Las preguntas enumeradas a continuación, reflejan las principales inquietudes relacionadas con la interpretación y aplicación de la Norma Técnica ARCOTEL-2024-0176, fueron analizadas por las áreas competentes de la ARCOTEL, con el objetivo de consolidar criterios institucionales y promover una aplicación uniforme de la normativa por parte de los sujetos obligados.

I. ALCANCE Y APLICACIÓN

1. ¿La Norma regula únicamente a las Entidades de Certificación o también a usuarios?
La Norma Técnica ARCOTEL-2024-0176 es aplicable a las Entidades de Certificación de Información y Servicios Relacionados Acreditadas y por ende a sus Terceros Vinculados, personas naturales y jurídicas, personal público o privado, que utilicen la firma electrónica y los servicios relacionados, de conformidad con lo dispuesto en el artículo 2, relativo al ámbito de aplicación.

2. ¿La Norma regula certificados emitidos antes de su vigencia?
La Norma Técnica ARCOTEL-2024-0176 sí regula el tratamiento de los certificados emitidos con anterioridad a su entrada en vigencia. De conformidad con la Disposición Transitoria Quinta, indica que los certificados emitidos previos a la entrada en vigor de la Norma se mantendrán vigentes hasta que ocurra alguno de los siguientes eventos: renovación, extinción, suspensión o revocación del certificado.

3. ¿Los sistemas de validación de firma electrónica públicos deben adaptarse a los perfiles técnicos de la Norma?
La Norma Técnica ARCOTEL-2024-0176 establece perfiles técnicos obligatorios para los certificados emitidos por las Entidades de Certificación Acreditadas, conforme a lo dispuesto en el artículo 6; no obstante, no impone obligaciones técnicas directas a los desarrolladores o administradores de aplicaciones externas. La definición de lineamientos técnicos aplicables a las plataformas y sistemas del sector público corresponde al ente rector de la transformación digital, esto es, el Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL), en el ámbito de sus competencias.

II. OID Y PERFILES DE CERTIFICADOS

4. ¿La Norma exige alineación con estándares internacionales de OID?
La Norma Técnica ARCOTEL-2024-0176 dispone la adopción y aplicación de estándares internacionales, tales como las recomendaciones RFC, las normas ETSI, ITU e ISO/IEC, con el propósito de garantizar la interoperabilidad, estandarización y compatibilidad técnica de los certificados de firma electrónica, de conformidad con lo establecido en el artículo 7, relativo a las recomendaciones y estándares Internacionales.

5. ¿Se permite el uso de OID antiguos?
La Norma Técnica ARCOTEL-2024-0176 no contempla ni autoriza expresamente el uso de Identificadores de Objeto (OID) distintos o anteriores a los establecidos en la estructura y perfiles definidos en sus anexos técnicos. En consecuencia, las Entidades
de Certificación de Información y Servicios Relacionados Acreditadas deben ajustarse a los OID previstos en dicha estructura normativa para la emisión de certificados, conforme a lo dispuesto en el artículo 6, relacionado a los perfiles de certificados.

III. CADENA DE CONFIANZA
6. ¿Es obligatoria la publicación de la cadena de confianza?
La publicación de las cadenas de confianza es de carácter obligatorio para las Entidades de Certificación de Información y Servicios Relacionados Acreditadas, conforme a lo dispuesto en el artículo 4, numeral 20, de la Norma Técnica ARCOTEL-2024-0176.

7. ¿Los certificados raíz y subordinados requieren aprobación previa?
Todo nuevo certificado de Autoridad de Certificación raíz o subordinada debe ser remitido para la correspondiente aprobación ante la Agencia de Regulación y Control de las Telecomunicaciones, de conformidad con lo dispuesto en el artículo 4, numeral 20, de la Norma Técnica ARCOTEL-2024-0176.

8. ¿Las cadenas de confianza deben remitirse al MINTEL?
Las cadenas de confianza de los certificados que hayan sido previamente aprobadas por la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL) deben ser remitidas al Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL), de conformidad con lo establecido en el artículo 4, numeral 21, de la Norma Técnica ARCOTEL-2024-0176.

IV. OCSP Y VALIDACIÓN

9. ¿Es obligatorio implementar OCSP?
Las Entidades de Certificación de Información y Servicios Relacionados Acreditadas deben proporcionar un servicio de Protocolo de Estado de Certificado en Línea (OCSP) que permita la verificación en tiempo real del estado de los certificados electrónicos emitidos, de conformidad con lo dispuesto en el artículo 4, numeral 17, de la Norma Técnica ARCOTEL-2024-0176.

10. ¿El servicio OCSP debe ser de acceso libre y gratuito para la verificación del estado de los certificados electrónicos?
El acceso al servicio de Protocolo de Estado de Certificado en Línea (OCSP) debe ser libre y gratuito, de conformidad con lo dispuesto en el artículo 4, numeral 17, de la Norma Técnica ARCOTEL-2024-0176.

11. ¿Debe usarse OCSP y CRL simultáneamente?
En los procesos de revocación de certificados de firma electrónica, las Entidades de Certificación de Información y Servicios Relacionados Acreditadas deben utilizar de manera simultánea el Protocolo de Estado de Certificado en Línea (OCSP) y las Listas de Certificados Revocados (CRL), de conformidad con lo dispuesto en el artículo 4, numeral 12, de la Norma Técnica ARCOTEL-2024-0176.

12. ¿La indisponibilidad del OCSP genera responsabilidad sobre la entidad de certificación?
La Norma Técnica ARCOTEL-2024-0176 establece que las Entidades de Certificación de Información y Servicios Relacionados Acreditadas serán responsables por los daños y perjuicios que se ocasionen a terceros como consecuencia del incumplimiento de las obligaciones relacionadas con la actualización y utilización de las Listas de Certificados Revocados (CRL) y del servicio OCSP, de conformidad con lo dispuesto en el artículo 4, numeral 12.

V. REVOCACIÓN Y SUSPENSIÓN

13. ¿La Norma diferencia revocación y suspensión?
La Norma Técnica ARCOTEL-2024-0176 distingue expresamente entre la revocación y la suspensión del certificado de firma electrónica, estableciendo que la revocación implica la pérdida definitiva e irreversible de su validez, mientras que la suspensión supone una pérdida temporal y reversible, de conformidad con lo dispuesto en el artículo 5, numeral 1, literal l, numerales 3 y 4.

14. ¿Debe permitirse revocación en línea?
Las Entidades de Certificación de Información y Servicios Relacionados Acreditadas deben habilitar mecanismos de acceso vía web que permitan a los usuarios solicitar la revocación de su certificado de firma electrónica en línea, de conformidad con lo dispuesto en el artículo 4, numeral 12, de la Norma Técnica ARCOTEL-2024-0176.

VI. DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN
15. ¿La DPC debe seguir la recomendación RFC 3647?
Las Entidades de Certificación de Información y Servicios Relacionados Acreditadas deberán contar con una Declaración de Prácticas de Certificación (DPC), en la que se detallen de manera expresa las condiciones, políticas y procedimientos aplicables a la solicitud, emisión, uso, suspensión, reactivación y revocación de los certificados de firma electrónica, así como a la prestación de los servicios relacionados.
Dichas prácticas deberán establecerse con base en estándares y buenas prácticas internacionales vigentes o compatibles con las empleadas internacionalmente, particularmente conforme a la recomendación RFC 3647 o superiores emitidas por la Internet Engineering Task Force (IETF), manteniendo el orden numérico y la estructura de sus componentes y subcomponentes para evitar omisiones discrecionales.
Además; la DPC deberá contar con las firmas de elaboración, revisión y aprobación, incorporar un control del historial de cambios con sus respectivas fechas de actualización y ser presentada ante la Agencia de Regulación y Control de las Telecomunicaciones, en cumplimiento de lo previsto en el artículo 5, numeral 1, de la Norma Técnica ARCOTEL-2024-0176.

VII. ESTÁNDARES INTERNACIONALES
16. ¿Es obligatorio cumplir con las recomendaciones RFC 5280, 6960, 3161 y ETSI EN 319?
La Norma Técnica ARCOTEL-2024-0176 dispone la adopción y cumplimiento de estándares internacionales específicos, tales como las recomendaciones RFC 5280, RFC 6960 y RFC 3161, así como las normas ETSI EN 319, con el objetivo de asegurar la correcta implementación, interoperabilidad y seguridad de los certificados de firma electrónica y de los servicios relacionados, de conformidad con lo establecido en el artículo 7.

17. ¿Se exige FIPS 140-2 y/o Common Criteria?
La Norma Técnica ARCOTEL-2024-0176 exige el cumplimiento de estándares internacionales de seguridad, tales como FIPS 140-2 y/o Common Criteria (ISO/IEC 15408), a fin de garantizar niveles adecuados de seguridad en la infraestructura criptográfica y en los procesos asociados a la prestación de los servicios de certificación de información y servicios relacionados, de conformidad con lo dispuesto en el artículo 7.

18. ¿RSA es el algoritmo obligatorio?
La Norma Técnica ARCOTEL-2024-0176 establece que la generación de las claves criptográficas para los certificados de firma electrónica debe realizarse utilizando el algoritmo RSA, conforme a los estándares y recomendaciones internacionales previstos en el artículo 7.

VIII. REPORTES Y FORMULARIOS
19. Conforme a la última resolución vigente, ¿los reportes a ARCOTEL deben presentarse de manera mensual o trimestral?
Conforme a lo dispuesto en el artículo 4, numeral 9, de la Norma Técnica ARCOTEL-2024-0176, las Entidades de Certificación de Información y Servicios Relacionados Acreditadas deben remitir a ARCOTEL reportes con periodicidad trimestral, los cuales deberán ser entregados en conjunto detallando por mes la información solicitada. Estos requieren ser informados dentro de los primeros quince (15) días del trimestre siguiente al período reportado, conforme a los formularios que la ARCOTEL establezca para el efecto.

20. ¿Existe un formato o plantilla estándar establecida por ARCOTEL para la presentación de dichos reportes?
Sí, existen formatos y plantillas establecidas por ARCOTEL para la presentación de los reportes. Estos fueron oportunamente notificados mediante oficio ARCOTEL-CREG-2024-0178-OF de fecha 30 de octubre de 2024. Cabe señalar que actualmente dichos formatos se encuentran en proceso de actualización y, una vez concluida esta fase, serán publicados oficialmente en el portal web institucional para conocimiento y aplicación de las entidades correspondientes.

IX. TRANSICIÓN Y VIGENCIA

21. ¿La Norma Técnica ARCOTEL-2024-0176 establece un régimen transitorio para la adecuación e implementación de sus disposiciones?
La Norma Técnica ARCOTEL-2024-0176 sí establece un régimen transitorio expreso a través de sus Disposiciones Transitorias Primera a Sexta. En particular, la Disposición Transitoria Cuarta otorga a las Entidades de Certificación Acreditadas y sus Terceros
Vinculados un plazo de dieciocho (18) meses para realizar las adecuaciones e implementaciones necesarias en sus sistemas informáticos para el cumplimiento de la Norma, pudiendo continuar emitiendo certificados durante dicho período.