descarga por contacto indirecto

Traducción Certificada de un documento escrito en Inglés, realizada el 2 de Octubre del 2014por Claudia París-Cortés, Intérprete, Traductora Oficial Juramentada, según resolución No.1605 de Agosto 4/87 del Ministerio de Justicia. Bogotá, D.C., Colombia. 0000050

luuli.i P.irisí o i-tesOFFICIAL TRANSLATORRESOLUTION No 1GOf>

AUGUST 4/ K7

MINISIKY Ot JUS1 iCli

Cl

FIPS140-2ValidationCertifícate

TheNationalInstitutoofStandards

andTechnologyoftheUnitedStates

ofAmérica

TheCommunicationsSecurity

EstablishmentoftheGovemment

ofCanadá

TM

CertifícateNo.1099

The

Nati

onal

Instituteof

StandardsandTechnology,astheUn

ited

States

FIPS140-2Cr

ypto

grap

hicModuleVa

lida

tion

Authority;

andth

eCommunicationsSe

curi

tyEstablishm

ent,

astheCanadianFIPS140-2CryptographicModuleValidation

Authorityhereby

valídatetheFIPS

140-2

test

ingresultsoftheCryptographicModule

identified

as:

Gemalto.NETSmartCardbyGemaito

inaccordancewi

ththeDerivedTestRequirements

forFIPS

140-2,

Secu

rity

Requirements

forCryptographicModules.FIPS140-2

spec

ifie

sth

ese

curi

tyrequirements

that

areto

be

satisfiedbyacryptographicmodule

utilized

within

asecurity

system

protecting

SensitiveInformation(U

nite

dStates)or

ProtectedInformation(Canadá)within

computerandtelecommunicationssystems

(includingvoicesystems).

Producíswhichusetheabove

identified

cryptographicmodulemaybela

bele

dascomplyingwith

therequirementsof

FIPS140-2

solo

ngasthepr

oduc

t,th

roug

hout

its

life

cycle,

cont

inúe

sto

useth

evalidatedve

rsió

nof

thecr

ypto

grap

hicmoduleasspecífied

¡nth

isce

rtif

ícat

e.The

validation

report

contains

additional

deta

ilsconceming

test

results.

No

reli

abil

itytest

hasbeenperformedand

(=)

nowarrantyoftheproductsbybothagencies

iseither

expressedorim

plie

d.

CP.

This

certificatein

clud

esdetailsonth

escopeof

conformanceand

validation

auth

orit

ysi

gnat

ures

onthere

vers

e.

TM

ACeniGcaiodMaiK

o(NBT.whefl«oesnotirnptyproducterdommantbyNI

ST.th

eUS

.QtCanaaunGovwnnwnts

ónica

ANEXO N° 4

FORMATO EXPERIENCIA PROPONENTE

RELACIÓN DE CONTRATOSNo

CONTRATO

No

CONTRATANTE OBJETO DATOS DEL

CONTRÁTENTEVALOR

FECHA DE

INICIO

TIEMPO DE

EJECUCIÓNFECHA DE

TERMINACIÓN

215 Superintendenci

a de Sociedades

Suscripción de

un cupo de

quince mil

cincuenta y

seis

certificados de

firmas.

Correo electrónico:

webmasterOsupersoc

¡edades .gov.co

Contacto: Manuel

Guillermo Tovar

Dirección Av. El

dorado No 51 -80

8

.n

"O

06 meses

DNP-MC-

021-12

Departamento

Nacional de

Planeación

Adquirir hasta

Cincuenta

certificados

digitales

Token para

SIIF Nación

Dirección: Calle 26 No

13-19

Correo electrónico:

www.dnp.gov.co

Contacto: Milady

Vargas Quiza

Dirección: Calle 26 No

13-19

9

I(0

08 meses

0>

S

.9■o

tí

TOTAL$ 374.369.600

NOTA: Con el diligenciamiento de este anexo de experiencia acreditada, se autoriza a la

entidad a verificar la información en el contenida.



0000052


SUPERSOCIEDADES - BOGOTÁ Radicación No.:2009-01-218573H.I.T. / C.C. : 830084433Expediente • 55394

Nombra : SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL CKR'Dependencia : SISTEMAS

Tramite 1 42002 - CONCEPTOS ESPECIALES

uperintendenCÍO 'olio> ! 2 Anexoa: NO Término: 15/07/2009de Sociedades F?Ch" : 15/07/2009 Hora , 06:52 AM

Tipo Documento : CERTIFICACIONES Números 159-000979

"Al contestar si lo requiere, Cite el No. de radicación de este Documento"

CERTIFICACIÓN

EL SUSCRITO DIRECTOR ( E )

DE INFORMÁTICA Y DESARROLLO

CERTIFICA:

Que en los archivos de la SUPERINTENDENCIA DE SOCIEDADES, identificada con NIT899.999.086-2 reposa el contrato de Prestación de Servicios con SOCIEDAD CAMERALDE CERTIFICACIÓN DIGITAL CERTICAMARA S. Á., identificada con NIT 830.084.433-7, que a continuación relaciono:

CONTRATO DE COMPRAVENTA No. 215 suscrito en diciembre del 2007 entre laSUPERINTENDENCIA DE SOCIEDADES y Ja SOCIEDAD CAMERAL DECERTIFICACIÓN DIGITAL CERTICAMARA S. A. "CERTICAMARA S. A."

OBJETO: Suscripción de un cupo de quince mil cincuenta y seis (15.056) certificadosdigitales de firmas, cada una con una vigencia de un mes,

FECHA DE INICIO: 28 de diciembre del 2007

FECHA DE FINALIZACIÓN: 03 de Junio del 2008

VALOR TOTAL: TRESCIENTOS SETENTA Y UN MILLONESCUATROCIENTOS MIL PESOS ($371.400.000.00).

Que la mencionada sociedad cumplió satisfactoriamente con el objeto del contrato yademás con todas las responsabilidades descritas en la cláusula tercera del contrato.

Cordialmente,

'i

MANUEL GUILLERMO TOVAR GÓMEZ

Director de Informática y Desarrollo (E)

0000053

BOGOTÁ D.C: AVENIDA EL DORADO No. 51-80, PBX: 3245777 -2201000, UNEA GRATUITA 018000114319Centro de Fax 2201000 OPCIÓN 2 / 3245000, BARRANQUILLA: ORA 57 # 79-10 TEL 953-454495/454506'MEDELUN: CRA 49 # 53-19 PISO 3 TEL: 942-5115218/5113663, MANJZALES: CLL 21 # 22-42 PISO 4 TEL- 968-847393-847987, CAU: CLL 10 # 4-40 OF 201 EDF. BOLSA DE OCCIDENTE PISO 2 TEL- 6880404 CARTAGENA:TORRE RELOJ CR. 7 # 32-39 PISO 2 TEL: 956-646051/642429, CUCUTA: AV 0 (CERO) A # 21-14 TEL- 975-716190717985, BUCARAMANG* CALLE 41 No. 37-62 TEL: 976-321541/44. '

»»» siinf.rRnnif.dadpq nrw en / WfihmaKtí>r@Riir,Arsnc¡p>dadp.s nnv r.a -finlnmhia

• -♦

DNP IODOS

A QUIEN INTERESE

Empresa que expide la Certificación

NIT

Empresa Certificada

NIT

Objeto

No del Contrato

Fecha de Suscripción

Valor inicial del Contrato

Fecha de Inicio

Fecha de Finalización

Duración del contrato

Valor Ejecutado

Porcentaje de Cumplimiento

Calificación

Fecha de expedición

Nombre de la persona que expide la

certificación

Cargo

Dirección

Teléfono/Fax

Departamento Nacional de Raneadón

899.999.011-0

CERTICAMARAS.A

830.084.433-7

Adquirir hasta Cincuenta (50) Certificados

Digitales Token" para SIIF NACIÓN

DNP-MC-021-12

12 de abril de 2013

CUATRO MILLONES SEISCIENTOS

CUARENTA MIL PESOS M/CTE.

($4.640.000).

13 de abril de 2013

31 de diciembre de 2013

8 meses y 18 días

DOS MILLONES NOVECIENTOS

SESENTA Y NUEVE MIL SEISCIENTOS

PESOS M/CTE. ($2.969.600).

100%

Excelente

13 de septiembre de 2013

Milady Vargas Guiza

Subdirectora Administrativa

Calle 26 No 13-19

3815000

Firma de quien certifica: r\ a

MILÁDY VARGAS GUIZAl l/xSubdirectora Administrativa

Calle 26 No. 13-19 PBX 3815000 www.dnp.gov.co

0000054

cerocamaravolidez y seguridad jurídica electrónicónica

ANEXO N°3

PROPUESTA ECONÓMICA

DESCRIPCIÓN

Certificado

Digital

incluidos el

Soporte y

servicios

conexos.

VIGENCIA

1 año

CANT.

40

VALOR

UNITARIO

($ PESOS)

$130.000

VR.

IVA$

$ 20.800

VR. UNITARIO

INCLUIDO IVA

(SPESOS)

$150.800

VR.

TOTAL ($)

$ 6.032.000

C

El valor de las ofertas debe presentarse en moneda legal colombiana, sin centavos.

La Procuraduría General de la Nación se reserva el derecho de realizar la corrección

aritmética de las cifras resultado total contenido en el presente anexo, si a ello hubiere lugar.

Teniendo en cuenta el artículo 420 del Estatuto Tributario, este servicio se encuentra

gravado por el impuesto al valor agregado IVA, tarifa que corresponde al 16%. En

consecuencia en la propuesta se debe discriminar la base gravable, la tarifa del impuesto y

el valor total de la oferta presentada de conformidad con el Anexo de Propuesta Económica

adjunto al presente estudio.

El impuesto se causa en el momento de la emisión de la factura o del documento

equivalente.

Pertenecen al régimen simplificado las personas naturales que no son responsables del

Impuesto al Valor Agregado - IVA por cumplir con todas las condiciones establecidas en el

artículo 499 del Estatuto Tributario.

Las personas naturales o jurídicas responsables del Impuesto al Valor Agregado - IVA,

conforman el Régimen Común.

Serán de exclusiva responsabilidad del proponente los errores u omisiones en que incurra

al indicar el valor de su propuesta, debiendo asumir los mayores costos y/o pérdidas que

se deriven de dichos errores u omisiones, sin que por esta razón haya lugar a alegar ruptura

del equilibrio contractual.

Para efecto del señalamiento del precio ofrecido, el proponente debe tener en Cuenta todos

los costos, gastos, impuestos, seguros, pago de salarios, prestaciones sociales y demás

emolumentos que considere necesarios para la fijación de la propuesta económica.


OBctearnara.validez y segundad jurídica electrónica

La Entidad verificará las operaciones aritméticas de cada uno de los componentes de los

valores.

En caso de presentarse error de esta índole se tendrá en cuenta el valor correcto para

efectos de la adjudicación.

El proponente deberá, en el momento de elaborar su propuesta, evitar formular condiciones

económicas y de contratación artificialmente bajas, con el propósito de obtener la

adjudicación del contrato. Esto de conformidad con lo establecido en el numeral 6 del

artículo 26 de la Ley 80 de 1993.

De acuerdo con lo señalado en el artículo 2.2.1.1.2.2.4, Subsección 2 Selección, del

Decreto 1082 de 2015, cuando de conformidad con la información a su alcance la entidad

estime que el valor de una oferta resulta artificialmente bajo, requerirá al oferente para que

explique las razones que sustentan el valor ofrecido. Analizadas las explicaciones, que el

valor de la oferta sobre la cual la Entidad tuvo dudas sobre su valor, responde a

circunstancias objetivas del oferente y de su oferta que no ponen en riesgo el cumplimiento

del contrato si este es adjudicado a tal oferta, el comité asesor evaluador recomendará

rechazar la oferta o dará continuidad al análisis de la misma en el proceso de evaluación

de las ofertas.

Los precios determinados en la propuesta económica, deberán permanecer inmodificables

durante la vigencia del certificado.

Los precios unitarios se verificarán frente a los arrojados por el estudio previo de mercado.

C.C. ^^79^942^771 Expedición BogotáDirecciónTCáTrera 7 No 26-20 piso 19


0000056


oooooci - procuraduria

Documents