Resolución 42 de 2021 COLPENSIONES

RESOLUCIÓN 42 DE 2021

(septiembre 16)

<Fuente: Archivo interno entidad emisora>

ADMINISTRADORA COLOMBIANA DE PENSIONES, COLPENSIONES

"Por la cual se deroga la resolución No. 065 del 3 de septiembre 2012 y se reglamenta el uso de los distintos tipos de firma en los procesos de la Administradora Colombiana De Pensiones - Colpensiones”

EL PRESIDENTE DE LA ADMINISTRADORA COLOMBIANA DE PENSIONES - COLPENSIONES

En ejercicio de las facultades legales y estatuarias, en especial las establecidas en el artículo 10 del Decreto 309 de 2017, el artículo 16 (Numeral 1o) del Acuerdo 106 de 2017, la Resolución 017 de 2020 y

CONSIDERANDO:

Que la Ley 1151 de 2007 en su artículo 155 creó la Administradora Colombiana de Pensiones - Colpensiones, como Empresa Industrial y Comercial del Estado del orden nacional, con personería jurídica, autonomía administrativa y patrimonio independiente.

Que mediante Decreto Ley 4121 de 2011 se modificó la naturaleza jurídica de la entidad a Empresa Industrial y Comercial del Estado organizada como entidad financiera de carácter especial, vinculada al Ministerio de Trabajo, que tiene por objeto la administración del Régimen de Prima Media con Prestación Definida, las prestaciones especiales por normas legales y la administración del Sistema de Ahorro de Beneficios Económicos Periódicos.

Que el artículo 12 del Decreto Ley 2150 de 1995 señala que los jefes de las entidades que integran la Administración pública podrán hacer uso, bajo su responsabilidad de la firma que procede de algún medio mecánico, tratándose de firmas masivas. En tal caso, previamente mediante acto administrativo de carácter general, deberá informar sobre el particular y sobre las características del medio mecánico.

Que el artículo 7 de la Ley 527 de 1999, dispone: “Cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si:

a) Se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación;

b) Que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado. (...)"

Que el parágrafo 3 del artículo 6 de la Ley 962 de 2005 establece que cuando la sustanciación de las actuaciones y actos administrativos se realice por medios electrónicos, las firmas autógrafas que los mismos requieran, podrán ser sustituidas por un certificado digital que asegure la identidad del suscriptor, de conformidad con lo que para el efecto establezca el Gobierno Nacional.

Que el artículo 3 del Decreto 2364 de 2012 señala: “Cuando se exija la firma de una persona, ese requisito quedará cumplido en relación con un mensaje de datos si se utiliza una firma electrónica que, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo aplicable, sea tan confiable como apropiada para los fines con los cuales se generó o comunicó ese mensaje.”

Que en el numeral 3 del artículo 6 del Decreto 2364 de 2012 establece; “Obligaciones del firmante (...) 3. Dar aviso oportuno a cualquier persona que posea, haya recibido o vaya a recibir documentos o mensajes de datos firmados electrónicamente por el firmante, si: a) El firmante sabe que los datos de creación de la firma han quedado en entredicho; o b) Las circunstancias de que tiene conocimiento el firmante dan lugar a un riesgo considerable de que los datos de creación de la firma hayan quedado en entredicho (...)

Que el Decreto 2364 de 2012 define firma electrónica, así: “Métodos tales como códigos, contraseñas, datos biométricos o claves criptográficas privadas, que permite identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente".

Que el artículo 7 ibídem establece la firma electrónica pactada mediante acuerdo, así mismo define, “Acuerdo sobre el uso del mecanismo de firma electrónica: Acuerdo de voluntades mediante el cual se estipulan las condiciones legales y técnicas a las cuales se ajustarán las partes para realizar comunicaciones, efectuar transacciones, crear documentos electrónicos o cualquier otra actividad mediante el uso del intercambio electrónico de datos".

Que el Decreto 620 de 2020 establece los mecanismos de autenticación y firma de documentos electrónicos, diferenciando claramente los mismos, definiendo en el “Artículo 2.2.17.2.1.1 numeral 1.2. Servicio de autenticación digital: Es el procedimiento que, utilizando mecanismos de autenticación, permite verificar los atributos digitales de una persona cuando adelanten trámites y servicios a través de medios digitales. Además, en caso de requerirse, permite tener certeza sobre la persona que ha firmado un mensaje de datos, o la persona a la que se atribuya el mismo en los términos de la Ley 527 de 1999 y sus normas reglamentarias, o las normas que la modifiquen, deroguen o subroguen, y sin perjuicio de la autenticación notarial."

Que la Guía de Lineamientos de los Servicios Ciudadanos Digitales del Ministerio de Tecnología de la Información y las comunicaciones establece que las Entidades deben identificar y determinar el grado de confianza requerido para los procesos.

Que el concepto 2015057612 de 2015 de la Superintendencia Financiera definió la firma a ruego de la siguiente manera:

“La figura de la firma a ruego se predica de aquellas personas que “no pudieren o no supieren firmar” y, en ese orden, entendemos que la exigencia de dicho procedimiento no se hace extensiva a personas que sí saben firmar.”

Que por medio de la Resolución 065 del 3 de septiembre 2012 expedida por Colpensiones se autorizó el uso de firmas digitales y mecánicas en la entidad, para los funcionarios, dando la potestad a la Entidad de reglamentar su uso, métodos y controles, siendo necesario con los advenimientos legales y tecnológicos hacer claridad sobre los métodos de firma electrónica, los requisitos de cada una y las técnicas idóneas de validación y seguridad de las mismas, con fines de dar pleno valor probatorio a todos los documentos que tengan algún método de firma y se generen en la Entidad.

Que el artículo 5 de la Resolución No. 024 del 24 de septiembre de 2020 expedida por Colpensiones, “por la cual se deroga la Resolución No. 006 de 2020, Resolución No. 012 de 2020 y se adoptan medidas transitorias para la atención de ciudadanos, usuarios y grupos de interés en armonía con la declaratoria de la Emergencia Sanitaria,” establece lineamientos para el uso de certificados digitales o de la firma mecánica en concordancia con la declaratoria de la Emergencia Sanitaria.

Que en consideración a que Colpensiones adoptó un nuevo modelo de operación, el Gobierno Nacional modificó la estructura de la entidad por medio del Decreto 309 de 24 de febrero de 2017.

Que la Junta Directiva de Colpensiones, con el propósito de ajustar la estructura interna de la Entidad al nuevo modelo de operación, expidió el Acuerdo 131 de 2018 “Por medio del cual se modifica la estructura interna de la Administradora Colombiana de Pensiones (Colpensiones).

Que se hace necesario reglamentar en Colpensiones el uso de los distintos tipos de firma utilizadas por Servidores públicos, ciudadanos, usuarios y grupos de interés que interactúan con Colpensiones.

Que, en mérito de lo expuesto,

RESUELVE:

ARTÍCULO PRIMERO. OBJETO. Definir los distintos tipos de firma disponibles en la Administradora Colombiana de Pensiones - Colpensiones, para que los documentos organizacionales y las comunicaciones oficiales producidas por los servidores públicos, así como los formularios electrónicos, comunicaciones oficiales y otros documentos presentados por los ciudadanos, usuarios y grupos de interés que interactúan con Colpensiones a través de los canales habilitados para atención no presencial, cuenten con mecanismos de autenticación, validez jurídica, probatoria y de seguridad; así como la definición de las responsabilidades por parte de los encargados de los procesos y/o áreas de la Entidad.

ARTÍCULO SEGUNDO. DEFINICIONES. Para los efectos de la utilización de los distintos tipos de firma en Colpensiones se entenderá por:

Firma a ruego. Es la que se predica de aquellas personas que “no pudieren o no supieren firmar” y, en ese orden, se entiende que la exigencia de dicho procedimiento no se hace extensiva a personas que sí saben firmar.

Firma Autógrafa. La firma autógrafa es el trazo que plasma la persona en un documento con su puño y letra o escrito de mano del propio autor.

Firma Mecánica. La firma mecánica consiste en la representación gráfica de una firma autógrafa de un funcionario de la Entidad obtenida a través de un proceso de digitalización con el objetivo de ser implementada en los sistemas de Colpensiones.

Firma electrónica. Métodos tales como, códigos, contraseñas, datos biométricos, o claves criptográficas privadas, que permite identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente.

Firma Digital. Un valor numérico adherido a un mensaje de datos que permite determinar, de un lado, la identidad del creador del mensaje y, de otro, que dicho mensaje no ha sido modificado posteriormente, regulado por los Artículos 2o, 7o y 28 de la ley 527 de 1999. Las firmas digitales son emitidas por una entidad de certificación avalada por el Organismo Nacional de Acreditación (ONAC).

Estampado Cronológico. mensaje de datos que vincula a otro mensaje de datos con un momento o periodo de tiempo concreto, el cual permite establecer con una prueba que estos datos existían en ese momento o periodo de tiempo y que no sufrieron ninguna modificación a partir del momento en que se realizó el estampado.

Mensaje de datos. La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax; regulado por los Artículos 2o, 5o y 11 de la Ley 527 de 1999.

ARTÍCULO TERCERO: FIRMA ELECTRÓNICA PACTADA MEDIANTE ACUERDO. Para utilizar la firma electrónica, referida en el artículo 2o de esta resolución, se deberá aceptar el acuerdo de firma electrónica suministrado por Colpensiones en el Portal Web de la Entidad, el cual contendrá, entre otras, las condiciones legales y técnicas, medidas de seguridad y condiciones de uso. Así mismo, una disposición incluida en el acuerdo de firma electrónica, en la que se especifique que todo lo que se acepte se entenderá como consentido y firmado electrónicamente por ciudadanos, usuarios y grupos de interés.

PARÁGRAFO PRIMERO. El método de firma electrónica podrá ser un nombre de usuario y una contraseña. Luego del enrolado o registro en el Portal Web de Colpensiones, o en cualquiera de sus servicios, se desplegará el acuerdo de firma electrónica, que deberá ser aceptado por el ciudadano, usuario y grupo de interés. De igual modo, Colpensiones podrá realizar validaciones de identificación mediante preguntas de seguridad; un código enviado al número teléfono móvil y/o al correo electrónico registrado por el firmante; a través de la ubicación; de la dirección IP; de huella digital o la foto de ella; los datos del ordenador; los datos de teléfono móvil; o mediante un cálculo sobre cualquiera de los datos; fotografía; un clic en una casilla o la mezcla de dos o más de ellas; entre otros mecanismos de autenticación; que además indistintamente podrán vincularse a un mensaje de datos como firma.

El nivel de seguridad de las firmas adoptadas por Colpensiones estará sujeto a lo dispuesto en el artículo 6o de la presente resolución.

PARAGRAFO SEGUNDO. El número de celular y el correo electrónico deberá ser registrado por el firmante, datos que deben ser validados para que se consideren fiables y seguros para establecer los mecanismos de verificación.

ARTÍCULO CUARTO. EFECTOS JURÍDICOS DE LA FIRMA ELECTRÓNICA. Las Firmas Electrónicas utilizadas en Colpensiones tendrán el valor probatorio y efectos jurídicos que otorga el artículo 3o del Decreto 2364 de 2012. En todo caso, los procesos y áreas de Colpensiones, en conjunto con la Gerencia de Tecnologías de la Información, deberán validar la confiabilidad y aplicabilidad de la firma a ser utilizada.

ARTÍCULO QUINTO. USO DE FIRMAS POR SERVIDORES PÚBLICOS. La firma autógrafa, mecánica, electrónica y digital será utilizada única y exclusivamente por los siguientes servidores públicos de la Entidad, en el ejercicio de sus competencias:

1. Presidente

2. Vicepresidentes.

3. Jefes de Oficina.

4. Gerentes.

5. Directores.

6. Subdirectores.

PARÁGRAFO PRIMERO. Se encuentran autorizados para uso de la firma autógrafa, mecánica, electrónica y digital, los servidores públicos que en desarrollo de sus funciones deban suscribir documentos, bajo asignación expresa y en el marco de sus funciones.

PARÁGRAFO SEGUNDO. Los servidores públicos de la Entidad que utilicen la firma autógrafa, mecánica, electrónica y digital son responsables de las decisiones y documentos que suscriban.

PARÁGRAFO TERCERO: La firma mecánica tendrá la misma validez que la firma manuscrita siempre y cuando sean emitidas y puedan ser verificadas a través de los sistemas de información y/o radicación dispuestos por la Entidad, atendiendo los niveles seguridad que implemente Colpensiones. En tal virtud, las comunicaciones oficiales suscritas por los servidores públicos autorizados deberán incluir el número de radicado consecutivo asignado por el sistema de información y/o radicación respectiva.

PARÁGRAFO CUARTO: Las comunicaciones oficiales suscritas con firma mecánica a ser enviadas internamente entre áreas, o de un área a los colaboradores o grupos de colaboradores, deberán ser registradas para su envío en los controles establecidos a través de los canales oficiales dispuestos para tal fin, de acuerdo con lo definido en el “Instructivo control para la expedición de documentación organizacional y actos administrativos”. Las comunicaciones oficiales internas deberán ser suscritas por los colaboradores autorizados y deberán incluir el número de consecutivo asignado.

ARTÍCULO SEXTO. SEGURIDAD DE LAS FIRMAS: Con el fin garantizar que los métodos de firma son seguros y confiables para el objetivo que fueron creados, estos deberán cumplir con los requisitos de seguridad de la información, técnicos (niveles de seguridad) y funcionales definidos en los procedimientos, lineamientos y políticas establecidos por los Procesos de Gestión Integral de Riesgos, Gestión Documental y Gestión de Provisión del Servicio.

ARTÍCULO SEPTIMO. RESPONSABILIDADES. En el marco de la presente resolución se establece las siguientes responsabilidades:

a. Responsabilidad de los procesos y áreas: Cada proceso y/o área es responsable de:

1. Revisar y analizar los tipos de firma a su cargo, así como realizar la identificación de los riesgos asociados y controles de mitigación de conformidad con la responsabilidad establecida como primera línea de defensa en la metodología del Sistema de Administración Integral de Riesgos.

2. Efectuar las acciones correctivas necesarias, cuando los datos de creación de la firma han quedado en entredicho o las circunstancias de que tiene conocimiento el firmante, dan lugar a un riesgo considerable. En tal virtud, deberá dar aviso oportuno a través del reporte del evento de riesgo respectivo.

En este punto, se entiende que los datos de creación del firmante han quedado en entredicho cuando estos, entre otras, han sido conocidos ilegalmente por terceros, corren peligro de ser utilizados indebidamente, o el firmante ha perdido el control o custodia sobre los mismos y en general cualquier otra situación que ponga en duda la seguridad de la firma electrónica o que genere reparos sobre la calidad de la misma.

1. Dar cumplimiento a las Políticas de Seguridad de la Información y Ciberseguridad y lineamientos establecidos para el uso e implementación de firmas en la Entidad.

2. Solicitar el acompañamiento de la Dirección Documental en la validación de pruebas integrales en los diferentes ambientes que incluyan producción de documentos electrónicos con características de valor probatorio (contenido, firma y metadatos).

b. Responsabilidad de la Gerencia de Riesgos y Seguridad de la Información: La Gerencia de Riesgos y Seguridad de la Información será responsable de:

1. Definir la política y los lineamientos en términos de seguridad de la información y ciberseguridad de la información para el uso e implementación de firmas.

2. Promover y apoyar a los procesos para que realicen la correcta identificación de los riesgos y controles asociados al uso de firmas en las herramientas de Gestión de Riesgos: Matriz de Riesgos, Matriz BIA, Matriz de Activos de Información -MAI, entre otras.

c. Responsabilidad de la Gerencia de Tecnologías de la Información: La Gerencia de Tecnologías de la Información será responsable de:

1. Establecer los lineamientos y/o instructivos en materia tecnológica asociados al uso e implementación de firmas.

2. Velar porque las herramientas tecnológicas dispuestas para los diferentes tipos de firmas se encuentren disponibles, creadas, activadas, actualizadas y cuenten con guías de configuración segura, así como el monitoreo a la infraestructura que las soporte.

3. Realizar verificaciones periódicas del estado de las herramientas tecnológicas dispuestas para analizar nuevas vulnerabilidades y brechas de seguridad.

4. Solicitar oportunamente la asignación y revocación de los certificados al ente certificador respectivo, previa validación del requerimiento efectuado por el funcionario solicitante.

d. Responsabilidad de la Dirección Documental: La Dirección Documental será responsable de:

1. Establecer los lineamientos y/o instructivos en materia documental asociados al uso e implementación de firmas.

2. Acompañar a los procesos y áreas en la validación de pruebas integrales en los diferentes ambientes que incluyan producción de documentos electrónicos con características de valor probatorio (contenido, firma y metadatos).

ARTÍCULO OCTAVO. VIGENCIA. El presente acto administrativo rige a partir de su publicación y deroga la Resolución No. 065 del 3 de septiembre 2012.

PUBLÍQUESE, COMUNÍQUESE Y CÚMPLASE.

Dada en Bogotá, D.C., a los dieciséis (16) días del mes de septiembre de 2021

JUAN MIGUEL VILLA LORA

Presidente