Resolución 184/2012

Texto Original

JEFATURA DE GABINETE DE MINISTROS

SECRETARIA DE GABINETE Y COORDINACION ADMINISTRATIVA

Resolución Nº 184/2012

Bs. As., 28/6/2012

VISTO el Expediente Nº 0039448/2011 del registro de la JEFATURA DEGABINETE DE MINISTROS, la Ley Nº 25.506, los Decretos Nº 2628 del 19 dediciembre de 2002 y Nº 22 del 10 de diciembre de 2011, la DecisiónAdministrativa Nº 6 del 7 de febrero de 2007 y la Resolución Nº 63 del13 de noviembre de 2007 de la ex SUBSECRETARIA DE LA GESTION PUBLICA, y

CONSIDERANDO:

Que la Ley Nº 25.506 de Firma Digital reconoce la eficacia jurídica deldocumento electrónico, la firma electrónica y la firma digital,estableciendo las características de la Infraestructura de FirmaDigital de la República Argentina.

Que el inciso h) del artículo 30 de la mencionada Ley asigna a laAutoridad de Aplicación la función de otorgar o revocar las licencias alos certificadores y supervisar su actividad, según las exigenciasinstituidas por la reglamentación.

Que el artículo 24 del Decreto Nº 2628/02, reglamentario de la Ley Nº25.506, establece el procedimiento que los certificadores debenobservar para la obtención de una licencia y detalla la documentaciónexigida para el cumplimiento de las condiciones estipuladas en la LeyNº 25.506, su decreto reglamentario y normas complementarias.

Que la Decisión Administrativa Nº 6/07 establece las pautas técnicascomplementarias del marco normativo de firma digital, aplicables alotorgamiento y revocación de licencias a los certificadores que así losoliciten, y dispone en su artículo 12 que la documentación exigidadurante el proceso de licenciamiento conforme lo determinado en suAnexo I “Requisitos para el licenciamiento de certificadores”, seráconsiderada confidencial.

Que el citado artículo 12 establece la obligación del ente licenciantede resguardar la información confidencial obrante en las actuaciones delicenciamiento, disponiendo que el ente licenciante sólo procederá a suutilización a los fines de evaluar la aptitud del certificador paracumplir con sus funciones y obligaciones, inherentes al licenciamiento,absteniéndose de proceder a revelarla, utilizarla para otros fines obien divulgarla a terceros aún después de haber finalizado el procesode licenciamiento, salvo respecto de aquella información que lanormativa vigente establezca como pública.

Que conforme lo previsto en el artículo 38 del Decreto Nº 1759/72,Reglamentario de la Ley Nacional de Procedimientos Administrativos, elcarácter reservado o secreto de la documentación contenida en unaactuación debe ser declarado tal por decisión fundada y conintervención previa del servicio jurídico correspondiente.

Que, en consecuencia, y no obstante el carácter confidencialestablecido en la normativa reglamentaria, deviene necesario declararla reserva de la documentación considerada no pública obrante en elExpediente citado en el Visto, dado que la misma contiene informacióncrítica relacionada al funcionamiento y continuidad de las operacionesde la Autoridad Certificante de ENCODESIN de ENCODE S.A.

Que la Resolución de la ex SSGP Nº 63/07 que aprueba la “Política deCertificación de la Autoridad Certificante Raíz de la Infraestructurade Firma Digital de la República Argentina”, rige la emisión decertificados a los certificadores que hayan sido licenciados por laAutoridad de Aplicación y reconoce a la OFICINA NACIONAL DE TECNOLOGIASDE INFORMACION la facultad de asignar el número de identificador deobjeto —OID— a la política de certificación licenciada, de acuerdo conlo previsto en el inciso 1.2 de la introducción del Anexo de lamencionada Resolución.

Que el Decreto Nº 22/2011 en el punto XI de la planilla Anexa alartículo 2 faculta a la SECRETARIA DE GABINETE Y COORDINACIONADMINISTRATIVA a entender en el régimen normativo de la Infraestructurade Firma Digital establecido por la Ley 25.506, y en las funciones deente licenciante y supervisor de certificadores.

Que se ha realizado la Auditoría establecida en el marco normativo de aplicación.

Que en virtud de las constancias obrantes en el expediente, se hanacreditado las condiciones requeridas en la normativa para ellicenciamiento de la “Política de Certificación para Personas Físicas yJurídicas de ENCODE S.A.”.

Que la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION de laSUBSECRETARIA DE TECNOLOGIAS DE GESTION de la SECRETARIA DE GABINETE dela JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que lecompete.

Que ha tomado intervención la DIRECCION GENERAL DE ASUNTOS JURIDICOS dela SECRETARIA DE GABINETE Y COORDINACION ADMINISTRATIVA de la JEFATURADE GABINETE DE MINISTROS.

Que la presente medida se dicta en virtud de las facultades conferidas por el Decreto Nº 22/2011.

Por ello,

EL SECRETARIO DE GABINETE Y COORDINACION ADMINISTRATIVA DE LA JEFATURA DE GABINETE DE MINISTROSRESUELVE:

ARTICULO 1º — Apruébase la “Política de Certificación para PersonasFísicas y Jurídicas de ENCODE S.A.”, que como ANEXO forma parteintegrante de la presente.

ARTICULO 2º — Otórgase la Licencia para operar como CertificadorLicenciado a ENCODE S.A. y ordénase su inscripción en el Registro deCertificadores Licenciados.

ARTICULO 3º — Instrúyese a la OFICINA NACIONAL DE TECNOLOGIAS DEINFORMACION, conforme Resolución SSGP Nº 63/07, para que proceda en eltérmino de VEINTICUATRO (24) horas a asignar el Identificador de Objeto(OID) correspondiente a la Política de Certificación que se aprueba porla presente.

ARTICULO 4º — Instrúyese a la Autoridad Certificante Raíz de laRepública Argentina para que emita el certificado digitalcorrespondiente a la Política de Certificación aprobada por el artículo1º.

ARTICULO 5º — Difúndase la presente y su ANEXO, con el número de OIDincorporado, en el sitio de Internet de la SECRETARIA DE GABINETE YCOORDINACION ADMINISTRATIVA http://www.acraiz.gob.ar/.

ARTICULO 6º — Establécese el carácter de reservado, en los términos delartículo 12 de la Decisión Administrativa Nº 6/07, de la siguientedocumentación que obra en los presentes actuados:

“Plan de Seguridad”

“Plan de Cese de Actividades”

“Política de Seguridad de la información”

“Guía de Instalación y Funcionamiento de las ARs”

“Manual de Procedimientos de Certificación”

“Plan de Contingencia”

“Plataforma Tecnológica”

ARTICULO 7º — Comuníquese, publíquese, dése a la Dirección Nacional delRegistro Oficial y archívese. — Lic. FACUNDO P. NEJAMKIS, Secretario deGabinete y Coordinación Administrativa, Jefatura de Gabinete deMinistros.

ANEXO

ENCODE S.A.

POLITICA DE CERTIFICACION PARA PERSONAS FISICAS Y JURIDICAS DE ENCODE S.A.

POLITICA DE CERTIFICACION

VERSION 1.5

1. - INTRODUCCION

1.1. - Descripción general

El presente documento define la Política de Certificación de ENCODE S.A. para Personas Físicas y Jurídicas (en adelante “Política deCertificación”) de conformidad con la Ley Nº 25.506, su DecretoReglamentario Nº 2628/2002 y la Decisión Administrativa Nº 6/2007 de laJefatura de Gabinete de Ministros. La licencia es otorgada medianteResolución de la Secretaría de Gabinete.

En esta Política se establecen las responsabilidades de:

• ENCODE S. A. como Certificador Licenciado,

• AC ENCODESIN como Autoridad Certificante

• la Autoridad de Registro Central y las Autoridades de Registro Delegadas,

• los Solicitantes y Suscriptores de certificados digitales, y

• los Terceros Usuarios receptores de documentos firmados bajo la presente Política.

Con respecto a su alcance, esta Política de Certificación comprende laemisión de certificados digitales a personas físicas y jurídicas,autorizando el uso de los certificados emitidos de acuerdo con loestablecido en el apartado “1.3.4 – Aplicabilidad”.

1.2. - Identificación

Nombre:    Política de Certificación de ENCODE S. A. para Personas Físicas y Jurídicas

Versión:    1.5

Fecha:   

URL:    http://www.encodeac.com.ar/firma-digital/encodesin.pdf

OID:   

Lugar:    República Argentina

1.3. - Participantes y aplicabilidad

1.3.1. - Certificador

ENCODE S.A. en su calidad de Certificador Licenciado, con licenciaotorgada por Resolución de la Secretaría de Gabinete en su carácter deAutoridad de Aplicación de la Infraestructura de Firma Digital de laRepública Argentina (IFDRA), presta los servicios de certificacióndigital según lo establecido por la Ley 25.506 y sus normascomplementarias.

A los fines de desarrollar las referidas tareas se constituye laAutoridad Certificante ENCODESIN de ENCODE S.A. para Personas Físicas yJurídicas, en adelante “Autoridad Certificante” o “AC ENCODESIN”.

1.3.2. - Autoridad de Registro

Las tareas relacionadas con la identificación y autenticación de lossolicitantes y suscriptores, la verificación y guarda de ladocumentación probatoria son realizadas por las Autoridades deRegistro. Existe una Autoridad de Registro Central, operada por ENCODES.A., en todo el territorio argentino y Autoridades de RegistroDelegadas, las que son operadas por Organizaciones que, a dichosefectos, hayan convenido con ENCODE S.A. Estas autoridades de registrodelegadas están bajo el control y supervisión de la Autoridad deRegistro Central de ENCODE S.A.

Las Autoridades de Registro habilitadas se publicarán en el sitio:

http://www.encodeac.com.ar/autoridades-de-registro.html

La información relacionada con las Organizaciones que adopten lautilización de certificados digitales emitidos por la AC de ENCODES.A., en los términos de esta Política de Certificación, se publicaráen el sitio:

• http://www.encodeac.com.ar/firma-digital/organizaciones.html

1.3.3. - Suscriptores de certificados

Según los términos de la presente Política de Certificación, podrán sersuscriptores de certificados digitales las Personas Físicas o Jurídicasde naturaleza pública o privada, sus respectivos empleados oautorizados, quienes en cumplimiento de sus obligaciones laborales,deban intercambiar y/o presentar ante quien corresponda, documentaciónexigida por la normativa vigente, por medio de aplicaciones, registros,procedimientos y trámites que soporten la utilización de loscertificados emitidos por la AC ENCODESIN de ENCODE S.A. conforme almarco normativo especificado en 1.3.4 - Aplicabilidad.

Los certificados digitales emitidos bajo la presente política sonexpedidos a favor de personas físicas y de personas jurídicas públicaso privadas a título oneroso, aplicándose aranceles diferencialesconforme al tipo de certificado que se expida.

Existen varias clases para cada tipo de certificado según las condiciones del Suscriptor.

Certificados de clase A para persona física, empleador

Son aquellos emitidos a favor de un empleador persona física que suministran confianza respecto de la identidad del suscriptor.

Certificado de clase A para persona jurídica, empleador

Son emitidos a favor de una persona jurídica pública o privadaempleador solicitados por su representante legal debidamente autorizadoo bien por su apoderado autorizado con poder general amplio o especialal efecto, a los fines que se emplee el certificado en representaciónde la persona jurídica.

Certificados de clase B para persona física

Son emitidos a favor de una persona física en relación de dependenciacon el titular de un certificado de clase A, al momento de la solicituddel certificado clase B. El sistema enviará la solicitud de certificadoclase B al titular del certificado clase A relacionado, a los fines deque este último autorice la solicitud con su certificado.

Certificados de clase C para persona física

Son emitidos a favor de una persona física que no se encuentre enrelación de dependencia con el titular de un certificado de clase A,sino vinculado a este a través de un contrato de locación de serviciosprofesionales al momento de la solicitud del certificado clase C. Elsistema enviará la solicitud de certificado clase C al titular delcertificado clase A relacionado, a los fines de que este últimoautorice la solicitud con su certificado.

El titular del certificado clase A relacionado con el certificado declase B o C se hará responsable a los efectos de la utilización deestos últimos, según los alcances especificados en la nota deautorización generada al momento de la solicitud del certificado claseB o C y firmada por el titular del certificado clase A, no asumiendoENCODE S.A. responsabilidad alguna a dichos fines o efectos.

Asignación de clases de certificados

La aplicación del Certificador, en base a la información confirmada porel Solicitante, determina y asigna automáticamente la clase y el tipode los certificados enunciados precedentemente una vez iniciado elproceso de solicitud de certificado digital con el siguiente criterio:

Certificado de clase A: Cuando se trate de una persona física ojurídica pública o privada empleador, al momento de suscripción delcertificado. La vigencia de este certificado será de un (1) año.

Certificado de clase B: Cuando se trate de una persona física enrelación de dependencia con el titular del certificado clase A, almomento de suscripción del certificado. La vigencia de este certificadoserá de un (1) año.

Certificado de clase C: Cuando se trate de una persona física sinrelación de dependencia con el titular del certificado clase A, sinovinculado a éste a través de un contrato de locación de serviciosprofesionales, al momento de suscripción del certificado clase C. Lavigencia de este certificado será de un (1) año.

1.3.4. - Aplicabilidad

Los certificados emitidos por la Autoridad Certificante ENCODESIN deENCODE S.A. se podrán utilizar en el marco del cumplimiento de lasobligaciones laborales descriptas en el punto 1.3.3. - Suscriptores, dela presente Política de Certificación.

Los certificados digitales emitidos en el marco de la presente Políticade Certificación podrán ser utilizados exclusivamente en lasaplicaciones que se encuentran detalladas a continuación:

a) Documentos de carácter laboral exigidos por la normativa vigentepresentada ante asociaciones sindicales, firmados digitalmente que seintercambien entre las personas físicas y/o jurídicas suscriptores decertificados y las organizaciones sindicales.

b) Documentos de carácter laboral exigidos por la normativa vigentepresentada ante distintos organismos laborales públicos con competenciaen el ámbito nacional y provincial, firmados digitalmente que seintercambien entre las personas físicas o jurídicas suscriptores decertificados y dichos organismos laborales públicos.

c) Documentos de carácter laboral exigidos por la normativa vigente,firmados digitalmente que se intercambien entre las personas físicas ojurídicas suscriptores de certificados y/o sus empleados.

d) Declaraciones juradas auto determinativas de aportes y/ocontribuciones presentadas a organizaciones sindicales, o entidadesprofesionales firmadas digitalmente por personas físicas o jurídicassuscriptores de certificados ante dichas organizaciones sindicales, oentidades profesionales.

e) Presentaciones de documentación exigidas por los convenioscolectivos de trabajo de las entidades sindicales a las que pertenecendicho convenios firmados digitalmente que se intercambien entre laspersonas físicas y/o jurídicas suscriptores de certificados y lasorganizaciones sindicales.Marco normativo aplicable a la comunidad de suscriptores y de aplicaciones:

ENCODE S.A. deja expresado que el marco de aplicación de la presentePolítica de su Autoridad Certificante ENCODESIN, definida en los puntos1.3.3. - Suscriptores de certificados y 1.3.4. - Aplicabilidad, noinvade ni interfiere el ámbito de competencia que la legislaciónvigente le otorga expresamente a la Administración Federal de IngresosPúblicos (AFIP).

El marco normativo legal vigente aplicable a la presente Política deCertificación, además de las normas específicas que regulan losservicios de Firma Digital, está conformado por:

• Ley de Convenciones Colectivas de Trabajo

• Ley de asociaciones sindicales

• Ley de aportes y contribuciones a entidades gremiales

• Ley de contrato de trabajo

• Ley de Obras sociales

• Ley sobre Recursos y procedimientos de la Seguridad Social

• Leyes de fondos provinciales, y toda otra legislación Provincial quereglamente la fiscalización control y habilitación de la documentaciónlaboral con competencia propia de cada provincia exigida por lalegislación laboral, previsional, de la seguridad social e Impositiva.

• Convenios Colectivos de Trabajo comprensivos de las distintasactividades llevadas a cabo por los suscriptores de la presentepolítica.

1.4. - Contactos

Esta Política de Certificación es administrada por ENCODE S.A.:

Contacto:    Responsable de la Autoridad de Registro Central

Domicilio:    Arturo M. Bas 34 Local PB - X5000KLB - Córdoba - Provincia de Córdoba

E-mail:    arc@encodesa.com.ar

Teléfono:    54 (351) 569-4407 ó 569-4408 y líneas rotativas

Para realizar preguntas, efectuar reclamos o enviar sugerenciasreferidos al proceso de certificación el interesado deberá dirigirse a:

Contacto:    Responsable Mesa de Ayuda

Domicilio:    Arturo M. Bas 34 Local PB - X5000KLB - Córdoba - Provincia de Córdoba

E-mail:    mda@encodesa.com.ar

Teléfono:    54 (351) 569 4407 ó 569 4408 y líneas rotativas

2. - ASPECTOS GENERALES DE LA POLITICA DE CERTIFICACION

2.1. - Obligaciones

2.1.1. - Obligaciones del Certificador

Son obligaciones de ENCODE S.A. en su carácter de Certificador Licenciado:

Ley Nº 25.506, artículo 21

ENCODE S.A. en su carácter de Certificador Licenciado cumplirá con:

a) Informar a quien solicita un certificado con carácter previo a suemisión y utilizando un medio de comunicación las condiciones precisasde utilización del certificado, sus características y efectos, laexistencia de un sistema de licenciamiento y los procedimientos, formaque garantiza su posible responsabilidad patrimonial y los efectos dela revocación de su propio certificado y de la licencia que le otorgael ente licenciante. Esa información deberá estar libremente accesibleen lenguaje fácilmente comprensible. La parte pertinente de dichainformación estará también disponible para terceros;

b) Abstenerse de generar, exigir, o por cualquier otro medio tomarconocimiento o acceder bajo ninguna circunstancia, a los datos decreación de firma digital de los titulares de certificados digitalespor él emitidos;

c) Mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación;

d) Operar utilizando un sistema técnicamente confiable de acuerdo con lo que determine la Autoridad de Aplicación;

e) Notificar al solicitante las medidas que está obligado a adoptarpara crear firmas digitales seguras y para su verificación confiable, ylas obligaciones que asumirá por el solo hecho de ser titular de uncertificado digital;

f) Recabar únicamente aquellos datos personales del titular delcertificado que sean necesarios para su emisión, quedando elsolicitante en libertad de proveer información adicional;

g) Mantener la confidencialidad de toda información que no figure en el certificado;

h) Poner a disposición del solicitante de un certificado toda la información relativa a su tramitación;

i) Mantener la documentación de respaldo de los certificados digitalesemitidos, por diez (10) años a partir de su fecha de vencimiento orevocación;

j) Incorporar en su Política de Certificación los efectos de larevocación de su propio certificado y/o de la licencia que le otorgarala Autoridad de Aplicación;

k) Publicar en Internet o en la red de acceso público de transmisión odifusión de datos que la sustituya en el futuro, en forma permanente eininterrumpida, la lista de certificados digitales revocados, laspolíticas de certificación, la información relevante de los informes dela última auditoría de que hubiera sido objeto, su manual deprocedimientos y toda información que determine la Autoridad deAplicación;

l) Publicar en el Boletín Oficial aquellos datos que la Autoridad de Aplicación determine;

m) Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas;

n) Informar en las políticas de certificación si los certificadosdigitales por él emitidos requieren la verificación de la identidad deltitular;

o) Verificar, de acuerdo con lo dispuesto en su manual deprocedimientos, toda otra información que deba ser objeto deverificación, la que debe figurar en las políticas de certificación yen los certificados digitales;

p) Solicitar inmediatamente a la Autoridad de Aplicación la revocaciónde su certificado, o informarle la revocación del mismo, cuandoexistieren indicios de que los datos de creación de firma digital queutiliza hubiesen sido comprometidos o cuando el uso de losprocedimientos de aplicación de los datos de verificación de firmadigital en él contenidos hayan dejado de ser seguros;

q) Informar inmediatamente a la Autoridad de Aplicación sobre cualquier cambio en los datos relativos a su licencia;

r) Permitir el ingreso de los funcionarios autorizados de la Autoridadde Aplicación y de los auditores a su local operativo, poner a sudisposición toda la información necesaria y proveer la asistencia delcaso;

s) Emplear personal idóneo que tenga los conocimientos específicos, laexperiencia necesaria para proveer los servicios ofrecidos y enparticular, competencia en materia de gestión, conocimientos técnicosen el ámbito de la firma digital y experiencia adecuada en losprocedimientos de seguridad pertinentes;

t) Someter a aprobación de la Autoridad de Aplicación el manual deprocedimientos, el plan de seguridad y el de cese de actividades, asícomo el detalle de los componentes técnicos a utilizar;

u) Constituir domicilio legal en la República Argentina;

v) Disponer de recursos humanos y tecnológicos suficientes para operarde acuerdo con las exigencias establecidas en la presente ley y sureglamentación;

w) Cumplir con toda otra obligación emergente de su calidad de titular de la licencia adjudicada por el ente licenciante.

Decreto Nº 2628/02, artículos 34 y 36

ENCODE S. A. en su carácter de Certificador Licenciado cumplirá con:

a) Comprobar por sí o por medio de una Autoridad de Registro que actúeen nombre y por cuenta suya, la identidad y cualquier otro dato de lossolicitantes considerado relevante para los procedimientos deverificación de identidad previos a la emisión del certificado, segúnla Política de Certificación bajo la cual se solicita.

b) Mantener a disposición permanente del público las Políticas de Certificación y el Manual de Procedimientos correspondiente.

c) Cumplir cabalmente con las políticas de certificación acordadas y con su Manual de Procedimientos.

d) Garantizar la prestación establecida según los niveles definidos enel acuerdo de servicios pactados con sus usuarios, relativo a losservicios para los cuales solicitó el licenciamiento.

e) Informar al solicitante de un certificado, en un lenguaje claro yaccesible, en idioma nacional, respecto de las características delcertificado solicitado, las limitaciones a la responsabilidad, si lashubiere, los precios de los servicios de certificación, uso,administración y otros servicios asociados, incluyendo cargosadicionales y formas de pago, los niveles de servicio a proveer, lasobligaciones que el suscriptor asume como usuario del servicio decertificación, su domicilio en la República Argentina y los medios alos que el suscriptor puede acudir para solicitar aclaraciones, darcuenta del mal funcionamiento del sistema o presentar sus reclamos.

f) Disponer de un servicio de atención a titulares y terceros, quepermita evacuar las consultas y la pronta solicitud de revocación decertificados.

g) Garantizar el acceso permanente, eficiente y gratuito de los titulares y terceros al repositorio de certificados revocados.

h) Mantener actualizados los repositorios de certificados revocados por el período establecido por la Autoridad de Aplicación.

i) Abstenerse de generar, exigir, tomar conocimiento o acceder bajo ninguna circunstancia a la clave privada del suscriptor.

j) Informar a la Autoridad de Aplicación de modo inmediato laocurrencia de cualquier evento que comprometa la correcta prestacióndel servicio.

k) Respetar el derecho del titular del certificado a no recibirpublicidad de ningún tipo por su intermedio, salvo consentimientoexpreso de éste.

l) Publicar en el Boletín Oficial durante UN (1) día, el certificado declave pública correspondiente a la política para la cual obtuvolicenciamiento;

m) Cumplir las normas y recaudos establecidos para la protección de datos personales.

n) Revocar los certificados digitales por él emitidos en los casosenumerados en el punto e) del artículo 19 de la Ley Nº 25.506.

En caso de ocurrir el supuesto enumerado en el punto 3 del inciso e)del artículo 19 se deberá sustituir en forma gratuita aquel certificadoque ha dejado de ser seguro por otro que sí cumpla con ese requisito.

La Autoridad de Aplicación deberá establecer el proceso de reemplazo decertificados en estos casos. En los casos en los que un certificadohaya dejado de ser seguro por razones atribuibles a su titular, elcertificador licenciado no estará obligado a sustituir el certificado.

o) Enviar periódicamente a la Autoridad de Aplicación, informes de estado de operaciones con carácter de declaración jurada.

p) Contar con personal idóneo y confiable, con antecedentes profesionales acordes a la función desempeñada.

q) Responder a los pedidos de informes por parte de un tercero respectode la validez y alcance de un certificado por él emitido.

r) Ser responsable, con los alcances establecidos en la Ley Nº 25.506,aún en el caso de que delegue parte de su operatoria en Autoridades deRegistro, sin perjuicio del derecho del certificador de reclamar a lasAutoridades de Registro las indemnizaciones por los daños y perjuiciosque aquél sufriera como consecuencia de los actos y/u omisiones deéstas.

Obligaciones adicionales y aclaraciones

ENCODE S.A. en su carácter de Certificador Licenciado cumplirá también con:

a) Notificar a sus suscriptores sobre cualquier acontecimiento quepudiera ocasionar el compromiso de su clave privada y la generación deun nuevo par de claves.

b) Notificar a sus suscriptores y a la Autoridad de Aplicación acerca del cese de sus actividades.

c) Emitir y distribuir los certificados a sus suscriptores, informándolos acerca de dicha emisión.

d) Cumplir con todas y cada una de las obligaciones establecidas en la Decisión Administrativa Nº 6/2007 y sus Anexos.

e) Cumplir con todas las medidas de seguridad establecidas en su Política de Seguridad.

f) Sustituir en forma gratuita los certificados de suscriptores quehubieran sido revocados por haberse determinado que los procedimientosde emisión y/o verificación han dejado de ser seguros, de acuerdo conlo previsto en la Ley 25.506, artículo 19, inciso e), apartado 3.

En esos casos el suscriptor deberá solicitar el reemplazo de sucertificado digital de acuerdo con el procedimiento que determineENCODE S.A.

Si un certificado digital hubiera dejado de ser seguro por razonesatribuibles a su titular, ENCODE S.A. no estará obligada a entregar unnuevo certificado digital.

2.1.2. - Obligaciones de la Autoridad de Registro

Son obligaciones de la Autoridad de Registro:

Decreto Nº 2628/02, artículos 35

Las Autoridades de Registro cumplirán con:

a) La recepción de las solicitudes de emisión de certificados.

b) La validación de la identidad y autenticación de los datos de los titulares de certificados.

c) La validación de otros datos de los titulares de certificados que sepresenten ante ellas, cuya verificación delegue ENCODE S.A.

d) La remisión de las solicitudes aprobadas a la Autoridad Certificante ENCODESIN.

e) La recepción y validación de las solicitudes de revocación decertificados; y su direccionamiento a la Autoridad CertificanteENCODESIN.

f) La identificación y autenticación de los solicitantes de revocación de certificados.

g) El archivo y la conservación de toda la documentación de respaldodel proceso de validación de identidad, de acuerdo con losprocedimientos establecidos por ENCODE S.A.

h) El cumplimiento de las normas y recaudos establecidos para la protección de datos personales.

i) El cumplimiento de las disposiciones que establece esta Política deCertificación y su Manual de Procedimientos, en la parte que resulteaplicable.

Obligaciones adicionales y aclaraciones

Las Autoridades de Registro cumplirán también con:

a) Las normas y recaudos establecidos para la protección de clavesprivadas y de seguridad física y lógica, entre los que se incluye laprotección de sus propias claves privadas.

b) Todas las medidas de seguridad establecidas por ENCODE S.A. en eldocumento titulado “Guía de instalación y funcionamiento de lasAutoridades de Registro”.

2.1.3. - Obligaciones de los Suscriptores de los certificados

Son obligaciones de los suscriptores de certificados cumplir con:

Ley Nº 25.506, artículo 25

Los Suscriptores de certificados deberán:

a) Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación;

b) Utilizar un dispositivo de creación de firma digital técnicamente confiable;

c) Solicitar la revocación de su certificado al Certificador LicenciadoENCODE S.A., ante cualquier circunstancia que pueda haber comprometidola privacidad de sus datos de creación de firma;

d) Informar sin demora al certificador licenciado ENCODE S.A., elcambio de alguno de los datos contenidos en el certificado,oportunamente suministrados por el suscriptor, y que hubiera sidoobjeto de verificación.

Obligaciones adicionales

Los Suscriptores de certificados deberán también:

a) Proveer de modo completo y preciso toda la información necesaria para la emisión del certificado.

b) Utilizar sus certificados de forma adecuada, conforme a lo previsto en esta Política de Certificación.

c) Tomar conocimiento de los derechos y obligaciones que se establecenen esta Política de Certificación, en el Manual de Procedimientos deCertificación (en sus aspectos no confidenciales), en el Acuerdo conSuscriptores y en todo documento aplicable.

d) Solicitar la revocación de su certificado en caso de ocurrir algúncambio que lo excluya de la aplicación de la presente política.

2.1.4. - Obligaciones de los terceros usuarios

Decisión Administrativa Nº 06/2007 de la Jefatura de Gabinete de Ministros, Anexo II

Los terceros usuarios de certificados están obligados a:

a) Conocer los alcances de la Política de Certificación conforme los “Términos y condiciones con terceros usuarios”.

b) Rechazar la utilización del certificado para fines distintos a los previstos en la Política de Certificación.

c) Verificar la validez del certificado.

Obligaciones adicionales

Los terceros usuarios de certificados están obligados también a:

Tomar conocimiento de los términos y condiciones aplicables a losterceros usuarios de los certificados digitales emitidos bajo estapolítica, publicados en:

• http://www.encodeac.com.ar/firma-digital

2.1.5. - Obligaciones del servicio de repositorio

Son obligaciones del servicio de publicación y repositorio de ENCODE S. A. cumplir con:

Ley Nº 25.506, artículo 21, inc. k)

ENCODE S. A. en su carácter de Certificador Licenciado cumplirá con:

Publicar en Internet o en la red de acceso público de transmisión odifusión de datos que la sustituya en el futuro, en forma permanente eininterrumpida, la lista de certificados digitales revocados, laPolítica de Certificación, la información relevante de los informes dela última auditoría de que hubiera sido objeto, su manual deprocedimientos y toda información que determine la Autoridad deAplicación.

Decreto Nº 2628/02, artículo 34, incisos g), h) y m)

ENCODE S. A. en su carácter de Certificador Licenciado cumplirá con:

a) Garantizar el acceso permanente, eficiente y gratuito de los titulares y terceros al repositorio de certificados revocados.

b) Mantener actualizados los repositorios de certificados revocados por el período establecido por la Autoridad de Aplicación.

c) Cumplir las normas y recaudos establecidos para la protección de datos personales.

Obligaciones adicionales

Disponer y dedicar los recursos necesarios para garantizar la seguridadde los datos almacenados, desde el punto de vista técnico y legal.

2.2. - Responsabilidades

En un todo de acuerdo con la Ley Nº 25.506 de Firma Digital, Capítulo IX, existirán dos supuestos de responsabilidad civil.

2.2.1. - Responsabilidades del Certificador y el Suscriptor

Existen responsabilidades mutuas entre el certificador licenciado que emite un certificado y el titular de dicho certificado.

Sin perjuicio de las previsiones de la arriba citada ley, y demáslegislación vigente, la relación entre ENCODE S.A. y el titular de uncertificado se regirá por el acuerdo que se celebre entre ellos,conforme al artículo 37 de la ley 25.506. El modelo de acuerdo estáidentificado como Acuerdo con Suscriptores y se puede consultar, aligual que otra información disponible, en el sitio web de ENCODE S. A.identificado como:

• http://www.encodeac.com.ar/firma-digital

2.2.2. - Responsabilidades del Certificador ante Terceros usuarios

El Certificador que emita un certificado digital, o lo reconozca en lostérminos del artículo 16 de la Ley 25.506, es responsable de los dañosy perjuicios que provoque, por los incumplimientos a las previsiones dela ley, por los errores u omisiones que presenten los certificadosdigitales que expida, por no revocarlos en legal tiempo y forma cuandoasí correspondiere y por las consecuencias imputables a lainobservancia de procedimientos de certificación exigibles.Corresponderá al prestador del servicio demostrar que actuó con ladebida diligencia.

2.2.3. - Limitaciones de la Responsabilidad

Los Certificadores licenciados no son responsables en los siguientes casos determinados en el artículo 39 de la Ley 25.506:

• Por los casos que se excluyan taxativamente en las condiciones deemisión y utilización de sus certificados y que no estén expresamenteprevistas en la ley;

• Por los daños y perjuicios que resulten del uso no autorizado de uncertificado digital, si en las correspondientes condiciones de emisióny utilización de sus certificados constan las restricciones de suutilización;

• Por eventuales inexactitudes en el certificado que resulten de lainformación facilitada por el titular que, según lo dispuesto en lasnormas y en los manuales de procedimientos respectivos, deba ser objetode verificación, siempre que el certificador pueda demostrar que hatomado todas las medidas razonables.

2.3. - Responsabilidad Financiera

2.3.1. - Responsabilidad financiera del Certificador

ENCODE S. A. será responsable por los daños y perjuicios que provoque,por los incumplimientos a las previsiones de esta Política deCertificación, por los errores u omisiones que presenten loscertificados digitales que expide, por no revocarlos, en legal tiempo yforma cuando así correspondiere y por las consecuencias imputables a lainobservancia de procedimientos de certificación exigibles.Corresponderá a ENCODE S. A. demostrar que actuó con la debidadiligencia.

Las responsabilidades financieras se originan en la Ley Nº 25.506 y loestablecido por ENCODE S.A. a los efectos de esta Política deCertificación. La parte pertinente de esa norma es transcripta acontinuación.

Obligaciones impuestas por la Ley Nº 25.506, artículo 38

El certificador que emita un certificado digital o lo reconozca en lostérminos del artículo 16 de la presente ley, es responsable por losdaños y perjuicios que provoque, por los incumplimientos a lasprevisiones de ésta, por los errores u omisiones que presenten loscertificados digitales que expida, por no revocarlos, en legal tiempo yforma cuando así correspondiere y por las consecuencias imputables a lainobservancia de procedimientos de certificación exigibles.Corresponderá al prestador del servicio demostrar que actuó con ladebida diligencia.

Los certificadores no son responsables en los supuestos del artículo 39 de la Ley 25.506.

2.4. - Interpretación y aplicación de las normas

2.4.1. - Legislación aplicable

El bloque normativo aplicable a la presente Política de Certificación está constituido por:

• Ley Nº 25.506 de Firma digital y su Decreto Reglamentario Nº 2628/2002

• Decisión Administrativa Nº 6/2007 de la Jefatura de Gabinete deMinistros y el Decreto Nº 724/06 modificatorio de la reglamentación dela Ley Nº 25.506.

• Ley Nº 25.326 de Protección de Datos Personales;

• Decreto Nº 901/09 que asigna a la Secretaría de Gabinete el carácterde Autoridad de Aplicación del régimen normativo de firma digital.

Supletoriamente se aplicarán el Código Civil y otras normas concordantes dictadas por la autoridad competente.

2.4.2. - Forma de interpretación y aplicación

A los fines de la interpretación y aplicación de la presente Políticade Certificación se debe tener en cuenta la normativa que la rige,según el punto anterior.

En caso de reclamos de los usuarios o suscriptores de certificadosdigitales relacionados con la prestación de servicios de ENCODE S.A.,el suscriptor o tercero deberá realizar el correspondiente reclamo enforma fehaciente ante ENCODE y, en caso de haber resultado infructuoso,podrá efectuar una denuncia ante la Autoridad de Aplicación, sinperjuicio de dejar a salvo los derechos de las partes en conflicto derecurrir a la vía judicial cuando así lo creyeren conveniente.

2.4.3. - Procedimientos de resolución de conflictos

En caso de surgir cualquier discrepancia o conflicto interpretativo ode cualquier índole entre las partes, se deberá realizar un reclamo porescrito dirigido a ENCODE S.A., en su condición de CertificadorLicenciado.

ENCODE S.A. intentará resolverlos mediante el siguiente procedimiento administrativo a su cargo:

a) Una vez recibida la descripción del conflicto y constatada ladivergencia, labrará un acta que deje expresa constancia de los hechosque la motivan y de todos y cada uno de los antecedentes que le sirvande causa.

b) Dará traslado del acta, mediante notificación fehaciente, a laspartes involucradas: Autoridad de Registro delegada (si la hubiera) y/oSuscriptor y/o Tercero usuario. Estas partes dispondrán de un plazo dediez (10) días corridos para ofrecer y producir la prueba que haga a sudefensa y aleguen sobre el mérito de la misma.

c) Finalmente, ENCODE S.A. resolverá en un plazo de diez (10) díascorridos lo que estime corresponder, conforme a criterios de máximarazonabilidad, equidad y pleno ajuste a la normativa vigente yaplicable en la especie.

Las partes involucradas en el conflicto podrán recurrir ante laAutoridad de Aplicación, previo agotamiento del procedimientoadministrativo recién descripto y sin perjuicio de su derecho de acudirdirectamente a la vía judicial correspondiente.

Los registros electrónicos almacenados bajo condiciones de seguridadrazonables y grabados sistemáticamente en un medio permanente einalterable constituyen plena evidencia del cumplimiento de lasobligaciones del certificador y de sus Autoridades de Registros, comoasí también de las comunicaciones, contratos y pagos hechos entre laspartes.

2.5. - Aranceles

Los certificados digitales emitidos bajo la presente política sonexpedidos a favor de personas físicas y de personas jurídicas a títulooneroso, aplicándose aranceles diferenciales asociados conforme a laclase de certificado:

Los aranceles serán publicados en el sitio web ENCODE S.A. al que se accede mediante:

• http://www.encodeac.com.ar/firma-digital/aranceles.html

El solicitante/suscriptor del certificado deberá pagar el arancel de sucertificado. Con el comprobante para el pago emitido a ese efecto,podrá abonar en la Autoridad de Registro Central o en los medios depago que se indican en la siguiente dirección:

• http://www.encodeac.com.ar/firma-digital/medio de pago.html

2.6. - Publicación y Repositorios de Certificados y Listas de Certificados Revocados (CRLs)

2.6.1. - Publicación de información del certificador

La publicación de información del Certificador licenciado ENCODE S.A.se realiza en sus servidores, y se puede encontrar en el sitio webidentificado como:

• http://www.encodeac.com.ar/firma-digital

Se mantiene el repositorio en línea accesible durante las 24hs, los 7días de la semana, donde se publican las versiones vigentes de lossiguientes documentos:

a) Política de Certificación de ENCODE S.A. para personas físicas yjurídicas. En caso de existir, se publicarán las versiones anteriores.

b) Manual de Procedimientos de Certificación en su parte pública. En caso de existir, se publicarán las versiones anteriores.

c) Acuerdo con Suscriptores

d) Política de Privacidad

e) Términos y condiciones con Terceros Usuarios

f) Certificado de la “Autoridad Certificante Raíz de la República Argentina” (ACR RA)

g) Certificado de la “Autoridad Certificante ENCODESIN”

h) Lista de Certificados Revocados (CRL) de la “Autoridad Certificante ENCODESIN”.

i) Información relevante de los informes de la última auditoría realizada por la Autoridad de Aplicación.

No se publicará la Lista de Certificados Emitidos.

2.6.2. - Frecuencia de publicación

Cuando se produzca una actualización de los documentos relacionados conel marco legal u operativo del Certificador, la nueva versión de losdocumentos mencionados en el punto 2.6.1. - Publicación de Informacióndel Certificador, se publicará dentro de las veinticuatro (24) horascontadas a partir de su aprobación por la Autoridad de Aplicación.

Salvo comunicación en contrario, los certificados ya emitidoscontinuarán rigiéndose por los documentos vigentes al tiempo de suemisión. Si el cambio resultare de naturaleza tal que torne inviable lacontinuidad del uso de esos certificados, ENCODE S.A. lo comunicará atodos sus suscriptores quienes tendrán la opción de aceptar elreemplazo de su certificado por el tiempo remanente de su vigencia, sinpago de un nuevo arancel, o pedir la revocación de su certificado.

Además, toda vez que se produzca una revocación, la AutoridadCertificante ENCODESIN emitirá una lista de certificados revocadosactualizada en un plazo máximo de veinticuatro (24) horas de aceptadoel requerimiento de revocación. Dicha lista indica claramente la fechay hora de la última actualización.

2.6.3. - Controles de acceso a la información

ENCODE S.A. garantiza el acceso permanente, irrestricto y gratuito a lainformación publicada en su repositorio. No se establecen restriccionesal acceso a los sitios de publicación de documentación citada en elpunto 2.6.1.

2.6.4. - Repositorios de certificados y listas de revocación

Los repositorios de información y la publicación de la Lista deCertificados Revocados son administrados en forma directa por ENCODES.A.

2.7. - Auditorías

El Ente Licenciante de la Infraestructura de Firma Digital de laRepública Argentina realiza auditorías ordinarias al Certificador, a la“Autoridad Certificante ENCODESIN” y a sus Autoridades de Registro, afin de verificar el cumplimiento de los requisitos de licenciamiento.

Esas auditorías tienen por objeto verificar el cumplimiento de losrequisitos exigidos para obtener y mantener la condición deCertificador licenciado y la aplicación de las políticas yprocedimientos aprobados por el Ente Licenciante para la presentePolítica de Certificación.

Los temas principales a evaluar en dichas auditorías son:

a) Requisitos legales generales.

b) Política de Certificación y Manual de Procedimientos de Certificación.

c) Plan de Seguridad.

d) Plan de Cese de Actividades.

e) Plan de Contingencia.

f) Plataforma Tecnológica.

g) Ciclo de vida de las claves criptográficas del certificador.

h) Ciclo de vida de los certificados de suscriptores.

i) Estructura y contenido de los certificados y CRLs.

j) Mecanismos de acceso a la documentación publicada, certificados y CRLs.

k) Guía de instalación y funcionamiento de las Autoridades de Registro.

Por su parte, ENCODE S.A. realizará auditorías periódicas a lasAutoridades de Registro habilitadas, para verificar el cumplimiento delos requisitos de su habilitación, siendo los temas principales aevaluar:

a) Lo establecido en el documento “Guía de instalación y funcionamiento de las Autoridades de Registro”.

b) Las políticas y procedimientos aprobados por el Ente Licenciante para la presente Política de Certificación.

En caso de producirse observaciones en las auditorías realizadas, luegode haber sido debidamente notificadas a ENCODE S.A., ésta tomará lasmedidas correctivas de carácter legal y técnico que amerite el caso.

En cumplimiento del artículo 21 Inciso K de la Ley Nº 25.506, lainformación relevante de los informes de la última auditoría realizadapor la Ente Licenciante, es publicada en los sitios mencionados en elapartado “2.6.1. - Publicación de información del certificador”.

Así mismo ENCODE S.A. realizará auditorías periódicas sobre losprocesos de la propia AC para verificar el permanente cumplimiento delos requisitos de su habilitación.

2.8. - Confidencialidad

Todos los datos correspondientes a las personas físicas y jurídicas alas cuales alcance esta Política de Certificación están sujetos a lasestipulaciones de la Ley Nº 25.326 de Protección de los DatosPersonales.

Como principio general, se establece que toda información remitida porel solicitante de un certificado al momento de efectuar unrequerimiento debe ser considerada confidencial y no ser divulgada aterceros sin el consentimiento previo del solicitante o suscriptor,salvo que sea requerida por juez competente o bien como parte de unproceso judicial o administrativo. La exigencia se extenderá también atoda otra información referida a los suscriptores de certificados a laque tenga acceso el Certificador o la Autoridad de Registro durante elciclo de vida del certificado.

2.8.1. - Información confidencial

La protección abarca a la siguiente información, en la medida en que no sea de conocimiento público:

• Toda la información remitida por el solicitante o suscriptor a laAutoridad de Registro, excepto los datos que figuran en el certificado.

• Cualquier información almacenada en servidores o bases de datos destinadas a firma digital.

• Cualquier información impresa o transmitida en forma verbal referidaa procedimientos, manual de procedimientos, etc., salvo aquellos que enforma expresa fueran declarados como no confidenciales.

• Cualquier información referida a planes de contingencia, controles oprocedimientos de seguridad, registros de auditoría creados y/omantenidos por ENCODE S.A.

La presente lista es de carácter ilustrativo, resultando confidencialtoda información del proceso de firma digital que expresamente noseñale lo contrario. La regla general es que toda información que nosea considerada como pública revestirá el carácter de confidencial.

Durante el ciclo de vida del certificado, tanto ENCODE S.A. como susAutoridades de Registro no podrán divulgar los datos de lossuscriptores sin su consentimiento. Asimismo, ENCODE S.A. se comprometea hacer público exclusivamente los datos del suscriptor que resultenimprescindibles para el reconocimiento de su firma digital.

Se declaran expresamente como confidenciales:

a) La clave privada de la Autoridad Certificante ENCODESIN. LaAutoridad Certificante garantiza la confidencialidad frente a tercerosde su clave privada, la cual, al ser el punto de máxima confianza serágenerada y custodiada conforme a lo que se especifica en la presentepolítica.

b) Las claves privadas de los solicitantes y suscriptores. Paragarantizar la confidencialidad de las claves de autentificación y firmade los solicitantes o suscriptores, ENCODE S.A. proporcionará losmedios para que la generación de dichas claves sólo se realice de modoseguro. Las claves serán generadas por el propio solicitante yalmacenadas en un dispositivo que será preferentemente de tipocriptográfico. A su vez, ni las Autoridades de Registro ni la AutoridadCertificante ENCODESIN tendrán la posibilidad de generar, almacenar,copiar o conservar información que permita reconstruir o activar lasclaves privadas de solicitantes y suscriptores.

2.8.2. - Información no confidencial

Se considera información pública y, por lo tanto, no confidencial y accesible por terceros a:

a) Política de Certificación de ENCODE S.A. para personas físicas y jurídicas.

b) Manual de Procedimientos de Certificación en su parte pública.

c) Acuerdo con Suscriptores.

d) Política de Privacidad.

e) Términos y condiciones con Terceros Usuarios.

f) Certificado de la Autoridad Certificante Raíz de la República Argentina (ACR RA).

g) Certificado de la Autoridad Certificante ENCODESIN.

h) Lista de Certificados Revocados (CRL) de la Autoridad Certificante ENCODESIN.

i) Información relevante de los informes de la última auditoría realizada.

2.8.3. - Publicación de información sobre la revocación o suspensión de un certificado

No serán consideradas de carácter confidencial las listas de certificados revocados.

La Ley Nº 25.506 no admite la suspensión de certificados.

2.8.4. - Divulgación de información a autoridades judiciales

ENCODE S.A. podrá revelar información confidencial o privada si esrequerida por autoridad judicial y conforme las condiciones de dichorequerimiento.

2.8.5. - Divulgación de información como parte de un proceso judicial o administrativo

ENCODE S.A. podrá revelar información confidencial si es requerida enel marco de procesos judiciales, administrativos u otros procesoslegales, tales como citaciones, interrogatorios, audiencia deposiciones o solicitud de pruebas.

2.8.6. - Divulgación de información por solicitud del suscriptor

Durante el ciclo de vida del certificado el suscriptor en su carácterde titular de datos, previa acreditación de su identidad, tendráderecho a solicitar y obtener información de sus datos personalesincluidos en la base de datos de firma digital del Certificador.

A esos efectos deberá dirigirse en forma fehaciente a la Mesa de Ayudade ENCODE S.A. donde presentará su solicitud. Dicha petición seráresuelta por la Autoridad de Registro Central dentro de los diez (10)días de haber sido recibida. Una vez substanciada la petición seránotificada por la Mesa de ayuda al interesado a los fines que puedaejercer los derechos que le correspondan. En caso que hubiere vencidoel plazo sin que el interesado hubiere recibido una respuesta a supetición, podrá iniciar la acción de hábeas data, conforme lo indica elartículo 14 de la Ley Nº 25.326 de Protección de los Datos Personales.

Se deja constancia que el Certificador cumple con su obligación deinformar a los suscriptores, en su calidad de titulares de datos que,les asiste el derecho a acceder o rectificar sus datos de carácterpersonal, conforme al artículo citado en el párrafo anterior y alartículo 7 de la Disposición DNPDP Nº 07/08, siempre que el suscriptoraporte la documentación necesaria para validar dicha petición.

2.8.7. - Otras circunstancias de divulgación de información

ENCODE S.A. no divulgará información confidencial a terceros bajoninguna otra circunstancia que las previstas en los apartadosanteriores, excepto en los casos y con el alcance previsto en elartículo 11 de la Ley Nº 25.326 de Protección de los Datos Personales -“Cesión de Datos” -.

2.9. - Derechos de Propiedad Intelectual

ENCODE S.A. es propietaria exclusiva de todos los derechos de propiedadintelectual de la presente política, acuerdos, declaraciones,procedimientos y documentos auxiliares referidos a la AutoridadCertificante ENCODESIN, así como la documentación y contenidos delsitio web de la Autoridad Certificante ENCODESIN que se encuentra en:

• http://www.encodeac.com.ar/firma-digital

Asimismo, es titular del derecho de propiedad intelectual de lasaplicaciones informáticas propias, excepto los sistemas operativos desoporte informáticos no desarrollados por Encode que cuentan con susrespectivas licencias de uso.

Encode S.A. es única y exclusiva propietaria de la presente política decertificación, y sus documentos relacionados reservándose todos losderechos de autor establecidos en la legislación vigente de derechos depropiedad intelectual.

3. - IDENTIFICACION Y AUTENTICACION

3.1. - Registro inicial

La Decisión Administrativa Nº 6/2007 de la Jefatura de Gabinete deMinistros establece el “marco normativo de firma digital aplicable alotorgamiento y revocación de las licencias a los certificadores que asílo soliciten”. ENCODE S.A. como Certificador Licenciado, se comprometea cumplir con todo lo allí indicado y particularmente con loestablecido en:

a) El artículo 21, inc. a), de la Ley Nº 25.506 y el artículo 34, inc.e), del Decreto Nº 2628/02 relativos a la información a brindar a lossolicitantes.

b) El artículo 14, inc. b), de la Ley Nº 25.506 relativo a los contenidos mínimos de los certificados.

ENCODE S.A. en su sitio web:

• http://www.encodeac.com.ar/firma-digital

Pone a disposición del Solicitante de un certificado digital, la siguiente información:

a) Las condiciones de utilización del certificado digital;

b) Las características del certificado digital solicitado, entre las cuales se incluirán:

• Identificación del suscriptor.

• Vigencia del certificado.

• Identificación de la Política de Certificación bajo la cual se emite.

• Tipo y Clase de certificado.

c) Las limitaciones a la responsabilidad;

d) Los procedimientos relacionados a las operaciones vinculadas;

e) Los efectos de la revocación de su propio certificado digital y de la licencia que le otorga la Autoridad de Aplicación;

f) Las obligaciones que el suscriptor asume como usuario del servicio de certificación;

g) Los medios a los que el suscriptor puede acudir para solicitaraclaraciones, dar cuenta de mal funcionamiento del sistema, o bienpresentar reclamos;

h) De Las Organizaciones con las cuales ENCODE S.A. ha convenido queadopten la utilización de certificados digitales emitidos por la ACEncode S.A. para sus sistemas de información lo siguiente:

• Identificación de la Organización;

• Características del convenio suscripto con dicha Organización;

• Indicación si la Organización actúa como Autoridad de Registro Delegada.

El proceso de solicitud podrá ser iniciado solamente por el Solicitanteregistrado en la Organización con la que se encuentre relacionado. Eltipo de certificado digital que requiere cada Solicitante puede ser de“Persona Física” o de “Persona Jurídica”. La generación del par declave correspondiente al certificado será implementada por software oen un dispositivo criptográfico provisto por el Solicitante, conformecon la lista de dispositivos criptográficos homologados por ENCODE S.A.publicada en:

• http://www.encodeac.com.ar/dispositivos-homologados.html

El Solicitante no registrado deberá registrarse en el portal de laOrganización con la que se encuentre vinculado y desde allí serádireccionado, seleccionando la opción “Solicitud de Certificado” alportal de suscriptor de ENCODE S.A. El Solicitante deberá ingresar laclave y la contraseña que posee en la Organización con la que estávinculado, para ingresar a la aplicación del Certificador.

En caso de contar el solicitante con un dispositivo criptográfico propio deberá colocarlo al inicio de la sesión.

La aplicación le mostrará un formulario de Solicitud de certificado conlos datos que ya están registrados en la Organización vinculada y losdatos faltantes que él debe completar, en caso de que alguno de losdatos registrados en la organización estuviera desactualizado, hubieracambiado o fuera incorrecto, deberá ser modificado por el solicitanteen este mismo formulario. Finalizado el ingreso, el Solicitanteconfirmará todos los datos proporcionados. Luego, de la lista delugares para realizar la identificación que le presenta la aplicación,seleccionará la Autoridad de Registro o Autoridad de Registro Delegadamás cercana a su domicilio.

Habiendo confirmado los datos de la solicitud y elegido donde realizarla identificación, como medida de seguridad, se envía la solicitud alcorreo electrónico del titular declarado en la misma, solicitando laconfirmación. Unicamente al ser confirmada la recepción del correoelectrónico la aplicación procederá a solicitar la elección delproveedor criptográfico con el que se generara el par de clavescriptográficas asimétricas. Se realiza la generación del par de clavescriptográficas asimétricas y el requerimiento de certificado digital enformato PKCS#10. Si el Solicitante posee un dispositivo criptográficopodrá realizar la generación en el mismo. En caso contrario lageneración se hará por software.

Generadas las claves, la aplicación del Certificador valida elrequerimiento PKCS#10 y genera el PIN de revocación del certificado yenvía un nuevo correo electrónico al Solicitante, en la dirección porél informada en su Solicitud. El correo incluye: el resumencriptográfico (huella MD5), los datos de la Autoridad de Registroelegida, con los documentos a presentar ante la misma y su PIN derevocación. Asimismo, se le informará importe y formas de pagodisponibles.

Cuando el Solicitante se presenta para su identificación ante eloficial de registro con toda la documentación exigida, procede a firmarel Acuerdo con Suscriptores.

La aprobación de la solicitud de certificado digital estará sujeta alcumplimiento de la verificación de la identidad del Solicitante y alcumplimiento de los requisitos específicos en relación con lascaracterísticas de la clase y tipo de certificado digital solicitado.

El Oficial de Registro podrá denegar o condicionar la aprobación de lasolicitud del interesado hasta el efectivo cumplimiento de losrequisitos y condiciones establecidos.

La solicitud para la que no se haya completado el proceso de identificación, caducará a los treinta (30) días de generada.

Una vez identificado el Solicitante y aprobada la solicitud por elOficial de Registro, la aplicación de la AC ENCODESIN emitirá elcertificado y le enviará al Solicitante, por correo electrónico, elaviso correspondiente. El Solicitante descargará e instalará elcertificado solicitado.

3.1.1. - Tipos de Nombres

No se establecen restricciones a los nombres que pueden ser incluidosdentro de los certificados, en tanto se correspondan con ladocumentación probatoria exigida para la emisión de certificados poresta Política.

3.1.2. - Necesidad de Nombres Distintivos

3.1.2.1. - Nombre distintivo para personas físicas

El Nombre Distintivo para los certificados emitidos por ENCODE S.A.para personas físicas está compuesto por los siguientes campos:

a) “Organization Name” (Nombre de la Organización): El nombre yapellido del titular de la explotación unipersonal con la que seencuentra relacionado el suscriptor, en el caso del titular de uncertificado de clase A. El nombre y apellido del titular de laexplotación unipersonal que lo autoriza en el caso de certificado declase B o C.

b) “Common Name” (Nombre): contiene el nombre y apellido que figura enel documento de identidad del suscriptor y coincide con el nombre yapellido registrado para su CUIT o CUIL.

c) “Serial Number” (Nro. de serie): contiene el tipo y número de CUIT oCUIL, expresado como texto y respetando el siguiente formato ycodificación: “[tipo]” “[nro]”. Si es clase A tendrá CUIT. Si es ClaseB o C tendrá CUIL. Los valores posibles para el campo “tipo” son:

• “CUIT”: Clave Unica de Identificación Tributaria.

• “CUIL”: Clave Unica de Identificación Laboral.

d) “Country Name” (Código de país): será el código de país que represente la nacionalidad del Certificador.”AR”

e) “Organization Unit”: Contiene el tipo y la clase de certificado, porejemplo “Certificado Persona Física de clase A, B o C”. El tipo igual apersona física y clase es empleador, empleado o no empleado.

3.1.2.2. - Nombre distintivo para personas jurídicas públicas o privadas

El Nombre Distintivo para los certificados emitidos por ENCODE S.A.para personas jurídicas públicas o privadas está compuesto por lossiguientes campos:

a) “Organization Name” (Nombre de la Organización): Nombre de lapersona jurídica pública o privada” que figura en el acta de laInspección de Justicia y en el Registro Público de Comercio, o en laAutoridad de aplicación correspondiente nacional, o Autoridad deaplicación de Orden Provincial y que coincida con el nombre registradoen su CUIT, a cuyo favor se emitirá el certificado.

b) “Serial Number” (Nro. de serie): contiene la sigla “CUIT”, seguidadel número que le pertenece a la persona jurídica pública o privada.

c) “Country Name” (Código de país): será el código de país donde está constituida la persona jurídica Certificador. “AR”.

d) “Organization Unit”: Contiene el tipo y la clase de certificado, Porejemplo “Certificado Persona Jurídica pública o privada de clase A”. Eltipo igual a persona jurídica y clase igual a empleador.

e) “CommonName”: Unidad operativa, área o departamento a la quepertenece el suscriptor y razón social de la empresa. Por ej.:“Gerencia - Empresa XX S.A.”

f) SubjectAlternativeName: Contendrá los siguiente campos

CommonName: Apellido y Nombre, serialNumber: Tipo de documento y Nº de documento, Title: cargo en la Institución.

3.1.3. - Reglas para la interpretación de nombres

Para el caso de las personas físicas, como “Nombre Común” se tomará elnombre y apellido que figure en la documentación de identificación dela persona.

Para el caso de personas jurídicas, como “Organization Name” se tomarála razón social que figura en el acta de la Inspección de Justicia o enel Registro Público de Comercio o en la Autoridad de aplicacióncorrespondiente nacional o en la Autoridad de Aplicación de OrdenProvincial y que coincida con el nombre registrado en su CUIT.

En ambos casos, si se presentaran casos de coincidencia de nombres, elmétodo de resolución será la combinación del “Nombre común” con elatributo “Número de serie”, formado por la sigla “CUIT” o “CUIL” y elnúmero respectivo para persona física y la combinación de “OrganizationName” con el atributo “Número de serie”, formado por la sigla “CUIT” yel número respectivo para persona jurídica.

3.1.4. - Unicidad de nombres

De acuerdo con la Decisión Administrativa Nº 6/2007 de la Jefatura deGabinete de Ministros y, particularmente, con su Anexo II, “Debeespecificarse que el nombre distintivo debe ser único para cadasuscriptor, pudiendo existir más de un certificado con igual nombredistintivo si corresponde al mismo suscriptor. El procedimiento deresolución de homonimias deberá estar basado en la utilización delnúmero de documento de identidad en el caso de personas físicas o elnúmero de identificación tributaria en el caso de personas jurídicas”.

La presente Política de Certificación cumple con esta indicación. Sidos o más suscriptores tuvieran el mismo nombre y apellido, o el mismonombre de persona jurídica, la unicidad queda resuelta por medio de losatributos citados en el punto “3.1.3 Reglas para la interpretación denombres”.

3.1.5. - Procedimiento de resolución de disputas sobre nombres

De acuerdo con la Decisión Administrativa Nº 6/2007 de la Jefatura deGabinete de Ministros y, particularmente, con su Anexo II, “Elcertificador podrá  reservarse el derecho de tomar todas lasdecisiones referidas a posibles conflictos sobre la utilización ytitularidad de cualquier nombre entre sus suscriptores conforme sunormativa al respecto. En caso de conflicto, la parte que solicite elcertificado debe demostrar su interés legítimo y su derecho a lautilización de un nombre en particular.”

Al respecto, ENCODE S.A. se reserva el derecho de tomar todas lasdecisiones referidas a posibles conflictos sobre la utilización ytitularidad de cualquier nombre en los certificados de sus suscriptores.

3.1.6. - Reconocimiento, autenticación y rol de las marcas registradas

De acuerdo con la Decisión Administrativa Nº 6/2007 de la Jefatura deGabinete de Ministros y, particularmente, con su Anexo II, “Se indicaráque no se podrán incluir marcas comerciales, marcas de servicios onombres de fantasía como nombres distintivos en los certificados depersona jurídica.”

Al respecto, ENCODE S.A. establece que en los certificados parapersonas jurídicas se incluirá el nombre que figure en el acta emitidapor la Inspección General de Justicia, Registro Público de Comercio,Autoridad de Aplicación de Orden Provincial o bien en la Autoridad deAplicación correspondiente.

3.1.7. - Métodos para comprobar la posesión de la clave privada

Para la comprobación de la posesión de la clave privada se utiliza el siguiente procedimiento:

• El Solicitante es partícipe directo y necesario en la generación desu par de claves criptográficas asimétricas, utilizando su propioequipamiento.

Las claves criptográficas no quedan almacenadas en los sistemas informáticos de la AC de Encode S.A.

• Durante el proceso de solicitud, se requiere que el Solicitanterealice la generación de un par de claves criptográficas asimétricas,dicha operación será realizada en el equipo del solicitante y en ningúnmomento de la generación los sistemas informáticos de Encode tienencontacto con la clave privada del solicitante.

• En los casos en los cuales el Solicitante utilice una implementaciónpor software para la generación del par de claves criptográficasasimétricas, usando una computadora personal con la cual también generala Solicitud, la clave privada quedará almacenada en el disco de esacomputadora.

• En los casos en que el Solicitante utilizara un dispositivocriptográfico de su propiedad, las claves son generadas y almacenadasen él.

• Los datos de la Solicitud y el requerimiento con la clave pública delSolicitante, en formato PKCS#10, son enviados a la aplicación delCertificador.

• La aplicación del Certificador valida el requerimiento PKCS#10.

• En caso de ser correcto el formato, la aplicación del Certificadorentrega al Solicitante una Solicitud completa incluyendo el resumencriptográfico (huella MD5).

• El Solicitante debe imprimir la Solicitud, para entregar en laAutoridad de Registro, cuando se presenta en el proceso deidentificación, demostrando así la posesión de la clave privada.

3.1.8. - Autenticación de la identidad de personas jurídicas públicas o privadas

En un todo de acuerdo con lo establecido en el artículo 21 de la Ley25.506, artículo 34, inciso a), y subsiguientes del Decreto 2628/2 y DA6/2007 Anexo II 3.1.8 se procederá a identificar a las personasjurídicas públicas o privadas de la forma que se indica.

El Solicitante del certificado para persona jurídica debe habercompletado el requerimiento de solicitud de certificado y creado el parde claves criptográficas, conforme “4.1.2. - Solicitud de certificadopara persona jurídica” y, previo pago del arancel correspondiente, sepresentará en la AR seleccionada, con la documentación detallada en laguía del solicitante; a modo ilustrativo se mencionan algunos de loscomprobantes a presentar:

a) El representante legal, apoderado o administrador de la personajurídica Solicitante del certificado se presenta ante el Oficial deRegistro con los documentos que se detallan más abajo con copiascertificadas por Escribano Público los que correspondieren, tal cual seindica en la Guía del Solicitante:

b) Estatuto o Contrato Social correspondiente a la Persona Jurídica;

c) Acta de directorio o documento que acredite la representación invocada y su documento de identidad,

d) Constancia de inscripción en el Registro Público de Comercio,

e) Constancia de inscripción en AFIP;

f) DNI de todos los socios, en caso de sociedades irregulares,

g) Acta de distribución de cargos,

h) Poder General Amplio o Poder especial que autoriza la solicitud decertificado de firma digital. Se hace saber al Solicitante que seencuentra en la “Guía del Solicitante” el modelo de poder especialrequerido a los fines de solicitar un certificado de firma digital.

i) Solicitud de certificado impresa,

j) Recibo que acredita el pago del certificado correspondiente.

k) A los fines de que el Solicitante tome conocimiento de ladocumentación que requiere ser acompañada para su identificación y laidentificación de la persona jurídica que representa, se sugiereconsultar la “Guía del Solicitante” que se encuentra publicada en elsitio web:

http://www.encodeac.com.ar/firma-digital/guia del solicitante.html

El Solicitante será atendido por un Oficial de Registro, quienverificará su identidad, la documentación que presenta y el resumencriptográfico (huella MD5) vinculado con la Solicitud, así como todaotra información contenida en la Solicitud.

Si la identificación ha sido satisfactoria, el Solicitante firma dosejemplares impresos del “Acuerdo con Suscriptores”, quedando uno enpoder del Solicitante y el otro en poder de la Autoridad de Registrocorrespondiente.

El Oficial conserva para el armado de la carpeta del suscriptor ladocumentación presentada como respaldo del proceso de identificación.

Recibida la documentación en la AR, el Oficial de Registro procederá aefectuar el control de la documentación. Luego cargará en la aplicaciónde la Autoridad de Registro la confirmación de los documentos recibidosy determinará la aceptación o rechazo de la Solicitud.

En caso de aprobar la Solicitud, el Oficial de Registro firmará lamisma con su certificado habilitado en la aplicación de la AR.

Finalmente, en caso de aprobación, la aplicación enviará un mail alSolicitante a los fines de hacerle saber que el certificado está listopara su descarga e instalación.

El Oficial de Registro arma la carpeta de respaldo de la identificaciónde la persona jurídica Solicitante. Esta contiene la Solicitud deCertificado, y todos los documentos presentados de acuerdo con loexigido en la “Guía del Solicitante” y el Acuerdo con Suscriptoresfirmado.

Si la Solicitud es rechazada o dada de baja por falta deidentificación, la aplicación le informará la condición al Solicitantepor medio de un correo electrónico.

Para los casos de renovación, la Autoridad de Registro podrá requerir,ante dudas, respecto de la verificación realizada con anterioridad, queel Solicitante/Suscriptor se presente nuevamente para acreditaridentidad.

3.1.9. - Autenticación de la identidad de personas físicas

Es requisito previo proceder a completar los datos de la Solicitud delcertificado digital y a la creación del par de claves criptográficas,conforme surge del punto “4.1.1. - Solicitud de certificado parapersona física”. La exhibición del pago del arancel del certificadodeberá realizarse en forma previa a su emisión.

El Solicitante deberá presentarse personalmente frente a la Autoridadde Registro correspondiente, donde acreditará fehacientemente suidentidad, acompañando la siguiente documentación:

a) Documento de Identidad original y fotocopia (DNI, LE, LC, Pasaporte o Documento Extranjero (si correspondiera)).

b) Comprobante de CUIT/CUIL expedido a su nombre y vigente.

c) Solicitud completa, impresa.

d) Recibo de pago de arancel del certificado solicitado correspondiente.

e) En caso de Apoderado, presentará Poder General amplio o especialpara solicitar firma digital, debiendo éste exhibir su documento deidentidad.

f) Constancia de inscripción en AFIP para verificar la condición de empleador del titular del certificado.

El Solicitante será atendido por un Oficial de Registro quienverificará su identidad, la documentación que presenta y el resumencriptográfico (huella MD5) vinculado con la Solicitud, así como todaotra información contenida en la Solicitud.

Si la identificación ha sido satisfactoria, el Solicitante firma dosejemplares impresos del “Acuerdo con Suscriptores”, quedando uno enpoder del Solicitante y otro en la Autoridad de Registro.

Devuelve los originales de todos los documentos y conserva los duplicados.

Luego cargará en la aplicación de la Autoridad de Registro laconfirmación de los documentos recibidos y determinará la aceptación orechazo de la Solicitud.

En caso de aprobar la solicitud, el Oficial de Registro firmará lamisma con su certificado habilitado en la aplicación de la AR.

Finalmente, en caso de aprobación de la Solicitud, la aplicaciónenviará un mail al Solicitante a los fines de hacerle saber que elcertificado está listo para su descarga e instalación.

El Oficial de Registro arma la carpeta de respaldo de la identificaciónde la persona física Solicitante. Esta contiene la Solicitud deCertificado, los duplicados de todos los documentos presentados y elAcuerdo con Suscriptores firmado.

Si la Solicitud es rechazada o dada de baja por falta deidentificación, la aplicación le informará esta condición alSolicitante por medio de un correo electrónico.

Para los casos de renovación, la Autoridad de Registro podrá requerir,ante dudas, respecto de la verificación realizada con anterioridad, queel Solicitante/Suscriptor se presente nuevamente para acreditaridentidad.

3.2.- Generación de nuevo par de claves (rutina de Re Key)

No está previsto el cambio de claves de un certificado. En caso de queel Suscriptor requiera generar un nuevo par de claves se deberá revocarel certificado y emitir uno nuevo en su reemplazo. Para ello deberárealizar el proceso de Solicitud completo y la presentación ante elOficial de Registro para validar su identidad.

3.3. - Generación de nuevo par de claves después de una revocación - Sin compromiso de clave

En caso de que el Suscriptor requiriera generar un nuevo par de clavesdespués de una revocación, deberá realizar el proceso de Solicitudcompleto y la presentación frente al Oficial de Registro para validarsu identidad.

3.4. - Requerimiento de revocación

La revocación podrá ser iniciada por el Suscriptor, por la Autoridad de Registro o por la AC.

Los suscriptores podrán solicitar la revocación de su certificado ingresando a la aplicación del Certificador desde:

• http://www.encodeac.com.ar/firma-digital/revocacion.html

Este sitio se encuentra disponible las 24 horas los 7 días de lasemana, durante todo el año, lo que permite servicios de revocación enhorarios no habituales de jornada laboral, como así también fines desemana y feriados. La solicitud de revocación se procesaautomáticamente de acuerdo con lo establecido en el punto 4.4.4. -Plazo para la Solicitud de revocación.

El Suscriptor que inicia la revocación se debe identificar en el portalcon su clave de organización y luego con su Pin de revocación, obtenidodurante el proceso de Solicitud, inicia el proceso de revocación decertificado.

En el caso de pérdida del PIN de revocación se deberá solicitar en elportal del Suscriptor el reenvío del mismo. Este se enviará a ladirección informada por el Suscriptor, en forma automática.

La Autoridad de Registro o la AC de ENCODE S.A., podrán iniciar deoficio o por decisión del Responsable de ENCODE S.A., la revocación decertificados, según lo indicado en el “4.4.1. - Causas de revocación”.

La Autoridad de Registro o la AC de ENCODE S.A., con la documentaciónrelacionada con la revocación, procede a ingresar a la aplicación delCertificador con su clave, selecciona el certificado a revocar que lepertenece al suscriptor e inicia, con su solicitud, el procesoautomático de revocación. Deja asentado en los registros informáticosde la AR la revocación efectuada.

Para aquellos suscriptores relacionados con una Organización, ésta seobliga a: 1) notificar a la Autoridad de Registro de toda modificaciónde la situación del suscriptor que llevaría a inhabilitarlo comosuscriptor de un certificado conforme a la presente Política deCertificación, o bien la modificación de los datos del suscriptor quellevarían a modificar la información contenida en el certificadoexpedido a favor de dicho suscriptor y 2) solicitar el requerimiento derevocación inmediata del certificado. También se revocarán loscertificados de estos suscriptores en el caso de finalización de larelación entre la Organización y ENCODE S.A.

Encode S.A. informará a los suscriptores en caso del término de larelación entre la organización a la que se encuentra vinculadas losmismos y Encode S.A., mediante la publicación en el portal desuscriptores de la organización y con una notificación a la casilla decorreo electrónica que informó oportunamente.

4. - CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS

4.1. - Solicitud de certificado

4.1.1. - Solicitud de certificado de persona física

El proceso de solicitud de emisión de certificado debe ser iniciadoexclusivamente por el Solicitante, quien luego, debe acreditarfehacientemente su identidad según se indica en “3.1.9. - Autenticaciónde la identidad de personas físicas”.

Para poder efectuar la Solicitud de un certificado, el Solicitante debe:

• Contar con la clave de su Organización para acceder a la aplicacióndel Certificador. El Solicitante deberá darse de alta en el sistema desu Organización procediendo a su registración. Si ya se encontraseregistrado deberá ingresar su clave y su contraseña en el sitio de suOrganización y seleccionar la pestaña “Solicitud de certificado” paraingresar al portal del Suscriptor.

• Contar con su dirección de correo electrónico e informarla a losfines de ser notificado en el proceso de solicitud y emisión de sucertificado.

• Cumplir con los requisitos mínimos de configuración de hardware ysoftware detallados en la “Guía del Solicitante” que se encuentra en:

http://www.encodeac.com.ar/firma-digital/guia del solicitante.html

• En caso de contar el Solicitante con un dispositivo criptográficopropio, de los modelos homologados por el Certificador, deberácolocarlo al inicio de la sesión.

• El sistema seleccionará automáticamente el tipo de certificadodigital que requiere cada Solicitante de “Persona Física” y la clasedel mismo, las cuales podrán ser A, B o, C.

• La aplicación mostrará el formulario de Solicitud de persona físicacon los datos que tuviere almacenados respecto de la Organizaciónvinculada con dicha solicitud, en relación con la organización delSolicitante, en caso de que alguno de los datos registrados en laorganización estuviera desactualizado, hubiera cambiado o fueraincorrecto, deberá ser modificado por el solicitante en este mismoformulario y confirmará los mismos. Luego le presentará el panel paraingresar los datos de la persona física.

• Si el Certificado solicitado fuese de tipo B o C se le pedirá indicarla relación con el titular del certificado clase A que lo autoriza.

• Completados los datos de la Solicitud, el Solicitante deberá confirmarlos.

• El sistema a continuación desplegará las Autoridades de RegistroCentral y Delegadas de ENCODE S.A., debiendo el Solicitante proceder aelegir libremente la más conveniente para realizar su identificación.

• Habiendo confirmado los datos de la solicitud y elegido donderealizar la identificación, como medida de seguridad, se envía lasolicitud al correo electrónico del titular declarado en la misma,solicitando la confirmación.

• Unicamente al ser confirmada la recepción del correo electrónico laaplicación procederá a solicitar la elección del proveedorcriptográfico con el que se generara el par de claves criptográficasasimétricas.

• Se realiza la generación del par de claves criptográficas asimétricasy el requerimiento de certificado digital en formato PKCS#10. Si elSolicitante posee un dispositivo criptográfico podrá realizar lageneración en el mismo. En caso contrario la generación se hará porsoftware.

• Generadas las claves, la aplicación del Certificador valida elrequerimiento PKCS#10 y genera el PIN de revocación del certificado yenvía un nuevo correo electrónico al Solicitante, en la dirección porél informada en su Solicitud.

• El correo incluye: la Solicitud con el resumen criptográfico (huellaMD5), los datos de la Autoridad de Registro con los documentos apresentar ante la misma y su PIN de revocación. Asimismo, en los casosque corresponda se le informará importe y formas de pago disponibles.

• En el caso de solicitarse un certificado de clase B o C, dichaSolicitud de Certificado generada es colocada en la bandeja dedocumentos del titular de certificado clase A relacionado, para que seafirmada por éste con su correspondiente certificado, autorizando a lasolicitud del certificado de clase B o C. El titular del certificadoclase A recibirá un correo electrónico con la notificación de queexiste una solicitud de certificado clase B o C, pendiente de firma ensu bandeja de documentos, la cual podrá ser accedida desde este correoelectrónico o desde el portal del suscriptor en la opción “BandejaDocumentos”.

• Si la Solicitud es rechazada se le informa al Solicitante en su dirección de correo electrónico.

• Cumpliendo el Solicitante con presentarse en la AR elegida, laaprobación de la Solicitud de certificado digital estará sujeta acubrir los requerimientos para la verificación de la identidad delSolicitante y los requisitos específicos en relación con lascaracterísticas del certificado digital solicitado.

• En caso de aprobar la solicitud, el Oficial de Registro firmará lamisma con su certificado habilitado en la aplicación de la AR.

• Finalmente, en caso de aprobación de la Solicitud, la aplicaciónenviará un mail al Solicitante a los fines de hacerle saber que elcertificado está listo para su descarga e instalación.

• El Oficial de Registro arma la carpeta de respaldo de laidentificación de la persona física Solicitante. Esta contiene laSolicitud de Certificado, los duplicados de todos los documentospresentados en un todo de acuerdo con lo especificado en la “Guía delSolicitante” y el Acuerdo con Suscriptores firmado.

4.1.2. - Solicitud de certificado de persona jurídica

El proceso de solicitud de emisión de certificado debe ser iniciadoexclusivamente por el representante legal, administrador o apoderado dela persona jurídica Solicitante, quien luego deberá acreditarfehacientemente su identidad según se indica en “3.1.8. - Autenticaciónde la identidad de personas jurídicas públicas o privadas”.

Para poder efectuar la solicitud de un certificado, el Solicitante debe:

• Contar con la Clave dada por la Organización con la que se encuentravinculado, para acceder a la aplicación del Certificador. ElSolicitante deberá darse de alta en el sistema de la Organizaciónprocediendo a su registración. Si ya se encontrase registrado deberáingresar su clave y su contraseña, seleccionar la opción “Solicitud deCertificado” para ingresar a la aplicación del Certificador.

• Contar con su dirección de correo electrónico e informarla a losfines de ser notificado en el proceso de solicitud y emisión de sucertificado.

• Cumplir con los requisitos mínimos de configuración de hardware ysoftware detallados en la “Guía del Solicitante” que se encuentra en:

• http://www.encodeac.com.ar/firma-digital/guia del solicitante.html

• El proceso de solicitud podrá ser iniciado solamente por elapoderado, administrador o representante legal de la persona jurídica afavor de la cual se emitirá el certificado, ingresando desde el sitioweb de la Organización. La clase de certificado digital que requiere elSolicitante podrá ser A, el tipo es de “Persona Jurídica” y seráasignado por la aplicación en función de los datos del Solicitante.

• La aplicación del Certificador verifica que la estación de trabajodel Solicitante cumple con los requerimientos técnicos mínimos. En casode no cumplimentar los requerimientos técnicos mínimos el sistema leindicará las actualizaciones necesarias para solucionar dichosinconvenientes técnicos y de persistir los mismos deberá dirigirse a laA.R. Central o A.R. delegada donde se le proporcionará un equipopreparado para que pueda realizar desde el mismo la suscripciónutilizando un dispositivo criptográfico propio para generación y elalmacenamiento de su par de claves, y en ningún caso existirá contactode la AR o AC con la clave privada del solicitante.

• En caso de contar el Solicitante con un dispositivo criptográfico propio, deberá colocarlo al inicio de la sesión.

• La aplicación le presenta la pantalla con el formulario de Solicitudde Certificado de Persona Jurídica. La aplicación le traerá los datosque tuviere almacenados la Organización vinculada, en relación a lapersona jurídica a favor de la cual se emitirá el certificadorequerido, debiendo el solicitante proceder a su confirmación. En casode que alguno de los datos registrados en la organización estuvieradesactualizado, hubiera cambiado o fuera incorrecto, deberá sermodificado por el solicitante en este mismo formulario luego de lo cualconfirmará los mismos.

• A continuación le solicita todos los datos del Solicitante en sucalidad de representante legal, administrador o apoderado de la personajurídica.

• Completada la Solicitud, el Solicitante deberá confirmar todos los datos presentes en la misma.

• El sistema a continuación desplegará la Autoridad de Registro Centraly la Autoridad de Registro Delegada, si correspondiere, debiendo elSolicitante proceder a elegir libremente la opción más conveniente alos efectos de completar su identificación.

• Habiendo confirmado los datos de la Solicitud y elegido el lugar parala identificación, como medida de seguridad, se la envía al correoelectrónico declarado en la solicitud, solicitando la confirmación.

• Unicamente al ser confirmada la recepción del correo electrónico laaplicación procederá a solicitar la elección del proveedorcriptográfico con el que se generara el par de claves criptográficasasimétricas.

• Se realiza la generación del par de claves criptográficas asimétricasy el requerimiento de certificado digital en formato PKCS#10. Si elSolicitante posee un dispositivo criptográfico podrá realizar lageneración en el mismo. En caso contrario la generación se hará porsoftware.

• Generadas las claves, la aplicación del Certificador valida elrequerimiento PKCS#10 y genera el PIN de revocación del certificado yenvía un nuevo correo electrónico al Solicitante, en la dirección porél informada en su Solicitud.

• El correo incluye: la Solicitud con el resumen criptográfico (huellaMD5), los datos de la ubicación de la identificación con los documentosa presentar ante la misma y su PIN de revocación. Asimismo, se leinformará importe y formas de pago disponibles.

• La aprobación de la solicitud de certificado digital estará sujeta alcumplimiento de los requerimientos para la verificación de la identidaddel Solicitante y al cumplimiento de los requisitos específicos enrelación con las características del certificado digital solicitado.

• En caso de aprobar la solicitud, el Oficial de Registro firmará lamisma con su certificado habilitado en la aplicación de la AR.

• Finalmente, en caso de aprobación de la Solicitud, la aplicaciónenviará un mail al Solicitante a los fines de hacerle saber que elcertificado está listo para su descarga e instalación.

• El Oficial de Registro arma la carpeta de respaldo de laidentificación de la persona jurídica Solicitante. Esta contiene laSolicitud de Certificado, los duplicados de todos los documentospresentados y el Acuerdo con Suscriptores firmado.

4.1.3. - Solicitud de renovación de certificado de persona física

La aplicación del Certificador brinda un servicio de alerta alsuscriptor persona física,  respecto de la próxima expiración desu certificado digital, a partir de los treinta días anteriores a lafecha de vencimiento.

El proceso de solicitud de renovación deberá ser iniciadoexclusivamente por el suscriptor, antes de vencer el período de validezde su certificado y en posesión de su clave privada.

Los datos del certificado deben ser los mismos. En caso contrario sedebe revocar y solicitar un nuevo certificado de acuerdo con el punto4.1.1 Solicitud de certificado de persona física.

En la renovación del certificado no será necesario realizar nuevamente la identificación en las oficinas del Certificador.

Para realizar la renovación deberá acceder al portal del suscriptor desde la siguiente dirección:

• http://www.encodeac.com.ar/firma-digital/renovacion.html

El período de validez es indicado en 6.3.2 - Periodo de uso de clave pública y privada

Una vez ingresado al sitio web el sistema le mostrará la lista decertificados vigentes del solicitante, deberá seleccionar el que sedeba renovar, la forma de pago y confirmar la solicitud. Se generará unnuevo requerimiento PKCS#10 reutilizando el par de claves delcertificado que se está renovando. Finalmente la aplicación enviará unmail al Solicitante a los fines de hacerle saber que el certificadoestá listo para su descarga e instalación.

4.1.4. - Solicitud de renovación de certificado de persona jurídica

La aplicación del Certificador brinda un servicio de alerta alsuscriptor persona jurídica respecto de la próxima expiración de sucertificado digital, a partir de los treinta días anteriores a la fechade vencimiento.

Los datos del certificado deben ser los mismos. En caso contrario sedebe revocar y solicitar un nuevo certificado de acuerdo con el punto4.1.2 Solicitud de certificado de persona jurídica.

El proceso de solicitud de renovación deberá ser iniciadoexclusivamente por el representante legal o apoderado del suscriptor,antes de vencer el período de validez de su certificado y en posesiónde su clave privada.

En la renovación del certificado no será necesario realizar nuevamentela identificación en las oficinas del Certificador. Para realizar larenovación deberá acceder al portal del suscriptor desde la siguientedirección:

http://www.encodeac.com.ar/portal-suscriptor/renovacion.html

El período de validez es indicado en 6.3.2 - Periodo de uso de clave pública y privada.

Una vez ingresado al sitio web el sistema le mostrará la lista decertificados vigentes del solicitante, deberá seleccionar el que sedeba renovar, la forma de pago y  confirmar la solicitud. Segenerará un nuevo requerimiento PKCS#10 reutilizando el par de clavesdel certificado que se está renovando. Finalmente la aplicación enviaráun mail al Solicitante a los fines de hacerle saber que el certificadoestá listo para su descarga e instalación.

4.2. - Emisión del certificado

Cumplidos los recaudos del proceso de identificación y autenticación deacuerdo con esta Política, y una vez aprobada la Solicitud por laAutoridad de Registro, la Autoridad Certificante ENCODESIN emite elcorrespondiente certificado, firmándolo digitalmente con su claveprivada.

El sistema pone el certificado en el Portal del Suscriptor, adisposición de su titular y le comunica esa disponibilidad por correoelectrónico. El Portal del Suscriptor se encuentra en:

• http://www.encodeac.com.ar/firma-digital/portal-suscriptor.html

En este sitio web cada Solicitante puede acceder únicamente a su propia información.

4.3. - Aceptación del certificado

Una vez notificado de la emisión de un certificado a su nombre, elSuscriptor o bien su representante legal o apoderado en caso detratarse de certificados de personas jurídicas, deberá controlar sucontenido y descargar el certificado desde el Portal del Suscriptor.

En caso de que existiera algún error u omisión en los datos delsuscriptor contenidos en el certificado, deberá revocarlo con su PIN derevocación desde el Portal del Suscriptor, como se indica en 3.4Requerimiento de revocación.

En caso de formular un reclamo de no aceptación del certificado antesde descargar el mismo deberá realizarlo dentro de las 48 horas de lanotificación de ENCODE de la puesta a disposición en el portal delsuscriptor del certificado a su nombre.

Ante la ausencia de reclamos a la Autoridad de Registro por parte delSuscriptor, en cuanto a los datos del certificado, se acepta laexactitud del contenido del certificado desde el momento de sunotificación y el Suscriptor asume la totalidad de las obligaciones yresponsabilidades establecidas por esta Política de Certificación.

4.4. - Suspensión y Revocación de Certificados

El estado de suspensión no es admitido en el marco de la Ley Nº 25.506.

4.4.1. - Causas de revocación

La Autoridad Certificante ENCODESIN revocará un certificado por ella emitido, en los casos en que:

a) Lo solicite el titular del certificado por cualquier causa, incluidael haber tomado conocimiento de que su clave privada esté comprometiday haya dejado de ser segura.

b) ENCODE S.A. determine que el certificado fue emitido en base a unainformación falsa, que en el momento de la emisión hubiera sido objetode verificación.

c) ENCODE S.A. determine que los procedimientos de emisión y/o verificación han dejado de ser seguros.

d) La Organización que haya adoptado el uso de certificados de firmadigital emitidos por la AC de ENCODE S.A., notifique a la Autoridad deRegistro que la información contenida en el certificado ha dejado deser exacta.

e) Fuere solicitado por resolución judicial o de la Autoridad de Aplicación de la Ley Nº 25.506 debidamente fundada.

f) ENCODE S.A. determine que el certificado dejó de cumplir con laspolíticas y normas legales y reglamentarias de la Infraestructura deFirma Digital de la República Argentina (IFDRA).

g) Por fallecimiento del titular, declaración judicial de ausencia conpresunción de fallecimiento o declaración judicial de incapacidad, enel caso de persona física comunicada fehacientemente por sus herederoso autoridad judicial competente a ENCODE S.A.

h) Por cese del representante legal y su sustituto, en el caso depersonas jurídicas comunicada fehacientemente por el nuevorepresentante legal, administrador o apoderado de la persona jurídica aENCODE S.A.

i) Por cambio en los atributos de un certificado, aun cuando hubieran sido válidos al tiempo de su emisión.

j) Por cese de la existencia de la Persona Jurídica, comunicadafehacientemente por el representante legal de la misma a ENCODE S.A.

k) Por cese de la Licencia del Certificador.

l) Por haberse resuelto el contrato que ENCODE S.A. hubiera suscriptocon la Organización a la cual perteneciese el Suscriptor, o loconvenido entre las partes, en el caso que corresponda.

m) Los certificados clase B por finalización de la relación de dependencia con el titular del certificado A.

n) Los certificados clase C por cese del vínculo contractual con el titular del certificado clase A.

En caso de revocación de un certificado de persona física o jurídica declase A por las causales mencionadas, los certificados de personafísica clase B o C relacionados deberán ser revocados si el titular delcertificado A lo solicitara expresamente, caso contrario su revocaciónqueda a criterio de ENCODE SA.

4.4.2. - Autorizados a solicitar la revocación

Los siguientes actores podrán solicitar la revocación de un certificado emitido por la Autoridad Certificante ENCODESIN:

a) El Suscriptor del certificado, si se trata de una persona física.

b) El representante legal, administrador o apoderado, si se trata de una persona jurídica.

c) La Autoridad de Registro.

d) La Autoridad de Aplicación.

e) La Autoridad Judicial competente.

f) El Certificador Licenciado.

g) El titular del certificado A para solicitar la revocación de los certificados clase B o C vinculados.

4.4.3. - Procedimientos para la solicitud de revocación

Para solicitar la revocación de su certificado, el suscriptor seguirálo indicado en el apartado “3.4. - Requerimiento de revocación”.

Los suscriptores podrán solicitar la revocación de su certificado ingresando a la aplicación del Certificador desde:

• http://www.encodeac.com.ar/firma-digital/revocacion.html

Este sitio se encuentra disponible las 24 horas los 7 días de lasemana, durante todo el año, lo que permite servicios de revocación enhorarios no habituales de jornada laboral, como así también fines desemana y feriados.

Las Autoridades de Registro conservarán como documentación probatoriatoda solicitud de revocación y el material probatorio vinculado, el queserá archivado en la carpeta de identificación delSolicitante/Suscriptor. Se registraran en los registros informáticos dela AR la revocación.

Los suscriptores o sus representantes serán notificados en susrespectivas direcciones de correo electrónico del cumplimiento delproceso de revocación.

La revocación se reflejará en la próxima Lista de CertificadosRevocados, cuando sea generada de acuerdo con lo especificado en elpunto “2.6.2. - Frecuencia de publicación”.

4.4.4. - Plazo para la solicitud de revocación

La recepción de la solicitud de revocación está disponible 7 días de lasemana x 24 hs. a través de la aplicación del Certificador desde:

• http://www.encodeac.com.ar/firma-digital/revocacion.html

Esta solicitud será procesada de inmediato, sin intervención de la Autoridad de Registro.

En caso de que el Suscriptor se presente personalmente ante laAutoridad de Registro, la solicitud de revocación será ingresada por elOficial de Registro y también procesada de inmediato.

4.4.5. - Causas de suspensión

El estado de suspensión no es admitido en el marco de la Ley Nº 25.506.

4.4.6. - Autorizados a solicitar la suspensión

El estado de suspensión no es admitido en el marco de la Ley Nº 25.506.

4.4.7. - Procedimientos para la solicitud de suspensión

El estado de suspensión no es admitido en el marco de la Ley Nº 25.506.

4.4.8. - Límites del período de suspensión de un certificado

El estado de suspensión no es admitido en el marco de la Ley Nº 25.506.

4.4.9. - Frecuencia de emisión de listas de certificados revocados

La Autoridad Certificante ENCODESIN genera y publica periódicamente unaúnica lista conteniendo todos los certificados revocados por ella, enforma acumulativa, en formato del CRL X.509 v2, sin superar lasveinticuatro (24) horas entre publicaciones.

4.4.10. - Requisitos para la verificación de la lista de certificados revocados

Para determinar el estado de validez de un certificado, se debe obtenerla CRL vigente, verificar su integridad controlando la validez de sufirma y constatar la inclusión o no del certificado en cuestión.

En los repositorios descriptos en el apartado “2.6.1. - Publicación deinformación del certificador” se conserva únicamente la última CRLemitida. Las versiones de CRLs emitidas previamente son mantenidas enlos archivos internos del Certificador. Si no se pudiera obtener unaCRL actualizada, quien busca la verificación deberá optar entrerechazar el documento firmado digitalmente, aceptarlo bajo exclusivaresponsabilidad de quien consulta o postergar la decisión hasta obteneruna CRL actualizada.

Las aplicaciones habilitadas por ENCODE S.A se encuentran publicadas en la url:

http://www.encodeac.com.ar/firma-digital/aplicaciones.pdf

Las mismas verifican en forma automática el estado de validez de los certificados utilizados por los suscriptores.

4.4.11. - Disponibilidad del servicio de consulta sobre revocación y de estado del certificado

ENCODE S.A. no ofrece servicios de verificación en línea del estado de los certificados.

El único mecanismo válido para la verificación del estado de loscertificados es a través de las Listas de Certificados Revocados.

Todas las aplicaciones propias de ENCODE S.A. donde se utilizan loscertificados emitidos por la AC ENCODESIN realizan la consulta sobre lalista de Certificados Revocados, en forma automática.

4.4.12. - Requisitos para la verificación en línea del estado de revocación

No aplicable.

4.4.13. - Otras formas disponibles para la divulgación de la revocación

No aplicable.

4.4.14. - Requisitos para la verificación de otras formas de divulgación de revocación

No aplicable.

4.4.15. - Requisitos específicos para casos de compromiso de claves

En todas las situaciones que involucren el compromiso de la claveprivada del Suscriptor, éste deberá revocar su certificado. Podráhacerlo por alguna de las vías indicadas en el punto “3.4. -Requerimiento de revocación”.

4.5. - Procedimientos de Auditoría de Seguridad

La Autoridad Certificante mantiene registros de auditoría (“logs”) detodas las operaciones que realiza, protegiendo su integridad en mediosde almacenamiento seguros y conservándolos por 10 años como mínimo.

Los registros de auditoría son analizados por ENCODEMON (servicio queregistra en forma automática las alteraciones en el funcionamiento dela instalación) en las tareas de monitoreo habitual del funcionamientode los sistemas, las aplicaciones y los procesos.

Con el propósito de mantener la seguridad de los sistemas, elresponsable de Seguridad Informática realiza evaluaciones periódicassobre los informes de ENCODEMON. Asimismo, atendiendo a lo expresado enel punto 2.7 Auditoría, se mantendrán registros no informatizados detoda aquella información soportada en papel.

4.6. - Archivo de registros de eventos

El Certificador genera, mantiene y conserva registros de eventos sobrecada una de las actividades que comprenden los componentes del procesode certificación.

La información registrada abarca:

• Fecha y hora del registro

• Número de serie o secuencia del registro

• Tipo de registro

• Fuente del registro

• Identificación de la entidad que efectuó el registro

Administración del ciclo de vida de las claves criptográficasa) Generación y almacenamiento de las claves criptográficas del certificadorb) Resguardo y recuperación de las claves criptográficas del certificadorc) Utilización de las claves criptográficas del certificadord) Archivo de las claves criptográficas del certificadore) Retiro de servicio de datos relacionados con las claves criptográficasf) Destrucción de claves criptográficas del certificadorg) Identificación de la entidad que autoriza una operación de administración de claves criptográficash) Identificación de la entidad que administra los datos relativos a las claves criptográficasi) Compromiso de la clave privadaAdministración del ciclo de vida de los certificadosa) Recepción de solicitudes de certificados nueva o renovaciónb) Transferencia de claves públicas para la emisión del certificadoc) Cambios en los datos de la solicitud del certificadod) Generación de certificadose) Distribución de la clave pública del certificadorf) Solicitudes de revocación de certificadosg) Generación y emisión de listas de certificados revocadosh) Acciones tomadas en relación con la expiración de un certificadoAdministración del ciclo de vida de los dispositivos criptográficosa) Esta actividad estará bajo la responsabilidad del suscriptorb) El certificador sólo registra el uso del dispositivoInformación relacionada con la solicitud de Certificadosa) Tipos de documentos de identificación presentados por el solicitanteb) Otra información de identificaciónc) Ubicación del archivo de las copias de las solicitudes de certificados y de los documentos de identificaciónd) Identificación de la entidad que recibe y acepta la solicitude) Método utilizado para validar los documentos de identificaciónf) Identificación de la Autoridad de RegistroEventos de seguridada) Lecturas y/o escrituras en archivos sensibles de seguridadb) Borrado de datos sensibles de seguridadc) Cambios en los perfiles de seguridadd) Registro de intentos exitosos y fallidos de accesos al sistema, los datos y los recursose) Caídas del sistema, fallas en el hardware y software, u otras anomalíasf) Acciones desarrolladas por los operadores y administradores del sistema y responsables de seguridadg)Cambios en la relación entre ENCODE S. A. y una Autoridad de RegistroDelegada o personal relacionado con el proceso de certificaciónh) Accesos a los componentes del sistema de la Autoridad Certificante ENCODESINi) Eventos o situaciones no previstas4.7. - Cambio de claves criptográficas

Las claves criptográficas de la Autoridad Certificante ENCODESIN songeneradas con motivo del licenciamiento de la presente Política deCertificación y tendrán una duración de 5 años. Por su parte lalicencia, en sí misma, tiene una vigencia limitada a 5 años.

El cambio del par de claves criptográficas de la Autoridad CertificanteENCODESIN dará origen a la emisión de un nuevo certificado, por partede la Autoridad Certificante Raíz de la República Argentina operada porla Autoridad de Aplicación.

Un año antes del vencimiento previsto del certificado de la AutoridadCertificante ENCODESIN se solicitará la renovación de la licencia de laPolítica de Certificación y el certificado correspondiente.

4.8. - Plan de contingencia y recuperación ante desastres

El Plan de Contingencia de ENCODE S.A. como Certificador Licenciadoestablece los procedimientos y actividades relacionados con lacontinuidad del servicio de certificación de firma digital y será deaplicación desde el momento de la declaración de la contingencia hastala restauración de la operatoria normal.

ENCODE S.A. cuenta con un sitio de contingencia propio, con lascaracterísticas necesarias de acuerdo con los estándares de seguridad ylas protecciones correspondientes. El acceso al sitio es las 24 horas,los 365 días del año, lo que le permite asegurar la continuidad de susservicios.

Están previstos mecanismos de prueba y simulación con frecuenciaperiódica o cuando los cambios realizados al hardware, software de basey/o software aplicativo lo ameriten. Las pruebas del plan tienen porobjeto brindar los elementos necesarios para mantener el entrenamientodel personal y minimizar el tiempo de recuperación de la continuidaddel negocio.

4.9. - Plan de Cese de Actividades

El Certificador puede cesar en sus actividades. Este hecho se podráproducir a partir de la manifestación del Directorio de ENCODE S.A.,como máxima autoridad de la empresa, sobre su decisión de proceder alcese de actividades, ya sea por razones de índole económica, empresariao de seguridad. También podrá ser motivado por la cancelación de lalicencia, dispuesta por la Autoridad de Aplicación o por disolución dela sociedad.

ENCODE S.A., a fin de contemplar esta situación elaboró el documento“Plan de Cese”, con las estrategias y procedimientos a seguir desde ladeclaración del cese de actividades hasta la inhabilitación lógica yfísica de la Autoridad Certificante ENCODESIN.

Primeramente el Directorio comunicará la decisión a la Autoridad deAplicación y determinará los procedimientos de revocación aplicables enestos casos de acuerdo con el artículo 22 de la Ley 25.506 y según suplan de cese de actividades, excepto que la Autoridad de aplicaciónindique otro curso de acción.

Ante la declaración del cese de los servicios de certificación, ENCODES.A. procederá a la publicación de dicha circunstancia a través delsitio web:

• http://www.encodeac.com.ar/firma-digital

También se publicará en un medio de difusión provincial o nacional y en el Boletín Oficial.

Toda información digital será resguardada por ENCODE S.A. por un plazode diez (10) años, así como toda la documentación de respaldo de lassolicitudes. Si el cese se debiera a la disolución de esta sociedad, lacustodia de los registros y archivos pasarán a manos de la SociedadLiquidadora constituida a esos efectos, salvo opinión en contrario dela Autoridad de Aplicación de Firma Digital de la República Argentina.

5. - CONTROLES DE SEGURIDAD FISICA, FUNCIONALES Y PERSONALES

5.1. - Controles de seguridad física

Los sistemas centrales de la Autoridad Certificante ENCODESIN seencuentran en el Sitio de Máxima Seguridad (SMS) de ENCODE S.A., elcual cuenta con controles de seguridad física que protegen lasinstalaciones informáticas de la Autoridad Certificante de accesos noautorizados y garantizan la continuidad de sus operaciones.

Algunas de sus características comprenden:

a) Monitoreo ambiental de temperatura y humedad.

b) Prevención contra incendios.

c) Aislamiento a altas temperaturas externas.

d) Estructura sólida de bóveda.

e) Prevención contra explosiones, derrumbes y sismos.

f) Prevención temprana de incendios.

g) Sistemas de refrigeración y control de humedad.

h) Sistemas de suministro de energía ininterrumpido.

i) Sistema de generación de energía alternativo.

j) Sistemas de conectividad redundantes.

k) Control de acceso con tarjetas de aproximación e identificación biométrica.

l) Sistema de cámaras para monitoreo en accesos y áreas críticas.

El acceso al SMS está limitado al personal autorizado y estrictamentenecesario para el mantenimiento y administración de los sistemas de laAC ENCODESIN de ENCODE S.A.

El almacenamiento de los datos de activación de la clave privada de laAutoridad Certificante ENCODESIN se realiza cumpliendo con los nivelesde seguridad de acceso físico establecidos por la normativa vigente.

Los controles de Seguridad Física de las Autoridades de Registro seencuentran contempladas en el documento interno “Guía de instalación yfuncionamiento de las Autoridades de Registro”.

5.2. - Controles Funcionales

Los controles funcionales son realizados por personal de ENCODE S.A.sobre todos los roles del Certificador, verificando el cumplimiento delas responsabilidades de cada uno de ellos, de acuerdo con loestablecido en la presente política y en los documentos internos:“Roles y Funciones” y “Guía de instalación y funcionamiento de lasAutoridades de Registro”.

Los roles son asignados por el Directorio de ENCODE S.A., respetando los siguientes criterios:

a) Cada uno de los roles tiene un titular asignado y un sustituto.

b) Los roles son asignados a personal que cumple funciones en ENCODES.A., excepto en el caso las Autoridades de Registro Delegadas, en estecaso será personal propio de las Organizaciones que han convenido conENCODE S.A.

En el caso de las Autoridades de Registro Delegadas, la Autoridad deRegistro Central realizará los controles funcionales, verificando elcumplimiento de las responsabilidades y procedimientos de acuerdo conlo establecido en la presente Política y sus documentos complementarios.

Cada rol cuenta con su credencial de identificación y autenticación.

5.3. - Controles de seguridad del personal

Los controles de seguridad del personal, que desempeñan los roles en elCertificador, serán los establecidos por ENCODE S.A. e implementados através de su Responsable de Recursos Humanos. ENCODE S.A. realiza unaevaluación anual del desempeño de todo su personal.

En el caso de las Autoridades de Registro Delegadas, seráresponsabilidad de las Organizaciones mantener actualizado el legajo deantecedentes laborales, calificaciones profesionales, experiencia eidoneidad, para evaluar el desempeño del personal que cumpla funcionescomo Oficiales de Registro. ENCODE S.A. realizará los controlespertinentes, comunicando a la Organización la realización y resultadode ellos.

Antecedentes laborales, calificaciones, experiencia e idoneidad del personal

Para cada persona vinculada con los servicios de certificación, ENCODES.A. confecciona un legajo de antecedentes laborales, calificacionesprofesionales, experiencia e idoneidad.

En el caso de las Autoridades de Registro Delegadas de unaOrganización, la evaluación de los antecedentes personales yprofesionales se llevará a cabo en conjunto entre el Responsable de laAutoridad de Registro Central y el Responsable que designe laOrganización.

Entrenamiento y capacitación inicial

ENCODE S.A. realiza cursos de entrenamiento e instrucción en laspolíticas y procedimientos que conforman los manuales operativos de laAutoridad Certificante ENCODESIN, como así también ante cambios en latecnología de firma digital o en las plataformas utilizadas.

Esos cursos de entrenamiento e instrucción serán extensivos a lasAutoridades de Registro Delegadas y ENCODE S.A. los coordinará con losResponsables de las Organizaciones.

Frecuencia de procesos de actualización técnica

Conforme se producen cambios en la tecnología de firma digital, en lasplataformas utilizadas por la Autoridad Certificante o en susprocedimientos, ENCODE S.A. elabora programas de capacitaciónespecíficos para todo el personal afectado.

Los cursos de actualización técnica serán extensivos a las Autoridadesde Registro Delegadas y ENCODE S.A. los coordinará con los Responsablesde las Organizaciones.

La capacitación será realizada al menos una (1) vez al año, siendoevaluado el personal afectado y otorgándose certificación cuando asícorrespondiere.

Frecuencia de rotación de cargos

No existe rotación entre los distintos cargos del personal de la Autoridad Certificante ENCODESIN.

Esto es extensivo a las Autoridades de Registro e incluye a las Autoridades de Registro Delegadas.

Sanciones a aplicar por acciones no autorizadas.

En el caso de incumplimientos comprobados del personal de ENCODE S.A.la persona será separada del rol y/o de ENCODE S.A., dependiendo de lagravedad de la acción realizada.

En el caso de incumplimientos comprobados del personal de Autoridadesde Registro Delegadas, los apercibimientos y las sanciones por accionesno autorizadas posibles a aplicar son, entre otras:

• Revocación del Certificado Digital de la Autoridad de Registro.

• Carta al legajo del Oficial de Registro.

• Cesación de las funciones de un Oficial de Registro.

• Suspensión de un Oficial de Registro.

• Suspensión o inhabilitación como Autoridad de Registro.

• Resolución de lo convenido entre ENCODE S. A. y la Organización.

Toda sanción a aplicar se comunicará a los interesados en un plazo nomayor a dos (2) días desde el momento de resolución de su aplicación.

Requisitos para contratación de personal

El personal contratado a los efectos de cumplir acciones en el marco deesta Política de Certificación deberá tener el conocimiento y formaciónsuficiente para el mejor cometido de las funciones asignadas. Paraello, ENCODE S.A. llevará a cabo los procesos de selección de personaly capacitación que estime necesarios con el objeto de que el perfilprofesional del empleado se adecue lo más posible a las característicaspropias de las tareas a desarrollar.

En el caso de las Autoridades de Registro Delegadas, serán los procesosestablecidos por la Organización, los cuales deberán contemplar yrespetar los requisitos mínimos del perfil laboral para desempeñar elrol de Responsable de Autoridad de Registro y Oficial de Registroconvenidos con ENCODE S.A.Documentación provista al personal, incluidas tarjetas y otros elementos de identificación personal.

ENCODE S.A. provee a su personal toda la documentación necesaria parapoder cumplir con sus funciones. Asimismo le provee las credenciales deidentificación y autenticación de acuerdo con el rol asignado.

6. - CONTROLES DE SEGURIDAD TECNICA

6.1. - Generación e instalación del par de claves criptográficas

6.1.1. - Generación del par de claves criptográficas

La clave privada de la Autoridad Certificante ENCODESIN es generada enambientes seguros, por personal autorizado, sobre dispositivoscriptográficos homologados FIPS 140-2 Nivel 3.

La Autoridad Certificante ENCODESIN genera sus claves mediante el algoritmo RSA con un tamaño de 4096 bits.

La clave privada de las Autoridades de Registro es generada yalmacenada por sus responsables, utilizando un dispositivocriptográfico homologado por ENCODE S.A.

Las Autoridades de Registro generan sus claves mediante el algoritmo RSA con un tamaño mínimo de 1024 bits.

En el caso de los solicitantes y suscriptores, las claves son generadasy almacenadas por ellos mismos mediante el algoritmo RSA con un tamañomínimo de 1024 bits.

Las personas físicas podrán hacerlo a su elección por “software” o por“hardware”. En caso de elección por software las claves deben serresguardadas con un pin de seguridad para su acceso. En el caso deelección por hardware, el dispositivo criptográfico deberá ser provistopor el suscriptor y debe estar dentro de los modelos especificados enla lista de los dispositivos homologados por ENCODE S.A.

Las personas jurídicas podrán hacerlo a su elección por “software” opor “hardware” provisto por el suscriptor, sobre dispositivoscriptográficos deben utilizar los homologados por ENCODE S.A.

Las claves de los suscriptores que cuenten con dispositivoscriptográficos externos removibles deberán estar protegidas por tresfactores de seguridad:

1) mediante la posesión del dispositivo por el suscriptor, 2) medianteuna contraseña de acceso al dispositivo criptográfico definida por elpropio suscriptor, 3) la contraseña de la clave privada definida por elpropio suscriptor.

6.1.2. - Entrega de la clave privada al suscriptor

Las claves privadas de los suscriptores y del personal de lasautoridades de registro son generadas por ellos mismos durante elproceso de Solicitud de Certificado, absteniéndose ENCODE S.A. degenerar, exigir o por cualquier otro medio tomar conocimiento o accedera los datos de creación de firma.

6.1.3. - Entrega de la clave pública al emisor del certificado

El Solicitante entrega la clave pública a la Autoridad Certificante ENCODESIN durante el proceso de Solicitud de Certificado.

Los procesos de solicitud utilizan el formato PKCS#10 para implementarla “prueba de posesión”, remitiendo los datos del Solicitante y suclave pública dentro de una estructura firmada con su clave privada.

El Solicitante debe probar su identidad y demostrar que la solicitud lepertenece, presentándose a la Autoridad de Registro con la Solicitud enla cual se identifica el resumen criptográfico (huella MD5).

6.1.4. - Disponibilidad de la clave pública del certificador

Los certificados de la “Autoridad Certificante ENCODESIN” y elcertificado de la “Autoridad Certificante Raíz de la RepúblicaArgentina” (ACR RA) se encuentran disponibles en un repositorio enlínea de acceso público a través de Internet en la siguiente dirección:

• http://www.encodeac.com.ar/firma-digital

La verificación de la validez de los certificados de los suscriptoresde la presente política, se realiza automáticamente a través delsiguiente procedimiento:

a) Verificando la cadena de confianza del certificado del suscriptor,que es una cadena de firmas y de certificados, que se realiza de lasiguiente manera:

• Verificar el certificado con que se firma al certificado del suscriptor: Certificado de la Autoridad Certificante ENCODESIN, y

• Verificar el certificado con que se firma al certificado de laAutoridad Certificante ENCODESIN: Certificado de la AutoridadCertificante Raíz de la República Argentina.

b) Verificando la vigencia y el estado de los certificados, a través dela consulta a las CRLs emitidas por la Autoridad Certificante ENCODESINy por la Autoridad Certificante Raíz.

6.1.5. - Tamaño de claves

La Autoridad Certificante ENCODESIN utiliza claves RSA con un tamaño de 4096 bits.

Las Autoridades de Registro utilizan claves RSA con un tamaño mínimo de 1024 bits.

Los suscriptores de certificados utilizan claves RSA con un tamaño mínimo de 1024 bits.

6.1.6. - Generación de parámetros de claves asimétricas

No se establecen condiciones especiales para la generación deparámetros de claves asimétricas más allá de los que corresponden conel algoritmo de generación RSA según su especificación técnica.

6.1.7. - Verificación de calidad de los parámetros

No se requieren verificaciones particulares de la calidad de los parámetros de generación de claves.

6.1.8. - Generación de claves por hardware o software

Las claves de la Autoridad Certificante ENCODESIN son generadas porhardware sobre dispositivos criptográficos FIPS 140-2 nivel 3.

Las claves de las Autoridades de Registro son generadas por hardware sobre dispositivos criptográficos FIPS 140-2 nivel 2.

Las claves de los suscriptores son generadas por software o porhardware a través de dispositivos criptográficos propiedad delsuscriptor, que cumplen con las normas FIPS 140-2 nivel 2 y son delmodelo especificado en la lista de dispositivos homologados por ENCODES.A.

En caso de elección por software las claves deben ser resguardadas conun pin de seguridad para su acceso. En el caso de elección porhardware, el dispositivo criptográfico deberá ser provisto por elsuscriptor y debe estar dentro de los modelos especificados en la listade los dispositivos homologados por ENCODE S.A.

6.1.9. - Propósitos de utilización de claves (campo “KeyUsage” en certificados X.509 v.3)

Las claves criptográficas de los suscriptores podrán ser utilizadaspara firmar digitalmente, respetando el alcance definido en la presentePolítica de Certificación. Los valores a utilizar son: “Firma Digital yNo Repudio”.

6.2. - Protección de la clave privada

La protección de la clave privada, considerada en este punto, se aplicapara la Autoridad Certificante ENCODESIN, las Autoridades de Registro ylos suscriptores, según se detalla a continuación.

6.2.1. - Estándares para dispositivos criptográficos

La clave privada de la Autoridad Certificante ENCODESIN es generada yalmacenada sobre un dispositivo criptográfico diseñado para tal fin quecumple con las normas FIPS 140-2 nivel 3.

Las claves privadas de las Autoridades de Registro son generadas yalmacenadas sobre un dispositivo criptográfico diseñado para tal finque cumple con las normas FIPS 140-2 nivel 2.

La clave privada del suscriptor persona física es generada yalmacenada, a su elección, 1) por “software”, o 2) por “hardware” sobredispositivos criptográficos de propiedad del suscriptor y el modelo deldispositivo debe ser alguno de los especificados en la lista dedispositivos homologados por ENCODE S.A.

La clave privada del suscriptor persona jurídica es generada yalmacenada, a su elección, 1) por “software”, o 2) por “hardware” sobredispositivos criptográficos de propiedad del suscriptor que cumplen conlas normas FIPS 140-2 nivel 2. El modelo del dispositivo debe seralguno de los especificados en la lista de dispositivos homologados porENCODE S.A.

6.2.2. - Control “M de N” de clave privada

La clave privada de la Autoridad Certificante es activadaexclusivamente en las instalaciones de ENCODE S.A. o en su sitioalternativo de contingencia, dentro del nivel de seguridad asignado alas operaciones críticas de la Autoridad Certificante ENCODESIN. Parasu activación deben estar presentes, personal autorizado en un número M(3), de N (10) posibles.

Las Autoridades de Registro y los suscriptores de certificados condispositivos criptográficos propios tienen acceso a su clave privadapersonal a través de una contraseña de acceso al dispositivocriptográfico y la contraseña de la clave privada.

6.2.3. - Recuperación de clave privada

En caso de necesidad, la Autoridad Certificante ENCODESIN prevémecanismos de recuperación de su clave privada a partir de las copiasde respaldo. Esta recuperación sólo puede ser realizada por personalautorizado, sobre dispositivos criptográficos seguros de los quedispone ENCODE S.A. y exclusivamente en los niveles de seguridad de laAutoridad Certificante ENCODESIN en su sitio principal o en su sitioalternativo de contingencia.

No se implementan mecanismos de resguardo y recuperación de la claveprivada de la Autoridad de Registro, ni de los suscriptores. En caso decompromiso de la clave privada, éstos deberán proceder a la revocacióndel certificado y tramitación de una nueva solicitud de emisión decertificado si así correspondiere.

6.2.4. - Copia de seguridad de clave privada

Copias de la clave privada de la Autoridad Certificante ENCODESIN sonrealizadas inmediatamente después de su generación, por personalautorizado de ENCODE S.A. y almacenadas en dispositivos criptográficosseguros homologados FIPS 140-2 nivel 3. Estos dispositivos sonresguardados en un lugar de acceso restringido.

No se implementan mecanismos de copias de resguardo de la clave privada de las Autoridades de Registro ni de los suscriptores.

6.2.5. - Archivo de clave privada

Las copias de resguardo de la clave privada de la AutoridadCertificante ENCODESIN son conservadas en lugares seguros, al igual quesus elementos de activación, bajo los niveles de seguridad exigidos porla Decisión Administrativa Nº 6/2007.

No se implementan mecanismos de archivo de copias de resguardo de laclave privada de las Autoridades de Registro ni de los suscriptores.

6.2.6. - Incorporación de claves privadas en dispositivos criptográficos

Las copias de resguardo de la clave privada de la AutoridadCertificante ENCODESIN están soportadas en dispositivos criptográficoshomologados FIPS 140-2 nivel 3.

Las claves privadas de las Autoridades de Registro son generadas yalmacenadas en dispositivos criptográficos homologados FIPS 140-2 nivel2 y no permiten su exportación.

Las claves privadas de los suscriptores que tengan dispositivoscriptográficos propios son generadas y almacenadas en esosdispositivos, estarán homologados como FIPS 140-2 nivel 2 y no permitensu exportación.

6.2.7. - Método de activación de claves privadas

Para la activación de la clave privada de la Autoridad CertificanteENCODESIN se aplica el control M de N. Todos los responsablesnecesarios para la activación deberán identificarse frente al sistemasegún corresponda al rol asignado y en un orden determinado por mediode distintos mecanismos de autenticación, a saber: llave de seguridad,claves secretas o ambos.

Las Autoridades de Registro y los suscriptores de certificados que usendispositivos criptográficos tienen acceso a su clave privada personal através de una contraseña de acceso al dispositivo criptográfico y lacontraseña de la clave privada.

6.2.8. - Método de desactivación de claves privadas

La desactivación de la clave privada de la Autoridad CertificanteENCODESIN puede realizarse en esta implementación, desactivando lapartición que la contiene. Esta tarea requiere seguir un procedimientode excepción, el que debe estar debidamente autorizado por elResponsable de Firma Digital, quien debe, además, participar en laCeremonia de desactivación de la clave privada de la AC ENCODESIN.

6.2.9. - Método de destrucción de claves privadas

Una vez finalizada la vida útil de la clave privada de la AutoridadCertificante ENCODESIN, la partición del dispositivo criptográficocontenedor de esa clave privada será borrada e inicializada a cero.Esta tarea se realizará en el Sitio de Máxima Seguridad en unaCeremonia preparada a ese efecto, con personal autorizado y con losprocedimientos de seguridad establecidos.

Para el caso de que finalice la vida útil de la clave privada de unOficial de una Autoridad de Registro o de un suscriptor, por motivo derevocación o expiración del certificado asociado, y sin mediarrenovación, deberá ser eliminado el certificado asociado al par declaves correspondiente.

6.3. - Otros aspectos de administración de claves

6.3.1. - Archivo permanente de la clave pública

Los certificados emitidos a Suscriptores y a las Autoridades deRegistro, como así también el de la Autoridad Certificante ENCODESIN,son almacenados y publicados bajo un esquema de redundancia yrespaldados en forma periódica, esto, sumado a la firma de cada uno deellos, garantiza su integridad.

Todos los certificados son almacenados en soporte magnético, en formatoestándar bajo codificación internacional DER. No se requierenherramientas particulares para el tratamiento de dicha información.

6.3.2. - Período de uso de clave pública y privada

El par de claves criptográficas del certificado de la AC ENCODESIN tiene una validez de diez (10) años.

El par de claves criptográficas correspondientes a los certificadosemitidos por la Autoridad Certificante ENCODESIN podrán ser utilizadaspor su suscriptor únicamente durante el período de validez de loscertificados. Este período para todos los certificados será de un año.

6.4. - Datos de activación

6.4.1. - Generación e instalación de datos de activación

Los dispositivos criptográficos utilizados por las Autoridades deRegistro y los suscriptores que los posean, son inicializados por lossuscriptores, en caso de corresponder.

Como paso previo a la generación de la clave privada, las Autoridadesde Registro y los suscriptores deberán establecer una clave deseguridad de acceso sobre el dispositivo criptográfico denominadocontraseña y al momento de la generación, la contraseña de la claveprivada. La contraseña de acceso del dispositivo criptográfico y lacontraseña de la clave privada, son conocidas sólo por su titular, yasea una Autoridad de Registro o un suscriptor, con el propósito deproteger la clave privada e impedir el acceso por parte de terceros,incluida la Autoridad Certificante ENCODESIN.

La generación e instalación de los datos de activación de la claveprivada de la AC ENCODESIN se realiza durante la Ceremonia Inicial conla participación de los N posibles testigos del control M de N.

6.4.2. - Protección de los datos de activación

Las Autoridades de Registro y los Suscriptores son responsables de lacustodia de sus respectivos dispositivos criptográficos y de la nodivulgación de la contraseña de acceso del dispositivo criptográfico nide la contraseña de la clave privada.

Ni ENCODE S.A., ni la Autoridad de Registro Central, ni las Autoridadesde Registro Delegadas implementan mecanismos de respaldo de lascontraseñas de la clave privada ni de la contraseña de acceso deldispositivo criptográfico de Autoridades de Registro ni de Suscriptores.

Los datos de activación de la clave privada de la AC ENCODESIN estánprotegidos por mecanismos de seguridad implementados en el nivel 6 delSitio de Máxima Seguridad.

6.4.3. - Otros aspectos referidos a los datos de activación

Es responsabilidad de las Autoridades de Registro y de losSuscriptores, elegir contraseñas para sus claves privadas y contraseñasde acceso del dispositivo criptográfico que:

• Contengan como mínimo 8 símbolos, que incluyan letras mayúsculas, letras minúsculas y números; y

• No sean fácilmente deducibles por otros, evitando utilizar nombres,direcciones, números telefónicos y similares relacionados con elSuscriptor.

La contraseña de acceso del dispositivo criptográfico debe diferir de la contraseña de la clave privada.

6.5. - Controles de seguridad informática

6.5.1. - Requisitos técnicos específicos

Para la prestación de sus servicios, la Autoridad CertificanteENCODESIN utiliza una infraestructura tecnológica propia que cumple conlos requisitos técnicos establecidos por la normativa vigente.

Entre los controles técnicos utilizados pueden mencionarse:

a) Control de Acceso físicos y lógicos

El acceso físico a las instalaciones está conformado por diversosperímetros de seguridad internos unos de otros, cada uno de los cualescuenta con mecanismos de tarjeta de proximidad y/o biométricos.

Del mismo modo, el acceso lógico a los sistemas se realiza por medio deservidores “firewall” y sus propios mecanismos de control y monitoreo.

b) Separación de funciones y roles críticos

Las principales funciones vinculadas a los procesos de certificación seencuentran divididos en roles que aseguran el correcto desempeño de losresponsables designados.

Los roles definidos en la operatoria de la Autoridad CertificanteENCODESIN serán desempeñados por los responsables designados. En casode ausencia temporaria, el responsable será reemplazado por elcorrespondiente sustituto designado.

Esto aplica a la Autoridad de Registro delegada de acuerdo con lo convenido entre ENCODE S.A. y la Organización.

c) Identificación y autenticación de roles

Para la identificación y autenticación en cada uno de los rolescríticos vinculados al proceso de certificación y gestión de claves deENCODE S.A., se utilizan mecanismos de reconocimiento biométrico ysistemas de autenticación de múltiples factores.

d) Utilización de criptografía para las sesiones de comunicación.

Todas las comunicaciones críticas entre los distintos componentes de laAutoridad Certificante ENCODESIN se realizan en forma cifrada.

e) Archivo de datos históricos y de auditoría del Certificador y usuarios

Se realizan auditorías y controles periódicos sobre cada etapa delproceso de certificación, incluyendo la verificación de ladocumentación de respaldo del proceso de identificación de suscriptores.

f) Registro de eventos de seguridad

Todas las operaciones y actividades de ENCODE S. A. generan informaciónde control y registros de eventos que permiten verificar elfuncionamiento y la seguridad de los sistemas.

g) Prueba de seguridad.

Se realizan comprobaciones periódicas del funcionamiento de los sistemas y los planes de contingencia.

h) Mecanismos confiables para identificación de roles afectados al proceso de certificación.

Existen mecanismos confiables de identificación de roles, en formaredundante, para los que intervienen en el proceso de certificación.

i) Mecanismos de recuperación para claves y sistema de certificación.

Existen mecanismos y procedimientos de contingencia que garantizan la continuidad en la prestación de los servicios.

6.5.2. - Calificaciones de seguridad computacional

Los servidores que conforman la Autoridad Certificante ENCODESIN paraPersonas Físicas y Jurídicas se encuentran alojados en el “Sitio deMáxima Seguridad” o SMS construido con los estándares requeridos paraeste tipo de ambientes.

Las certificaciones del módulo criptográfico HSM son las siguientes:

• U/L 1950 & CSA C22.2 y en CSA C22.2

• FCC Part 15 - Clase B

• High Assurance HSM

• Common criteria EAL 4+

• FIPS 140-2 Nivel 3

Aplicación PKI AC ENCODESIN:

El software PKI utilizado por la AC ENCODESIN se basa en los serviciosde certificados nativos del producto Microsoft Windows Server,permitiendo a su vez darle soporte documental a todos los circuitosdiseñados para implementar la infraestructura de clave pública. Es unsoftware totalmente escalable, modular e integrable, e incluye todaslas llamadas a las funciones de Microsoft Windows Server que cuenta conun completo sistema de seguridad diseñado según las normativas deseguridad ITU: X.509v3, RSA: PKCS 1, 7, 9, 10,12 y IETF: RFC2459, CMC.

6.6. - Controles Técnicos del ciclo de vida de los sistemas

6.6.1. - Controles de desarrollo de sistemas

Los sistemas informáticos son homologados por personal técnico almomento de su implementación, para asegurar que los programas que seponen en producción respondan a las características de diseñodeclaradas por el proveedor y oportunamente aceptadas cuando fueronseleccionados.

ENCODE S.A. ha adoptado el modelo de la organización OWASP (Open WebApplication Security Project), como su estándar para la seguridad delos sistemas, que aplica tanto en los desarrollos que realiza como enla homologación del software adquirido y en las adaptaciones y elmantenimiento de aplicaciones.

6.6.2. - Administración de controles y seguridad

ENCODE S.A. mantiene el control de los equipos y de la documentación dela configuración del sistema, registrándose toda modificación oactualización a cualquiera de ellos.

El esquema de seguridad física del SMS de la Autoridad CertificanteENCODESIN previene que terceros no autorizados puedan ingresarindebidamente a sus instalaciones.

El control periódico de integridad del sistema de la AutoridadCertificante ENCODESIN, realizado por el servicio ENCODEMON, adviertesobre cualquier cambio realizado, lo identifica y permite comprobar suvalidez.

6.6.3. - Calificaciones de seguridad del ciclo de vida del software

No existen certificaciones de terceros respecto del ciclo de vida del software.

6.7. - Controles de seguridad de red

ENCODE S.A. posee un sistema de protección integral de sus activosinformáticos. La red de la Autoridad Certificante ENCODESIN estáaislada de otras redes y se encuentra delimitada por diversoscortafuegos (“firewalls”) que proveen el filtrado de los paquetes dedatos.

6.8. - Controles de ingeniería de dispositivos criptográficos

Todas las actualizaciones de “software” o “firmware” de losdispositivos criptográficos utilizados por la Autoridad CertificanteENCODESIN son verificados en un ambiente de prueba independiente y, encaso de ser aprobadas las actualizaciones por el personal técnico deENCODE S.A., son distribuidas y aplicadas en los sistemascorrespondientes.

7. - PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS

Todos los certificados emitidos bajo la presente Política deCertificación respetan la especificación ITU-T X.509 (ISO/IEC 9594-8)“Information Technology – The Directory: Public key and atributecertificate frameworks” adoptada como estándar tecnológico para laInfraestructura de Firma Digital de la República Argentina por laDecisión Administrativa Nº 6/2007 de la JGM.

7.1. - Perfil del certificado

El formato de los certificados digitales emitidos bajo esta políticacumple con los requerimientos de la Decisión Administrativa Nº 6/2007de la Jefatura de Gabinete de Ministros y las especificacionescontenidas en RFC 3739 “Internet X.509 Public Key InfrastructureQualified Certificates Profile” y RFC 5280 “Internet X.509 Public KeyInfrastructure Certificate and Certificate Revocation List (CRL)Profile”.

Bajo esta Política de Certificación se emitirán 2 tipos decertificados: 1) Para Personas Físicas y 2) Para Personas Jurídicas.Para cada tipo de certificado hay diferentes clases, las que seencuentran descriptas en el punto “1.3.3 Suscriptores” de la presentePolítica.

7.1.1.- Perfil de los certificados para persona física clase A

CampoValorVersion2serialNumberNúmero de serie del certificadoSignature 1.2.840.113549.1.1.5 (SHA1-RSA)IssuercommonName2.5.4.3Autoridad Certificante ENCODESIN para Personas Físicas y JurídicasserialNumber2.5.4.5CUIT 30-71110353-4organizationName2.5.4.10ENCODE S.A.stateOrProvinceName2.5.4.8CórdobacountryName2.5.4.6ARValiditynotBeforenotAfterSubjectcommonName2.5.4.3serialNumber2.5.4.5title2.5.4.12organizationalUnitName2.5.4.11organizationName2.5.4.10< Nombre de la Organización relacionada que lo habilita para ser Suscriptor>localityName2.5.4.7stateOrProvinceName2.5.4.8countryName2.5.4.6subjectPublicKeyInfoExtensionsauthorityKeyIdentifier2.5.29.35basicConstraint2.5.29.19CA=FALSEPathLenConstraint=NullkeyUsage2.5.29.15 Firma digital, Sin repudioCRLDistributionPoints2.5.29.31[1]CRL Distribution PointDistribution Point Name:Full Name: URL=http://www.encodeac.com.ar/crl/encodesin.crl[2]CRL Distribution PointDistribution Point Name:Full Name: URL=http://www.encodesa.com.ar/crl/encodesin.crlCertificatePolicies2.5.29.32[1]Certificate Policy:Policy Identifier=[1.1] Policy Qualifier Info:Policy Qualifier Id=CPSQualifier:http://www.encodesa.com.ar/firma-digital/encodesin.pdfuserNotice=7.1.2. - Perfil del certificado para persona física clase B o C

CampoValorVersion2serialNumberNúmero de serie del certificadoSignature 1.2.840.113549.1.1.5 (SHA1-RSA)IssuercommonName2.5.4.3Autoridad Certificante ENCODESIN para Personas Físicas y JurídicasserialNumber2.5.4.5CUIT 30-71110353-4organizationName2.5.4.10ENCODE S.A.stateOrProvinceName2.5.4.8CórdobacountryName2.5.4.6ARValiditynotBeforenotAfterSubjectcommonName2.5.4.3serialNumber2.5.4.5title2.5.4.12organizationalUnitName2.5.4.11organizationName2.5.4.10localityName2.5.4.7stateOrProvinceName2.5.4.8countryName2.5.4.6subjectPublicKeyInfoExtensionsauthorityKeyIdentifier2.5.29.35basicConstraint2.5.29.19CA=FALSEPathLenConstraint=NullkeyUsage2.5.29.15 Firma digital, Sin repudioCRLDistributionPoints2.5.29.31[1]CRL Distribution PointDistribution Point Name:Full Name: URL=http://www.encodeac.com.ar/crl/encodesin.crl[2]CRL Distribution PointDistribution Point Name:Full Name: URL=http://www.encodesa.com.ar/crl/encodesin.crlCertificatePolicies2.5.29.32[1]Certificate Policy:Policy Identifier=[1.1] Policy Qualifier Info: Policy Qualifier Id=CPSQualifier:http://www.encodesa.com.ar/firma-digital/encodesin.pdfuserNotice=7.1.3.- Perfil de los certificados para persona jurídica clase A

CampoValorVersion2serialNumberNúmero de serie del certificadoSignature 1.2.840.113549.1.1.5 (SHA1-RSA)IssuercommonName2.5.4.3Autoridad Certificante ENCODESIN para Personas Físicas y Jurídicas de ENCODE S.A.serialNumber2.5.4.5CUIT 30-71110353-4organizationName2.5.4.10ENCODE S. A.stateOrProvinceName2.5.4.8CórdobacountryName2.5.4.6ARValiditynotBeforenotAfterSubjectcommonName2.5.4.3Unidad Operativa en el suscriptor (Ej., Ger RRHH)serialNumber2.5.4.5 CUIT + Número de CUITorganizationalUnitName2.5.4.11organizationName2.5.4.10localityName2.5.4.7stateOrProvinceName2.5.4.8countryName2.5.4.6País en que está constituida como Persona Jurídica ARsubjectPublicKeyInfoExtensionsauthorityKeyIdentifier2.5.29.35basicConstraint2.5.29.19CA=FALSEPathLenConstraint=NullkeyUsage2.5.29.15 Firma digital, Sin repudioSubjectAlternativeNamecommonName2.5.4.3serialNumber2.5.4.5title2.5.4.12CRLDistributionPoints2.5.29.31[1]CRL Distribution PointDistribution Point Name:Full Name: URL=http://www.encodeac.com.ar/crl/encodesin.crl[2]CRL Distribution PointDistribution Point Name:Full Name: URL=http://www.encodesa.com.ar/crl/encodesin.crlCertificatePolicies2.5.29.32[1]Certificate Policy:Policy Identifier=[1.1] Policy Qualifier Info:Policy Qualifier Id=CPSQualifier:http://www.encodesa.com.ar/firma-digital/encodesin.pdfuserNotice=7.2. - Perfil de la lista de certificados revocados

Las listas de certificados revocados (CRLs) cumplen con losrequerimientos de la Decisión Administrativa 6/2007 de la Jefatura deGabinete de Ministros y las especificaciones contenidas en el RFC 5280 “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”.

CampoValorVersion1Signature 1.2.840.113549.1.1.5 (SHA1-RSA)IssuercommonName2.5.4.3Autoridad Certificante ENCODESIN para Personas Físicas y Jurídicas de ENCODE S. A.serialNumber2.5.4.5CUIT 30-71110353-4organizationName2.5.4.10ENCODE S. A.stateOrProvinceName2.5.4.8CórdobacountryName2.5.4.6ARthisUpdatenextUpdaterevokedCertificatesserialNumberrevocationDateextensionsReasonCodeauthorityKeyIdentifier2.5.29.35CRLNumber2.5.29.208. - ADMINISTRACION DE ESPECIFICACIONES

8.1. - Procedimientos de cambio de especificaciones

Esta Política de Certificación y sus documentos complementarios seránrevisados por ENCODE S.A. en forma periódica para detectar y corregireventuales faltas de claridad y para adaptarlos a cambios en lanormativa.Todo cambio será sometido a la aprobación de la Autoridad de Aplicacióny, una vez aprobado, publicado en el sitio web de ENCODE S.A. y puestoen vigencia.

Cada nueva versión tendrá una descripción de los cambios producidos referidos a la versión previa.

8.2. - Procedimientos de publicación y notificación

Una copia actualizada del presente documento se encuentrapermanentemente disponible en forma pública y accesible a través deInternet en la dirección:

• http://www.encodeac.com.ar/firma-digital/encodesin.pdf

En caso de producirse modificaciones sustanciales a los contenidos dela presente política, los suscriptores que posean certificados vigentesa la fecha de aplicación del cambio serán notificados por correoelectrónico en las direcciones declaradas en los correspondientescertificados.

8.3. - Procedimientos de aprobación

Según lo establecido por la Ley 25.506, art. 21, inc. q), y por laDecisión Administrativa Nº 6/2007 de la JGM, la presente política y susposteriores modificaciones deben ser aprobadas por la Autoridad deAplicación de Firma Digital de la República Argentina.

e. 04/07/2012 N° 72206/12 v. 04/07/2012