JEFATURA DE GABINETE DE MINISTROS
SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA
SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN
Disposición 1/2015
Bs. As., 2/2/2015
VISTO el Expediente N° CUDAP: EXP-JGM:0000362/2015 del Registro de la
JEFATURA DE GABINETE DE MINISTROS, la Ley N° 25.506, los Decretos Nros.
357 del 21 de febrero de 2002 y sus modificatorios y 2628 del 19 de
diciembre de 2002 y sus modificatorios, la Decisión Administrativa N°
927 del 30 de octubre de 2014 y las Resoluciones Nros. 63 del 13 de
noviembre de 2007 de la ex SUBSECRETARÍA DE LA GESTIÓN PÚBLICA de la
JEFATURA DE GABINETE DE MINISTROS, 87 del 17 de diciembre de 2008 de la
ex SECRETARÍA DE GABINETE Y GESTIÓN PÚBLICA de la JEFATURA DE GABINETE
DE MINISTROS, y 250 del 25 de junio de 2014 de la SECRETARÍA DE
GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE
MINISTROS, y
CONSIDERANDO:
Que la Ley N° 25.506 de Firma Digital, reconoce la eficacia jurídica
del documento electrónico, la firma electrónica y la firma digital,
estableciendo las características de la Infraestructura de Firma
Digital de la REPÚBLICA ARGENTINA.
Que el inciso h) del artículo 30 de la mencionada ley asigna a la
autoridad de aplicación la función de otorgar o revocar las licencias a
los certificadores licenciados y supervisar su actividad, según las
exigencias instituidas por la reglamentación.
Que el artículo 24 del Decreto N° 2628 del 19 de diciembre de 2002 y
sus modificatorios, reglamentario de la Ley N° 25.506 de Firma Digital,
establece el procedimiento que los certificadores deben observar para
la obtención de una licencia y detalla la documentación exigida para el
cumplimiento de las condiciones estipuladas en la Ley N° 25.506, su
decreto reglamentario y normas complementarias.
Que la Decisión Administrativa N° 927 del 30 de octubre de 2014,
establece las pautas técnicas complementarias del marco normativo de
firma digital, aplicables al otorgamiento y revocación de licencias a
los certificadores que así lo soliciten.
Que el Decreto N° 357 del 21 de febrero de 2002 y sus modificatorios,
en el punto XI de la planilla Anexa al artículo 2° faculta a la
SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN dependiente de la SECRETARÍA DE
GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE
MINISTROS, entre otras funciones, para actuar como autoridad de
aplicación del Régimen Normativo de la infraestructura de Firma Digital
establecida por la Ley N° 25.506, y ejercer las funciones de ente
licenciante y supervisor de certificadores.
Que la Resolución N° 63 del 13 de noviembre de 2007 de la ex
SUBSECRETARÍA DE LA GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DE
MINISTROS aprueba la “Política de Certificación de la Autoridad
Certificante Raíz de la Infraestructura de Firma Digital de la
REPÚBLICA ARGENTINA”, que rige la emisión de certificados a los
Certificadores que hayan sido licenciados por el ente licenciante.
Que la Resolución N° 87 del 17 de diciembre de 2008 de la ex SECRETARÍA
DE GABINETE Y GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS
otorga la licencia para operar como Certificador Licenciado a la
ADMINISTRACIÓN NACIONAL DE LA SEGURIDAD SOCIAL.
Que la Resolución N° 250 del 25 de junio de 2014 de la SECRETARÍA DE
GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE
MINISTROS aprueba la renovación de la licencia para operar como
Certificador Licenciado a la ADMINISTRACIÓN NACIONAL DE LA SEGURIDAD
SOCIAL, de acuerdo a lo dispuesto en el artículo 26 del Decreto N°
2628/02 y sus modificatorios.
Que en virtud de las constancias obrantes en el expediente, se han
acreditado las condiciones requeridas por la Decisión Administrativa N°
927/14 para que la ADMINISTRACIÓN NACIONAL DE LA SEGURIDAD SOCIAL en su
calidad de Certificador Licenciado, adhiera a la Política Única de
Certificación, en cumplimiento a lo dispuesto por su artículo 62.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE
COORDINACIÓN ADMINISTRATIVA de la SECRETARÍA DE GABINETE Y COORDINACIÓN
ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la
intervención que le compete.
Que el SUBSECRETARIO DE TECNOLOGÍAS DE GESTIÓN dependiente de la
SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE
GABINETE DE MINISTROS se encuentra facultado para dictar la presente
medida en virtud del Decreto N° 357/2002 y sus modificatorios.
Por ello,
EL SUBSECRETARIO DE TECNOLOGÍAS DE GESTIÓN DE LA SECRETARÍA DE GABINETE
Y COORDINACIÓN ADMINISTRATIVA DE LA JEFATURA DE GABINETE DE MINISTROS
DISPONE:
ARTÍCULO 1° — Apruébase la adhesión de la ADMINISTRACIÓN NACIONAL DE LA
SEGURIDAD SOCIAL, en su calidad de Certificador Licenciado, a la
“Política Única de Certificación”, cuyo texto adecuado forma parte
integrante de la presente Disposición como Anexo.
ARTÍCULO 2° — Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL
REGISTRO OFICIAL y archívese. — Ing. SERGIO A. BLANCO, Subsecretario de
Tecnologías de Gestión, Secretaría de Gabinete y Coordinación
Administrativa, Jefatura de Gabinete de Ministros.
ANEXO
Infraestructura de Firma Digital - REPÚBLICA ARGENTINA Ley N° 25.506
Política Única de Certificación de la ANSES
TABLA DE CONTENIDO
1. - INTRODUCCIÓN
1.1. - Descripción general
1.2. - Nombre e Identificación del Documento
1.3. - Participantes
1.3.1. - Certificador
1.3.2. - Autoridad de Registro
1.3.3. - Suscriptores de certificados
1.3.4. - Terceros Usuarios
1.4. - Uso de los certificados
1.5. - Administración de la Política
1.5.1. - Responsable del documento
1.5.2. - Contacto
1.5.3. - Procedimiento de aprobación de la Política Única de Certificación
1.6. - Definiciones y Acrónimos
1.6.1. - Definiciones
1.6.2. - Acrónimos
2. - RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS
2.1. - Repositorios
2.2. - Publicación de información del certificador
2.3. - Frecuencia de publicación
2.4. - Controles de acceso a la información
3. - IDENTIFICACIÓN Y AUTENTICACIÓN
3.1.- Asignación de nombres de suscriptores
3.1.1. - Tipos de Nombres
3.1.2. - Necesidad de Nombres Distintivos
3.1.3. - Anonimato o uso de seudónimos
3.1.4. - Reglas para la interpretación de nombres
3.1.5. - Unicidad de nombres
3.1.6. - Reconocimiento, autenticación y rol de las marcas registradas
3.2. - Registro inicial
3.2.1. - Métodos para comprobar la posesión de la clave privada
3.2.2. - Autenticación de la identidad de Personas Jurídicas Públicas o Privadas
3.2.3. - Autenticación de la identidad de Personas Físicas
3.2.4. - Información no verificada del suscriptor
3.2.5. - Validación de autoridad
3.2.6. - Criterios para la interoperabilidad
3.3. - Identificación y autenticación para la generación de nuevo par de claves (Rutina de Re Key)
3.3.1. - Renovación con generación de nuevo par de claves (Rutina de Re Key)
3.3.2. - Generación de UN (1) certificado con el mismo par de claves
3.4. - Requerimiento de revocación
4. - CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS
4.1. - Solicitud de certificado
4.1.1. - Solicitantes de certificados
4.1.2. - Solicitud de certificado
4.2. - Procesamiento de la solicitud del certificado
4.3. - Emisión del certificado
4.3.1. - Proceso de emisión del certificado
4.3.2. - Notificación de emisión
4.4. - Aceptación del certificado
4.5. - Uso del par de claves y del certificado
4.5.1. - Uso de la clave privada y del certificado por parte del suscriptor
4.5.2. - Uso de la clave pública y del certificado por parte de Terceros Usuarios
4.6. - Renovación del certificado sin generación de un nuevo par de claves
4.7. - Renovación del certificado con generación de un nuevo par de claves
4.8. - Modificación del certificado
4.9. - Suspensión y Revocación de Certificados
4.9.1. - Causas de revocación
4.9.2. - Autorizados a solicitar la revocación
4.9.3. - Procedimientos para la solicitud de revocación
4.9.4. - Plazo para la solicitud de revocación
4.9.5. - Plazo para el procesamiento de la solicitud de revocación
4.9.6. - Requisitos para la verificación de la lista de certificados revocados
4.9.7. - Frecuencia de emisión de listas de certificados revocados
4.9.8. - Vigencia de la lista de certificados revocados
4.9.9. - Disponibilidad del servicio de consulta sobre revocación y de estado del certificado
4.9.10. - Requisitos para la verificación en línea del estado de revocación
4.9.11. - Otras formas disponibles para la divulgación de la revocación
4.9.12. - Requisitos específicos para casos de compromiso de claves
4.9.13. - Causas de suspensión
4.9.14. - Autorizados a solicitar la suspensión
4.9.15. - Procedimientos para la solicitud de suspensión
4.9.16. - Límites del período de suspensión de un certificado
4.10. Estado del certificado
4.10.1. - Características técnicas
4.10.2. - Disponibilidad del servicio
4.10.3. - Aspectos operativos
4.11. - Desvinculación del suscriptor
4.12. - Recuperación y custodia de claves privadas
5. - CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN
5.1. - Controles de seguridad física
5.2. - Controles de Gestión
5.3. - Controles de seguridad del personal
5.4. - Procedimientos de Auditoría de Seguridad
5.5. - Conservación de registros de eventos
5.6. - Cambio de claves criptográficas
5.7. - Plan de respuesta a incidentes y recuperación ante desastres
5.8. - Plan de Cese de Actividades
6. - CONTROLES DE SEGURIDAD TECNICA
6.1. - Generación e instalación del par de claves criptográficas
6.1.1. - Generación del par de claves criptográficas
6.1.2. - Entrega de la clave privada
6.1.3. - Entrega de la clave pública al emisor del certificado
6.1.4. - Disponibilidad de la clave pública del certificador
6.1.5. - Tamaño de claves
6.1.6. - Generación de parámetros de claves asimétricas
6.1.7. - Propósitos de utilización de claves (campo “KeyUsage” en certificados X.509 v.3)
6.2. - Protección de la clave privada y controles sobre los dispositivos criptográficos
6.2.1. - Controles y estándares para dispositivos criptográficos
6.2.2. - Control “M de N” de clave privada
6.2.3. - Recuperación de clave privada
6.2.4. - Copia de seguridad de clave privada
6.2.5. - Archivo de clave privada
6.2.6. - Transferencia de claves privadas en dispositivos criptográficos
6.2.7. - Almacenamiento de claves privadas en dispositivos criptográficos
6.2.8. - Método de activación de claves privadas
6.2.9. - Método de desactivación de claves privadas
6.2.10. - Método de destrucción de claves privadas
6.2.11. - Requisitos de los dispositivos criptográficos
6.3. - Otros aspectos de administración de claves
6.3.1. - Archivo permanente de la clave pública
6.3.2. - Período de uso de clave pública y privada
6.4. - Datos de activación
6.4.1. - Generación e instalación de datos de activación
6.4.2. - Protección de los datos de activación
6.4.3. - Otros aspectos referidos a los datos de activación
6.5. - Controles de seguridad informática
6.5.1. - Requisitos Técnicos específicos
6.5.2. - Requisitos de seguridad computacional
6.6. - Controles Técnicos del ciclo de vida de los sistemas
6.6.1. - Controles de desarrollo de sistemas
6.6.2. - Controles de gestión de seguridad
6.6.3. - Controles de seguridad del ciclo de vida del software
6.7. - Controles de seguridad de red
6.8. - Certificación de fecha y hora
7. - PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS
7.1. - Perfil del certificado
7.1.1. - Número de versión
7.1.2. - Extensiones
7.1.3. - Identificadores de algoritmos
7.1.4. - Formatos de nombre
7.1.5. - Restricciones de nombre
7.1.6. - OID de la Política de Certificación
7.1.7. - Sintaxis y semántica de calificadores de Política
7.1.8. - Semántica de procesamiento para extensiones críticas
7.2. - Perfil de la lista de certificados revocados
7.2.1. - Número de versión
7.2.2. - Extensiones de CRL (Lista de Certificados Revocados)
7.3. - Perfil de la consulta en línea del estado del certificado
7.3.1. - Consultas OCSP
7.3.2. - Respuestas OCSP
8. - AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES
9. - ASPECTOS LEGALES Y ADMINISTRATIVOS
9.1. - Aranceles
9.2. - Responsabilidad Financiera
9.3. - Confidencialidad
9.3.1. - Información confidencial
9.3.2. - Información no confidencial
9.3.3. - Responsabilidades de los roles involucrados
9.4. - Privacidad
9.5 - Derechos de Propiedad Intelectual
9.6. - Responsabilidades y garantías
9.7. - Deslinde de responsabilidad
9.8. - Limitaciones a la responsabilidad frente a terceros
9.9. - Compensaciones por daños y perjuicios
9.10. - Condiciones de vigencia
9.11. - Avisos personales y comunicaciones con los participantes
9.12. - Gestión del ciclo de vida del documento
9.12.1. - Procedimientos de cambio
9.12.2. - Mecanismo y plazo de publicación y notificación
9.12.3. - Condiciones de modificación del OID
9.13. - Procedimientos de resolución de conflictos
9.14. - Legislación aplicable
9.15. - Conformidad con normas aplicables
9.16. - Cláusulas adicionales
9.17. - Otras cuestiones generales
1. - INTRODUCCIÓN
1.1. - Descripción general
El presente documento define la Política Única de Certificación que
rige la relación entre la ADMINISTRACIÓN NACIONAL DE LA SEGURIDAD
SOCIAL, los suscriptores de certificados digitales emitidos en el
ámbito de la presente política y los terceros usuarios que reciban
información firmada digitalmente, de conformidad con la Ley N° 25.506,
su Decreto Reglamentario N° 2628/2002 y la Decisión Administrativa
927/2014 de la JGM. La licencia es otorgada mediante Resolución N°
87/2008 de la Secretaría de Gabinete y Gestión Pública. Asimismo, en
esta Política Única se establecen las responsabilidades de:
- la ANSES como Certificador Licenciado,
- la Autoridad de Registro relacionada,
- los solicitantes y suscriptores de certificados digitales, y
- los terceros usuarios receptores de documentos firmados bajo la presente política.
Con respecto a su alcance, esta Política Única de Certificación para
Personas Físicas de la ANSES comprende la emisión de certificados
digitales para el personal que preste servicios a la ANSES; autorizando
el uso de los certificados emitidos para verificar firmas digitales en
comunicaciones internas o externas de esta ADMINISTRACIÓN NACIONAL, en
sus procedimientos administrativos.
Bajo esta Política Única de Certificación, la Autoridad de Registro
estará bajo la competencia de las áreas con responsabilidad primaria en
la administración y gestión de los recursos humanos.
Un certificado vincula los datos de verificación de firma digital de
una persona física o jurídica o con una aplicación a un conjunto de
datos que permiten identificar a dicha entidad, conocida como
suscriptor del certificado.
La autoridad de aplicación de la Infraestructura de firma digital es la
SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE
GABINETE DE MINISTROS, siendo la SUBSECRETARÍA DE TECNOLOGÍAS DE
GESTIÓN de la SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de
la JEFATURA DE GABINETE DE MINISTROS, quien entiende en las funciones
de ente licenciante.
1.2. - Nombre e Identificación del Documento
Nombre: Política Única de Certificación para Personas Físicas de la ANSES
Versión: 2.0
Fecha: 05/01/2015
URL:
https://servicioswww.anses.gov.ar/firmadigital/politica/
OID: 2.16.32.1.1.2
Lugar: Buenos Aires, Argentina
1.3. - Participantes
Integran la infraestructura del certificador las siguientes entidades:
1.3.1. - Certificador
ANSES en su calidad de Certificador Licenciado, con licencia otorgada
por Resolución N° 87/2008 de la Secretaría de Gabinete y Gestión
Pública como Autoridad de Aplicación, desarrolla las tareas de emisión
de certificados digitales según lo establecido por la Ley 25.506 y sus
normas complementarias.
1.3.2. - Autoridad de Registro
Las tareas relacionadas con la identificación y autenticación de los
solicitantes y suscriptores, la verificación y guarda de la
documentación probatoria son realizadas por la Autoridad de Registro.
En el marco de la presente política la función de Autoridad de Registro
estará bajo la competencia de las áreas con responsabilidad primaria en
la administración y gestión de los recursos humanos. Para ver cualquier
información al respecto ingresar al sitio:
https://servicioswww.anses. gov.ar/firmadigital/
1.3.3. - Suscriptores de certificados
Los certificados digitales emitidos bajo la presente Política Única de
Certificación tienen como suscriptores a aquellas personas físicas que
desempeñan funciones para la ANSES con independencia del tipo de
relación pudiendo ser funcionarios, empleados, adscriptos, personal
designado desde otros organismos, pasantes o contratados de cualquier
naturaleza; sin perjuicio de su posible ampliación previa notificación
al ente licenciante.
1.3.4. - Terceros Usuarios
Son Terceros Usuarios de los certificados emitidos bajo la presente
Política Única de Certificación, toda persona física o jurídica que
recibe un documento firmado digitalmente y que genera una consulta para
verificar la validez del certificado digital correspondiente, de
acuerdo al Anexo I del Decreto N° 2628 del 19 de diciembre de 2002. En
el caso de los certificados de sitio seguro, serán Terceros Usuarios
quienes verifiquen el certificado del servidor.
1.4. - Uso de los certificados
Las claves correspondientes a los certificados digitales que se emitan
bajo la presente Política Única de Certificación podrán ser utilizadas
en forma interoperable en los procesos de firma digital de cualquier
documento o transacción y para la autenticación o el cifrado.
1.5. - Administración de la Política
1.5.1. - Responsable del documento
Esta Política Única de Certificación es administrada por:
- Dirección de Seguridad Informática, de la Dirección General de
Informática e Innovación Tecnológica de ANSES representada por su
Director a cargo.
- Domicilio: Piedras 353, (C1070AAG) Ciudad Autónoma de Buenos Aires, Argentina
- Correo electrónico:
firmadigital@anses.gov.ar
- Teléfono: (011) 4015-2201
1.5.2. - Contacto
Para realizar preguntas, efectuar reclamos o enviar sugerencias
referidos al proceso de certificación el interesado deberá dirigirse a:
- Mesa de Servicios de la Dirección de Servicio a Usuarios de ANSES representada por el Coordinador a cargo.
- Domicilio: Piedras 353, (C1070AAG) Ciudad Autónoma de Buenos Aires, Argentina
- Correo electrónico:
MESADESERVICIOS@anses.gov.ar
- Teléfono: (011) 4015-2100
1.5.3. - Procedimiento de aprobación de la Política Única de Certificación
La Política Única de Certificación y el Formulario de Adhesión del
Anexo I han sido presentados ante el ente licenciante durante el
proceso de adecuación, aprobado por acto administrativo: ; y por el
cual se obtuvo la licencia, la RESOLUCIÓN SGGP N° 87 del 17 de
diciembre del 2008.
1.6. - Definiciones y Acrónimos
1.6.1. - Definiciones
Definiciones y conceptos relevantes utilizados en la Política Única de Certificación:
Acuerdo con Suscriptores: Es el documento que determina entre la ANSES
y el suscriptor o titular de certificado digital, los derechos y
obligaciones de las partes respecto a la solicitud, aceptación y uso de
certificados digitales emitidos según los términos de la Política Única
de Certificación de ANSES.
Autoridad de Aplicación: la SECRETARÍA DE GABINETE Y COORDINACIÓN
ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS es la Autoridad
de Aplicación de firma digital en la REPÚBLICA ARGENTINA.
Autoridad de Registro: es la entidad que tiene a su cargo las funciones de:
• Recepción de las solicitudes de emisión de certificados.
• Validación de la identidad y autenticación de los datos de los titulares de certificados.
• Validación de otros datos de los titulares de certificados que se
presenten ante ella cuya verificación delegue el Certificador
Licenciado.
• Remisión de las solicitudes aprobadas al Certificador Licenciado con la que se encuentre operativamente vinculada.
• Recepción y validación de las solicitudes de revocación de
certificados; y su direccionamiento al Certificador Licenciado con el
que se vinculen.
• Identificación y autenticación de los solicitantes de revocación de certificados.
• Archivo y la conservación de toda la documentación respaldatoria del
proceso de validación de identidad, de acuerdo con los procedimientos
establecidos por el certificador licenciado.
• Cumplimiento de las normas y recaudos establecidos para la protección de datos personales.
• Cumplimiento de las disposiciones que establezca la Política Única de
Certificación y el Manual de Procedimientos del Certificador Licenciado
con el que se encuentre vinculada, en la parte que resulte aplicable.
Dichas funciones son delegadas por el certificador licenciado. Puede
actuar en una instalación fija o en modalidad móvil, siempre que medie
autorización del ente licenciante.
Autoridad de Registro Central: Autoridad con competencia en tareas de
identificación y autenticación de solicitantes tanto de áreas centrales
como de la Jefatura Regional Capital Federal.
Autoridad de Registro Regional: Autoridad con competencia en tareas de
identificación y autenticación de solicitantes de la Jefatura Regional
a la que pertenece.
Certificado Digital: Se entiende por certificado digital al documento
digital firmado digitalmente por un certificador, que vincula los datos
de verificación de firma a su titular (artículo 13 de la Ley N° 25.506).
Certificador Licenciado: Se entiende por certificador licenciado a toda
persona de existencia ideal, registro público de contratos u organismo
público que expide certificados, presta otros servicios en relación con
la firma digital y cuenta con una licencia para ello, otorgada por el
ente licenciante. (Artículo 17 de la Ley N° 25.506).
Certificación digital de fecha y hora: Indicación de la fecha y hora
cierta, asignada a un documento o registro electrónico por una tercera
parte confiable y firmada digitalmente por ella. (Anexo al Decreto N°
2628 de fecha 19 de diciembre de 2002).
Ente licenciante: la SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN de la
SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE
GABINETE DE MINISTROS es Ente Licenciante.
Lista de certificados revocados: Lista de certificados que han sido
dejados sin efecto en forma permanente por el Certificador Licenciado,
la cual ha sido firmada digitalmente y publicada por el mismo. En
inglés: Certificate Revocation List (CRL). (Anexo al Decreto N°
2628/02).
Manual de Procedimientos: Conjunto de prácticas utilizadas por el
certificador licenciado en la emisión y administración de los
certificados. En inglés: Certification Practice Statement (CPS). (Anexo
al Decreto N° 2628/02).
Plan de Cese de Actividades: conjunto de actividades a desarrollar por
el certificador licenciado en caso de finalizar la prestación de sus
servicios. (Anexo al Decreto N° 2628/02).
Plan de Continuidad de las operaciones: Conjunto de procedimientos a
seguir por el certificador licenciado ante situaciones de ocurrencia no
previstas que comprometan la continuidad de sus operaciones.
Plan de Seguridad: Conjunto de políticas, prácticas y procedimientos
destinados a la protección de los recursos del certificador licenciado.
(Anexo al Decreto N° 2628/02).
Política de Privacidad: conjunto de declaraciones que el Certificador
Licenciado se compromete a cumplir de manera de resguardar los datos de
los solicitantes y suscriptores de certificados digitales por él
emitidos.
Servicio OCSP (Protocolo en línea del estado de un certificado -
“Online Certificate Status Protocol”): servicio de verificación en
línea del estado de los certificados. El OCSP es un método para
determinar el estado de revocación de un certificado digital usando
otros medios que no sean el uso de Listas de Revocación de Certificados
(CRL). El resultado de una consulta a este servicio está firmado por el
certificador que brinda el servicio.
Suscriptor o Titular de certificado digital: Persona o entidad a cuyo
nombre se emite un certificado y que posee una clave privada que se
corresponde con la clave pública contenida en el mismo.
Tercero Usuario: persona física o jurídica que recibe un documento
firmado digitalmente y que genera una consulta para verificar la
validez del certificado digital correspondiente. (Artículo 3° del
Decreto N° 724/06).
Términos y condiciones con terceros usuarios: Es el documento que
determina los derechos y responsabilidades de las partes en lo que
respecta a la verificación de firmas digitales y otros usos de los
certificados digitales de esta Autoridad Certificante para Personas
Físicas de la ANSES.
1.6.2. - Acrónimos
CRL - Lista de Certificados Revocados (“Certificate Revocation List”)
CUIT - Clave Única de Identificación Tributaria
DES - Data Encryption Standard
FIPS - Federal Information Processing Standards
IEC - International Electrotechnical Commission
IETF - Internet Engineering Task Force
NIST - National Institute of Standards and Technology
OCSP - Protocolo en línea del estado de un certificado (“On line Certificate Status Protocol”)
OID - Identificador de Objeto (“Object Identifier”)
ONTI - Oficina Nacional de Tecnologías de Información
RFC - Request for Comments
SHA1- Secure Hash Algorithm, second version
2. - RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS
Se detallan a continuación las responsabilidades del certificador y de
todo otro participante respecto al mantenimiento de repositorios,
publicación de certificados y de información sobre sus políticas y
procedimientos.
2.1. - Repositorios
Los repositorios de información y la publicación de la Lista de
Certificados Revocados son administrados en forma directa por la ANSES.
2.2. - Publicación de información del certificador
Se mantiene un repositorio en línea accesible durante las 24 hs los 7 días de la semana en las siguientes direcciones:
-
http://intranetanses/firmadigital
-
https://servicioswww.anses.gov.ar/firmadigital
La ANSES publica las versiones vigentes de los siguientes documentos:
a) Formulario de Adhesión del Anexo I.
b) Política Única de Certificación.
c) Acuerdo Tipo con suscriptores.
d) Términos y condiciones Tipo con terceros usuarios (“relying parties”).
e) Política de Privacidad.
f) Manual de Procedimientos (parte pública).
g) Información relevante de los informes de su última auditoría.
h) Repositorio de certificados revocados.
i) Certificados del certificador licenciado y acceso al de la Autoridad Certificante Raíz.
Adicionalmente, el certificador licenciado incluirá la información
específica correspondiente a esta sección, la cual surge del Anexo I.
2.3. - Frecuencia de publicación
Se garantiza la actualización inmediata del repositorio cada vez que cualquiera de los documentos publicados sea modificado.
2.4. - Controles de acceso a la información
Se garantizan los controles de los accesos al certificado del
certificador, a la Lista de Certificados Revocados y a las versiones
anteriores y actualizadas de la Política Única de Certificación y a su
Manual de Procedimientos (excepto en sus aspectos confidenciales). Sólo
se revelará información confidencial o privada, si es requerida
judicialmente o en el marco de procedimientos administrativos.
En virtud de lo dispuesto por la Ley de Protección de Datos Personales
N° 25.326 y por el inciso h) del artículo 21 de la Ley N° 25.506, el
solicitante o titular de un certificado digital podrá solicitar el
acceso a toda la información relativa a las tramitaciones realizadas.
No se establecen restricciones al acceso de los sitios de publicación
de documentación citada en el apartado 2.2. “Publicación de información
del certificador”. Los suscriptores que acceden a la Intranet de ANSES
deberán hacerlo a través de su identificación de acceso a la red de la
Organización.
3. - IDENTIFICACIÓN Y AUTENTICACIÓN
En esta sección se describen los procedimientos empleados para
autenticar la identidad de los solicitantes de certificados digitales y
utilizados por las Autoridades Certificantes o sus Autoridades de
Registro como prerrequisito para su emisión. También se describen los
pasos para la autenticación de los solicitantes de renovación y
revocación de certificados.
3.1.- Asignación de nombres de suscriptores
3.1.1. - Tipos de Nombres
El nombre a utilizar es el que surge de la documentación presentada por el solicitante, de acuerdo al apartado que sigue.
3.1.2. - Necesidad de Nombres Distintivos
No se establecen restricciones a los nombres que pueden ser incluidos
dentro de los certificados, en tanto se correspondan con la
documentación probatoria exigida para la emisión de certificados por
esta política.
Los siguientes atributos son incluidos en los certificados e identifican unívocamente al suscriptor:
Para los certificados de Personas Físicas:
- “commonName” (OID 2.5.4.3: Nombre común): DEBE estar presente y DEBE
corresponderse con el nombre que figura en el Documento de Identidad
del suscriptor, acorde a lo establecido en el punto 3.2.3.
- “serialNumber” (OID 2.5.4.5: Número de serie): DEBE estar presente y
DEBE contener el tipo y número de identificación del titular, expresado
como texto y respetando el siguiente formato y codificación: “[tipo de
documento]” “[nro. de documento]”
Los valores posibles para el campo [tipo de documento] son:
En caso de ciudadanos argentinos o residentes: “CUIT/CUIL”: Clave Única de Identificación Tributaria o Laboral.
- “countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y
DEBE representar el país de emisión de los certificados, codificado
según el estándar [ISO3166] de DOS (2) caracteres. Debido a que los
suscriptores de la presente política desempeñan funciones dentro de la
ANSES este campo contiene “AR” en todos los certificados.
Para los certificados de los Proveedores de servicios de firma digital
o de aplicación: No aplicable, la AC ANSES no presta el servicio.
Para los certificados de Personas Jurídicas Públicas o Privadas: No aplicable, la AC ANSES no presta el servicio.
Para los certificados de Sitio Seguro:
No aplicable, la AC ANSES no presta el servicio.
Para los certificados de fecha y hora:
No aplicable, la AC ANSES no presta el servicio.
3.1.3. - Anonimato o uso de seudónimos
No se emitirán certificados anónimos o cuyo Nombre Distintivo contenga
UN (1) seudónimo. Todos los nombres representados dentro de los
certificados emitidos bajo la presente política coinciden con los del
correspondiente documento personal. En casos de coincidencia de
nombres, el método de resolución será la combinación del “Nombre común”
con los atributos “Número de serie”.
3.1.4. - Reglas para la interpretación de nombres
Todos los nombres representados dentro de los certificados emitidos
bajo la presente política coinciden con los correspondientes al
documento de identidad del suscriptor. Las discrepancias o conflictos
que puedan generarse si los datos de los solicitantes o suscriptores
contienen caracteres especiales, se tratarán de modo de asegurar la
precisión de la información contenida en el certificado.
3.1.5. - Unicidad de nombres
El nombre distintivo debe ser único para cada suscriptor, pudiendo
existir más de un certificado con igual nombre distintivo si
corresponde al mismo suscriptor. El procedimiento de resolución de
homonimias se basa en la utilización del número de identificación
laboral o tributaria, tanto en el caso de personas físicas como
jurídicas.
3.1.6. - Reconocimiento, autenticación y rol de las marcas registradas
No se admite la inclusión de marcas comerciales, marcas de servicios o
nombres de fantasía como nombres distintivos en los certificados.
El certificador se reserva el derecho de tomar todas las decisiones
referidas a posibles conflictos sobre la utilización y titularidad de
cualquier nombre entre sus suscriptores conforme su normativa al
respecto. En caso de conflicto, la parte que solicite el certificado
debe demostrar su interés legítimo y su derecho a la utilización de un
nombre en particular.
3.2. - Registro inicial
Se describen los procedimientos a utilizar para autenticar, como paso
previo a la emisión de UN (1) certificado, la identidad y demás
atributos del solicitante que se presente ante el certificador o ante
la Autoridad de Registro operativamente vinculada. Se establecen los
medios admitidos para recibir los requerimientos de certificados y para
comunicar su aceptación.
El certificador DEBE cumplir con lo establecido en:
a) El artículo 21, inciso a) de la Ley de Firma Digital N° 25.506 y el
artículo 34, inciso e) de su reglamentario, Decreto N° 2628/02,
relativos a la información a brindar a los solicitantes.
b) El artículo 14, inciso b) de la Ley de Firma Digital N° 25.506 relativo a los contenidos mínimos de los certificados.
3.2.1. - Métodos para comprobar la posesión de la clave privada
El certificador comprueba que el solicitante se encuentra en posesión
de la clave privada mediante la verificación de la solicitud del
certificado digital en formato PKCS#10, el que no incluye dicha clave.
Las claves siempre son generadas por el solicitante. En ningún caso el
certificador licenciado ni sus autoridades de registro podrán tomar
conocimiento o acceder bajo ninguna circunstancia a las claves de los
solicitantes o titulares de los certificados, conforme el inciso b) del
artículo 21 de la Ley N° 25.506.
Para la comprobación de la posesión de la clave privada se utiliza el siguiente procedimiento:
a) El solicitante es partícipe directo y necesario para la generación de su par de claves criptográficas asimétricas.
b) Durante el proceso de solicitud, el solicitante es requerido para la
generación de un par de claves criptográficas asimétricas.
c) Las claves son generadas y almacenadas en dispositivos criptográficos.
d) Los datos de la solicitud y el requerimiento con la clave pública
del solicitante, en formato PKCS#10, son enviados a la aplicación de la
Autoridad Certificante.
e) La aplicación de la Autoridad Certificante valida el requerimiento PKCS#10.
f) En caso de ser correcto el formato, la aplicación de la Autoridad
Certificante entrega al solicitante un “recibo de solicitud” incluyendo
el resumen criptográfico (huella SHA-1).
g) El solicitante deberá tomar nota y proceder a la conservación del
PIN “de revocación” informado por la aplicación de la Autoridad de
Certificación. El PIN “de revocación” es un valor único y se compone
del resumen criptográfico (huella SHA-1) y del número de solicitud de
emisión.
h) El solicitante debe imprimir el “recibo de solicitud” para entregar
a la Autoridad de Registro en el proceso de identificación y
autenticación.
La aplicación de la Autoridad Certificante, una vez que emita el
certificado, eliminará automáticamente el requerimiento PKCS#10
asociado a ese certificado con el fin de evitar que se genere un nuevo
certificado con dicho requerimiento.
3.2.2. - Autenticación de la identidad de Personas Jurídicas Públicas o Privadas
No aplicable.
3.2.3. - Autenticación de la identidad de Personas Físicas
Se exige la presencia física del solicitante o suscriptor del
certificado ante el certificador o la Autoridad de Registro con la que
se encuentre operativamente vinculado. La verificación se efectúa
mediante la presentación de los siguientes documentos:
- Documento Nacional de Identidad.
- Recibo de solicitud impreso.
En todos los casos, se conservará UNA (1) copia digitalizada de la
documentación de respaldo del proceso de autenticación por parte del
certificador o de la Autoridad de Registro operativamente vinculada.
La Autoridad de Registro verificará la identidad del solicitante, la
documentación que presenta y el resumen criptográfico (huella SHA-1)
vinculada con la solicitud, así como toda otra información contenida en
la solicitud. Posteriormente, la aceptación o rechazo de la solicitud
será informada al solicitante por correo electrónico y también podrá
consultarse su estado a través de la aplicación de la Autoridad
Certificante.
Se consideran obligatorias las exigencias reglamentarias impuestas por:
a) El artículo 21, inciso i) de la Ley N° 25.506 relativo a la
conservación de la documentación de respaldo de los certificados
emitidos.
b) El artículo 21, inciso f) de la Ley N° 25.506 relativo a la recolección de datos personales.
c) El artículo 34, inciso i) del Decreto N° 2628/02 relativo a generar,
exigir o tomar conocimiento de la clave privada del suscriptor.
d) El artículo 34, inciso m) del Decreto N° 2628/02 relativo a la protección de datos personales.
Adicionalmente, el certificador debe celebrar UN (1) acuerdo con el
solicitante o suscriptor, conforme el Anexo V de la Decisión
Administrativa N° 927/2014, del que surge su conformidad respecto a la
veracidad de la información incluida en el certificado.
La Autoridad de Registro deberá verificar que el dispositivo
criptográfico utilizado por el solicitante, si fuera el caso, cumple
con las especificaciones técnicas establecidas por el ente licenciante.
3.2.4. - Información no verificada del suscriptor
Se conserva la información referida al solicitante que no hubiera sido
verificada. Adicionalmente, se cumple con lo establecido en el apartado
3 del inciso b) del artículo 14 de la Ley N° 25.506.
3.2.5. - Validación de autoridad
No aplicable.
3.2.6. - Criterios para la interoperabilidad
Los certificados emitidos pueden ser utilizados por sus titulares en
forma interoperable para firmar digitalmente cualquier documento o
transacción, así como para autenticación o cifrado.
3.3. - Identificación y autenticación para la generación de nuevo par de claves (Rutina de Re Key)
3.3.1. - Renovación con generación de nuevo par de claves (Rutina de Re Key)
La renovación en este apartado aplica a la generación de UN (1) nuevo par de claves y su correspondiente certificado:
a) después de la revocación de UN (1) certificado
b) después de la expiración de UN (1) certificado
c) antes de la expiración de UN (1) certificado
En los casos a) y b) se exigirá el cumplimiento de los procedimientos
previstos en el punto 3.2.3. - Autenticación de la identidad de
Personas Físicas.
Si la solicitud del nuevo certificado se realiza antes de la expiración
del certificado, no habiendo sido este revocado, no se exigirá la
presencia física, debiendo el solicitante remitir la constancia firmada
digitalmente del inicio del trámite de renovación.
3.3.2. - Generación de UN (1) certificado con el mismo par de claves
En el caso de certificados digitales de personas físicas, la renovación
en este apartado aplica a la emisión de UN (1) nuevo certificado sin
que haya un cambio en la clave pública o en ningún otro dato del
suscriptor. La renovación se podrá realizar siempre que el certificado
se encuentre vigente.
A los fines de la obtención del certificado, no se exigirá la presencia
física del suscriptor, debiendo éste remitir la constancia firmada
digitalmente del inicio del trámite de renovación.
3.4. - Requerimiento de revocación
La revocación podrá ser iniciada por el Suscriptor y la Autoridad de Registro.
Los suscriptores podrán solicitar la revocación de su certificado de la siguiente forma:
a) Ingresando a la aplicación de la Autoridad de Certificante desde:
http://intranetanses/firmadigital
Selecciona el certificado a revocar y envía la solicitud. En este caso,
la identificación se realizará utilizando las credenciales de usuario
de red y será suficiente para aceptar la solicitud de revocación.
b) Ingresando a la aplicación de la Autoridad de Certificante desde:
https://servicioswww.anses.gov.ar/firmadigital
Se identifica con su usuario de red (userlD) y como password ingresa el PIN de “revocación” y procede a enviar la solicitud.
c) Presentándose personalmente ante la Autoridad de Registro, en este
caso quedará asentado en un Libro de Actas de la Autoridad de Registro.
4. - CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS
4.1. - Solicitud de certificado
4.1.1. - Solicitantes de certificados
Se describen las condiciones que deben cumplir los solicitantes de certificados.
4.1.2. - Solicitud de certificado
El proceso de solicitud de emisión de certificado debe ser iniciado
exclusivamente por el solicitante, quien debe acreditar fehacientemente
su identidad. Para poder efectuar la solicitud de un certificado, los
solicitantes deben:
a) Estar conectados a la red interna y haber iniciado sesión en el dominio de ANSES.
b) Utilizar un sistema operativo Windows 2000, XP, 7 o superior.
c) Utilizar Internet Explorer versión 6.0 o superior como navegador.
d) Estar autorizado para acceder a la aplicación de la Autoridad Certificante.
e) Poseer un dispositivo criptográfico inicializado, operativo y con controladores instalados.
Para iniciar el pedido de emisión del certificado, el solicitante debe
ingresar al sitio Intranet de ANSES y seleccionar el enlace a la
aplicación de la Autoridad Certificante. La aplicación de la Autoridad
Certificante verifica que la estación de trabajo del solicitante cumple
con los requerimientos técnicos mínimos y presenta la pantalla del
proceso de solicitud y a continuación muestra el “Acuerdo con
Suscriptores”. El solicitante deberá aceptar el “Acuerdo con
Suscriptores” para poder continuar con el proceso. La aplicación de la
Autoridad Certificante, utilizando la identificación del usuario con
sesión activa en la estación de trabajo, obtendrá la información
personal y laboral desde las bases de datos de Recursos Humanos de esta
Administración Nacional. La siguiente información es presentada al
solicitante para su verificación:
a) UserlD
b) Apellidos y Nombres
c) Correo electrónico
d) CUIL
e) Cargo
f) Dependencia y Área
g) Localidad y Provincia
h) Observaciones
i) País
4.2. - Procesamiento de la solicitud del certificado
El solicitante deberá verificar los datos presentados. En caso de ser
incorrectos los datos, no podrá continuar con la solicitud, debiendo
comunicarse con el área de Recursos Humanos para actualizar sus datos.
En casos de ser los datos correctos, el solicitante completa los campos
del formulario habilitados, selecciona la opción “Enviar” y se genera
un nuevo par de claves, luego de lo cual, la aplicación de la Autoridad
Certificante remite los datos de la solicitud y el requerimiento con la
clave pública del solicitante, en formato PKCS#10. La aplicación de la
Autoridad Certificante entrega al solicitante un “recibo de solicitud”
incluyendo el resumen criptográfico (huella SHA-1). El solicitante
deberá tomar nota y proceder a la conservación del PIN “de revocación”
informado por la aplicación de la Autoridad de Aplicación. El
solicitante deberá imprimir el “recibo de solicitud” para entregar a la
Autoridad de Registro en el proceso de identificación y autenticación.
Luego, la aplicación de la Autoridad Certificante, envía notificaciones
de correo electrónico a los siguientes actores:
a) Al solicitante, a los efectos de informar la documentación a
entregar ante la Autoridad de Registro y los plazos para presentarse.
b) A la Autoridad de Registro, a fin de informar una nueva solicitud de emisión.
4.3. - Emisión del certificado
4.3.1. - Proceso de emisión del certificado
Cumplidos los recaudos del proceso de identificación y autenticación de
acuerdo con esta Política y una vez completada y aprobada la solicitud
por la Autoridad de Registro, la aplicación de la Autoridad
Certificante emite el correspondiente certificado, firmándolo
digitalmente con su clave privada. Posteriormente, el certificado está
disponible al suscriptor como un archivo adjunto de un correo
electrónico y/o a través de la aplicación de la Autoridad Certificante.
4.3.2. - Notificación de emisión
Lo relacionado a este punto se detalla en el apartado siguiente, “Aceptación del certificado”.
4.4. - Aceptación del certificado
Una vez notificado de la emisión de un certificado a su nombre, el
suscriptor deberá controlar su contenido y dar su conformidad para
proceder a la instalación y posterior utilización. En caso de que
existiera algún error u omisión en los datos del suscriptor contenidos
en el certificado, deberá informarlo inmediatamente a la Autoridad de
Registro para que ésta proceda a su revocación. Con la aceptación del
certificado, el suscriptor confirma y asume la exactitud del contenido
del mismo, aceptando la totalidad de las obligaciones y
responsabilidades establecidas por esta Política Única de Certificación
para Personas Físicas de la ANSES.
4.5. - Uso del par de claves y del certificado
4.5.1. - Uso de la clave privada y del certificado por parte del suscriptor
Según lo establecido en la Ley N° 25.506, en su artículo 25, el suscriptor debe:
a) Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación;
b) Utilizar UN (1) dispositivo de creación de firma digital técnicamente confiable;
c) Solicitar la revocación de su certificado al certificador ante
cualquier circunstancia que pueda haber comprometido la privacidad de
sus datos de creación de firma;
d) Informar sin demora al certificador el cambio de alguno de los datos
contenidos en el certificado digital que hubiera sido objeto de
verificación.
De acuerdo a lo establecido en la Decisión Administrativa 927/2014:
• Proveer toda la información que le sea requerida a los fines de la emisión del certificado de modo completo y preciso.
• Utilizar los certificados de acuerdo a los términos y condiciones establecidos en la presente Política Única de Certificación.
• Tomar debido conocimiento, a través del procedimiento previsto en
cada caso, del contenido de la Política Única de Certificación, del
Manual de Procedimientos, del Acuerdo con Suscriptores y de cualquier
otro documento aplicable.
4.5.2. - Uso de la clave pública y del certificado por parte de Terceros Usuarios
Los Terceros Usuarios deben:
a) Conocer los alcances de la presente Política Única de Certificación;
b) Verificar la validez del certificado digital.
4.6. - Renovación del certificado sin generación de un nuevo par de claves
Se aplica el punto 3.3.2.- Generación de UN (1) certificado con el mismo par de claves.
4.7. - Renovación del certificado con generación de un nuevo par de claves
En el caso de certificados digitales de Personas Físicas, la renovación
del certificado posterior a su revocación o luego de su expiración
requiere por parte del suscriptor el cumplimiento de los procedimientos
previstos en el punto 3.2.3. - Autenticación de la identidad de
Personas Físicas.
Si la solicitud de UN (1) nuevo certificado se realiza antes de la
expiración del anterior, no habiendo sido éste revocado, no se exigirá
la presencia física, debiendo el solicitante remitir la constancia
firmada digitalmente del inicio del trámite de renovación.
4.8. - Modificación del certificado
El suscriptor se encuentra obligado a notificar al certificador
licenciado cualquier cambio en alguno de los datos contenidos en el
certificado digital, que hubiera sido objeto de verificación, de
acuerdo a lo dispuesto en el inciso d) del artículo 25 de la Ley N°
25.506. En cualquier caso procede la revocación de dicho certificado y
de ser requerido, la solicitud de uno nuevo.
4.9. - Suspensión y Revocación de Certificados
Los certificados serán revocados de manera oportuna y sobre la base de UNA (1) solicitud de revocación de certificado validada.
El estado de suspensión no es admitido en el marco de la Ley N° 25.506.
4.9.1. - Causas de revocación
El Certificador procederá a revocar los certificados digitales que hubiera emitido en los siguientes
casos:
• A solicitud del titular del certificado digital.
• Si determinara que el certificado fue emitido en base a información
falsa, que al momento de la emisión hubiera sido objeto de verificación.
• Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros.
• Por Resolución Judicial.
• Por Resolución de la Autoridad de Aplicación.
• Por fallecimiento del titular.
• Por declaración judicial de ausencia con presunción de fallecimiento del titular.
• Por declaración judicial de incapacidad del titular.
• Si se determina que la información contenida en el certificado ha
dejado de ser válida (Ejemplos: por renuncia o despido del suscriptor,
enfermedad prolongada del suscriptor, adscripción del suscriptor a otro
organismo, licencia por cargo de mayor jerarquía, licencia por razones
personales, entre otros).
• Cuando la clave privada asociada al certificado, o el medio en que se
encuentre almacenada, se encuentren comprometidos o corran peligro de
estarlo.
• Ante incumplimiento por parte del suscriptor de las obligaciones establecidas en el Acuerdo con Suscriptores.
• Si se determina que el certificado no fue emitido de acuerdo a los
lineamientos de la Política Única de Certificación, del Manual de
Procedimientos, de la Ley N° 25.506, del Decreto Reglamentario N°
2628/02 y demás normativa sobre firma digital.
• Ante solicitud del máximo responsable del área a la que pertenece el
suscriptor o la máxima autoridad de ANSES, con la debida justificación.
• Por revocación de su propio certificado digital.
El Certificador, de corresponder, revocará el certificado en un plazo
no superior a las VEINTICUATRO (24) horas de recibido el requerimiento
de revocación.
4.9.2. - Autorizados a solicitar la revocación
Se encuentran autorizados para solicitar la revocación de UN (1) certificado:
a) El suscriptor del certificado.
b) Aquellas personas habilitadas por el suscriptor del certificado a
tal fin, previa acreditación fehaciente de tal autorización.
c) El máximo responsable del área a la que pertenece el suscriptor.
d) El certificador o la Autoridad de registro operativamente vinculada.
e) El ente licenciante.
f) La autoridad judicial competente.
g) La Autoridad de Aplicación.
4.9.3. - Procedimientos para la solicitud de revocación
Para solicitar la revocación de su certificado, el suscriptor seguirá lo indicado en el apartado
3.4. “Requerimiento de revocación”.
La Autoridad de Registro y la Autoridad Certificante conservarán como
documentación probatoria toda solicitud de revocación y el material
probatorio vinculado.
Los suscriptores serán notificados en sus respectivas direcciones de
correo electrónicos del cumplimiento del proceso de revocación.
El certificador garantiza que:
a) Se identifica debidamente al solicitante de la revocación según se establece en el apartado
3.4. “Requerimiento de revocación”.
b) Las solicitudes de revocación, así como toda acción efectuada por el
certificador o la autoridad de registro en el proceso, están
documentadas y conservadas en sus archivos.
c) Se documentan y archivan las justificaciones de las revocaciones aprobadas.
d) Una vez efectuada la revocación, se actualiza el estado del
certificado en el repositorio y se incluye en la próxima lista de
certificados revocados a ser emitida.
e) El suscriptor del certificado revocado es informado del cambio de estado de su certificado.
4.9.4. - Plazo para la solicitud de revocación
El titular de un certificado debe requerir su revocación en forma
inmediata cuando se presente alguna de las circunstancias previstas en
el apartado 4.9.1. “Causas de revocación”.
El servicio de recepción de solicitudes de revocación se encuentra
disponible en forma permanente SIETE POR VEINTICUATRO (7x24) horas a
través de la aplicación de la Autoridad Certificante, cumpliendo con lo
establecido en el artículo 34, inciso f) del Decreto N° 2628/02.
4.9.5. - Plazo para el procesamiento de la solicitud de revocación
El plazo entre la recepción de la solicitud y el cambio de la
información de estado del certificado indicando que la revocación ha
sido puesta a disposición de los Terceros Usuarios, no superará en
ningún caso las VEINTICUATRO (24) horas.
4.9.6. - Requisitos para la verificación de la lista de certificados revocados
Los Terceros Usuarios deben validar el estado de los certificados,
mediante el control de la lista de certificados revocados, a menos que
utilicen otro sistema con características de seguridad y confiabilidad
por lo menos equivalentes.
La autenticidad y validez de las listas de certificados revocados
también debe ser confirmada mediante la verificación de la firma
digital del certificador que la emite y de su período de validez.
El certificador cumple con lo establecido en el artículo 34, inciso g)
del Decreto N° 2628/02 relativo al acceso al repositorio de
certificados revocados y las obligaciones establecidas en la Decisión
Administrativa N° 927/2014 y sus correspondientes Anexos.
4.9.7. - Frecuencia de emisión de listas de certificados revocados
La Autoridad Certificante para Personas Físicas de la ANSES genera y
publica una única lista conteniendo todos los certificados revocados
asociada a la Política Única de Certificación, en formato del CRL X.509
v2, con una frecuencia no mayor a VEINTICUATRO (24) horas.
4.9.8. - Vigencia de la lista de certificados revocados
La vigencia de cada lista de certificados revocados es de VEINTICUATRO (24) horas, e indica la fecha de emisión de la siguiente.
4.9.9. - Disponibilidad del servicio de consulta sobre revocación y de estado del certificado
La ANSES dispondrá servicios de verificación en línea del estado de los
certificados, adicional al mecanismo válido para la verificación del
estado de los certificados a través de las Listas de Certificados
Revocados (CRLs).
4.9.10. - Requisitos para la verificación en línea del estado de revocación
El uso del servicio de consulta en línea sobre el estado de los
certificados (OCSP) permite, mediante su consulta determinar el estado
de validez de un certificado digital.
4.9.11. - Otras formas disponibles para la divulgación de la revocación
No aplicable.
4.9.12. - Requisitos específicos para casos de compromiso de claves
En caso de compromiso de su clave privada, el titular del certificado
correspondiente se encuentra obligado a comunicar inmediatamente dicha
circunstancia al certificador mediante alguno de los mecanismos
previstos en el apartado 4.9.3. “Procedimientos para la solicitud de
revocación”.
La ANSES podrá iniciar una investigación para determinar
responsabilidad en el hecho, cuál fue el nivel de exposición al riesgo
de uso fraudulento de las claves, y podrá aplicar las sanciones y
medidas correctivas que resultaren necesarias.
4.9.13. - Causas de suspensión
El estado de suspensión no es admitido en el marco de la Ley N° 25.506.
4.9.14. - Autorizados a solicitar la suspensión
El estado de suspensión no es admitido en el marco de la Ley N° 25.506.
4.9.15. - Procedimientos para la solicitud de suspensión
El estado de suspensión no es admitido en el marco de la Ley N° 25.506.
4.9.16. - Límites del período de suspensión de un certificado
El estado de suspensión no es admitido en el marco de la Ley N° 25.506.
4.10. - Estado del certificado
4.10.1. - Características técnicas
La aplicación de Firma Digital para suscriptores se encuentra
disponible en forma permanente SIETE POR VEINTICUATRO (7x24) horas a
efectos de la gestión de certificados y la verificación del estado de
los mismos.
4.10.2. - Disponibilidad del servicio
Toda interrupción y restablecimiento del servicio es comunicado a los roles y Mesa de Servicio.
4.10.3. - Aspectos operativos
No existe información adicional a la indicada en puntos anteriores.
4.11. - Desvinculación del suscriptor
Una vez expirado el certificado o si éste fuera revocado, de no
tramitar un nuevo certificado, su titular se considera desvinculado de
los servicios del certificador.
De igual forma se producirá la desvinculación, ante el cese de las operaciones del certificador.
4.12. - Recuperación y custodia de claves privadas
El certificador licenciado no podrá bajo ninguna circunstancia realizar
la recuperación o custodia de claves privadas de los titulares de
certificados digitales, en virtud de lo dispuesto en el inciso b) del
artículo 21 de la Ley N° 25.506. El suscriptor se encuentra obligado a
mantener el control exclusivo de su clave privada, no compartirla e
impedir su divulgación, de acuerdo a lo dispuesto en el inciso a) del
artículo 25 de la ley antes mencionada.
5. - CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN
Se describen a continuación los procedimientos referidos a los
controles de seguridad física, de gestión y operativos implementados
por el certificador. La descripción detallada se efectuará en el Plan
de Seguridad.
5.1. - Controles de seguridad física
Los sistemas centrales de la Autoridad Certificante para Personas
Físicas de la ANSES se encuentran aislados en un compartimiento
exclusivo en el interior de un ambiente de máxima seguridad denominado
“Recinto de la Autoridad Certificante”. Dispone de controles de
seguridad física que protegen las instalaciones informáticas de la
ANSES y garantizan la continuidad de sus operaciones.
Algunas de sus características comprenden:
a) Monitoreo ambiental de temperatura, humedad, ruido, flujo de aire, polvo, polución, etc.
b) Prevención contra agentes naturales como agua, vapor, calor, fuego, gases, polvo, etc.
c) Aislamiento a altas temperaturas externas.
d) Aislamiento a campos magnéticos externos.
e) Estructura sólida de bóveda.
f) Prevención contra explosiones, derrumbes y sismos.
g) Prevención temprana de incendios.
h) Sistemas de extinción de fuego.
i) Sistemas de refrigeración y control de humedad.
j) Sistemas de alimentación eléctrica redundante.
k) Sistemas de suministro de energía ininterrumpido.
I) Sistema de generación de energía alternativo.
m) Sistemas de conectividad redundantes.
n) Sistema de puerta doble con cerramiento automático.
o) Control de acceso con identificación biométrica.
p) Sistema de cámaras para monitoreo completo en accesos y áreas críticas.
5.2. - Controles de Gestión
Los controles funcionales son cumplidos por personal calificado
asignando a cada uno de ellos un rol específico para la operación de la
Autoridad Certificante para Personas Físicas de la ANSES.
Los roles son asignados por el Responsable de la AC, respetando los siguientes criterios:
a) Cada uno de los roles tiene un titular asignado y, por lo menos, un sustituto.
b) Los roles son asignados a personal que cumple funciones en ANSES.
c) Todos los roles son excluyentes entre sí.
5.3. - Controles de seguridad del personal
Cuenta con controles de seguridad relativos a:
a) Calificaciones, experiencia e idoneidad del personal, tanto de
aquellos que cumplen funciones críticas como de aquellos que cumplen
funciones administrativas, de seguridad, limpieza, etcétera.
b) Antecedentes laborales.
c) Entrenamiento y capacitación inicial.
d) Frecuencia de procesos de actualización técnica.
e) Frecuencia de rotación de cargos.
f) Sanciones a aplicar por acciones no autorizadas.
g) Requisitos para contratación de personal.
h) Documentación provista al personal, incluidas tarjetas y otros elementos de identificación personal.
5.4. - Procedimientos de Auditoría de Seguridad
Se mantienen políticas de registro de eventos, cuyos procedimientos
detallados serán desarrollados en el Manual de Procedimientos.
Se cuenta con procedimientos de auditoría de seguridad sobre los siguientes aspectos:
a) Tipo de eventos registrados. Debe respetarse lo establecido en el Anexo II Sección 3.
b) Frecuencia de procesamiento de registros.
c) Período de guarda de los registros. Debe respetarse lo establecido
en el inciso i) del artículo 21 de la Ley N° 25.506 respecto a los
certificados emitidos.
d) Medidas de protección de los registros, incluyendo privilegios de acceso.
e) Procedimientos de resguardo de los registros.
f) Sistemas de recolección y análisis de registros (internos vs. externos).
g) Notificaciones del sistema de recolección y análisis de registros.
h) Evaluación de vulnerabilidades.
5.5. - Conservación de registros de eventos
Se han desarrollado e implementado políticas de conservación de
registros, cuyos procedimientos detallados se encuentran desarrollados
en el Manual de Procedimientos.
Los procedimientos cumplen con lo establecido por el artículo 21,
inciso i) de la Ley N° 25.506 relativo al mantenimiento de la
documentación de respaldo de los certificados digitales emitidos.
Se respeta lo establecido en el Anexo II Sección 3 respecto del registro de eventos.
Existen procedimientos de conservación y guarda de registros en los
siguientes aspectos, que se encuentran detallados en el Manual de
Procedimientos:
a) Tipo de registro archivado. Debe respetarse lo establecido en el Anexo II Sección 3.
b) Período de guarda de los registros.
c) Medidas de protección de los registros archivados, incluyendo privilegios de acceso.
d) Procedimientos de resguardo de los registros.
e) Requerimientos para los registros de certificados de fecha y hora.
f) Sistemas de recolección y análisis de registros (internos vs. externos).
g) Procedimientos para obtener y verificar la información archivada.
5.6. - Cambio de claves criptográficas
Las claves criptográficas de la Autoridad Certificante para Personas
Físicas de la ANSES han sido generadas con motivo del licenciamiento de
la presente Política Única de Certificación en presencia de la
Autoridad de Aplicación de Firma Digital y tendrán una duración de 10
años.
Por su parte, la licencia, en sí misma, tiene una vigencia limitada a 5
años. El cambio del par de claves criptográficas de la Autoridad
Certificante para Personas Físicas de la ANSES, dará origen a la
emisión de un nuevo certificado, por parte de la AC Raíz de la
Autoridad de Aplicación, y será usado para la emisión de los
posteriores certificados de los suscriptores. Este certificado estará
disponible para su consulta en los sitios web informados. Dos años
antes del vencimiento previsto del certificado de la Autoridad
Certificante se realizará una nueva generación de claves y se
solicitará la renovación de la licencia de “Certificador Licenciado”.
Una vez concedida la licencia, la nueva clave pública será distribuida
en un certificado firmado por la “Autoridad Certificante Raíz de la
República Argentina” (ACR RA).
5.7. - Plan de respuesta a incidentes y recuperación ante desastres
El plan de contingencia de la ANSES como certificador licenciado
establece los procedimientos y actividades relacionados con el servicio
de certificación de Firma Digital y será de aplicación desde el momento
de la declaración de la emergencia hasta la restauración de la
operatoria normal.
La emergencia será declarada cuando se produzca uno de los siguientes:
a) Revocación de su certificado.
b) Compromiso o sospecha de compromiso de su clave privada.
c) Destrucción del hardware.
d) Destrucción de las fuentes de energía.
e) Siniestro que afecte a la estructura del edificio.
f) Necesidad de continuar las operaciones en un entorno seguro luego de desastres naturales o de otra naturaleza.
g) Pérdida de la capacidad de procesamiento de Hardware y/o Software.
h) Necesidad de recuperación ante falla o sospecha de falla de componentes de hardware, software y datos.
i) Fallas en los sistemas de comunicaciones.
j) Fallas de suministros, como por ejemplo aire acondicionado o líneas de energía eléctrica estabilizada, por períodos extensos.
En casos de emergencia, el Responsable de Contingencia es el encargado de administrar el cumplimiento del Plan de Contingencia.
Declarada la contingencia, se integrará un Comité de Contingencia, que
tiene la responsabilidad de dirigir las operaciones de recuperación y
restauración del procesamiento normal, de acuerdo a lo detallado en el
Plan de Contingencia.
Están previstos mecanismos de prueba y simulación con una periodicidad
de SEIS (6) meses o cuando los cambios realizados al hardware, software
de base y/o software aplicativo lo ameriten.
Las pruebas del plan tienen por objeto brindar los elementos necesarios
para minimizar el tiempo de recuperación y contar con información real
respecto al servicio de contingencia.
5.8. - Plan de Cese de Actividades
Ante la declaración de cese en la prestación de los servicios de
certificación, la ANSES elaboró un Plan de Cese, que contempla las
estrategias y procedimientos a seguir desde dicha declaración hasta la
inhabilitación lógica y física de la Autoridad Certificante para
Personas Físicas de la ANSES. La ejecución del Plan de Cese se podrá
producir a partir de la manifestación de la máxima autoridad de la
ANSES sobre su decisión unilateral de proceder al cese de actividades,
ya sea por razones de índole política o de seguridad. También podrá ser
motivado por cancelación de la licencia dispuesta por la Autoridad de
Aplicación o por disolución de esta Administración Nacional.
Ante la declaración del cese de los servicios de certificación, la
ANSES procederá a su publicación a través del Boletín Oficial, del
sitio
https://servicioswww.anses.gov.ar/firmadigital/, por Gacetilla de Prensa de esta ADMINISTRACIÓN NACIONAL y la publicación en un medio de difusión nacional.
Las acciones previstas para proceder a dicha declaración y aquellas que
devienen de ella se encuentran contempladas en el documento interno
titulado Plan de Cese de Actividades.
Se mantendrán los registros necesarios para proporcionar prueba cierta
de los servicios de certificación, para lo cual se realizarán copias de
resguardo de los registros, los cuales serán almacenados en un servidor
que opera dentro de instalaciones seguras.
Toda información digital será resguardada por ANSES por un plazo de
DIEZ (10) años, así como toda la documentación de respaldo de las
solicitudes. Si el cese se debiera a la disolución de este Organismo,
los registros pasarán a manos del organismo que se instituya para
realizar funciones similares o al Ministerio de Trabajo, Empleo y
Seguridad Social.
Se contempla lo establecido por el artículo 44 de la Ley N° 25.506 de
Firma Digital en lo relativo a las causales de caducidad de la
licencia. Asimismo, los procedimientos cumplen lo dispuesto por el
artículo 33 del Decreto N° 2628/02, reglamentario de la Ley de Firma
Digital, en lo relativo a los servicios de infraestructura tecnológica
prestados por un tercero y las obligaciones establecidas en la Decisión
Administrativa N° 927/2014 y sus correspondientes Anexos.
6. - CONTROLES DE SEGURIDAD TÉCNICA
Se describen las medidas de seguridad implementadas por el certificador
para proteger las claves criptográficas y otros parámetros de seguridad
críticos. Además se incluyen los controles técnicos que se
implementarán sobre las funciones operativas del certificador,
Autoridades de Registro, repositorios, suscriptores, etcétera.
6.1. - Generación e instalación del par de claves criptográficas
Las claves criptográficas de la Autoridad Certificante son generadas en
ambientes seguros, por personal autorizado, sobre dispositivos
criptográficos homologados FIPS 140-2 Nivel 3.
La Autoridad Certificante utiliza claves generadas mediante el algoritmo RSA con un tamaño
de 4096 bits.
6.1.1. - Generación del par de claves criptográficas
La clave criptográfica de la Autoridad de Registro es generada por su
responsable utilizando un dispositivo criptográfico que cuenta con la
certificación FIPS 140-2 Nivel 2.
La Autoridad de Registro genera su clave mediante el algoritmo RSA con un tamaño mínimo de 2048 bits.
Las claves criptográficas de los suscriptores son generadas y almacenadas en dispositivos criptográficos FIPS 140-2 Nivel 2.
Los suscriptores generan sus claves mediante el algoritmo RSA con un tamaño mínimo de 2048 bits.
Las claves privadas de los suscriptores son generadas por ellos mismos
durante el proceso de solicitud, absteniéndose la ANSES de generar,
exigir o por cualquier otro medio tomar conocimiento o acceder a sus
datos de creación de firma.
Para la generación y almacenamiento de las claves los suscriptores
cuentan con dispositivos criptográficos externos removibles que las
protegen por medio de dos factores de seguridad: 1) mediante la
posesión del dispositivo, 2) mediante un PIN o contraseña definida por
el propio suscriptor.
La clave pública del solicitante es entregada a la Autoridad
Certificante durante el proceso de solicitud de certificado utilizando
técnicas de “prueba de posesión” de la clave privada asociada.
Los procesos de solicitud utilizan el formato PKCS#10 para implementar
la “prueba de posesión”, remitiendo los datos del solicitante y su
clave pública dentro de una estructura firmada con su clave privada.
Los solicitantes deben probar su identidad y demostrar que la solicitud
les pertenece, presentándose frente a la Autoridad de Registro con un
recibo de la solicitud en el cual se identifica la huella criptográfica
de ésta.
Los certificados de la “Autoridad Certificante para Personas Físicas de
la ANSES” y el certificado de la “Autoridad Certificante Raíz de la
República Argentina” (ACR RA) se encuentran disponibles en un
repositorio en línea de acceso público a través de Internet.
La verificación de integridad de los certificados publicados puede
realizarse cotejando sus firmas digitales a partir del certificado de
la “Autoridad Certificante Raíz de la República Argentina” o
corroborando las huellas criptográficas de éstos con las que fueran
publicadas oportunamente en el Boletín Oficial de la Nación.
La AC de ANSES utiliza claves RSA con un tamaño de 4096 bits.
La Autoridad de Registro utiliza claves RSA con un tamaño mínimo de 2048 bits.
Los suscriptores de certificados utilizan claves RSA con un tamaño mínimo de 2048 bits.
No se establecen condiciones especiales para la generación de
parámetros de claves asimétricas más allá de los que corresponden con
el algoritmo de generación RSA según su especificación técnica.
6.1.2. - Entrega de la clave privada
Las claves privadas de los suscriptores son generadas por ellos mismos
durante el proceso de solicitud. En todos los casos ANSES cumple con la
obligación de abstenerse de generar, exigir o por cualquier otro medio
tomar conocimiento o acceder a los datos de creación de firmas de los
suscriptores (incluyendo los roles vinculados a las actividades de
registro), establecido por la Ley N° 25.506, artículo 21, inciso b) y
el Decreto N° 2628/02, artículo 34, inciso i).
Para la generación y almacenamiento de las claves los suscriptores
cuentan con dispositivos criptográficos externos removibles que las
protegen por medio de dos factores de seguridad: 1) mediante la
posesión del dispositivo, 2) mediante un PIN o contraseña definida por
el propio suscriptor.
6.1.3. - Entrega de la clave pública al emisor del certificado
La clave pública del solicitante es entregada a la Autoridad
Certificante durante el proceso de solicitud de certificado utilizando
técnicas de “prueba de posesión” de la clave privada asociada.
Los procesos de solicitud utilizan el formato PKCS#10 para implementar
la “prueba de posesión”, remitiendo los datos del solicitante y su
clave pública dentro de una estructura firmada con su clave privada.
Los solicitantes deben probar su identidad y demostrar que la solicitud
les pertenece, presentándose frente a la Autoridad de Registro con un
recibo de la solicitud en el cual se identifica la huella criptográfica
de ésta.
6.1.4. - Disponibilidad de la clave pública del certificador
Los certificados de la “Autoridad Certificante para Personas Físicas de
la ANSES” y el certificado de la “Autoridad Certificante Raíz de la
República Argentina” (ACR RA) se encuentran disponibles en un
repositorio en línea de acceso público a través de Internet.
La verificación de integridad de los certificados publicados puede
realizarse cotejando sus firmas digitales a partir del certificado de
la “Autoridad Certificante Raíz de la República Argentina” o
corroborando las huellas criptográficas de éstos con las que fueran
publicadas oportunamente en el Boletín Oficial de la Nación.
6.1.5. - Tamaño de claves
La AC de ANSES utiliza claves RSA con un tamaño de 4096 bits.
La Autoridad de Registro utiliza claves RSA con un tamaño mínimo de 2048 bits.
Los suscriptores de certificados utilizan claves RSA con un tamaño mínimo de 2048 bits.
6.1.6. - Generación de parámetros de claves asimétricas.
No se establecen condiciones especiales para la generación de
parámetros de claves asimétricas más allá de los que corresponden con
el algoritmo de generación RSA según su especificación técnica.
6.1.7. - Propósitos de utilización de claves (campo “KeyUsage” en certificados X.509 v.3)
Las claves criptográficas de los suscriptores de los certificados
pueden ser utilizados para firmar digitalmente, para funciones de
autenticación y para cifrado.
6.2. - Protección de la clave privada y controles sobre los
dispositivos criptográficos La protección de la clave privada,
considerada en este punto, se aplica para la Autoridad Certificante, la
Autoridad de Registro y los suscriptores, según se detalla a
continuación.
6.2.1. - Controles y estándares para dispositivos criptográficos
La clave privada de la Autoridad Certificante es generada y almacenada
sobre un dispositivo criptográfico diseñado para tal fin que cumple con
las normas FIPS 140-2 nivel 3.
La clave privada de la Autoridad de Registro es generada y almacenada
sobre un dispositivo criptográfico diseñado para tal fin que cumple con
las normas FIPS 140-2 nivel 2.
La clave privada del suscriptor es generada y almacenada sobre
dispositivos criptográficos diseñados para tal fin que cumplen con las
normas FIPS 140-2 nivel 2.
6.2.2. - Control “M de N” de clave privada
La clave privada de la Autoridad Certificante es activada
exclusivamente en las instalaciones de la ANSES o en su sitio de
contingencia, dentro del nivel de seguridad (nivel de operaciones
críticas de la Autoridad Certificante). Para su activación deben estar
presentes, por lo menos, el responsable técnico, el oficial de
seguridad y los oficiales habilitadores.
La Autoridad de Registro y los suscriptores de certificados tienen
acceso a su clave privada contenida en su dispositivo criptográfico
personal a través de un PIN o contraseña.
6.2.3. - Recuperación de clave privada
En caso de necesidad, la Autoridad Certificante prevé mecanismos de
recuperación de sus claves privadas a partir de las copias de respaldo.
Esta recuperación sólo puede ser realizada por personal autorizado,
sobre uno de los dispositivos criptográficos seguros de los que dispone
la ANSES y exclusivamente en los niveles de seguridad de la Autoridad
Certificante en su sitio principal o en su sitio de contingencia.
No se implementan mecanismos de resguardo y recuperación de la clave
privada de la Autoridad de Registro, ni de los restantes suscriptores.
En caso de compromiso de la clave privada, éstos deberán proceder a la
revocación del certificado y tramitación de una nueva solicitud de
emisión de certificado si así correspondiere.
6.2.4. - Copia de seguridad de clave privada
Copias de la clave privada de la Autoridad Certificante son realizadas
inmediatamente después de su generación por personal autorizado y son
almacenadas en dispositivos criptográficos seguros homologados FIPS
140-2 nivel 3.
No se implementa mecanismos de copias de resguardo de la clave privada de la Autoridad de Registro y de los suscriptores.
6.2.5. - Archivo de clave privada
Las copias de resguardo de la clave privada de la Autoridad
Certificante son conservadas en lugares seguros, al igual que sus
elementos de activación, bajo los niveles de seguridad previstos por la
Decisión Administrativa N° 927/2014.
No se implementa mecanismos de archivo de copias de resguardo de la
clave privada de la Autoridad de Registro y de los suscriptores.
6.2.6. - Transferencia de claves privadas en dispositivos criptográficos
No aplicable.
6.2.7. Almacenamiento de claves privadas en dispositivos criptográficos
Las copias de resguardo de la clave privada de la Autoridad
Certificante están soportadas en dispositivos criptográficos
homologados FIPS 140-2 nivel 3.
La clave privada de la Autoridad de Registro y de los suscriptores es
almacenada en el mismo dispositivo criptográfico donde es generada y no
permite su exportación.
6.2.8. - Método de activación de claves privadas
Para la activación de la clave privada de la Autoridad Certificante
deben estar presentes, por lo menos, el responsable técnico, el oficial
de seguridad y los oficiales habilitadores. Los responsables necesarios
para la activación deberán identificarse frente al sistema según
corresponda al rol asignado por medio de distintos mecanismos de
autenticación, a saber: llave de seguridad, claves secretas o ambos.
La Autoridad de Registro y los suscriptores tienen acceso a su clave
privada y a su certificado contenidos en el dispositivo criptográfico a
través de un PIN o contraseña.
6.2.9. - Método de desactivación de claves privadas
La desactivación de la clave privada de la Autoridad Certificante puede realizarse en forma automática o en forma manual.
La desactivación automática se produce en caso de apagado prolongado
del dispositivo criptográfico que contiene esa clave privada.
La desactivación manual puede ser producida por el Responsable de Firma
Digital previa identificación frente al sistema utilizando 2 factores
de autenticación distintos: la posesión de una llave de seguridad más
una clave secreta para habilitarla.
6.2.10. - Método de destrucción de claves privadas
Una vez finalizada la vida útil de la clave privada de la Autoridad
Certificante, de la Autoridad de Registro y de los suscriptores, por
motivo de revocación o expiración del certificado asociado, y de no
mediar renovación del mismo, los dispositivos criptográficos serán
formateados e inicializados.
6.2.11. - Requisitos de los dispositivos criptográficos
Las claves de la Autoridad Certificante son generadas por hardware sobre dispositivos criptográficos FIPS 140-2 nivel 3.
Las claves de la Autoridad de Registro son generadas por hardware sobre dispositivos criptográficos FIPS 140-2 nivel 2.
Las claves de los suscriptores son generadas por hardware a través de
dispositivos criptográficos que cumplen con las normas FIPS 140-2 nivel
2.
6.3. - Otros aspectos de administración de claves
6.3.1. - Archivo permanente de la clave pública
Los certificados emitidos a suscriptores y a la Autoridad de Registro
son almacenados y publicados bajo un esquema de redundancia y
respaldados en forma periódica sobre dispositivos de sólo lectura, lo
cual, sumado a la firma de los mismos, garantiza su integridad.
Todos los certificados son almacenados en soporte óptico y/o magnético,
en formato estándar bajo codificación internacional DER. No se
requieren herramientas particulares para el tratamiento de dicha
información.
6.3.2. - Período de uso de clave pública y privada
Las claves privadas correspondientes a los certificados emitidos por la
ANSES podrán ser utilizadas por su suscriptor únicamente durante el
período de validez de los certificados, el cual tendrá una vigencia de
2 años. Las correspondientes claves públicas podrán ser utilizadas
durante el período establecido por las normas legales vigentes, a fin
de posibilitar la verificación de las firmas generadas durante su
período de validez.
6.4. - Datos de activación
Se entiende por datos de activación, a diferencia de las claves, a los
valores requeridos para la operatoria de los dispositivos
criptográficos y que necesitan estar protegidos.
Se establecen medidas suficientes de seguridad para proteger los datos
de activación requeridos para la operación de los dispositivos
criptográficos de los usuarios de certificados.
6.4.1. - Generación e instalación de datos de activación
Los dispositivos criptográficos utilizados por los suscriptores y la
Autoridad de Registro para la generación, almacenamiento y uso de
claves privadas son inicializados por personal de la Gerencia de
Seguridad Informática dependiente de la Gerencia de Sistemas y
Telecomunicaciones de la ANSES.
Como paso previo a la generación de claves, los suscriptores deberán
establecer una clave de seguridad sobre el dispositivo denominado PIN o
contraseña. Esta clave de seguridad, conocida sólo por el suscriptor,
protege su clave privada e impide el acceso a la misma por parte de
terceros, incluida la Autoridad Certificante.
6.4.2. - Protección de los datos de activación
Los suscriptores son responsables de la custodia de sus dispositivos
criptográficos y de la no divulgación de sus claves, contraseñas y PIN
de acceso.
La ANSES no implementa mecanismos de respaldo de las claves privadas de los suscriptores ni de sus datos de activación.
6.4.3. - Otros aspectos referidos a los datos de activación
Las claves privadas correspondientes a los certificados emitidos por la
ANSES podrán ser utilizadas por su suscriptor únicamente durante el
período de validez de los certificados, el cual tendrá una vigencia de
2 años. Las correspondientes claves públicas podrán ser utilizadas
durante el período establecido por las normas legales vigentes, a fin
de posibilitar la verificación de las firmas generadas durante su
período de validez.
Es responsabilidad de los suscriptores, elegir datos de activación para sus claves privadas que:
- Contengan como mínimo 8 caracteres, que incluyan letras mayúsculas, letras minúsculas y números.
- No sean fácilmente deducibles por otros (evitando utilizar nombres,
direcciones, números telefónicos y similares relacionados con el
suscriptor).
La contraseña de acceso al dispositivo criptográfico debe diferir de la clave de acceso a la clave privada.
6.5. - Controles de seguridad informática
6.5.1. - Requisitos Técnicos específicos
Para la prestación de sus servicios, la Autoridad Certificante para
Personas Físicas de la ANSES utiliza una infraestructura tecnológica
propia que cumple con los requisitos técnicos establecidos por la
normativa vigente. Entre los controles técnicos utilizados pueden
mencionarse:
a) Control de Acceso físicos y lógicos: El acceso físico a las
instalaciones está conformado por diversos perímetros de seguridad
internos unos de otros, cada uno de los cuales cuenta conmecanismos de
tarjeta de proximidad y/o biométricos. Del mismo modo, el acceso lógico
a los sistemas de firewall y sus propios mecanismos de control y
monitoreo.
b) Separación de funciones y roles críticos: Las principales funciones
vinculadas a los procesos de seguridad y certificación se encuentran
divididos en roles que aseguran el correcto desempeño de los
responsables designados.
Los roles definidos en la operatoria de la Autoridad Certificante serán
desempeñados por diferentes responsables. Ninguno de los nombrados
cumplirá más de una función o rol, ni aun cuando fuera en forma
transitoria. En caso de ausencia temporaria, el responsable será
reemplazado por su correspondiente sustituto.
c) Identificación y autenticación de roles: Para la identificación y
autenticación en cada uno de los roles críticos vinculados al proceso
de certificación y gestión de claves de la ANSES se utilizan mecanismos
de reconocimiento biométrico y sistemas de autenticación de múltiples
factores.
d) Utilización de criptografía para las sesiones de comunicación: Todas
las comunicaciones críticas entre los distintos componentes de la
Autoridad Certificante se realizan en forma cifrada.
e) Archivo de datos históricos y de auditoría del certificador y
usuarios: Se realizan auditorías y controles periódicos sobre cada
etapa del proceso de certificación, incluyendo la verificación de la
documentación de respaldo del proceso de identificación de suscriptores.
f) Registro de eventos de seguridad: Todas las operaciones y
actividades de la ANSES generan información de control y registros de
eventos que permiten verificar el funcionamiento y la seguridad de los
sistemas.
g) Prueba de seguridad: Se realizan comprobaciones periódicas del funcionamiento de los sistemas y los planes de contingencia.
h) Mecanismos de recuperación para claves y sistema de certificación:
Existen mecanismos y procedimientos de contingencia que garantizan la
correcta prestación de los servicios.
6.5.2. - Requisitos de seguridad computacional
La Autoridad Certificante para Personas Físicas de la ANSES se
encuentra alojada dentro de una Sala Cofre del Centro de Procesamiento
del Organismo, contando con las siguientes certificaciones:
a) Euronorma EN 1.047/2 Consejo Europeo de Certificación de Sistemas de Seguridad.
b) Estanqueidad contra gases corrosivos en relación al agua de basamento y polvo según norma DIN 18.095.
c) Testeada y probada en una situación real de incendio según Euronorma EN 1.047/2 y la norma VDMA Alemana 24.991/2.
6.6. - Controles Técnicos del ciclo de vida de los sistemas
ANSES cuenta con una Metodología para el Desarrollo de Sistemas que
aplica estándares a cada una de las etapas del ciclo de vida del
software de acuerdo a lo establecido en la Política de desarrollo y
mantenimiento de sistemas, aprobada por la Resolución de ANSES N°
693/08.
6.6.1. - Controles de desarrollo de sistemas
ANSES posee procedimientos específicos para el diseño y desarrollo de sistemas entre los cuales se encuentran:
a) metodologías estándar de análisis, especificación y diseño.
b) control de versiones de cada uno de los módulos y componentes desarrollados.
c) separación de ambientes de desarrollo, prueba y producción.
6.6.2. - Controles de gestión de seguridad
Se documenta y controla la configuración del sistema, así como toda
modificación o actualización, habiéndose implementado un método de
detección de modificaciones no autorizadas.
6.6.3. - Controles de seguridad del ciclo de vida del software
No existen certificaciones de terceros respecto del ciclo de vida del software.
6.7. - Controles de seguridad de red
La red de la Autoridad Certificante se encuentra delimitada por
diversos firewalls y monitoreada por un sistema de detección de
intrusiones (IDS).
6.8. - Certificación de fecha y hora
La AC ANSES no presta el servicio de emisión de sello de tiempo.
7. - PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS
Los certificados emitidos bajo la presente Política Única de
Certificación respetan la especificación ITU-T X.509 (ISO/IEC 9594-8)
“Information Technology - The Directory: Public key and atribute
certificate frameworks” adoptada como estándar tecnológico para la
Infraestructura de Firma Digital de la República Argentina.
7.1. - Perfil del certificado
Todos los certificados emitidos bajo la presente Política Única de
Certificación cumplen con las indicaciones establecidas en la sección 2
“Perfil de certificados digitales” del Anexo IV “Perfiles de los
Certificados y de las Listas de Certificados Revocados”.
Perfil del certificado:
7.1.1. - Número de versión
Ver apartado 2.2. “Campos de los certificados” del Anexo IV de la
Decisión Administrativa N° 927/2014 “Perfiles de los certificados y de
las listas de certificados revocados”.
7.1.2. - Extensiones
Ver apartado 2.3. “Extensiones de un Certificado” del Anexo IV de la
Decisión Administrativa N° 927/2014 “Perfiles de los certificados y de
las listas de certificados revocados”.
7.1.3. - Identificadores de algoritmos
Ver apartado 2.2. “Campos de los certificados” del Anexo IV de la
Decisión Administrativa N° 927/2014 “Perfiles de los certificados y de
las listas de certificados revocados”.
7.1.4. - Formatos de nombre
Ver apartado 2.2. “Campos de los certificados” del Anexo IV de la
Decisión Administrativa N° 927/2014 “Perfiles de Certificados y CRLs”.
7.1.5. - Restricciones de nombre
Ver apartado 2.2. “Campos de los certificados” del Anexo IV de la
Decisión Administrativa N° 927/2014 “Perfiles de los certificados y de
las listas de certificados revocados”.
7.1.6. - OID de la Política de Certificación
Ver apartado 2.3. “Extensiones de un Certificado” del Anexo IV de la
Decisión Administrativa N° 927/2014 “Perfiles de los certificados y de
las listas de certificados revocados”.
7.1.7. - Sintaxis y semántica de calificadores de Política
Ver apartado 2.3. “Extensiones de un Certificado” del Anexo IV de la
Decisión Administrativa N° 927/2014 “Perfiles de los certificados y de
las listas de certificados revocados”.
7.1.8. - Semántica de procesamiento para extensiones críticas
Ver apartado 2.3. “Extensiones de un Certificado del Anexo IV de la
Decisión Administrativa N° 927/2014 “Perfiles de los certificados y de
las listas de certificados revocados”.
7.2. - Perfil de la lista de certificados revocados
Las listas de certificados revocados correspondientes a la presente
Política Única de Certificación son emitidas conforme lo establecido en
la especificación ITU X.509 versión 2 o la que en su defecto, determine
el Ente Licenciante, y cumplen con las indicaciones establecidas en la
sección 3 “Perfil de CRLs” del Anexo IV “Perfiles de los Certificados y
de las Listas de Certificados Revocados”.
Perfil de la lista de certificados revocados:
7.2.1. - Número de versión
Ver apartado 3.2 “Extensiones de un Certificado” del Anexo IV de la
Decisión Administrativa N° 927/2014 “Perfiles de los certificados y de
las listas de certificados revocados”.
7.2.2. - Extensiones de CRL (Lista de Certificados Revocados)
Ver apartado 3.3 “Extensiones de una CRL” del Anexo IV de la Decisión
Administrativa N° 927/2014 “Perfiles de los certificados y de las
listas de certificados revocados”.
7.3. - Perfil de la consulta en línea del estado del certificado
La consulta en línea del estado de un certificado digital se realiza
utilizando el Protocolo OCSP (On-Line Certificate Status Protocol). De
implementación conforme a lo indicado en la especificación RFC 6960 y
cumplimiento con las indicaciones establecidas en la sección 4 “Perfil
de la consulta en línea del estado del certificado” del Anexo IV
“Perfiles de los Certificados y de las Listas de Certificados
Revocados”.
7.3.1. - Consultas OCSP
Cumple con el formato del apartado 4.1. “Formato” del ANEXO IV de la Decisión Administrativa N° 927/2014.
7.3.2. - Respuestas OCSP
Cumple con el formato del apartado 4.3. “Respuestas OCSP” del ANEXO IV de la Decisión Administrativa N° 927/2014.
8. - AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES
La Autoridad de Aplicación de Firma Digital de la República Argentina
realiza auditorías ordinarias a la “Autoridad Certificante para
Personas Físicas de la ANSES” y a su Autoridad de Registro, a fin de
verificar el cumplimiento de los requisitos de licenciamiento. Las
auditorías realizadas tienen por objeto verificar el cumplimiento de
los requisitos exigidos para obtener la condición de certificadores
licenciados y la aplicación de las políticas y procedimientos aprobados
por la Autoridad de Aplicación para la presente política única de
certificación. La ANSES cuenta con una Unidad de Auditoría Interna, que
realizará periódicamente la verificación del cumplimiento de los
requisitos fijados en la presente Política Única de Certificación.
Asimismo organismos como SIGEN y AGN, realizarán auditorías periódicas.
Siendo los temas principales a evaluar en dichas auditorías:
a) Requisitos legales generales
b) Política Única de Certificación y Manual de Procedimientos de Certificación
c) Plan de Seguridad
d) Plan de Cese de Actividades
e) Plan de Contingencia
f) Plataforma Tecnológica
g) Ciclo de vida de las claves criptográficas del certificador
h) Ciclo de vida de los certificados de suscriptores
i) Estructura y contenido de los certificados y CRLs
j) Mecanismos de acceso a la documentación publicada, certificados y CRLs
k) Pautas para la Autoridad de Registro.
En caso de producirse observaciones en las auditorías realizadas luego
de la notificación a la máxima autoridad de ANSES, se tomarán a la
brevedad las medidas correctivas de carácter legal y técnico que
amerite el caso.
En cumplimiento del artículo 21 Inciso K de la Ley N° 25.506, la
información relevante de los informes de la última auditoría realizada
por la Autoridad de Aplicación, es publicada en los sitios mencionados
en el apartado “Publicación de información del certificador”.
9. - ASPECTOS LEGALES Y ADMINISTRATIVOS
9.1. - Aranceles
Según lo dispuesto por el artículo 38 del Decreto N° 2628/02,
modificado por el Decreto N° 724/06, los certificados emitidos por las
entidades y jurisdicciones pertenecientes a la Administración Pública
Nacional deberán ser provistos en forma gratuita.
Los certificados emitidos bajo la presente política son gratuitos y no
se aplica ningún tipo de arancel o tasa por su solicitud, emisión,
renovación, revocación o utilización.
9.2. - Responsabilidad Financiera
Cuando ANSES emite un certificado digital o bien lo reconozca en los
términos del artículo 16 de la Ley 25.506 de Firma Digital, será
responsable por los daños y perjuicios que provoque, por los
incumplimientos a las previsiones de ésta, por los errores u omisiones
que presenten los certificados digitales que expide, por no revocarlos,
en legal tiempo y forma cuando así correspondiere y por las
consecuencias imputables a la inobservancia de procedimientos de
certificación exigibles. Corresponderá a la ANSES demostrar que actuó
con la debida diligencia, de acuerdo con el artículo 38 de la
mencionada Ley.
9.3. - Confidencialidad
Todos los datos correspondientes a las personas físicas a las cuales
alcance esta Política Única de Certificación están sujetos a la Ley N°
25.326 de Protección de los Datos Personales. Como principio general,
se establece que toda información remitida por el solicitante de un
certificado al momento de efectuar un requerimiento debe ser
considerada confidencial y no ser divulgada a terceros sin el
consentimiento previo del solicitante o suscriptor, salvo que sea
requerida en causa judicial por un juez competente.
Esta exigencia se extiende a toda otra información referida a los
solicitantes y suscriptores de certificados a la que tenga acceso la
ANSES o la AR durante el ciclo de vida del certificado.
9.3.1. - Información confidencial
La protección abarca a la siguiente información, en la medida en que no sea de conocimiento público:
- Toda la información remitida por el solicitante o suscriptor a la Autoridad de Registro.
- Cualquier información almacenada en servidores o bases de datos destinadas a Firma Digital de esta Administración Nacional.
- Cualquier información impresa o transmitida en forma verbal referida
a procedimientos, manual de procedimientos, etc., salvo aquellos que en
forma expresa fueran declarados como no confidenciales.
- Cualquier información referida a planes de contingencia, controles o
procedimientos de Seguridad, registros de auditoría creados y/o
mantenidos por ANSES.
- La presente es de carácter enunciativo, resultando confidencial toda
información del proceso de Firma Digital, que expresamente no señale lo
contrario.
Esta Administración Nacional se compromete, a la hora de prestar sus
servicios de certificación, a publicar exclusivamente los datos del
suscriptor imprescindibles para el reconocimiento de su firma digital.
A los efectos de lo dispuesto en la normativa citada, se informa al
solicitante o suscriptor de la existencia de certificados revocados.
ANSES, como responsable de dicha lista, se compromete a poner los
medios a su alcance para evitar la alteración, pérdida, tratamiento o
acceso no autorizado a los datos de carácter personal contenidos en ese
listado. Asimismo, se informa al solicitante o suscriptor sobre el
derecho que le asiste a acceder o rectificar sus datos de carácter
personal siempre que se aporte la documentación necesaria para ello.
Toda información que no sea considerada como pública revestirá el
carácter de confidencial, declarándose expresamente como tal a:
- La clave privada de la Autoridad Certificante:
La Autoridad Certificante garantiza la confidencialidad frente a
terceros de su clave privada, la cual, al ser el punto de máxima
confianza será generada y custodiada conforme a lo que se especifique
en la presente política.
- Las claves privadas del solicitante o suscriptor:
Para garantizar la confidencialidad de las claves de autentificación y
firma del solicitante o suscriptor, esta Administración Nacional
proporcionará los medios para que la generación de dichas claves sólo
se realice de modo seguro a través de un dispositivo criptográfico.
Dichas claves serán generadas por el propio solicitante y almacenadas
en un dispositivo criptográfico. A su vez, tanto la Autoridad de
Registro (AR) como la Autoridad Certificante (AC) no tendrán la
posibilidad de almacenar, copiar o conservar cualquier tipo de
información que sea suficiente para reconstruir estas claves ni
activarlas.
Sobre divulgación de información a autoridades judiciales:
La ANSES podrá revelar información confidencial si es requerida por
autoridad judicial y conforme las condiciones de dicho requerimiento.
Sobre divulgación de información como parte de un proceso judicial o administrativo:
La ANSES podrá revelar información confidencial si es requerida en el
marco de procesos judiciales, administrativos u otros procesos legales,
tales como citaciones, interrogatorios o solicitud de pruebas.
Sobre divulgación de información por solicitud del suscriptor:
De acuerdo al artículo 14 de la Ley N° 25.326 de Protección de los
Datos Personales, el titular de los datos, previa acreditación de su
identidad, tiene derecho a solicitar y obtener información respecto de
los datos que sobre su persona obren en los bancos de datos públicos, y
de acuerdo con las condiciones establecidas en esta ley. En este caso
se preverá que el acceso a la lectura de información de la Base de
Datos de Firma Digital esté circunscrito a los datos personales del
suscriptor y sólo a ellos.
Sobre otras circunstancias de divulgación de información:
La ANSES no divulgará información confidencial a terceros bajo ninguna
otra circunstancia que las previstas en los apartados anteriores,
excepto en los casos de excepción previstos en el artículo 11 de la Ley
N° 25.326 de Protección de los Datos Personales.
9.3.2. - Información no confidencial
La siguiente información no se considera confidencial:
a) Acuerdo con Suscriptores.
b) Política Única de Privacidad.
c) Términos y condiciones con Terceros Usuarios.
d) Manual de Procedimientos de Certificación en su parte pública.
e) Política Única de Certificación.
f) Resumen de la Política Única de Certificación y del Manual de Procedimientos de Certificación.
g) Certificado de la “Autoridad Certificante Raíz de la República Argentina” (ACR RA).
h) Certificado de la “Autoridad Certificante para Personas Físicas y Jurídica de la ANSES”.
i) Lista de Certificados Revocados (CRL) de la “Autoridad Certificante para Personas Físicas de la ANSES”.
j) Información relevante de los informes de la última auditoría realizada.
9.3.3. - Responsabilidades de los roles involucrados
Son obligaciones de ANSES en su carácter de Certificador Licenciado, cumplir con:
a) Las previsiones establecidas en el artículo 21 de la Ley 25.506.
- Informar a quien solicita un certificado con carácter previo a su
emisión y utilizando un medio de comunicación las condiciones precisas
de utilización del certificado, sus características, efectos y
responsabilidades, la existencia de un sistema de licenciamiento y los
procedimientos, forma que garantiza su posible responsabilidad
patrimonial y los efectos de la revocación de su propio certificado y
de la licencia que le otorga la Autoridad de Aplicación. Esa
información deberá estar libremente accesible en lenguaje fácilmente
comprensible. La parte pertinente de dicha información estará también
disponible para terceros.
- Abstenerse de generar, exigir, o por cualquier otro medio tomar
conocimiento o acceder bajo ninguna circunstancia, a los datos de
creación de firma digital de los titulares de certificados digitales
por él emitidos.
- Mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación.
- Operar utilizando un sistema técnicamente confiable de acuerdo con lo que determine la Autoridad de Aplicación.
- Notificar al solicitante las medidas que está obligado a adoptar para
crear firmas digitales seguras y para su verificación confiable, y las
obligaciones que asumirá por el solo hecho de ser titular de un
certificado.
- Recabar únicamente aquellos datos personales del titular del
certificado que sean necesarios para su emisión, quedando el
solicitante en libertad de proveer información adicional.
- Mantener la confidencialidad de toda información que no figure en el certificado;
- Poner a disposición del solicitante de un certificado toda la información relativa a su tramitación.
- Mantener la documentación de respaldo de los certificados digitales
emitidos, por diez (10) años a partir de su fecha de vencimiento o
revocación.
- Incorporar en su política única de certificación los efectos de la
revocación de su propio certificado y/o de la licencia que le otorgara
la Autoridad de Aplicación.
- Publicar en Internet o en la red de acceso público de transmisión o
difusión de datos que la sustituya en el futuro, en forma permanente e
ininterrumpida, la lista de certificados digitales revocados, las
políticas de certificación, la información relevante de los informes de
la última auditoría de que hubiera sido objeto, su manual de
procedimientos y toda información que determine la Autoridad de
Aplicación.
- Publicar en el Boletín Oficial aquellos datos que la Autoridad de Aplicación determine;
- Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas.
- Informar en las políticas de certificación si los certificados
digitales por él emitidos requieren la verificación de la identidad del
titular.
- Verificar, de acuerdo con lo dispuesto en su manual de
procedimientos, toda otra información que deba ser objeto de
verificación, la que debe figurar en las políticas de certificación y
en los certificados digitales.
- Solicitar inmediatamente a la Autoridad de Aplicación la revocación
de su certificado, o informarle la revocación del mismo, cuando
existieren indicios de que los datos de creación de firma digital que
utiliza hubiesen sido comprometidos o cuando el uso de los
procedimientos de aplicación de los datos de verificación de firma
digital en él contenidos hayan dejado de ser seguros.
- Informar inmediatamente a la Autoridad de Aplicación sobre cualquier cambio en los datos relativos a su licencia.
- Permitir el ingreso de los funcionarios autorizados de la Autoridad
de Aplicación y de los auditores a su local operativo, poner a su
disposición toda la información necesaria y proveer la asistencia del
caso.
- Emplear personal idóneo que tenga los conocimientos específicos, la
experiencia necesaria para proveer los servicios ofrecidos y en
particular, competencia en materia de gestión, conocimientos técnicos
en el ámbito de la firma digital y experiencia adecuada en los
procedimientos de seguridad pertinentes.
- Someter a aprobación de la Autoridad de Aplicación el manual de
procedimientos, el plan de seguridad y el de cese de actividades, así
como el detalle de los componentes técnicos a utilizar.
- Constituir domicilio legal en la República Argentina.
- Disponer de recursos humanos y tecnológicos suficientes para operar
de acuerdo a las exigencias establecidas en la presente ley y su
reglamentación.
- Cumplir con toda otra obligación emergente de su calidad de titular de la licencia adjudicada por la Autoridad de Aplicación.
b) Las previsiones establecidas en los artículos 34 y 36 del Decreto N° 2628/02.
- Comprobar por sí o por medio de una Autoridad de Registro que actúe
en nombre y por cuenta suya, la identidad y cualquier otro dato de los
solicitantes considerado relevante para los procedimientos de
verificación de identidad previos a la emisión del certificado, según
la Política Única de Certificación bajo la cual se solicita.
- Mantener a disposición permanente del público la Política Única de
Certificación y el Manual de Procedimientos correspondiente.
- Cumplir cabalmente con la política única de certificación acordada con el titular y con su Manual de Procedimientos.
- Garantizar la prestación establecida según los niveles definidos en
el acuerdo de servicios pactados con sus usuarios, relativo a los
servicios para los cuales solicitó el licenciamiento.
- Informar al solicitante de un certificado, en un lenguaje claro y
accesible, en idioma nacional, respecto de las características del
certificado solicitado, las limitaciones a la responsabilidad, si las
hubiere, los precios de los servicios de certificación, uso,
administración y otros asociados, incluyendo cargos adicionales y
formas de pago, los niveles de servicio al proveer, las obligaciones
que el suscriptor asume como usuario del servicio de certificación, su
domicilio en la República Argentina y los medios a los que el
suscriptor puede acudir para solicitar aclaraciones, dar cuenta del mal
funcionamiento del sistema o presentar sus reclamos.
- Disponer de un servicio de atención a titulares y terceros, que
permita evacuar las consultas y la pronta solicitud de revocación de
certificados.
- Garantizar el acceso permanente, eficiente y gratuito de los titulares y terceros al repositorio de certificados revocados.
- Mantener actualizados los repositorios de certificados revocados por el período establecido por la Autoridad de Aplicación.
- Abstenerse de generar, exigir, tomar conocimiento o acceder bajo ninguna circunstancia a la clave privada del suscriptor.
- Informar a la Autoridad de Aplicación de modo inmediato la ocurrencia
de cualquier evento que comprometa la correcta prestación del servicio.
- Respetar el derecho del titular del certificado a no recibir
publicidad de ningún tipo por su intermedio, salvo consentimiento
expreso de éste.
- Publicar en el Boletín Oficial durante UN (1) día, el certificado de
clave pública correspondiente a la política para la cual obtuvo
licenciamiento.
- Cumplir las normas y recaudos establecidos para la protección de datos personales.
- En los casos de revocación de certificados contemplados en el
apartado 3 del inciso e) del artículo 19 de la Ley N° 25.506, deberá
sustituir en forma gratuita aquel certificado que ha dejado de ser
seguro por otro que sí cumpla con estos requisitos.
La Autoridad de Aplicación deberá establecer el proceso de reemplazo de
certificados en estos casos. En los casos en los que un certificado
haya dejado de ser seguro por razones atribuibles a su titular, el
certificador licenciado no estará obligado a sustituir el certificado.
- Enviar periódicamente a la Autoridad de Aplicación, informes de estado de operaciones con carácter de declaración jurada.
- Contar con personal idóneo y confiable, con antecedentes profesionales acordes a la función desempeñada.
- Responder a los pedidos de informes por parte de un tercero respecto de la validez y alcance de un certificado emitido por él.
- Ser responsable con los alcances establecidos en la Ley N° 25.506,
aún en el caso de que delegue parte de su operatoria en Autoridades de
Registro, sin perjuicio del derecho del certificador de reclamar a la
Autoridad de Registro las indemnizaciones por los daños y perjuicios
que aquél sufriera como consecuencia de los actos y/u omisiones de ésta.
c) La obligatoriedad de notificar a sus suscriptores ante cualquier
acontecimiento que pudiera ocasionar el compromiso de su clave privada
y la generación de un nuevo par de claves.
d) La obligatoriedad de notificar a sus suscriptores y a la Autoridad de Aplicación acerca del cese de sus actividades.
e) La obligatoriedad de emitir y distribuir los certificados a sus suscriptores, informándolos acerca de dicha emisión.
f) Las obligaciones establecidas en la Decisión Administrativa 927/2014 y sus Anexos.
g) El cumplimiento de todas las medidas de seguridad establecidas en su Política de Seguridad.
Son obligaciones de la Autoridad de Registro cumplir con:
a) Las previsiones establecidas en el artículo 35 del Decreto N° 2628/02.
- La recepción de las solicitudes de emisión de certificados.
- La validación de la identidad y autenticación de los datos de los titulares de certificados.
- La validación de otros datos de los titulares de certificados que se presenten ante ella cuya verificación delegue la ANSES.
- La remisión de las solicitudes aprobadas a la ANSES.
- La recepción y validación de las solicitudes de revocación de certificados; y su direccionamiento a la ANSES.
- La identificación y autenticación de los solicitantes de revocación de certificados.
- El archivo y la conservación de toda la documentación de respaldo del
proceso de validación de identidad, de acuerdo con los procedimientos
establecidos por la ANSES.
- El cumplimiento de las normas y recaudos establecidos para la protección de datos personales.
- El cumplimiento de las disposiciones que establezca la Política Única
de Certificación y el Manual de Procedimientos de la ANSES, en la parte
que resulte aplicable.
b) La protección de sus claves privadas.
c) El cumplimiento de todas las medidas de seguridad establecidas por
la ANSES en el documento anexo “Pautas para la Autoridad de Registro”.
Son obligaciones de los suscriptores de certificados cumplir con:
a) Las previsiones establecidas en el artículo 25 de la Ley N° 25.506.
- Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación.
- Utilizar un dispositivo de creación de firma digital técnicamente confiable.
- Solicitar la revocación de su certificado al certificador licenciado
ante cualquier circunstancia que pueda haber comprometido la privacidad
de sus datos de creación de firma.
- Informar sin demora al certificador licenciado el cambio de alguno de
los datos contenidos en el certificado que hubiera sido objeto de
verificación.
b) Proveer de modo completo y preciso toda la información necesaria para la emisión del certificado.
c) Utilizar sus certificados de forma adecuada, conforme a lo previsto en la Política Única de Certificación.
d) Tomar conocimiento de los derechos y obligaciones que se establezcan
en la “Política Única de Certificación”, en el “Manual de
Procedimientos de Certificación” (en sus aspectos no confidenciales),
en el “Acuerdo con Suscriptor” y en todo documento aplicable.
e) Solicitar la revocación de su certificado en caso de ocurrir algún
cambio que lo excluya de la aplicación de la presente política, como
por ejemplo, la finalización de la relación laboral con la ANSES.
9.4. - Privacidad
Todos los aspectos vinculados a la privacidad de los datos personales
estarán sujetos a la normativa vigente en materia de Protección de los
Datos Personales (Ley N° 25.326 y normas reglamentarias,
complementarias y aclaratorias). Las consideraciones particulares se
incluyen en la Política de Privacidad.
9.5 - Derechos de Propiedad Intelectual
La ANSES es propietaria exclusiva de todos los derechos de propiedad
intelectual de la presente política única, acuerdos, declaraciones,
procedimientos y documentos auxiliares referidos a la Autoridad
Certificante para Personas Físicas de la ANSES, así como la
documentación y contenidos de los sitios:
-
http://intranetanses/firmadigital
-
https://servicioswww.anses.gov.ar/firmadigital
y de las aplicaciones informáticas propias, exceptuando software de base y su correspondiente documentación.
9.6. - Responsabilidades y garantías
En un todo de acuerdo con la Ley N° 25.506 de Firma Digital, Capítulo IX, existirán dos supuestos de responsabilidad civil:
1) La existente entre este certificador licenciado que emite un certificado respecto del titular de dicho certificado.
Sin perjuicio de las previsiones de la citada ley, y demás legislación
vigente, la relación entre la ANSES y el titular de un certificado
emitido por ANSES se regirá por el contrato o acuerdo de partes que se
celebre a tal efecto. En este sentido, de acuerdo al artículo 37 de la
Ley de Firma Digital la relación quedará encuadrada dentro del ámbito
de responsabilidad civil contractual.
La ANSES no se hace responsable por los daños y perjuicios que hubieran
acontecido por culpa de un tercero, de la víctima, o la presencia de un
hecho fortuito o de fuerza mayor que no le sea imputable, quedando
eximido de resarcir total o parcialmente los daños causados a la
víctima en caso de que probara su falta de culpa, o que actuó
diligentemente. En caso de comprobarse la falta de diligencia, por
parte de esta ADMINISTRACIÓN NACIONAL, de acuerdo a lo dispuesto por
los artículos 520 y 521 del Código Civil, se deberá proceder a
indemnizar los daños y perjuicios que sean consecuencia inmediata del
hecho dañoso.
2) La que podría presentarse entre ANSES y un tercero.
Con respecto a la responsabilidad de esta ANSES por actos que pudieran
afectar los intereses de un tercero, en el marco de la presente
operatoria, será responsable por los daños y perjuicios que provoque,
por los incumplimientos, las imprevisiones, por los errores u omisiones
que presenten los certificados digitales que expida, por no revocarlos
en legal tiempo y forma y, por las consecuencias imputables a la
inobservancia de procedimientos de certificación pertinentes. De
acuerdo con el artículo 38 de la Ley N° 25.506. Dado que ANSES no está
contratando con terceros la responsabilidad civil será de carácter
extra contractual.
Limitaciones
Se excluye la responsabilidad civil de la ANSES, en un todo de acuerdo
con el artículo 39 de la ley 25.506, en los siguientes casos:
- Por las condiciones de emisión y utilización de sus certificados, que no estén expresamente previstos en la ley.
- Por los daños y perjuicios que resulten del uso no autorizado de un certificado.
- Por eventuales inexactitudes en el certificado que resulten de la información facilitada por el titular.
Ninguna de las partes podrá considerar a la otra como responsable por
cualquier finalización, interrupción o demora en el cumplimiento de sus
obligaciones conforme al presente instrumento que resultara como
consecuencia de aquellas causales consideradas como fuerza mayor o caso
fortuito (de acuerdo al Código Civil), siempre y cuando la parte que la
invocare haya puesto prontamente en conocimiento de la otra parte de
manera comprobable y fehaciente las circunstancias del hecho, dentro de
las 24 horas de conocido el mismo, y haya tomado las medidas que
razonablemente que resultan necesarias, bajo las circunstancias, para
mitigar los efectos ocasionados
por el hecho de fuerza mayor invocado.
Si se comprobara hecho dañoso se deberá indemnizar a la víctima, de
acuerdo a lo estipulado en los artículos 520 y 521 del Código Civil,
los daños y perjuicios que sean consecuencia inmediata de dicho hecho.
Cabe destacar que estas disposiciones del Código Civil serán aplicables
en forma supletoria a lo establecido expresamente por las partes en el
contrato.
9.7. - Deslinde de responsabilidad
Lo relacionado a este punto se detalla en el apartado 9.6. “Responsabilidades y garantías”.
9.8. - Limitaciones a la responsabilidad frente a terceros
Lo relacionado a este punto se detalla en el apartado 9.6. “Responsabilidades y garantías”.
9.9. - Compensaciones por daños y perjuicios
Lo relacionado a este punto se detalla en el apartado 9.6. “Responsabilidades y garantías”.
9.10. - Condiciones de vigencia
La presente Política Única de Certificación para Personas Físicas de la
ANSES se encuentra vigente desde su aprobación y mientras su texto no
sea actualizado.
• Fecha de entrada en vigencia: 17/12/2008
9.11. - Avisos personales y comunicaciones con los participantes
No aplicable.
9.12. - Gestión del ciclo de vida del documento
Lo relacionado a este punto se detalla en el apartado, 9.12.1. “Procedimientos de cambio” y
9.12.2. “Mecanismo y plazo de publicación y notificación”.
9.12.1. - Procedimientos de cambio
El presente documento será revisado y actualizado en forma periódica
por la ANSES y puesto en vigencia, previa aprobación del ente
licenciante. Las nuevas versiones de la política contendrán una
referencia a cada una de las versiones previas, junto a una descripción
sintética de los principales cambios introducidos.
Todo cambio a la Política Única de Certificación será comunicado al suscriptor.
9.12.2. - Mecanismo y plazo de publicación y notificación
Una copia actualizada del presente documento se encuentra disponible en
forma pública y accesible a través de Internet en la dirección:
https://servicioswww.anses.gov.ar/firmadigital/
En caso de producirse modificaciones sustanciales a los contenidos de
la presente política, los suscriptores que posean certificados vigentes
a la fecha de aplicación del cambio serán notificados por correo
electrónico en las direcciones declaradas en los correspondientes
certificados.
Producida una actualización de los documentos relacionados con el marco
legal u operativo de la Autoridad Certificante (“Acuerdo con
Suscriptores”, “Política de Privacidad”, “Términos y condiciones con
Terceros Usuarios”, “Resumen de la Política Única de Certificación y
del Manual de Procedimientos de Certificación”, “Política Única de
Certificación”), los documentos actualizados se publicarán dentro de
las VEINTICUATRO (24) horas, luego de ser aprobados por la Autoridad de
Aplicación.
9.12.3. - Condiciones de modificación del OID
No aplicable.
9.13. - Procedimientos de resolución de conflictos
Se deja constancia de que cualquier controversia y/o conflicto
resultante de la aplicación de esta Política Única de Certificación,
podrá ser resuelta en sede administrativa de acuerdo a lo establecido
por la Ley Nacional de Procedimientos Administrativos N° 19.549 y su
Decreto Reglamentario N° 1759/72 T.O. 1991 y que la presente Política
se encuentra supeditada a la normativa vigente en materia de Firma
Digital (Ley N° 25.506 y sus disposiciones reglamentarias) y que en
ningún caso prevalecerá sobre lo dispuesto por ella.
9.14. - Legislación aplicable
La legislación que respalda la interpretación, aplicación y validez de
la Política Única de Certificación, es la Ley N° 25.506, el Decreto N°
2628/02, la Decisión Administrativa N° 927/2014, y toda otra norma
complementaria dictada por la autoridad competente.
9.15. - Conformidad con normas aplicables
La presente Política Única de Certificación se rige por la Ley 25.506,
el Decreto Reglamentario N° 2628/2002 y la Decisión Administrativa N°
927/2014 y demás normas concordantes dictadas por la autoridad
competente.
Si se presentasen conflictos de interpretación de una o más
disposiciones de esta Política Única de Certificación, el suscriptor o
tercero usuario deberán agotar la vía administrativa con jurisdicción
en esta ADMINISTRACIÓN, luego de cumplida esta instancia podrá accionar
ante la Autoridad de Aplicación.
9.16. - Cláusulas adicionales
No se establecen cláusulas adicionales.
9.17. - Otras cuestiones generales
Son obligaciones de los suscriptores de certificados cumplir con:
a) Las previsiones establecidas en el artículo 25 de la Ley N° 25.506.
- Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación.
- Utilizar un dispositivo de creación de firma digital técnicamente confiable.
- Solicitar la revocación de su certificado al certificador licenciado
ante cualquier circunstancia que pueda haber comprometido la privacidad
de sus datos de creación de firma.
- Informar sin demora al certificador licenciado el cambio de alguno de
los datos contenidos en el certificado que hubiera sido objeto de
verificación.
b) Proveer de modo completo y preciso toda la información necesaria para la emisión del certificado.
c) Utilizar sus certificados de forma adecuada, conforme a lo previsto en la Política Única de Certificación.
d) Tomar conocimiento de los derechos y obligaciones que se establezcan
en la “Política Única de Certificación”, en el “Manual de
Procedimientos de Certificación” (en sus aspectos no confidenciales),
en el “Acuerdo con Suscriptor” y en todo documento aplicable.
e) Solicitar la revocación de su certificado en caso de ocurrir algún
cambio que lo excluya de la aplicación de la presente política, como
por ejemplo, la finalización de la relación laboral con la ANSES.
Son obligaciones de los terceros usuarios de certificados:
a) Conocer los alcances de la Política Única de Certificación conforme los “Términos y condiciones con terceros usuarios”.
b) Rechazar la utilización del certificado para fines distintos a los
previstos en la Política Única de Certificación que lo respalda y de
usarlo conforme a los “Términos y condiciones con terceros usuarios”.
c) Verificar la validez del certificado.
e. 06/02/2015 N° 6810/15 v. 06/02/2015
