SECRETARÍA DE ECONOMÍA
Proyecto de Modificación de Norma Oficial Mexicana NOM-151- SCFI-2016, Requisitos que deben observarse para la conservación de mensajes de datos y digitalización de documentos, publicada el 30 de marzo de 2017.
ÍNDICE DEL CONTENIDO
…
APÉNDICE C (NORMATIVO)
REQUISITOS DE LAS COMUNICACIONES ELECTRÓNICAS CERTIFICADAS
…
4.9 Comunicación electrónica certificada.
Solución tecnológica que permite transmitir mensaje de datos por medios electrónicos, entre el emisor y receptor, asimismo, aporta evidencias relacionadas con la gestión del envío y recepción de los mismos, garantizando la protección del mensaje, conforme a lo establecido en el Apéndice C del presente Proyecto de Modificación de Norma Oficial Mexicana.
…
5.1 Los comerciantes deberán observar los métodos que se describen en los Apéndices Normativos A, B y C del presente Proyecto de Modificación de Norma Oficial Mexicana para conservar los mensajes de datos, así como para la digitalización de toda o parte de la documentación en soporte físico relacionada con sus negocios.
…
5.4 Los programas informáticos para la conservación de los mensajes de datos, así como los equipos para digitalización, deberán cumplir con los métodos que se describen en los Apéndices Normativos A, B y C del presente Proyecto de Modificación de Norma Oficial Mexicana.
…
7. Vigilancia
La vigilancia del cumplimiento del presente Proyecto de Modificación de Norma Oficial Mexicana corresponde a la Secretaría de Economía a través de la Dirección General de Normatividad Mercantil, cuyo personal adscrito realizará los trabajos de acreditación, supervisión y vigilancia conforme a lo dispuesto en el presente Proyecto y lo establecido en el artículo 95 Bis 6 fracción II, 100 y 102 del Código de Comercio, artículo 22 del Reglamento del Código de Comercio en materia de Prestadores de Servicios de Certificación, artículo 38 fracción IX del Reglamento Interior de la Secretaría de Economía, Título Tercero de las Reglas Generales a las que deberán sujetarse los Prestadores de Servicios y Certificación y demás disposiciones legales y reglamentarias aplicables.
…
APÉNDICE C
(NORMATIVO)
REQUISITOS DE LAS COMUNICACIONES ELECTRÓNICAS CERTIFICADAS
C.1 Introducción
En este Apéndice Normativo se presentan los requisitos mínimos necesarios que deberán cumplir las comunicaciones electrónicas certificadas, señaladas en los artículos 35 de la Ley Federal de Procedimiento Administrativo, 49, 90 Bis, 91, 92 del Código de Comercio.
C.2 Principios de las comunicaciones electrónicas certificadas
1. El mensaje de datos que se envíe deberá mantenerse íntegro, confidencial y disponible desde el momento de su envío y hasta su recepción.
2. Cuando las disposiciones legales aplicables así lo requieran, las partes deberán garantizar fehacientemente la identidad de las partes en el envío y recepción del mensaje de datos.
3. Cuando las disposiciones legales aplicables así lo requieran, deberán incluir el tiempo en que se envía y recibe el mensaje de datos.
C.3 Se considerará que el mensaje de datos que se envía y recibe de manera segura, es íntegro, confidencial y disponible, si la solución tecnológica para la comunicación electrónica certificada, cumple con lo siguiente:
a) Permita al emisor firmar electrónicamente [FIPS 186-4 y FIPS 180-4 (excepto SHA-1 y SHA-224)] el mensaje de datos, utilizando sus datos de creación de firma electrónica asociado con un certificado emitido por una Autoridad Certificadora reconocida en México conforme a las disposiciones legales que las rijan, así como validar el estado de dicho certificado, que cumpla con el estándar X.509 V3.
b) Permita al emisor cifrar el mensaje de datos mediante un algoritmo criptográfico [FIPS 140-2 Annex A] o utilizar un protocolo criptográfico, compatible con los estándares de la industria, los cuales se podrán consultar en la página www.firmadigital.gob.mx.
c) Permita al receptor descifrar el mensaje de datos mediante un algoritmo criptográfico [FIPS 140-2 Annex A] o utilizar un protocolo criptográfico, compatible con los estándares de la industria, los cuales se podrán consultar en la página www.firmadigital.gob.mx.
d) Permita al receptor con los datos de verificación de firma electrónica asociados con un certificado digital, emitido por una Autoridad Certificadora reconocida en México conforme a las disposiciones legales que las rijan, así como validar el estado de dicho certificado, que cumpla con el estándar X.509 V3 detectar cualquier alteración a la integridad del mensaje de datos firmada.Los datos de creación de firma electrónica deben estar asociados a un certificado emitido por una Autoridad Certificadora reconocida en México conforme a las disposiciones legales que las rijan. De la misma forma, debe validar el estado de dicho certificado cumpliendo con las recomendaciones del estándar X.509 V3. En específico: debe verificar vigencia, estado de revocación (OCSP y/o CRL, según sea el caso) y validación de firma del emisor del certificado.”
C.4 La solución tecnológica, al entregar el mensaje de datos deberá:a) Generar la confirmación de recepción;b) En caso de ser necesario, deberá permitir al receptor generar un acuse de recibo firmado electrónicamente, utilizando sus datos de creación de firma electrónica asociados con un certificado digital emitido por una Autoridad Certificadora reconocida en México conforme a las disposiciones legales que las rijan, debe validarse el estado de dicho certificado cumpliendo con las recomendaciones del estándar X.509 V3. En específico: debe verificar vigencia, estado de revocación (OCSP y/o CRL, según sea el caso) y validación de firma del emisor del certificado; yc) En todos los casos anteriores, se deberá incorporar un sello digital de tiempo conforme a la regla C.5.
C.5 La solución tecnológica deberá incorporar un sello de tiempo a las diversas actuaciones que se realicen en el proceso de envío y recepción de mensajes de datos, compatible con el RFC 3161.Para los efectos de lo dispuesto en el párrafo anterior la fuente de tiempo confiable será la emitida por el Centro Nacional de Metrología.
El servicio de Autoridad de Sellado Digital de Tiempo para la Administración Pública Federal podrá ser otorgado por la Secretaría, o aquella Autoridad Certificadora que se encuentre debidamente acreditada conforme a la Ley de Firma Electrónica Avanzada, en ambos caos, se tendrá la obligación de conservar el sello digital de tiempo.
C.6 Para efectos del presente Apéndice, se entenderá por solución tecnológica, al software y hardware que lleve a cabo la comunicación electrónica certificada en los términos anteriormente mencionados.
C.7 La Secretaría, evaluará la conformidad del procedimiento de este Apéndice.
C.8 Para la creación de comunicaciones electrónicas certificadas, la solución tecnológica deberá construirse conforme a las estructuras de datos que publique la Secretaría en el portal de internet http://www.firmadigital.gob.mx/ para el envío y recepción de mensajes de datos. Ciudad de México, a 8 de febrero de 2021.- El Director General de Normas y Presidente del Comité Consultivo Nacional de Normalización de la Secretaría de Economía, Lic. Alfonso Guati Rojo Sánchez.- Rúbrica.