La ley 527 de 1999, en su artículo 2º establece las definiciones de mensaje de datos, comercio electrónico, firma digital y entidad de certificación, en los siguientes términos:

a) Mensaje de datos. La información generada, enviada, recibida, almacenada comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax;

b) Comercio electrónico. Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda operación de representación o mandato comercial; todo tipo de operaciones financieras, bursátiles y de seguros; de construcción de obras, de consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial, de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera;

c) Firma digital. Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación;

d) Entidad de Certificación. Es aquella persona que, autorizada conforme a la presente ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales;

(…)”

La Superintendencia de Industria y Comercio, mediante concepto 01042623 del 16 de julio de 2001, explico la forma en que funciona una firma digital en un mensaje de datos:

“ (…) Así las cosas, se tienen que la firma digital es un valor numérico puesto en un documento y que circula con el mismo de una manera completamente electrónica. Estos  valores numéricos son agregados en el documento por su creador mediante una llave privada que sólo él reconoce, previamente asignada por una entidad certificadora.

En el proceso de emisión de un certificado digital, se crean dos llaves o claves en forma simultánea: Una privada y una pública. La llave pública es de conocimiento general y forma parte del certificado digital que será emitido por la entidad y utilizada por el suscriptor para identificarse en Internet. La llave privada, por el contrario, es almacenada en la computadora del solicitante del certificado y es manejada exclusivamente por éste. Los estándares de seguridad exigen que nadie diferente, ni siquiera la autoridad certificante, puedan tener acceso a esta clave privada.

Una vez el mensaje llega al destinatario, éste verifica cuál es el origen del mensaje. La verificación se hace mediante el certificado del creador u originador, el cual contiene el nombre y la llave pública del mismo. Si dicha llave pública logra el efecto de desencriptar o permitir la lectura de la firma contenida en el mensaje, puede tener la seguridad de que éste efectivamente fue creado mediante el uso de la llave privada correspondiente (…)”. Subrayado fuera de texto.

En lo que respecta a entidades de certificación, expresó que:

Según lo establecido por la ley 527 de 1999, entidad de certificación “es la persona que previa autorización de la Superintendencia de Industria y Comercio está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales”.

Señala la misma ley que pueden ser entidades de certificación las personas jurídicas de naturaleza pública o privada, nacionales o extranjeras, así como las cámaras de comercio.

Por su parte el decreto 1747 de 2000, reglamentario de la ley 527 de 1999 señala dos tipos de entidades de certificación cuyas características son las siguientes:

Entidades de certificación cerradas. Estas ofrecen servicios de las entidades de certificación sólo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneración por ello.

Entidades de certificación abiertas. Son aquellas que ofrecen servicios propios de las entidades de certificación de tal manera que su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor o, recibe remuneración por los servicios que prestan.

De éstas se genera tácitamente una clasificación en cuanto a la forma como puede ser autorizada la prestación de los servicios por parte de estas entidades.

Así mismo, la Superintendencia de Industria y Comercio, mediante concepto 02031716 del 28 de mayo de 2002, determino que:

Ahora bien, el mecanismo que brinda mayor seguridad en la verificación de la firma digital es el certificado expedido por una entidad certificadora autorizada por la Superintendencia de Industria y Comercio, el cual contiene el nombre y la clave pública del suscriptor, de modo que, si dicha clave pública unida al mensaje de datos, utilizando un procedimiento matemático conocido, logra el efecto de verificar la firma contenida en el mensaje, puede acreditar la seguridad de su procedencia.