Resolución 6/2016/SMAD
Política Única de
Certificación” de la empresa TECNOLOGÍA DE VALORES S.A
Bs. As., 11/05/2016
VISTO el Expediente N°
CUDAP: EXP-JGM: 0004977/2011 del Registro de la JEFATURA DE GABINETE DE
MINISTROS, las Leyes Nros. 25.506 y 22.520 y modificatorias, los Decretos Nros
2628 del 19 de diciembre de 2002 y sus modificatorios, 561 del 6 de abril de
2016, la Decisión Administrativa N° 927 del 30 de octubre de 2014 y la
Resolución de la ex SUBSECRETARÍA DE LA GESTIÓN PÚBLICA de la JEFATURA DE
GABINETE DE MINISTROS N° 63 del 13 de noviembre de 2007, y
CONSIDERANDO:
Que la Ley N° 25.506 de
Firma Digital, reconoce la eficacia jurídica del documento electrónico, la
firma electrónica y la firma digital, estableciendo las características de la
Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA.
Que el artículo 24 del
Decreto N° 2628/02 y sus modificatorios, reglamentario de la Ley N° 25.506 de
Firma Digital, establece el procedimiento que los certificadores deben observar
para la obtención de una licencia y detalla la documentación exigida para el
cumplimiento de las condiciones estipuladas en la mencionada Ley, su Decreto
reglamentario y normas complementarias.
Que la Decisión
Administrativa N° 927/14 establece las pautas técnicas complementarias del
marco normativo de firma digital, aplicables al otorgamiento y revocación de
licencias a los certificadores que así lo soliciten, y dispone en su artículo
57 que la documentación exigida durante el proceso de licenciamiento será
considerada confidencial, excepto aquella que la normativa vigente establezca
como pública.
Que en base a lo dispuesto
por el citado artículo 57, se establece la obligación de resguardar la
información confidencial obrante en las actuaciones de licenciamiento,
disponiendo que sólo procederá a utilizarla a los fines de evaluar la aptitud
del certificador para cumplir con sus funciones y obligaciones, inherentes al
licenciamiento, absteniéndose de revelarla, utilizarla para otros fines o
divulgarla a terceros, aún después de haber finalizado el proceso de
licenciamiento, salvo respecto de aquella información que la normativa vigente
establezca como pública.
Que conforme lo previsto
en el artículo 38 del Reglamento de Procedimientos Administrativos, Decreto N°
1759/72 T.O. 1991, el carácter reservado o secreto de la documentación
contenida en una actuación debe ser declarado tal por decisión fundada y con
intervención previa del servicio jurídico correspondiente.
Que, en consecuencia,
deviene necesario declarar la reserva de la documentación considerada no
pública obrante en el expediente citado en el Visto, dado que la misma contiene
información crítica relacionada al funcionamiento y continuidad de las
operaciones de la Autoridad Certificante de TECNOLOGÍA DE VALORES S.A.
Que la Ley de Ministerios
N° 22.520 y modificatorias, en su artículo 23 octies establece las competencias
del MINISTERIO DE MODERNIZACIÓN, entre las cuales se encuentra la de actuar
como Autoridad de Aplicación del régimen normativo que establece la
infraestructura de firma digital para el sector público nacional.
Que el Decreto N° 561/16,
en su artículo 9, otorga a la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del
MINISTERIO DE MODERNIZACIÓN, las funciones establecidas en los incisos b), c),
e), f), g), h), j), k), I), m), n), o) y p) del artículo 13 y las obligaciones
definidas en el artículo 14, ambas del Decreto 2628/02.
Que habiéndose aceptado la
documentación en las condiciones establecidas en la normativa vigente, se ha
realizado la auditoría previa al licenciamiento establecida en el artículo 53
de la Decisión Administrativa N° 927/14.
Que se emitió el correspondiente
dictamen legal y técnico que acredita la aptitud de TECNOLOGÍA DE VALORES S.A.
para desempeñarse como certificador licenciado en el marco de la
Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA creada por la Ley N°
25.506.
Que en virtud de las
constancias obrantes en el expediente, se han acreditado las condiciones
requeridas por la Decisión Administrativa N° 927/14 para que TECNOLOGÍA DE
VALORES S.A. pueda ejercer su actividad como Certificador Licenciado, aprobando
su Política Única de Certificación, conforme a lo dispuesto en su artículo 9°.
Que la DIRECCIÓN GENERAL
DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA del
MINISTERIO DE MODERNIZACIÓN ha tomado la intervención que le compete.
Que la presente medida se
dicta en virtud de las facultades conferidas por el Decreto N° 561/16.
Por ello,
EL SECRETARIO DE
MODERNIZACIÓN ADMINISTRATIVA
DEL MINISTERIO DE
MODERNIZACIÓN
RESUELVE:
ARTÍCULO 1° — Apruébase la
“Política Única de Certificación” de la empresa TECNOLOGÍA DE VALORES S.A.,
cuyo texto forma parte integrante de la presente Resolución como Anexo.
ARTÍCULO 2° — Instrúyese a
la DIRECCIÓN NACIONAL DE SISTEMAS DE ADMINISTRACIÓN Y FIRMA DIGITAL de la
SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN,
para que proceda en el término de VEINTICUATRO (24) horas a asignar el
Identificador de Objeto (OID) correspondiente a la Política de Certificación
que se aprueba por la presente.
ARTÍCULO 3° — Establécese
el carácter de reservado, en los términos del artículo 57 de la Decisión
Administrativa N° 927/14, de la siguiente documentación que obra en los
presentes actuados:
“Plan de Cese de
Actividades”.
“Plan de Seguridad”.
“Políticas”.
“Normas”.
“Procedimientos
Administrativos”.
“Procedimientos
Operativos”.
“Manual de
Procedimientos”.
“Plan de Contingencia”.
ARTÍCULO 4° — Comuníquese,
publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. —
Lic. EDUARDO N. MARTELLI, Secretario de Modernización Administrativa,
Ministerio de Modernización.
ANEXO
POLÍTICA ÚNICA DE
CERTIFICACIÓN DE TECNOLOGÍA DE VALORES S.A.
Contenido
1. INTRODUCCIÓN
2. RESPONSABILIDADES
VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS
3. IDENTIFICACIÓN Y
AUTENTICACIÓN
4. CICLO DEL CERTIFICADO:
REQUERIMIENTOS OPERATIVOS
5. CONTROLES DE SEGURIDAD
FÍSICA, OPERATIVOS Y DE GESTIÓN
6. CONTROLES DE SEGURIDAD
TÉCNICA
7. PERFILES DE
CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS
8. AUDITORÍA DE
CUMPLIMIENTO Y OTRAS EVALUACIONES
9. ASPECTOS LEGALES Y
ADMINISTRATIVOS
1. INTRODUCCIÓN.
1.1. Descripción general.
El presente documento
establece las políticas que se aplican a la relación entre un certificador
licenciado en el marco de la Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA
(Ley N° 25.506) y los solicitantes, suscriptores y terceros usuarios de los
certificados que éste emita. Un certificado vincula los datos de verificación
de firma digital de una persona física o jurídica o con una aplicación a un
conjunto de datos que permiten identificar a dicha entidad, conocida como
suscriptor del certificado.
La autoridad de aplicación
de la Infraestructura de firma digital antes mencionada es el MINISTERIO DE
MODERNIZACIÓN, siendo el MINISTERIO DE MODERNIZACIÓN, quien entiende en las
funciones de ente licenciante.
1.2. Nombre e
identificación del documento.
|
Nombre de la Política
|
Política Única de
Certificación de Tecnología de Valores S.A.
|
|
OID
|
|
|
Descripción de la
Política
|
Políticas y prácticas de
certificación válidas para Certificados emitidos por Tecnología de Valores
S.A. para personas jurídicas y físicas.
|
|
Versión
|
01
|
|
Fecha de aplicación
|
|
|
Sitio de publicación
|
https:\\www.tecnologiadevalores.com.ar
|
1.3. Participantes.
Integran la
infraestructura del certificador las siguientes entidades:
1.3.1. Certificador.
Tecnología de Valores S.A.
se constituye como Certificador Licenciado responsable del cumplimiento de esta
Política Única de Certificación. Asimismo, se desempeña como Autoridad
Certificante de la presente Política Única de Certificación.
Tecnología de Valores S.A.
CUIT. 30-71142647-3
25 de Mayo N° 362. - 3°
piso
CABA - Código Postal:
C1002ABH
Tel.: (54) 11-4317-8910
www.tecnologiadevalores.com.ar
1.3.2. Autoridad de
Registro.
Las funciones de la
Autoridad de Registro serán la recepción de las solicitudes de emisión de
Certificados Digitales, la identificación y autenticación de los Solicitantes
y/o Suscriptores de los mismos y la recepción y validación de las solicitudes
de revocación junto con el archivo de toda la documentación respaldatoria; como
así también, las demás funciones que surgen del punto 2.1.2 de la presente
Política Única de Certificación. Las mismas serán referenciadas en este documento
de aquí en más como la “Autoridad de Registro”.
Las organizaciones
habilitadas para operar como Autoridades de Registro de Tecnología de Valores
S.A. en el marco de la presente Política se mencionan en el sitio web
www.tecnologiadevalores.com.ar
Las Autoridades de
Registro se encuentran vinculadas a Tecnología de Valores S.A. mediante la
firma de un acuerdo al afecto.
Se prevé la generación de
nuevas Autoridades de Registro en el marco de la presente Política, las cuales
serán oportunamente publicadas en el sitio web de Tecnología de Valores S.A.
1.3.3. Suscriptores de
Certificados.
El Suscriptor es la
persona física o jurídica titular de un Certificado Digital, identificada en el
nombre distinguido (DN por sus siglas en inglés) del mismo, que actúa con o
para Organizaciones Públicas o Privadas.
En la presente Política
Única de Certificación se denominará al Suscriptor de un Certificado Digital
como “Titular” o “Suscriptor” indistintamente.
Las comunidades de
suscriptores están comprendidas por personas físicas y personas jurídicas
(Organizaciones Públicas o Privadas) de alguno de los siguientes ámbitos:
• Cámaras Comerciales e
industriales,
• Mercados, Agentes
registrados, Emisoras y demás sujetos regulados por la Ley N° 26.831, Decreto
N° 1023/2013 y sus modificatorios y las Normas de la Comisión Nacional de
Valores (N.T. 2013 y mod.) y demás normas complementarias que se dicten en el
futuro,
• Sociedades de Garantía
Recíproca y entidades patrocinantes autorizadas para avalar y librar,
respectivamente, cheques de pago diferido, pagarés y/o letras de cambio,
• Entidades Financieras y
de Medios de Pago,
• Consejos Profesionales.
Solicitantes
Por “Solicitante” se
entenderá en la presente Política la persona que haya firmado una Solicitud de
Certificado Digital y se encuentra a la espera de la emisión de dicho
Certificado.
Una vez que la Autoridad
Certificante ponga a disposición del Solicitante el Certificado Digital emitido
para su descarga, el mismo dejará de ser considerado Solicitante y será
considerado Suscriptor o Titular del Certificado.
Tecnología de Valores S.A.
emite también un certificado para el servicio On Line Certificate Status
Protocol (OCSP), para la consulta sobre el estado de un certificado.
1.3.4. Terceros Usuarios.
Son Terceros Usuarios de
los certificados emitidos bajo la presente Política Única de Certificación,
toda persona física o jurídica que recibe un documento firmado digitalmente y
que genera una consulta para verificar la validez del certificado digital
correspondiente, de acuerdo al Anexo l del Decreto N° 2628 del 19 de diciembre
de 2002 y sus modificatorios. Los suscriptores serán personas físicas o
jurídicas.
1.4. Uso de los
certificados.
Las claves
correspondientes a los certificados digitales que se emitan bajo la presente
Política Única de Certificación podrán ser utilizadas en forma interoperable en
los procesos de firma digital de cualquier documento o transacción y para la
autenticación o el cifrado.
1.5. Administración de la
Política.
1.5.1. Responsable del
documento.
Responsable del registro,
mantenimiento e interpretación de la Política.
Responsable de la
Autoridad Certificante de Tecnología de Valores S.A.
25 de Mayo N° 362. - 3°
piso
CABA - Código Postal: C1002ABH
Tel (54) 11-4317-8910
www.tecnologiadevalores.com.ar
Responsable para
contactos, contacto@tecvalores.sba.com.ar
Tel.: (54) 11-4317-8910
www.tecnologiadevalores.com.ar
1.5.2. Contacto.
Responsable del registro,
mantenimiento e interpretación de la Política.
Responsable de la
Autoridad Certificante de Tecnología de Valores S.A.
25 de Mayo N° 362. - 3°
piso
CABA - Código Postal:
C1002ABH
Tel.: (54) 11-4317-8910
www.tecnologiadevalores.com.ar
Responsable para
contactos.
contacto@tecvalores.sba.com.ar
Tel.: (54) 11-4317-8910
www.tecnologiadevalores.com.ar
1.5.3. Procedimiento de
aprobación de la Política Única de Certificación.
La Política Única de
Certificación y el Formulario de Adhesión del Anexo I de la Decisión
Administrativa N° 927/14 han sido presentados ante el ente licenciante durante
el proceso de licenciamiento aprobado por Acto Administrativo.
1.6. Definiciones y
Acrónimos.
1.6.1. Definiciones.
Se incluirán las
definiciones de los conceptos relevantes utilizadas en la Política Única de
Certificación, incluyendo los siguientes:
• Autoridad de Aplicación:
el MINISTERIO DE MODERNIZACIÓN es la Autoridad de Aplicación de firma digital
en la REPÚBLICA ARGENTINA.
• Autoridad de Registro:
es la entidad que tiene a su cargo las funciones de:
- Recepción de las
solicitudes de emisión de certificados.
- Validación de la
identidad y autenticación de los datos de los titulares de certificados.
- Validación de otros
datos de los titulares de certificados que se presenten ante ella cuya
verificación delegue el Certificador Licenciado.
- Remisión de las
solicitudes aprobadas al Certificador Licenciado con la que se encuentre
operativamente vinculada.
- Recepción y validación
de las solicitudes de revocación de certificados; y su direccionamiento al
Certificador Licenciado con el que se vinculen.
- Identificación y
autenticación de los solicitantes de revocación de certificados.
- Archivo y la
conservación de toda la documentación respaldatoria del proceso de validación
de identidad, de acuerdo con los procedimientos establecidos por el
certificador licenciado.
- Cumplimiento de las
normas y recaudos establecidos para la protección de datos personales.
- Cumplimiento de las
disposiciones que establezca la Política Única de Certificación y el Manual de
Procedimientos del Certificador Licenciado con el que se encuentre vinculada,
en la parte que resulte aplicable.
Dichas funciones son
delegadas por el certificador licenciado. Puede actuar en una instalación fija
o en modalidad móvil, siempre que medie autorización del ente licenciante.
• Certificado Digital: Se
entiende por certificado digital al documento digital firmado digitalmente por
un certificador, que vincula los datos de verificación de firma a su titular
(artículo 13 de la Ley N° 25.506).
• Certificador Licenciado:
Se entiende por certificador licenciado a toda persona de existencia ideal,
registro público de contratos u organismo público que expide certificados,
presta otros servicios en relación con la firma digital y cuenta con una
licencia para ello, otorgada por el ente licenciante. (artículo 17 de la Ley N°
25.506).
• Certificación digital de
fecha y hora: Indicación de la fecha y hora cierta, asignada a un documento o
registro electrónico por una tercera parte confiable y firmada digitalmente por
ella. (Anexo al Decreto N° 2628/02 y sus modificatorios).
• Ente licenciante: el
MINISTERIO DE MODERNIZACIÓN es el Ente Licenciante.
• Lista de certificados
revocados: Lista de certificados que han sido dejados sin efecto en forma
permanente por el Certificador Licenciado, la cual ha sido firmada digitalmente
y publicada por el mismo. En inglés: Certificate Revocation List (CRL). (Anexo
al Decreto N° 2628/02 y sus modificatorios)
• Manual de
Procedimientos: Conjunto de prácticas utilizadas por el certificador licenciado
en la emisión y administración de los certificados. En inglés: Certification
Practice Statement (CPS). (Anexo al Decreto N° 2628/02 y sus modificatorios)
• Plan de Cese de
Actividades: conjunto de actividades a desarrollar por el certificador
licenciado en caso de finalizar la prestación de sus servicios. (Anexo al
Decreto N° 2628/02 y sus modificatorios)
• Plan de Continuidad de
las operaciones: Conjunto de procedimientos a seguir por el certificador
licenciado ante situaciones de ocurrencia no previstas que comprometan la
continuidad de sus operaciones.
• Plan de Seguridad:
Conjunto de políticas, prácticas y procedimientos destinados a la protección de
los recursos del certificador licenciado. (Anexo al Decreto N° 2628/02 y sus
modificatorios).
• Política de Privacidad:
conjunto de declaraciones que el Certificador Licenciado se compromete a
cumplir de manera de resguardar los datos de los solicitantes y suscriptores de
certificados digitales por él emitidos.
• Servicio OCSP (Protocolo
en línea del estado de un certificado - “Online Certificate Status Protocol”):
servicio de verificación en línea del estado de los certificados. El OCSP es un
método para determinar el estado de revocación de un certificado digital usando
otros medios que no sean el uso de Listas de Revocación de Certificados (CRL).
El resultado de una consulta a este servicio está firmado por el certificador que
brinda el servicio.
• Suscriptor o Titular de
certificado digital: Persona o entidad a cuyo nombre se emite un certificado y
que posee una clave privada que se corresponde con la clave pública contenida
en el mismo.
• Tercero Usuario: persona
física o jurídica que recibe un documento firmado digitalmente y que genera una
consulta para verificar la validez del certificado digital correspondiente.
(artículo 3° del Decreto N° 724 del 8 de junio de 2006).
1.6.2. Acrónimos.
CRL - Lista de
Certificados Revocados (“Certificate Revocation List”)
CUIT - Clave Única de
Identificación Tributaria
IEC
- International Electrotechnical Commission
IETF
- Internet Engineering Task Force
OCSP - Protocolo en línea
del estado de un certificado (“On line Certificate Status Protocol”)
OID - Identificador de
Objeto (“Object Identifier”)
ONTI - Oficina Nacional de
Tecnologías de Información
RFC - Request for Comments
2. RESPONSABILIDADES
VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS.
2.1. Repositorios.
El repositorio es propio
de Tecnología de Valores S.A. y la documentación se encuentra disponible en el
sitio web www.tecnologiadevalores.com.ar.
2.2. Publicación de
información del Certificador.
El certificador
garantizará el acceso a la información actualizada y vigente publicada en su
repositorio de los siguientes elementos.
a) Formulario de Adhesión.
b) Política Única de
Certificación.
c) Acuerdo Tipo con
suscriptores.
d) Términos y condiciones
Tipo con terceros usuarios (“relying parties”).
e) Política de Privacidad.
f) Manual de
Procedimientos (parte pública).
g) Información relevante
de los informes de su última auditoría.
h) Repositorio de
certificados revocados.
i) Certificados del
certificador licenciado y acceso al de la Autoridad Certificante Raíz.
2.3. Frecuencia de
publicación.
Se garantiza la
actualización inmediata del repositorio cada vez que cualquiera de los
documentos publicados sea modificado.
2.4. Controles de acceso a
la información.
Se garantizan los
controles de los accesos al certificado del certificador, a la Lista de
Certificados Revocados y a las versiones anteriores y actualizadas de la
Política Única de Certificación y a su Manual de Procedimientos (excepto en sus
aspectos confidenciales). Solo se revelará información confidencial o privada,
si es requerida judicialmente o en el marco de procedimientos administrativos.
En virtud de lo dispuesto
por la Ley de Protección de Datos Personales N° 25.326 y por el inciso h) del
artículo 21 de la Ley N° 25.506, el solicitante o titular de un certificado
digital podrá solicitar el acceso a toda la información relativa a las
tramitaciones realizadas.
3. IDENTIFICACIÓN Y
AUTENTICACIÓN.
En esta sección se
describen los procedimientos empleados para autenticar la identidad de los
solicitantes de certificados digitales y utilizados por las Autoridades
Certificantes o sus Autoridades de Registro como prerrequisito para su emisión.
También se describen los pasos para la autenticación de los solicitantes de
renovación y revocación de certificados.
3.1. Asignación de nombres
de suscriptores.
3.1.1. Tipos de Nombres.
El nombre a utilizar es el
que surge de la documentación presentada por el solicitante, de acuerdo al
apartado que sigue.
3.1.2. Necesidad de
Nombres Distintivos. Para los certificados de Personas Físicas:
• “commonName” (OID
2.5.4.3: Nombre común): DEBE estar presente y DEBE corresponderse con el nombre
que figura en el Documento de identidad del suscriptor, acorde a lo establecido
en el punto 3.2.3.
• “serialNumber” (OID
2.5.4.5: Nro. de serie): DEBE estar presente y DEBE contener el tipo y número
de identificación del titular, expresado como texto y respetando el siguiente
formato y codificación: “[tipo de documento]” “[nro. de documento]”
• Los valores posibles
para el campo [tipo de documento] son:
- En caso de ciudadanos
argentinos o residentes: “CUIT/CUIL”: Clave Única de Identificación Tributaria
o Laboral.
- En caso de extranjeros:
-- “PA” [país]: Número de
Pasaporte y código de país emisor. El atributo [país] DEBE estar codificado
según el estándar [ISO3166] de DOS (2) caracteres.
-- “EX” [país]: Número y
tipo de documento extranjero aceptado en virtud de acuerdos internacionales. El
atributo [país] DEBE estar codificado según el estándar [ISO3166] de DOS (2)
caracteres.
• “countryName” (OID
2.5.4.6: Código de país): DEBE estar presente y DEBE representar el país de
emisión de los certificados, codificado según el estándar [ISO3166] de DOS (2)
caracteres.
Para los certificados de
Personas Jurídicas Públicas o Privadas:
• “commonName” (OID
2.5.4.3: Nombre común): DEBE coincidir con la denominación de la Persona
Jurídica Pública o Privada o con el nombre de la unidad operativa responsable
del servicio (ej. Gerencia de Compras).
• “organizationalUnitName”
(OID 2.5.4.11: Nombre de la suborganización): PUEDE contener las unidades
operativas relacionadas con el suscriptor, pudiendo utilizarse varias
instancias de este atributo de ser necesario.
• “organizationName” (OID
2.5.4.10: Nombre de la organización): para certificados de aplicaciones, DEBE
coincidir con la denominación de la Persona Jurídica Pública o Privada.
• “serialNumber” (OID
2.5.4.5: Nro de serie): DEBE estar presente y DEBE contener el número de
identificación de la Persona Jurídica Pública o Privada, expresado como texto y
respetando el siguiente formato y codificación: “[código de identificación]”
“[nro. de identificación]”.
• Los valores posibles
para el campo [código de identificación] son:
- “CUIT”: Clave Única de
Identificación Tributaria para las Personas Jurídicas argentinas.
- “ID” [país]: Número de
identificación tributario para Personas Jurídicas extranjeras. El atributo
[país] DEBE estar codificado según el estándar [ISO3166] de DOS (2) caracteres.
• “countryName” (OID
25.4.6: Código de país): DEBE estar presente y DEBE representar el país de
emisión de los certificados, codificado según el estándar [ISO3166] de DOS (2)
caracteres.
3.1.3. Anonimato o uso de
seudónimos.
No se emitirán
certificados anónimos o cuyo Nombre Distintivo contenga UN (1) seudónimo.
3.1.4. Reglas para la
interpretación de nombres.
Todos los nombres
representados dentro de los certificados emitidos bajo la presente Política
coinciden con los correspondientes al documento de identidad del suscriptor o
con la documentación presentada por la persona jurídica. Las discrepancias o
conflictos que puedan generarse si los datos de los solicitantes o suscriptores
contienen caracteres especiales, se tratarán de modo de asegurar la precisión
de la información contenida en el certificado.
3.1.5. Unicidad de
nombres.
El nombre distintivo debe
ser único para cada suscriptor, pudiendo existir más de un certificado con
igual nombre distintivo si corresponde al mismo suscriptor. El procedimiento de
resolución de homonimias se basa en la utilización del número de identificación
laboral o tributada, tanto en el caso de personas físicas como jurídicas.
3.1.6. Reconocimiento,
autenticación y rol de las marcas registradas.
No se admite la inclusión
de marcas comerciales, marcas de servicios o nombres de fantasía como nombres
distintivos en los certificados, excepto en el caso de personas jurídicas o
aplicaciones, en los que se aceptará en base a la documentación presentada. El
certificador se reserva el derecho de tomar todas las decisiones referidas a
posibles conflictos sobre la utilización y titularidad de cualquier nombre
entre sus suscriptores conforme su normativa al respecto. En caso de conflicto,
la parte que solicite el certificado debe demostrar su interés legítimo y su
derecho a la utilización de un nombre en particular.
3.2. Registro inicial.
Se describen los
procedimientos a utilizar para autenticar, como paso previo a la emisión de UN
(1) certificado, la identidad y demás atributos del solicitante que se presente
ante el certificador o ante la Autoridad de Registro operativamente vinculada.
Se establecen los medios admitidos para recibir los requerimientos de
certificados y para comunicar su aceptación.
El certificador DEBE
cumplir con lo establecido en:
a) Los artículos 21,
inciso a) de la Ley de Firma Digital N° 25.506 y 34, inciso e) de su
reglamentario, Decreto N° 2628/02 y sus modificatorios, relativos a la
información a brindar a los solicitantes.
b) El artículo 14, inciso
b) de la Ley de Firma Digital N° 25.506, relativo a los contenidos mínimos de
los certificados.
3.2.1. Métodos para
comprobar la posesión de la clave privada.
El certificador comprueba
que el solicitante se encuentra en posesión de la clave privada mediante la
verificación de la solicitud del certificado digital en formato PKCS#10, el que
no incluye dicha clave. Las claves siempre son generadas por el solicitante. En
ningún caso el certificador licenciado ni sus autoridades de registro podrán
tomar conocimiento o acceder bajo ninguna circunstancia a las claves de los
solicitantes o titulares de los certificados, conforme el inciso b) del
artículo 21 de la Ley 25.506.
3.2.2. Autenticación de la
identidad de Personas Jurídicas Públicas o Privadas.
Los procedimientos de
autenticación de la identidad de los suscriptores de los certificados de
personas jurídicas públicas o privadas comprenden los siguientes aspectos:
a) El requerimiento debe
efectuarse únicamente por intermedio del responsable autorizado a actuar en
nombre del suscriptor para el caso de certificados de personas jurídicas o de
quien se encuentre a cargo del servicio, aplicación o sitio web.
b) El certificador o la
autoridad del registro, en su caso, verificará la identidad del responsable
antes mencionado y su autorización para gestionar el certificado
correspondiente.
c) El responsable
mencionado en el apartado a) deberá validar su identidad según lo dispuesto en
el apartado siguiente.
d) La identidad de la
Persona Jurídica titular del certificado o responsable del servicio, aplicación
o sitio web deberá ser verificada mediante documentación que acredite su
condición de tal. Para certificados de personas jurídicas, deberá identificarse
a la Organización de que se trate y acreditar su personería mediante la presentación
de los siguientes documentos:
• Copia certificada por
escribano de estatuto, acta constitutiva o contrato social, y su inscripción,
cuando corresponda.
• Copia certificada por
escribano de acta con última designación de autoridades.
• Nota de autorización al
Solicitante del certificado firmada por representante legal o apoderado de la
Organización titular del Certificado, con certificación por escribano de firma
y facultades del firmante. En el sitio web www.tecnologiadevalores.com.ar se
encuentra disponible el modelo de nota a presentar.
• Constancia de CUIT de la
Organización.
En los casos que se haga
referencia a un sitio web, el responsable autorizado deberá firmar un acuerdo
en el que preste conformidad de la información incluida en el Certificado.
El certificador cumple con
las siguientes exigencias reglamentarias impuestas por:
a) El artículo 21, inciso
i) de la Ley N° 25.506 relativo a la conservación de la documentación de
respaldo de los certificados emitidos.
b) El artículo 21, inciso
f) de la Ley N° 25.506 relativo a la recolección de datos personales.
c) El artículo 34, inciso
m) del Decreto N° 2628/02 y sus modificatorios relativo a la protección de
datos personales.
Debe conservarse la
documentación que respalda el proceso de identificación de la persona
responsable de la custodia de las claves criptográficas.
3.2.3. Autenticación de la
identidad de Personas Físicas.
Se describen los
procedimientos de autenticación de la identidad de los suscriptores de los certificados
de Personas Físicas.
Se exige la presencia
física del solicitante o suscriptor del certificado ante el certificador o la
Autoridad de Registro con la que se encuentre operativamente vinculado. La
verificación se efectúa mediante la presentación de los siguientes documentos:
a) De poseer nacionalidad
argentina, se requiere Documento Nacional de Identidad.
b) De tratarse de
extranjeros, se requiere Documento Nacional de Identidad argentino o Pasaporte
válido u otro documento válido aceptado en virtud de acuerdos internacionales.
En todos los casos, se conservará UNA (1) copia digitalizada de la
documentación de respaldo del proceso de autenticación por parte del
certificador o de la Autoridad de Registro operativamente vinculada.
Se consideran obligatorias
las exigencias reglamentarias impuestas por:
a) El artículo 21, inciso
i) de la Ley N° 25.506 relativo a la conservación de la documentación de
respaldo de los certificados emitidos.
b) El artículo 21, inciso
f) de la Ley N° 25.506 relativo a la recolección de datos personales.
c) El artículo 34, inciso
i) del Decreto N° 2628/02 y sus modificatorios relativo a generar, exigir o
tomar conocimiento de la clave privada del suscriptor.
d) El artículo 34, inciso
m) del Decreto N° 2628/02 y sus modificatorios relativo a la protección de
datos personales.
Adicionalmente, el
certificador debe celebrar UN (1) acuerdo con el solicitante o suscriptor,
conforme el Anexo V de la Decisión Administrativa N° 927/14, del que surge su
conformidad respecto a la veracidad de la información incluida en el
certificado.
La Autoridad de Registro
deberá verificar que el dispositivo criptográfico utilizado por el solicitante,
si fuera el caso, cumple con las especificaciones técnicas establecidas por el
ente Iicenciante.
3.2.4. Información no
verificada del suscriptor.
Se conserva la información
referida al solicitante que no hubiera sido verificada. Adicionalmente, se
cumple con lo establecido en el apartado 3 del inciso b) del artículo 14 de la
Ley N° 25.506.
3.2.5. Validación de
autoridad.
Según lo dispuesto en el
punto 3.2.2., el certificador o la Autoridad de Registro con la que se
encuentre operativamente vinculado, verifica la autorización de la Persona
Física que actúa en nombre de la Persona Jurídica para gestionar el certificado
correspondiente.
3.2.6. Criterios para la
interoperabilidad.
Los certificados emitidos
pueden ser utilizados por sus titulares en forma interoperable para firmar
digitalmente cualquier documento o transacción, así como para autenticación o
cifrado.
3.3. Identificación y
autenticación para la generación de nuevo par de claves (Rutina de Re Key).
3.3.1. Renovación con
generación de nuevo par de claves (Rutina de Re Key).
En el caso de certificados
digitales de personas físicas o jurídicas, la renovación en este apartado
aplica a la generación de UN (1) nuevo par de claves y su correspondiente
certificado:
a) después de la
revocación de UN (1) certificado.
b) después de la
expiración de UN (1) certificado.
c) antes de la expiración
de UN (1) certificado.
En los casos a) y b) se
exigirá el cumplimiento de los procedimientos previstos en el punto 3.2.3, -
Autenticación de la identidad de Personas Físicas.
Si la solicitud del nuevo
certificado se realiza antes de la expiración del certificado, no habiendo sido
este revocado, no se exigirá la presencia física, debiendo el solicitante
remitir la constancia firmada digitalmente del inicio del trámite de renovación.
En los certificados de
personas jurídicas o de aplicaciones, incluyendo los de servidores, se deberá
tramitar UN (1) nuevo certificado, cumpliendo los pasos requeridos en el
apartado 3.2.2. Autenticación de la identidad de Personas Jurídicas Públicas o
Privadas.
3.3.2. Generación de UN
(1) certificado con el mismo par de claves.
En el caso de certificados
digitales de personas físicas o jurídicas, la renovación en este apartado
aplica a la emisión de UN (1) nuevo certificado sin que haya un cambio en la
clave pública o en ningún otro dato del suscriptor. La renovación se podrá
realizar siempre que el certificado se encuentre vigente.
A los fines de la
obtención del certificado, no se exigirá la presencia física del suscriptor,
debiendo éste remitir la constancia firmada digitalmente del inicio del trámite
de renovación. En los certificados de aplicaciones, incluyendo los de
servidores, se deberá tramitar UN (1) nuevo certificado, según lo indicado en
el apartado anterior.
3.4. Requerimiento de
revocación.
El requerimiento de
revocación podrá realizarse electrónica o personalmente y podrá ser solicitado
por:
• El Suscriptor del
Certificado para el caso de Certificados de personas físicas.
• En aquellos casos de
certificados de personas jurídicas, el Representante Legal y/o apoderado de la
Organización.
• Aquellas personas
autorizadas por el titular del Certificado Digital al momento de la solicitud
de Certificado, las que deberán presentar la documentación habilitante.
• La Autoridad
Certificante o la Autoridad de Registro operativamente vinculada en los casos
previstos en la presente Política Única de Certificación.
• La Autoridad de
Aplicación de la Infraestructura de Firma Digital establecida por la Ley N°
25.506.
• Autoridad Judicial
competente.
4. CICLO DEL CERTIFICADO:
REQUERIMIENTOS OPERATIVOS.
4.1. Solicitud de
certificado.
4.1.1. Solicitantes de
certificados.
Se describen las
condiciones que deben cumplir los solicitantes de certificados.
4.1.2. Solicitud de
certificado.
Las solicitudes sólo
podrán ser iniciadas por el solicitante, en el caso de certificados de personas
físicas, por el representante legal o apoderado con poder suficiente a dichos
efectos, o por el Responsable del Servicio, aplicación o sitio web, autorizado
a tal fin, en el caso de personas jurídicas.
Dicho solicitante debe
presentar la documentación prevista en los apartados 3.2.2. - Autenticación de
la identidad de Personas Jurídicas Públicas o Privadas y 3.2.3. - Autenticación
de la identidad de Personas Físicas, así como la constancia de C.U.I.T. o
C.U.I.L. Deberá también demostrar la pertenencia a la comunidad de suscriptores
prevista en el apartado 1.3.3. Suscriptores de certificados.
4.2. Procesamiento de la
solicitud de certificado.
Las personas que deseen
solicitar un Certificado Digital podrán presentarse ante la Autoridad de
Registro que corresponda, donde se les informará la documentación requerida, el
procedimiento de emisión, las responsabilidades inherentes y las condiciones de
uso del Certificado; o bien consultar dicha información en el sitio web
www.tecnologiadevalores.com.ar
Requisitos.
Una vez presentada la
solicitud junto con el Acuerdo Tipo con Suscriptores debidamente firmado por el
Solicitante, un oficial de la Autoridad de Registro dará comienzo al
procedimiento de registración, donde se identificará al Solicitante, se
recabarán los datos del mismo a incluir en el Certificado Digital.
También se le requerirá al
Solicitante que indique aquellas personas autorizadas para solicitar la
revocación del Certificado.
Para el caso de
certificados de personas jurídicas se verificará además la vinculación del
responsable autorizado con la persona jurídica solicitante.
Luego el oficial de la
Autoridad de Registro imprimirá una clave aleatoria que se utilizará a modo de
“nombre de usuario” y se la entregará al Solicitante junto con la copia del
Formulario de Solicitud. El “nombre de usuario” será requerido posteriormente
por la aplicación, al momento de proceder a la generación del Certificado.
Luego, otro oficial de la
Autoridad de Registro verificará que la carga de datos registrada en el sistema
se corresponda con lo declarado por el Solicitante y su documentación
respaldatoria.
En caso de encontrar
alguna inconsistencia, este último oficial de la Autoridad de Registro dejará en
suspenso el trámite de Solicitud de Certificado y se pondrá en contacto con el
Solicitante para satisfacer los requerimientos incumplidos. De no poder
cumplimentarse dichos requisitos en el plazo de TREINTA (30) días corridos, se
tendrá por no firmado el Acuerdo Tipo con Suscriptores y se anulará la
solicitud.
Si los datos registrados
son correctos, la solicitud se encontrará entonces lista para ser activada por
el Solicitante.
4.3. Emisión del
certificado.
4.3.1. Proceso de emisión
del certificado.
Cumplidos los recaudos del
proceso enunciado en el apartado 4.1.2. Solicitud de certificado y una vez
aprobada la solicitud de certificado por la Autoridad de Registro
correspondiente, la Autoridad Certificante emitirá el certificado firmándolo
digitalmente y lo pondrá a disposición del suscriptor.
En el mismo sentido, se
emitirá un certificado ante una solicitud de renovación.
Para la emisión de
Certificados Digitales, la Autoridad Certificante exige la aprobación de la
solicitud presentada, de acuerdo a lo establecido en los puntos 4.1 de la
presente Política. Una vez que el oficial de la Autoridad de Registro verifica
los datos y aprueba la Solicitud, la firma digitalmente con su Certificado.
La Autoridad Certificante
procesa dicha solicitud y notifica tal circunstancia al Solicitante vía correo
electrónico, adjuntándole una segunda clave aleatoria que se utilizará a modo
de “contraseña” y un link de acceso directo al sitio de Confirmación
Electrónica de Datos de Certificado Digital.
El Solicitante podrá seguir
el mencionado link, o bien ingresar al sitio web
www.tecnologiadevalores.com.ar, y acceder a la opción Gestión de Certificados
Digitales -> Solicitud de Certificado Digital -> Generación de
Certificado Digital -> Confirmación Electrónica de Datos de Certificado
Digital. Utilizando el “nombre de usuario” y la “contraseña” asignadas,
confirmará o rechazará los datos de su Certificado. Si el Solicitante rechaza
los datos, el proceso quedará anulado debiendo comenzar nuevamente el trámite
de solicitud ante la Autoridad de Registro, conforme lo establecido en 4.1. Si
los confirma, se generará en el dispositivo del Solicitante el par de claves
criptográficas (pública y privada), almacenando en este dispositivo la clave
privada. Una vez realizada dicha operación, la aplicación envía al servidor de
la Autoridad de Registro un requerimiento de certificado con la clave pública y
éste a su vez lo reenvía al servidor de la Autoridad Certificante, quien
requerirá al hardware criptográfico HSM que proceda a la firma del Certificado.
Luego se almacena el Certificado en la base de datos del servidor de la
Autoridad Certificante y se envía el Certificado firmado al servidor de la
Autoridad de Registro, almacenándolo en sus bases de datos.
En el mismo sentido, se
emitirá un certificado ante una solicitud de renovación.
4.3.2. Notificación de la
emisión.
Cumplido el paso anterior,
la Autoridad de Registro notificará vía correo electrónico al Solicitante que
el Certificado firmado está emitido y apto para su descarga, y adjuntará el
link del sitio web desde el que puede proceder a la misma.
A partir del envío del
correo electrónico, el Solicitante será considerado Suscriptor y/o titular del
Certificado emitido.
La fecha de inicio de
validez del Certificado Digital será aquella que registre el servidor de
Certificación de la Autoridad Certificante, al momento de la emisión del mismo.
4.4. Aceptación del
certificado.
Una vez notificado el
Suscriptor de la emisión del Certificado mediante correo electrónico, el mismo
se considerará aceptado. El Suscriptor puede proceder a descargar el
Certificado en el dispositivo o software que almacena su clave privada.
Para ello, el Suscriptor
podrá seguir el link contenido en el mencionado correo electrónico, o bien
ingresar al sitio web www.tecnologiadevalores.com.ar, y accederá a la opción
Gestión de Certificados Digitales -> Solicitud de Certificado Digital ->
Generación de Certificado Digital -> Descarga de Certificado Digital.
A partir de la descarga
del Certificado utilizando su “nombre de usuario” y “contraseña” el Suscriptor
podrá comenzar a usar el mismo.
En caso de observar algún
error en el mismo deberá notificar inmediatamente dicha circunstancia a la
Autoridad de Registro, de la forma establecida en el punto 4.9.3, procediéndose
a la revocación del Certificado.
4.5. Uso del par de claves
y del certificado.
4.5.1. Uso de la clave
privada y del certificado por parte del suscriptor. Según lo establecido en la
Ley N° 25.506, en su artículo 25, el suscriptor debe:
a) Mantener el control exclusivo
de sus datos de creación de firma digital, no compartirlos, e impedir su
divulgación;
b) Utilizar UN (1)
dispositivo de creación de firma digital técnicamente confiable;
c) Solicitar la revocación
de su certificado al certificador ante cualquier circunstancia que pueda haber
comprometido la privacidad de sus datos de creación de firma;
d) informar sin demora al
certificador el cambio de alguno de los datos contenidos en el certificado
digital que hubiera sido objeto de verificación. De acuerdo a lo establecido en
la Decisión Administrativa N° 927/14:
• Proveer toda la
información que le sea requerida a los fines de la emisión del certificado de
modo completo y preciso.
• Utilizar los
certificados de acuerdo a los términos y condiciones establecidos en la
presente Política Única de Certificación.
• Tomar debido
conocimiento, a través del procedimiento previsto en cada caso, del contenido
de la Política Única de Certificación, del Manual de Procedimientos, del
Acuerdo con Suscriptores y de cualquier otro documento aplicable.
4.5.2. Uso de la clave
pública y del certificado por parte de Terceros Usuarios.
Los Terceros Usuarios
deben:
a) Conocer los alcances de
la presente Política Única de Certificación;
b) Verificar la validez
del certificado digital.
4.6. Renovación del
certificado sin generación de un nuevo par de claves.
Se aplica el punto 3.3.2.-
Generación de UN (1) certificado con el mismo par de claves.
4.7. Renovación del
certificado con generación de un nuevo par de claves.
En el caso de certificados
digitales de Personas Físicas, la renovación del certificado posterior a su
revocación o luego de su expiración requiere por parte del suscriptor el
cumplimiento de los procedimientos previstos en el punto 3.2.3. - Autenticación
de la identidad de Personas Físicas.
Si la solicitud de UN (1)
nuevo certificado se realiza antes de la expiración del anterior, no habiendo
sido este revocado, no se exigirá la presencia física, debiendo el solicitante
remitir la constancia firmada digitalmente del inicio del trámite de
renovación.
Para los certificados de
aplicaciones, incluyendo los de servidores, los responsables deben tramitar UN
(1) nuevo certificado en todos los casos, cumpliendo los pasos requeridos en el
apartado 3.2.2. Autenticación de la identidad de Personas Jurídicas Públicas o
Privadas.
4.8. Modificación del
certificado.
El suscriptor se encuentra
obligado a notificar al certificador licenciado cualquier cambio en alguno de
los datos contenidos en el certificado digital, que hubiera sido objeto de
verificación, de acuerdo a lo dispuesto en el inciso d) del artículo 25 de la
Ley N° 25.506. En cualquier caso procede la revocación de dicho certificado y
de ser requerido, la solicitud de uno nuevo.
4.9. Suspensión y
Revocación de Certificados.
Los certificados serán
revocados de manera oportuna y sobre la base de UNA (1) solicitud de revocación
de certificado validada.
El estado de suspensión no
es admitido en el marco de la Ley N° 25.506.
4.9.1. Causas de
Revocación.
El Certificador procederá
a revocar los certificados digitales que hubiera emitido en los siguientes
casos:
• A solicitud del titular
del certificado digital o del responsable autorizado para el caso de los
certificados de Personas Jurídicas o aplicación (Nota para el certificador: se
deberá indicar lo que corresponda).
• Si determinara que el
certificado fue emitido en base a información falsa, que al momento de la
emisión hubiera sido objeto de verificación.
• Si determinara que los
procedimientos de emisión y/o verificación han dejado de ser seguros.
• Por resolución Judicial.
• Por resolución de la
Autoridad de Aplicación.
• Por fallecimiento del
titular.
• Por declaración judicial
de ausencia con presunción de fallecimiento del titular.
• Por declaración judicial
de incapacidad del titular.
• Si se determina que la
información contenida en el certificado ha dejado de ser válida.
• Cuando la clave privada
asociada al certificado, o el medio en que se encuentre almacenada, se
encuentren comprometidos o corran peligro de estarlo.
• Ante incumplimiento por
parte del suscriptor de las obligaciones establecidas en el Acuerdo con
Suscriptores.
• Si se determina que el
certificado no fue emitido de acuerdo a los lineamientos de la Política Única
de Certificación, del Manual de Procedimientos, de la Ley N° 25.506, del
Decreto N° 2628/02 y sus modificatorios y demás normativa sobre firma digital.
• Por revocación de su
propio certificado digital.
El Certificador, de
corresponder, revocará el certificado en un plazo no superior a las
VEINTICUATRO (24) horas de recibido el requerimiento de revocación.
4.9.2. Autorizados a
solicitar la revocación.
Se encuentran autorizados
para solicitar la revocación de UN (1) certificado:
a) El suscriptor del
certificado.
b) El responsable
autorizado que efectuara el requerimiento, en el caso de certificados de
persona jurídica o de aplicación.
c) El responsable
autorizado por la Persona Jurídica que brinda el servicio o es titular del
certificado o la aplicación, en el caso de los certificados de aplicación.
d) El responsable
autorizado por la Persona Jurídica responsable del sitio web, en el caso de
certificados de sitio seguro.
e) Aquellas personas
habilitadas por el suscriptor del certificado a tal fin, previa acreditación
fehaciente de tal autorización.
f) El certificador o la
Autoridad de registro operativamente vinculada.
g) El ente licenciante.
h) La autoridad judicial
competente.
i) La Autoridad de
Aplicación.
4.9.3. Procedimientos para
la solicitud de revocación.
El certificador garantiza
que:
a) Se identifica
debidamente al solicitante de la revocación según se establece en el apartado
3.4.
b) Las solicitudes de
revocación, así como toda acción efectuada por el certificador o la autoridad
de registro en el proceso, están documentadas y conservadas en sus archivos.
c) Se documentan y
archivan las justificaciones de las revocaciones aprobadas.
d) Una vez efectuada la
revocación, se actualiza el estado del certificado en repositorio y se incluye
en la próxima lista de certificados revocados a ser emitida.
e) El suscriptor del
certificado revocado es informado del cambio de estado de su certificado.
El Suscriptor de un
Certificado Digital podrá solicitar la revocación del mismo, ya sea por vía
electrónica a través del sitio web www.tecnologiadevalores.com.ar, accediendo a
la opción Gestión de Certificados Digitales -> Solicitud de Revocación de
Certificado Digital; o en forma personal acudiendo a las oficinas de la
Autoridad de Registro en las que se gestionó la emisión del Certificado.
Los otros sujetos
autorizados a solicitar la revocación de Certificados Digitales, mencionados en
el punto 4.9.2, podrán efectuarla en forma personal en las oficinas mencionadas
en el párrafo anterior y de acuerdo a lo establecido en el Manual de
Procedimientos o mediante la opción de revocar certificados de terceros en el
sitio www.tecnologiadevalores.com.ar accediendo a la opción Gestión de
Certificados Digitales -> Solicitud de Revocación de Certificado Digital
-> Revocar Certificados de Terceros.
El suscriptor del
certificado revocado y el solicitante de la revocación son informados del
cambio de estado del certificado vía correo electrónico.
4.9.4. Plazo para la
solicitud de revocación.
El titular de un
certificado debe requerir su revocación en forma inmediata cuando se presente
alguna de las circunstancias previstas en el apartado 4.9.1.
El servicio de recepción
de solicitudes de revocación se encuentra disponible en forma permanente SIETE
POR VEINTICUATRO (7x24) horas cumpliendo con lo establecido en el artículo 34,
inciso f) del Decreto N° 2628/02 y sus modificatorios.
4.9.5. Plazo para el
procesamiento de la solicitud de revocación.
El plazo entre la
recepción de la solicitud y el cambio de la información de estado del
certificado indicando que la revocación ha sido puesta a disposición de los
Terceros Usuarios, no superará en ningún caso las VEINTICUATRO (24) horas.
4.9.6. Requisitos para la
verificación de la lista de certificados revocados.
Los Terceros Usuarios
deben validar el estado de los certificados, mediante el control de la lista de
certificados revocados, a menos que utilicen otro sistema con características
de seguridad y confiabilidad por lo menos equivalentes.
La autenticidad y validez
de las listas de certificados revocados también debe ser confirmada mediante la
verificación de la firma digital del certificador que la emite y de su período
de validez.
El certificador cumple con
lo establecido en el artículo 34, inciso g) del Decreto N° 2628/02 y sus
modificatorios relativo al acceso al repositorio de certificados revocados y
las obligaciones establecidas en la Decisión Administrativa N° 927/14 y sus correspondientes
Anexos.
Para consultar la Lista de
Certificados Revocados (CRL) correspondiente bastará con acceder a la URL que
existe en el campo “CRLDistributionPoint” del Certificado Digital, y buscar en
ella el número de serie del Certificado que se quiera consultar.
4.9.7. Frecuencia de
emisión de listas de certificados revocados.
La lista de certificados
digitales revocados se emitirá al menos una vez cada VEINTICUATRO (24) horas.
4.9.8. Vigencia de la
lista de certificados revocados.
Cada lista de certificados
revocados indicará la vigencia, y la fecha de emisión de la siguiente lista.
4.9.9. Disponibilidad del
servicio de consulta sobre revocación y de estado del certificado.
El certificador pone a
disposición de los interesados la posibilidad de verificar el estado de un
certificado por medio del acceso a la lista de certificados revocados o de
otros medios de verificación de estado en línea.
La verificación del estado
de un Certificado Digital podrá efectuarse en cualquier momento accediendo al
sitio web de la Autoridad Certificante www.tecnologiadevalores.com.ar. También
se podrá consultar la Lista de Certificados Digitales Revocados, la cual se
publicará con la frecuencia prevista en el apartado 4.9.7.
La Autoridad Certificante
también provee servicio de OCSP (On-Line Certificate Status Protocol) para
consultar el estado de los certificados.
4.9.10. Requisitos para la
verificación en línea del estado de revocación.
La verificación del estado
de un Certificado Digital podrá efectuarse accediendo al siguiente servicio
web: https://www.tecnologiadevalores.com.ar/pki/ocsp.
El servicio OCSP
(Protocolo en línea del estado de un certificado - “Online Certificate Status
Protocol”) permite verificar en línea el estado de los certificados. Representa
un método para determinar el estado de revocación de un certificado digital
usando otros medios que no sean el uso de Listas de Revocación de Certificados
(CRL).
4.9.11. Otras formas
disponibles para la divulgación de la revocación.
Otra forma de verificar el
estado de un Certificado Digital podrá ser accediendo al sitio web de la
Autoridad Certificante www.tecnologiadevalores.com.ar/
Accediendo a
www.tecnologiadevalores.com.ar -> Gestión de Certificados Digitales ->
Consulta de Estado de Certificados Digitales se podrá ingresar un dato del
Distinguished Dame (DNI) del Certificado y el Sistema devolverá una lista de
los Certificados que contienen ese dato consultado. A partir de ahí,
seleccionando un Certificado particular de esa lista se informará sobre el
estado actual del mismo.
Esta consulta de estado se
puede realizar a partir de cualquier campo del DN del Certificado (nombre,
Serial, etc).
4.9.12. Requisitos
específicos para casos de compromiso de claves.
En caso de compromiso de
su clave privada, el titular del certificado correspondiente se encuentra
obligado a comunicar inmediatamente dicha circunstancia al certificador
mediante alguno de los mecanismos previstos en el apartado 4.9.3. -
Procedimientos para la solicitud de revocación.
4.9.13. Causas de
suspensión.
El estado de suspensión no
es admitido en el marco de la Ley N° 25.506.
4.9.14. Procedimientos
para la solicitud de suspensión.
El estado de suspensión no
es admitido en el marco de la Ley N° 25.506.
4.9.15. Procedimientos
para la solicitud de suspensión.
El estado de suspensión no
es admitido en el marco de la Ley N° 25.506.
4.9.16. Límites del
período de suspensión de un certificado.
El estado de suspensión no
es admitido en el marco de la Ley N° 25.506.
4.10. Estado del
certificado.
4.10.1. Características
técnicas.
Las consultas de estado
del certificado están accesibles por medio del sitio web de tecnología de
valores www.tecnologiadevalores.com.ar.
Adicionalmente, para
consultar la Lista de Certificados Revocados correspondiente bastará con
acceder a la URL que existe en el campo “CRLDistributionPoint” del Certificado
Digital, y buscar en ella el número de serie del Certificado que se quiera
consultar. Esta consulta está disponible por medio de los protocolos https y
Idap.
4.10.2. Disponibilidad del
servicio.
Tecnología de Valores S.A.
cuenta con un Plan de Contingencia que permite garantizar el total
restablecimiento de la operatoria en un plazo menor a las VEINTICUATRO (24)
horas incluyendo los servicios de consulta de estado de certificados digitales.
El plan es conocido por
todo el personal afectado de la Autoridad Certificante e incluye pruebas
periódicas para garantizar su implementación efectiva en caso necesario.
4.10.3. Aspectos
operativos.
No existen aspectos
operativos adicionales a los mencionados en los puntos anteriores.
4.11. Desvinculación del
suscriptor.
Una vez expirado el
certificado o si este fuera revocado, de no tramitar un nuevo certificado, su
titular se considera desvinculado de los servicios del certificador.
De igual forma se
producirá la desvinculación, ante el cese de las operaciones del certificador.
4.12. Recuperación y
custodia de claves privadas.
El certificador licenciado
no podrá bajo ninguna circunstancia realizar la recuperación o custodia de
claves privadas de los titulares de certificados digitales, en virtud de lo
dispuesto en el inciso b) del artículo 21 de la Ley N° 25.506. El suscriptor se
encuentra obligado a mantener el control exclusivo de su clave privada, no
compartirla e impedir su divulgación, de acuerdo a lo dispuesto en el inciso a)
del artículo 25 de la ley antes mencionada.
5. CONTROLES DE SEGURIDAD
FÍSICA, OPERATIVOS Y DE GESTIÓN.
Se describen a continuación
los procedimientos referidos a los controles de seguridad física, de gestión y
operativos implementados por el certificador. La descripción detallada se
efectuará en el Plan de Seguridad.
5.1. Controles de
seguridad física.
Se cuenta con controles de
seguridad relativos a:
a) Construcción y
ubicación de instalaciones.
b) Niveles de acceso
físico.
c) Comunicaciones, energía
y ambientación.
d) Exposición al agua.
e) Prevención y protección
contra incendios.
f) Medios de
almacenamiento.
g) Disposición de material
de descarte.
h) Instalaciones de
seguridad externas.
5.2. Controles de Gestión.
Se cuenta con controles de
seguridad relativos a:
a) Definición de roles
afectados al proceso de certificación.
b) Número de personas
requeridas por función.
c) Identificación y
autenticación para cada rol.
d) Separación de
funciones.
5.3. Controles de
seguridad del personal.
Se cuenta con controles de
seguridad relativos a:
a) Calificaciones,
experiencia e idoneidad del personal, tanto de aquellos que cumplen funciones
críticas como de aquellos que cumplen funciones administrativas, de seguridad,
limpieza, etcétera.
b) Antecedentes laborales.
c) Entrenamiento y
capacitación inicial.
d) Frecuencia de procesos
de actualización técnica.
e) Frecuencia de rotación
de cargos.
f) Sanciones a aplicar por
acciones no autorizadas.
g) Requisitos para
contratación de personal.
h) Documentación provista
al personal: incluidas tarjetas y otros elementos de identificación personal.
5.4. Procedimientos de
Auditoría de Seguridad.
Se mantienen políticas de
registro de eventos, cuyos procedimientos detallados serán desarrollados en el
Manual de Procedimientos.
Se cuenta con
procedimientos de auditoría de seguridad sobre los siguientes aspectos:
a) Tipo de eventos
registrados. Debe respetarse lo establecido en el Anexo II Sección 3 de la
Decisión Administrativa N° 927/14.
b) Frecuencia de
procesamiento de registros.
c) Período de guarda de
los registros. Debe respetarse lo establecido en el inciso i) del artículo 21
de la Ley N° 25.506 respecto a los certificados emitidos.
d) Medidas de protección
de los registros, incluyendo privilegios de acceso.
e) Procedimientos de
resguardo de los registros.
f) Sistemas de recolección
y análisis de registros (internos vs. externos).
g) Notificaciones del
sistema de recolección y análisis de registros.
h) Evaluación de
vulnerabilidades.
5.5. Conservación de
registros de eventos.
Se han desarrollado e
implementado políticas de conservación de registros, cuyos procedimientos
detallados se encuentran desarrollados en el Manual de Procedimientos. Los
procedimientos cumplen con lo establecido por el artículo 21, inciso i) de la
Ley N° 25.506 relativo al mantenimiento de la documentación de respaldo de los
certificados digitales emitidos.
Se respeta lo establecido
en el Anexo II Sección 3 de la Decisión Administrativa N° 927/14 respecto del
registro de eventos.
Existen procedimientos de
conservación y guarda de registros en los siguientes aspectos, que se
encuentran detallados en el Manual de Procedimientos:
a) Tipo de registro
archivado. Debe respetarse lo establecido en el Anexo II Sección 3 de la
Decisión Administrativa N° 927/14.
b) Período de guarda de
los registros.
c) Medidas de protección
de los registros archivados, incluyendo privilegios de acceso.
d) Procedimientos de
resguardo de los registros.
e) Sistemas de recolección
y análisis de registros (internos vs. externos).
f) Procedimientos para
obtener y verificar la información archivada.
5.6. Cambios de claves
criptográficas.
En el caso de las claves
de la Autoridad Certificante, los pares de claves podrán ser cambiados por DOS
(2) razones:
• Por compromiso o
sospecha de compromiso del par de claves criptográficas.
• Por expiración, al
llegar el plazo de sus respectivas vidas útiles, fijado en DIEZ (10) años.
En caso de compromiso o
sospecha de compromiso del par de claves, la Autoridad Certificante, debe
informar al Ente Licenciante, que procederá a revocar el Certificado. Asimismo
quedarán también revocados los Certificados de los Suscriptores.
Posteriormente, será decisión del Ente Licenciante emitir un nuevo Certificado
de acuerdo a las condiciones por las que se revocó el Certificado.
La Autoridad Certificante
comunicará a los Suscriptores la revocación del Certificado de la Autoridad
Certificante y de sus Certificados y los invitará a iniciar nuevamente el
proceso de solicitud de Certificados para Suscriptores, siempre y cuando el
Ente Licenciante haya decidido otorgar un nuevo Certificado a la Autoridad
Certificante.
En el caso de expiración
de vida útil del Certificado de la Autoridad Certificante, el cambio de clave
implica la emisión de un nuevo Certificado por parte del Ente Licenciante a
favor de la Autoridad Certificante. La clave privada que es objeto de cambio
continuará siendo utilizada para firmar la Lista de Certificados Revocados
correspondientes a la Política bajo la cual fueron emitidos, hasta el plazo de validez
del último Certificado Digital emitido con esa clave privada. En ese momento se
revocará el Certificado objeto del cambio y se destruirá la clave privada
asociada al mismo.
5.7. Plan de respuesta a
incidentes y recuperación ante desastres.
Se describen los
requerimientos relativos a la recuperación de los recursos del certificador en
caso de falla o desastre. Estos requerimientos están desarrollados en el Plan
de Continuidad de las Operaciones.
Se han desarrollado
procedimientos referidos a:
a) Identificación,
registro, reporte y gestión de incidentes.
b) Recuperación ante falla
inesperada o sospecha de falla de componentes de hardware, software y datos.
c) Recuperación ante
compromiso o sospecha de compromiso de la clave privada del certificador.
d) Continuidad de las
operaciones en un entorno seguro luego de desastres.
Los procedimientos cumplen
con lo establecido por el artículo 33 del Decreto N° 2628/02 y sus
modificatorios en lo relativo a los servicios de infraestructura tecnológica
prestados por un tercero.
5.8. Plan de cese de
actividades.
Se describen los
requisitos y procedimientos a ser adoptados en caso de finalización de
servicios del certificador o de una o varias de sus autoridades certificantes o
de registro. Estos requerimientos son desarrollados en su Plan de Cese de
Actividades.
Se han implementado
procedimientos referidos a:
a) Notificación al ente
licenciante, suscriptores, terceros usuarios, otros certificadores y otros
usuarios vinculados.
b) Revocación del
certificado del certificador y de los certificados emitidos.
c) Transferencia de la
custodia de archivos y documentación e identificación de su custodio. El
responsable de la custodia de archivos y documentación cumple con idénticas
exigencias de seguridad que las previstas para el certificador o su autoridad
certificante o de registro que cesó.
Se contempla lo
establecido por el artículo 44 de la Ley N° 25.506 de Firma Digital en lo
relativo a las causales de caducidad de la licencia. Asimismo, los
procedimientos cumplen lo dispuesto por el artículo 33 del Decreto N° 2628/02 y
sus modificatorios, reglamentario de la Ley de Firma Digital, en lo relativo a
los servicios de infraestructura tecnológica prestados por un tercero y las
obligaciones establecidas en la Decisión Administrativa N° 927/14 y sus
correspondientes Anexos
6. CONTROLES DE SEGURIDAD
TÉCNICA.
Se describen las medidas
de seguridad implementadas por el certificador para proteger las claves
criptográficas y otros parámetros de seguridad críticos. Además se incluyen los
controles técnicos que se implementarán sobre las funciones operativas del
certificador, Autoridades de Registro, repositorios, suscriptores, etcétera.
6.1. Generación e
instalación del par de claves criptográficas.
La generación e
instalación del par de claves deben ser consideradas desde la perspectiva de
las autoridades certificantes del certificador, de los repositorios, de las
autoridades de registro y de los suscriptores. Para cada una de estas entidades
deberán abordarse los siguientes temas:
a) Responsables de la
generación de claves.
b) Métodos de generación
de claves, indicando si se efectúan por software o por hardware.
c) Métodos de entrega de
la clave pública de la entidad al certificador en forma segura.
d) Métodos de distribución
de la clave pública del certificador en forma segura.
e) Características y
tamaños de las claves.
f) Controles de calidad de
los parámetros de generación de claves.
g) Propósitos para los
cuales pueden ser utilizadas las claves y restricciones para dicha utilización.
6.1.1. Generación del par
de claves criptográficas.
Las claves de la Autoridad
Certificante son generadas en la denominada “Ceremonia de Generación de Claves”
al inicio de las operaciones de la misma. Esta se realiza en el nivel de
operaciones críticas de la Autoridad Certificante, tanto la lista de
participantes requeridos como los procedimientos a ejecutar están especificados
en el documento “Ceremonia de generación de claves”.
Las actividades
desarrolladas en cada ceremonia de generación de claves serán registradas,
fechadas y firmadas por todos los individuos participantes.
Estos registros se
mantendrán en custodia DIEZ (10) años contados a partir del
vencimiento/revocación del Certificado Digital.
La Autoridad Certificante
generará sus propias claves utilizando hardware criptográfico HSM (Hardware
Security Module) que cumple con los requerimientos de los estándares FIPS 140-2
Nivel 3.
Dichas claves son
generadas usando el algoritmo de clave pública RSA con longitud de clave de
4096 bits.
El período de validez de
este par de claves será de DIEZ (10) años.
La Autoridad de Registro
genera sus certificados digitales propios utilizando un dispositivo
criptográfico que cumple con los requerimientos de los estándares FIPS 140-2
Nivel 2. Dichos certificados son generados usando el algoritmo de clave pública
RSA con longitud de clave de 2048 bits o superior.
El período de validez de
estos certificados será de DOS (2) años.
El Solicitante y/o
Suscriptor generará su propio certificado digital con el par de claves (pública
y privada) utilizando software con capacidad criptográfica. Una vez generado el
par de claves, es obligación del Solicitante y/o Suscriptor establecer los
controles y medidas de seguridad apropiadas para protegerlas. Las claves
deberán ser RSA de 2048 bits de longitud o superior.
El período de validez de
estos certificados será de DOS (2) años.
6.1.2. Entrega de la clave
privada.
En todos los casos, se
cumple con la obligación de abstenerse de generar, exigir o por cualquier otro
medio tomar conocimiento o acceder a los datos de creación de firmas de los
suscriptores (incluyendo los roles vinculados a las actividades de registro),
establecido por la Ley N° 25.506, artículo 21, inciso b) y el Decreto N°
2628/02, artículo 34, inciso i).
6.1.3. Entrega de la clave
pública al emisor del certificado.
La entrega de la clave
pública por parte del Solicitante a la Autoridad Certificante se llevará a cabo
utilizando el estándar PKCS#10 o el que lo reemplace en el futuro, mediante un
canal de comunicación seguro.
6.1.4. Disponibilidad de
la clave pública del certificador.
La Autoridad Certificante
publicará en su web institucional www.tecnologiadevalores.com.ar su clave
pública, a disposición de todos los Suscriptores y público en general.
6.1.5. Tamaño de claves.
La longitud de claves
asociadas con los distintos tipos de Certificados emitidos serán las
siguientes:
• Para los Certificados de
la Autoridad Certificante: 4096 bits.
• Para los Certificados de
los Administradores de la Autoridad Certificante y de las Autoridades de
Registro: 2048 bits o superior.
• Para los Certificados de
Suscriptores: 2048 bits o superior.
6.1.6. Generación de
parámetros de claves asimétricas.
Los parámetros de
generación de claves asimétricas son:
Algoritmo: RSA
Exponente: 65.537
Longitud: según lo
indicado en 6.1.5
6.1.7. Propósitos de
utilización de claves (campo “KeyUsage” en certificados X.509 v.3).
Las claves criptográficas
de los suscriptores de los certificados pueden ser utilizados para firmar
digitalmente, para funciones de autenticación y para cifrado.
6.2. Protección de la
clave privada y controles sobre los dispositivos criptográficos.
La protección de la clave
privada debe ser considerada desde la perspectiva del certificador, de los
repositorios, de las Autoridades de Registro y de los suscriptores, siempre que
sea aplicable. Para cada una de estas entidades deberán abordarse los
siguientes temas:
a) Estándares utilizados
para la generación del par de claves.
b) Número de personas
involucradas en el control de la clave privada.
c) En caso de existir
copias de resguardo de la clave privada, controles de seguridad establecidos
sobre ellas.
d) Procedimiento de
almacenamiento de la clave privada en un dispositivo criptográfico.
e) Responsable de
activación de la clave privada y acciones a realizar para su activación.
f) Duración del período de
activación de la clave privada y procedimiento a utilizar para su
desactivación.
g) Procedimiento de
destrucción de la clave privada.
h) Requisitos aplicables
al dispositivo criptográfico utilizado para el almacenamiento de las claves
privadas.
La Autoridad Certificante
protege el acceso a su clave privada mediante hardware criptográfico HSM que
requiere el uso concurrente de dos personas con sus respectivas llaves para
activar una sesión de uso (de un total de cuatro personas posibles).
El HSM posee mecanismos de
protección física que bloquea el acceso al mismo si se intenta vulnerarlo y se
encuentra alojado en el sector con mayores restricciones de acceso de las
instalaciones de la Autoridad Certificante.
Las Autoridades de
Registro protegen el acceso a sus claves privadas mediante un hardware
criptográfico, el cual posee un código de acceso al mismo que se bloquea al
utilizarlo erróneamente un número determinado de veces.
El Solicitante y/o
Suscriptor almacena su clave privada y él proveerá los controles y las medidas
de seguridad adecuadas para protegerla.
6.2.1. Controles y
estándares para dispositivos criptográficos.
Los pares de claves
criptográficas de la Autoridad Certificante serán generados en un hardware
criptográfico HSM certificado FIPS 140-2 Nivel 3.
Los pares de claves
criptográficas de la Autoridad de Registro serán generados en un hardware
criptográfico HSM certificado FIPS 140-2 Nivel 2.
6.2.2. Control “M de N” de
clave privada.
Los controles empleados
para la activación de las claves se basan en la presencia de M de N con M mayor
a 2. Estos controles son desarrollados con mayor detalle en los documentos
específicos.
6.2.3. Recuperación de
clave privada.
La clave privada de la
Autoridad Certificante cuenta con un respaldo en el sitio de contingencia y con
procedimientos de backup y restore que aseguran un adecuado tratamiento.
6.2.4. Copia de seguridad
de clave privada.
La Autoridad Certificante
posee una copia de resguardo de su clave privada, en un hardware criptográfico
HSM similar al operativo, convenientemente almacenado en un sitio seguro, que
será activado en caso de una contingencia.
La Autoridad Certificante
no almacena copia alguna de otra clave privada que no sea la propia.
6.2.5. Archivo de clave
privada.
La clave privada de la
Autoridad Certificante será generada y archivada en hardware criptográfico HSM
certificado FIPS 140-2 Nivel 3, en la zona de máxima seguridad.
6.2.6. Transferencia de
claves privadas en dispositivos criptográficos.
La Autoridad Certificante
generará sus pares de claves en hardware criptográfico HSM. Se realizarán
copias de dichos pares de claves para tareas rutinarias, de recuperación o en
caso de necesidad de recupero ante desastres.
En caso que se incorporen
copias de resguardo de pares de claves desde otros módulos de hardware
criptográfico HSM, todos cumplirán los requerimientos de los estándares FIPS
140-2 Nivel 3, dichos pares de claves serán transportados entre los HSM en
forma segura.
Las Autoridades de
Registro generan sus claves en un hardware criptográfico HSM que cumple el
estándar FIPS 140-2 Nivel 2, quedando almacenadas y protegidas en dicho
hardware.
El Suscriptor no está obligado
a almacenar su clave privada en un dispositivo criptográfico.
6.2.7. Almacenamiento de
claves privadas en dispositivos criptográficos.
El certificador y las
Autoridades de Registro generan sus claves en un hardware criptográfico HSM que
cumple el estándar FIPS 140-2 Nivel 2, quedando almacenadas y protegidas en
dicho hardware.
El Suscriptor no está
obligado a almacenar su clave privada en un dispositivo criptográfico.
6.2.8. Método de
activación de claves privadas.
La Autoridad Certificante
activa su clave privada según un esquema M de N. (ver punto 6.2.2.)
6.2.9. Método de
desactivación de claves privadas.
Las claves privadas de la
Autoridad Certificante, de las Autoridades de Registro y de los Suscriptores se
desactivarán después de cada operación, después de desconectarse de sus
sistemas o bien después de remover o desactivar el dispositivo criptográfico
según el caso.
6.2.10. Método de
destrucción de claves privadas.
Al finalizar el término de
vida útil de las claves del Certificador Licenciado, todos los juegos de claves
privadas serán destruidos de manera segura por personal idóneo siguiendo el
procedimiento previsto a tal fin, no siendo posible su posterior
reconstrucción.
6.2.11. Requisitos de los
dispositivos criptográficos.
La Autoridad de Certificación
utiliza módulos de hardware criptográfico HSM, bajo los estándares FIPS 140-2
Nivel 3.
Las Autoridades de
Registro generan sus claves en un hardware criptográfico HSM que cumple el
estándar FIPS 140-2 Nivel 2, quedando almacenadas y protegidas en dicho
hardware.
El Suscriptor no está
obligado a almacenar su clave privada en un dispositivo criptográfico.
6.3. Otros aspectos de
administración de claves.
6.3.1. Archivo permanente
de la clave pública.
La clave pública de la
Autoridad Certificante está contenida dentro del Certificado emitido por la
Autoridad Certificante Raíz y está disponible para su descarga en el sitio web
de la Autoridad Certificante www.tecnologiadevalores.com.ar
La clave pública de los
Oficiales de las Autoridades de Registro está contenida dentro del Certificado
emitido por la Autoridad Certificante.
La clave pública de los
Suscriptores está contenida dentro del Certificado emitido por la Autoridad
Certificante. Además de los recaudos que puedan tomar los interesados, estos
Certificados podrán ser descargados del sitio web de la Autoridad Certificante
www.tecnologiadevalores.com.ar
6.3.2. Período de uso de
clave pública-y privada.
Las claves privadas
correspondientes a los certificados emitidos por el certificador podrán ser
utilizadas por los suscriptores únicamente durante el período de validez de los
certificados. Las correspondientes claves públicas podrán ser utilizadas
durante el período establecido por las normas legales vigentes, a fin de
posibilitar la verificación de las firmas generadas durante su período de
validez, según se establece en el apartado anterior.
6.4. Datos de activación.
Se entiende por datos de
activación, a diferencia de las claves, a los valores requeridos para la
operatoria de los dispositivos criptográficos y que necesitan estar protegidos.
Se establecen medidas
suficientes de seguridad para proteger los datos de activación requeridos para
la operación de los dispositivos criptográficos de los usuarios de certificados
ver punto 6.2.2 en relación al Control “M de N” de clave privada y el punto
6.4.2 en relación a la protección de los datos de activación de claves que estará
dado bajo el nivel 6 de seguridad.
6.4.1. Generación e
instalación de datos de activación.
Los datos de activación
utilizados en el hardware criptográfico HSM que almacena las claves privadas de
la Autoridad Certificante son generados y registrados según lo descripto en el
punto 6.1.1.
La Autoridad de Registro
debe crear contraseñas fuertes para proteger sus claves privadas. Se sugiere
que las mismas:
• Tengan una longitud de
OCHO (8) caracteres como mínimo.
• Sean generadas por el
usuario.
• No posean caracteres
repetidos.
• Alternen caracteres
alfabéticos, numéricos, mayúsculas y minúsculas.
Adicionalmente la
autoridad certificante promueve entre los solicitantes de certificados y
suscriptores las mejores prácticas relativas a la protección de sus datos de
activación y claves. Con este propósito los suscriptores se comprometen a:
• Mantener el control
exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir
su divulgación.
• Utilizar un dispositivo
(por ejemplo dispositivo criptográfico, computadora personal, teléfono
inteligente) de creación de firma digital técnicamente confiable.
• Proteger de la mejor
manera posible, el Certificado y su clave privada asociada.
• Informar sin demora al
Certificador Licenciado el cambio de alguno de los datos suministrados al
momento de la solicitud del Certificado Digital.
6.4.2. Protección de los
datos de activación.
La Autoridad Certificante
establece medidas de seguridad para proteger adecuadamente los datos de
activación de su clave privada. Los depositarios de las llaves que activan el
hardware criptográfico HSM de la Autoridad Certificante están obligados a
proteger las mismas y firmarán un acuerdo de confidencialidad a tal efecto.
Las Autoridades de
Registro almacenarán sus claves en dispositivos criptográficos protegidos por
contraseñas.
Es responsabilidad
exclusiva de las Autoridades de Registro y de los Suscriptores de Certificados,
elegir contraseñas fuertes para la protección de sus claves privadas y para el
acceso a los dispositivos criptográficos que utilicen, si fuera aplicable, y no
divulgarlas.
6.4.3. Otros aspectos
referidos a los datos de activación.
No existen otros aspectos
referidos a datos de activación, adicionales a los descriptos en 6.4.1 y 6.4.2.
6.5. Controles de seguridad
informática.
6.5.1. Requisitos Técnicos
específicos.
Se establecen los
requisitos de seguridad referidos al equipamiento y al software del
certificador, cuyo detalle se encuentra en el Manual de Procedimientos.
Dichos requisitos se
vinculan con los siguientes aspectos:
a) Control de acceso a los
servicios y roles afectados al proceso de certificación.
b) Separación de funciones
entre los roles afectados al proceso de certificación.
c) Identificación y
autenticación de los roles afectados al proceso de certificación,
d) Utilización de
criptografía para las sesiones de comunicación y bases de datos.
e) Archivo de datos
históricos y de auditoría del certificador y usuarios.
f) Registro de eventos de
seguridad.
g) Prueba de seguridad
relativa a servicios de certificación.
h) Mecanismos confiables
para identificación de roles afectados al proceso de certificación.
i) Mecanismos de
recuperación para claves y sistema de certificación.
Estas funciones pueden ser
provistas por el sistema operativo, o bien a través de una combinación del
sistema operativo, software de certificación y controles físicos.
6.5.2. Requisitos de
seguridad computacional.
Evaluaciones de Terceros
respecto de la seguridad
Tecnología de Valores S.A,
cuenta con las siguientes Calificaciones de Seguridad para sus productos:
• El hardware
criptográfico (HSM) utilizado para la gestión de las claves de la Autoridad
Certificante: FIPS 140-2 Nivel 3
• El dispositivo
criptográfico: EAL 2.
• La Base de Datos: EAL
4+.
• El Sistema Operativo:
EAL 4+.
• El Centro de Cómputos
principal de la Autoridad Certificante ha recibido una Certificación ICREA
(International Computer Room Experts Association) bajo el Standard 131-2009,
habiendo obtenido el nivel 3, que designa al Data Center como confiable con
Ambiente Certificado de clase mundial S-WCCQA (Safety World Class Quality
Assurance). De esta forma se cuenta con un reconocimiento internacional a la
calidad y seguridad de sus instalaciones y técnicas de mantenimiento.
6.6. Controles Técnicos
del ciclo de vida de los sistemas.
Se describen los controles
de desarrollo y administración de cambios de los sistemas, como así también los
asociados a la gestión de la seguridad, en lo relacionado directa o
indirectamente con las actividades de certificación.
6.6.1. Controles de
desarrollo de sistemas.
Las aplicaciones serán
adaptadas funcionalmente e implementadas por la Autoridad Certificante
siguiendo sus estándares de desarrollo de sistemas y administración de cambios.
Este mecanismo de control
de cambios le permite estar actualizada en las versiones y eventuales mejoras
en su sistema operativo y aplicaciones, lo que redunda en un razonable nivel de
seguridad y protección respecto de eventuales vulnerabilidades.
La Autoridad Certificante
suministrará también el software a las Autoridades de Registro.
6.6.2. Controles de
gestión de seguridad.
Se documenta y controla la
configuración del sistema, así como toda modificación o actualización,
habiéndose implementado un método de detección de modificaciones no
autorizadas.
6.6.3. Controles de
seguridad del ciclo de vida del software.
Se describen, en caso de
existir, los resultados de evaluaciones realizadas por terceros calificados
respecto del ciclo de vida del software.
Estos datos se incluirán
en el Formulario de Adhesión del Anexo I de la Decisión Administrativa N°
927/14.
La Autoridad Certificante
no contempla calificar la seguridad del ciclo de vida de su software y
hardware.
6.7. Controles de
seguridad de red.
La Autoridad Certificante
dispone de hardware de red adecuado para soportar un diseño de la misma que
permite controlar, segmentar y ordenar el tráfico de acuerdo a los distintos
requerimientos de seguridad. De esta manera previene accesos no autorizados u
otras actividades maliciosas desde aquellas redes a las que esté conectada.
Las comunicaciones que
contengan información sensible se llevarán a cabo utilizando encripción y
firmas digitales.
6.8. Certificación de
fecha y hora.
La Autoridad Certificante
no contempla prestar servicios de emisión de sellos de tiempo.
7. PERFILES DE
CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS.
Se especifican los
formatos de certificados y de listas de certificados revocados generados según
la Política Única de Certificación.
7.1. Perfil del
certificado.
Todos los certificados
serán emitidos conforme con lo establecido en la especificación ITU X.509
versión 3 o la que en su defecto, determine el Ente Licenciante, y deben
cumplir con las indicaciones establecidas en la sección “2 - Perfil de
certificados digitales” del Anexo IV de la Decisión Administrativa N° 927/14 -
Perfiles de los Certificados y de las Listas de Certificados Revocados.
El formato es el
siguiente:
|
Atributos/Extensiones
|
Contenido
|
|
Versión
|
V3
2 (correspondiente a la versión 3)
|
|
Número de serie
|
Número Asignado por la
Autoridad Certificante Tecnología de Valores S.A.
|
|
Algoritmo de firma
|
SHA-1 con cifrado RSA
|
|
Nombre distintivo de
emisor
|
C = AR
O = Tecnología de Valores S.A.
S = Ciudad Autónoma de Buenos Aires
SerialNumber = CUIT 30-71142647-3
OU = Tecnología de Valores S.A. - Autoridad Certificante
CN = Autoridad Certificante de Tecnología de Valores S.A.
|
|
Validez (desde, hasta)
|
2 años
Not Before: fecha y hora GMT
Not After: fecha y hora GMT
|
|
Nombre distintivo de
suscriptor
|
Ver 7.1.5 secciones:
- Para los certificados de Personas Físicas.
- Para los certificados de Personas Jurídicas Públicas o Privadas
|
|
Clave pública de
suscriptor
|
RSA Public Key: (2048
bits)
|
7.1.1. Número de versión.
El campo “version”
describe la versión del certificado. DEBE tener el valor 2 (correspondiente a
versión 3).
7.1.2. Extensiones.
Las siguientes extensiones
DEBEN encontrase presentes en todos los certificados:
• Restricciones Básicas
(BasicConstraint).
• Uso de Claves
(KeyUsage).
• Uso Extendido de Clave
(ExtendedKeyUsage).
• Identificador de la
Clave de la Autoridad Certificante (AuthorityKeyldentifier).
• Puntos de Distribución
de la Lista de Certificados Revocados (CRLDistributionPoint).
• Nombres Alternativos del
Suscriptor (SubjectAltemativeName).
• Acceso a Información del
Emisor (AuthorityInformationAccess).
• Políticas de Certificación
(CertificatePolicies).
• Declaración del
Certificado Calificado (qcStatement).
|
Campo
|
Valor
|
|
Restricciones básicas
|
CA:
- Falso - (Subject Type=End Entity, PathLengthConstraint=Null
|
|
Usos de clave
|
digitalSignature=1
nonRepudiation=1
keyEncipherment=1
dataEncipherment=1
keyAgreement=1
keyCertSign=0
cRLSign=0
encipherOnly=1
decipherOnly=1
|
|
Uso extendido de clave
|
TLS
Web Client Authentication, E-mail Protection
|
|
Identificador de la
clave pública de la Autoridad Certificante
|
Contiene un hash de 20
bytes del atributo Clave pública del certificado de nuestra Autoridad
Certificante
|
|
Punto de Distribución
CRL
|
http://www.tecnologiadevalores.com.ar/pki/crl
Idaps://Idap.tecnologiadevalores.com.ar/crl
|
|
Nombres Alternativos del
Suscriptor
|
- Para certificados de
personas físicas: Dirección de correo electrónico
- Para certificados de personas jurídicas:
CN= nombre de la persona física a cargo de la custodia de la clave privada
SerialNumber= CUIT/CUIL
Title= Relación que vincula a la persona física con la jurídica
|
|
Acceso a Información del
Emisor
|
https://www.tecnologiadevalores.com.ar/pki/ocsp
|
|
Políticas de
Certificación
|
Certificate Policy:
Policy Identifier =OID asignada por la ONTI Policy Qualifier Info:
PolicyQualifierld=www.tecnologiadevalores.com.ar/repositorio/documentacion/Politica_de_certificacion.pdf
Qualifier: Notice Text=Certificado emitido por un certificador licenciado en
el marco de la Ley 25.506
|
|
Declaración del
Certificado Calificado
|
OID= 2.16.32.1.10.1
(claves generadas por software)
OID= 2.16.32.1.10.2.2 (claves generadas por dispositivos FIPS 140-2 nivel 2)
OID= 2.16.32.1.10.2.3 (claves generadas por dispositivos FIPS 140-2 nivel 3)
|
7.1.3. Identificadores de
algoritmos.
El campo “signature”
contiene el identificador de objeto (OID) del algoritmo y los parámetros
asociados usados por el certificador para firmar el certificado. Este
identificador es el definidos en el [RFC4055] para RSA. El algoritmo de firma
es sha1RSA (OID: 1 2 840 113549 1 1 5).
7.1.4. Formatos de nombre.
El campo “issuer”
identifica a la organización responsable de la emisión del certificado,
mediante la utilización de los siguientes atributos:
• Componente de dominio
(OID 0.9.2342.19200300.100.1.25: domainComponent).
• Código de país (OID
2.5.4.6: countryName).
• Nombre de la
organización (OID 2.5.4.10: organizationName).
• Nombre de la provincia
(OID 2.5.4.8: stateOrProvinceName).
• Número de serie (OID
2.5.4.5: serialNumber).
El contenido de este campo
coincide con el indicado en el campo del “distinguishedName” correspondiente al
“subject” del certificado emitido por la Autoridad Certificante Raíz de la
REPÚBLICA ARGENTINA.
El atributo
“organizationName” está presente.
El atributo “countryName”
está presente y representa el país en el cual se encuentra establecido el
emisor, es decir, la REPÚBLICA ARGENTINA. Este atributo está codificado según
el estándar [ISO3166].
El nombre distintivo
(DistinguishedName) de la Autoridad Certificante emisora se compone de:
|
Campo
|
Valor
|
|
Country
|
País (AR)
|
|
OrganizationName
|
Nombre de la empresa
(Tecnología de Valores S.A.)
|
|
stateOrProvinceName
|
Provincia / Localidad
(Ciudad Autónoma de Buenos Aires)
|
|
SerialNumber
|
Número de Serie (CUIT
30-71142647-3)
|
|
OrganizationUnitName
|
Nombre de la unidad de
negocio de Certificación
(Tecnología de Valores S.A. - Autoridad Certificante)
|
|
CommonName
|
Autoridad Certificante
de Tecnología de Valores S.A.
|
7.1.5. Restricciones de
nombre.
El campo “subject”
identifica la entidad asociada a la clave pública guardada en el campo
“subjectPublicKeyInfo”. Contiene un nombre distintivo del suscriptor. Dicho
nombre es único para cada suscriptor de certificado emitido por el certificador
durante todo el tiempo de vida del mismo.
La identidad del
suscriptor queda especificada utilizando los siguientes atributos:
• Código de país (OID
2.5.4.6: countryName).
• Nombre común (OID
2.5.4.3: commonName).
• Número de serie (OID
2.5.4.5: serialNumber).
Para los certificados del
certificadores licenciados, los campos que integran el nombre distintivo del
emisor (issuer DN) deben coincidir con los campos correspondientes del nombre
distintivo del suscriptor (subject DN), emitido a nombre del certificador licenciado
por la Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA.
Para los certificados de
Personas Físicas:
“commonName”: está
presente y corresponde con el nombre que figura en el documento de identidad
del suscriptor.
“serialNumber” (OID
2.5.4.5: Nro. de serie): está presente y contiene el tipo y número de
identificación del titular, expresado como texto y respetando el siguiente
formato y codificación: [“tipo de documento”] [“nro., de documento”]. El valor
posible para el campo [tipo de documento] es “CUIT/CUIL” Clave Única de
Identificación Tributaria o Laboral.
“countryName”: está
presente e indica el país de nacimiento del suscriptor codificado según el
estándar [ISO3166].
El nombre distintivo
(DistinguishedName) del Suscriptor para los certificados de personas físicas se
compone de:
|
Componente
|
Descripción
|
|
C
|
País de Nacionalidad del
Suscriptor
|
|
CN
|
Nombre del Suscriptor
|
|
SerialNumber
|
CUIT/CUlL del Suscriptor
|
Para los certificados de
Personas Jurídicas Públicas o Privadas:
“commonName” (OID 2.5.4.3:
Nombre común): coincide con la denominación de la Persona Jurídica Pública o
Privada o con el nombre de la unidad operativa responsable del servicio (ej.
Gerencia de Compras).
“orgartizationalUnitName”
(OID 2.5.4.11: Nombre de la suborganización): PUEDE contener las unidades
operativas relacionadas con el suscriptor, pudiendo utilizarse hasta CINCO (5)
instancias de este atributo de ser necesario para establecer niveles
jerárquicos dentro de la suborganización.
“organizationName” (OID
2.5.4.10: Nombre de la organización): para certificados de aplicaciones, DEBE
coincidir con la denominación de la Persona Jurídica Pública o Privada.
“serialNumber” (OID
2.5.4.5: Nro de serie): está presente y contiene el número de identificación de
la Persona Jurídica Pública o Privada, expresado como texto y respetando el
siguiente formato y codificación: “[código de identificación]” “[nro. de
identificación]”
Los valores posibles para
el campo [código de identificación] son:
a) “CUIT”: Clave única de
identificación tributaria para las Personas Jurídicas argentinas.
b) “ID” [país]: Número de
identificación tributario para Personas Jurídicas extranjeras. El atributo
[país] DEBE estar codificado según el estándar [ISO3166] de DOS (2) caracteres.
“countryName” (OID
2.5.4.6: Código de país): está presente y representa el país de emisión de los
certificados, codificado según el estándar [ISO3166] de DOS (2) caracteres.
El nombre distintivo
(DistinguishedName) del Suscriptor para los certificados de Personas Jurídicas
Públicas o Privadas se compone de:
|
Componente
|
Descripción
|
|
C
|
País de Nacionalidad del
Suscriptor
|
|
O
|
Nombre de la
Organización
|
|
OU
|
Nombre de la
suborganización (de 0 a 5 instancias)
|
|
CN
|
Denominación de la
Persona Jurídica Pública o Privada
|
|
SerialNumber
|
Código y número de
identificación de la Persona Jurídica Pública o Privada
|
7.1.6. OID de la Política
Única de Certificación.
El certificador incluye el
OID de su Política Única de Certificación que utilizará para la emisión de
certificados. Ese OID es asignado por la DIRECCIÓN NACIONAL DE SISTEMAS DE
ADMINISTRACIÓN Y FIRMA DIGITAL de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA
del MINISTERIO DE MODERNIZACIÓN, a solicitud del ente licenciante. El documento
digital que contiene la Política Única de Certificación fue declarado ante el
ente licenciante y la extensión “CertificatePolicies” declara la URI donde el
documento estará disponible.
El campo “userNotice”
incluye la leyenda “certificado emitido por un certificador licenciado en el
marco de la Ley N° 25.506”.
7.1.7. Sintaxis y
semántica de calificadores de Política.
La extensión “CertificatePolicies”
incluye toda la información sobre la Política Única de Certificación necesaria
para la validación del certificado.
Esta extensión está
presente en todos los certificados.
Esta extensión es marcada
como crítica.
|
Campo
|
Valor
|
|
Policy Identifier
|
OID Asignada por ONTI
|
|
Policy Qualifier Id
|
www.tecnologiadevalores.com.ar/repositorio/documentacion/Politica_de_certificacion.pdf
|
|
Qualifier
|
Notice Text=Certificado
emitido por un certificador licenciado en el marco de la Ley 25.506
|
7.1.8. Semántica de
procesamiento para extensiones críticas.
Las extensiones críticas
son marcadas como obligatorias en el perfil del certificado.
7.2. Perfil de la lista de
certificados revocados.
Las listas de certificados
revocados correspondientes a la presente Política Única de Certificación serán
emitidas conforme con lo establecido en la especificación ITU X.509 versión 2 o
la que en su defecto, determine el Ente Licenciante, y cumplirán con las
indicaciones establecidas en la sección “3 - Perfil de CRLs” del Anexo IV -
“Perfiles de los Certificados y de las Listas de Certificados Revocados”.
El formato es el
siguiente:
|
Atributos/Extensiones
|
Contenido
|
|
Versión
|
1
(correspondiente a la versión 2)
|
|
Emisor
|
C = País (AR)
O = Nombre de la empresa (Tecnología de Valores S.A.)
ST = Provincia / Localidad (Ciudad Autónoma de Buenos Aires)
SerialNumber = Número de Serie (CUIT 30-71142647-3)
OU= Nombre de la unidad de negocio de Certificación (Tecnología de Valores
S.A. - Autoridad Certificante)
CN= Autoridad Certificante de Tecnología de Valores S.A.
|
|
Algoritmo de firma
|
sha1RSA
|
|
Día y hora de vigencia
|
Día y hora de emisión de
esta CRL, GMT
|
|
Próxima actualización
|
Día y hora de emisión de
la próxima CRL, GMT
|
|
Identificador de la
clave pública de la Autoridad Certificante
|
Contiene un hash de 20
bytes del atributo Clave pública de nuestra Autoridad Certificante
|
|
Número de CRL
|
Número que se incrementa
cada vez que cambia una CRL
|
|
Certificados revocados
|
Lista de los
certificados revocados incluyendo número de serie, fecha de revocación y
motivo de la revocación.
|
|
Fecha de Revocación
|
Fecha y hora de la
revocación
|
7.2.1. Número de versión.
El campo “version” describe
la versión de la CRL. DEBE tener el valor 1 (correspondiente a Versión 2).
7.2.2. Extensiones de CRL
(Lista de Certificados Revocados).
A completar sobre la base
de lo establecido en el documento referido en el apartado 3.3 del Anexo IV de
la Decisión Administrativa N° 927/14.
Identificación de Clave de
la Autoridad Certificante (Authority Key Identifier).
La extensión
“AuthorityKeyldentifier” proporciona un medio para identificar la clave pública
que corresponde a la clave privada utilizada para firmar una CRL.
Esta extensión está
presente en todas las listas de revocación de certificados.
Número de CRL (CRL
Number).
La extensión “CRLNumber”
contiene un número de secuencia creciente para una CRL y emisor dado. Esta
extensión permite que los usuarios determinen fácilmente cuándo una CRL
particular reemplaza otra CRL.
Esta extensión está
incluida en todas las listas de revocación de certificados.
Otras extensiones de CRLs.
No se declaran otras
extensiones más allá de las definidas.
7.3. Perfil de la consulta
en línea del estado del certificado.
La consulta en línea del
estado de un certificado digital se realiza utilizando el Protocolo OCSP
(On-Line Certificate Status Protocol). Se implementa conforme a lo indicado en
la especificación RFC 6.960.
7.3.1. Consultas OCSP.
Los siguientes datos se
encuentran presentes en las consultas:
• Versión (version).
• Requerimiento de
servicio (service request).
• Identificador del
certificado bajo consulta (target certificate identifier).
• Extensiones opcionales
(optionals extensions), las cuales podrían ser procesadas por quien responde.
Al recibir la consulta
OCSP, el servicio determina:
• Si el formato de la
consulta es adecuado.
• Si quien responde se
encuentra habilitado para responder la consulta.
• Si la consulta contiene
la información que es necesaria para responder.
Si alguna de estas
condiciones no se cumpliera, se genera un mensaje de error. De lo contrario se
devuelve una respuesta.
7.3.2. Respuestas OCSP.
Todas las respuestas OCSP
son firmadas digitalmente por la Autoridad Certificante perteneciente al
certificador licenciado, que emitió el certificado digital para el cual se hace
la consulta.
Una respuesta OCSP
considera los siguientes datos:
• Versión de la sintaxis
de respuesta.
• Identificador de quien
responde.
• Fecha y hora en la que
se genera la respuesta.
• Respuesta respecto al
estado del certificado.
• Extensiones opcionales.
• Identificador (OID)
único del algoritmo de firma.
• Firma de la respuesta.
La respuesta a una
consulta OCSP consiste en:
• Identificador del
certificado.
• Valor correspondiente al
estado del certificado.
• Período de validez de la
respuesta.
• Extensiones opcionales.
Se especifican las
siguientes respuestas posibles para el valor correspondiente al estado del
certificado:
• Válido (good), indicando
una respuesta positiva a la consulta. Este valor indica que no existe un
certificado digital con el número de serie contenido en la consulta, que haya
sido revocado durante su vigencia.
• Revocado (revoked),
indicando que el certificado ha sido revocado.
• Desconocido (unknown),
indicando que quien responde no reconoce el número de serie incluido en la
consulta, debido comúnmente a la inclusión de un emisor desconocido.
8. AUDITORÍA DE
CUMPLIMIENTO Y OTRAS EVALUACIONES.
Tecnología de Valores S.A.
está alcanzada por los procesos de auditoría establecidos por la Autoridad de
Aplicación de Firma Digital en cumplimiento de lo dispuesto por la Ley N°
25.506, el Decreto N° 2628/02 y sus modificatorios y la Decisión Administrativa
N° 927/14. Específicamente, se cumplen las exigencias reglamentarias impuestas
por:
• Los artículos 33 y 34 de
la Ley N° 25.506 de Firma Digital, respecto al sistema de auditoría y 21,
inciso k) de la misma ley, relativo a la publicación de informes de auditoría.
• Los artículos 18 a 21
del Decreto N° 2628/02 y sus modificatorios, reglamentario de la Ley de Firma
Digital, relativos al sistema de auditoría y 20, vinculado a conflicto de
intereses.
A continuación se resumen
los aspectos específicos del proceso de auditoría interna:
a) Caja de Valores S.A. es
la organización seleccionada para realizar las auditorías internas de
Tecnología de Valores S.A. Asimismo Caja de Valores S.A. podrá delegar las
tareas específicas en algún tercero especializado.
b) Las auditorías internas
se efectúan con una frecuencia anual, tanto para las actividades de la autoridad
certificante como de las autoridades de registro.
c) Caja de Valores S.A.
cumple un importante rol en el sistema bursátil argentino en su condición de
ADC (Agente de Depósito Colectivo) y ACRyP (Agente de Custodia. Registro y
Pago) inscripta con el número de matrícula 19 ante la Comisión Nacional de
Valores bajo las prescripciones de la Ley N° 26.831 de Mercado de Capitales, el
decreto Reglamentario N° 1023 y las Normas (N.T. 2013 y mod.). En este marco
cuenta con una Gerencia de Auditoría Informática con personal capacitado en la
materia.
d) Caja de Valores S.A. es
el accionista mayoritario de Tecnología de Valores S.A.
e) Las revisiones cubren
los siguientes aspectos:
- Confiabilidad y calidad
de los sistemas utilizados.
- Integridad,
confidencialidad y disponibilidad de los datos.
- Cumplimiento de las
especificaciones del Manual de Procedimientos y los planes de seguridad y de
contingencia aprobados por el Ente Licenciante.
- Cumplimiento de los
requisitos establecidos por la Ley N° 25.506, el Decreto N° 2.628/02 y sus
modificatorios y la Decisión Administrativa N° 927/14.
f) Los informes de
auditoría interna son elevados a las autoridades de Tecnología de Valores S.A.,
quienes toman las medidas necesarias para corregir las debilidades de control
identificadas por el auditor.
g) Cumpliendo lo dispuesto
por el artículo 21 inciso k) de la Ley N° 25.506, Tecnología de Valores S.A.
publica en su sitio web www.tecnologiadevalores.com.ar la información relevante
de los informes de la última auditoría de que hubiera sido objeto.
Tecnología de Valores S.A.
pone a disposición del Ente Licenciante la información relevada por las
auditorías internas con el objetivo de controlar el cumplimiento de la Política
Única de Certificación.
Adicionalmente, Tecnología
de Valores S.A. y sus autoridades de registro serán auditadas anualmente por
alguna de las entidades de auditoría que el ente licenciante habilite en los
términos del artículo 18 del Decreto N° 2628/02 y sus modificatorios, dando
cumplimento a lo establecido en el artículo 20 del mismo en lo relativo a
conflicto de intereses.
Dichas auditorías anuales
del certificador licenciado y sus autoridades de registro cumplirán con lo
dispuesto por los artículos 58 y 59 de la Decisión Administrativa N° 927/14.
9. ASPECTOS LEGALES Y
ADMINISTRATIVOS.
9.1. Aranceles.
Los aranceles que
Tecnología de Valores S.A. cobra por los Certificados de Firma Digital se
encuentran a disposición de los Solicitantes en las oficinas de las Autoridades
de Registro correspondientes.
9.2. Responsabilidad
Financiera.
Tecnología de Valores S.A.
cuenta con capacidad financiera suficiente para hacer frente a las obligaciones
asumidas por la presente.
Sin perjuicio de lo
expuesto, se fija como límite máximo de responsabilidad la suma de U$S 5.000.-
por transacción, no pudiendo dicho límite superar en ningún caso la suma de U$S
50.000.- por Certificado durante la vigencia del mismo.
9.3. Confidencialiciad.
Tecnología de Valores S.A.
y los empleados de ésta, asumen el compromiso de guardar confidencialidad
respecto de todo dato personal y de toda información, que no se encuentre entre
la información definida como no confidencial en el presente, perteneciente a
los Solicitantes y Suscriptores de Certificados, y a la que tenga acceso en
virtud de la actividad de certificación que presta; como así también se
compromete a mantener la confidencialidad respecto del tratamiento de dicha
información y de su documentación respaldatoria.
El deber de
confidencialidad en los términos de la presente, se extiende también a las
Autoridades de Registro y a los empleados y/o dependientes de éstas.
9.3.1. Información
confidencial.
Deberá ser también
considerada con carácter de confidencial, la siguiente información:
• Las solicitudes de
emisión de un Certificado, con la salvedad de los datos contenidos en los
Certificados.
• Plan de Seguridad, el
cual contiene todos los documentos que afectan a las tareas que desarrolla el
personal de la Autoridad Certificante, tanto se trate de funciones
administrativas como técnicas.
• Plan de Contingencia y
otros procedimientos de control que existan.
• Información vinculada al
proceso de gestión del ciclo de vida de los Certificados Digitales emitidos por
Tecnología de Valores S.A.
• La clave privada de
Tecnología de Valores S.A.
No obstante, Tecnología de
Valores S.A. quedará relevada del deber de confidencialidad cuando: (I) medie
consentimiento expreso del Solicitante y del Suscriptor; y/o (II) dicha
información sea requerida por autoridad administrativa competente y/o en causa
judicial por juez competente.
Tecnología de Valores S.A.
y las Autoridades de Registro deberán revelar toda información que le sea
requerida en causas judiciales, siempre y cuando le sea solicitada en forma
escrita y se encuentre debidamente suscripta por autoridad judicial competente,
con los recaudos establecidos en las leyes y/o códigos de procedimientos
respectivos, aun cuando ésta se encuentre comprendida entre la información
considerada confidencial en los términos del presente apartado.
Tecnología de Valores S.A.
y las Autoridades de Registro deberán revelar toda información que le sea
requerida en el marco de una investigación judicial o administrativa, aun
cuando se trate de información confidencial siempre y cuando le sea solicitada
en forma escrita por autoridad competente con indicación de la normativa que
otorga facultades al requirente. Excepto en los casos previstos en los DOS (2)
párrafos precedentes toda divulgación de información relacionada a los datos de
un Solicitante y/o de un Suscriptor sólo podrá efectuarse previa autorización
del titular de los datos.
De conformidad con lo
establecido en la normativa vigente, el Solicitante y/o Suscriptor puede
solicitar a la Autoridad Certificante y/o a la Autoridad de Registro que
corresponda, conocer y rectificar la información que sobre sí mismo conste en
la base de datos que Tecnología de Valores S.A. crea con la información
entregada por los Solicitantes de Certificados y sus Suscriptores, de acuerdo a
lo previsto en el Manual de Procedimientos.
En ningún caso la
información podrá revelar datos pertenecientes a terceros aun cuando se
vinculen con el interesado, salvo expreso consentimiento de los terceros
involucrados.
La información requerida
por el titular de los datos será suministrada por Tecnología de Valores S.A. en
forma gratuita. No obstante, si dicha información fuera requerida con una
periodicidad inferior a intervalos de SEIS (6) meses Tecnología de Valores S.A.
podrá cobrar un arancel por brindar la misma, salvo que se acredite un interés
legítimo al efecto.
El Suscriptor conoce y
acepta que la modificación de la información que ha entregado a Tecnología de
Valores S.A. y/o a la Autoridad de Registro puede eventualmente acarrear la
revocación del Certificado Digital. La revocación así acaecida no generará
derecho a reclamo o indemnización alguna a favor del Suscriptor.
El Solicitante y/o el
Suscriptor autorizan a Tecnología de Valores S.A. y/o a las Autoridades de
Registro a suministrar la información comprendida en este capítulo a terceras
personas, cuando ello sea necesario para su verificación o para la mejor
prestación del servicio de certificación. Tecnología de Valores S.A. informará
a dichos terceros acerca de los requerimientos de confidencialidad sobre los
datos que reciban.
9.3.2. Información no
confidencial.
La siguiente información
no se considera confidencial:
a) Contenido de los
certificados y de las listas de certificados revocados.
b) Información sobre
personas físicas o jurídicas que se encuentre disponible en certificados o en
directorios de acceso público.
c) Políticas de
Certificación y Manual de Procedimientos de Certificación (en sus aspectos no
confidenciales).
d) Secciones públicas de
la Política de Seguridad del certificador.
e) Política de privacidad
del certificador.
9.3.3. Responsabilidades
de los roles involucrados.
Todo el personal de
Tecnología de Valores S.A. como así también de las Autoridades de Registro
operativamente vinculadas, deberán firmar un Acuerdo de Confidencialidad al
momento de iniciarse la relación laboral, mediante el cual se obligue a no
divulgar información de carácter sensible, confidencial o que pueda, de alguna
manera, ser utilizada para beneficio personal o de terceros, según lo
establecido en el presente apartado.
9.4. Privacidad.
Todos los aspectos
vinculados a la privacidad de los datos personales estarán sujetos a la
normativa vigente en materia de Protección de los Datos Personales (Ley N°
25.326 y normas reglamentarias, complementarias y aclaratorias). Las
consideraciones particulares se incluyen en la Política de Privacidad.
9.5. Derechos de Propiedad
Intelectual.
Todos los documentos
elaborados y/o utilizados por Tecnología de Valores S.A. y/o sus empleados,
obras, trabajos, Certificados, Claves públicas, hardware y demás productos como
parte de la prestación de los servicios de Certificación, son propiedad y/o se
encuentran licenciados a favor de Tecnología de Valores S.A. y sólo podrán ser
usados bajo su licencia y/o autorización; encontrándose por lo tanto amparados
en la Ley N° 11.723 (Régimen de Propiedad intelectual) y demás legislación
vigente sobre la materia.
Ni el Suscriptor, ni los
Terceros Usuarios podrán traducirlos, reproducirlos, copiarlos, publicarlos o
utilizarlos en forma alguna sin la previa autorización expresa de Tecnología de
Valores S.A.
Todos los nombres
comerciales, marcas, patentes, diseños industriales y demás signos o creaciones
utilizados o realizados por Tecnología de Valores S.A. o sus empleados como
parte del servicio de certificación digital, son propiedad de ésta. Su uso por
parte de los Suscriptores y los Terceros Usuarios se realizará de acuerdo con
lo requerido por Tecnología de Valores S.A. y siempre dentro de las licencias
de uso que la misma les otorgue.
Los Solicitantes de
Certificados, deberán manifestar y garantizar al momento de solicitar un
Certificado que la remisión de la información contenida en una solicitud de
Certificado a Tecnología de Valores S.A. y la utilización de un dominio y
nombre distintivo, no es violatoria de los derechos de ninguna persona, en
ninguna jurisdicción, relativos a sus marcas, patentes, nombres comerciales y
derechos de propiedad intelectual.
Los Solicitantes,
Suscriptores y los Terceros Usuarios deberán informar a Tecnología de Valores
S.A., con la mayor brevedad posible, sobre cualquier acto o hecho que pueda
considerarse violatorio de una patente o derechos de propiedad de Tecnología de
Valores S.A.
9.6. Responsabilidades y
garantías.
El Certificador Licenciado
actuará a su leal saber y entender en la prestación del servicio de
certificación, y responderá únicamente por los daños y perjuicios derivados del
incumplimiento de las obligaciones impuestas en la Ley N° 25.506 y su Decreto
N° 2.628/02 y sus modificatorios, por los errores u omisiones que presenten los
Certificados Digitales que expida, por no revocarlos en legal tiempo y forma
cuando así correspondiere, y por las consecuencias imputables a la
inobservancia de procedimientos de certificación exigibles, siempre que mediare
dolo o culpa grave de su parte.
Tecnología de Valores S.A.
podrá contratar seguros referidos al cumplimiento de las obligaciones asumidas
por la presente.
9.7. Deslinde de
responsabilidad.
Tecnología de Valores S.A.
no será responsable en ningún supuesto por lucro cesante, pérdida de datos o
cualquier otro daño que no sea emergente, fuese o no previsible, surgido en
relación con el uso, entrega, licencia, funcionamiento o no funcionamiento de
Certificados y, en general, por cualquier transacción o servicio ofrecido como
Certificador Licenciado.
Tecnología de Valores S.A.
no responderá en ningún caso, por los daños producidos o relacionados con el
incumplimiento o el cumplimiento defectuoso de las obligaciones asumidas por
los Suscriptores de Certificados en esta Política Única de Certificación y en
el Acuerdo Tipo con Suscriptores correspondiente, los que serán a cargo de
estos últimos. Tampoco será responsable de los daños o perjuicios que resulten
del uso no autorizado de un Certificado Digital o bien por eventuales
inexactitudes en los Certificados que expida y que resulten de la información
facilitada por el Suscriptor como así también por no proceder a la solicitud de
revocación de un Certificado en tiempo y forma en caso de producirse algunos de
los causales de revocación previstas en la Ley N° 25.506 y en la presente
Política Única de Certificación.
El Suscriptor es el único
responsable por las obligaciones que emanen de los negocios jurídicos que se
realicen con los Certificados Digitales, no asumiendo Tecnología de Valores
S.A. ninguna responsabilidad por este concepto.
Tecnología de Valores S.A.
no será responsable en ningún caso, por los daños producidos o relacionados con
el incumplimiento o cumplimento defectuoso de las obligaciones que los Terceros
Usuarios asumen por la presente y de las previstas en los Términos y
Condiciones con Terceros Usuarios, los que estarán a cargo exclusivamente de
estos últimos.
Los Terceros Usuarios
asumen toda responsabilidad y riesgos derivados de la aceptación de un
Certificado Digital sin haber realizado previamente la validación o sin haber
seguido los procedimientos establecidos en esta Política Única de Certificación
y el Manual de Procedimientos, eximiendo a Tecnología de Valores S.A. de toda
responsabilidad por dicho concepto.
Tecnología de Valores S.A.
no asumirá responsabilidad alguna por el uso de un Certificado Digital en el
período transcurrido entre que se produce alguna de las causas de revocación y
la Solicitud de revocación del mismo.
En ningún caso Tecnología
de Valores S.A. responderá por los perjuicios ocasionados por el incumplimiento
de sus obligaciones cuando fueran motivados por casos de fuerza mayor, caso
fortuito o en general cualquier circunstancia sobre la que el Certificador
Licenciado no pueda tener un control razonable, incluyendo pero sin limitarse a
las siguientes: catástrofes naturales, alteraciones del orden público, guerra o
el compromiso de las claves criptográficas derivado del riesgo tecnológico
imprevisible.
Tecnología de Valores S.A.
no garantizará los algoritmos y estándares criptográficos utilizados, ni
responderá de los daños causados por ataques externos a los mismos, siempre que
se haya aplicado la diligencia debida según el estado de la técnica en cada
momento y habiendo actuado conforme a esta Política y a la Ley N° 25.506, donde
sea aplicable.
9.8. Limitaciones a la
responsabilidad frente a terceros.
Respecto de los Terceros
Usuarios será de aplicación lo establecido en el punto 9.7. de la presente.
9.9. Compensaciones por
daños y perjuicios.
Será de aplicación lo
establecido en el punto 9.2 “Responsabilidad Financiera”
9.10. Condiciones de
vigencia.
La Política Única de
Certificación comenzará a regir una vez que sea aprobada por el Ente
Licenciante y mantendrá su vigencia mientras:
• No sea aprobada por el
Ente Licenciante una nueva versión.
• No sea revocada la
Licencia otorgada al Certificador Licenciado por el Ente Licenciante.
• No se produzca el cese
de operaciones del Certificador Licenciado.
9.11. Avisos personales y
comunicaciones con los participantes.
Las comunicaciones que
deban efectuarse a los participantes serán publicadas en el sitio web
www.tecnologiadevalores.com.ar en formato destacado en la página principal.
Adicionalmente Tecnología
de Valores S.A. podrá enviar comunicaciones y/o avisos personales a la
dirección de correo electrónico que el suscriptor haya informado en la
Solicitud de Certificado Digital.
9.12. Gestión del ciclo de
vida del documento.
La aprobación de la
primera versión del presente documento es potestad del Ente Licenciante al
inicio de las operaciones de la Autoridad Certificante.
Toda modificación
posterior será comunicada al Ente Licenciante conforme a lo establecido en el
artículo 21, inciso q) de la Ley N° 25.506, debiendo ser aprobada por éste.
Todas las versiones (tanto
la vigente como las anteriores) se encontrarán publicadas en el sitio web
www.tecnologiadevalores.com.ar
9.12.1. Procedimientos de
cambio.
Toda Política Única de
Certificación es sometida a aprobación del ente licenciante durante el proceso
de licenciamiento.
La Política Única de
Certificación podrá ser modificada en todo o en parte por Tecnología de Valores
S.A. siguiendo los procedimientos establecidos al efecto, para lo cual deberá
contar previamente con la autorización del Ente Licenciante conforme lo
establecido en el artículo 21, inciso q) de la Ley N° 25.506.
Todo cambio a la Política
Única de Certificación debe ser comunicado al suscriptor.
9.12.2. Mecanismo y plazo
de publicación y notificación.
Todo cambio relevante de
esta Política, como así también el plazo a partir del cual entrará en vigencia
dicho cambio, será informado en el sitio web www.tecnologiadevalores.com.ar de
la Autoridad Certificante, destacando el mismo en la página principal.
9.12.3. Condiciones de
modificación del OID.
No aplicable.
9.13. Procedimientos de
resolución de conflictos.
En caso de que una persona
con interés legítimo quiera hacer valer un reclamo basado en la interpretación,
ejecución y/o cumplimiento de la presente Política Única de Certificación, como
así también de los demás Documentos relacionados con el Servicio de
Certificación enumerados en el punto deberá notificar dicha circunstancia a
Tecnología de Valores S.A. por las vías establecidas en el Manual de
Procedimientos.
Una vez notificado del
reclamo, Tecnología de Valores S.A. contará con DIEZ (10) días hábiles para su
estudio, luego de lo cual ofrecerá una solución al mismo o bien expondrá los
motivos de su rechazo, según corresponda, por el mismo medio en que fuera
notificado del reclamo.
El reclamante tendrá un
plazo de CINCO (5) días hábiles desde la notificación para considerar la
solución propuesta por Tecnología de Valores S.A. De no encontrar satisfactoria
la misma, deberá comunicar su no conformidad por el mismo medio. En tal caso,
se fijará una reunión conciliatoria a realizarse en la sede de Tecnología de
Valores S.A., donde las partes intentarán de buena fe arribar a un acuerdo.
Dicha reunión se celebrará dentro de un plazo que no podrá exceder de DIEZ (10)
días hábiles, desde que el Reclamante manifieste la no conformidad. A tales
efectos la mencionada reunión será mantenida por personal idóneo para tomar
decisiones que comprometan a Tecnología de Valores S.A. y al reclamante.
Sin perjuicio de lo
expuesto Tecnología de Valores S.A. podrá, en cualquier momento, pedir al
reclamante que aporte mayores datos sobre las circunstancias que hacen al reclamo,
o bien podrá organizar las reuniones que considere necesarias para intentar
llegar a un acuerdo; en cuyo caso los plazos se suspenderán hasta recibirse
respuesta del reclamante. De permanecer cualquier conflicto la cuestión será
dirimida por el Tribunal General de Arbitraje de la Bolsa de Comercio de Buenos
Aires de acuerdo con la reglamentación vigente para el arbitraje de derecho.
El laudo arbitral que
emita dicho Tribunal, será recurrible ante la Justicia en lo Civil y Comercial
Federal.
El suscriptor o los
terceros usuarios podrán accionar ante el ente licenciante, previo agotamiento
del procedimiento ante el certificador licenciado correspondiente, el cual
deberá proveer obligatoriamente al interesado de un adecuado procedimiento de
resolución de conflictos.
9.14. Legislación
aplicable.
La legislación que
respalda la interpretación, aplicación y validez de la Política Única de
Certificación, es la Ley N° 25.506, el Decreto N° 2628/02 y sus modificatorios,
y toda otra norma complementaria dictada por la autoridad competente.
En ningún caso, la
Política Única de Certificación del certificador prevalecerá sobre lo dispuesto
por la normativa vigente de firma digital.
9.15. Conformidad con
normas aplicables.
No aplicable.
9.16. Cláusulas
adicionales.
No se establecen cláusulas
adicionales
9.17. Otras cuestiones
generales.
No aplicable.