Decreto 106

GOC-2024-528-O89 MANUEL MARRERO CRUZ, Primer Ministro.

HAGO SABER: Que el Consejo de Ministros ha considerado lo siguiente:

POR CUANTO: El Decreto-Ley 79 “Sobre el desarrollo, la aplicación y uso de losdispositivos de protección criptográfica y servicios en la esfera de la criptografía en la República de Cuba”, de 26 de octubre de 2023, en su Disposición Final Primera establece que el Consejo de Ministros, a propuesta del Ministerio del Interior, dicta el Decreto que lo reglamenta.

POR CUANTO: Resulta necesaria la instrumentación y aplicación de acciones en fun-ción del desarrollo, aplicación y uso de los dispositivos de protección criptográfica y los servicios en la esfera de la criptografía en la República de Cuba, que obstaculicen e impidan el acceso a los datos, informaciones, infraestructuras y procesos críticos por personas no autorizadas, atemperadas con la actual y perspectiva evolución política, so-cioeconómica y tecnológica del país; modernizándolos, simplificándolos y poniéndolos a tono con la práctica internacionalmente reconocida en esta materia, así como establecer las contravenciones en la materia; la cuantía de las multas y demás sanciones a imponer por su comisión, las autoridades facultadas para imponerlas y resolver los recursos que contra estas se interpongan por los afectados, en correspondencia con la legislación vigente.

POR TANTO: El Consejo de Ministros, en el ejercicio de las atribuciones que le estánconferidas en el

Artículo 137, incisos ñ) y o), de la Constitución de la República de Cuba,dicta el siguiente:DECRETO 106 REGLAMENTO DEL DECRETO-LEY 79 “SOBRE EL DESARROLLO, LA APLICACIÓN Y USO DE LOS DISPOSITIVOS DE PROTECCIÓN CRIPTOGRÁFICA Y SERVICIOS EN LA ESFERA DE LA CRIPTOGRAFÍA EN LA REPÚBLICA DE CUBA”, DE 26 DE OCTUBRE DE 2023

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1. Este Reglamento tiene por objeto poner en vigor los procedimientos y es-pecificaciones generales para la aplicación de lo dispuesto en el Decreto-Ley 79 “Sobre el desarrollo, la aplicación y uso de los dispositivos de protección criptográfica y servicios en la esfera de la criptografía en la República de Cuba”, de 26 de octubre de 2023, en lo adelante Decreto-Ley, en lo referente a:

. Implementar la protección criptográfica que demandan los diferentes sistemas de información, bases de datos, controles automáticos, las Telecomunicaciones, Tec-nologías de la Información y la Comunicación, en lo adelante Telecomunicaciones/ TIC, y los servicios postales del país.2. La calidad técnica y de seguridad criptológica y operacional del diseño, producción, suministro, instalación, mantenimiento, explotación y renovación periódica de loscriptodispositivos, servicios de protección criptográficos y de otros productos queproporciona el Sistema de Aseguramiento Integral.3. El funcionamiento de los servicios criptográficos, y del Sistema de Aseguramiento Integral que establece la legislación al respecto. 4. Establecer las contravenciones en materia del desarrollo, aplicación y uso de losdispositivos de protección criptográfica y los servicios en la esfera de la criptogra-fía; la cuantía de las multas y demás sanciones a imponer por su comisión, así como las autoridades facultadas para imponerlas y resolver los recursos que contra estas se interpongan por los afectados.

Artículo 2. Están sujetos al cumplimiento de lo establecido en el presente Reglamento: 1. Las personas naturales y jurídicas en el territorio nacional y en las representacionesde Cuba en el exterior.2. Los prestadores de servicios criptográficos en Cuba que radican en el exterior. 3. Las personas naturales y jurídicas extranjeras, en el marco de las relaciones internacionales con Cuba, que se establezcan por medio de convenios o contratos.

Artículo 3. La Dirección de Criptografía del Ministerio del Interior, en lo adelante Direc-ción de Criptografía, es el órgano especializado que se encarga, junto con las dependencias territoriales de esta especialidad en las jefaturas provinciales y del municipio especial Islade la Juventud de ese organismo, de: 1. La conducción de los procesos y la ejecución de las actividades que aseguran ladisponibilidad, el orden y la seguridad de la protección criptográfica y los servicios que al respecto demanda el país.2. El cumplimiento de lo que se establece en el presente Reglamento y de la interrela-ción de esta rama con la Infraestructura Nacional de Calidad, según la legislaciónvigente.

Artículo 4. Se entiende por adversario, a todo ente organizativo o persona natural, nacional o extranjero que, con recursos técnicos, métodos de ataques y ubicación territorial,intente socavar, vulnerar, burlar y debilitar la protección criptográfica que se establece para la salvaguarda de documentos, datos, y los sistemas críticos con el propósito de ac-ceder sin autorización legal a ellos y causar daños cualquiera sea su finalidad y magnitud.

Artículo 5. La seguridad criptológica y operacional se cataloga como el estado de con-fianza que depositan las personas naturales y jurídicas en la protección criptográfica que utilizan, a partir del conjunto de medidas científicas, técnicas, organizativas, procedi-mentales, de control integral y custodia física que se adoptan en el ciclo de vida de los criptodispositivos, y los servicios de protección criptográfica, en virtud de prevenir ycontrarrestar las amenazas y riesgos de probables ataques de adversarios, a partir de las acciones siguientes:1. Estudio de debilidades y vulnerabilidades en el orden matemático criptográfico, en lo adelante, criptoanálisis de los criptodispositivos, módulos criptográficos y sobrelas operaciones de control, custodia y empleo del servicio de protección.2. Obtención o deducción de datos no públicos sobre la arquitectura, tecnologías e ingeniería de los criptodispositivos, módulos criptográficos y procesos sensibles dela prestación de los servicios.

. Estudio de la capacidad de los posibles adversarios para la obtención de datos criptográ-ficos sensibles que puedan fugarse de los criptodispositivos y módulos criptográficos durante su funcionamiento, a través de canales técnicos colaterales de índole acústi-ca, mecánica, eléctrica, electromagnética, óptica, informática, térmica y electrónica.

Artículo 6. La protección criptográfica se aplica para cumplir los requisitos de seguri-dad que establecen las autoridades competentes y las normas del país, en materia de gestión informativa, manejo de datos y de la correspondencia, en cualquier formato, ámbito y tipo de tecnología, con el objetivo de garantizar:1. La confidencialidad e integridad de las informaciones y datos que procesan, alma-cenan y transmiten hacia los destinos legítimos las personas naturales, y de aquellos que producen los medios técnicos para su archivado y conservación; telemetría, control automático, canales y pasarelas de pago, así como para establecer las rutasde las telecomunicaciones entre pares y multipuntos. 2. La autenticación de autores de ficheros electrónicos, y el control de acceso y au-torización a personas, programas informáticos u objetos de automatización para la ejecución de operaciones técnicas en los sistemas de información e infraestructuras, plataformas, servicios y aplicaciones de Telecomunicaciones/TIC, procesos auto-máticos y de telemetría.3. La facilitación de la identidad electrónica de las personas naturales, jurídicas y de objetos en el ciberespacio y la transformación digital de la sociedad.4. El no repudio por las partes participantes en las transacciones hechas a través de las Telecomunicaciones/TIC.

Artículo 7. Las especificaciones técnicas y de seguridad criptológica y operacional de la protección criptográfica de la información, se establecen teniendo en cuenta el plazo que se exige para su implementación y los entornos de la gestión informativa a salvaguardar siguientes: 1. Procesamiento criptográfico de la información con criptodispositivos aislados y sinconexión a redes de telecomunicaciones. 2. Procesamiento criptográfico de la información con criptodispositivos ubicados enredes de Telecomunicaciones/TIC sin conexión a sistemas públicos nacionales e internacionales. 3. Procesamiento criptográfico de la información con criptodispositivos ubicados enredes de Telecomunicaciones/TIC con conexión a sistemas públicos nacionales e internacionales.

CAPÍTULO IIDE LOS CRIPTODISPOSITIVOS, LOS SERVICIOS CRIPTOGRÁFICOS Y OTROS PRODUCTOS QUE PROPORCIONA EL SISTEMA DE ASEGURAMIENTO INTEGRAL

SECCIÓN PRIMERADe la composición y la calidad

Artículo 8. Los criptodispositivos se conforman como un componente integrado o enmódulos independientes interconectados, que ejecutan:1. Las operaciones matemáticas que se implementan a través de artículos manuscritos, mecánicos, electrónicos o informáticos, en lo adelante algoritmos criptográficos, para el cifre y descifre de datos; la generación, conservación y destrucción de crip-tomateriales; y el intercambio protegido de llaves criptográficas empleadas en el

establecimiento de comunicaciones cifradas de acuerdo con los protocolos que se fijan al respecto. 2. Las técnicas de blindaje y neutralización que se adicionan para defender al citadocriptodispositivo de ataques adversarios por canales técnicos colaterales no cripto-gráficos.

Artículo 9. El ciclo de vida de los criptodispositivos, la protección criptográfica que seimplanta y de otros productos que proporciona el Sistema de Aseguramiento Integral quedemanda el país, se integra por las fases siguientes:1. La elaboración de los proyectos que definen los objetivos, arquitectura, especifica-ciones organizativas, científicas, didácticas y técnicas de los criptodispositivos, los servicios criptográficos y demás productos que proporciona el Sistema de Asegura-miento Integral para satisfacer la demanda general o particular que se identifica en materia de criptografía.2. El proceso de adquisición de los algoritmos criptográficos y las tecnologías y técnicas para su implementación práctica. 3. El diseño de los criptodispositivos y otros productos de la esfera de la criptografía, su fabricación a partir de las capacidades del Sistema de Aseguramiento Integral; o la asimilación total, parcial o bajo innovación de códigos libres o abiertos; la transfe-rencia de tecnologías y técnicas según acuerdos entre personas jurídicas con acre-ditación, la importación en diferentes variantes comerciales de productos de estos tipos, o las soluciones híbridas.4. La ejecución de pruebas de campo y ensayos para verificar la calidad de los crip-todispositivos y de otros productos de la esfera de la criptografía, así como de lacapacitación de los potenciales usuarios y del personal para la asistencia técnica pos suministro. 5. La ejecución de la cadena de suministro de los citados medios desde la fábrica o lugar de importación, hasta los destinos finales de empleo.6. La instalación masiva y puesta en marcha de los criptodispositivos y otros produc-tos de la esfera de la criptografía, en los destinos finales de empleo para la confor-mación de la protección criptográfica, los laboratorios de evaluación de la calidad,centros docentes y de entrenamientos, y demás aplicaciones que correspondan. 7. El empleo de los bienes que se señalan en el inciso anterior. 8. La administración y el mantenimiento técnico de la protección criptográfica quese implanta, los medios de evaluación de la calidad, los que se utilizan en centrosdocentes y demás aplicaciones específicas.9. La actualización, renovación o desactivación de los criptodispositivos, proteccióncriptográfica en explotación y de otros productos de la esfera de la criptografía, de acuerdo a los cambios científicos, tecnológicos, procedimentales y de operaciones que se producen frente a nuevos requisitos de funcionabilidad o riesgos de seguridad que potencial o realmente se descubren y puedan introducirse.

Artículo 10.1. Antes de aprobarse el suministro y uso de cualquier criptodispositivo en las actividades que ofrecen servicios legales a personas naturales y jurídicas del país o externas, este se somete a examen evaluativo de los laboratorios de la infraestructura na-cional de calidad especializada en materia de criptografía, en lo adelante Infraestructura de Calidad Criptográfica. 2. Dicho examen evaluativo se realiza, además, en cada fase de su ciclo de vida, de acuerdo con los protocolos que establece la Dirección de Criptografía.

Artículo 11. En virtud de certificar la garantía de seguridad criptológica y operacional que ofrecen los criptodispositivos y módulos criptográficos, frente a las capacidades deataques que se conocen, se establecen para los criptodispositivos los niveles de seguridad siguientes:1. Nivel de Seguridad número 1: El criptodispositivo ejecuta las funciones de pro-tección que se documentan por el suministrador y su diseño es efectivo para con-trarrestar el éxito de ataques a los textos cifrados y a los módulos que lo componen,por adversarios que disponen de poco tiempo de acción, y emplean herramientas disponibles pública y libremente, que requieren de bajos conocimientos técnicos en su aplicación.2. Nivel de Seguridad número 2: El criptodispositivo ejecuta las funciones de protección que se documenta por el suministrador y su diseño es efectivo para contrarrestar el éxito de ataques de duración media sobre los textos cifrados y a los módulos que locomponen, por adversarios que disponen de un tiempo mediano de acción, y que emplean, además de las herramientas que se indican en el Nivel de Seguridad número 1, de otras comerciales, que requieren de conocimientos técnicos medios en su aplicación.3. Nivel de Seguridad número 3: El criptodispositivo ejecuta las funciones de protección que se documenta por el suministrador y su diseño es efectivo para contrarrestar el éxito de ataques de duración considerable sobre los textos cifrados, los procesos de ci-fre y descifre, y los módulos que lo componen, por adversarios que disponen deun tiempo apreciable de acción, y que emplean, además de las herramientas que se indican en el Nivel de Seguridad número 2, otras comerciales o de laboratorios espe-cializados, que requieren de elevados conocimientos técnicos y de ingeniería en suaplicación.4. Nivel de Seguridad número 4: El criptodispositivo ejecuta las funciones de protec-ción que se documenta por el suministrador y su diseño es efectivo para contrarres-tar el éxito de ataques sofisticados de larga duración sobre los textos cifrados, los procesos de cifre y descifre, y a los módulos que lo componen, por organizaciones adversarias calificadas y dedicadas a estas actividades que disponen de tiempopermanente, y emplean, además de las herramientas que se indican en el Nivel de Seguridad número 3, otras muy especializadas, que requieren altos conocimientostécnicos y de ingeniería en su aplicación.

Artículo 12.1. El dictamen que se emite para la aprobación de la puesta en marcha de un servicio de protección criptográfica, se basa en:a) El nivel de seguridad que ofrecen las certificaciones de los criptodispositivos aemplear; b) la calidad del personal que se acredita para operar y ejecutar su asistencia técnica en la explotación; y c) el conjunto de medidas adicionales tecnológicas, procedimentales para el manejo,control, medición del funcionamiento y guarda y custodia de los citados medios,que se implantan en los locales y entornos de operaciones de los mismos, de acuerdo con la categorización de la seguridad del objetivo a proteger.2. A los efectos de la emisión del dictamen para la aprobación de la puesta en marcha de un servicio de protección criptográfica, el propietario o titular del objetivo a protegerestá en la obligación de presentar, a la autoridad emisora, la declaración jurada sobre la categorización de la seguridad de dicho objetivo.

. La calidad de los criptodispositivos y los servicios asociados a la salvaguarda de lainformación clasificada y limitada, así como de los datos que producen las operaciones técnicas de los medios, aplicaciones, redes, servicios e infraestructuras de Telecomuni-caciones/TIC y procesos automáticos de los sistemas críticos para la vitalidad, defensa yseguridad nacional, se evalúa anualmente, además de la monitorización permanente del comportamiento de los criptodispositivos y los servicios asociados, de acuerdo con los procedimientos básicos siguientes: a) El examen por la Dirección de Criptografía sobre la actualización de los conocimientos y habilidades en materia criptológica de los especialistas de los prestadores de servicios que atienden dichos sistemas; b) la comprobación por los laboratorios de evaluación de la fortaleza de los datos y ac-cesos criptográficamente protegidos, que pueden ser visualizados por los atacantesprevistos en tales sistemas; y c) la comprobación de la actualización y conformidad de la declaración jurada de los directivos de los prestadores de servicios criptográficos, sobre las medidas técnicas yorganizativas implantadas en el ámbito interno de la protección.

Artículo 13. La soberanía en la administración del ciclo de vida de los criptomaterialesconsiste en: 1. La capacidad de los proveedores de servicios de protección criptográfica para organizar e implementar la generación, traslado, empleo, conservación, mejoramiento de los parámetros de seguridad, desactivación y destrucción de las llaves criptográ-ficas que garantizan la ejecución del cifrado y descifrado de datos, sin la solicitudde licencias o permisos a suministradores extranjeros. 2. El dominio por los prestadores de servicios de protección criptográfica y las auto-ridades competentes, de la tecnología y métodos de comprobación medibles de lacalidad y seguridad criptológica y operacional del ciclo de vida de los criptomate-riales, cuyos resultados se registran en expedientes al efecto, con las medidas depreservación, custodia y control pertinentes.

Artículo 14. La Dirección de Criptografía, con vistas a garantizar la efectividad del cum-plimiento de las normas de protección criptográfica, establece las coordinaciones y el inter-cambio de información con:1. Las autoridades competentes del Ministerio de Comunicaciones sobre los procesos legales de autorización de operación de redes de Telecomunicaciones/TIC con laincorporación de criptodispositivos para el cifrado de canales de transmisión, y en virtud de la interacción de la industria del software con los servicios criptográficos para la producción de medios informáticos con la inclusión de criptodispositivos.2. Las autoridades competentes del Ministerio de Industrias en función de la interac-ción de la industria electrónica con los servicios criptográficos para la producciónde medios electrónicos con la inclusión de criptodispositivos. 3. Las autoridades del Ministerio de Finanzas y Precios para aportar los elementostécnicos, funcionales y de calidad que se requieren por el citado ministerio en fun-ción de establecer los precios y tarifas de los criptodispositivos y de los servicios criptográficos.

SECCIÓN SEGUNDADe los documentos normativos

Artículo 15. Todos los procesos y planes para la obtención, puesta en funcionamiento yoperación de criptodispositivos y sobre la ejecución de las actividades en los servicios

criptográficos, se rigen por documentos normativos de diferentes categorías, los que se elaboran y ponen en vigor en consonancia con los procedimientos de la Infraestructura Nacional de Calidad y las particularidades que al respecto establece el Ministerio del Interior, con la finalidad de:1. La seguridad, competencia y despliegue oportuno de la protección que se imple-menta y los servicios que se ofrecen.2. La disciplina tecnológica y operacional al respecto. 3. Evitar obstáculos innecesarios a los servicios primarios que se prestan en los ámbitos protegidos y en las cadenas de suministros de los criptodispositivos.

Artículo 16. Se rigen por documentos normativos de carácter obligatorio, los criptodispositivos y los servicios asociados que aseguran la protección en:1. La gestión de la información clasificada y limitada de la administración operacional de los sistemas técnicos que se utilizan al efecto.2. El intercambio automático de datos que producen en sus operaciones los equipos,aplicaciones, redes, servicios e infraestructuras técnicas que aseguran el funciona-miento de los sistemas críticos para la vitalidad y seguridad nacional, así como enel control de acceso a su administración por los operarios. 3. Los canales y pasarelas electrónicas de pago. 4. Los casos en que los criptodispositivos y sus servicios constituyen una condición primaria y necesaria para garantizar la debida protección. 5. Los sistemas para el cumplimiento de los derechos legales de las personas naturales yjurídicas en las transacciones y correspondencias electrónicas. 6. Las plataformas de información pública a ofrecer hacia los ámbitos nacional e internacional, a cargo de las autoridades estatales, administrativas y de gobierno.7. Los productos de las Telecomunicaciones/TIC que se ofertan al público en las redesdel comercio interior.

Artículo 17. La Dirección de Criptografía, en coordinación con la Oficina Nacional de Normalización y otras autoridades afines que se requieran: 1. Emite las instrucciones para la elaboración y empleo de las diferentes categorías de documentos normativos de acuerdo con los procedimientos de la Infraestructura Nacional de Calidad. 2. Organiza, convoca y dirige los eventos y procesos con directivos, expertos y es-pecialistas del Sistema de Aseguramiento Integral para definir las necesidades deelaboración de nuevos documentos normativos y la actualización de los vigentes.3. Establece la clasificación de confidencialidad y formas pertinentes de diseminación de los documentos normativos, especificaciones técnicas y de buenas prácticas, ne-cesarios y suficientes para:a) La instalación, operación, mantenimiento, control o reparación de los criptodispositivos; y b) la exportación de estos tipos de productos y servicios, según su impacto en la seguridad de las personas, el Estado, la propiedad intelectual, y del propio res-guardo de la protección criptográfica. 4. Propone la elaboración o revisión de las normas cubanas en materia de criptografíapara su integración al Programa Nacional de Normalización, de acuerdo con losplazos fijados al efecto por la citada Oficina Nacional.5. Orienta a los órganos, organismos, entidades del Estado, al sistema empresarial y alas organizaciones políticas, sociales y de masas, respecto a la equiparación de las normas cubanas con las que emiten las organizaciones internacionales, a los efectos

de establecer en convenios y contratos con entes extranjeros, los intercambios protegidos a través de las Telecomunicaciones/TIC globales.6. Diseña e implementa, según las necesidades del país, las acciones de superación técnica y profesional en materia de normalización y calidad en la esfera de la crip-tografía.

Artículo 18. Los servicios criptográficos y otros que utilicen la protección criptográfica como parte de la garantía de las prestaciones que ofrecen, están en la obligación de refrendar en los contratos o documentación equivalente, los requerimientos normativos que seestablecen para la citada protección y actividades relacionadas, así como las obligacionesde cada parte para garantizar la seguridad criptológica y operacional de las mismas.

SECCIÓN TERCERADel Control, la Metrología, Acreditacióny Certificación de la conformidad de la Calidad en la esfera de la Criptografía

Artículo 19.1. Los procesos que desarrolla la Infraestructura de Calidad Criptográfica establecen un nivel de confianza para los criptodispositivos y servicios de protección aso-ciados, atendiendo al grado en que satisfacen la funcionalidad de seguridad que se espera de ellos y los resultados de las pruebas evaluativas que les aplican sobre la conformidad con las normas al efecto. 2. La citada Infraestructura, se dirige por la Dirección de Criptografía y funciona bajo elprincipio de la integración y correlación con el sistema de control a la seguridad y protec-ción de objetivos y la Infraestructura Nacional de Calidad.

Artículo 20. La Dirección de Criptografía en función del Control, la Metrología, Acre-ditación y Certificación de la Conformidad de la Calidad en la esfera de la criptografía: 1. Mantiene el intercambio informativo y la coordinación necesaria con la Oficina Nacional de Normalización, para asegurar el cumplimiento de la legislación vigente enmateria de la calidad de las producciones y los servicios criptográficos a emplear en Cuba y los que se prestan en el marco de las relaciones internacionales del país. 2. Aprueba la puesta en funcionamiento de los laboratorios de evaluación de la calidadde los criptodispositivos, que incluye: a) La preparación y acreditación del personal especializado que los conforman;b) la ejecución del proceso de consulta, previo a la aprobación, con las autoridades competentes que se requieran sobre la reputación de los citados laboratorios; y c) la coordinación de sus planes de evaluación.3. Certifica y actualiza en los plazos que establece la Infraestructura Nacional de Cali-dad y de acuerdo con la evolución de las tecnologías criptográficas y de los riesgosde seguridad criptológica: a) Las guías, procedimientos, modelos teóricos y prácticos;b) las métricas, los instrumentos y herramientas de medición a emplear, para larealización de las pruebas de la conformidad; yc) los conocimientos del personal especialista de los laboratorios.4. Actualiza y compatibiliza con las directrices de la Oficina Nacional de Normaliza-ción, los documentos declaratorios de prácticas de certificación de la red de labora-torios de evaluación de la calidad de los servicios criptográficos.5. Conduce el proceso y aprueba la composición de los tribunales de expertos, y organiza la preparación y actualización de los conocimientos de sus integrantes.

. Comprueba que los suministradores de criptodispositivos con aprobación, muestrenen sus catálogos las características principales y la información sobre el nivel de se-guridad vigente que certifica al respecto la Infraestructura de Calidad Criptográfica, que requieren los consumidores para la confianza en su explotación nacional o parala exportación de productos y servicios.7. Organiza y pone en práctica, en coordinación con la Oficina Nacional de Normali-zación, los ministerios de Educación y Educación Superior, así como con el Sistemade Aseguramiento Integral y otras autoridades que se requieran, el programa de preparación, capacitación y actualización de conocimientos de los especialistas de cripto-grafía, como condición necesaria para el ejercicio de las actividades de los servicios criptográficos, y de las funciones en la Infraestructura de Calidad Criptográfica.8. Emite el acta de acreditación de las personas naturales que se especializan en lastecnologías y la aplicación de técnicas criptográficas, para ejecutar las tareas espe-cíficas en la prestación de los servicios criptográficos, una vez concluido el procesode preparación y capacitación, examen de conocimientos y dictamen de los tribunales de expertos. 9. Ejecuta las acciones que le corresponden como centro de observación metrológica y de pronóstico nacional y conduce la participación de los actores del Sistema de Aseguramiento Integral para:a) La prevención de amenazas a la calidad de la protección criptográfica; y b) las nuevas aplicaciones de la criptografía en aras de mitigar riesgos de ataques a los sistemas de información y a los medios técnicos que garantizan su gestión, me-diante la realización de ensayos, prospección científica y tecnológica, a partir del análisis de información procedente de fuentes informativas públicas con crédito.10. Emite los boletines informativos de alerta temprana sobre las amenazas y sus miti-gaciones, así como recibe y atiende los reportes y quejas sobre incidentes de segu-ridad y anomalías en la protección criptográfica en explotación.11. Propone al Ministro del Interior, las políticas y planes de aseguramiento, relativos a la interrelación de los laboratorios de evaluación con homólogos extranjeros, de acuerdo con los requerimientos del comercio exterior, el desarrollo de las exportaciones y las relaciones internacionales de Cuba, y coordina su implementación en los casos que se aprueben. 12. Controla y verifica la conformidad del cumplimiento de las normas de instalación,administración, disponibilidad, seguridad y operación de los servicios de protec-ción criptográfica, para lo que utiliza los procederes de comprobación con herramientas técnicas y los métodos administrativos correspondientes, en los eventos de control estatal a la seguridad y protección de objetivos y en la inspección estatal especializada.

Artículo 21.1. Los laboratorios de evaluación de la calidad, en base a los métodos, instrumentos y herramientas de medición que disponen con acreditación de la Dirección de Criptografía, realizan las pruebas y califican los niveles de seguridad que alcanzan los criptodispositivos bajo examen en los aspectos siguientes: a) Los módulos criptográficos que lo conforman;b) las interfaces o enlaces entre los módulos criptográficos y con otros componentescon los que tienen que interconectarse; c) los roles, servicios y autenticaciones que incorpora el criptodispositivo para susoperaciones, tanto para el funcionamiento de sus módulos o la interacción de estos

con otros componentes técnicos no criptográficos, sea por accionamiento de operadores humanos o automáticos; d) las medidas de integridad que se aplican para garantizar la seguridad de la interac-ción entre los módulos criptográficos con el firmware, los softwares básicos y el hardware donde operan;e) el ambiente operacional en que funcionan los parámetros criptográficos que pueden comprometer la confiabilidad del criptodispositivo y sus módulos; f) las medidas de seguridad física, que incluye las acciones de protección en la faseproductiva, el empaquetamiento del producto terminado, y las técnicas de detec-ción y defensa frente a ataques invasivos de apertura del equipamiento que con-forma al criptodispositivo, así como para contrarrestar la inyección intencional de fallas;g) las medidas de seguridad frente al criptoanálisis;h) la administración de los parámetros de seguridad del funcionamiento del criptodispositivo y sus módulos; i) la implementación de autocontroles de seguridad que realiza automáticamente el criptodispositivo; j) las medidas de aseguramiento del ciclo de vida del producto, que incluye la admi-nistración de sus configuraciones, los modos de distribución para el suministro, la operatoria y guías de la administración operacional y del manejo por los usuarios;k) las contramedidas frente a ataques de canal técnico colateral; yl) la demostración del cumplimiento de obligaciones y recomendaciones que se derivan de la aplicación de las leyes y del proceso de compatibilización de la inversión yel diseño con los intereses de la defensa, la seguridad y el orden interior.2. Los renglones de comprobación de la calidad que se describen en el numeral ante-rior, se aplican para el análisis de un módulo criptográfico a introducir en programas computacionales, medios electrónicos o de otra magnitud física cuya función princi-pal no es criptográfica.

Artículo 22. Los criptodispositivos o equipamientos destinados a la generación de números aleatorios para la producción independiente de criptomateriales, tienen que cumplir las reglas siguientes: 1. Refrendar la verificación de la calidad con evidencias de observación física, me-dición de parámetros electrónicos e informáticos, según corresponda, así como delas resultantes de la aplicación sobre los criptomateriales producidos de modelosmatemáticos de probabilidades y estadísticas con acreditación al efecto.2. Funcionar sin capacidad física alguna de conexión a redes de Telecomunicaciones/TIC, tanto del equipo generador de números aleatorios, como el medio para imple-mentar los resultados del primero como llaves criptográficas prácticas.3. El equipo generador de números aleatorios y el medio para implementar los resul-tados, se construyen con altas medidas de apantallamiento y filtraje eléctrico, electromagnético, acústico, óptico y térmico; sistemas de detección y barreras contraaccesos físicos y lógicos hacia su interior, así como el borrado seguro de huellasdigitales comprometedoras, y la conexión que se establece entre ambos no debe ser superior a un metro de distancia. 4. Aplicar sellaje de alta seguridad sobre el empaquetamiento del producto a entregar al cliente. 5. Tener los medios en locales con medidas técnicas y organizativas de protección física.

Artículo 23. El jefe de la Dirección de Criptografía emite como regla cada cinco años, el documento normativo que pone en vigor las especificaciones de las pruebas a realizar por los laboratorios de evaluación, según las áreas de exámenes que se definen en el presente Reglamento, y para las evidencias a presentar por los desarrolladores de los presta-dores de servicios criptográficos industriales sobre la calidad y fortaleza de sus productos.

Artículo 24. Los tiempos máximos de duración del proceso de pruebas, que realizan los laboratorios de evaluación para dictaminar sobre la conformidad de los productos que presentan los desarrolladores de los servicios industriales criptográficos, son los siguientes:1. Nivel de Seguridad número 1, hasta tres meses. 2. Nivel de Seguridad número 2, hasta seis meses. 3. Nivel de Seguridad número 3, hasta nueve meses. 4. Nivel de Seguridad número 4, hasta doce meses.

Artículo 25. La Dirección de Criptografía determina el tiempo por el que los laborato-rios de evaluación conservan los resultados de las pruebas y calificaciones, como eviden-cias legales que demuestran el nivel de seguridad que disponían los criptodispositivos en el momento de ser aprobados para su empleo por el país.

Artículo 26. La certificación del nivel de calidad de los criptodispositivos se revalida cada cinco años, salvo que surjan modificaciones en su arquitectura tecnológica o nuevos mecanismos de ataques, que potencialmente afecten la seguridad calificada, lo cual requiere de una nueva evaluación para mantener su empleo en los servicios de protección.

Artículo 27. Se crean dos tribunales de expertos por la Dirección de Criptografía; uno para atender los asuntos que se relacionan con la aplicación de la criptografía en interés de objetivos de la defensa y seguridad nacional, y otro para el resto de las tecnologías, lastécnicas y los servicios.

Artículo 28. Los tribunales se conforman con expertos que se escogen del Sistema de Aseguramiento Integral, en una cantidad de miembros impar, no superior a cinco y se renuevan cada dos años, para evaluar y dictaminar:1. Los estudios de factibilidad y los proyectos de creación, innovación o asimilación tecnológica de algoritmos criptográficos. 2. Los diseños en fase de concepción de nuevos criptodispositivos. 3. La calificación de los conocimientos y destrezas del personal a acreditar para operar en la prestación técnica de los servicios criptográficos.

Artículo 29. Los miembros de los tribunales tienen que poseer experticia en materia de criptografía teórica y de aplicación práctica, categorización científica o tecnológica; y durante su permanencia en estos tribunales, no se recomienda que participen en trabajos dedesarrollo de productos y servicios criptográficos, en virtud de garantizar su neutralidad eimparcialidad.

SECCIÓN CUARTADe la planificación en la esfera de la criptografía

Artículo 30. Los planes a corto, mediano y largo plazos para alcanzar la satisfacción de la demanda nacional en materia de servicios criptográficos, se elaboran de acuerdo con la base legal y las prioridades de la economía, la sociedad, la defensa y la seguridad del país,teniendo en cuenta: 1. La evolución de la ciencia, la innovación tecnológica, la industria, la técnica, la me-trología de la calidad, los instrumentos jurídicos normativos, económicos, opera-cionales y de comercio en materia de criptografía a escala nacional e internacional.2. La organización, niveles técnicos y de empleo de los sistemas, equipos, programasy redes de gestión informativa, de datos, procesos automáticos y de telecomunica-ciones del país.

. El desarrollo de las amenazas y riesgos que se reconocen por autoridades nacio-nales e internacionales sobre la criptografía aplicada, así como sobre la infor-mación, las infraestructuras, plataformas, servicios y aplicaciones que se utilizan para su gestión, mitigables o anuladas con el empleo o el perfeccionamiento de la protección criptográfica. 4. La evolución de los medios de defensa técnica colateral de los propios servicios criptográficos para mitigar ataques contra la protección. 5. Las capacidades científicas, técnicas y organizativas disponibles en el Sistema de Aseguramiento Integral.

Artículo 31. A los efectos de facilitar la elaboración de los citados planes, la Dirección de Criptografía establece y disemina, por las vías pertinentes, las listas de: 1. Los criptodispositivos, módulos criptográficos y protocolos de comunicaciones ci-fradas que se aprueban para su empleo en la protección de la información del país, en correspondencia con la categorización de seguridad de los diferentes sistemas de trabajo y de la técnica que utilizan en la gestión informativa y de datos, así como los que se destinan a los fondos exportables y las relaciones internacionales públicas. 2. Los prestadores de servicios criptográficos y los laboratorios de evaluación de lacalidad con acreditación en el Sistema de Aseguramiento Integral.3. Los mecanismos y dominios comunes de ataques a los sistemas de la información,de controles automáticos de procesos industriales y de las Telecomunicaciones/TIC, que reconocen las autoridades nacionales competentes, y pueden ser evitados o miti-gados en su totalidad o en parte con el empleo de la protección criptográfica.4. Los plazos de obsolescencia de los criptodispositivos, en interés de la creación ypuesta en funcionamiento de nuevos medios y para la organización de los tránsitostecnológicos que correspondan. 5. Los lineamientos y prioridades integrales de actualidad en materia de proteccióncriptográfica y para los servicios criptográficos.

Artículo 32. Son sujetos de elaboración de planes para la satisfacción de la demanda en materia de criptografía:1. Los proveedores de servicios criptográficos.2. Los proveedores de servicios de las Telecomunicaciones/TIC y la automatización,que aplican la protección criptográfica como parte de la calidad de sus prestaciones y por requerimientos legales, así como los suministradores de fondos exportables y deimportación de productos que incluyen criptodispositivos. 3. Los órganos, organismos y entidades del Estado, el sistema empresarial y las orga-nizaciones políticas, sociales y de masas, usufructuarios de la protección criptográ-fica, tanto para la salvaguarda de sus actividades, como en función de la que debenproporcionar en la interacción como servidores públicos.

Artículo 33. Los planes para alcanzar la satisfacción de la demanda de servicios cripto-gráficos se establecen para:1. El diseño, fabricación, suministro, adquisición e implementación práctica de criptodispo-sitivos, protocolos de comunicaciones cifradas y para la habilitación de herramientasde análisis de la calidad de los citados medios y protocolos. 2. El completamiento o renovación de la protección criptográfica en los distintos ám-bitos de manejo de datos, informaciones, señales técnicas, controles de acceso, identificación electrónica de personas y de sistemas de autorización para ejecutaroperaciones con seguridad.

. La formación, preparación, superación y capacitación de las personas naturales quese responsabilizan con el trabajo de especialistas en esta rama y con el empleo de laprotección criptográfica.4. Las investigaciones científicas y procesos de innovación tecnológica para perfeccio-nar las cualidades de seguridad de la protección criptográfica; las publicaciones cien-tíficas aplicadas de carácter público; la realización de eventos de esta categoría y las exportaciones en la esfera de la criptografía.

Artículo 34. Los planes que se establecen en esta sección, se firman y actualizan anual-mente por los titulares de los sujetos declarados en el

Artículo 32: 1. Los resultados de los estudios de factibilidad económica, organizativa y de capacidades humanas para su realización.2. El análisis de riesgos y equilibrio entre las medidas técnicas, funcionales y organizativas para garantizar la seguridad y calidad necesarias de la protección a establecer ylos servicios propios a ofertar.3. Las inversiones a ejecutar.4. Las nuevas implementaciones de protección criptográfica a desplegar en el período que se planifica.5. El mejoramiento de los sistemas existentes.

Artículo 35. Los proyectos de planes se envían, por las direcciones de los sistemas deseguridad y protección, directores de los prestadores de servicios, o responsables de lasactividades de esta rama en los sujetos, a la Dirección de Criptografía, la cual:1. Los examina y coordina el proceso de consulta con las autoridades rectoras competentes, según el tema. 2. Presenta la propuesta de los dictámenes técnicos correspondientes al Ministro del Interior para su aprobación total o con las salvedades o recomendaciones pertinentes. 3. Realiza la actividad de asesoramiento para la elaboración de los planes que se señalan.

Artículo 36. Una vez aprobados por el ministro del Interior, los dictámenes de las propuestas de planes, son enviados a las entidades para su aprobación definitiva por sustitulares.

Artículo 37. En los controles estatales a los sistemas de seguridad y protección, y otros eventos de fiscalización que se realizan, la Dirección de Criptografía verifica que los planes para la satisfacción de la demanda en materia criptográfica, se encuentren con el debido respaldo económico y financiero a cargo del sujeto bajo control.

SECCIÓN QUINTAGeneralidades sobre los servicios criptográficos

Artículo 38. Los prestadores de servicios criptográficos en virtud de la creación,producción, suministro de criptodispositivos, la implementación de la debida protección y su asistencia técnica en el ámbito nacional y para la exportación, presentana la Dirección de Criptografía, para su aprobación, con dos meses de antelación antes delinicio del ciclo de vida de los productos que se señalan, los requerimientos de encadenamiento productivo con entidades no pertenecientes al Sistema de Aseguramiento Integral.

Artículo 39.1. Los prestadores de servicios criptográficos conservan los expedientessobre los procesos de la prestación que brindan durante el ciclo de vida del producto oactividad que lo genera, a los efectos de poder realizar análisis y controles preventivos y correctivos con el fin de mantener o mejorar los parámetros de calidad funcional y de seguridad, según corresponda, así como para establecer la memoria histórica pertinenteen el Sistema de Aseguramiento Integral.

. Las solicitudes de destrucción parcial o total de los expedientes, una vez concluido el ciclo de vida del producto o la actividad en cuestión, se presentan a la Dirección de Cripto-grafía, con la fundamentación de la propuesta y la declaración jurada del no aprovechamiento de la documentación para la innovación tecnológica, la preparación y capacitaciónde especialistas, la memoria histórica de la criptografía, y a los efectos del sistema de con-trol interno y otros fines de la economía, la seguridad, el orden interior, el cumplimientode la ley y sobre reclamaciones de usuarios no atendidas.

Artículo 40.1. El proceso de validación, clasificación y aprobación de los algoritmos criptográficos que se presenten a la Dirección de Criptografía por personas naturales y jurídicas, como candidatos a convertirse en normativa ramal para su empleo en la confección de criptodispositivos por la industria, se someten al escrutinio y examen del Sistemade Aseguramiento Integral, incluida la Infraestructura de Calidad Criptográfica.2. En el proceso de validación, clasificación y aprobación de los algoritmos criptográ-ficos, se cumplen las medidas que garanticen la protección de las propiedades intelectuale industrial que corresponda. 3. El período para la culminación del proceso de validación, clasificación y aprobación de los algoritmos criptográficos es a lo sumo de tres años, desde su presentación.4. La presentación de un algoritmo criptográfico al proceso que se señala, se realiza en forma de pseudocódigo, diagramas de flujo de su operatoria y en el lenguaje de programación específico que se propone o en algún objeto capaz de llevar a cabo sus instrucciones, con la fundamentación científica y tecnológica conceptual de la fortaleza de seguridad criptológicay operacional.

Artículo 41. Los servicios de la industria de criptodispositivos, académicos y de con-fianza digital, además de recibir de la Dirección de Criptografía las acreditaciones y per-misos específicos de la rama para el desarrollo de sus prestaciones, tienen que disponercomo condición necesaria, los documentos de validación de calidad que se normalizan nacional y obligatoriamente para los procesos industriales, docentes, de la ciencia y la innovación tecnológica, de negocios, y de los servicios que emiten las autoridades com-petentes al efecto.

SECCIÓN SEXTASobre el Servicio Central de Cifras y la Infraestructura Nacional de Llave Pública

Artículo 42.1. La Dirección de Criptografía dirige el Servicio Central de Cifras y somete a la aprobación del ministro del Interior, la arquitectura, medidas de incremento,mantenimiento y perfeccionamiento de la seguridad criptológica y operacional de los diferentes servicios que lo conforman, así como las propuestas de presupuestos a solici-tar a las autoridades competentes y usuarios al efecto; y tiene las funciones principalessiguientes: a) Ejecutar los programas de capacitación de administradores, operarios técnicos yde usuarios del Servicio, así como controlar la calidad de dicha capacitación e ido-neidad del personal especialista de las diferentes prestaciones que brinda el citado Servicio, y practicar o proponer según corresponda, las medidas necesarias para superfeccionamiento;b) ejecutar las pruebas integrales de autocontrol sobre la calidad de funcionamiento yel mantenimiento de los niveles de seguridad de los citados servicios; c) mantener actualizado el registro de usuarios del Servicio;

d) actuar como centro coordinador y supervisor de las operaciones tecnológicas, técni-cas y de seguridad de las redes y aplicaciones criptográficas que soporta el Servicio Central; e) prevenir y solucionar averías, y detectar intentos de ataques, así como en ese caso verificar y comprobar la efectividad de las contramedidas técnicas, físicas y organizativas instaladas;f) recibir de los prestadores de servicios criptográficos con acreditación, en el primertrimestre de cada año, las demandas temporales de producción y para el próximo año de criptomateriales para sectores especiales; y g) determinar las formas de ejecutar dicha producción segura en el Sistema de Asegu-ramiento Integral y los aseguramientos materiales o financieros que deben correr acargo de los demandantes.2. En el funcionamiento como Autoridad Raíz de la Infraestructura Nacional de Llave Pública, el Servicio Central de Cifras realiza las actividades siguientes:a) Asesorar a los sujetos candidatos a funcionar como prestadores de servicios en la citada Infraestructura Nacional, o de aquellos vigentes que requieren perfecciona-miento, en la elaboración de los proyectos de declaraciones de política y de prácti-cas de certificación;b) firmar digitalmente el certificado digital de la persona jurídica con acreditación para operar como prestador de servicios en la Infraestructura Nacional de Llave Pública;c) establecer para los diversos entornos y circunstancias de empleo de los certificados digitales, los protocolos y técnicas de verificación en línea, de la validez de los certificados digitales de llave pública de los prestadores de servicios de la citada Infraestructura, en vista de facilitar con la seguridad y confianza que se requiere, elcomercio y los servicios electrónicos nacionales e internacionales; d) participar en los eventos de controles de la calidad del funcionamiento y seguridad de la Infraestructura Nacional de Llave Pública; ye) promover y conducir la investigación científica y la innovación tecnológica para el perfeccionamiento de la Infraestructura Nacional de Llave Pública, con la parti-cipación de los factores del Sistema de Aseguramiento Integral.

Artículo 43. La Infraestructura Nacional de Llave Pública es la plataforma técnica y organizativa de protección informativa fundamental que contribuye a la efectividad de la transformación digital de la sociedad cubana y de la interrelación del país con el mundo através de las Telecomunicaciones/TIC.

Artículo 44.1. El formato de certificado digital que se emplea en la Infraestructura Nacional de Llave Pública es el que instituya la Dirección de Criptografía, a partir delestablecido como estándar global por la Unión Internacional de Telecomunicaciones.2. En relación con el Servicio Central de Cifras y la Infraestructura Nacional de Llave Pública, la Dirección de Criptografía:a) Informa al público la versión vigente del formato de certificado digital de Llave Pública a emplear en el país, y las especificaciones técnicas de los campos obliga-torios y opcionales que se deben rellenar con los datos necesarios y suficientes para su funcionamiento confiable; yb) emite los procedimientos técnicos y organizativos específicos que resulten necesarios,o propone la puesta en vigor de una norma de rango superior cuando corresponda,en el interés de mejorar y actualizar las prácticas del funcionamiento, la seguridad integral, interoperabilidad y efectividad de los servicios de la Infraestructura Nacional de Llave Pública, de Cadenas de Bloques y de Confianza Digital basados en el uso de los certificados digitales de Llave Pública.

Artículo 45. Los certificados digitales de Llave Pública se clasifican en las categoríassiguientes: 1. Categoría 1: Certificados Digitales de Llave Pública para firma digital de mensaje-ría y documentos electrónicos, CD Pfirma.2. Categoría 2: Certificados Digitales de Llave Pública para firmar códigos compu-tacionales por los fabricantes y suministradores de aplicaciones y componentes informáticos, CD PCOD.3. Categoría 3: Certificados Digitales de Llave Pública para la autenticación de iden-tidad de personas, servidores y equipos de cómputo en red y cifrado de canales de comunicaciones de los servicios de red web, CD SSL.

Artículo 46. Los certificados digitales son únicos y universales, se emiten y entregana los solicitantes o a sus representantes legales por los prestadores de servicios con au-torización de la Dirección de Criptografía para operar en la Infraestructura Nacional de Llave Pública, previa declaración aprobatoria de un sujeto administrativo que se acredita como una autoridad de registro, el que atestigua con evidencias, que dicho solicitante es quien dice ser.

Artículo 47. En el caso de los certificados digitales para la firma digital de documentos electrónicos y de códigos informáticos, puestos en vigor por la Infraestructura Nacionalde Llave Pública, se establecen los principios generales siguientes: 1. La Llave criptográfica privada única, la genera y custodia el propietario solicitante del certificado digital, a partir de la norma técnica vigente para la creación de la firma digital.2. Cuando la Llave criptográfica privada, a solicitud del propietario solicitante del certificado digital, o por razones técnicas o de seguridad, se genere por el prestador del servicios de emisión de certificados digitales, su producción se realiza obli-gatoriamente de forma compartida por tres funcionarios de dicho prestador, y se entrega al propietario en un dispositivo informático o electrónico bajo protección criptográfica y control de acceso a ella por medio de una contraseña o número de identificación personal, código PIN.3. En el proceso de producción en el prestador de servicios, una vez obtenida la llavecriptográfica privada, se procede, de forma automática y con registro, al borradoseguro de las huellas digitales del evento. 4. Cuando el citado medio no se entrega directamente al propietario, el traslado dela llave criptográfica privada, desde la ubicación del prestador de servicio hasta el destino geográfico del propietario, viaja con el código PIN que asigna el prestadorde servicios, en sobre sellado y lacrado, a través de correo postal seguro. 5. Una vez que el propietario tiene en su poder la llave criptográfica privada, puede cambiar el código PIN del dispositivo protegido donde la aloja definitivamente, porotro código que conoce solamente él. 6. El prestador de servicios no guarda copia de la llave criptográfica privada del propietario, con el objetivo de asegurar la posesión exclusiva de esta por dicho propie-tario, en la garantía de la no existencia de dudas en la unicidad total del ejercicio de firma digital de documento o fichero electrónico, y el no repudio en esta acción personal e intransferible, de forma tal que no se pueda involucrar al citado prestador en hechos de falsificación o suplantación de la firma digital.7. La copia de la llave criptográfica privada para el ejercicio de la firma digital, puede conservarse, mediante contratos, en otro prestador de servicios de confianza digital,cuyo negocio o designación tiene la acreditación en el Sistema de Aseguramiento

Integral y dispone de la organización, procedimientos y medios específicos para lacustodia de documentos y otros valores electrónicos.

SECCIÓN SÉPTIMASobre los servicios mediante cadenas de bloques

Artículo 48. La aprobación del establecimiento de servicios de protección criptográfica mediante el empleo de infraestructuras de cadenas de bloques en las redes Telecomunicaciones/TIC de Cuba, se basa en los requisitos siguientes: 1. Los prestadores de servicios de este tipo a acreditar, además de cumplir las normati-vas que se establecen en el proceso de acreditación en la Infraestructura de Calidad Criptográfica, presentan a la Dirección de Criptografía las obligaciones que demandan las autoridades de relación con la utilización de los citados servicios, sobre eltipo de permiso de acceso a los datos de control que ofrece la cadena de bloques.2. Los criptodispositivos y algoritmos criptográficos que se utilizan para la seguridad de los registros de contabilidad distribuida y la formación de las cadenas de blo-ques, son aprobados por la Dirección de Criptografía.3. La arquitectura de la cadena de bloques, proporciona y facilita la inspección y au-ditoría de las autoridades competentes.

SECCIÓN OCTAVASobre los prestadores de servicios criptográficos

Artículo 49.1. El aspirante a prestador de servicios criptográficos realiza la solicitud oficial a la Dirección de Criptografía, la cual debe contener:a) Datos identificativos y de contacto de la entidad solicitante;b) fundamentación sobre la necesidad y alcance de la prestación del servicio;c) estudio de factibilidad para su puesta en explotación y sostenibilidad, elaboradosobre la base de la evaluación de la existencia de condiciones tangibles para cum-plir con las obligaciones y facultades establecidas en la operación del prestador deservicio propuesto; y d) documentación probatoria de que es una persona jurídica constituida según la legislación vigente en la República de Cuba, con domicilio en la misma y que su objeto social esté en correspondencia con la prestación de los servicios que solicita y posee la acreditación o licencia del órgano competente.2. Los sujetos que radican en el exterior o que poseen dominio cibernético fuera de Cuba, tienen que presentar, además, la aprobación de los organismos de la Administra-ción Central del Estado competentes, para prestar servicios en el país.

Artículo 50. El proceso de aprobación por el ministro del Interior, se extiende por un período no mayor a noventa días hábiles, desde la fecha de presentación de la solicitud por los interesados, a través de la Dirección de Criptografía, la que emite la certificaciónde la decisión correspondiente.

Artículo 51.1. Todo prestador de servicios criptográficos está en la obligación de cumplir los requerimientos generales siguientes: a) Tener definida e implementada con evidencias, la segmentación de roles de sus funcionarios; así como las medidas de seguridad que se establecen en el presente Reglamento; b) tener habilitado el código de ética de los funcionarios, los que están en el deber de guardar el secreto profesional respecto a los datos confidenciales de carácter personal de los clientes;

c) disponer de una página web oficial y publicar sus declaraciones de políticas de seguridad y prácticas para el servicio que presta; vías de comunicación con sus usuarios y público en general; materiales informativos; y los precios de comercialización, cuando corresponda; d) tener aprobados, por la Dirección de Criptografía, los medios y sistemas de protec-ción criptográfica, que se requieran para la prestación de los servicios;e) mantener actualizados los análisis y evaluación de riesgos y amenazas y los planes de reducción de desastres;f) tener actualizados y validados los resultados de auditorías, inspecciones y otrosprocedimientos de control interno, que demuestren la existencia de un ambienteconfiable en su entorno de funcionamiento, en correspondencia con lo establecidoen la legislación vigente, teniendo en orden y acreditado por los órganos competentes, los mecanismos de solvencia económica para asegurar la prestación del servicio en general; g) tener en funcionamiento permanente, todas las medidas de seguridad física y ló-gicas, así como las trazas auditables de los eventos para el aseguramiento de losservicios que presta y otros datos y medios requeridos por los clientes; h) disponer de sistemas técnicos y organizativos de control, bloqueo, aviso y seguimiento de acceso y proximidad a los medios y locales de trabajo especializados, yla aplicación racional de métodos de defensa criptológica frente a intercepciones de sus comunicaciones e intromisiones informáticas o eléctricas en el equipamientoque se utiliza para prestar el servicio; i) tener implementadas medidas para evitar y extinguir incendios, inundaciones, ex-cesos de humedad y otros desastres naturales y tecnológicos, así como para la salva y restauración segura de la información de interés;j) obtener, en los casos de prestadores comerciales de estos servicios, respaldo financiero mediante pólizas de seguro del tipo que corresponda, relacionados con los daños que un incidente cause a la actividad de los mismos; k) asumir toda la responsabilidad frente a los clientes, en cuanto a la calidad del servicio que presta, con independencia de que parte de los procesos técnicos que loaseguran se acuerden o contraten a una entidad externa al servicio criptográfico;l) conservar en expedientes toda la información relevante sobre los procesos, sistemas de trazas, y cualquier dato o información resultante de su actividad, por el período de tiempo que establezca la Dirección de Criptografía, acorde a la actividad que realiza;m) informar con antelación a sus clientes de cualquier cambio, modificación o suspensión de los servicios que presta; n) atender y dar respuestas a las peticiones, quejas y reclamos hechos por los clientes; ñ) tener aprobados previamente, por los máximos responsables de la entidad de su juris-dicción en correspondencia con los procedimientos estatales vigentes, a los funcionarios que laboran en las entidades prestadoras de servicios criptográficos, los cuales tendrán acreditados por la Dirección de Criptografía, los conocimientos y habilidades en materiacriptológica; y o) establecer con sus clientes, en los contratos y otros tipos de documentos, las obligaciones y derechos que contraen ambas partes en relación a los servicios y los tiempos de respuesta del prestador para dar solución a interrupciones técnicas, entregade productos y demás prestaciones en la esfera de la criptografía.

. Además de los anteriores, los prestadores tienen que cumplir los requerimientos particulares, que establece el Ministerio del Interior, de acuerdo con el tipo de ser-vicio criptográfico a prestar.

Artículo 52. La Dirección de Criptografía establece los procedimientos, guías y requi-sitos específicos a evaluar para comprobar el cumplimiento de los requerimientos estable-cidos en el artículo precedente, por los prestadores de servicios criptográficos.

CAPÍTULO IIISOBRE EL FUNCIONAMIENTO DEL SISTEMA DE ASEGURAMIENTO INTEGRAL

SECCIÓN PRIMERAGeneralidades

Artículo 53. El Sistema de Aseguramiento Integral provee, como regla general, para elconsumo nacional o la exportación de bienes y servicios: 1. Criptodispositivos integrales para la realización de la protección criptográfica.2. Módulos criptográficos a ser incluidos como componentes adicionales en medios de propósito general para el procesamiento informativo, controles automáticos y lastelecomunicaciones. 3. Tecnologías, técnicas, herramientas y equipos especiales para la medición y verifi-cación de los parámetros de calidad de criptodispositivos y módulos criptográficos.4. Materiales didácticos y divulgativos, de carácter científico, técnico, directivo y ope-racional, para las actividades de formación, superación, capacitación y entrenamiento de prestadores de servicios criptográficos y de otros que incorporen criptodispositivos a los servicios que ofertan, usuarios de la protección, funcionarios que actúan en el sistema de control interno, la investigación de incidentes y la verificación de la cali-dad en el ámbito de la criptografía y público en general, según corresponda.

Artículo 54.1. La Dirección de Criptografía, en relación con el Sistema de Aseguramiento Integral: a) Aprueba la puesta en funcionamiento de las producciones del Sistema de Aseguramiento Integral que se señalan en el artículo precedente, destinadas a la protección de la infor-mación clasificada y limitada, las infraestructuras críticas, la dirección y gestión informativa de actividades desde los niveles centrales de los órganos, organismos, entidades del Estado, el sistema empresarial, las organizaciones políticas, sociales yde masas, las sedes diplomáticas, misiones y representaciones comerciales y empresaria-les cubanas en el exterior, la defensa y seguridad nacional; yb) en coordinación con las autoridades competentes, establece las medidas que garan-ticen el cumplimiento de las normas nacionales de seguridad de la información enel ámbito tecnológico, técnico, operacional y comercial de los procesos de la pro-ducción, composición y distribución de los productos en la esfera de la criptografía, así como para la debida protección de las propiedades intelectual e industrial. 2. Las dependencias de criptografía en las jefaturas provinciales y del municipio especial Isla de la Juventud del Ministerio del Interior, aprueban la puesta en funcionamiento de lasproducciones del Sistema de Aseguramiento Integral desarrolladas en su localidad, destinadas a su utilización en la demarcación de sus competencias.

SECCIÓN SEGUNDADe los órganos de colegio

Artículo 55. La Dirección de Criptografía actúa como coordinadora general del Sistema de Aseguramiento Integral y ejecuta las actividades directivas correspondientes, enaras de garantizar su funcionamiento permanente y eficaz.

Artículo 56.1. El Grupo Técnico Asesor en Políticas Criptográficas, órgano colegiado del citado Sistema de Aseguramiento Integral, realiza sus actividades de aseso-ramiento colectivo de forma presencial en espacios físicos o a través de los servicios de video o audioconferencias que proporciona el Sistema Seguro de Comunicaciones de la Dirección del País, convocado por la Dirección de Criptografía para la consulta de cuestiones estratégicas nacionales. 2. Para el tratamiento a cuestiones de envergadura menos estratégica y que requierenrespuesta con inmediatez el Grupo Técnico Asesor en Políticas Criptográficas realiza el proceso de consulta mediante la circulación de documentos, por vías electrónicas cifradaso por correos personales según corresponda, dando a conocer a sus miembros los resulta-dos de la consulta, así como de los acuerdos adoptados para todos los casos.3. los miembros del Grupo Técnico Asesor en Políticas Criptográficas proponen temas a debatir y colegiar, para lo cual presentan a la Dirección de Criptografía sus propuestas con un mes de antelación a la fecha de convocatoria de la reunión del Grupo.

Artículo 57.1. El Comité Técnico de Normalización, órgano colegiado del citado Sis-tema de Aseguramiento Integral, se convoca de forma presencial por la Dirección de Criptografía, con el objetivo de analizar y recomendar sobre:a) Los proyectos de documentos normativos existentes y evaluación de soluciones aprioridades del país en materia de calidad de los servicios criptográficos;b) las propuestas de aspectos a incluir en el Programa Nacional de Normalización; c) los temas a debatir en la Sección Consultiva de Ciencia e Innovación Tecnológica; d) las políticas de precios, tarifas y seguros en los servicios de protección criptográ-fica; ye) otros aspectos a establecer en la Infraestructura Nacional de Calidad en las áreas desu competencia. 2. Para el tratamiento a cuestiones de envergadura menos estratégica y que requieren respuesta con inmediatez, el Comité Técnico de Normalización realiza el procesode consulta mediante la circulación de documentos, por vías electrónicas cifradas o porcorreos personales según corresponda, dando a conocer a sus miembros los resultados dela consulta, así como de los acuerdos de dicho Comité para todos los casos.3. Los miembros del Comité Técnico de Normalización proponen temas a debatir y colegiar en el colectivo del mismo, para lo cual presentan a la Dirección de Crip-tografía sus propuestas con un mes de antelación a la fecha de convocatoria de lareunión del Comité. 4. En el primer trimestre de cada año, el Comité Técnico de Normalización analiza el comportamiento de la Sección Consultiva de Ciencia e Innovación Tecnológi-ca, y propone al ministro del Interior, a través de la Dirección de Criptografía, lasrecomendaciones, los eventos a realizar por ésta y los cambios a introducir, segúnlos aspectos que requieren de su concurso; la Dirección de Criptografía informa a losmiembros del Comité sobre las decisiones al respecto.

Artículo 58.1. La Sección Consultiva de Ciencia e Innovación Tecnológica sesionaprevio a las reuniones del Comité Técnico de Normalización, con el objetivo de realizarlas recomendaciones pertinentes desde el ángulo de la ciencia y la tecnología para mejo-rar la calidad de la protección criptográfica del país, las que deben refrendarse mediantedocumentos normativos correspondientes. 2. La Sección Consultiva de Ciencia e Innovación Tecnológica se conforma con hastaocho miembros permanentes y siete eventuales, estos últimos se seleccionan de acuerdo con los temas a debatir. 3. La Sección Consultiva de Ciencia e Innovación Tecnológica se constituye por ex-pertos con categorización científica, tecnóloga y docente en materias afines a la cripto-grafía, los cuales son propuestos, al Ministerio del Interior en el último trimestre del año corriente, por las máximas instancias de las universidades, centros científicos e industria-les, con prioridad en aquellos que se califican como de alta tecnología y de otras entidades estatales afines, para su concesión, ratificación o renovación.4. La Sección Consultiva de Ciencia e Innovación Tecnológica, se constituye ademáscomo un grupo auxiliar de la Dirección de Criptografía para la conducción de los procesos de obtención y aprobación de los algoritmos criptográficos a utilizar en los criptodisposi-tivos que se emplean por el país en los sistemas de información pública y no clasificada, así como en interés de los fondos exportables.

Artículo 59.1. Como regla, la Dirección de Criptografía realiza anualmente con los di-rectivos o representantes específicos de las partes que componen el Sistema de Aseguramiento Integral las acciones siguientes: a) El balance de las actividades realizadas por el citado Sistema; b) la evaluación de su efectividad; yc) los posibles retos a enfrentar y acciones a ejecutar en el año y períodos subsiguien-tes, según la planificación del Gobierno.2. En similar orden, organiza y desarrolla: a) Los seminarios de preparación especializada de los miembros del Grupo Técni-co Asesor en Políticas Criptográficas, del Comité Técnico de Normalización y losmiembros permanentes de la Sección Consultiva de Ciencia e Innovación Tecnológica con vistas a la adquisición de los conocimientos integrales necesarios para elmejor ejercicio de sus funciones, e incluye la emisión de documentos didácticos en formato tradicional o digital, según las disponibilidades de recursos; yb) la capacitación, contando con la colaboración de los entes pertinentes del Sistemade Aseguramiento Integral, de los funcionarios que atienden los asuntos de la pro-tección criptográfica desde el sistema de seguridad y protección, en los órganos,organismos y entidades del Estado, el sistema empresarial y las organizaciones po-líticas, sociales y de masas, en temas de la criptografía afines a su radio de acción.

SECCIÓN TERCERADel Sistema de Información, Análisis y Prospectiva

Artículo 60. Las dependencias que se encargan de conducir los sistemas de Seguridad y Protección en los órganos, organismos y entidades del Estado, el sistema empresarial y las orga-nizaciones políticas, sociales y de masas, así como los prestadores de servicios criptográficos, elaboran anualmente y presentan a la Dirección de Criptografía el informe contentivo de:1. El cumplimiento de los planes.

. El desenvolvimiento integral de la actividad. 3. El completamiento de la cobertura de protección criptográfica y la efectividad de suseguridad. 4. La prestación de los servicios al respecto.

Artículo 61. En relación con el Sistema de Información, Análisis y Prospectiva, la Di-rección de Criptografía desarrolla las acciones siguientes: 1. Emite las precisiones sobre los requisitos informativos a evaluar, en correspon-dencia con lo que establece el citado Decreto-Ley 79 y las prioridades del país alrespecto. 2. Elabora y propone al ministro del Interior, tomando como base los informes recibi-dos de los integrantes del Sistema de Aseguramiento Integral, la información esta-dística, analítica y prospectiva a presentar al Presidente de la República, en cuanto al comportamiento y efectividad de los servicios criptográficos y de la actividad general en el ámbito de la criptografía.3. Mantiene el intercambio sistemático con la Oficina Nacional de Estadística e Información y se encarga de ejecutar los procedimientos pertinentes para garantizar laintroducción de las informaciones específicas en materia criptográfica que requiere el Sistema de Información de Gobierno.4. Emite cuando las circunstancias lo requieran, los boletines y notas informativas de Alerta Temprana, ante el surgimiento de amenazas, debilidades y vulnerabilidadesque pongan en peligro la protección criptográfica que se emplea por el país, losbienes que se protegen o los proyectos de desarrollo y producción de nuevos cripto-dispositivos, así como las indicaciones con vistas a organizar y ampliar las medidas que se adoptan por los usuarios y proveedores de servicios criptográficos para cada una de las fases que se establecen en el presente Reglamento.

Artículo 62.1. La información de Alerta Temprana de Riesgos en el ámbito de la pro-tección criptográfica, tiene como objetivo principal, prever la adopción de medidas para evitar o mitigar con métodos criptográficos, la realización de ataques con características técnicas públicamente conocidas, que pueden ser ejecutados sobre los sistemas informa-tivos del país y su base tecnológica de gestión, incluida la propia protección criptográfica. 2. A los efectos de la emisión de las notas informativas y boletines de Alerta Temprana, se establecen tres fases de información:a) Fase Informativa: Cuando se comprueba que las amenazas se encuentran en unplano teórico y de pruebas de concepto a nivel de laboratorio, que requieren para su realización de personal con muy alta especialización, herramientas y tácticas deagresión sofisticadas, violación de varias barreras de control presentes en los siste-mas bajo probable riesgo, y que en el momento de la información, su probabilidadpotencial de realización sea baja.Se emite por la Dirección de Criptografía para el conocimiento de los sujetos que conforman el Sistema de Aseguramiento Integral y los proveedores de servicios delas Telecomunicaciones/TIC. b) Fase de Alerta: Cuando se comprueba que las amenazas se encuentran en pruebas de laboratorios, que pueden evolucionar hacia herramientas y tácticas de agresión prácticas en un periodo de tiempo no mayor a los dieciocho meses, aunque en el momento del análisis, se requiera para su realización de personal medianamente

calificado, violación de varias barreras de control presentes en los sistemas bajoprobable riesgo y que en el momento de la alerta, su probabilidad real de realización sea media.Se emite por la Dirección de Criptografía con la aprobación previa del ministro del Interior, para el conocimiento de los sujetos que conforman el Sistema de Aseguramiento Integral, de los proveedores de servicios de las Telecomunicaciones/TIC, las máximas direcciones de los órganos, organismos y entidades del Estado, el sistemaempresarial y las organizaciones políticas, sociales y de masas.c) Fase de Alarma: Cuando se comprueba que las amenazas y vulnerabilidades, pue-den derivar en un ataque efectivo contra los sistemas informativos y su base tecnológica de gestión, se realiza con herramientas de agresión públicamente accesibles,fáciles de manipular anónimamente por personal no profesional, desde el exterior o interior del ente potencialmente víctima, y cuyo riesgo es severo por los daños que pudiese causar a la información propia y reputación de dicho ente o del país, así como a la base tecnológica de gestión informativa. Se emite por el ministro del Interior a propuesta de la Dirección de Criptografía, para el conocimiento y efecto de los sujetos que conforman el Sistema de Aseguramiento Integral, los proveedores de servicios de las Telecomunicaciones/TIC, las máximas direcciones de los órganos, organismos y entidades del Estado, el sistemaempresarial y las organizaciones políticas, sociales y de masas.

CAPÍTULO IVDE LAS RELACIONES INTERNACIONALES EN LA ESFERA DE LA CRIPTOGRAFÍA

Artículo 63.1. La Dirección de Criptografía elabora la estrategia para las relaciones internacionales en la esfera de la criptografía con impacto en el desarrollo y la calidad dela base industrial nacional de esta especialidad, la cual se presenta por el ministro del In-terior a la aprobación de los órganos superiores de dirección del país, según corresponda.2. El proceso de elaboración de la citada estrategia, se desarrolla en consulta con el Grupo Técnico Asesor en Políticas Criptográficas, y según corresponda, con otras autori-dades competentes de los ministerios de Comunicaciones, Ciencia, Tecnología y Medio Ambiente, Comercio Exterior y la Inversión Extranjera, Industrias, Relaciones Exteriores, las Fuerzas Armadas Revolucionarias y del Interior.

Artículo 64. Las personas naturales y jurídicas cubanas para establecer relaciones de cooperación, colaboración y de negocios, en materia de criptografía, con similares extranjeras, están obligadas a realizar el proceso de compatibilización con los intereses dela defensa, la seguridad y el orden interior, desde la etapa de concepción de estas, con el objetivo de garantizar la seguridad criptológica del país.

Artículo 65.1. El empleo en el territorio nacional de criptodispositivos procedentes de fuentes extranjeras, en los diferentes tipos y entornos de servicios, requieren del dic-tamen y las instrucciones específicas de la Dirección de Criptografía sobre el proceso deproducción y administración de los criptomateriales a emplear. 2. El uso de estos criptodispositivos se realiza bajo contratos o acuerdos de garantíasde seguridad con el suministrador.

CAPÍTULO VDEL TRATAMIENTO A LOS INCIDENTES QUE ATENTAN CONTRA LA SEGURIDAD CRIPTOLÓGICA Y OPERACIONAL DE LOS CRIPTODISPOSITIVOS Y SERVICIOS CRIPTOGRÁFICOS Y SU REPUTACIÓN

SECCIÓN PRIMERAGeneralidades

Artículo 66.1. Se reconoce como incidente que atenta contra la seguridad criptológica y operacional de los criptodispositivos y servicios criptográficos, o contra la reputación de tales servicios, en lo adelante incidente, cuando se confirma o sospecha la ocurrencia de:a) Actividad enemiga, delictiva o nociva; b) una o varias de las conductas contraventoras descritas en el Capítulo VI del presente Reglamento; e c) incumplimientos de las especificaciones técnicas, organizativas y procedimentales para el buen funcionamiento y salvaguarda de los criptodispositivos y servicios crip-tográficos, que comprometan, debiliten y vulneren la fortaleza defensiva de talesmedios y prestaciones y que posibilite la ejecución de ataques previsibles, o ponganen duda su confiabilidad y calidad de cara a sus usuarios.2. Un incidente puede ocurrir tanto en los objetivos protegidos criptográficamente, como en los sistemas de trabajo internos de un prestador de servicios criptográficos uotro prestador que utiliza criptodispositivos que se integran en los productos o servi-cios que oferta al público.3. Las infracciones o incumplimientos de las especificaciones técnicas, organizativas o procedimentales en materia criptográfica que conllevan a la ocurrencia de un incidente, pueden categorizarse de leves, graves o muy graves en correspondencia con: a) La categorización que establece la legislación en materia de protección de la información y los datos, las Telecomunicaciones/TIC, la ciberseguridad, los controlesautomáticos para la seguridad del objetivo y actividades bajo salvaguarda, así como de los procesos productivos encaminados a la fabricación y suministro de diversos tipos de criptodispositivos integrales, módulos criptográficos u otros recursos y ma-teriales en la esfera de la criptografía;b) la afectación que puede producir el incidente en servicios criptográficos de otros sistemas y actividades fuera del ámbito de ocurrencia del hecho, a la propiedadintelectual e industrial, y al patrimonio tecnológico nacional en materia de la crip-tografía; yc) el daño que se comprueba causa el incidente al objeto con protección criptográfica, así como a los procesos de producción y suministros de criptodispositivos integrales, módulos criptográficos u otros recursos y materiales de la esfera de la criptografía.

Artículo 67. Al ocurrir un incidente, se deben seguir los pasos siguientes:1. La búsqueda de indicios o pruebas de la ocurrencia del incidente. 2. La emisión del reporte, por parte de quien detecta, hacia las autoridades competentes, que se encargan de encaminar y realizar la investigación sobre el incidente. 3. La ejecución de la investigación de rigor y análisis de los resultados para descartar: la actividad delictiva, la comisión de una o varias de las conductas contraventorasdescritas en el Capítulo VI del presente Reglamento, o el incumplimiento de las es-pecificaciones técnicas, organizativas y procedimentales; así como determinar los responsables, las causas y condiciones que favorecieron su ocurrencia y la magnitud del daño que ocasionó.

Estas investigaciones se realizan por expertos investigadores de la Infraestructura de Calidad Criptográfica, con acreditación de la Dirección de Criptografía o de las dependencias de esta especialidad en las jefaturas provinciales y del municipio es-pecial Isla de la Juventud del Ministerio del Interior, en un término de treinta díashábiles. 4. La emisión del dictamen evaluativo del incidente por los expertos investigadores, para las autoridades competentes.

Artículo 68. El dictamen que emiten los expertos investigadores consta de los elementos siguientes: 1. La categorización del incidente.2. La identificación de los responsables y sus conocimientos técnicos.3. El nivel de daño o riesgos que genera en los sistemas que se protegen, u otros externos.4. Las medidas técnicas, organizativas, procedimentales y financieras que deben adop-tarse para eliminar las vulnerabilidades, en función de restablecer la confiabilidad del servicio criptográfico afectado y el plazo que se requiere, según la categorización de la seguridad del objetivo y actividades bajo protección. 5. La propuesta de medidas a adoptar a partir del tipo de incidente detectado.6. Las recomendaciones sobre las medidas administrativas de índole laboral que pueden adoptarse por las autoridades competentes.

Artículo 69. La comprobación posterior sobre el cumplimiento de las medidas de sa-neamiento y restablecimiento de la confianza y las capacidades de seguridad criptológica y operacional de los criptodispositivos, servicios criptográficos y procesos afectados porun incidente, se incorpora en las agendas de inspección y demás actividades de controlque efectúan las autoridades competentes.

Artículo 70. Cuando en el proceso investigativo de un incidente, existan evidenciaspara presumir que se trata de un hecho delictivo, los expertos investigadores a cargo,están en la obligación de formular la denuncia correspondiente, según lo dispuesto en lalegislación penal vigente.

Artículo 71. Los gastos en que se incurra como consecuencia del saneamiento y resta-blecimiento de la confianza y las capacidades de seguridad criptológica y operacional de los criptodispositivos, servicios criptográficos y procesos afectados por un incidente, seexigen a los responsables según lo dispuesto en la legislación vigente.

Artículo 72. Los incidentes son detectados por: 1. Las personas naturales en el ejercicio de la gestión de su información o datos personales.2. Los funcionarios y empleados en los órganos, organismos y entidades del Estado, el sistema empresarial, las organizaciones políticas, sociales y de masas, las sedesdiplomáticas, misiones y representaciones comerciales y empresariales cubanas enel exterior, prestadores de servicios criptográficos y demás prestadores de serviciosal público desde los sistemas empresariales.3. Los centros de control técnico nacional, territorial o ramal de la Infraestructura de Calidad Criptográfica, del ciberespacio, los controles automáticos y las Telecomunicaciones/TIC.4. Los funcionarios del Sistema de Aseguramiento Integral que se acreditan para rea-lizar actividades de control en la Infraestructura de Calidad Criptográfica, sobre los servicios criptográficos en las áreas de su competencia.

Artículo 73. Los jefes de la Dirección de Criptografía y de las dependencias de esta especialidad en las jefaturas provinciales y del municipio especial Isla de la Juventud del Ministerio del Interior, establecen las vías, horarios y formas para la recepción de reportes sobre incidentes y su tratamiento por los centros que se destinan al efecto.

SECCIÓN SEGUNDAIncidentes en materia de criptografía que se detectan en el ámbito de las personas jurídicas

Artículo 74.1. El funcionario o empleado de una entidad o de un prestador de servicios criptográficos, que detecte o tenga conocimiento de un incidente, lo informa de manera inmediata al jefe de la entidad donde se produce, y al de la estructura del Sistema de Se-guridad y Protección, o al funcionario encargado de su atención.2. El jefe de la entidad o el de la estructura de Seguridad y Protección en un plazo no superior a las 24 horas, informa sobre la ocurrencia del incidente a la Dirección de Crip-tografía o a las dependencias de esta especialidad en la jefatura provincial o del municipioespecial Isla de la Juventud del Ministerio del Interior según corresponda, y solicita la presencia de los expertos investigadores. 3. Los expertos investigadores a cargo, una vez concluido el proceso investigativo, entreganel dictamen resultante al jefe de la entidad o del prestador de servicios criptográficos cuando corresponda, así como al jefe de la estructura de Seguridad y Protección o al funcionario encar-gado de esta actividad, y remiten una copia a la Dirección de Criptografía, o a la dependencia de esta especialidad en la jefatura provincial o del municipio especial Isla de la Juventud del Ministerio del Interior, según sea el caso. 4. El jefe del Sistema de Seguridad y Protección o el funcionario a cargo de esta actividad en la entidad de ocurrencia del incidente, una vez conocido el dictamen, organiza el análisis y propone al dirigente máximo: a) Las medidas que correspondan implementar, en función del restablecimiento de las ca-pacidades de seguridad criptológica y operacional afectadas o en riesgo;b) las medidas administrativas a aplicar a los infractores internos, o la demanda al prestador de servicio criptográfico cuando dicho incidente sea de su responsabilidad; y c) la información a rendir a la Dirección de Criptografía o a la instancia de esta espe-cialidad en la jefatura provincial o el municipio especial Isla de la Juventud del Ministerio del Interior según corresponda, sobre el resultado del análisis y las medidas implementadas.

Artículo 75. Si la información sobre la detección de un incidente que atenta contra laseguridad criptológica y operacional de los sistemas a su cargo, procede de un centro decontrol técnico nacional, territorial o ramal de la Infraestructura de Calidad Criptográfica,del ciberespacio, los controles automáticos y las Telecomunicaciones/TIC, tanto el centro que detecta como la entidad donde se produce el incidente, están en la obligación de in-formar a la Dirección de Criptografía o la dependencia de esta especialidad en la jefaturaprovincial o del municipio especial Isla de la Juventud del Ministerio del Interior, según el territorio donde esté enclavada la entidad.

Artículo 76.1. La Dirección de Criptografía o las dependencias de esta especialidad en las jefaturas provinciales o del municipio especial Isla de la Juventud del Ministerio del Interior, según corresponda, notifica a la entidad responsable o donde se produce el incidente, el acta de conformidad del Ministerio del Interior al respecto, en un término no mayor a los treinta días hábiles a partir de la fecha en que se recibe la información.

. En el acta de conformidad se recogen, entre otros aspectos, las rectificaciones orecomendaciones que resulten necesarias, de acuerdo con la gravedad del hecho y sus consecuencias.

SECCIÓN TERCERAIncidentes en materia de criptografía que se detectan en el ámbito de las personas naturales

Artículo 77.1. Los prestadores de servicios criptográficos y de otros servicios que uti-lizan módulos criptográficos formando parte de sus productos básicos, que ofertan a laspersonas naturales para la salvaguarda de sus datos y correspondencia privada, están en laobligación de mostrar en sus medios de publicidad, las formas y vías, presenciales y por línea, que permitan canalizar por el público sus reportes de incidentes.2. Cuando una persona natural en el uso de criptodispositivos o módulos criptográficos con certificación de la Dirección de Criptografía para la salvaguarda de sus datos privadosy correspondencia particular, detecta la presencia de un incidente, reporta al prestador deservicio que corresponda, y solicita a este último los datos de identificación del reporte.3. El prestador de servicios que recibe el reporte, atiende el incidente con expertos einvestigadores propios, e informa de inmediato al centro destinado al efecto por la Di-rección de Criptografía o sus dependencias en las jefaturas provinciales y del municipioespecial Isla de la Juventud del Ministerio del Interior, según la geolocalización de la ocurrencia del incidente. 4. El prestador, una vez concluidas las investigaciones, procede a implementar las medidas que permitan eliminar las causas y condiciones que propiciaron el incidente, y elrestablecimiento de la confianza en los servicios que presta, e informa sobre la aplicación de las mismas a la Dirección de Criptografía o sus dependencias en las jefaturas provincialesy del municipio especial Isla de la Juventud del Ministerio del Interior según corresponda y a la persona que realizó el reporte del incidente.

CAPITULO VIDE LAS CONDUCTAS CONTRAVENTORAS

SECCIÓN PRIMERADe las contravenciones

Artículo 78. Se consideran contravenciones en materia de desarrollo, aplicación y uso de los dispositivos de protección criptográfica, y servicios en la esfera de la criptografía,las siguientes: 1. Realizar actividades técnicas de búsqueda de vulnerabilidades en la proteccióncriptográfica que se emplea en Cuba y sus representaciones en el exterior sin la acreditación de la Dirección de Criptografía, así como realizar dichas actividades desde el territorio nacional sobre entes de terceros países que operan en redes globales de comunicaciones. 2. Publicar tecnologías o vulnerabilidades asociadas a criptodispositivos de producción nacional o de importación que se utilizan para la protección de los sistemas deinformación y de las Telecomunicaciones/TIC que se establecen por las autoridades competentes del país, sin la autorización de la Dirección de Criptografía.3. Importar, comercializar o poner en explotación criptodispositivos para ejercer laprotección criptográfica en los ámbitos que establece el

Artículo 6 del Decreto-Ley, o exportar estos productos, sin autorización de la Dirección de Criptografía.

. Realizar cambios en la funcionabilidad criptográfica de uno o varios criptodispositi-vos aprobados para su explotación en una entidad; o brindar servicios criptográficosa terceros por un prestador del Sistema de Aseguramiento Integral, sin autorizaciónde la Dirección de Criptografía.5. Desactivar criptodispositivos o servicios criptográficos puestos en explotación parala protección en una entidad o de la prestación de servicios a terceros, sin la aproba-ción del jefe máximo de la entidad, o el conocimiento de los beneficiarios de dicho servicio, y sin la autorización previa de la Dirección de Criptografía.6. Incumplir, por el prestador de servicios criptográficos, la ejecución, en los plazos establecidos en los boletines de alerta temprana, de los cambios de configuraciones a los criptodispositivos para contrarrestar las amenazas identificadas.7. Incumplir las medidas de seguridad para la guarda, custodia y defensa de criptodis-positivos o criptomateriales asignados al funcionario de una entidad o prestador deservicios. 8. Negarse un prestador de servicios criptográficos a brindar, a los beneficiados de la protección, los datos de carácter no clasificados sobre la calidad y fortaleza delproducto o prestación que se proporciona, o las reglas para su uso. 9. Brindar, por un funcionario de la prestación de los servicios, a terceros no autorizados, los datos personales de clientes de los citados servicios, sin el consentimiento de estos, salvo en los casos previstos en ley. 10. Colocar o permitir que se coloque en sus medios publicitarios e informativos, tec-nologías, técnicas y aplicaciones criptográficas de cualquier origen que no han sido objeto de aprobación, para su empleo por alguna persona natural o jurídica con acceso a los citados medios.

SECCIÓN SEGUNDADe las sanciones a aplicar ante las contravenciones

Artículo 79.1. A la persona natural que incurra en las contravenciones previstas en los numerales 1, 2, 3, 4, 5, 6 y 10 del artículo anterior se le impone una multa de seis mil pesos cubanos; en el caso de ser una persona jurídica esta asciende a doce mil pesos cubanos.2. A la persona natural que incurra en las contravenciones previstas en los numerales 7, 8 y 9, del artículo anterior, se le impone una multa de tres mil pesos cubanos; y de ser una persona jurídica de seis mil pesos cubanos.3. A los responsables de incurrir en las contravenciones previstas en los numerales 1, 3, 4 y 10 del artículo anterior, además de la multa, se les puede aplicar el decomiso, que consti-tuye la confiscación de los equipos y medios utilizados en los hechos.4. Cuando quien incurra en cualquiera de las contravenciones previstas sea un pres-tador de servicios en la esfera de la criptografía, se le puede aplicar además la sanción accesoria de suspensión temporal o definitiva de la autorización para el ejercicio de estaactividad.

Artículo 80. Las sanciones que impone la autoridad con facultades para exigir respon-sabilidad a quien incurra en contravenciones en materia de criptografía, en corresponden-cia con la gravedad de los daños que se ocasionan, se aplican en un plazo de hasta 10 días hábiles a partir que se identifique al o los responsables.

SECCIÓN TERCERADe las autoridades facultadas para imponer las sanciones

Artículo 81. La autoridad facultada para imponer las sanciones a quien incurra en contravenciones en materia de criptografía establecidas en el presente Reglamento, es el

jefe de los funcionarios del Ministerio del Interior que ejercen la actividad de inspecciónen esta materia.

Artículo 82.1. Ante contravenciones en las que resulte necesaria la ocupación de losequipos y medios utilizados en los hechos que puedan resultar aplicable la sanción dedecomiso, los funcionarios que ejercen la actividad de inspección en materia de cripto-grafía, son los responsables de su conservación, guarda y custodia, previa elaboración delcorrespondiente expediente. 2. El expediente debe contener el documento que acredite la infracción cometida, des-cripción de la infracción, responsable, así como la resolución correspondiente y el acta de ocupación en la que se detalle las características del medio, su estado, marca, modelo, año de fabricación, número de serie y todos aquellos datos que permitan su identificacióne individualización.

SECCIÓN CUARTADe las recursos y autoridades facultadas para resolverlos

Artículo 83. Las personas naturales y jurídicas a las que se les imponga las sanciones previstas en el

Artículo 79, pueden interponer recurso de reforma ante la autoridad pre-vista en el

Artículo 81, en el plazo de diez días hábiles contados a partir de la fecha de su notificación; el que lo resuelve en el término de hasta treinta días naturales posteriores a la fecha en que se recibe la reclamación, y se le notifica al interesado en los cinco díassiguientes.

Artículo 84. La persona inconforme con lo resuelto, puede interponer recurso de alza-da ante el jefe inmediato de quien resolvió el recurso de reforma, en el plazo de diez días hábiles contados a partir de la fecha de notificación de la resolución; el que lo resuelve en el término de hasta cuarenta y cinco días naturales posteriores a la fecha en que se recibe el recurso, y se le notifica al interesado en los cinco días siguientes.

Artículo 85. Contra la resolución que resuelve el recurso de alzada no procede ningún otro recurso en la vía administrativa y queda expedita la vía judicial, de acuerdo con lodispuesto en la legislación vigente.

Artículo 86. Los recursos de reforma y alzada se presentan por escrito con los datossiguientes: 1. Generales y dirección del reclamante.2. Número de serie del talón de la multa impuesta; número y fecha de la Resolución por la cual se dispuso el decomiso o suspensión temporal o definitiva de la autori-zación para prestar servicios en la esfera de la criptografía. 3. Síntesis de los hechos.4. Fundamentos en que se basa la reclamación.

DISPOSICIONES ESPECIALESPRIMERA: El ministro del Interior, cuando proceda el decomiso de los equipos y me-dios utilizados en los hechos previstos como contravención, es la autoridad facultada para dar el destino socioeconómico más útil al país de los bienes decomisados, una vez hecha firme la resolución que lo dispuso.

SEGUNDA: El ministro del Interior, a propuesta de la Dirección de Criptografía y previa consulta de las autoridades que corresponda, somete a la aprobación del Presidente de la República las regulaciones que puedan resultar necesarias para asegurar la proteccióncriptográfica del intercambio de información de los órganos estatales, organismos de la Administración Central del Estado, entidades del Estado, el sistema empresarial y las organizaciones políticas, sociales y de masas, con las sedes diplomáticas, representacionescomerciales y empresariales cubanas en el exterior.

DISPOSICIONES FINALESPRIMERA: Los ministros de las Fuerzas Armadas Revolucionarias y del Interior adecuan la aplicación de las disposiciones establecidas en el presente Decreto, para ajustarlosa las características internas de ambos organismos.

SEGUNDA: Los servicios criptográficos que prestan entidades del Ministerio de la Fuerzas Armadas Revolucionarias y el Ministerio del Interior a personas naturales o ju-rídicas no pertenecientes a estos organismos, se ejecutan de acuerdo con lo establecidoen el presente Decreto y demás disposiciones emitidas por el Ministerio del Interior, que garanticen la mejor aplicación y cumplimiento de lo dispuesto.

TERCERA: Derogar, de la Resolución 2 del ministro del Interior “Que pone en vigorlos reglamentos para la criptografía y el servicio cifrado en el territorio nacional y para el servicio central cifrado en el exterior”, de 2 de julio de 2002, el Anexo 1 “Reglamento para la criptografía y el servicio cifrado en el territorio nacional”; y la Resolución 2 del ministro del Interior “Que establece la infraestructura de Llave Pública en interés de la protección criptográfica de la información oficial de la República de Cuba y aprueba el Reglamento para su funcionamiento”, de 1 ro.. de septiembre de 2016.CUARTA: El presente Decreto entra en vigor a los noventa días naturales siguientes a su publicación en la Gaceta Oficial de la República de Cuba.

PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.

DADO en el Palacio de la Revolución, a los 24 días del mes de julio de 2024, “Año 66 de la Revolución”.Manuel Marrero Cruz