|
|
Documento y Nro |
Fecha |
Publicado en: |
Boletín/Of |
Resolución Gral. Nº 2674 |
08/09/2009 |
Fecha: |
10/09/2009 |
|
|
Dependencia: |
RG-2674-2009-AFIP |
Tema: |
FIRMA DIGITAL |
Asunto: |
Procedimiento. Ley Nº 25.506. Firma
Digital. Procedimiento para la homologación de dispositivos criptográficos.
Registro de empresas proveedoras. Su creación. |
|
|
VISTO
la Actuación SIGEA Nº 10323-79-2009 del Registro
de esta Administración Federal, y |
CONSIDERANDO: |
Que
la Ley Nº
25.506 reconoce la eficacia jurídica del empleo de la firma electrónica y de
la firma digital, estableciendo las características de su infraestructura en
la República Argentina. |
Que
mediante
la Resolución
Nº 88 del 17 de diciembre de 2008,
la Secretaría de
Gabinete y Gestión Pública de
la
Jefatura de Gabinete de Ministros aprobó
la Política de
Certificación para
la Autoridad Certificante de
la
Administración Federal de Ingresos Públicos y otorgó al
Organismo la respectiva licencia para operar como Certificador Licenciado. |
Que
conforme lo establece
la Decisión Administrativa Nº 6 del 7 de febrero
de 2007, es obligación de este Organismo— como Certificador Licenciado—
implementar procedimientos que garanticen la confiabilidad de su plataforma
tecnológica. |
Que
de acuerdo con la política de certificación de
la Autoridad Certificante de
la Administración Federal
de Ingresos Públicos, a los fines de la obtención de los "Certificados
Digitales" Clase 4 deberán utilizarse dispositivos criptográficos que
cuenten con certificación FIPS 140 (Versión 1 ó 2) Nivel 2 para la generación
y almacenamiento de las claves criptográficas. |
Que
en consecuencia, resulta necesario disponer el procedimiento relacionado con
la homologación por parte de este Organismo de los diferentes dispositivos
criptográficos que pueden utilizarse, así como crear un registro de empresas
proveedoras autorizadas a su comercialización. |
Que
han tomado la intervención que les compete
la Dirección de
Legislación, las Subdirecciones Generales de Asuntos Jurídicos, de Sistemas y
Telecomunicaciones, de Recaudación, de Fiscalización y de Servicios al
Contribuyente y
la
Dirección General Impositiva. |
Que
la presente se dicta en ejercicio de las facultades conferidas por el
Artículo 7º del Decreto Nº 618 del 10 de julio de 1997, sus modificatorios y
sus complementarios. |
Por ello, |
EL ADMINISTRADOR FEDERAL DE
LA ADMINISTRACION FEDERAL
DE INGRESOS PUBLICOS RESUELVE: |
Artículo
1º — Créase el "REGISTRO DE EMPRESAS PROVEEDORAS DE DISPOSITIVOS
CRIPTOGRAFICOS HOMOLOGADOS", en el marco de
la Ley Nº 25.506 y sus normas
complementarias, denominado en adelante el "Registro". |
Art.
2º — Los sujetos interesados en constituirse en proveedores autorizados para
la comercialización de dispositivos criptográficos homologados, a los fines
de su inclusión en el "Registro" deberán solicitar la respectiva
homologación, en
la
Subdirección General de Sistemas y Telecomunicaciones, sita
en
la Avenida Paseo
Colón Nº 635 de
la
Ciudad Autónoma de Buenos Aires, mediante la presentación
de una nota, por duplicado —con arreglo a lo previsto por
la Resolución General
Nº 1128—, en la que se detallarán —como mínimo— los siguientes datos: |
a)
Denominación o razón social. |
b)
Clave Unica de Identificación Tributaria (C.U.I.T.). |
c)
Domicilio fiscal. |
d)
Descripción técnica de los dispositivos que solicita homologar y de los
requisitos que reúne la presentante, de acuerdo con
lo indicado en el Anexo I de la presente. |
Dicha
nota deberá ser suscripta por el presidente, gerente u otra persona
debidamente autorizada y consignar, antes de la firma, la fórmula establecida
por el Artículo 28, "in fine" del Decreto Nº 1397/79, reglamentario
de
la Ley Nº 11.683, texto ordenado en 1998 y sus modificaciones. |
Art.
3º — A los fines de homologar cada tipo de dispositivo criptográfico y/o lote
de un mismo tipo, modelo y versión, se considerarán los parámetros que se
encuentran detallados en el Anexo II de esta resolución general. |
Art.
4º — La empresa proveedora será autorizada a comercializar cada tipo de
dispositivo criptográfico homologado y/o lote mediante el dictado de una
resolución general en la que se indicará la marca, modelo y versión de
"software", "firmware" y
"hardware" de aquéllos. |
Art.
5º — La nómina de las empresas proveedoras autorizadas se encontrará
disponible en el sitio "web"
institucional (http://www.afip.gob.ar). |
Asimismo,
serán publicados otros datos (vgr. el lugar de
presentación de la documentación, períodos de prueba, fechas de evaluación,
etc.). |
Art.
6º — Los proveedores que comercialicen los dispositivos criptográficos, en
caso de incumplimiento de las obligaciones impuestas, serán pasibles de las
sanciones que correspondan. |
Art.
7º — La autorización a que se refiere el Artículo 4º tendrá una validez de
DIEZ (10) años contados a partir del día de la publicación de la respectiva
resolución general en el Boletín Oficial. |
En
consecuencia, a los fines de permanecer en el "Registro" la empresa
habilitada deberá solicitar, por cada proceso de homologación, la renovación
del mismo antes de la finalización del plazo fijado en el párrafo anterior. |
Art.
8º —
La
Subdirección General de Sistemas y Telecomunicaciones
modificará y/o actualizará los procedimientos y protocolos relacionados con
la homologación de los dispositivos criptográficos a que se refiere la
presente resolución general, la documentación exigible a los interesados en
constituirse en proveedores autorizados para la comercialización de los
dispositivos criptográficos, los manuales técnicos y demás aspectos previstos
en los Anexos I y II —que se encuentran disponibles en el sitio "web" institucional—. |
Art.
9º — Apruébanse los Anexos I y II que forman parte
de la presente. |
Art.
10. — Las disposiciones establecidas en esta resolución general resultarán de
aplicación a partir del día siguiente al de su publicación en el Boletín
Oficial, inclusive. |
Art.
11. — Regístrese, publíquese, dése a
la Dirección Nacional
del Registro Oficial y archívese. — Ricardo Echegaray. |
|
ANEXO I RESOLUCION GENERAL Nº 2674 |
PROCEDIMIENTO A CUMPLIR POR LAS
EMPRESAS COMERCIALIZADORAS |
Los
sujetos interesados presentarán y/o informarán, según corresponda: |
a)
Detalle de la marca, modelo, versión de "software", de "firmware" y de "hardware", del dispositivo
criptográfico que se pretende homologar. |
b)
Los certificados que acrediten su validación FIPS 140 (versión 1 ó 2) Nivel 2
como mínimo emitida a favor del dispositivo criptográfico a que se refiere el
inciso anterior. |
c)
Manuales de uso y "drivers"
correspondientes a la marca y modelo del dispositivo criptográfico que se
pretende homologar para los distintos sistemas operativos requeridos para el
producto. |
d)
Al menos DOS (2) dispositivos del tipo de los que se solicita homologar, para
la realización de las pruebas pertinentes, junto con los ítems requeridos en
el inciso anterior y las licencias de uso correspondiente a los mismos. |
e)
Ejemplo de uso de
la API PKCS#11 para
la obtención del número de serie del dispositivo versión de "firmware", "software" y
"hardware". |
f)
El detalle de los números de serie correspondientes al lote de dispositivos
criptográficos reservados e informados por el fabricante en la nota de
autorización, incluyendo además de los números de serie, la marca, modelo,
versión de "software", de "firmware"
y de "hardware", así como el número de certificación FIPS
correspondiente. |
g)
Declaración del proveedor que posee la capacidad de brindar soporte técnico a
los usuarios de los dispositivos criptográficos comercializados por un
período no inferior a TRES (3) años. |
h)
Nota original del fabricante de los dispositivos la que, de tratarse de
persona extranjera, deberá contar con la pertinente legalización consular o,
en su caso con la apostilla, conforme a
la Convención de
La Haya, según el siguiente
texto: |
"Por
cuanto [indicar apellido y nombre completo del fabricante], en el carácter de
fabricante de los Dispositivos Criptográficos marca [indicar marca] modelo
[indicar modelo] y sus licencias de "software" correspondientes,
con domicilio en [agregar dirección completa del fabricante], por medio de la
presente informamos a Uds. Que hemos procedido a reservar inicialmente por
la Administración Federal
de Ingresos Públicos y/o los usuarios finales ante
la Administración Federal
de Ingresos Públicos, cuyos números de serie están incluidos en el siguiente
rango [ingresar el rango]. |
Asimismo,
por la presente autorizamos a [nombre de la empresa que pretende su
incorporación como proveedora], con dirección en [indicar dirección completa
de la empresa en
la
República Argentina] a comercializar en
la República Argentina
a los usuarios finales ante
la Administración Federal
de Ingresos Públicos solamente los dispositivos criptográficos Marca……
Modelo……, cuyos números de serie se encuentren comprendidos dentro del rango descripto anteriormente como lote reservado para
la Administración Federal
de Ingresos Públicos, así como a prestar los servicios de soporte técnico de
dichos dispositivos.". |
i)
El proveedor deberá informar la modalidad mediante la cual brindará soporte
técnico a los usuarios de los dispositivos criptográficos comercializados. |
j)
El proveedor deberá ser una empresa constituida en los términos de
la Ley de Sociedades
Comerciales Nº 19.550, texto ordenado en 1984 y sus modificaciones, con
domicilio legal en
la
República Argentina, y actividad comercial no inferior a
CINCO (5) años, debiéndose presentar a tal efecto copia certificada de los
estados contables de la empresa con su correspondiente inscripción en
la Inspección General
de Justicia o autoridad registral local, según
corresponda. |
ANEXO
II - RESOLUCION GENERAL Nº 2674 |
CARACTERISTICAS
DE LOS DISPOSITIVOS CRIPTOGRAFICOS A HOMOLOGAR |
1.
Satisfacer los requerimientos técnicos de
la ETAP "Elementos de Seguridad – SEG-E"
en su última versión. |
2.
Permitir la obtención del número de serie del dispositivo criptográfico
mediante
la API PKCS# 11. |
3.
Contar con certificación FIPS 140 (Versión 1 ó 2) Nivel 2 o superior que
incluya todo el conjunto de "Software", "Firmware"
y "Hardware". |
4.
Autenticación interna (on-board). |
5.
Conexión USB estándar tipo A, versión 1.1 o superior. |
6.
Soportar los siguientes estándares: PKCS#11 versión
2.01 o superior, CAPI (Microsoft Crypto API),
PC/SC. |
7.
Poseer memoria de almacenamiento de datos mínima de 32 kbytes. |
8.
Soportar las siguientes funciones criptográficas: |
8.1.
Generación de números aleatorios (RNG). |
8.2.
Almacenamiento de certificados X509v3. |
8.3.
Generación interna, operación, almacenamiento y administración de claves
criptográficas asimétricas del tipo RSA (1024 bits o superior). |
8.4.
Funciones de hash seguro del tipo SHA-1. |
8.5.
Generación interna, operación de claves criptográficas simétricas del tipo
DES y/o Triple DES. |
9.
Ser un producto vigente, con soporte técnico y no poseer fecha de
discontinuidad de fabricación al momento de efectuarse la presentación de
solicitud de homologación. |
10.
Deberá tratarse de dispositivos criptográficos del fabricante cuya marca y
modelo coincida con la marca y modelo declarada en las correspondientes
Certificaciones FIPS 140, no pudiendo ser dispositivos criptográficos del
tipo OEM (Original Equipment Manufacturer). |
11.
Brindar servicio de soporte a los usuarios poseedores de dispositivos. |
|
|