Promulgación: 19-MAY-2023
Publicación: 17-AGO-2023
Versión: Única - 17-AGO-2023
Lo dispuesto en los artículos 32 Nº 6 y 35 del decreto supremo Nº 100, de 2005, que fija el texto refundido, coordinado y sistematizado de la Constitución Política de la República; en la ley Nº 19.880, que Establece Bases de los Procedimientos Administrativos que rigen los Actos de los Órganos de la Administración del Estado; en la ley Nº 18.993, que crea el Ministerio Secretaría General de la Presidencia de la República, en la ley Nº 21.180, sobre Transformación Digital del Estado; en la ley Nº 19.628, sobre Protección de la Vida Privada; en la ley Nº 19.477, que aprueba Ley Orgánica del Servicio de Registro Civil e Identificación; en el decreto con fuerza de ley Nº 1, de 2020, del Ministerio Secretaría General de la Presidencia, establece normas de aplicación del artículo 1º de la ley Nº 21.180, de Transformación Digital del Estado, respecto de los procedimientos administrativos regulados en leyes especiales que se expresan a través de medios electrónicos y determina la gradualidad para la aplicación de la misma ley, a los órganos de la Administración del Estado que indica y las materias que les resulten aplicables; en el decreto supremo Nº 4, de 2020, del Ministerio Secretaría General de la Presidencia, que aprueba el reglamento que regula la forma en que los procedimientos administrativos deberán expresarse a través de medios electrónicos, en las materias que indica, según lo dispuesto en la ley Nº 21.180 sobre Transformación Digital del Estado; y en la resolución Nº 7, de 2019, de la Contraloría General de la República, que fija normas sobre exención del trámite de toma de razón.
Decreto:
Establézcase la siguiente Norma Técnica de Autenticación:
La presente norma tiene por objeto establecer la forma en que los órganos de la Administración del Estado deberán implementar y/o integrar el o los mecanismos oficiales de autenticación en sus plataformas electrónicas institucionales, con el propósito de validar, con un nivel de confianza determinado, los datos de identidad de quienes accedan a las plataformas que soportan procedimientos administrativos y sus procesos relacionados.
Para efectos de la aplicación de la presente norma se entiende por:
Párrafo 1º Sobre ClaveÚnica y Clave Tributaria
Los órganos de la Administración del Estado deberán utilizar mecanismos oficiales de autenticación para el acceso de los(as) interesados(as) a sus plataformas electrónicas, salvo que, de acuerdo a la normativa aplicable, resulten exceptuados(as) de tramitar electrónicamente según el artículo 18, inciso quinto de la ley Nº 19.880.
En los casos en que, de conformidad a la normativa aplicable, no sea posible utilizar un mecanismo oficial de autenticación, el órgano de la Administración del Estado podrá utilizar otros mecanismos de autenticación, debiendo contar, en forma previa, con la autorización expresa del Ministerio Secretaría General de la Presidencia, según se especificará en la guía técnica a que se refiere el artículo 19 de esta norma técnica.
Mecanismo oficial de autenticación administrado por el Ministerio Secretaría General de la Presidencia a través de su División de Gobierno Digital, de uso exclusivo para personas naturales, basado en el estándar OpenID Connect, cuyo Factor de Autenticación es una contraseña creada y administrada por la persona, vinculada a su rol único nacional (RUN).
El proceso de enrolamiento a ClaveÚnica y el servicio de atención a personas naturales a este respecto, depende del Servicio de Registro Civil e Identificación.
El Ministerio Secretaría General de la Presidencia, a través de su División de Gobierno Digital, administrará la plataforma electrónica que permite la habilitación de ClaveÚnica a los órganos de la Administración del Estado, la infraestructura de la plataforma, el monitoreo de su correcto funcionamiento y la validación de los datos de identificación.
Los términos y condiciones a que se refiere el artículo 9 siguiente serán determinados por la División de Gobierno Digital del Ministerio Secretaría General de la Presidencia, los que deberán ser aceptados por el (la) Jefe(a) Superior de Servicio respectivo(a) para la integración de su organismo a las plataformas electrónicas, según corresponda, en la forma que determinará la respectiva Guía Técnica de acuerdo a lo señalado en el artículo 19.
Mecanismo oficial de autenticación, de uso exclusivo para personas jurídicas o entidades o agrupaciones sin personalidad jurídica que actúen en su calidad de agrupación, cuyo Factor de Autenticación consiste en una contraseña entregada por el Servicio de Impuestos Internos a los(as) contribuyentes.
Salvo el Servicio de Impuestos Internos, respecto de sus propias plataformas electrónicas y sus propios trámites o procedimientos electrónicos, ningún órgano de la Administración del Estado podrá integrar y utilizar Clave Tributaria para autenticar personas naturales. Toda autenticación de personas naturales que se realice por medio de esta, ante órganos distintos del Servicio de Impuestos Internos, no tendrá validez alguna.
El Servicio de Impuestos Internos administrará la Clave Tributaria y determinará los términos y condiciones a que se refiere el artículo 9 siguiente, los que deberán ser aceptados por el (la) Jefe(a) Superior de Servicio respectivo(a) para la integración de su organismo a las plataformas electrónicas, según corresponda.
Los mecanismos oficiales de autenticación deberán estar basados en los estándares OpenID Connect y OAuth 2.0, o superiores.
Los datos de identificación del (de la) usuario(a) asociados a los factores de autenticación deberán almacenarse de manera cifrada, mediante algoritmos tales como Bcrypt, PBKDF2, SHA-3 y Argon2, o superiores.
La transmisión de datos durante el proceso de autenticación debe realizarse utilizando protocolos de comunicación cifrados, tales como TLSv1.2, o superiores.
Los registros asociados a la gestión y actividades relacionados al uso de un mecanismo oficial de autenticación deberán ser trazables y cumplir con lo dispuesto en el párrafo 4º del presente Título.
A fin de prevenir accesos no autorizados durante el proceso de autenticación, los órganos de la Administración del Estado encargados de la administración de los mecanismos oficiales de autenticación deberán implementar pruebas tales como Captcha u otros mecanismos, junto a limitar el número máximo de intentos fallidos de autenticación, estableciendo un bloqueo tras alcanzar dicho límite. En todo caso deberá considerarse un procedimiento de desbloqueo.
Los órganos de la Administración del Estado que administran un mecanismo oficial de autenticación deberán incorporar buenas prácticas en materia de experiencia de usuario y accesibilidad web en sus procesos de autenticación.
Los órganos de la Administración del Estado deberán cumplir las definiciones de marca y lineamientos gráficos provistos por el administrador del mecanismo oficial de autenticación.
El órgano que administre un mecanismo oficial de autenticación deberá establecer los términos y condiciones de éste en su página web.
Los órganos de la Administración del Estado deberán utilizar mecanismos oficiales de autenticación en sus plataformas electrónicas que requieran autenticación.
Para efectos de lo señalado en el inciso precedente, deberán cumplir con un procedimiento de integración de estos mecanismos a sus plataformas electrónicas, el que se describirá en la correspondiente guía técnica a que se refiere el artículo 19 siguiente, y que se compone de las siguientes etapas:
El administrador de cada mecanismo de autenticación oficial revocará de inmediato la habilitación a aquella entidad u órgano de la Administración del Estado que no cumpla los estándares o usos señalados en esta norma y aquellos que se señalarán en sus correspondientes guías técnicas.
Los órganos de la Administración del Estado deberán informar inmediatamente al Equipo de Respuesta ante Emergencias Informáticas (CSIRT) del Ministerio del Interior y Seguridad Pública y al órgano que administra el mecanismo oficial de autenticación respectivo, en caso de sospecha de riesgos o amenazas de seguridad, tanto en los mecanismos oficiales de autenticación como en las plataformas electrónicas que los utilizan, sin perjuicio de otras obligaciones de informar a que puedan estar sujetos de acuerdo a lo señalado en los términos y condiciones a que se refiere el artículo 9 de esta norma técnica.
Los órganos de la Administración del Estado deberán informar oportunamente al órgano que administre el mecanismo oficial de autenticación que corresponda, en caso de presentarse algún evento que implique aumentos de demanda no previstos que puedan afectar el buen funcionamiento de éste.
Los órganos de la Administración del Estado deberán implementar y mantener un registro de accesos para efectos de determinar la trazabilidad de las autenticaciones efectuadas por usuarios en sus plataformas electrónicas a través de los mecanismos oficiales de autenticación.
Para cada acceso autenticado en la respectiva plataforma electrónica, el órgano de la Administración del Estado deberá almacenar al menos los siguientes datos:
Los órganos de la Administración del Estado deberán respetar en todo momento las normas relativas a protección de datos personales de quienes se autentiquen en sus plataformas electrónicas de conformidad con lo dispuesto en la ley Nº 19.628 sobre Protección de la Vida Privada.
Para estos efectos, se deberán implementar mecanismos que garanticen la reserva y la protección de los datos personales, asegurando el derecho de los(as) usuarios(as) de acceder, rectificar, cancelar y oponerse al tratamiento de dichos datos cuando sea procedente y que sólo sean utilizados para las finalidades previstas en la ley.
Los órganos de la Administración del Estado podrán considerar la implementación de factores de autenticación complementarios o adicionales, especialmente en plataformas electrónicas que permitan el acceso a información personal de carácter sensible.
La necesidad de elevar los niveles de seguridad deberá ser evaluada por cada órgano de la Administración del Estado, de acuerdo con las características propias de los procedimientos administrativos que sustentan, velando por facilitar el acceso de los interesados a los mismos.
Los órganos de la Administración del Estado podrán solicitar en cualquier momento al Ministerio Secretaría General de la Presidencia, a través de su División de Gobierno Digital, la incorporación de un nuevo mecanismo oficial de autenticación, adicional a los reconocidos en la presente norma.
Dicha solicitud deberá ser analizada y resuelta por el referido Ministerio, previa consulta al Servicio de Registro Civil e Identificación.
Los mecanismos de autenticación que requieran tener la calidad de oficiales deberán cumplir, a lo menos, con los procesos y estándares señalados en esta norma técnica, además de aquellos que se establezcan en la guía técnica a que alude el artículo 19.
Para efectos de tener la calidad de oficiales, los mecanismos de autenticación deberán contar con un proceso de enrolamiento, gestión de datos de identificación y soporte a usuarios(as), en los siguientes términos:
Para efectos de facilitar la implementación de la presente norma técnica, la División de Gobierno Digital del Ministerio Secretaría General de la Presidencia dictará una o más guías técnicas que establezcan sus aspectos operativos y procesos.
La aplicación de esta norma será acorde a la gradualidad establecida en el decreto con fuerza de ley Nº 1, de 2020, del Ministerio Secretaría General de la Presidencia. A fin de facilitar su implementación, la División de Gobierno Digital definirá los lineamientos y formato en que los órganos obligados deberán llevarla a cabo.
La presente norma técnica deberá ser revisada y actualizada, al menos, cada dos años. El plazo antes indicado se contará desde la entrada en vigencia de esta norma técnica.
Las actualizaciones de esta norma técnica deberán tomar en consideración los aprendizajes y las dificultades de aplicación reportados por los órganos de la Administración del Estado, así como impulsar las buenas prácticas y minimizar los efectos de las prácticas incorrectas que pudieron haberse presentado.".