Emisión de normas técnicas de auditoría para firmas electrónicas y servicios de confianza: garantizar la seguridad y mejorar la confianza en el espacio digital

La Circular es una base jurídica importante para estandarizar los procesos de auditoría técnica, garantizar que los sistemas y organizaciones que proporcionan y utilizan firmas electrónicas cumplan con los estándares técnicos y de seguridad de la información, contribuyendo a fortalecer la confianza de las personas, las empresas y los organismos de gestión en el entorno de las transacciones digitales.

De acuerdo a la normativa, esta Circular aplica a las organizaciones y personas que participan o se relacionan con actividades de auditoría técnica de sistemas de información, procesos de prestación de servicios de firma electrónica segura, certificados de firma electrónica segura, firmas digitales, certificados de firma digital y otros servicios de confianza.

En particular, se anima a las agencias y organizaciones que crean y utilizan firmas electrónicas seguras a realizar auditorías técnicas de forma proactiva para autoevaluar el cumplimiento y la seguridad de sus sistemas y procesos de prestación de servicios. Este es un paso importante que demuestra el espíritu de prevención proactiva de los riesgos de ciberseguridad en lugar de limitarse a gestionar los incidentes cuando se producen infracciones.

Los proveedores de servicios confiables deben realizar auditorías técnicas cada dos años para garantizar que los sistemas y procesos de prestación de servicios se mantengan en un estado seguro y estable y cumplan con los requisitos técnicos de acuerdo con las normas nacionales.

De acuerdo con la Circular, la base para la evaluación de la auditoría técnica son los requisitos específicos de los sistemas de información y de los procesos de prestación de servicios especificados en los reglamentos técnicos, normas técnicas y requisitos técnicos aplicables a la firma electrónica, los certificados electrónicos y los servicios de confianza.

Las actividades de auditoría técnica se llevan a cabo en dos etapas principales: la evaluación de la información y los documentos durante el proceso de planificación y la evaluación propiamente dicha en la organización auditada. Todo el contenido debe ser objetivo, transparente y conforme al plan y alcance previamente acordados.

La duración máxima de una auditoría es de 6 meses y, de ser necesario, puede extenderse hasta 45 días para completar las acciones correctivas. Tras la finalización, con base en los resultados de la evaluación y las acciones correctivas (si las hubiera), la organización auditora considerará emitir un certificado con un Informe Técnico de Auditoría a la organización auditada. Si no se cumplen los requisitos, la organización auditora deberá notificarlo por escrito, explicando los motivos y adjuntando el Informe Técnico de Auditoría.

La Circular también detalla el contenido obligatorio del Informe de Auditoría Técnica, incluyendo: Información general sobre la auditoría, tiempo de implementación, método de evaluación, resultados del análisis de riesgos de seguridad de la información, resultados de las pruebas del sistema, recomendaciones técnicas y base para las decisiones de certificación.

Los prestadores de servicios de confianza deben enviar Informes de Auditoría Técnica al Ministerio de Ciencia y Tecnología , a través del Centro Nacional de Autenticación Electrónica (CNAE), punto focal para sintetizar, monitorear y servir el trabajo de gestión estatal.

Los informes periódicos no sólo ayudan a evaluar el estado operativo de los proveedores de servicios confiables, sino que también crean una base de datos unificada para la formulación de políticas, la gestión de riesgos y apoyan a las agencias estatales en la mejora de la calidad y la seguridad de la infraestructura nacional de transacciones digitales.

La Circular establece que las organizaciones de auditoría técnica son responsables de ejercer sus derechos y obligaciones de conformidad con las disposiciones de la ley sobre normas y reglamentos técnicos; garantizar la independencia, objetividad y el pleno cumplimiento de los procedimientos de auditoría técnica de acuerdo con las normas sobre calidad de productos y bienes y seguridad de la información de la red.

El Comité Nacional de Normas, Metrología y Calidad del Ministerio de Ciencia y Tecnología es el punto focal para recibir y evaluar los expedientes de registro para la designación de organizaciones de auditoría técnica y presentarlos al Ministro de Ciencia y Tecnología para la decisión de designar organizaciones calificadas de conformidad con la ley sobre normas y calidad.

Mientras tanto, el Centro Nacional de Autenticación Electrónica es responsable de recibir y sintetizar los informes de auditoría técnica de las organizaciones auditadas, informando periódicamente al Ministro de Ciencia y Tecnología para servir a la gestión estatal de la prestación de servicios confiables.

La emisión de la Circular sobre auditoría técnica de firmas electrónicas y servicios de confianza se considera un paso importante para completar el corredor jurídico nacional en materia de seguridad de la información, autenticación electrónica y transformación digital.

La Circular contribuye a estandarizar el sistema de evaluación independiente, fortalecer el control de riesgos, mejorar la autonomía tecnológica y crear confianza digital para los usuarios en el proceso de transacción, firma e intercambio de datos electrónicos.

La Circular entra en vigor a partir del 1 de enero de 2026, marcando un nuevo paso adelante en la gestión técnica y garantizando la seguridad y confiabilidad de la infraestructura nacional de firma electrónica, hacia el objetivo de construir un gobierno digital, una economía digital y una sociedad digital seguros, transparentes y desarrollados de manera sostenible.