ESTABLECE NORMA TÉCNICA DE AUTENTICACIÓN
Núm. 9.- Santiago, 19 de mayo de 2023.
Vistos:
Lo dispuesto en los artículos 32 Nº 6 y 35 del decreto supremo Nº 100, de 2005, que fija el texto refundido, coordinado y sistematizado de la Constitución Política de la República; en la ley Nº 19.880, que Establece Bases de los Procedimientos Administrativos que rigen los Actos de los Órganos de la Administración del Estado; en la ley Nº 18.993, que crea el Ministerio Secretaría General de la Presidencia de la República, en la ley Nº 21.180, sobre Transformación Digital del Estado; en la ley Nº 19.628, sobre Protección de la Vida Privada; en la ley Nº 19.477, que aprueba Ley Orgánica del Servicio de Registro Civil e Identificación; en el decreto con fuerza de ley Nº 1, de 2020, del Ministerio Secretaría General de la Presidencia, establece normas de aplicación del artículo 1º de la ley Nº 21.180, de Transformación Digital del Estado, respecto de los procedimientos administrativos regulados en leyes especiales que se expresan a través de medios electrónicos y determina la gradualidad para la aplicación de la misma ley, a los órganos de la Administración del Estado que indica y las materias que les resulten aplicables; en el decreto supremo Nº 4, de 2020, del Ministerio Secretaría General de la Presidencia, que aprueba el reglamento que regula la forma en que los procedimientos administrativos deberán expresarse a través de medios electrónicos, en las materias que indica, según lo dispuesto en la ley Nº 21.180 sobre Transformación Digital del Estado; y en la resolución Nº 7, de 2019, de la Contraloría General de la República, que fija normas sobre exención del trámite de toma de razón.
Considerando:
1) Que, el artículo 1º de la ley Nº 21.180, sobre Transformación Digital del Estado, modificó la ley Nº 19.880 para incorporar la digitalización y transformación del ciclo de los procedimientos administrativos.
2) Que, la misma ley encomendó a un reglamento la regulación de una serie de temas específicos, el que se materializó mediante el decreto supremo Nº 4, de 2020, del Ministerio Secretaría General de la Presidencia, que regula la forma en que los procedimientos administrativos deberán expresarse a través de medios electrónicos, en las materias que indica, según lo dispuesto en la ley Nº 21.180 sobre Transformación Digital del Estado; en adelante también "el Reglamento".
3) Que, asimismo, la ley Nº 21.180 facultó al Presidente de la República para establecer, mediante uno o más decretos con fuerza de ley, la gradualidad en la implementación de la ley para los distintos órganos de la Administración del Estado. Este mandato legal se materializó a través del decreto con fuerza de ley Nº 1, de 2020, del Ministerio Secretaría General de la Presidencia.
4) Que, el Reglamento dispuso la dictación de seis normas técnicas sobre interoperabilidad, seguridad de la información y ciberseguridad, documentos y expedientes electrónicos, notificaciones, calidad y funcionamiento, y de autenticación. Estas normas deberán ser dictadas mediante decretos supremos emitidos por el Ministerio Secretaría General de la Presidencia y suscritos también por la o el Ministro(a) del Interior y Seguridad Pública, de Hacienda, de Justicia y Derechos Humanos o de las Culturas, las Artes y el Patrimonio, según corresponda.
5) Que, en tanto, conforme el mandato del artículo 37 bis de la ley Nº 19.880 y el artículo 58 del Reglamento, mediante los ordinarios Nº 1.454, de 8 de octubre de 2019, Nº 1.742, de 24 de noviembre de 2019, y Nº 128, de 28 de enero de 2021, todos del Ministerio Secretaría General de la Presidencia y el ordinario Nº 1.453, de 8 de octubre de 2020, de la División de Gobierno Digital del Ministerio Secretaría General de la Presidencia, se citó a 26 órganos de la Administración del Estado y a la Corporación Administrativa del Poder Judicial para participar en seis mesas de trabajo interinstitucionales, cuya finalidad fue generar documentos con recomendaciones técnicas sobre el contenido de cada norma técnica.
6) Que, particularmente, la Mesa Técnica de Autenticación contó con la participación del Servicio de Registro Civil e Identificación, el Servicio de Impuestos Internos, la Entidad Acreditadora del Ministerio de Economía, Fomento y Turismo, la Secretaría de Modernización del Estado del Ministerio de Hacienda, el Ministerio de Educación, el Fondo Nacional de Salud y el Consejo para la Transparencia, quienes trabajaron de acuerdo a estándares internacionales emitidos por organismos reconocidos en esta materia, así como en base a diversas normas técnicas de uso frecuente en nuestro país.
7) Que, entre los días 23 de septiembre y 19 de diciembre de 2021, el Ministerio Secretaría General de la Presidencia realizó un proceso público y participativo de consulta ciudadana, que convocó a personas y agrupaciones de la sociedad civil, para que pudieran opinar y aportar respecto del modelo de la norma técnica de autenticación. Dichas opiniones, así como las recogidas en la mesa técnica citada en el considerando 6º precedente se valoraron y se tuvieron en consideración para la elaboración final de la norma técnica que se aprueba por este decreto.
8) Que, en atención a que los órganos de la Administración del Estado deberán integrarse con el mecanismo de autenticación correspondiente para que sus sistemas informáticos puedan validar la identidad de las personas interesadas, que actúen en cualquier fase del procedimiento o que ingresen a la o las plataformas electrónicas de los órganos de la Administración del Estado, fue necesario trabajar en la especificación de dichos mecanismos de autenticación, además de los factores de autenticación que debían establecerse para resguardar el proceso de verificación de la identidad.
9) Que, con fecha 4 de febrero de 2022, se dictó el decreto supremo Nº 3, del Ministerio Secretaría General de la Presidencia, que establece norma técnica de autenticación, el que fue ingresado a Contraloría General de la República para su trámite de toma de razón, con fecha 10 de marzo de 2022.
10) Que, con fecha 8 de abril de 2022, el Ministerio Secretaría General de la Presidencia hizo retiro del decreto supremo en comento, por considerar necesario revisar los contenidos de dicho acto en detalle y subsanar ciertas incongruencias, teniendo en especial consideración el específico carácter técnico del mismo, para lo cual inició un proceso de revisión del mismo con los órganos competentes.
11) Que, en virtud de lo antes expuesto y de las facultades que la ley me otorga,
Decreto:
Establézcase la siguiente Norma Técnica de Autenticación:
"TÍTULO PRIMERO
Disposiciones generales
Artículo 1.- Objeto. La presente norma tiene por objeto establecer la forma en que los órganos de la Administración del Estado deberán implementar y/o integrar el o los mecanismos oficiales de autenticación en sus plataformas electrónicas institucionales, con el propósito de validar, con un nivel de confianza determinado, los datos de identidad de quienes accedan a las plataformas que soportan procedimientos administrativos y sus procesos relacionados.
Artículo 2.- Definiciones. Para efectos de la aplicación de la presente norma se entiende por:
1) Autenticación: Proceso electrónico que valida los datos de identificación de un(a) usuario(a) para permitirle el acceso a una plataforma electrónica.
2) Factor de Autenticación: Dato o conjunto de datos de identificación de carácter reservado o inherentes a un(a) usuario(a), que permiten establecer su identidad con distintos grados de confianza, al interactuar con una plataforma electrónica.
3) Mecanismo de Autenticación: Método o conjunto de procesos electrónicos que sustentan la autenticación con un nivel de confianza determinado.
4) Mecanismo Oficial de Autenticación: Mecanismo de autenticación que cumple con las disposiciones de la presente norma y que cuenta con la validación del Ministerio Secretaría General de la Presidencia.
5) Plataforma Electrónica: Software o conjunto de software, datos e infraestructura tecnológica que sustenta procesos o procedimientos.
6) Reglamento: Decreto supremo Nº 4, de 2020, del Ministerio Secretaría General de la Presidencia, reglamento que regula la forma en que los procedimientos administrativos deberán expresarse a través de medios electrónicos, en las materias que indica, según lo dispuesto en la ley Nº 21.180 sobre Transformación Digital del Estado.
7) Usuarios(as): Personas naturales o sus apoderados(as), y los(as) representantes de las personas jurídicas o entidades y agrupaciones sin personalidad jurídica, que actúan como interesados(as) en un procedimiento administrativo, así como los(as) funcionarios(as) que acceden a las plataformas electrónicas que soportan procedimientos administrativos o procesos relacionados con estos.
TÍTULO SEGUNDO
De los mecanismos oficiales de autenticación
Párrafo 1º
Sobre ClaveÚnica y Clave Tributaria
Artículo 3.- Mecanismos oficiales de autenticación. Los órganos de la Administración del Estado deberán utilizar mecanismos oficiales de autenticación para el acceso de los(as) interesados(as) a sus plataformas electrónicas, salvo que, de acuerdo a la normativa aplicable, resulten exceptuados(as) de tramitar electrónicamente según el artículo 18, inciso quinto de la ley Nº 19.880.
En los casos en que, de conformidad a la normativa aplicable, no sea posible utilizar un mecanismo oficial de autenticación, el órgano de la Administración del Estado podrá utilizar otros mecanismos de autenticación, debiendo contar, en forma previa, con la autorización expresa del Ministerio Secretaría General de la Presidencia, según se especificará en la guía técnica a que se refiere el artículo 19 de esta norma técnica.
Artículo 4.- ClaveÚnica. Mecanismo oficial de autenticación administrado por el Ministerio Secretaría General de la Presidencia a través de su División de Gobierno Digital, de uso exclusivo para personas naturales, basado en el estándar OpenID Connect, cuyo Factor de Autenticación es una contraseña creada y administrada por la persona, vinculada a su rol único nacional (RUN).
El proceso de enrolamiento a ClaveÚnica y el servicio de atención a personas naturales a este respecto, depende del Servicio de Registro Civil e Identificación.
El Ministerio Secretaría General de la Presidencia, a través de su División de Gobierno Digital, administrará la plataforma electrónica que permite la habilitación de ClaveÚnica a los órganos de la Administración del Estado, la infraestructura de la plataforma, el monitoreo de su correcto funcionamiento y la validación de los datos de identificación.
Los términos y condiciones a que se refiere el artículo 9 siguiente serán determinados por la División de Gobierno Digital del Ministerio Secretaría General de la Presidencia, los que deberán ser aceptados por el (la) Jefe(a) Superior de Servicio respectivo(a) para la integración de su organismo a las plataformas electrónicas, según corresponda, en la forma que determinará la respectiva Guía Técnica de acuerdo a lo señalado en el artículo 19.
Artículo 5.- Clave Tributaria. Mecanismo oficial de autenticación, de uso exclusivo para personas jurídicas o entidades o agrupaciones sin personalidad jurídica que actúen en su calidad de agrupación, cuyo Factor de Autenticación consiste en una contraseña entregada por el Servicio de Impuestos Internos a los(as) contribuyentes.
Salvo el Servicio de Impuestos Internos, respecto de sus propias plataformas electrónicas y sus propios trámites o procedimientos electrónicos, ningún órgano de la Administración del Estado podrá integrar y utilizar Clave Tributaria para autenticar personas naturales. Toda autenticación de personas naturales que se realice por medio de esta, ante órganos distintos del Servicio de Impuestos Internos, no tendrá validez alguna.
El Servicio de Impuestos Internos administrará la Clave Tributaria y determinará los términos y condiciones a que se refiere el artículo 9 siguiente, los que deberán ser aceptados por el (la) Jefe(a) Superior de Servicio respectivo(a) para la integración de su organismo a las plataformas electrónicas, según corresponda.
Párrafo 2º
Requisitos técnicos de los mecanismos oficiales de autenticación
Artículo 6.- Estándares de los mecanismos oficiales de autenticación. Los mecanismos oficiales de autenticación deberán estar basados en los estándares OpenID Connect y OAuth 2.0, o superiores.
Los datos de identificación del (de la) usuario(a) asociados a los factores de autenticación deberán almacenarse de manera cifrada, mediante algoritmos tales como Bcrypt, PBKDF2, SHA-3 y Argon2, o superiores.
La transmisión de datos durante el proceso de autenticación debe realizarse utilizando protocolos de comunicación cifrados, tales como TLSv1.2, o superiores.
Los registros asociados a la gestión y actividades relacionados al uso de un mecanismo oficial de autenticación deberán ser trazables y cumplir con lo dispuesto en el párrafo 4º del presente Título.
Artículo 7.- Medidas de prevención. A fin de prevenir accesos no autorizados durante el proceso de autenticación, los órganos de la Administración del Estado encargados de la administración de los mecanismos oficiales de autenticación deberán implementar pruebas tales como Captcha u otros mecanismos, junto a limitar el número máximo de intentos fallidos de autenticación, estableciendo un bloqueo tras alcanzar dicho límite. En todo caso deberá considerarse un procedimiento de desbloqueo.
Artículo 8.- Lineamientos gráficos y usabilidad del proceso de autenticación. Los órganos de la Administración del Estado que administran un mecanismo oficial de autenticación deberán incorporar buenas prácticas en materia de experiencia de usuario y accesibilidad web en sus procesos de autenticación.
Los órganos de la Administración del Estado deberán cumplir las definiciones de marca y lineamientos gráficos provistos por el administrador del mecanismo oficial de autenticación.
Artículo 9.- Términos y condiciones de los mecanismos oficiales de autenticación. El órgano que administre un mecanismo oficial de autenticación deberá establecer los términos y condiciones de éste en su página web.
Párrafo 3º
Proceso de integración a los mecanismos oficiales de autenticación
Artículo 10.- Integración a los mecanismos oficiales de autenticación. Los órganos de la Administración del Estado deberán utilizar mecanismos oficiales de autenticación en sus plataformas electrónicas que requieran autenticación.
Para efectos de lo señalado en el inciso precedente, deberán cumplir con un procedimiento de integración de estos mecanismos a sus plataformas electrónicas, el que se describirá en la correspondiente guía técnica a que se refiere el artículo 19 siguiente, y que se compone de las siguientes etapas:
1) Solicitud de integración por el órgano de la Administración del Estado al administrador del mecanismo oficial de autenticación.
2) Entrega de credenciales e integración del mecanismo oficial de autenticación en la respectiva plataforma electrónica.
3) Certificación de la integración y habilitación del mecanismo oficial de autenticación.
Artículo 11.- Revocación de la habilitación. El administrador de cada mecanismo de autenticación oficial revocará de inmediato la habilitación a aquella entidad u órgano de la Administración del Estado que no cumpla los estándares o usos señalados en esta norma y aquellos que se señalarán en sus correspondientes guías técnicas.
Párrafo 4º
Del uso de los mecanismos oficiales de autenticación por los órganos de la Administración del Estado
Artículo 12.- Deber de información. Los órganos de la Administración del Estado deberán informar inmediatamente al Equipo de Respuesta ante Emergencias Informáticas (CSIRT) del Ministerio del Interior y Seguridad Pública y al órgano que administra el mecanismo oficial de autenticación respectivo, en caso de sospecha de riesgos o amenazas de seguridad, tanto en los mecanismos oficiales de autenticación como en las plataformas electrónicas que los utilizan, sin perjuicio de otras obligaciones de informar a que puedan estar sujetos de acuerdo a lo señalado en los términos y condiciones a que se refiere el artículo 9 de esta norma técnica.
Los órganos de la Administración del Estado deberán informar oportunamente al órgano que administre el mecanismo oficial de autenticación que corresponda, en caso de presentarse algún evento que implique aumentos de demanda no previstos que puedan afectar el buen funcionamiento de éste.
Artículo 13.- Registro de trazabilidad de accesos. Los órganos de la Administración del Estado deberán implementar y mantener un registro de accesos para efectos de determinar la trazabilidad de las autenticaciones efectuadas por usuarios en sus plataformas electrónicas a través de los mecanismos oficiales de autenticación.
Para cada acceso autenticado en la respectiva plataforma electrónica, el órgano de la Administración del Estado deberá almacenar al menos los siguientes datos:
1) Identificador del (de la) Usuario(a) que accede a través del mecanismo oficial de autenticación.
La forma de identificar al (a la) representante de una persona jurídica, o entidad o agrupación sin personalidad jurídica, que autentique a su representada por medio de Clave Tributaria será establecida por el Servicio de Impuestos Internos en la correspondiente guía de integración a esta Clave.
2) Fecha y hora del acceso, utilizando el sistema de tiempo universal coordinado (UTC+00:00). Para ello los órganos de la Administración del Estado deberán mantener la fecha y hora en permanente sincronización con las del Servicio Hidrográfico y Oceanográfico de la Armada de Chile.
Artículo 14.- Protección de datos personales. Los órganos de la Administración del Estado deberán respetar en todo momento las normas relativas a protección de datos personales de quienes se autentiquen en sus plataformas electrónicas de conformidad con lo dispuesto en la ley Nº 19.628 sobre Protección de la Vida Privada.
Para estos efectos, se deberán implementar mecanismos que garanticen la reserva y la protección de los datos personales, asegurando el derecho de los(as) usuarios(as) de acceder, rectificar, cancelar y oponerse al tratamiento de dichos datos cuando sea procedente y que sólo sean utilizados para las finalidades previstas en la ley.
Artículo 15.- Incorporación de factores de autenticación adicionales. Los órganos de la Administración del Estado podrán considerar la implementación de factores de autenticación complementarios o adicionales, especialmente en plataformas electrónicas que permitan el acceso a información personal de carácter sensible.
La necesidad de elevar los niveles de seguridad deberá ser evaluada por cada órgano de la Administración del Estado, de acuerdo con las características propias de los procedimientos administrativos que sustentan, velando por facilitar el acceso de los interesados a los mismos.
TÍTULO TERCERO
Validación de un nuevo mecanismo oficial de autenticación
Artículo 16.- Solicitud para incorporar un nuevo mecanismo oficial de autenticación. Los órganos de la Administración del Estado podrán solicitar en cualquier momento al Ministerio Secretaría General de la Presidencia, a través de su División de Gobierno Digital, la incorporación de un nuevo mecanismo oficial de autenticación, adicional a los reconocidos en la presente norma.
Dicha solicitud deberá ser analizada y resuelta por el referido Ministerio, previa consulta al Servicio de Registro Civil e Identificación.
Artículo 17.- Requisitos técnicos. Los mecanismos de autenticación que requieran tener la calidad de oficiales deberán cumplir, a lo menos, con los procesos y estándares señalados en esta norma técnica, además de aquellos que se establezcan en la guía técnica a que alude el artículo 19.
Artículo 18.- Procesos de gestión de usuarios(as). Para efectos de tener la calidad de oficiales, los mecanismos de autenticación deberán contar con un proceso de enrolamiento, gestión de datos de identificación y soporte a usuarios(as), en los siguientes términos:
1) Enrolamiento de Usuarios(as). El órgano solicitante deberá contar con un proceso de enrolamiento seguro, que permita minimizar el riesgo de suplantación de identidad, estableciendo el tipo y cantidad de datos de identificación que den garantías y un nivel de confianza determinado, proporcional a las necesidades específicas del procedimiento administrativo en que será utilizado.
El proceso de enrolamiento deberá contar con un protocolo de atención específico de los(as) usuarios(as) y considerar, al menos, políticas de privacidad disponibles.
Asimismo, los órganos de la Administración del Estado deberán desarrollar e implementar acciones de educación y promoción a los(as) usuarios(as) en el uso del mecanismo y factores de autenticación, así como recomendaciones de seguridad que reduzcan los riesgos de suplantación y mal uso.
2) Gestión de datos de identificación de usuarios(as). El órgano solicitante deberá contar con procesos para gestionar los datos de identificación de usuarios(as), que le permitan la creación, modificación y revocación de las credenciales o dispositivos asociados que hubieren sido utilizados para el proceso de autenticación.
3) Soporte a Usuarios(as). El órgano solicitante deberá ofrecer un servicio de soporte a sus usuarios(as) para poder responder a las consultas generales y específicas relativas al nuevo mecanismo oficial de autenticación o informar de problemas en su uso.
TÍTULO CUARTO
Disposiciones finales
Artículo 19.- Guía técnica. Para efectos de facilitar la implementación de la presente norma técnica, la División de Gobierno Digital del Ministerio Secretaría General de la Presidencia dictará una o más guías técnicas que establezcan sus aspectos operativos y procesos.
Artículo 20.- Gradualidad. La aplicación de esta norma será acorde a la gradualidad establecida en el decreto con fuerza de ley Nº 1, de 2020, del Ministerio Secretaría General de la Presidencia. A fin de facilitar su implementación, la División de Gobierno Digital definirá los lineamientos y formato en que los órganos obligados deberán llevarla a cabo.
Artículo 21.- Revisión y actualización de la norma. La presente norma técnica deberá ser revisada y actualizada, al menos, cada dos años. El plazo antes indicado se contará desde la entrada en vigencia de esta norma técnica.
Las actualizaciones de esta norma técnica deberán tomar en consideración los aprendizajes y las dificultades de aplicación reportados por los órganos de la Administración del Estado, así como impulsar las buenas prácticas y minimizar los efectos de las prácticas incorrectas que pudieron haberse presentado.".
Anótese, tómese razón y publíquese.- GABRIEL BORIC FONT, Presidente de la República.- Álvaro Elizalde Soto, Ministro Secretario General de la Presidencia.- Mario Marcel Cullell, Ministro de Hacienda.- Luis Cordero Vega, Ministro de Justicia y Derechos Humanos.
Lo que transcribo a Ud. para su conocimiento.- Saluda atentamente a Ud., Macarena Lobos Palacios, Subsecretaria General de la Presidencia.