Resolución 12717 de 2005 (DIAN)

(27 DIC.)

Por la cual se reglamentan los mecanismos para la utilización de los servicios informáticos electrónicos de la Dirección de Impuestos y Aduanas Nacionales

EL DIRECTOR GENERAL DE LA UNIDAD ADMINISTRATIVA ESPECIAL DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES

 

ARTICULO 1. MECANISMOS DE ACCESO. La Dirección de Impuestos y Aduanas Nacionales prestará el servicio de acceso para autenticación a las personas naturales, de los servicios informáticos electrónicos, a través de los siguientes elementos:

Usuario: corresponde al tipo y número de documento de identificación de la persona que accede a los servicios informáticos electrónicos, informado en el Registro Único Tributario de la DIAN.

Contraseña: corresponde a la clave de acceso autogestionada y conocida únicamente por la persona que accede a los servicios informáticos electrónicos.

Organización: corresponde a la identificación de la persona natural o jurídica a quien se representa o para la cual se actúa.

ARTICULO 2. MECANISMOS DE CERTIFICACIÓN Y FIRMA DIGITAL. La Dirección de Impuestos y Aduanas Nacionales habilitará el uso de estos mecanismos en sus servicios informáticos electrónicos, para la presentación electrónica con firma digital respaldada con certificado digital, que sustituye para todos los efectos la firma autógrafa en los documentos inherentes a los trámites realizados a través de tales mecanismos, por personas naturales que actúen a nombre propio y/o que representen a otra persona natural o jurídica o actúen para la misma, quienes para este efecto se denominarán suscriptores del mecanismo.
Este mecanismo cuenta con las siguientes características:

1) Vigencia. La vigencia de los certificados emitidos por la Dirección de Impuestos y Aduanas Nacionales será de tres (3) años, contados a partir de su generación.

2) Contenido. El atributo “Subject” es diligenciado usando cadenas del tipo “nombre distinguido” DN y no puede estar en blanco por ningún motivo.
Este atributo debe contener la siguiente información:

a) Nombre, dirección y domicilio del usuario.
b) Identificación del usuario.
c) DN del usuario.
d) Nombre, dirección y lugar donde realiza actividades la Dirección de Impuestos y Aduanas Nacionales como entidad de certificación.
e) Clave pública del usuario.
f) Metodología para verificar la firma digital del usuario impuesta en las transacciones y documentos electrónicos.
g) Número de serie del mecanismo digital.
h) Fecha de emisión y expiración del certificado.
i) Firma de la entidad de certificación para autenticar el certificado.

3) Tipos: La Dirección de Impuestos y Aduanas Nacionales emitirá a sus suscriptores únicamente certificados de persona natural, los cuales son válidos para asumir obligaciones a nombre propio y/o de terceros a quienes represente o para los cuales actúe.

4) Costo. Los certificados digitales emitidos por la Dirección de Impuestos y Aduanas Nacionales son gratuitos.

ARTICULO 3. PROCEDIMIENTO PARA EL TRÁMITE DE LOS MECANISMOS DE ACCESO Y CERTIFICACIÓN Y FIRMA DIGITAL PARA EL USO EN SERVICIOS INFORMÁTICOS DE LA DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES.

1. Para activar los mecanismos de acceso:

a. Inscripción en el Registro Único Tributario de acuerdo con el Decreto 2788 de 2004 y las normas que lo modifiquen o adicionen.

b. Autogestión de su usuario y contraseña, a través de los servicios informáticos electrónicos dispuestos en el portal de la Dirección de Impuestos y Aduanas Nacionales, donde encontrará las instrucciones especificas a seguir.

2. Para la emisión y activación del mecanismo de la Dirección de Impuestos y Aduanas Nacionales para certificación y firma digital por primera vez o después de un trámite de revocación, debe seguirse el siguiente procedimiento:

a. Emisión: Diligenciamiento por parte de la Dirección de Impuestos y Aduanas Nacionales del formato dispuesto para registrar la información del suscriptor proveniente del Registro Único Tributario y, formalización por medio de la cual la Dirección de Impuestos y Aduanas Nacionales pone en conocimiento las condiciones para otorgar el mecanismo y el suscriptor acepta las obligaciones y responsabilidades inherentes a éste, así como la disposición del servicio informático electrónico soporte de esta función para generar automáticamente los códigos de activación del mecanismo para su posterior uso.

Para dicho trámite, la DIAN tendrá en cuenta el proceso surtido para efectos de inscripción y/o actualización en el Registro Único Tributario incluida la documentación soporte, conforme al Decreto 2788 de 2004, la Resolución 8502 de 2004 y demás disposiciones reglamentarias.

b. Activación: Autogestión que realiza el usuario suscriptor a través de los servicios informáticos electrónicos permitiéndole a partir de los códigos de activación, generar su mecanismo digital consistente en certificado digital y clave privada que le permitirán acceder y presentar con firma digital los documentos inherentes a sus trámites.

c. Revocación: El mecanismo de la Dirección de Impuestos y Aduanas Nacionales para firma digital respaldado por certificado digital perderá su validez en las siguientes circunstancias:

i. Por pérdida de la clave privada.

ii. La clave privada ha sido expuesta o corre peligro de que se le dé un uso indebido.

iii. Por muerte del suscriptor.

iv. Por liquidación de las personas jurídicas, cuando la persona natural que la representa o que actúa para la misma como revisor fiscal o contador no tiene otros obligados a cargo, ni obligaciones a nombre propio.

v. Cuando el suscriptor, una vez termine su vinculación como representante, contador o revisor fiscal en relación con un obligado, no tiene otros representados a cargo y tampoco es obligado a nombre propio.

vi. Por la confirmación de que alguna información o hecho contenido en el certificado digital es falso.

vii. Cuando la clave privada de la entidad o su sistema de seguridad ha sido comprometido de manera material que afecte la confiabilidad del certificado digital.

viii. Por orden judicial o de entidad administrativa competente.
ix. Por vencimiento del período de validez del mecanismo digital sin que se haya renovado.

En las dos primeras circunstancias señaladas en el literal c), el suscriptor está obligado a solicitar la revocación del certificado digital.
En las demás circunstancias procederá la revocación a petición de parte o de oficio, según el caso.

Para la revocación a solicitud de parte, el suscriptor comunica la causa de la misma a través de los servicios telefónicos o de asistencia al cliente de la DIAN y formaliza su solicitud presencialmente en la entidad.

Para la revocación por parte de la Dirección de Impuestos y Aduanas Nacionales cuando establezca una circunstancia que permita revocar de oficio los mecanismos digitales, procederá de conformidad y le comunicará al suscriptor dentro de las 24 horas siguientes.

d). Renovación: El mecanismo de la Dirección de Impuestos y Aduanas Nacionales para firma digital amparado por certificado digital extenderá su vigencia en las siguientes circunstancias:

i. Por proximidad de la fecha de vencimiento del período de validez del mecanismo, que será con treinta días de antelación.

ii. Por disposición de la DIAN.
En estos eventos la DIAN, diligenciará el formato dispuesto para registrar la información del suscriptor proveniente del Registro Único Tributario y su formalización, procedimiento por medio del cual la Dirección de Impuestos y Aduanas Nacionales pone en conocimiento las condiciones para otorgar el mecanismo y el suscriptor acepta las obligaciones y responsabilidades inherentes a éste, así como el servicio informático electrónico soporte de esta función que permite generar automáticamente los códigos para activación del mecanismo para su posterior uso.

PARÁGRAFO. Todos los procedimientos mencionados cuentan con las instrucciones y ayudas necesarias para su cabal cumplimiento.

ARTÍCULO 4. USO DE LOS MECANISMOS DE ACCESO PARA AUTENTICACIÓN Y/O PARA CERTIFICACIÓN Y FIRMA DIGITAL. El uso de los mecanismos de acceso para autenticación y/o para la certificación y firma digital de que trata esta resolución aplica exclusivamente para la utilización de los servicios informáticos electrónicos que ponga a disposición de sus usuarios la Dirección de Impuestos y Aduanas Nacionales.
La DIAN establecerá los trámites que requieran el uso de firma digital respaldada por certificado digital.

ARTICULO 5. TIEMPO DE PRESENTACIÓN. Los documentos firmados digitalmente en uso del mecanismo de firma y certificación digital a través de los servicios informáticos electrónicos de la Dirección de Impuestos y Aduanas Nacionales, tendrán como fecha de presentación ante la misma, la fecha y hora de recepción registrada en el acuse de recibo generado por los mismos servicios.

ARTICULO 6. VALOR PROBATORIO DE LOS CERTIFICADOS DIGITALES EMITIDOS POR LA DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES. El valor probatorio de los certificados digitales que emita la Dirección de Impuestos y Aduanas Nacionales se circunscribe a lo dispuesto en el artículo 4º del Decreto 1747 de 2000, en consecuencia no aplica lo dispuesto en el artículo 15 ibídem.

ARTÍCULO 7. PROTECCIÓN, CONFIDENCIALIDAD Y DEBIDO USO DE LA INFORMACIÓN DE LOS USUARIOS DE CERTIFICADOS DIGITALES.La Dirección de Impuestos y Aduanas Nacionales garantiza la protección, confidencialidad y debido uso de la información de los usuarios de los servicios informáticos electrónicos dando cumplimiento a la Ley 594 del 2000 Ley general de archivos y las Resoluciones 3448 de 1999 sobre Normas generales para la administración de los archivos en la Dirección de Impuestos y Aduanas Nacionales y 3630 de 1999 sobre Adopción del reglamento de archivos para la Dirección de Impuestos y Aduanas Nacionales, así como a las Ordenes Administrativas 04 de 1999 sobre Normas para la organización y manejo de archivos en la Dirección de Impuestos y Aduanas Nacionales y 05 de 2000 sobre Normas generales para la administración y organización de los archivos centrales en la DIAN), y, garantizando de esta manera los espacios, las instalaciones y los controles de seguridad necesarios para el correcto funcionamiento de sus archivos.

ARTICULO 8. MANEJO DE INFORMACIÓN DE NATURALEZA CONFIDENCIAL. Una vez que la información del contribuyente llega a los sistemas informáticos de la Dirección de Impuestos y Aduanas Nacionales, esta solo puede ser accedida lógicamente por la aplicación haciendo uso de métodos únicos definidos en el diseño de su arquitectura basándose en:

1) Repositorio único de usuarios y cuentas que cumplen estándares abiertos e internacionales basados en el protocolo LDAP.
2) Calificación de datos en niveles de acceso.
3) Protección de accesos a esquemas físicos de datos.
4) Perfiles y roles para acceso a servicios de información.
5) Elementos de control de acceso lógico en todos los niveles; presentación, aplicación y datos.
6) Procedimientos de control de acceso físico a los servidores que minimizan el riesgo de pérdida de integridad de la información.
7) Procedimientos de control

ARTÍCULO 9. PLANES Y PROCEDIMIENTOS DE SEGURIDAD PARA LA PRESTACIÓN CONTINUA DEL SERVICIO.

1). Para garantizar la continuidad de las operaciones, la Dirección de Impuestos y Aduanas Nacionales implementará planes y procedimientos para la recuperación ante desastres, que cubren los siguientes aspectos:

a) Acceso físico: Controles de acceso físico al edificio, al piso donde se encuentra el centro de cómputo y al centro de cómputo mismo. Estos controles son de tipo electrónico en unos casos y con personal de vigilancia en otros.

b) Control de acceso a la PKI: La infraestructura que maneja los servicios de la PKI está aislada dentro del centro de cómputo, donde los únicos autorizados para acceder a esta zona son los funcionarios del Grupo Interno de Seguridad Informática.

c) Enlaces de comunicaciones redundantes y con suficiente capacidad, servidores y equipos activos de comunicaciones redundantes en todas sus capas y redundancia con sitio alterno para el centro de cómputo.

d) Energía y condiciones ambientales: Fuentes de energía primaria y secundaria, así como sistemas de ventilación, aire acondicionado, calefacción, prevención y detección de fuegos, medidas preventivas para minimizar el impacto que puede causar el agua en el Centro de Cómputo.

e) Almacenamiento de los medios: Todos los medios que contienen información de la PKI de la Dirección de Impuestos y Aduanas Nacionales, se almacenan en un sitio seguro y se conservan copias en un sitio remoto de la Entidad, que cuentan con los procedimientos de control de acceso requeridos para minimizar el riesgo de daño.

2) Protección de la llave privada de la entidad de certificación.

La Dirección de Impuestos y Aduanas Nacionales tendrá implementado un control de doble intervención (control multi-persona de la llave privada) para la generación de llaves de la entidad de certificación, dos personas asociadas con los roles de usuario maestro (Master) u oficial de seguridad (FirstOfficer) deben participar o estar presentes. Para mantener almacenadas las llaves de la entidad de certificación, la DIAN dispone de un módulo criptográfico certificado FIPS 140–1 nivel 3 que las encripta con 3DES, codificadas con encripción M de N.

En caso de que las llaves de la entidad de certificación se vean comprometidas o el sistema de seguridad que las protege haya sido vulnerado, se realizará el siguiente procedimiento:

a) Revocar todos los certificados emitidos hasta ese momento y que no hayan perdido su vigencia.

b) Actualizar inmediatamente la lista de certificados revocados.

c) Notificar inmediatamente a todos los suscriptores por cualquier medio electrónico de esta situación, incluyendo el procedimiento que deben seguir para acceder nuevamente a los servicios informáticos electrónicos.

d) Revocar su propio certificado.

e) Generar un nuevo par de llaves para si misma.

f) Emitir nuevos certificados para los suscriptores.

g) Notificar a todos los suscriptores del reestablecimiento de los servicios.

3) Cuando se presenten fallas en el sistema de la entidad de certificación que comprometan la prestación del servicio, se ejecutará el procedimiento de recuperación de desastres que para tal efecto ha implementado la DIAN.

4) La Dirección de Impuestos y Aduanas Nacionales revisará continuamente el estado de la tecnología para verificar la vigencia de los algoritmos de cifrado y, en caso que los establecidos no mantengan el nivel de seguridad ofrecido a los suscriptores, realizará las acciones necesarias para garantizarlo.

ARTÍCULO 10. OBLIGACIONES DE LA DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES FRENTE AL MECANISMO PARA FIRMA CON CERTIFICADO DIGITAL.

1) Gestionar de manera eficiente y segura la emisión, revocación, renovación de los mecanismos digitales, así como mantener actualizadas las bases de datos de mecanismos digitales vigentes, revocados y renovados.

2) Identificar y autenticar al usuario de acuerdo con la información que reposa en Registro Único Tributario.

3) Implementar sistemas de seguridad para garantizar la emisión, renovación y revocación de los mecanismos digitales de los servicios informáticos electrónicos y los documentos que lo soportan.

4) Garantizar la protección, confidencialidad y debido uso de la información suministrada por el suscriptor.

5) Garantizar la prestación permanente del servicio.

6) Atender oportunamente las solicitudes y reclamaciones hechas por los suscriptores.

7) Suministrar la información que requieran las entidades administrativas competentes o judiciales.

8) Permitir y facilitar la realización de las auditorias por parte de la Superintendencia de Industria y Comercio.

9) Llevar el registro de los certificados.

10) Abstenerse de acceder o almacenar la clave privada del suscriptor.

11) Informar al usuario dentro de las 24 horas siguientes, la renovación o revocación de sus mecanismos digitales.

12) Capacitar y advertir a los usuarios de los servicios informáticos electrónicos sobre las medidas de seguridad que deben observar para la utilización de estos mecanismos.

ARTÍCULO 11. OBLIGACIONES DE LOS USUARIOS SUSCRIPTORES DEL MECANISMO DE LA DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES PARA FIRMA CON CERTIFICADO DIGITAL.

1) Recibir, conservar y utilizar correctamente los mecanismos digitales.

2) Custodiar los mecanismos digitales de forma diligente tomando las precauciones requeridas para evitar su pérdida, olvido, revelación, modificación, suplantación o uso no autorizado.

3) Solicitar oportunamente la revocación de los servicios informáticos electrónicos cuando se cumpla alguno de los supuestos consagrados en la presente resolución.

4) No revelar la clave privada ni la información de activación del mecanismo digital.

5) Asegurar que toda la información contenida en los mecanismos digitales sea correcta.

6) Informar inmediatamente a la DIAN acerca de cualquier situación que pueda afectar la validez de los mecanismos digitales.

7) Destruir el mecanismo digital cuando expire o sea revocado.

8) Mantener actualizado el Registro Único Tributario.

ARTÍCULO 12. RESPONSABILIDAD DE LOS USUARIOS SUSCRIPTORES DEL MECANISMO PARA FIRMA Y CERTIFICADO DIGITAL DE LA DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES. El suscriptor del mecanismo de firma y certificado digital para los servicios informáticos electrónicos será responsable:

1) Por la falsedad, error u omisión en la información suministrada a la DIAN y por el incumplimiento de sus deberes y obligaciones como usuario.

2) De solicitar la revocación del certificado en el evento de presentarse la pérdida de la clave privada o cuando ésta ha sido expuesta, corre peligro o se le de un uso indebido.

ARTÍCULO 13. Uso indebido del mecanismo para firma respaldada con certificado de la Dirección de Impuestos y Aduanas Nacionales. La Dirección de Impuestos y Aduanas Nacionales no será responsable en los siguientes eventos :

1) Daños derivados y relacionados con la no ejecución o ejecución defectuosa de las obligaciones a cargo del suscriptor de los servicios electrónicos.

2) Incorrecta utilización de los mecanismos digitales y las claves, y de cualquier daño indirecto que pueda resultar de la utilización de éstos o de la información suministrada por la Dirección de Impuestos y Aduanas Nacionales.

3) Eventuales inexactitudes que resulten de la información suministrada por el suscriptor.

 

ARTÍCULO 14. ESTÁNDARES TECNOLÓGICOS PARA LA IMPLEMENTACIÓN DEL MECANISMO DE FIRMA CON CERTIFICADO DIGITAL DE LA DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES.

1) Para algoritmos de firma:

a) El algoritmo de firma digital que se utilizará es sha-1WithRSAEncryption, porque dado el tamaño del resumen de sha-1 (160 bits) la probabilidad que dos mensajes produzcan el mismo resumen es muy baja y es mucho más resistente a ataques de fuerza.

b) Para garantizar la unicidad en la generación de la firma digital el tamaño del par de claves (Privada y Publica) será de 2048 bits (con capacidad de incremento superior a 6144 bits), lo cual asegura que la probabilidad de romper la seguridad de dichas claves es baja.

2) Para generación de par de claves: se utilizará un conjunto de herramientas Java, certificadas FIPS-140 nivel 2. La transmisión de la información desde la aplicación cliente hasta la PKI, estará doblemente cifrada. En primer lugar la sesión establecida siempre será segura usando protocolo SSL V3 y la aplicación cliente intercambia información con la solución de PKI utilizando encripción fuerte asegurando que la probabilidad de derivar la clave privada, a partir de la clave pública, es muy remota. Así mismo, esto se refuerza por el estándar seleccionado en el numeral a. ii.

3) Para generación de firma digital: el sistema de generación de firma digital escogido, sha-1WithRSAEncryption, esta dentro de la lista de admitidos en el numeral a.

4) Procedimiento para el trámite de los mecanismos de acceso y certificación y firma digital para el uso en servicios informáticos de la Dirección de Impuestos y Aduanas Nacionales Para certificados en relación con firma digital: Los mecanismos generados por la Dirección de Impuestos y Aduanas Nacionales, cumplen el estándar X-509 V3 de la International TelecomunicationUnion (ITU – T) X – 509 versión 3.

5) Para listas de mecanismos revocados: cumplen con el estándar de International TelecomunicationUnion (ITU – T) X-509 versión 2.

6) Para identificación de la entidad y usuarios: Los mecanismos generados por la Dirección de Impuestos y Aduanas Nacionales contienen el DN X.500 completo del generador y el asunto del certificado en los campos issuerName y subject.

Los DN son de la forma de un X.501 cadena de caracteres imprimible (RFC 2253).

ARTÍCULO 16. UTILIZACIÓN DE CERTIFICADOS DIGITALES DE EXTERNOS. La Dirección de Impuestos y Aduanas Nacionales podrá habilitar el uso de certificados digitales de externos en sus servicios informáticos electrónicos y establecer las condiciones de interacción con la entidad de certificación que los emita, siempre y cuando se encuentren autorizados por la Superintendencia de Industria y Comercio.

Conc.:L. 527-99, arts 2, 3, 5-12, 28