(*) El bien asegurado puede ser un
vehículo o una persona. Si viene registro tipo 3 no debe informarse
registro tipo 4 y viceversa.
(**) Es indistinto informar uno u otro, lo importante es no repetirlos.
(***) El tipo de Endoso y Número de Endoso en un Alta deben venir en
cero.
Los registros deben estar completos y cumplir con el diseño
especificados en el Instructivo “Diseño y Contenidos de Registros” del
presente Anexo.
(*) En una póliza de flota pueden
coexistir los dos tipos de registros. Puede tratarse de una flota
exclusiva de vehículos o exclusiva de personas, o combinación. En
síntesis, si bien son condicionales, al menos uno de los dos es
requerido.
(**) El tipo de Endoso y Número de Endoso en un Alta deben venir en
cero.
Los registros involucrados en un alta de póliza de flota pueden ser
informados todos juntos o informar un alta del primer bien asegurado y
luego informar los demás bienes como endoso con tipo de endoso Alta de
Bien Asegurado.
2. Endoso de una Póliza
Registros requeridos
2.1.1. Endoso por Alta de un Asegurado.
El registro tipo uno deberá informar
el tipo de novedad ‘E’, el Tipo de Endoso, el Número de Endoso y el
Código de Seguimiento de la póliza a actualizar.
El registro tipo dos deberá ser informado con el tipo de novedad ‘A’.
El registro tipo nueve debe ser informado en caso de Póliza de Flota, y
debe informarse con tipo de novedad ‘A’, uno por cada Bien Asegurado
relacionado con el nuevo Asegurado.
El registro tipo seis, si correspondiese, deberá ser informado con el
tipo de novedad ‘M’ o ‘A’ según corresponda.
El registro tipo ocho, si correspondiese, deberá ser informado con el
tipo de novedad ‘M’.
2.1.2. Endoso por Alta de un Bien Asegurado.
El registro tipo uno deberá informar
el tipo de novedad ‘E’, el Tipo de Endoso, Número de Endoso y el Código
de Seguimiento de la póliza a actualizar.
El registro tipo tres/cuatro deberá informar el tipo de novedad ‘A’.
Los registros tipo cinco deberá informar el tipo de novedad ‘A’.
Los registros tipo seis deberán ser informados con el tipo de novedad
‘M’ o ‘A’ según corresponda.
Los registros tipo siete y ocho deberán ser informados con el tipo de
novedad ‘A’.
El registro tipo nueve debe ser informado en caso de Póliza de Flota
con tipo de novedad ‘A’, y debe informarse uno por cada Asegurado
relacionado con el nuevo Bien Asegurado.
2.1.3. Endoso por el Alta de una cláusula
El registro tipo uno deberá informar
el tipo de novedad ‘E’, el Número de Endoso, el tipo de Endoso y el
Código de Seguimiento de la póliza a actualizar.
El registro tipo 5 deberá informar el tipo de novedad ‘A’.
Los registros tipo 6, 7 y 8 deberán informar el tipo de novedad ‘M’ o
‘A’ según corresponda. Deberá informarse al monos uno de estos
registros.
2.1.4. Endoso por Alta de un Monto.
El registro tipo uno deberá informar
el tipo de novedad ‘E’, el Número de Endoso, el tipo de Endoso y el
Código de Seguimiento de la póliza a actualizar.
Los registros seis, siete u ocho que deban informarse, deberán informar
el tipo de novedad ‘A’.
2.1.5. Endoso por cambio de la identificación de un Asegurado.
El registro tipo uno deberá informar
el tipo de novedad ‘E’, el Número de Endoso, el tipo de Endoso y el
Código de Seguimiento de la póliza a actualizar.
El primer registro tipo dos deberá informar el Tipo de Novedad ‘B’ con
el Tipo de Identificación e Identificación a modificar.
El segundo registro tipo dos deberá informar el Tipo de Novedad ‘A’ con
el Tipo de Identificación e Identificación nueva.
2.1.6. Endoso por cambio de la identificación de un Bien Asegurado.
El registro tipo uno deberá informar
el tipo de novedad ‘E’, el Tipo de Endoso, Número de Endoso y el Código
de Seguimiento de la póliza a actualizar.
El primer registro tres/cuatro deberá informar el Tipo de Novedad ‘B’
con el Tipo de Identificación e Identificación a modificar.
El segundo registro tres/cuatro deberá informar el Tipo de Novedad ‘A’
con el Tipo de Identificación e Identificación nueva.
2.1.7. Endoso por Baja de un Asegurado
El registro tipo uno deberá informar
el tipo de novedad ‘E’, el Tipo de Endoso, el Número de Endoso y el
Código de Seguimiento de la póliza a actualizar.
El registro tipo dos deberá informar el tipo de novedad ‘B’, el Código
de Seguimiento de la Póliza, el Tipo de Identificación de Asegurado y
la Identificación del Asegurado a dar de baja.
2.1.8. Endoso por Baja de un Bien Asegurado
El registro tipo uno deberá informar
el tipo de novedad ‘E’, el Tipo de Endoso, el Número de Endoso y el
Código de Seguimiento de la póliza a actualizar.
El registro tipo tres/cuatro deberá informar el tipo de novedad ‘B’, el
Código de Seguimiento de la Póliza, el Tipo de Identificación del Bien
Asegurado y la Identificación del Bien Asegurado a dar de baja.
2.1.9. Endoso por Baja de una Cláusula
El registro tipo uno deberá informar
el tipo de novedad ‘E’, el Número de Endoso, el tipo de Endoso y el
Código de Seguimiento de la póliza a actualizar.
El registro tipo cinco deberá informar el tipo de novedad ‘B’, el
Código de Seguimiento de la Póliza, el tipo de identificación e
identificación del Bien Asegurado, el Tipo de Cláusula, el Tipo de
Cobertura y el Orden de la cláusula a dar de baja.
2.1.10. Endoso por Baja de un Monto
El registro tipo uno deberá informar
el tipo de novedad ‘E’, el Número de Endoso, el tipo de Endoso y el
Código de Seguimiento de la póliza a actualizar.
El registro tipo seis deberá informar el tipo de novedad ‘B’, el Código
de Seguimiento de la Póliza y el tipo de monto a dar de baja.
El registro tipo siete deberá informar el tipo de novedad ‘B’, el
Código de Seguimiento de la Póliza, el Tipo de Identificación del Bien
Asegurado, la Identificación del Bien Asegurado y el tipo de monto a
dar de baja.
El registro tipo ocho deberá informar el tipo de novedad ‘B’, el Código
de Seguimiento de la Póliza, el Tipo de Identificación del Bien
Asegurado, la Identificación del Bien Asegurado, el tipo de cláusula,
el tipo de cobertura, el orden de la cláusula y el tipo de monto a dar
de baja
2.1.11. Endoso por Modificación o Baja de una Póliza o parte de ella.
El registro tipo uno deberá informar
Tipo de Novedad ‘E’, el Código de Seguimiento, el Tipo y Número de
Endoso y sólo los campos que se modifiquen.
Todos los demás registros se informarán:
i) con Tipo de Novedad ‘A’ sólo en el caso de endoso por Renovación y
sólo son necesarios si están involucrados en dicho endoso.
ii) con Tipo de Novedad ‘B’/’M’, para otros casos, según correspondan y
sólo son necesarios si están involucrados en el tipo de endoso
informado.
En este caso general se amparan las refacturaciones, bajas (ej: por
morosidad), rehabilitaciones, renovaciones interanuales, prorrogas de
vigencias, y todo tipo de novedad descripta anteriormente.
3. Modificación o Baja (eliminación) de una Póliza
Registros requeridos
El registro tipo uno deberá informar
Tipo de Novedad ‘M’, el Código de Seguimiento, el Número de Endoso y
sólo los campos que se modifiquen.
Si se trata de dar de baja una póliza completa, con sólo informar el
registro tipo uno con novedad ‘B’ es suficiente. En Caso de dar de baja
algún componente de la misma, deberá informarse el registro tipo uno
como ‘M’.
Todos los demás registros se informarán con Tipo de Novedad ‘B’/’M’
según corresponda y sólo son necesarios si se informan modificaciones
sobre sus datos.
La modificación altera directamente el contenido de la póliza, sin
generar el movimiento de Endoso, dejando el estado anterior en los
acumulados de novedades históricos.
La Baja definitiva o eliminación deja los registros tratados en el los
acumulados de novedades históricos y los elimina de la base de Pólizas.
4. Validaciones Generales
4.1. Registros
Todos los registros deben informar el Código de Seguimiento único
asociado a la póliza objeto de la novedad.
4.2. Datos
Las validaciones de los datos se efectuarán contra las tablas de
códigos de datos provistas por la SSN para tal fin.
4.3. Datos cruzados
Existen datos que no pueden coexistir por ser mutuamente excluyentes
tales como, Agente Institorio y Productor/Organizador.
Se debe evitar remitir registros duplicados o registros innecesarios.
(Ej. los registros 6 y 7 asociados a los montos de la póliza, resulta
innecesario que se informe ambos registros en una póliza individual).
4.4. Incompatibilidades, correspondencias o dependencias
Se validará la dependencia entre cláusulas y las incompatibilidades de
las mismas.
4.5. Identificación de un Bien Asegurado con Tipo de identificación “NO
INFORMADO” (NI)
El campo correspondiente a la identificación del Bien Asegurado deberá
informarse de la siguiente manera: Las primeras cuatro (4) posiciones
se completarán con el código único de identificación de la compañía y a
continuación, separados por un guión (—) deberá completarse con valores
designados por la Entidad emisora de forma libre.
ANEXO II a) - ACUERDO CON SUSCRIPTORES
Introducción
El presente acuerdo comporta para el interesado la aceptación de todos
los términos y condiciones en él detallados, dado que al utilizar un
certificado digital emitido por la Autoridad Certificante de Firma
Electrónica de la SSN, el interesado asume el carácter de parte
(usuario suscriptor) y, en tal carácter, queda obligado bajo los
términos de los procedimientos de certificación que regulan a la
presente Autoridad Certificante.
1. Solicitud de Certificado y Descripción de los Certificados
En el marco del presente Acuerdo el suscriptor realiza los siguientes
compromisos para que la solicitud, aceptación y uso de su Firma
Electrónica adquiera plena legitimidad y eficacia jurídica, a saber:
• Toda información que suministrare a la SSN en la solicitud del
certificado será veraz.
• La información suministrada en la Solicitud del Certificado no ha
sido ni será utilizada por quien suscribe— para ningún propósito
contrario a la Política de Certificación que contiene el presente
Acuerdo.
• El suscripto asume ser la única persona que ha tenido y tendrá único
y exclusivo acceso a su clave privada y, asimismo, se responsabiliza
plenamente ante la SSN, a efectos de que ningún tercero no autorizado
tenga posibilidad de acceder a la misma.
• Quien suscribe es la única persona que ha tenido y, en lo sucesivo,
tendrá posesión de cualquier frase de comprobación, número de
identificación personal (PIN) y, por ello, ningún tercero tendrá
posibilidad de acceso a tales elementos.
• La utilización del Certificado será, exclusivamente, para propósitos
legítimos y/o autorizados, de conformidad a los términos del presente
Acuerdo.
• El Suscriptor manifiesta su total y expresa conformidad a las
cláusulas que integran el presente Acuerdo como condición esencial y
previa a la obtención de un certificado.
• En caso de ocurrencia de causales fundadas en supuestos de caso
fortuito y/o fuerza mayor, el Suscriptor deberá notificar
fehacientemente cualquier finalización, interrupción o demora en el
cumplimiento de las obligaciones conforme al presente instrumento.
• El Suscriptor expresa conformidad para que la SSN pueda publicar el
listado de certificado revocados y la información respecto de su
situación en el repositorio de información de Certificados.
2. Procesamiento de la Solicitud de Certificado del suscriptor
El proceso de solicitud debe ser iniciado exclusivamente por el
interesado, accediendo en primera instancia a
http://seguro.ssn.gov.ar/prerequisito para obtener el usuario y la
contraseña que posteriormente deberán ser utilizadas para el ingreso a
la aplicación de la Autoridad Certificante (AC) de la SSN,
https://seguro.ssn.gov.ar/, donde deberán elegir el sistema de
“Requerimiento y Gestión de Firma Electrónica” y realizar la solicitud
del Certificado, siguiendo los distintos pasos del aplicativo para
generar la misma. Una vez realizados estos pasos se deberá presentar en
la SSN para remitir la siguiente documentación:
• Formulario SSNSeg001, cumplimentado y firmado por, el destinatario de
Firma Electrónica y el apoderado de la entidad. Todo ello certificado
por escribano público.
• Fotocopia certificada, de la primera y segunda hoja, del DNI del
Firmante.
• Fotocopia certificada del libro de acta, del directorio de la
Entidad, donde conste la designación del Firmante.
• Acuerdo del Suscriptor firmado, el cual estará a disposición del
interesado en el sitio de la AC para su lectura y posterior impresión.
La Autoridad de Registro verificará la identidad del suscriptor y la
posesión de la clave privada vinculada con la solicitud, así como toda
otra información contenida en la misma.
Cumplidos los recaudos del proceso de identificación y autenticación de
acuerdo con la Política de Certificación y una vez completada y
aprobada la solicitud por la Autoridad de Registro, la Autoridad
Certificante emite el correspondiente certificado digital, firmándolo
electrónicamente con su clave privada. El certificado será puesto a
disposición del interesado, notificándolo de modo fehaciente de tal
situación.
Se entiende que el Suscriptor acepta la totalidad de las
responsabilidades establecidas por la Política de Certificación de la
SSN, a partir de la fecha y hora de inicio de validez del certificado
emitido.
El usuario suscriptor debe controlar la corrección de los datos
insertos en el certificado y notificar de cualquier error en su
contenido. En todo caso, la omisión será interpretada como aceptación
tácita de los datos contenidos en dicho certificado digital, no
pudiendo alegar, en lo futuro, disconformidad y/o falta de conocimiento
de los términos del mismo.
3. Obligaciones ante la revocación o expiración
Con respecto a la clave privada, el suscriptor se compromete al uso
responsable de la misma, de acuerdo con los fines estipulados en el
presente Acuerdo y en la Política de Certificación. El usuario
suscriptor asume la responsabilidad derivada del uso indebido de la
clave privada previa a la solicitud de Revocación.
El usuario suscriptor está obligado a iniciar en forma diligente la
revocación inmediata en los siguientes supuestos:
• Sospecha fundada de que la clave privada está comprometida
• Pérdida del dispositivo criptográfico que la contiene
• Desconocimiento/pérdida de la clave de acceso al dispositivo o a su
certificado
• Cambios en los datos contenidos en el Certificado o en el Formulario
de Solicitud
De igual manera, en caso de que la Autoridad de Registro, así lo
considere, puede actuar de oficio e iniciar una Solicitud de revocación.
La Autoridad Certificante tiene un plazo máximo de 24 horas desde el
momento de recibida la solicitud de revocación, a los efectos de
revocar efectivamente un certificado digital emitido y en vigencia.
Ante la expiración o notificación de revocación de su certificado, el
suscriptor no deberá utilizar el mismo para ningún propósito.
4. Política de Privacidad
La SSN en su calidad de Autoridad Certificante establece su Política de
Privacidad de conformidad con la Ley Nº 25.326 de Protección de Datos
Personales, su Decreto Reglamentario Nº 1558/01, Ley Nº 25.506 de Firma
Digital, el Decreto Nº 2628/02 y demás disposiciones reglamentarias
vigentes y aplicables a la especie:
La información a requerir a los terceros y/o suscriptores es la
siguiente: apellidos y nombres, CUIL/DNI, dirección de correo
electrónico, organización, área de desempeño de actividades, y
jurisdicción donde lo hace en caso de corresponder. Asimismo deberá
remitir a la Autoridad de Registro el formulario SSNSeg001 (Anexo 1),
fotocopia certificada del DNI, fotocopia certificada del libro de acta,
del directorio de la Entidad, donde conste la designación del Firmante.
La información recabada será incorporada a los certificados digitales
firmados electrónicamente por la AC, dicha acción tendrá por finalidad
vincular los datos de verificación de firma a su titular.
Dicha información será verificada por la Autoridad de Registro
correspondiente y luego utilizada por la AC para emitir el mencionado
certificado y no será usada para ningún otro fin ajeno a lo estipulado
en la Política de Certificación de la SSN.
La información contenida en los certificados digitales emitidos bajo la
Política de Certificación para Personas Físicas de la SSN será la
siguiente:
• “commonName”, nombre del suscriptor que figura en el documento de
identidad.
• “serialNumber”, número de CUIL/DNI del titular.
• “emailAddress”, dirección de correo electrónico del suscriptor.
• “organizationName”, identifica la Entidad.
• “localityName”, identifica la localidad donde desempeña funciones el
suscriptor.
• “stateOrProvinceName”, identifica la provincia donde desempeña
funciones el suscriptor.
• “countryName”, este campo contiene “ar” en todos los certificados
como identificación del país.
Toda información de carácter personal proporcionada a la AC por
terceros o suscriptores para la tramitación de sus certificados, sea
ésta de carácter obligatorio para acceder al mismo, adicional u
opcionalmente remitida será tratada en los términos de la Ley Nº 25.326
de Habeas Data y demás disposiciones reglamentarias vigentes y
aplicables a la especie. En este sentido, la presente política está en
un todo de acuerdo con la mencionada norma.
A fin de garantizar la seguridad y protección integral de los datos
personales esta AC pone en práctica las siguientes medidas, las cuales
se encuentran más ampliamente descritas en la Política de Certificación
de la SSN:
• Físicas, funcionales y técnicas (las cuales se describirán cuando se
brinde la información de la Política de Seguridad General de la SSN).
• Jurídicas: Toda persona involucrada en el proceso de Firma
Electrónica de esta AC se encuentra obligada, a través de Acuerdos de
Confidencialidad, a proceder al resguardo y protección de los datos
personales que resultan necesarios para la implementación de dicho
proceso.
• Personales: La SSN controla periódicamente a las personas vinculada
con los servicios que presta como Certificador Licenciado a través su
desempeño y legajo laboral.
Por su parte, la SSN informa a terceros y suscriptores de certificados
digitales que los datos que fueron recabados con motivo de los procesos
de la Autoridad Certificante no serán objeto de cesión a ninguna
persona física, jurídica, privada o pública de cualquier nivel, excepto
en caso de requerimiento judicial que así se identificara.
5. Limitaciones de la responsabilidad
5.1. Fuerza mayor
Ninguna de las partes podrá considerar a la otra como responsable por
cualquier finalización, interrupción o demora en el cumplimiento de sus
obligaciones conforme al presente instrumento que resultara como
consecuencia de aquellas causales consideradas como caso fortuito y/o
fuerza mayor (de acuerdo con los artículos 513 y 514 del Código Civil),
siempre y cuando la parte que invoca haya puesto prontamente en
conocimiento de la otra parte de manera comprobable y fehaciente las
circunstancias del hecho, dentro de las 24 hs de conocido el mismo, y
haya tomado las medidas que razonablemente resultan necesarias, bajo
las circunstancias, para mitigar los efectos ocasionados por el hecho
invocado.
6. Contactos
Cuando un usuario o usuario Suscriptor desee o se requiera que envíe
una solicitud, requerimiento y/o cualquier otro medio de notificación
fehaciente a la Autoridad Certificante, dicha comunicación deberá
realizarse por escrito certificado con aviso de retorno.
7. Vigencia
El presente acuerdo será válido desde el momento de la aceptación del
presente Acuerdo y durante la vigencia de su certificado digital, en
tanto y en cuanto, el suscriptor no haya vulnerado ninguna de las
disposiciones que integran el presente acuerdo.
8. Modificaciones a este acuerdo
Toda modificación y/o alteración de los términos del presente Acuerdo,
deberá ser previamente fundado en motivos y/o causas que, a juicio de
la Autoridad Certificante, así lo justifiquen, caso contrario, deberá
desestimarse de pleno derecho tales solicitudes.
SUPERINTENDENCIA DE SEGUROS DE LA NACION
SSNSeg001 - Solicitud de Firma Electrónica
Por la presente me notifico de las siguientes circunstancias:
Son obligaciones de los suscriptores de certificados cumplir con las
previsiones establecidas en la Ley Nº 25.506 de incumbencia para Firma
Electrónica:
• Mantener el control exclusivo de los datos incluidos en el
dispositivo destinado para firma electrónica, no compartirlos, e
impedir su divulgación.
• Utilizar un dispositivo técnicamente confiable de creación de claves
privadas y almacenamiento de los datos de firma electrónica.
• Solicitar la revocación de su certificado al certificador licenciado
ante cualquier circunstancia que pueda haberse comprometido la
privacidad de los datos de su firma electrónica incluidos en el
dispositivo contenedor.
• Debe informar al certificador inmediatamente cualquier modificación
de alguno de los datos contenidos en el certificado de firma
electrónica que hubiera sido objeto de verificación.
• Proveer de modo completo y preciso toda la información necesaria para
la emisión del certificado.
• Utilizar sus certificados de forma adecuada, conforme a lo previsto
en la Política de Certificación.
• Tomar conocimiento de los derechos y obligaciones que se establezcan
en la “Política de Certificación”, en el “Acuerdo con Suscriptor” y en
todo documento aplicable.
• Solicitar la revocación de su certificado en caso de ocurrir algún
cambio que lo excluya de la aplicación de la presente política, como
por ejemplo, la finalización de vínculo laboral con la SSN.
ANEXO II b) - POLITICA DE CERTIFICACION
DE LA SSN
1. - INTRODUCCION
1.1. - Descripción general
Este documento define la Política de Certificación que rige la relación
entre la Superintendencia de Seguros de la Nación (SSN), los
suscriptores de certificados digitales emitidos en el ámbito de la
presente política y los terceros usuarios que reciban información
firmada electrónicamente, de conformidad con la Ley Nº 25.506 y su
Decreto Reglamentario Nº 2628/2002. A su vez, en esta Política se
establecen las responsabilidades de:
- la SSN como Autoridad Certificante de Firma Electrónica,
- la Autoridad de Registro,
- los solicitantes y suscriptores de certificados digitales, y
- los terceros usuarios receptores de documentos firmados
electrónicamente bajo esta política.
1.2 Alcance
La presente política que involucra a la Autoridad Certificante de Firma
Electrónica para Personas Físicas y Aplicaciones vinculadas a las
entidades de seguros y reaseguros en la República Argentina, alcanzará
la firma de las transferencias de pólizas digitales y de actuaciones
administrativas.
La misma será identificada de la siguiente forma:
Nombre: Política de Certificación de Personas Físicas y Aplicaciones
Versión: 1.0
URL: https:// ssn.gov.ar
1.3. - Participantes y aplicabilidad
1.3.1. - Certificador
SSN en su calidad de Autoridad Certificante de Firma Electrónica
desarrolla las tareas de emisión de certificados digitales y listas de
certificados revocados según lo establecido por la Ley 25.506 y sus
normas complementarias.
1.3.2. - Autoridad de Registro
Las tareas relacionadas con la identificación y autenticación de los
solicitantes y suscriptores, la verificación y guarda de la
documentación probatoria son realizadas por la Autoridad de Registro.
En el marco de la presente política la función de Autoridad de Registro
estará bajo la Gerencia de Administración y Operaciones.
1.3.3. - Suscriptores de certificados
Están habilitados para solicitar certificados digitales en el marco de
la presente política de certificación, aquellas personas físicas
vinculadas a las entidades de seguros y reaseguros en la República
Argentina deberán estar debidamente avaladas.
1.3.4. - Aplicabilidad
Los certificados emitidos en el marco de la presente Política de
Certificación podrán ser utilizados únicamente en las actuaciones
administrativas citadas en el punto 1.2.
1.4. - Contacto
Esta Política de Certificación es administrada por:
- Gerencia de Administración y Operaciones
- Sede: Av. Julio Argentino Roca 721 - Ciudad Autónoma de Buenos Aires
- Lunes a Viernes de 10.30 a 17.30 hs
.
- Teléfono: 54-11- 4338-4000 int.
2.- ASPECTOS GENERALES DE LA POLITICA DE CERTIFICACION
2.1. - Obligaciones
2.1.1. - Obligaciones del certificador
Son obligaciones de SSN en su carácter de Autoridad Certificante,
cumplir con:
a) Las previsiones establecidas por la Ley 25.506, de incumbencia para
Firma Electrónica:
- Informar a quien solicita un certificado con carácter previo a su
emisión y utilizando un medio de comunicación las condiciones precisas
de utilización del certificado, sus características, efectos y
responsabilidades, los procedimientos, forma que garantiza su posible
responsabilidad patrimonial y los efectos de la revocación de su propio
certificado. Esa información deberá estar libremente accesible en
lenguaje fácilmente comprensible. La parte pertinente de dicha
información estará también disponible para terceros.
- Abstenerse de generar, exigir, o por cualquier otro medio tomar
conocimiento o acceder bajo ninguna circunstancia, a los datos de
creación de firma electrónica de los titulares de certificados
digitales por él emitidos.
- Mantener el control exclusivo de sus propios datos de creación de
firma electrónica e impedir su divulgación.
- Operar utilizando un sistema informático técnicamente confiable;
- Notificar al solicitante las medidas que ha adoptado para crear
firmas electrónicas y para su verificación confiable, y las
obligaciones que asumirá por el solo hecho de ser titular de un
certificado.
- Recabar únicamente aquellos datos personales del titular del
certificado que sean necesarios para su emisión, quedando el
solicitante en libertad de proveer información adicional.
- Mantener la confidencialidad de toda información que no sea declarada
pública y figure en el certificado.
- Poner a disposición del solicitante de un certificado toda la
información relativa a su tramitación.
- Mantener la documentación de respaldo de los certificados digitales
emitidos, por diez (10) años a partir de su fecha de vencimiento o
revocación.
- Incorporar en su política de certificación los efectos de la
revocación de su propio certificado.
- Publicar en Internet o en la red de acceso público de transmisión o
difusión de datos que la sustituya en el futuro, en forma permanente e
ininterrumpida, la lista de certificados digitales revocados, la
política de certificación e información que considere relevante.
- Revocar su certificado cuando existieren indicios de que los datos de
creación de firma electrónica que utiliza hubiesen sido comprometidos o
cuando el uso de los procedimientos de aplicación de los datos de
verificación de firma digital en él contenidos hayan dejado de ser
seguros.
- Permitir el ingreso de los funcionarios autorizados de la Autoridad
de Aplicación y de los auditores a su local operativo, poner a su
disposición toda la información necesaria y proveer la asistencia del
caso.
- Emplear personal idóneo que tenga la experiencia necesaria para
proveer los servicios ofrecidos y en particular, competencia en materia
de gestión y conocimientos técnicos en el ámbito de incumbencia.
- Disponer de recursos humanos y tecnológicos suficientes para operar
eficientemente.
b) Las previsiones establecidas en el Decreto Nº 2628/02, de
incumbencia para firma electrónica:
- Comprobar por sí o por medio de una Autoridad de Registro que actúe
en nombre y por cuenta suya la identidad y cualquier otro dato de los
solicitantes considerado relevante para los procedimientos de
verificación de identidad previos a la emisión del certificado, según
la Política de Certificación bajo la cual se solicita.
- Mantener a disposición permanente del público las Políticas de
Certificación y el Manual de Procedimientos correspondiente.
- Cumplir cabalmente con las políticas de certificación acordadas con
el titular y con su Manual de Procedimientos.
- Informar al solicitante de un certificado, en un lenguaje claro y
accesible, en idioma nacional, respecto de las características del
certificado solicitado, las limitaciones a la responsabilidad, si las
hubiere, las obligaciones que el suscriptor asume como usuario del
servicio de certificación, su domicilio en la República Argentina y los
medios a los que el suscriptor puede acudir para solicitar
aclaraciones, dar cuenta del mal funcionamiento del sistema o presentar
sus reclamos.
- Disponer de un servicio de atención a titulares y terceros que
permita evacuar las consultas y la pronta solicitud de revocación de
certificados.
- Garantizar el acceso permanente, eficiente y gratuito de los
titulares y terceros al repositorio de certificados revocados.
- Mantener actualizados los repositorios de certificados.
- Abstenerse de generar, exigir, tomar conocimiento o acceder bajo
ninguna circunstancia a la clave privada del suscriptor.
- Cumplir las normas y recaudos establecidos para la protección de
datos personales.
- En los casos de revocación de certificados deberá sustituir en forma
gratuita aquel certificado que ha dejado de ser seguro por otro que sí
cumpla con estos requisitos.
- Ser responsable con los alcances establecidos en la Ley Nº 25.506,
aun en el caso de que delegue parte de su operatoria en Autoridades de
Registro, sin perjuicio del derecho del certificador de reclamar a la
Autoridad de Registro las indemnizaciones por los daños y perjuicios
que aquél sufriera como consecuencia de los actos y/u omisiones de ésta.
Asimismo esta Autoridad Certificante se obliga a:
- Notificar a sus suscriptores ante cualquier acontecimiento que
pudiera ocasionar el compromiso de su clave privada y la generación de
un nuevo par de claves.
- Notificar a sus suscriptores acerca del cese de sus actividades.
- Emitir y distribuir los certificados a sus suscriptores,
informándolos acerca de dicha emisión.
2.1.2. - Obligaciones de la Autoridad de Registro
Son obligaciones de la Autoridad de Registro cumplir con:
a) Las previsiones establecidas en el Decreto Nº 2628/02, de
incumbencia para Firma Electrónica:
- La recepción de las solicitudes de emisión de certificados.
- La validación de la identidad y autenticación de los datos de los
titulares de certificados.
- La validación de otros datos de los titulares de certificados que se
presenten ante ella cuya verificación delegue la SSN.
- La remisión de las solicitudes aprobadas a la SSN.
- La recepción y validación de las solicitudes de revocación de
certificados; y su direccionamiento a la SSN.
- La identificación y autenticación de los suscriptores que soliciten
la revocación de certificados.
- El archivo y la correcta conservación de toda la documentación de
respaldo del proceso de validación de identidad, de acuerdo con los
procedimientos establecidos por la SSN.
- El cumplimiento de las normas y recaudos establecidos para la
protección de datos personales.
- El cumplimiento de las disposiciones que establezca la Política de
Certificación de la SSN, en la parte que resulte aplicable.
b) La protección de sus claves privadas
c) El cumplimiento de todas las medidas de seguridad establecidas por
la SSN en el documento anexo “Pautas para la Autoridad de Registro”.
2.1.3. - Obligaciones de los suscriptores de los certificados
Son obligaciones de los suscriptores de certificados cumplir con:
d) Las previsiones establecidas en la Ley Nº 25.506, de incumbencia
para Firma Electrónica:
- Mantener el control exclusivo de los datos incluidos en el
dispositivo destinado para firma electrónica, no compartirlos, e
impedir su divulgación.
- Utilizar un dispositivo técnicamente confiable de creación de claves
privadas y almacenamiento de los datos de firma electrónica.
- Solicitar la revocación de su certificado al certificador licenciado
ante cualquier circunstancia que pueda haberse comprometido la
privacidad de los datos de su firma electrónica incluidos en el
dispositivo contenedor.
- Debe informar al certificador inmediatamente cualquier modificación
de alguno de los datos contenidos en el certificado de firma
electrónica que hubiera sido objeto de verificación.
- Proveer de modo completo y preciso toda la información necesaria para
la emisión del certificado.
- Utilizar sus certificados de forma adecuada, conforme a lo previsto
en la Política de Certificación.
- Tomar conocimiento de los derechos y obligaciones que se establezcan
en la “Política de Certificación”, en el “Acuerdo con Suscriptor” y en
todo documento aplicable.
- Solicitar la revocación de su certificado en caso de ocurrir algún
cambio que lo excluya de la aplicación de la presente política, como
por ejemplo, la finalización de vínculo laboral con la SSN.
2.1.4. - Obligaciones de los terceros usuarios
Son obligaciones de los terceros usuarios de certificados:
- Conocer los alcances de la Política de Certificación conforme los
“Términos y condiciones con terceros usuarios”.
- Rechazar la utilización del certificado para fines distintos a los
previstos en la Política de Certificación que lo respalda y de usarlo
conforme a los “Términos y condiciones con terceros usuarios”.
- Verificar la validez del certificado consultando la Lista de
Certificados Revocados publicadas por el Certificador.
2.1.5. - Obligaciones del servicio de repositorio
Son obligaciones del servicio de publicación y repositorio del SSN
cumplir con:
e) Las previsiones establecidas en la Ley Nº 25.506, de incumbencia
para Firma Electrónica:
- Publicar en Internet o en la red de acceso público de transmisión o
difusión de datos que la sustituya en el futuro, en forma permanente e
ininterrumpida, la lista de certificados digitales revocados, la
política de certificación, la información relevante de los informes de
la última auditoría de que hubiera sido objeto y su manual de
procedimientos, en su parte pública.
f) Las previsiones establecidas el Decreto Nº 2628/02, de incumbencia
para Firma Electrónica:
- Garantizar el acceso permanente, eficiente y gratuito de los
titulares y terceros al repositorio de certificados revocados.
- Mantener actualizados los repositorios de certificados.
- Cumplir las normas y recaudos establecidos para la protección de
datos personales.
g) Disponer y dedicar los recursos necesarios para garantizar la
seguridad de los datos almacenados, desde el punto de vista técnico y
legal.
2.2. - Responsabilidades
En un todo de acuerdo con la Ley Nº 25.506 de Firma Digital, Capítulo
IX, existirán dos supuestos de responsabilidad civil:
1) La existente entre este certificador licenciado que emite un
certificado respecto del titular de dicho certificado.
Sin perjuicio de las previsiones de la citada ley, y demás legislación
vigente, la relación entre la SSN y el titular de un certificado
emitido por la autoridad certificante de la SSN se regirá por el
contrato o acuerdo de partes que se celebre a tal efecto. En este
sentido, la relación quedará encuadrada dentro del ámbito de
responsabilidad civil contractual.
La SSN no se hace responsable por los daños y perjuicios que hubieran
acontecido por culpa de un tercero, de la víctima, o la presencia de un
hecho fortuito o de fuerza mayor que no le sea imputable, quedando
eximido de resarcir total o parcialmente los daños causados a la
víctima en caso de que probara su falta de culpa, o que actuó
diligentemente.
En caso de comprobarse la falta de diligencia, por parte del
Superintendencia de Seguros de la Nación (SSN), de acuerdo a lo
dispuesto por los artículos 520 y 521 del Código Civil, se deberá
proceder a indemnizar los daños y perjuicios que sean consecuencia
inmediata del hecho dañoso.
2) La que podría presentarse entre SSN y un tercero.
Con respecto a la responsabilidad de la SSN por actos que pudieran
afectar los intereses de un tercero, en el marco de la presente
operatoria, será responsable por los daños y perjuicios que provoque,
por los incumplimientos, las imprevisiones, por los errores u omisiones
que presenten los certificados digitales que expida, por no revocarlos
en legal tiempo y forma y, por las consecuencias imputables a la
inobservancia de procedimientos de certificación pertinentes.
Dado que SSN no está contratando con terceros la responsabilidad civil
será de carácter extracontractual.
Limitaciones
Se excluye la responsabilidad civil de la SSN, en un todo de acuerdo
con el artículo 39 de la ley 25.506, en los siguientes casos:
- Por las condiciones de emisión y utilización de sus certificados, que
no estén expresamente previstos en la ley.
- Por los daños y perjuicios que resulten del uso no autorizado de un
certificado.
- Por eventuales inexactitudes en el certificado que resulten de la
información facilitada por el titular.
Ninguna de las partes podrá considerar a la otra como responsable por
cualquier finalización, interrupción o demora en el cumplimiento de sus
obligaciones conforme al presente instrumento que resultara como
consecuencia de aquellas causales consideradas como fuerza mayor o caso
fortuito (de acuerdo con el Código Civil), siempre y cuando la parte
que la invocare haya puesto prontamente en conocimiento de la otra
parte de manera comprobable y fehaciente las circunstancias del hecho,
dentro de las 24 horas de conocido el mismo, y haya tomado las medidas
que razonablemente que resultan necesarias, bajo las circunstancias,
para mitigar los efectos ocasionados por el hecho de fuerza mayor
invocado.
2.3. - Interpretación y aplicación de las normas
2.3.1. - Legislación aplicable
La presente Política de Certificación se rige por la Ley 25.506, el
Decreto Reglamentario Nº 2628/2002 y demás normas concordantes dictadas
por la autoridad competente.
2.3.2. - Procedimientos de resolución de conflictos
Se deja constancia de que cualquier controversia y/o conflicto
resultante de la aplicación de esta Política de Certificación, podrá
ser resuelta en sede administrativa de acuerdo a lo establecido por la
Ley Nacional de Procedimientos Administrativos Nº 19.549 y su Decreto
Reglamentario Nº 1759/72.
2.4. - Aranceles
Los certificados emitidos bajo la presente política son gratuitos y no
se aplica ningún tipo de arancel o tasa por su solicitud, emisión,
renovación, revocación o utilización.
2.5. - Publicación y Repositorios de certificados y listas de
certificados revocados (CRLs)
2.5.1. - Publicación de información del certificador
Se mantiene un repositorio en línea accesible durante las 24 hs los 7
días de la semana en las siguientes direcciones:
- http://ssn.gov.ar/servicios
La SSN publica las versiones vigentes de los siguientes documentos:
a) Acuerdo con Suscriptores
b) Política de Privacidad
c) Términos y condiciones con Terceros Usuarios
d) Manual de Procedimientos de Certificación en su parte pública
e) Política de Certificación.
f) Lista de Certificados Revocados (CRL) de la “Autoridad Certificante
para Personas Físicas vinculadas al SSN”
2.5.2. - Frecuencia de publicación
Producida una actualización de los documentos relacionados con el marco
legal u operativo de la Autoridad Certificante, enunciados en el punto
anterior, los documentos actualizados se publicarán dentro de las
VEINTICUATRO (24) horas, luego de ser aprobados por la Autoridad de
Aplicación.
Asimismo, toda vez que se produzca una revocación, la Autoridad
Certificante para Personas Físicas vinculadas al SSN emite una lista de
certificados revocados actualizada en un plazo máximo de VEINTICUATRO
(24) horas de aceptado el requerimiento de revocación. Dicha lista
indica claramente la fecha y hora de la última actualización.
2.5.3. - Controles de acceso a la información
No se establecen restricciones al acceso de los sitios de publicación
de documentación citada en el punto 2.6.1. Los suscriptores que acceden
a la Intranet de la SSN deberán hacerlo a través de su identificación
de acceso a la red de la Organización.
2.5.4. - Repositorios de certificados y listas de revocación
Los repositorios de información y la publicación de la Lista de
Certificados Revocados son administrados en forma directa por la SSN.
2.6. - Confidencialidad
Todos los datos correspondientes a las personas físicas a las cuales
alcance esta Política de Certificación están sujetos a la Ley Nº 25.326
de Protección de los Datos Personales.
Como principio general, se establece que toda información remitida por
el solicitante de un certificado al momento de efectuar un
requerimiento debe ser considerada confidencial y no ser divulgada a
terceros sin el consentimiento previo del solicitante o suscriptor,
salvo que sea requerida en causa judicial por un juez competente.
Esta exigencia se extiende a toda otra información referida a los
solicitantes y suscriptores de certificados a la que tenga acceso a la
SSN o la Autoridad de Registro (AR) durante el ciclo de vida del
certificado.
2.6.1. - Información confidencial
La protección abarca a la siguiente información, en la medida en que no
sea de conocimiento público:
- Toda la información remitida por el solicitante o suscriptor a la
Autoridad de Registro.
- Cualquier información almacenada en servidores o bases de datos
destinadas a Firma Electrónica de la SSN.
- Cualquier información impresa o transmitida en forma verbal referida
a procedimientos, manual de procedimientos, etc., salvo aquellos que en
forma expresa fueran declarados como no confidenciales.
- Cualquier información referida a controles o procedimientos de
Seguridad, registros de auditoría creados y/o mantenidos por la SSN.
- La presente es de carácter enunciativo, resultando confidencial toda
información del proceso de Firma Electrónica, que expresamente no
señale lo contrario.
La SSN se compromete a publicar exclusivamente los datos del suscriptor
imprescindibles para el reconocimiento de su firma electrónica.
A los efectos de lo dispuesto en la normativa citada, se informa al
solicitante o suscriptor de la existencia de certificados revocados.
SSN, como responsable de dicha lista, se compromete a poner los medios
a su alcance para evitar la alteración, pérdida, tratamiento o acceso
no autorizado de los datos de carácter personal contenidos en ese
listado. A su vez, se informa al solicitante o suscriptor sobre el
derecho que le asiste a acceder o rectificar sus datos de carácter
personal siempre que se aporte la documentación necesaria para ello.
Toda información que no sea considerada como pública revestirá el
carácter de confidencial, declarándose expresamente como tal a:
La clave privada de la Autoridad Certificante:
- La Autoridad Certificante garantiza la confidencialidad frente a
terceros de su clave privada.
Las claves privadas del solicitante o suscriptor:
- Para garantizar la confidencialidad de las claves de autentificación
y firma del solicitante o suscriptor, la Autoridad Certificante de la
SSN proporcionará los medios para que la generación de dichas claves
sólo se realice de modo seguro a través de un dispositivo
criptográfico. Dichas claves serán generadas por el propio solicitante
y almacenadas en un dispositivo criptográfico. La Autoridad de Registro
(AR) como la Autoridad Certificante (AC) no tendrán la posibilidad de
almacenar, copiar o conservar cualquier tipo de información que sirva
para reconstruir estas claves ni activarlas.
2.6.2. - Información no confidencial
Se considera información pública y, por lo tanto, accesible por
terceros a:
a) Acuerdo con Suscriptores
b) Política de Privacidad
c) Términos y condiciones con Terceros Usuarios
d) Manual de Procedimientos de Certificación en su parte pública.
e) Política de Certificación.
f) Lista de Certificados Revocados (CRL) de la “Autoridad Certificante
para Personas Físicas de la SSN”.
2.6.3. - Publicación de información sobre la revocación o suspensión de
un certificado
No serán consideradas de carácter confidencial las listas de
certificados revocados.
La ley 25.506 no admite la suspensión de certificados.
2.6.4. - Divulgación de información a autoridades judiciales
La SSN podrá revelar información confidencial si es requerida por
autoridad judicial o administrativa competente y conforme las
condiciones de dicho requerimiento.
2.6.5. - Divulgación de información como parte de un proceso judicial o
administrativo
La SSN podrá revelar información confidencial si es requerida en el
marco de procesos judiciales, administrativos u otros procesos legales,
tales como citaciones, interrogaciones o solicitud de pruebas.
2.6.6. - Divulgación de información por solicitud del suscriptor
De acuerdo con el artículo 14 de la Ley Nº 25.326 de Protección de los
Datos Personales, el titular de los datos, previa acreditación de su
identidad, tiene derecho a solicitar y obtener información respecto de
los datos que sobre su persona obren en los bancos de datos públicos, y
de acuerdo con las condiciones establecidas en esta ley. En este caso
se preverá el acceso a la lectura de información de la Base de Datos de
Firma Electrónica esté circunscrito a los datos personales del
suscriptor y sólo a ellos.
2.6.7. - Otras circunstancias de divulgación de información
La SSN no divulgará información confidencial a terceros bajo ninguna
otra circunstancia que las previstas en los apartados anteriores,
excepto en los casos de excepción previstos en el artículo 11 de la Ley
Nº 25.326.
3. - IDENTIFICACION Y AUTENTICACION
3.1. - Registro inicial
3.1.1. - Tipos de Nombres
No se establecen restricciones a los nombres que pueden ser incluidos
dentro de los certificados, en tanto se correspondan con la
documentación probatoria exigida para la emisión de certificados por
esta política.
3.1.2. - Necesidad de Nombres Distintivos
Los siguientes atributos son incluidos en los certificados e
identifican unívocamente al suscriptor:
“commonName” (OID 2.5.4.3: Nombre común):
Se corresponde exactamente con el nombre que figura en el documento de
identidad del suscriptor.
“serialNumber” (OID 2.5.4.5: Número de serie):
Contiene el número de CUIL / DNI del titular. El campo se representa
bajo el formato: “CUIL [número de CUIL] / DNI”
“emailAddress” (OID 1.2.840.113549.1.9.1: Correo electrónico):
Está presente en todos los certificados y contiene la dirección de
correo electrónico del suscriptor.
“title” (OID 2.5.4.12: Título):
En caso de estar presente en el certificado identifica el rol o función
asignada al suscriptor. Este atributo se encuentra funcionalmente
vinculado con los siguientes atributos:
“organizationalUnitName” (OID 2.5.4.11: Nombre de la suborganización):
En caso de estar presente en el certificado, identifica en que área se
desempeña el suscriptor. Pueden existir varías ocurrencias de este
atributo, representando la dependencia jerárquica de las áreas dentro
de la organización.
“organizationName” (OID 2.5.4.10: Nombre de la organización):
Nombre de la entidad de seguros del suscriptor.
“tipo de vinculación” (campo optativo):
Identifica a la persona con la Entidad u Organización a la que
pertenece.
“localityName” (OID 2.5.4.7: Localidad):
En caso de estar presente en el certificado identifica la localidad
donde desempeña funciones el suscriptor. Este atributo se encuentra
funcionalmente vinculado con los dos siguientes atributos (Provincia y
Código de país).
“stateOrProvinceName” (OID 2.5.4.8: Provincia):
En caso de estar presente en el certificado identifica la provincia
donde desempeña funciones el suscriptor.
“countryName” (OID 2.5.4.6: Código de país):
Debido a que los suscriptores de la presente política desempeñan
funciones dentro de la del territorio Nacional este campo contiene “AR”
en todos los certificados.
3.1.3. - Reglas para la interpretación de nombres
Todos los nombres representados dentro de los certificados emitidos
bajo la presente política coinciden con los de su documento personal.
En casos de coincidencia de nombres, el método de resolución será la
combinación del “Nombre común” con los atributos “Número de serie” y
“Descripción”.
3.1.4. - Unicidad de nombres
El nombre distintivo de cada certificado es único para cada suscriptor.
Si dos o más suscriptores tuvieran el mismo nombre y apellido, la
unicidad queda resuelta por medio de los atributos citados en el punto
3.1.3.
3.1.5. - Métodos para comprobar la posesión de la clave privada
Para la comprobación de la posesión de la clave privada se utiliza el
siguiente procedimiento:
a) El solicitante es partícipe directo y necesario para la generación
de su par de claves criptográficas asimétricas.
b) Durante el proceso de solicitud, el solicitante es requerido para la
generación de un par de claves criptográficas asimétricas.
c) Las claves son generadas y almacenadas en dispositivos
criptográficos.
d) Los datos de la solicitud y el requerimiento con la clave pública
del solicitante, en formato PKCS#10, son enviados a la aplicación de la
Autoridad Certificante.
e) La aplicación de la Autoridad Certificante valida el requerimiento
PKCS#10.
f) En caso de ser correcto el formato, la aplicación de la Autoridad
Certificante entrega al solicitante un “recibo de solicitud” incluyendo
el resumen criptográfico (huella SHA-1).
g) El solicitante debe imprimir el “recibo de solicitud” para entregar
a la Autoridad de Registro en el proceso de identificación y
autenticación.
La aplicación de la Autoridad Certificante, una vez que emita el
certificado, eliminará automáticamente el requerimiento PKCS#10
asociado a ese certificado, con el fin de evitar que se genere un nuevo
certificado con dicho requerimiento.
3.1.6. - Autenticación de la identidad de personas físicas
El proceso de solicitud debe ser iniciado exclusivamente por el
solicitante, accediendo a la aplicación de la Autoridad Certificante de
Personas Físicas vinculadas a la SSN.
El solicitante debe presentarse personalmente frente a la Autoridad de
Registro habilitada donde acreditará fehacientemente su identidad,
acompañando la siguiente documentación:
• Documento de Identidad y fotocopia:
- Documento Nacional de Identidad o
- Libreta de Enrolamiento o
- Libreta Cívica
• Nota de Autorización (original y copia), dirigida al responsable de
la Autoridad de Registro y consignando los siguientes datos:
- Motivos o causas por los cuales requiere un certificado de la AC-SSN.
- Tipo y Número de Documento de Identidad.
- Organismo / Entidad, Area a la que pertenece y cargo que desempeña.
- Firma del máximo responsable del área.
- Certificación por la Mesa de Entradas, Salidas y Archivo.
• Recibo de solicitud, impreso.
La Autoridad de Registro verificará la identidad del solicitante, la
documentación que presenta y el resumen criptográfico (huella SHA-1)
vinculada con la solicitud, así como toda otra información contenida en
la solicitud.
Posteriormente, la aceptación o rechazo de la solicitud será informada
al solicitante por correo electrónico y también podrá consultarse su
estado, a través de la aplicación de la Autoridad Certificante.
3.2.- Generación de nuevo par de claves (rutina de Re Key)
En caso de que el suscriptor requiera generar un nuevo par de claves
deberá realizar el proceso de solicitud completo, incluyendo el envío
de la solicitud y la presentación frente a la Autoridad de Registro
para validar su identidad.
3.3. - Generación de nuevo par de claves después de una revocación -
Sin compromiso de clave
En caso de que el suscriptor requiriera generar un nuevo par de claves
deberá realizar el proceso de solicitud completo, incluyendo el envío
de la solicitud y la presentación frente a la Autoridad de Registro
para validar su identidad.
3.4. - Requerimiento de revocación
La revocación podrá ser iniciada por el Suscriptor y la Autoridad de
Registro.
Los suscriptores podrán solicitar la revocación de su certificado de la
siguiente forma:
a) Ingresando a la aplicación de la Autoridad de Certificante desde:
http://ssn.gov.ar/servicios
Selecciona el certificado a revocar y envía la solicitud. Ingresando a
la aplicación de la Autoridad de Certificante desde:
https://ssn.gov.ar/servicios
b) Presentándose personalmente ante la Autoridad de Registro, en este
caso quedará asentado en un Libro de Actas de la Autoridad de Registro.
La Autoridad de Registro podrá iniciar de oficio la revocación de
certificados, según lo indicado en el “4.4.1. - Causas de revocación”.
La Autoridad de Registro procede a ingresar a la aplicación de la
Autoridad Certificante, selecciona el certificado perteneciente al
suscriptor y procede a la revocación.
4. - CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS
4.1. - Solicitud de certificado
4.1.1. - Solicitud de emisión
El proceso de solicitud de emisión de certificado debe ser iniciado
exclusivamente por el solicitante, quien debe acreditar fehacientemente
su identidad según se indica en “3.1.6. - Autenticación de la identidad
de personas físicas”.
Para poder efectuar la solicitud de un certificado, los solicitantes
deben:
a) Estar conectados a Internet
b) Utilizar un sistema operativo Windows 2000, XP o superior
c) Utilizar Internet Explorer versión 6.0 o superior como navegador
d) Estar autorizado para acceder a la aplicación de la Autoridad
Certificante.
e) Poseer un dispositivo criptográfico inicializado, operativo y con
controladores instalados.
Para iniciar el pedido de emisión del certificado, el solicitante debe
ingresar al sitio de Internet de SSN y seleccionar el enlace a la
aplicación de la Autoridad Certificante.
La aplicación de la Autoridad Certificante verifica que la estación de
trabajo del solicitante cumple con los requerimientos técnicos mínimos
y presenta la pantalla del proceso de solicitud y a continuación
muestra el “Acuerdo con Suscriptores”.
La siguiente información es presentada al solicitante para su
verificación:
a) Apellidos y Nombres
b) E-mail
c) CUIL
d) Organismo / Entidad
e) Cargo
f) Dependencia y Area
g) Localidad y Provincia
h) Observaciones
El solicitante deberá verificar los datos presentados. En casos de ser
los datos correctos, el solicitante completa los campos del formulario
habilitados, selecciona la opción “Enviar” y se genera un nuevo par de
claves, luego de lo cual, la aplicación de la Autoridad Certificante
remite los datos de la solicitud y el requerimiento con la clave
pública del solicitante, en formato PKCS#10.
La aplicación de la Autoridad Certificante entrega al solicitante un
“recibo de solicitud” incluyendo el resumen criptográfico (huella
SHA-1).
El solicitante deberá imprimir el “recibo de solicitud” para entregar a
la Autoridad de Registro en el proceso de identificación y
autenticación.
Luego, la aplicación de la Autoridad Certificante, envía notificaciones
de correo electrónico a los siguientes actores:
a) Al solicitante, a los efectos de informar la documentación a
entregar ante la Autoridad de Registro según lo indicado en “3.1.6. -
Autenticación de la identidad de personas físicas” y los plazos para
presentarse.
b) A la Autoridad de Registro, a fin de informar una nueva solicitud de
emisión.
El proceso continúa como se describe en “4.2. - Emisión del
certificado”.
4.1.2. - Solicitud de renovación
El proceso de solicitud de renovación es iniciado exclusivamente por el
suscriptor antes de vencer el período de validez de su certificado. En
el caso de que el certificado hubiera expirado, el suscriptor deberá
iniciar una solicitud de renovación de certificado, siguiendo lo
expresado en el “4.1.1.- Solicitud de emisión”.
Para iniciar la solicitud de renovación de su certificado, el
suscriptor deberá ingresar al sitio Internet de la SSN y seleccionar el
enlace a la aplicación de la Autoridad Certificante.
La aplicación de la Autoridad Certificante verificará que la estación
de trabajo del suscriptor cumple con los requerimientos técnicos
mínimos (según lo indicado en 4.1.1) y presenta la pantalla del proceso
de solicitud de renovación.
El suscriptor deberá seleccionar el certificado a renovar para poder
continuar con el proceso.
La aplicación de la Autoridad Certificante, utilizando la
identificación del usuario, con sesión activa en la estación de
trabajo, obtiene la información del certificado desde la base de datos
de los certificados de la SSN.
El suscriptor deberá verificar los datos presentados por la aplicación.
En caso de que los datos sean incorrectos, no podrá continuar con la
solicitud de renovación y, si así correspondiera, pasar al proceso de
solicitud de revocación según el apartado “4.4.3. - Procedimientos para
la solicitud de revocación”, por encontrarse vigente el certificado y
luego iniciar una nueva solicitud de emisión de certificado siguiendo
lo expresado en el “4.1.1.- Solicitud de emisión”.
En caso de ser los datos correctos, el suscriptor selecciona la opción
“Enviar” y se genera un nuevo par de claves, luego de lo cual la
aplicación de la Autoridad Certificante recibirá los datos de la
solicitud y el requerimiento con la clave pública del suscriptor, en
formato PKCS#10.
La aplicación de la Autoridad Certificante entrega al suscriptor un
“recibo de solicitud de renovación” incluyendo el resumen criptográfico
(huella SHA-1).
El suscriptor deberá imprimir y resguardar el “recibo de solicitud de
renovación” como respaldo de la acción realizada.
La aplicación de la Autoridad Certificante, envía notificaciones de
correo electrónico, a los siguientes actores:
a) Al suscriptor, a los efectos de informar que fue ingresada la
solicitud al circuito de evaluación.
b) A la Autoridad de Registro, a fin de informar de una nueva solicitud
de renovación.
La Autoridad de Registro deberá verificar los datos de la solicitud de
renovación, comparándolos con los oportunamente presentados con la
documentación indicada en “3.1.6. - Autenticación de la identidad de
personas físicas”. El proceso continúa como se describe en “4.2. -
Emisión del certificado”.
4.2. - Emisión del certificado
Cumplidos los recaudos del proceso de identificación y autenticación de
acuerdo con esta Política y una vez completada y aprobada la solicitud
por la Autoridad de Registro, la aplicación de la Autoridad
Certificante emite el correspondiente certificado, firmándolo
electrónicamente con su clave privada. Posteriormente, el certificado
está disponible al suscriptor como un archivo adjunto de un correo
electrónico y/o a través de la aplicación de la Autoridad Certificante.
4.3. - Aceptación del certificado
Una vez notificado de la emisión de un certificado a su nombre, el
suscriptor deberá controlar su contenido y dar su conformidad para
proceder a la instalación y posterior utilización. En caso de que
existiera algún error u omisión en los datos contenidos en el
certificado, deberá informarlo inmediatamente a la Autoridad de
Registro para que ésta proceda a su revocación.
Con la aceptación del certificado, el suscriptor confirma y asume la
exactitud del contenido del mismo, aceptando la totalidad de las
obligaciones y responsabilidades establecidas por esta Política de
Certificación para Personas Físicas vinculadas a la SSN.
4.4. - Revocación de Certificados
4.4.1. - Causas de revocación
La Autoridad Certificante para Personas Físicas vinculadas a la SSN
revocará un certificado en los casos en que:
a) Lo solicite su titular.
b) Lo solicite el titular por tomar conocimiento de que su clave
privada estuviera comprometida y hubiera dejado de ser segura.
c) La SSN determine que el certificado fue emitido en base a una
información falsa, que en el momento de la emisión hubiera sido objeto
de verificación.
d) La SSN determine que los procedimientos de emisión y/o verificación
han dejado de ser seguros.
e) La SSN determine que la información contenida en el certificado ha
dejado de ser exacta o casos tales como: renuncia o despido del
suscriptor, fallecimiento o enfermedad prolongada del suscriptor,
adscripción del suscriptor a otro organismo, licencia por cargo de
mayor jerarquía, licencia por razones personales, entre otros.
f) Lo solicite el máximo responsable del área a la que pertenece el
suscriptor o la máxima autoridad de la SSN, con la debida justificación.
4.4.2. - Autorizados a solicitar la revocación
Las siguientes personas podrán presentar el pedido de revocación ante
la Autoridad de Registro:
a) El suscriptor del certificado.
b) El máximo responsable de la Entidad u Organismo a la que pertenece
el suscriptor.
c) La Autoridad de Registro
d) La máxima autoridad de la SSN
e) La Autoridad Judicial competente
4.4.3. - Procedimientos para la solicitud de revocación
Para solicitar la revocación de su certificado, el suscriptor seguirá
lo indicado en el apartado “3.4. - Requerimiento de revocación”.
La Autoridad de Registro y la Autoridad Certificante conservarán como
documentación probatoria toda solicitud de revocación y el material
probatorio vinculado.
Los suscriptores serán notificados en sus respectivas direcciones de
correo electrónicos del cumplimiento del proceso de revocación.
4.4.4. - Plazo para la solicitud de revocación
La recepción de la solicitud de revocación está disponible a través de
la aplicación de la Autoridad Certificante.
En caso de que el suscriptor se presente personalmente ante la
Autoridad de Registro, la revocación será inmediata.
Luego de la revocación, se emite y publica la nueva lista de
certificados revocados.
4.4.5. - Frecuencia de emisión de listas de certificados revocados
La Autoridad Certificante para Personas Físicas vinculadas a la SSN
genera y publica una única lista conteniendo todos los certificados
revocados por ella, en formato del CRL X.509 v2, con una frecuencia no
mayor a VEINTICUATRO (24) horas.
4.4.6. - Requisitos para la verificación de la lista de certificados
revocados
Para determinar el estado de validez de un certificado, se deben
obtener la CRL vigente, verificar su integridad controlando la validez
de su firma y constatar la inclusión o no del certificado en cuestión.
En los repositorios descriptos en el apartado “2.6.1. - Publicación de
información del certificador” se conserva únicamente la última CRL
emitida. Las versiones anteriores de CRLs emitidas son mantenidas en
los archivos internos de la Autoridad Certificante para Personas
Físicas vinculadas a la SSN.
Si no se pudiera obtener una CRL actualizada, se deberá optar entre
rechazar el documento firmado electrónicamente o aceptarlo bajo
exclusiva responsabilidad de quien consulta.
4.4.7. - Disponibilidad del servicio de consulta sobre revocación y de
estado del certificado
El único mecanismo válido para la verificación del estado de los
certificados es a través de las Listas de Certificados Revocados (CRLs).
4.4.8. - Requisitos específicos para casos de compromiso de claves
Todas las situaciones que involucren el compromiso de las claves
privadas el suscriptor debe informarlas a la SSN por alguna de las vías
indicadas en el punto “4.4.3. - Procedimientos para la solicitud de
revocación”.
La SSN podrá iniciar una investigación para determinar quiénes tuvieron
responsabilidad en el hecho, cuál fue el nivel de exposición al riesgo
de uso fraudulento de las claves, y podrá aplicar las sanciones y
medidas correctivas que resultaren necesarias.
4.5. - Procedimientos de Auditoría de Seguridad
La Superintendencia de Seguros de la Nación (SSN) está sujeto a
auditorías externas que contemplan auditorías de seguridad informática.
4.6. - Plan de contingencia y recuperación ante desastres
El plan de contingencia de la SSN como autoridad certificante de Firma
Electrónica establece los procedimientos y actividades relacionados con
el servicio de certificación y será de aplicación desde el momento de
la declaración de la emergencia hasta la restauración de la operatoria
normal.
La emergencia será declarada cuando se produzca uno de los siguientes:
a) Revocación de su certificado.
b) Compromiso o sospecha de compromiso de su clave privada de la AC-SSN.
c) Destrucción del hardware.
d) Destrucción de las fuentes de energía.
e) Siniestro que afecte a la estructura del edificio.
f) Necesidad de continuar las operaciones en un entorno seguro luego de
desastres naturales o de otra naturaleza.
g) Pérdida de la capacidad de procesamiento de Hardware y/o Software.
h) Necesidad de recuperación ante falla o sospecha de falla de
componentes de hardware, software y datos.
i) Fallas en los sistemas de comunicaciones.
j) Fallas de suministros, como por ejemplo aire acondicionado o líneas
de energía eléctrica estabilizada, por períodos extensos.
En casos de emergencia, el Responsable de Contingencia es el encargado
de administrar el cumplimiento del Plan de Contingencia.
Declarada la contingencia, se integrará un Comité de Contingencia, que
tiene la responsabilidad de dirigir las operaciones de recuperación y
restauración del procesamiento normal, de acuerdo a lo detallado en el
Plan de Contingencia.
4.7. - Plan de Cese de Actividades
Ante la declaración de cese en la prestación de los servicios de
certificación, la SSN mantendrá los registros necesarios para
proporcionar prueba cierta de los servicios de certificación, para lo
cual se realizarán copias de resguardo de los registros, los cuales
serán almacenados en un servidor que opera dentro de instalaciones
seguras.
Toda información digital será resguardada por SSN por un plazo de DIEZ
(10) años, así como toda la documentación de respaldo de las
solicitudes. Si el cese se debiera a la disolución del organismo, los
registros pasarán a manos del MINISTERIO DE ECONOMIA Y FINANZAS
PUBLICAS.
5. - CONTROLES DE SEGURIDAD FISICA, FUNCIONALES Y PERSONALES
5.1. - Controles de seguridad física
Los sistemas de la SSN se encuentran aislados en un recinto, que cuenta
con controles de seguridad física que protegen las instalaciones
informáticas de la SSN. Algunas de sus características comprenden:
a) Sistemas de extinción de fuego.
b) Sistemas de refrigeración.
c) Sistemas de suministro de energía ininterrumpido.
d) Control de acceso restringido.
El acceso a la Sala de Sistemas de la SSN está limitado al personal
autorizado y estrictamente necesario para el mantenimiento y
administración de los sistemas del citado organismo.
El almacenamiento de los datos de activación de la clave privada de la
Autoridad Certificante se realiza en el Recinto de sistemas de la SSN.
Las copias de respaldo de sistemas y de datos de la Autoridad
Certificante se almacenan debidamente rotuladas en una Caja de
Seguridad.
5.2. - Controles Funcionales
Los controles funcionales son cumplidos por personal calificado
asignando a cada uno de ellos un rol específico para la operación de la
Autoridad Certificante para Personas Físicas vinculadas a la SSN.
Los roles son asignados por el Responsable de la AC, respetando los
siguientes criterios:
a) Cada uno de los roles tiene un titular asignado y, por lo menos, un
sustituto.
b) Los roles son asignados a personal que cumple funciones en SSN.
5.3. - Controles de seguridad del personal
El Area de Gestión de Recursos Humanos implementa el análisis y
seguimiento de los antecedentes laborales del personal a través de su
Currículum Vitae y evalúa la idoneidad del aspirante.
5.3.1. - Antecedentes laborales, calificaciones, experiencia e
idoneidad del personal
Para cada persona vinculada con los servicios de certificación, la SSN
confecciona un legajo de antecedentes laborales, calificaciones
profesionales, experiencia e idoneidad.
Todos los antecedentes personales y profesionales son evaluados antes
de la asignación de una persona a un rol en estos servicios.
5.3.2. - Frecuencia de rotación de cargos
No existe rotación entre los distintos cargos de la Autoridad
Certificante.
5.3.3. - Documentación y materiales provistos al personal
Todo el personal involucrado en el funcionamiento de la Autoridad
Certificante es designado en sus funciones y comunicado de las tareas y
procedimientos que debe cumplir.
Del mismo modo, si su función requiere de material adicional, como por
ejemplo dispositivos criptográficos, cajas de seguridad, llaves,
tarjetas de acceso, etc., éstos son entregados como paso previo a
iniciar sus tareas.
En conformidad con el material entregado, el personal firma un acuse de
recibo y compromiso de confidencialidad en los casos correspondientes.
6. - CONTROLES DE SEGURIDAD TECNICA
6.1. - Generación e instalación del par de claves criptográficas
6.1.1. - Generación del par de claves criptográficas
Las claves criptográficas de la Autoridad Certificante son generadas
por personal autorizado, manteniéndose a disposición en dispositivos
criptográficos homologados FIPS 140-2 Nivel 2. Una copia de seguridad
de dicha clave es resguardada en un dispositivo óptico archivado en la
caja de seguridad.
La Autoridad Certificante utiliza claves generadas mediante el
algoritmo RSA con un tamaño de 4096 bits.
La clave criptográfica de la Autoridad de Registro es generada por su
responsable utilizando un dispositivo criptográfico que cuenta con la
certificación FIPS 140-2 Nivel 2.
La Autoridad de Registro genera su clave mediante el algoritmo RSA con
un tamaño mínimo de 1024 bits.
Las claves criptográficas de los suscriptores son generadas y
almacenadas en dispositivos criptográficos FIPS 140-2 Nivel 2.
Los suscriptores generan sus claves mediante el algoritmo RSA con un
tamaño mínimo de 1024 bits.
6.1.2. - Entrega de la clave privada al suscriptor
Las claves privadas de los suscriptores son generadas por ellos mismos
durante el proceso de solicitud, absteniéndose la SSN de generar,
exigir o por cualquier otro medio tomar conocimiento o acceder a sus
datos de creación de firma.
Para la generación y almacenamiento de las claves los suscriptores
cuentan con dispositivos criptográficos externos removibles.
6.1.3. - Entrega de la clave pública al emisor del certificado
La clave pública del solicitante es entregada a la Autoridad
Certificante durante el proceso de solicitud de certificado utilizando
técnicas de “prueba de posesión” de la clave privada asociada.
Los procesos de solicitud utilizan el formato PKCS#10 para implementar
la “prueba de posesión”, remitiendo los datos del solicitante y su
clave pública dentro de una estructura firmada con su clave privada.
Los solicitantes deben probar su identidad y demostrar que la solicitud
les pertenece, presentándose frente a la Autoridad de Registro con un
recibo de la solicitud en el cual se identifica la huella criptográfica
de ésta.
6.1.4. - Tamaño de claves
La AC de la SSN utiliza claves RSA con un tamaño de 4096 bits.
La Autoridad de Registro utiliza claves RSA con un tamaño mínimo de
1024 bits.
Los suscriptores de certificados utilizan claves RSA con un tamaño
mínimo de 1024 bits.
6.1.5. - Generación de claves por hardware o software
Las claves criptográficas de la Autoridad Certificante son generadas
por personal autorizado, manteniéndose a disposición en dispositivos
criptográficos homologados FIPS 140-2 Nivel 2. Una copia de seguridad
de dicha clave es resguardada en un dispositivo óptico archivado en la
caja de seguridad.
Las claves de la Autoridad de Registro son generadas por hardware sobre
dispositivos criptográficos FIPS 140-2 nivel 2.
NOTA: La versión completa de la presente Resolución se puede consultar
en Avda. Julio A. Roca 721 de la Ciudad Autónoma de Buenos Aires.
e. 30/11/2011 N° 160045/11 v. 30/11/2011