En el contexto de la oferta de servicios de certificados SSL y la participación en procesos de contratación pública en Colombia, existen varios mitos y confusiones que deben ser aclarados para evitar malentendidos entre empresarios y proveedores de servicios tecnológicos. En particular, uno de los temas recurrentes es la creencia de que es obligatorio contar con la certificación ONAC para vender certificados SSL en Colombia o participar en procesos de contratación con entidades del Estado a través del SECOP (Sistema Electrónico de Contratación Pública).
A continuación, desmentimos algunos de estos mitos y explicamos la realidad sobre la regulación vigente y los requisitos para ofrecer servicios de certificados SSL en el país.
¿Qué es la certificación ONAC y su relevancia para ofrecer SSL?
La Organización Nacional de Acreditación de Colombia (ONAC) acredita a organismos que realizan evaluaciones de conformidad (como pruebas, certificación e inspección). Aunque la ONAC es importante para algunas áreas, no tiene relación directa con la venta de certificados SSL. A pesar de esto, algunas entidades certificadoras locales, como GSE – Gestión de Seguridad Electrónica, han intentado imponer erróneamente la certificación ONAC como requisito para ofrecer SSL en Colombia.
Es crucial entender que no existe ninguna ley ni norma que exija la certificación ONAC para vender certificados SSL. Esta imposición es una práctica que algunos actores han intentado imponer para reducir la competencia, pero no tiene un fundamento legal.
¿Es obligatorio ser Partner de una entidad certificadora internacional para ofrecer SSL?
Un mito común es que es obligatorio ser partner de una autoridad certificadora internacional (CA, como DigiCert, Comodo, GlobalSign, etc.) para ofrecer SSL en Colombia. Sin embargo, esto no es un requisito legal.
Cualquier empresa puede ofrecer certificados SSL a través de revendedores o distribuidores mayoristas de estas entidades certificadoras. Estos revendedores actúan como intermediarios entre la autoridad certificadora y el cliente final, por lo que no es necesario tener una relación exclusiva o ser partner oficial para vender SSL.
Aunque ser partner de una CA tiene ventajas como descuentos y soporte preferencial, no es un requisito obligatorio para ofrecer este servicio.
El SECOP y los requisitos para participar en procesos de contratación pública
El SECOP (Sistema Electrónico de Contratación Pública) es la plataforma que utiliza el Estado colombiano para contratar bienes y servicios. En los procesos de licitación, las entidades públicas no requieren que los proveedores de SSL cuenten con la certificación ONAC ni que sean partners exclusivos de alguna CA internacional.
Los requisitos técnicos en los contratos del SECOP dependen del objeto del contrato, y en el caso de los certificados SSL, la validación del proveedor se enfoca en la capacidad para ofrecer servicios de calidad y la fiabilidad de los productos. No se requiere una certificación ONAC ni una relación de partnership con las CAs internacionales.
¿Por qué algunas entidades promueven estos requisitos?
Algunas entidades certificadoras locales, como GSE – Gestión de Seguridad Electrónica, han promovido la idea de que la certificación ONAC o ser partner de una CA internacional es necesario para ofrecer SSL en Colombia. Sin embargo, esto parece más una estrategia para reducir la competencia que una necesidad técnica o legal real.
Imponer estos requisitos erróneos crea barreras artificiales para otros competidores, lo que limita el acceso al mercado y afecta la competitividad, los precios y la calidad de los productos.
¿Qué requisitos legales realmente existen para vender SSL en Colombia?
En Colombia, no existen leyes o normativas que exijan certificación ONAC ni una relación de partner con una entidad certificadora internacional para vender SSL o participar en contrataciones públicas relacionadas con seguridad informática. Lo único que se debe garantizar es que los certificados SSL ofrecidos sean emitidos por una autoridad certificadora confiable y que las empresas tengan la capacidad técnica para brindar el servicio.
Lo que realmente importa es el cumplimiento de normativas de seguridad, como la Ley 1581 de 2012 sobre Protección de Datos Personales, que establece las medidas de protección de la información. Las entidades públicas que requieran servicios de SSL deben enfocarse en la calidad, la validez de los certificados y la seguridad, no en la certificación ONAC o el estatus de partner.
Conclusión
No es necesario tener la certificación ONAC para vender certificados SSL en Colombia ni para participar en procesos de contratación pública a través del SECOP. La exigencia de esta certificación es una práctica sin fundamento legal que algunos actores del mercado han intentado imponer.
Tampoco es obligatorio ser partner de una entidad certificadora internacional para ofrecer SSL. Los revendedores pueden acceder a certificados SSL a través de distribuidores mayoristas, lo que les permite ofrecer estos servicios sin la necesidad de relaciones formales con las CAs internacionales.
Es importante que las empresas entiendan los requisitos legales reales para evitar caer en falsas exigencias y ofrecer productos y servicios de calidad en conformidad con la normativa vigente en Colombia.
