Asociación Iberoamericana de Cámaras de Comercio - AICO
 Buscar
 
 
 
AICO © Direitos reservados 800x600 | I.E. - Netscape 5+
Ir a inicioImprimir página
 
Argentina
 
 

Texto de la Resolución 212/98 SFP

CONSIDERANDO:

Que la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS es la Autoridad de Aplicación del régimen de Firma Digital aprobada por el citado Decreto y el Organismo Licenciante de las Autoridades Certificantes Licenciadas en el ámbito de la Administración pública Nacional.

Que el carácter, la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS se encuentra facultada para aprobar la Política de Certificación (Certification Policy) que establece los criterios para el licenciamiento de las Autoridades Certificantes y los requisitos y condiciones para la emisión de los certificados de clave pública utilizados en el proceso de verificación de firmas digitales en el ámbito del Sector Público Nacional.

Que dentro de los lineamientos de la Infraestructura de Firma Digital aprobados por el Decreto 427/98,m profesionales y técnicos de la Subsecretaría de tecnología Informáticas han preparado el cuerpo normativo de la aludida política, compendiada bajo el título "Politice de Certificación (Certification Policy): Criterios para el licenciamiento de las Autoridades Certificantes de la Administración Pública Nacional", y elevándolos para su aprobación e inmediata puesta en vigencia.

Por ello,

LA SECRETARIA DE LA FUNCION PUBLICA DE LA JEFATURA DE GABINETE DE MINISTROS

RESUELVE:
Art. 1º.- Apruébase la "Política de Certificación (Certification Policy): Criterios para el licenciamiento de las Autoridades certificantes de la Administración Pública Nacional", que figura en el Anexo de la Presente, reguladora de la relación entre el Organismo Licenciante y los organismos de la Administración Pública Nacional que actúen en el carácter de Autoridades Certificantes Licenciadas, y establece los requisitos y condiciones para la emisión de los certificados de clave pública utilizados en el proceso de verificación de firmas digitales en el ámbito del Sector Público Nacional.

Art. 2º.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.- Claudia Bello.

 

ANEXO

POLITICA DE CERTIFICACIÓN

1.- Ambito de aplicación.
Esta política de certificación define los términos y condiciones que rigen la relación entre la Secretaría de la Función Pública en su carácter de Organismo Licenciante y los Organismos de la Administración Pública Nacional que actúe como Autoridades Certificante Licenciadas.

En ella se especifican los requisitos a tener en cuenta para la emisión y administración de los certificados de clave pública utilizados en el proceso de verificación de firmas digitales de Autoridades Certificantes Licenciadas en el ámbito de la Administración Pública Nacional, otorgando confiabilidad a la Infraestructura de firma Digital del Sector Público Nacional en razón de que las partes involucradas puedan asegurarse de la autenticidad e integridad de los documentos digitales firmados.

 

2.- Sujetos
Esta política es aplicable por:

2.1.- La Secretaría de la Función Pública que otorga licencias habilitantes a las dependencias de la Administración Pública Nacional que actúen como Autoridades Certificantes Licenciadas y emite certificados de clave pública que permitan verificar las firmas digitales de los certificados que éstas emitan.

2.2.- La Contaduría General de la Nación que cumple con funciones de Organismo Auditante de los demás Organismos regulados por esta política.

2.3.- Las Autoridades Certificantes Licenciadas en su carácter de suscriptoras de los certificados que emita el Organismo Licenciante.

La descripción detallada de los procedimientos utilizados por el Organismo Licenciante para implementar los requerimientos de esta política se encuentra incluida en el manual de procedimientos, el cual forma parte del presente documento junto al Decreto No. 427/98

3.- Objeto
Esta política regula el empleo de la firma digital en la instrumentación de los actos internos del Sector Público Nacional que no produzcan efectos individuales en forma directa.

4.- Contactos – Sugerencias
Esta política es administrada por la Secretaría de la Función Pública.
Para consultas o sugerencia, por favor dirigirse a:

E-mail: política@spf.gov.ar carta: Roque Sáenz Peña 511 –5º Piso. Capital Federal

 

5.- Responsabilidad del Organismo Licenciante
Como Organismo Licenciante, La Secretaría de la Función Pública es responsable de todos los aspectos relativos a la emisión y administración de los certificados correspondientes a las Autoridades Certificantes Licenciadas en el ámbito de la Administración Pública Nacional, incluyendo:

  • El proceso de postulación de la Autoridad Certificante.
  • El proceso de identificación y autenticación.
  • La emisión de certificados.
  • La administración de certificados.
  • La resolución de las contingencias que eventualmente se susciten respecto a la Infraestructura de Firma Digital

5.1.- Responsabilidades asumidas por el Organismo Licenciante al emitir un certificado.
Al emitir un certificado, el Organismo Licenciante garantiza a la Autoridad Certificante Licenciada a cuyo nombre se emite:

  • Que el certificado, contiene información que el Organismo Licenciante considerada fehaciente al momento de la emisión.
  • Que el certificado satisface todos los requisitos exigidos por el Decreto No. 427/98

5.2.- Responsabilidades asumidas por el Organismo Licenciante al publicar un certificado.

Al publicar un certificado en su repositorio, el Organismo Licenciante garantiza:

  • Que la información contenida en el certificado y por él verificada es correcta.
  • Que ha cumplido con las exigencias del Decreto No. 427/98 referidas a la emisión del certificado.
  • Que el certificado contiene información suficiente y necesaria en relación a los algoritmos criptográficos empleados.
  • Que el suscriptor ha aceptado el certificado.

6.- Interpretación

La interpretación, obligatoriedad, diseño y validez de esta política se encuentran sometidos a lo establecido por el Decreto No. 427/98. Las definiciones y regulaciones indicadas en el decreto mencionado son parte de esta política.

7.- Publicación - Repositorios

La Secretaría de la Función Pública opera un repositorio en línea (on-line) que está disponible públicamente y que contiene:

  1. Certificados emitidos que hagan referencia a esta política.
  2. Listas de certificados revocados o bien información en tiempo real del estado de los certificados.
  3. El certificado de clave pública del Organismo Licenciante.
  4. Versiones anteriores y actualizadas del manual de procedimientos.
  5. Copia de esta política.
  6. Toda otra información referida a certificados que hace referencia a esta política.

El repositorio se encuentra disponible en la siguiente dirección: http://ol.pki.gov.ar

7.1.- Frecuencia de la publicación
Toda información que corresponda incluir en el repositorio debe serlo inmediatamente reconocida por el Organismo Licenciante, en un plazo no superior a las veinticuatro (24) horas.
Los certificados emitidos por el Organismo Licenciante que hacen referencia a esta política se publicarán inmediatamente de ser aceptados.
Se entiende por aceptación al retiro del certificado por la Autoridad Certificante Licenciada.

7.2.- Acceso
El repositorio se encuentra disponible para uso público durante veinticuatro (24) horas diarias trescientos sesenta y cinco (365) días del año, sujeto a un razonable calendario de mantenimiento.
El Organismo Licenciante no puede poner restricciones al acceso a esta política, as u certificado de clave pública y a versiones anteriores y actualizadas de manual de procedimientos.

7.3.- Confidecialidad
Toda información referida a Autoridades Certificantes que sea recibida por el Organismo Licenciante en los requerimientos será confidencial y no puede hacerse pública sin su consentimiento previo, salvo que sea requerida legalmente.
Lo indicado no es aplicable cuando se trate de información que se transcriba en el certificado o sea obtenida de fuentes públicas.

8.- Identificación y Autenticación
8.1.- Iniciación del trámite
Sujeto a los requerimientos indicados en este capítulo, los requerimientos recibidos por la Secretaría de la Función Pública en su carácter de Organismo Licenciante pueden ser comunicados por el solicitante:

  1. Vía e-mail o web-site
  2. Telefónicamente
  3. Por correo
  4. D. Personalmente

En todos los casos, el representante autorizado por el organismo o dependencia que solicite la correspondiente licencia, debe concurrir personalmente a fin de preceder a su identificación ( ver posible intervención de escribano para certificar identidad)

8.2.- Validación de la información presentada
Cuando el Organismo Licenciante reciba un requerimiento de parte de un organismo o dependencia, esta obligado a confirmar:

  1. Que la información contenida en el requerimiento sea correcta.
  2. Que la Organización exista y desarrolle sus funciones en el domicilio indicado en el requerimiento.
  3. Que el requerimiento sea firmado por un representante debidamente autorizado a ese fin por la máxima autoridad competente.

A fin de efectuar esta investigación, el Organismo Licenciante puede acudir a registros de reparticiones oficiales o a los medios de validación que estime más adecuados.

8.3.- Retiro y aceptación del certificado
El requerimiento por el representante autorizado del organismo o dependencia se verifica de la siguiente forma:
Si el requerimiento se recibe a través de la interfaz web utilizando SSL u otro protocolo similar, por medio de una identificación secreta ( por ejemplo: NIP number) que será comunicado al solicitante por un medio de comunicación confiable, como parte del proceso de autenticación.
En cualquier otro caso, debe acreditar que es el poseedor de la clave privada.

8.4.- Solicitudes de renovación

Dentro de los tres meses anteriores a la expiración del período operacional de un certificado emitido según los lineamentos de ésta política, una Autoridad Certificante Licenciada puede solicitar al Organismo Licenciante la emisión de un nuevo certificado original no haya sido revocado.
La solicitud puede hacerse a través de un requerimiento firmado digitalmente utilizado la clave privada del certificado original.

8.5.- Período de validez
Los certificados tienen un período de validez de tres años desde la fecha de emisión.

9.- Requisitos operativos
9.1.- Requerimiento
Todo organismo o dependencia que se postule para obtener un certificado debe completar un requerimiento el que estará sujeta a revisión y aprobación por el Organismo Licenciante. El proceso de solicitud puede ser iniciado solamente por el representante autorizado de la dependencia u organismo.

9.2 Emisión de certificado
Cumplidos lo recados del proceso de identificación y autenticación de acuerdo con esta política y una vez completada y aprobada la solicitud, el Organismo Licenciante debe emitir el correspondiente certificado, notificar al representante autorizado y poner dicho certificado a su disposición. Debe establecer un procedimiento tal que asegure que el certificado sea enviado al solicitante.

9.3.- Aceptación del certificado
Al emitir el certificado, el Organismo Licenciante debe exigir al representante de la Autoridad Certificante licenciada que expresamente indique su aceptación o rechazo, de acuerdo a lo establecido en el manual de procedimientos.

9.4.- Contenido de un certificado
Un certificado de clave pública debe contener como mínimo los siguientes datos:

a. Nombre de la Autoridad Certificante Licenciada.

  1. Clave Pública de la Autoridad Certificante Licenciada.
  2. C. Algoritmos que deben utilizarse en la clave pública en él contenida.
  3. Número de serie del certificado.
  4. Período de vigencia del certificado.
  5. Nombre del Organismo Licenciante emisor del certificado.
  6. Firma digital del Organismo Licenciante que emite el certificado identificando los algoritmos utilizados.
  7. Todo otro dato relevante para la utilización del certificado según disponga el manual de procedimientos del Organismo Licenciante.

9.5.- Condiciones de validez del certificado de clave pública
El certificado de clave pública correspondiente a una Autoridad Certificante Licenciada es válida únicamente si:

  1. Ha sido emitido por el Organismo Licenciante.
  2. No ha sido revocado.
  3. No ha expirado su período de vigencia.

9.6.- Revocación de certificados
9.6.1 Clases de revocación

9.6.1.1 Revocación voluntaria:
Una Autoridad Certificante Licenciada puede solicitar la revocación de su certificado por cualquier motivo y en cualquier momento. La solicitud de revocación debe estar firmada por el representante autorizado o por la máxima autoridad competente.

9.6.1.2 Revocación obligatoria
Una Autoridad Certificante Licenciada debe solicitar la inmediata revocación de su certificado:

- Cuando se produzcan cambios en la información vía correo electrónico o interfaz web, si se encuentra firmada digitalmente con la clave privada del suscriptor o representante de la organización.

También puede solicitarse acudiendo personalmente ante el Organismo Licenciante acreditando debidamente su identificación o por cualquier otro medio que garantice fehaciente mente su identidad.

9.6.4. Actualización de repositorios
Una vez recibida la solicitud de revocación, la lista de certificados revocados o el estado de los certificados en la base de datos del Organismo Licenciante deben actualizarse de inmediato,m dentro de un plazo n superior a la veinticuatro horas recibida. Todas la solicitudes y la información acerca de los procedimientos complementados serán archivadas.

9.6.5. Emisión de listas de certificados revocados
El Organismo Licenciante debe emitir listas de certificados revocados. Debe efectuar como mínimo una actualización semanal. En caso de producirse una revocación debe, además, emitir una actualización dentro d d de las veinticuatro horas de que esta haya sido recibida o tramitada.

9.6.6. Disponibilidad de archivo de estado de certificados
De existir el servicio de consulta en línea, debe encontrase disponible y actualizado, informando en forma permanente sobre el estado de los certificados.

9.6.7. Auditoría - Procedimientos de seguridad
Todos los hechos significativos que afecten la seguridad del sistema del Organismo Licenciante deben ser grabados en archivos de auditoría (logs.) Serán conservados en el ámbito del Organismo Licenciante al menos durante un año. Posteriormente serán archivados en un lugar físico protegido durante (10) años.

9.7. Archivos
9.7.1. Información a ser archivada
El Organismo Licenciante debe conservar información acerca de:

· Solicitudes de certificados y toda información que avale el proceso de identificación.
· Certificados emitidos y listas de certificados revocados.
· Archivos de auditoría.
· Toda comunicación relevante entre el Organismo Licenciante y las Autoridades Certificantes Licenciadas.

9.7.2. Plazo de conservación
La información acerca de los certificados debe conservarse por un plazo mínimo de diez (10) años.

9.7.3. Protección de archivos
Los medios de almacenamiento de la información deben ser protegidos física y lógicamente, utilizando criptografía cuando fuera apropiado.

9.7.4. Archivos de resguardo
Es obligación del Organismo Licenciante la implementación de procedimientos para la emisión de copias de resguardo actualizadas, las cuales deben encontrase disponibles a la brevedad en caso de pérdida o destrucción de los archivos.

9.8. Planes de Emergencia
9.8.1. Plan de recuperación ante desastres
El Organismo Licenciante debe implementar un plan de recuperación ante desastres. Este debe garantizar el mantenimiento mínimo de la operatoria (recepción de solicitudes de revocación y consulta de listas de certificados revocados actualizadas) y su puesta en operaciones dentro de las cuarenta y ocho (48) horas de producirse una emergencia.

El plan debe ser conocido por todo el personal que cumpla funciones en el Organismo Licenciante y debe incluir una prueba completa de los procedimientos a utilizar en casos de emergencia, por lo menos una vez al año.

9.8.2. Plan de protección de claves
El Organismo Licenciante debe implementar un plan que determine los procedimientos a seguir cuando su clave privada se vea comprometida. Incluirá las medidas a tomar para revocar los certificados emitidos y notificar a las Autoridades Certificantes Licenciadas.

9.8.3. Cese de operaciones del Organismo Licenciante
En caso de que el Organismo Licenciante cese en sus funciones, todas las Autoridades Certificantes deben ser notificadas de inmediato. Será de aplicación lo dispuesto en 9.6.1. último párrafo.

10. Controles de Seguridad
10.1. Controles de seguridad física
10.1.1. Control de acceso
El Organismo Licenciante debe implementar controles apropiados que restrinjan el acceso a los equipos, programas y datos utilizados para proveer el servicio de certificación, solamente a personas debidamente autorizadas.Consistirán en controles electrónicos de acceso, llaves de seguridad u otros medios adecuados, debiendo verificarse su funcionamiento permanente.

10.2. Controles funcionales
10.2.1. Determinación de roles
Todo el personal que tenga acceso o control sobre operaciones criptográficas que puedan afectar la emisión, utilización o revocación de los certificados, incluyendo modificaciones en el repositorio, debe ser confiable. Incluirá, entre otros, administradores del sistema, operadores, técnicos y supervisores de las operaciones del Organismo Licenciante.

10.2.2. Separación de funciones
Con el fin de asegurar que ninguna persona pueda individualmente violar las medidas de seguridad, las funciones en el Organismo Licenciante deben separarse entre múltiples roles e individuos, llevados a cabo por distintos responsables.

10.3. Controles de seguridad personal
10.3.1. Calificación del personal
El Organismo Licenciante debe seguir una política de administración de personal que provea razonable seguridad de la confiabilidad y competencia del personal para el adecuado cumplimiento de sus funciones.

10.3.2. Antecedentes
El Organismo Licenciante debe realizar una adecuada investigación sobre el personal que cumpla funciones críticas, debiendo verificar su confiabilidad y competencia de acuerdo a los requerimientos de esta política. Todo el personal que no cumpla las exigencias establecidas, no podrá desempeñar funciones en el Organismo Licenciante.

10.3.3. Entrenamiento
Todo el personal del Organismo Licenciante debe tener acceso a manuales que determinarán los procedimientos para la emisión, actualización y revocación de los certificados, así como aspectos funcionales del sistema informático.

10.4. Controles de seguridad técnica
10.4.1. Generación e instalación de claves
104.1.1. Generación
El par de claves de Autoridad Certificante Licenciada debe ser generado de manera tal que la clave privada sólo sea conocida por el agente autorizado para actuar como su representante, quien es considerado como titular del par de claves. El responsable de la Autoridad Certificante Licenciada debe generar su propio par de claves en un sistema confiable, no debe almacenarla en un medio que garantice su confiabilidad e integridad.

10.4.1.2. Envío de la clave pública

La clave pública de la Autoridad Certificante Licenciada debe ser transferida al Organismo Licenciante de manera tal que asegure que:

· No pueda ser cambiada durante la transferencia.
· El remitente posea la clave privada que corresponde a la clave pública transferida.
· El remitente de la clave pública sea el responsable de la autoridad Certificante Licenciada.

El formato del requerimiento debe ser PKCS#10.

10.4.1.3. Características crptográficas
La Secretaría de la Función Pública, en su carácter de autoridad de aplicación, define:

· Los tipos de algoritmos aceptables:

  1. RSA o DSA como algoritmo asimétrico
  2. B. MD5 o RSA o SHA-1 con RSA como algoritmo de firma para operar con el Organismo Licenciante.

· La longitud mínima de clave de la Autoridad Certificante Licenciada (2048 bits).
· La longitud mínima de clave privada del Organismo Licenciante (2048 bits, tal como se define en el estándar PKCS#1).

En caso de conocerse un mecanismo que vulnere un algoritmo de las longitudes indicadas, es obligación del Organismo Licenciante revocar todos los certificados comprometidos y notificar a las Autoridades Certificantes Licenciadas.

10.4.2. Protección de la clave privada

El Organismo Licenciante debe proteger su clave privada de acuerdo con lo previsto en esta política.

10.4.2.1. Estándares criptográficos

La generación y almacenamiento de claves y su utilización deben efectuarse utilizando un equipamiento que cumpla con los estándares aprobados por la Secretaría de la Función Pública para Administración Pública Nacional.

10.4.2.2. Copias de resguardo
El Organismo Licenciante puede optar por efectuar un back-up de su clave privada.
También puede archivarla, siempre que se asegure:

· Un adecuado control de acceso al medio de almacenamiento.
· Que los responsables del uso de la clave privada sean notificados de cualquier intento de acceso no autorizado a la mencionada copia.

10.4.2.3. Destrucción de la clave privada
Si por cualquier motivo deja de utilizarse la clave privada del Organismo Licenciante para crear firmas digitales, todas las copias de la misma deben ser destruidas.

10.4.3. Otros aspectos del manejo de claves
10.4.3.1. Reemplazo de claves
El par de claves del Organismo Licenciante debe ser reemplazado cuando hayan sido vulneradas o exista presunción en tal sentido.

10.4.3.2. Restricciones al uso de claves privadas
La clave privada del Organismo Licenciante empleada para emitir certificados según los lineamientos de esta política debe utilizarse sólo para firmar certificados a Autoridades Certificantes Licenciadas y, opcionalmente, para firmar listas de certificados revocados.

10.4.4. Controles de seguridad del computador
Todos del servidores del Organismo Licenciante deben incluir controles propios del sistema operativo.

10.4.5. Controles de seguridad de conectividad de red
Los servicios que provee el Organismo Licenciante y que deben estar conectados a una red de comunicación pública deben ser protegidos por la tecnología apropiada que garantice que dicho servicio es seguro y que no es posible acceder a ningún servicio sin la debida autorización.

11. Certificados y listas de certificados revocados características
Todos los certificados que hacen referencia a esta política se emitirán en formato X509 versión 3 o superior e incluirán una referencia que identifique la política aplicable. Las listas de certificados revocados serán emitidas en formato X509 versión 2.

12. Administración de esta política
12.1. Cambios de política
12.1.1. Listado de propuestas
Todos los cambios propuestos a esta política que se encuentren a consideración del Organismo Licenciante y que puedan afectar a las Autoridades Certificantes Licenciadas, serán publicadas y puestos en conocimiento de éstas.

12.1.2. Período de prueba
Las Autoridades Certificantes Licenciadas pueden enviar comentarios acerca de los cambios en la política que se encuentren a consideración del Organismo Licenciante dentro de los cuarenta y cinco (45) días de que éstos les fueran notificados como consecuencia de estos comentarios, esta situación les será comunicada a las Autoridades Certificantes Licenciadas.

12.2. Publicación y notificación
Una copia de esta política de certificaciones se encuentra disponible en la interfaz web del Organismo Licenciante en la siguiente dirección: http://ol.pki.gov.ar/policy/actual.html

El Organismo Licenciante debe mantener copias de acceso público de esta política.

Versiones anteriores de esta política se encuentran disponibles en la siguiente dirección: http:/ol.pki.gov.ar/policy
  Entrar     Declaración de Privacidad      
  Copyright - (c) 2010 AICO