Disposición 1/2015

Texto Original

JEFATURA DE GABINETE DE MINISTROS

SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA

SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN

Disposición 1/2015

Bs. As., 2/2/2015

VISTO el Expediente N° CUDAP: EXP-JGM:0000362/2015 del Registro de laJEFATURA DE GABINETE DE MINISTROS, la Ley N° 25.506, los Decretos Nros.357 del 21 de febrero de 2002 y sus modificatorios y 2628 del 19 dediciembre de 2002 y sus modificatorios, la Decisión Administrativa N°927 del 30 de octubre de 2014 y las Resoluciones Nros. 63 del 13 denoviembre de 2007 de la ex SUBSECRETARÍA DE LA GESTIÓN PÚBLICA de laJEFATURA DE GABINETE DE MINISTROS, 87 del 17 de diciembre de 2008 de laex SECRETARÍA DE GABINETE Y GESTIÓN PÚBLICA de la JEFATURA DE GABINETEDE MINISTROS, y 250 del 25 de junio de 2014 de la SECRETARÍA DEGABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DEMINISTROS, y

CONSIDERANDO:

Que la Ley N° 25.506 de Firma Digital, reconoce la eficacia jurídicadel documento electrónico, la firma electrónica y la firma digital,estableciendo las características de la Infraestructura de FirmaDigital de la REPÚBLICA ARGENTINA.

Que el inciso h) del artículo 30 de la mencionada ley asigna a laautoridad de aplicación la función de otorgar o revocar las licencias alos certificadores licenciados y supervisar su actividad, según lasexigencias instituidas por la reglamentación.

Que el artículo 24 del Decreto N° 2628 del 19 de diciembre de 2002 ysus modificatorios, reglamentario de la Ley N° 25.506 de Firma Digital,establece el procedimiento que los certificadores deben observar parala obtención de una licencia y detalla la documentación exigida para elcumplimiento de las condiciones estipuladas en la Ley N° 25.506, sudecreto reglamentario y normas complementarias.

Que la Decisión Administrativa N° 927 del 30 de octubre de 2014,establece las pautas técnicas complementarias del marco normativo defirma digital, aplicables al otorgamiento y revocación de licencias alos certificadores que así lo soliciten.

Que el Decreto N° 357 del 21 de febrero de 2002 y sus modificatorios,en el punto XI de la planilla Anexa al artículo 2° faculta a laSUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN dependiente de la SECRETARÍA DEGABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DEMINISTROS, entre otras funciones, para actuar como autoridad deaplicación del Régimen Normativo de la infraestructura de Firma Digitalestablecida por la Ley N° 25.506, y ejercer las funciones de entelicenciante y supervisor de certificadores.

Que la Resolución N° 63 del 13 de noviembre de 2007 de la exSUBSECRETARÍA DE LA GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DEMINISTROS aprueba la “Política de Certificación de la AutoridadCertificante Raíz de la Infraestructura de Firma Digital de laREPÚBLICA ARGENTINA”, que rige la emisión de certificados a losCertificadores que hayan sido licenciados por el ente licenciante.

Que la Resolución N° 87 del 17 de diciembre de 2008 de la ex SECRETARÍADE GABINETE Y GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROSotorga la licencia para operar como Certificador Licenciado a laADMINISTRACIÓN NACIONAL DE LA SEGURIDAD SOCIAL.

Que la Resolución N° 250 del 25 de junio de 2014 de la SECRETARÍA DEGABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DEMINISTROS aprueba la renovación de la licencia para operar comoCertificador Licenciado a la ADMINISTRACIÓN NACIONAL DE LA SEGURIDADSOCIAL, de acuerdo a lo dispuesto en el artículo 26 del Decreto N°2628/02 y sus modificatorios.

Que en virtud de las constancias obrantes en el expediente, se hanacreditado las condiciones requeridas por la Decisión Administrativa N°927/14 para que la ADMINISTRACIÓN NACIONAL DE LA SEGURIDAD SOCIAL en sucalidad de Certificador Licenciado, adhiera a la Política Única deCertificación, en cumplimiento a lo dispuesto por su artículo 62.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DECOORDINACIÓN ADMINISTRATIVA de la SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado laintervención que le compete.

Que el SUBSECRETARIO DE TECNOLOGÍAS DE GESTIÓN dependiente de laSECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DEGABINETE DE MINISTROS se encuentra facultado para dictar la presentemedida en virtud del Decreto N° 357/2002 y sus modificatorios.

Por ello,

EL SUBSECRETARIO DE TECNOLOGÍAS DE GESTIÓN DE LA SECRETARÍA DE GABINETEY COORDINACIÓN ADMINISTRATIVA DE LA JEFATURA DE GABINETE DE MINISTROS

DISPONE:

ARTÍCULO 1° — Apruébase la adhesión de la ADMINISTRACIÓN NACIONAL DE LASEGURIDAD SOCIAL, en su calidad de Certificador Licenciado, a la“Política Única de Certificación”, cuyo texto adecuado forma parteintegrante de la presente Disposición como Anexo.

ARTÍCULO 2° — Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DELREGISTRO OFICIAL y archívese. — Ing. SERGIO A. BLANCO, Subsecretario deTecnologías de Gestión, Secretaría de Gabinete y CoordinaciónAdministrativa, Jefatura de Gabinete de Ministros.

ANEXO

Infraestructura de Firma Digital - REPÚBLICA ARGENTINA Ley N° 25.506

Política Única de Certificación de la ANSES

TABLA DE CONTENIDO

1. - INTRODUCCIÓN

1.1. - Descripción general

1.2. - Nombre e Identificación del Documento

1.3. - Participantes

1.3.1. - Certificador

1.3.2. - Autoridad de Registro

1.3.3. - Suscriptores de certificados

1.3.4. - Terceros Usuarios

1.4. - Uso de los certificados

1.5. - Administración de la Política

1.5.1. - Responsable del documento

1.5.2. - Contacto

1.5.3. - Procedimiento de aprobación de la Política Única de Certificación

1.6. - Definiciones y Acrónimos

1.6.1. - Definiciones

1.6.2. - Acrónimos

2. - RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS

2.1. - Repositorios

2.2. - Publicación de información del certificador

2.3. - Frecuencia de publicación

2.4. - Controles de acceso a la información

3. - IDENTIFICACIÓN Y AUTENTICACIÓN

3.1.- Asignación de nombres de suscriptores

3.1.1. - Tipos de Nombres

3.1.2. - Necesidad de Nombres Distintivos

3.1.3. - Anonimato o uso de seudónimos

3.1.4. - Reglas para la interpretación de nombres

3.1.5. - Unicidad de nombres

3.1.6. - Reconocimiento, autenticación y rol de las marcas registradas

3.2. - Registro inicial

3.2.1. - Métodos para comprobar la posesión de la clave privada

3.2.2. - Autenticación de la identidad de Personas Jurídicas Públicas o Privadas

3.2.3. - Autenticación de la identidad de Personas Físicas

3.2.4. - Información no verificada del suscriptor

3.2.5. - Validación de autoridad

3.2.6. - Criterios para la interoperabilidad

3.3. - Identificación y autenticación para la generación de nuevo par de claves (Rutina de Re Key)

3.3.1. - Renovación con generación de nuevo par de claves (Rutina de Re Key)

3.3.2. - Generación de UN (1) certificado con el mismo par de claves

3.4. - Requerimiento de revocación

4. - CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS

4.1. - Solicitud de certificado

4.1.1. - Solicitantes de certificados

4.1.2. - Solicitud de certificado

4.2. - Procesamiento de la solicitud del certificado

4.3. - Emisión del certificado

4.3.1. - Proceso de emisión del certificado

4.3.2. - Notificación de emisión

4.4. - Aceptación del certificado

4.5. - Uso del par de claves y del certificado

4.5.1. - Uso de la clave privada y del certificado por parte del suscriptor

4.5.2. - Uso de la clave pública y del certificado por parte de Terceros Usuarios

4.6. - Renovación del certificado sin generación de un nuevo par de claves

4.7. - Renovación del certificado con generación de un nuevo par de claves

4.8. - Modificación del certificado

4.9. - Suspensión y Revocación de Certificados

4.9.1. - Causas de revocación

4.9.2. - Autorizados a solicitar la revocación

4.9.3. - Procedimientos para la solicitud de revocación

4.9.4. - Plazo para la solicitud de revocación

4.9.5. - Plazo para el procesamiento de la solicitud de revocación

4.9.6. - Requisitos para la verificación de la lista de certificados revocados

4.9.7. - Frecuencia de emisión de listas de certificados revocados

4.9.8. - Vigencia de la lista de certificados revocados

4.9.9. - Disponibilidad del servicio de consulta sobre revocación y de estado del certificado

4.9.10. - Requisitos para la verificación en línea del estado de revocación

4.9.11. - Otras formas disponibles para la divulgación de la revocación

4.9.12. - Requisitos específicos para casos de compromiso de claves

4.9.13. - Causas de suspensión

4.9.14. - Autorizados a solicitar la suspensión

4.9.15. - Procedimientos para la solicitud de suspensión

4.9.16. - Límites del período de suspensión de un certificado

4.10. Estado del certificado

4.10.1. - Características técnicas

4.10.2. - Disponibilidad del servicio

4.10.3. - Aspectos operativos

4.11. - Desvinculación del suscriptor

4.12. - Recuperación y custodia de claves privadas

5. - CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN

5.1. - Controles de seguridad física

5.2. - Controles de Gestión

5.3. - Controles de seguridad del personal

5.4. - Procedimientos de Auditoría de Seguridad

5.5. - Conservación de registros de eventos

5.6. - Cambio de claves criptográficas

5.7. - Plan de respuesta a incidentes y recuperación ante desastres

5.8. - Plan de Cese de Actividades

6. - CONTROLES DE SEGURIDAD TECNICA

6.1. - Generación e instalación del par de claves criptográficas

6.1.1. - Generación del par de claves criptográficas

6.1.2. - Entrega de la clave privada

6.1.3. - Entrega de la clave pública al emisor del certificado

6.1.4. - Disponibilidad de la clave pública del certificador

6.1.5. - Tamaño de claves

6.1.6. - Generación de parámetros de claves asimétricas

6.1.7. - Propósitos de utilización de claves (campo “KeyUsage” en certificados X.509 v.3)

6.2. - Protección de la clave privada y controles sobre los dispositivos criptográficos

6.2.1. - Controles y estándares para dispositivos criptográficos

6.2.2. - Control “M de N” de clave privada

6.2.3. - Recuperación de clave privada

6.2.4. - Copia de seguridad de clave privada

6.2.5. - Archivo de clave privada

6.2.6. - Transferencia de claves privadas en dispositivos criptográficos

6.2.7. - Almacenamiento de claves privadas en dispositivos criptográficos

6.2.8. - Método de activación de claves privadas

6.2.9. - Método de desactivación de claves privadas

6.2.10. - Método de destrucción de claves privadas

6.2.11. - Requisitos de los dispositivos criptográficos

6.3. - Otros aspectos de administración de claves

6.3.1. - Archivo permanente de la clave pública

6.3.2. - Período de uso de clave pública y privada

6.4. - Datos de activación

6.4.1. - Generación e instalación de datos de activación

6.4.2. - Protección de los datos de activación

6.4.3. - Otros aspectos referidos a los datos de activación

6.5. - Controles de seguridad informática

6.5.1. - Requisitos Técnicos específicos

6.5.2. - Requisitos de seguridad computacional

6.6. - Controles Técnicos del ciclo de vida de los sistemas

6.6.1. - Controles de desarrollo de sistemas

6.6.2. - Controles de gestión de seguridad

6.6.3. - Controles de seguridad del ciclo de vida del software

6.7. - Controles de seguridad de red

6.8. - Certificación de fecha y hora

7. - PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS

7.1. - Perfil del certificado

7.1.1. - Número de versión

7.1.2. - Extensiones

7.1.3. - Identificadores de algoritmos

7.1.4. - Formatos de nombre

7.1.5. - Restricciones de nombre

7.1.6. - OID de la Política de Certificación

7.1.7. - Sintaxis y semántica de calificadores de Política

7.1.8. - Semántica de procesamiento para extensiones críticas

7.2. - Perfil de la lista de certificados revocados

7.2.1. - Número de versión

7.2.2. - Extensiones de CRL (Lista de Certificados Revocados)

7.3. - Perfil de la consulta en línea del estado del certificado

7.3.1. - Consultas OCSP

7.3.2. - Respuestas OCSP

8. - AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES

9. - ASPECTOS LEGALES Y ADMINISTRATIVOS

9.1. - Aranceles

9.2. - Responsabilidad Financiera

9.3. - Confidencialidad

9.3.1. - Información confidencial

9.3.2. - Información no confidencial

9.3.3. - Responsabilidades de los roles involucrados

9.4. - Privacidad

9.5 - Derechos de Propiedad Intelectual

9.6. - Responsabilidades y garantías

9.7. - Deslinde de responsabilidad

9.8. - Limitaciones a la responsabilidad frente a terceros

9.9. - Compensaciones por daños y perjuicios

9.10. - Condiciones de vigencia

9.11. - Avisos personales y comunicaciones con los participantes

9.12. - Gestión del ciclo de vida del documento

9.12.1. - Procedimientos de cambio

9.12.2. - Mecanismo y plazo de publicación y notificación

9.12.3. - Condiciones de modificación del OID

9.13. - Procedimientos de resolución de conflictos

9.14. - Legislación aplicable

9.15. - Conformidad con normas aplicables

9.16. - Cláusulas adicionales

9.17. - Otras cuestiones generales

1. - INTRODUCCIÓN

1.1. - Descripción general

El presente documento define la Política Única de Certificación querige la relación entre la ADMINISTRACIÓN NACIONAL DE LA SEGURIDADSOCIAL, los suscriptores de certificados digitales emitidos en elámbito de la presente política y los terceros usuarios que recibaninformación firmada digitalmente, de conformidad con la Ley N° 25.506,su Decreto Reglamentario N° 2628/2002 y la Decisión Administrativa927/2014 de la JGM. La licencia es otorgada mediante Resolución N°87/2008 de la Secretaría de Gabinete y Gestión Pública. Asimismo, enesta Política Única se establecen las responsabilidades de:

- la ANSES como Certificador Licenciado,

- la Autoridad de Registro relacionada,

- los solicitantes y suscriptores de certificados digitales, y

- los terceros usuarios receptores de documentos firmados bajo la presente política.

Con respecto a su alcance, esta Política Única de Certificación paraPersonas Físicas de la ANSES comprende la emisión de certificadosdigitales para el personal que preste servicios a la ANSES; autorizandoel uso de los certificados emitidos para verificar firmas digitales encomunicaciones internas o externas de esta ADMINISTRACIÓN NACIONAL, ensus procedimientos administrativos.

Bajo esta Política Única de Certificación, la Autoridad de Registroestará bajo la competencia de las áreas con responsabilidad primaria enla administración y gestión de los recursos humanos.

Un certificado vincula los datos de verificación de firma digital deuna persona física o jurídica o con una aplicación a un conjunto dedatos que permiten identificar a dicha entidad, conocida comosuscriptor del certificado.

La autoridad de aplicación de la Infraestructura de firma digital es laSECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DEGABINETE DE MINISTROS, siendo la SUBSECRETARÍA DE TECNOLOGÍAS DEGESTIÓN de la SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA dela JEFATURA DE GABINETE DE MINISTROS, quien entiende en las funcionesde ente licenciante.

1.2. - Nombre e Identificación del Documento

Nombre: Política Única de Certificación para Personas Físicas de la ANSES

Versión: 2.0

Fecha: 05/01/2015

URL: https://servicioswww.anses.gov.ar/firmadigital/politica/

OID: 2.16.32.1.1.2

Lugar: Buenos Aires, Argentina

1.3. - Participantes

Integran la infraestructura del certificador las siguientes entidades:

1.3.1. - Certificador

ANSES en su calidad de Certificador Licenciado, con licencia otorgadapor Resolución N° 87/2008 de la Secretaría de Gabinete y GestiónPública como Autoridad de Aplicación, desarrolla las tareas de emisiónde certificados digitales según lo establecido por la Ley 25.506 y susnormas complementarias.

1.3.2. - Autoridad de Registro

Las tareas relacionadas con la identificación y autenticación de lossolicitantes y suscriptores, la verificación y guarda de ladocumentación probatoria son realizadas por la Autoridad de Registro.En el marco de la presente política la función de Autoridad de Registroestará bajo la competencia de las áreas con responsabilidad primaria enla administración y gestión de los recursos humanos. Para ver cualquierinformación al respecto ingresar al sitio: https://servicioswww.anses. gov.ar/firmadigital/

1.3.3. - Suscriptores de certificados

Los certificados digitales emitidos bajo la presente Política Única deCertificación tienen como suscriptores a aquellas personas físicas quedesempeñan funciones para la ANSES con independencia del tipo derelación pudiendo ser funcionarios, empleados, adscriptos, personaldesignado desde otros organismos, pasantes o contratados de cualquiernaturaleza; sin perjuicio de su posible ampliación previa notificaciónal ente licenciante.

1.3.4. - Terceros Usuarios

Son Terceros Usuarios de los certificados emitidos bajo la presentePolítica Única de Certificación, toda persona física o jurídica querecibe un documento firmado digitalmente y que genera una consulta paraverificar la validez del certificado digital correspondiente, deacuerdo al Anexo I del Decreto N° 2628 del 19 de diciembre de 2002. Enel caso de los certificados de sitio seguro, serán Terceros Usuariosquienes verifiquen el certificado del servidor.

1.4. - Uso de los certificados

Las claves correspondientes a los certificados digitales que se emitanbajo la presente Política Única de Certificación podrán ser utilizadasen forma interoperable en los procesos de firma digital de cualquierdocumento o transacción y para la autenticación o el cifrado.

1.5. - Administración de la Política

1.5.1. - Responsable del documento

Esta Política Única de Certificación es administrada por:

- Dirección de Seguridad Informática, de la Dirección General deInformática e Innovación Tecnológica de ANSES representada por suDirector a cargo.

- Domicilio: Piedras 353, (C1070AAG) Ciudad Autónoma de Buenos Aires, Argentina

- Correo electrónico: firmadigital@anses.gov.ar

- Teléfono: (011) 4015-2201

1.5.2. - Contacto

Para realizar preguntas, efectuar reclamos o enviar sugerenciasreferidos al proceso de certificación el interesado deberá dirigirse a:

- Mesa de Servicios de la Dirección de Servicio a Usuarios de ANSES representada por el Coordinador a cargo.

- Domicilio: Piedras 353, (C1070AAG) Ciudad Autónoma de Buenos Aires, Argentina

- Correo electrónico: MESADESERVICIOS@anses.gov.ar

- Teléfono: (011) 4015-2100

1.5.3. - Procedimiento de aprobación de la Política Única de Certificación

La Política Única de Certificación y el Formulario de Adhesión delAnexo I han sido presentados ante el ente licenciante durante elproceso de adecuación, aprobado por acto administrativo: ; y por elcual se obtuvo la licencia, la RESOLUCIÓN SGGP N° 87 del 17 dediciembre del 2008.

1.6. - Definiciones y Acrónimos

1.6.1. - Definiciones

Definiciones y conceptos relevantes utilizados en la Política Única de Certificación:

Acuerdo con Suscriptores: Es el documento que determina entre la ANSESy el suscriptor o titular de certificado digital, los derechos yobligaciones de las partes respecto a la solicitud, aceptación y uso decertificados digitales emitidos según los términos de la Política Únicade Certificación de ANSES.

Autoridad de Aplicación: la SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS es la Autoridadde Aplicación de firma digital en la REPÚBLICA ARGENTINA.

Autoridad de Registro: es la entidad que tiene a su cargo las funciones de:

• Recepción de las solicitudes de emisión de certificados.

• Validación de la identidad y autenticación de los datos de los titulares de certificados.

• Validación de otros datos de los titulares de certificados que sepresenten ante ella cuya verificación delegue el CertificadorLicenciado.

• Remisión de las solicitudes aprobadas al Certificador Licenciado con la que se encuentre operativamente vinculada.

• Recepción y validación de las solicitudes de revocación decertificados; y su direccionamiento al Certificador Licenciado con elque se vinculen.

• Identificación y autenticación de los solicitantes de revocación de certificados.

• Archivo y la conservación de toda la documentación respaldatoria delproceso de validación de identidad, de acuerdo con los procedimientosestablecidos por el certificador licenciado.

• Cumplimiento de las normas y recaudos establecidos para la protección de datos personales.

• Cumplimiento de las disposiciones que establezca la Política Única deCertificación y el Manual de Procedimientos del Certificador Licenciadocon el que se encuentre vinculada, en la parte que resulte aplicable.

Dichas funciones son delegadas por el certificador licenciado. Puedeactuar en una instalación fija o en modalidad móvil, siempre que medieautorización del ente licenciante.

Autoridad de Registro Central: Autoridad con competencia en tareas deidentificación y autenticación de solicitantes tanto de áreas centralescomo de la Jefatura Regional Capital Federal.

Autoridad de Registro Regional: Autoridad con competencia en tareas deidentificación y autenticación de solicitantes de la Jefatura Regionala la que pertenece.

Certificado Digital: Se entiende por certificado digital al documentodigital firmado digitalmente por un certificador, que vincula los datosde verificación de firma a su titular (artículo 13 de la Ley N° 25.506).

Certificador Licenciado: Se entiende por certificador licenciado a todapersona de existencia ideal, registro público de contratos u organismopúblico que expide certificados, presta otros servicios en relación conla firma digital y cuenta con una licencia para ello, otorgada por elente licenciante. (Artículo 17 de la Ley N° 25.506).

Certificación digital de fecha y hora: Indicación de la fecha y horacierta, asignada a un documento o registro electrónico por una terceraparte confiable y firmada digitalmente por ella. (Anexo al Decreto N°2628 de fecha 19 de diciembre de 2002).

Ente licenciante: la SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN de laSECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DEGABINETE DE MINISTROS es Ente Licenciante.

Lista de certificados revocados: Lista de certificados que han sidodejados sin efecto en forma permanente por el Certificador Licenciado,la cual ha sido firmada digitalmente y publicada por el mismo. Eninglés: Certificate Revocation List (CRL). (Anexo al Decreto N°2628/02).

Manual de Procedimientos: Conjunto de prácticas utilizadas por elcertificador licenciado en la emisión y administración de loscertificados. En inglés: Certification Practice Statement (CPS). (Anexoal Decreto N° 2628/02).

Plan de Cese de Actividades: conjunto de actividades a desarrollar porel certificador licenciado en caso de finalizar la prestación de susservicios. (Anexo al Decreto N° 2628/02).

Plan de Continuidad de las operaciones: Conjunto de procedimientos aseguir por el certificador licenciado ante situaciones de ocurrencia noprevistas que comprometan la continuidad de sus operaciones.

Plan de Seguridad: Conjunto de políticas, prácticas y procedimientosdestinados a la protección de los recursos del certificador licenciado.(Anexo al Decreto N° 2628/02).

Política de Privacidad: conjunto de declaraciones que el CertificadorLicenciado se compromete a cumplir de manera de resguardar los datos delos solicitantes y suscriptores de certificados digitales por élemitidos.

Servicio OCSP (Protocolo en línea del estado de un certificado -“Online Certificate Status Protocol”): servicio de verificación enlínea del estado de los certificados. El OCSP es un método paradeterminar el estado de revocación de un certificado digital usandootros medios que no sean el uso de Listas de Revocación de Certificados(CRL). El resultado de una consulta a este servicio está firmado por elcertificador que brinda el servicio.

Suscriptor o Titular de certificado digital: Persona o entidad a cuyonombre se emite un certificado y que posee una clave privada que secorresponde con la clave pública contenida en el mismo.

Tercero Usuario: persona física o jurídica que recibe un documentofirmado digitalmente y que genera una consulta para verificar lavalidez del certificado digital correspondiente. (Artículo 3° delDecreto N° 724/06).

Términos y condiciones con terceros usuarios: Es el documento quedetermina los derechos y responsabilidades de las partes en lo querespecta a la verificación de firmas digitales y otros usos de loscertificados digitales de esta Autoridad Certificante para PersonasFísicas de la ANSES.

1.6.2. - Acrónimos

CRL - Lista de Certificados Revocados (“Certificate Revocation List”)

CUIT - Clave Única de Identificación Tributaria

DES - Data Encryption Standard

FIPS - Federal Information Processing Standards

IEC - International Electrotechnical Commission

IETF - Internet Engineering Task Force

NIST - National Institute of Standards and Technology

OCSP - Protocolo en línea del estado de un certificado (“On line Certificate Status Protocol”)

OID - Identificador de Objeto (“Object Identifier”)

ONTI - Oficina Nacional de Tecnologías de Información

RFC - Request for Comments

SHA1- Secure Hash Algorithm, second version

2. - RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS

Se detallan a continuación las responsabilidades del certificador y detodo otro participante respecto al mantenimiento de repositorios,publicación de certificados y de información sobre sus políticas yprocedimientos.

2.1. - Repositorios

Los repositorios de información y la publicación de la Lista deCertificados Revocados son administrados en forma directa por la ANSES.

2.2. - Publicación de información del certificador

Se mantiene un repositorio en línea accesible durante las 24 hs los 7 días de la semana en las siguientes direcciones:

- http://intranetanses/firmadigital

- https://servicioswww.anses.gov.ar/firmadigital

La ANSES publica las versiones vigentes de los siguientes documentos:

a) Formulario de Adhesión del Anexo I.

b) Política Única de Certificación.

c) Acuerdo Tipo con suscriptores.

d) Términos y condiciones Tipo con terceros usuarios (“relying parties”).

e) Política de Privacidad.

f) Manual de Procedimientos (parte pública).

g) Información relevante de los informes de su última auditoría.

h) Repositorio de certificados revocados.

i) Certificados del certificador licenciado y acceso al de la Autoridad Certificante Raíz.

Adicionalmente, el certificador licenciado incluirá la informaciónespecífica correspondiente a esta sección, la cual surge del Anexo I.

2.3. - Frecuencia de publicación

Se garantiza la actualización inmediata del repositorio cada vez que cualquiera de los documentos publicados sea modificado.

2.4. - Controles de acceso a la información

Se garantizan los controles de los accesos al certificado delcertificador, a la Lista de Certificados Revocados y a las versionesanteriores y actualizadas de la Política Única de Certificación y a suManual de Procedimientos (excepto en sus aspectos confidenciales). Sólose revelará información confidencial o privada, si es requeridajudicialmente o en el marco de procedimientos administrativos.

En virtud de lo dispuesto por la Ley de Protección de Datos PersonalesN° 25.326 y por el inciso h) del artículo 21 de la Ley N° 25.506, elsolicitante o titular de un certificado digital podrá solicitar elacceso a toda la información relativa a las tramitaciones realizadas.

No se establecen restricciones al acceso de los sitios de publicaciónde documentación citada en el apartado 2.2. “Publicación de informacióndel certificador”. Los suscriptores que acceden a la Intranet de ANSESdeberán hacerlo a través de su identificación de acceso a la red de laOrganización.

3. - IDENTIFICACIÓN Y AUTENTICACIÓN

En esta sección se describen los procedimientos empleados paraautenticar la identidad de los solicitantes de certificados digitales yutilizados por las Autoridades Certificantes o sus Autoridades deRegistro como prerrequisito para su emisión. También se describen lospasos para la autenticación de los solicitantes de renovación yrevocación de certificados.

3.1.- Asignación de nombres de suscriptores

3.1.1. - Tipos de Nombres

El nombre a utilizar es el que surge de la documentación presentada por el solicitante, de acuerdo al apartado que sigue.

3.1.2. - Necesidad de Nombres Distintivos

No se establecen restricciones a los nombres que pueden ser incluidosdentro de los certificados, en tanto se correspondan con ladocumentación probatoria exigida para la emisión de certificados poresta política.

Los siguientes atributos son incluidos en los certificados e identifican unívocamente al suscriptor:

Para los certificados de Personas Físicas:

- “commonName” (OID 2.5.4.3: Nombre común): DEBE estar presente y DEBEcorresponderse con el nombre que figura en el Documento de Identidaddel suscriptor, acorde a lo establecido en el punto 3.2.3.

- “serialNumber” (OID 2.5.4.5: Número de serie): DEBE estar presente yDEBE contener el tipo y número de identificación del titular, expresadocomo texto y respetando el siguiente formato y codificación: “[tipo dedocumento]” “[nro. de documento]”

Los valores posibles para el campo [tipo de documento] son:

En caso de ciudadanos argentinos o residentes: “CUIT/CUIL”: Clave Única de Identificación Tributaria o Laboral.

- “countryName” (OID 2.5.4.6: Código de país): DEBE estar presente yDEBE representar el país de emisión de los certificados, codificadosegún el estándar [ISO3166] de DOS (2) caracteres. Debido a que lossuscriptores de la presente política desempeñan funciones dentro de laANSES este campo contiene “AR” en todos los certificados.

Para los certificados de los Proveedores de servicios de firma digitalo de aplicación: No aplicable, la AC ANSES no presta el servicio.

Para los certificados de Personas Jurídicas Públicas o Privadas: No aplicable, la AC ANSES no presta el servicio.

Para los certificados de Sitio Seguro:

No aplicable, la AC ANSES no presta el servicio.

Para los certificados de fecha y hora:

No aplicable, la AC ANSES no presta el servicio.

3.1.3. - Anonimato o uso de seudónimos

No se emitirán certificados anónimos o cuyo Nombre Distintivo contengaUN (1) seudónimo. Todos los nombres representados dentro de loscertificados emitidos bajo la presente política coinciden con los delcorrespondiente documento personal. En casos de coincidencia denombres, el método de resolución será la combinación del “Nombre común”con los atributos “Número de serie”.

3.1.4. - Reglas para la interpretación de nombres

Todos los nombres representados dentro de los certificados emitidosbajo la presente política coinciden con los correspondientes aldocumento de identidad del suscriptor. Las discrepancias o conflictosque puedan generarse si los datos de los solicitantes o suscriptorescontienen caracteres especiales, se tratarán de modo de asegurar laprecisión de la información contenida en el certificado.

3.1.5. - Unicidad de nombres

El nombre distintivo debe ser único para cada suscriptor, pudiendoexistir más de un certificado con igual nombre distintivo sicorresponde al mismo suscriptor. El procedimiento de resolución dehomonimias se basa en la utilización del número de identificaciónlaboral o tributaria, tanto en el caso de personas físicas comojurídicas.

3.1.6. - Reconocimiento, autenticación y rol de las marcas registradas

No se admite la inclusión de marcas comerciales, marcas de servicios onombres de fantasía como nombres distintivos en los certificados.

El certificador se reserva el derecho de tomar todas las decisionesreferidas a posibles conflictos sobre la utilización y titularidad decualquier nombre entre sus suscriptores conforme su normativa alrespecto. En caso de conflicto, la parte que solicite el certificadodebe demostrar su interés legítimo y su derecho a la utilización de unnombre en particular.

3.2. - Registro inicial

Se describen los procedimientos a utilizar para autenticar, como pasoprevio a la emisión de UN (1) certificado, la identidad y demásatributos del solicitante que se presente ante el certificador o antela Autoridad de Registro operativamente vinculada. Se establecen losmedios admitidos para recibir los requerimientos de certificados y paracomunicar su aceptación.

El certificador DEBE cumplir con lo establecido en:

a) El artículo 21, inciso a) de la Ley de Firma Digital N° 25.506 y elartículo 34, inciso e) de su reglamentario, Decreto N° 2628/02,relativos a la información a brindar a los solicitantes.

b) El artículo 14, inciso b) de la Ley de Firma Digital N° 25.506 relativo a los contenidos mínimos de los certificados.

3.2.1. - Métodos para comprobar la posesión de la clave privada

El certificador comprueba que el solicitante se encuentra en posesiónde la clave privada mediante la verificación de la solicitud delcertificado digital en formato PKCS#10, el que no incluye dicha clave.Las claves siempre son generadas por el solicitante. En ningún caso elcertificador licenciado ni sus autoridades de registro podrán tomarconocimiento o acceder bajo ninguna circunstancia a las claves de lossolicitantes o titulares de los certificados, conforme el inciso b) delartículo 21 de la Ley N° 25.506.

Para la comprobación de la posesión de la clave privada se utiliza el siguiente procedimiento:

a) El solicitante es partícipe directo y necesario para la generación de su par de claves criptográficas asimétricas.

b) Durante el proceso de solicitud, el solicitante es requerido para lageneración de un par de claves criptográficas asimétricas.

c) Las claves son generadas y almacenadas en dispositivos criptográficos.

d) Los datos de la solicitud y el requerimiento con la clave públicadel solicitante, en formato PKCS#10, son enviados a la aplicación de laAutoridad Certificante.

e) La aplicación de la Autoridad Certificante valida el requerimiento PKCS#10.

f) En caso de ser correcto el formato, la aplicación de la AutoridadCertificante entrega al solicitante un “recibo de solicitud” incluyendoel resumen criptográfico (huella SHA-1).

g) El solicitante deberá tomar nota y proceder a la conservación delPIN “de revocación” informado por la aplicación de la Autoridad deCertificación. El PIN “de revocación” es un valor único y se componedel resumen criptográfico (huella SHA-1) y del número de solicitud deemisión.

h) El solicitante debe imprimir el “recibo de solicitud” para entregara la Autoridad de Registro en el proceso de identificación yautenticación.

La aplicación de la Autoridad Certificante, una vez que emita elcertificado, eliminará automáticamente el requerimiento PKCS#10asociado a ese certificado con el fin de evitar que se genere un nuevocertificado con dicho requerimiento.

3.2.2. - Autenticación de la identidad de Personas Jurídicas Públicas o Privadas

No aplicable.

3.2.3. - Autenticación de la identidad de Personas Físicas

Se exige la presencia física del solicitante o suscriptor delcertificado ante el certificador o la Autoridad de Registro con la quese encuentre operativamente vinculado. La verificación se efectúamediante la presentación de los siguientes documentos:

- Documento Nacional de Identidad.

- Recibo de solicitud impreso.

En todos los casos, se conservará UNA (1) copia digitalizada de ladocumentación de respaldo del proceso de autenticación por parte delcertificador o de la Autoridad de Registro operativamente vinculada.

La Autoridad de Registro verificará la identidad del solicitante, ladocumentación que presenta y el resumen criptográfico (huella SHA-1)vinculada con la solicitud, así como toda otra información contenida enla solicitud. Posteriormente, la aceptación o rechazo de la solicitudserá informada al solicitante por correo electrónico y también podráconsultarse su estado a través de la aplicación de la AutoridadCertificante.

Se consideran obligatorias las exigencias reglamentarias impuestas por:

a) El artículo 21, inciso i) de la Ley N° 25.506 relativo a laconservación de la documentación de respaldo de los certificadosemitidos.

b) El artículo 21, inciso f) de la Ley N° 25.506 relativo a la recolección de datos personales.

c) El artículo 34, inciso i) del Decreto N° 2628/02 relativo a generar,exigir o tomar conocimiento de la clave privada del suscriptor.

d) El artículo 34, inciso m) del Decreto N° 2628/02 relativo a la protección de datos personales.

Adicionalmente, el certificador debe celebrar UN (1) acuerdo con elsolicitante o suscriptor, conforme el Anexo V de la DecisiónAdministrativa N° 927/2014, del que surge su conformidad respecto a laveracidad de la información incluida en el certificado.

La Autoridad de Registro deberá verificar que el dispositivocriptográfico utilizado por el solicitante, si fuera el caso, cumplecon las especificaciones técnicas establecidas por el ente licenciante.

3.2.4. - Información no verificada del suscriptor

Se conserva la información referida al solicitante que no hubiera sidoverificada. Adicionalmente, se cumple con lo establecido en el apartado3 del inciso b) del artículo 14 de la Ley N° 25.506.

3.2.5. - Validación de autoridad

No aplicable.

3.2.6. - Criterios para la interoperabilidad

Los certificados emitidos pueden ser utilizados por sus titulares enforma interoperable para firmar digitalmente cualquier documento otransacción, así como para autenticación o cifrado.

3.3. - Identificación y autenticación para la generación de nuevo par de claves (Rutina de Re Key)

3.3.1. - Renovación con generación de nuevo par de claves (Rutina de Re Key)

La renovación en este apartado aplica a la generación de UN (1) nuevo par de claves y su correspondiente certificado:

a) después de la revocación de UN (1) certificado

b) después de la expiración de UN (1) certificado

c) antes de la expiración de UN (1) certificado

En los casos a) y b) se exigirá el cumplimiento de los procedimientosprevistos en el punto 3.2.3. - Autenticación de la identidad dePersonas Físicas.

Si la solicitud del nuevo certificado se realiza antes de la expiracióndel certificado, no habiendo sido este revocado, no se exigirá lapresencia física, debiendo el solicitante remitir la constancia firmadadigitalmente del inicio del trámite de renovación.

3.3.2. - Generación de UN (1) certificado con el mismo par de claves

En el caso de certificados digitales de personas físicas, la renovaciónen este apartado aplica a la emisión de UN (1) nuevo certificado sinque haya un cambio en la clave pública o en ningún otro dato delsuscriptor. La renovación se podrá realizar siempre que el certificadose encuentre vigente.

A los fines de la obtención del certificado, no se exigirá la presenciafísica del suscriptor, debiendo éste remitir la constancia firmadadigitalmente del inicio del trámite de renovación.

3.4. - Requerimiento de revocación

La revocación podrá ser iniciada por el Suscriptor y la Autoridad de Registro.

Los suscriptores podrán solicitar la revocación de su certificado de la siguiente forma:

a) Ingresando a la aplicación de la Autoridad de Certificante desde: http://intranetanses/firmadigital

Selecciona el certificado a revocar y envía la solicitud. En este caso,la identificación se realizará utilizando las credenciales de usuariode red y será suficiente para aceptar la solicitud de revocación.

b) Ingresando a la aplicación de la Autoridad de Certificante desde: https://servicioswww.anses.gov.ar/firmadigital

Se identifica con su usuario de red (userlD) y como password ingresa el PIN de “revocación” y procede a enviar la solicitud.

c) Presentándose personalmente ante la Autoridad de Registro, en estecaso quedará asentado en un Libro de Actas de la Autoridad de Registro.

4. - CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS

4.1. - Solicitud de certificado

4.1.1. - Solicitantes de certificados

Se describen las condiciones que deben cumplir los solicitantes de certificados.

4.1.2. - Solicitud de certificado

El proceso de solicitud de emisión de certificado debe ser iniciadoexclusivamente por el solicitante, quien debe acreditar fehacientementesu identidad. Para poder efectuar la solicitud de un certificado, lossolicitantes deben:

a) Estar conectados a la red interna y haber iniciado sesión en el dominio de ANSES.

b) Utilizar un sistema operativo Windows 2000, XP, 7 o superior.

c) Utilizar Internet Explorer versión 6.0 o superior como navegador.

d) Estar autorizado para acceder a la aplicación de la Autoridad Certificante.

e) Poseer un dispositivo criptográfico inicializado, operativo y con controladores instalados.

Para iniciar el pedido de emisión del certificado, el solicitante debeingresar al sitio Intranet de ANSES y seleccionar el enlace a laaplicación de la Autoridad Certificante. La aplicación de la AutoridadCertificante verifica que la estación de trabajo del solicitante cumplecon los requerimientos técnicos mínimos y presenta la pantalla delproceso de solicitud y a continuación muestra el “Acuerdo conSuscriptores”. El solicitante deberá aceptar el “Acuerdo conSuscriptores” para poder continuar con el proceso. La aplicación de laAutoridad Certificante, utilizando la identificación del usuario consesión activa en la estación de trabajo, obtendrá la informaciónpersonal y laboral desde las bases de datos de Recursos Humanos de estaAdministración Nacional. La siguiente información es presentada alsolicitante para su verificación:

a) UserlD

b) Apellidos y Nombres

c) Correo electrónico

d) CUIL

e) Cargo

f) Dependencia y Área

g) Localidad y Provincia

h) Observaciones

i) País

4.2. - Procesamiento de la solicitud del certificado

El solicitante deberá verificar los datos presentados. En caso de serincorrectos los datos, no podrá continuar con la solicitud, debiendocomunicarse con el área de Recursos Humanos para actualizar sus datos.En casos de ser los datos correctos, el solicitante completa los camposdel formulario habilitados, selecciona la opción “Enviar” y se generaun nuevo par de claves, luego de lo cual, la aplicación de la AutoridadCertificante remite los datos de la solicitud y el requerimiento con laclave pública del solicitante, en formato PKCS#10. La aplicación de laAutoridad Certificante entrega al solicitante un “recibo de solicitud”incluyendo el resumen criptográfico (huella SHA-1). El solicitantedeberá tomar nota y proceder a la conservación del PIN “de revocación”informado por la aplicación de la Autoridad de Aplicación. Elsolicitante deberá imprimir el “recibo de solicitud” para entregar a laAutoridad de Registro en el proceso de identificación y autenticación.Luego, la aplicación de la Autoridad Certificante, envía notificacionesde correo electrónico a los siguientes actores:

a) Al solicitante, a los efectos de informar la documentación aentregar ante la Autoridad de Registro y los plazos para presentarse.

b) A la Autoridad de Registro, a fin de informar una nueva solicitud de emisión.

4.3. - Emisión del certificado

4.3.1. - Proceso de emisión del certificado

Cumplidos los recaudos del proceso de identificación y autenticación deacuerdo con esta Política y una vez completada y aprobada la solicitudpor la Autoridad de Registro, la aplicación de la AutoridadCertificante emite el correspondiente certificado, firmándolodigitalmente con su clave privada. Posteriormente, el certificado estádisponible al suscriptor como un archivo adjunto de un correoelectrónico y/o a través de la aplicación de la Autoridad Certificante.

4.3.2. - Notificación de emisión

Lo relacionado a este punto se detalla en el apartado siguiente, “Aceptación del certificado”.

4.4. - Aceptación del certificado

Una vez notificado de la emisión de un certificado a su nombre, elsuscriptor deberá controlar su contenido y dar su conformidad paraproceder a la instalación y posterior utilización. En caso de queexistiera algún error u omisión en los datos del suscriptor contenidosen el certificado, deberá informarlo inmediatamente a la Autoridad deRegistro para que ésta proceda a su revocación. Con la aceptación delcertificado, el suscriptor confirma y asume la exactitud del contenidodel mismo, aceptando la totalidad de las obligaciones yresponsabilidades establecidas por esta Política Única de Certificaciónpara Personas Físicas de la ANSES.

4.5. - Uso del par de claves y del certificado

4.5.1. - Uso de la clave privada y del certificado por parte del suscriptor

Según lo establecido en la Ley N° 25.506, en su artículo 25, el suscriptor debe:

a) Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación;

b) Utilizar UN (1) dispositivo de creación de firma digital técnicamente confiable;

c) Solicitar la revocación de su certificado al certificador antecualquier circunstancia que pueda haber comprometido la privacidad desus datos de creación de firma;

d) Informar sin demora al certificador el cambio de alguno de los datoscontenidos en el certificado digital que hubiera sido objeto deverificación.

De acuerdo a lo establecido en la Decisión Administrativa 927/2014:

• Proveer toda la información que le sea requerida a los fines de la emisión del certificado de modo completo y preciso.

• Utilizar los certificados de acuerdo a los términos y condiciones establecidos en la presente Política Única de Certificación.

• Tomar debido conocimiento, a través del procedimiento previsto encada caso, del contenido de la Política Única de Certificación, delManual de Procedimientos, del Acuerdo con Suscriptores y de cualquierotro documento aplicable.

4.5.2. - Uso de la clave pública y del certificado por parte de Terceros Usuarios

Los Terceros Usuarios deben:

a) Conocer los alcances de la presente Política Única de Certificación;

b) Verificar la validez del certificado digital.

4.6. - Renovación del certificado sin generación de un nuevo par de claves

Se aplica el punto 3.3.2.- Generación de UN (1) certificado con el mismo par de claves.

4.7. - Renovación del certificado con generación de un nuevo par de claves

En el caso de certificados digitales de Personas Físicas, la renovacióndel certificado posterior a su revocación o luego de su expiraciónrequiere por parte del suscriptor el cumplimiento de los procedimientosprevistos en el punto 3.2.3. - Autenticación de la identidad dePersonas Físicas.

Si la solicitud de UN (1) nuevo certificado se realiza antes de laexpiración del anterior, no habiendo sido éste revocado, no se exigirála presencia física, debiendo el solicitante remitir la constanciafirmada digitalmente del inicio del trámite de renovación.

4.8. - Modificación del certificado

El suscriptor se encuentra obligado a notificar al certificadorlicenciado cualquier cambio en alguno de los datos contenidos en elcertificado digital, que hubiera sido objeto de verificación, deacuerdo a lo dispuesto en el inciso d) del artículo 25 de la Ley N°25.506. En cualquier caso procede la revocación de dicho certificado yde ser requerido, la solicitud de uno nuevo.

4.9. - Suspensión y Revocación de Certificados

Los certificados serán revocados de manera oportuna y sobre la base de UNA (1) solicitud de revocación de certificado validada.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.1. - Causas de revocación

El Certificador procederá a revocar los certificados digitales que hubiera emitido en los siguientescasos:

• A solicitud del titular del certificado digital.

• Si determinara que el certificado fue emitido en base a informaciónfalsa, que al momento de la emisión hubiera sido objeto de verificación.

• Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros.

• Por Resolución Judicial.

• Por Resolución de la Autoridad de Aplicación.

• Por fallecimiento del titular.

• Por declaración judicial de ausencia con presunción de fallecimiento del titular.

• Por declaración judicial de incapacidad del titular.

• Si se determina que la información contenida en el certificado hadejado de ser válida (Ejemplos: por renuncia o despido del suscriptor,enfermedad prolongada del suscriptor, adscripción del suscriptor a otroorganismo, licencia por cargo de mayor jerarquía, licencia por razonespersonales, entre otros).

• Cuando la clave privada asociada al certificado, o el medio en que seencuentre almacenada, se encuentren comprometidos o corran peligro deestarlo.

• Ante incumplimiento por parte del suscriptor de las obligaciones establecidas en el Acuerdo con Suscriptores.

• Si se determina que el certificado no fue emitido de acuerdo a loslineamientos de la Política Única de Certificación, del Manual deProcedimientos, de la Ley N° 25.506, del Decreto Reglamentario N°2628/02 y demás normativa sobre firma digital.

• Ante solicitud del máximo responsable del área a la que pertenece elsuscriptor o la máxima autoridad de ANSES, con la debida justificación.

• Por revocación de su propio certificado digital.

El Certificador, de corresponder, revocará el certificado en un plazono superior a las VEINTICUATRO (24) horas de recibido el requerimientode revocación.

4.9.2. - Autorizados a solicitar la revocación

Se encuentran autorizados para solicitar la revocación de UN (1) certificado:

a) El suscriptor del certificado.

b) Aquellas personas habilitadas por el suscriptor del certificado atal fin, previa acreditación fehaciente de tal autorización.

c) El máximo responsable del área a la que pertenece el suscriptor.

d) El certificador o la Autoridad de registro operativamente vinculada.

e) El ente licenciante.

f) La autoridad judicial competente.

g) La Autoridad de Aplicación.

4.9.3. - Procedimientos para la solicitud de revocación

Para solicitar la revocación de su certificado, el suscriptor seguirá lo indicado en el apartado

3.4. “Requerimiento de revocación”.

La Autoridad de Registro y la Autoridad Certificante conservarán comodocumentación probatoria toda solicitud de revocación y el materialprobatorio vinculado.

Los suscriptores serán notificados en sus respectivas direcciones decorreo electrónicos del cumplimiento del proceso de revocación.

El certificador garantiza que:

a) Se identifica debidamente al solicitante de la revocación según se establece en el apartado

3.4. “Requerimiento de revocación”.

b) Las solicitudes de revocación, así como toda acción efectuada por elcertificador o la autoridad de registro en el proceso, estándocumentadas y conservadas en sus archivos.

c) Se documentan y archivan las justificaciones de las revocaciones aprobadas.

d) Una vez efectuada la revocación, se actualiza el estado delcertificado en el repositorio y se incluye en la próxima lista decertificados revocados a ser emitida.

e) El suscriptor del certificado revocado es informado del cambio de estado de su certificado.

4.9.4. - Plazo para la solicitud de revocación

El titular de un certificado debe requerir su revocación en formainmediata cuando se presente alguna de las circunstancias previstas enel apartado 4.9.1. “Causas de revocación”.

El servicio de recepción de solicitudes de revocación se encuentradisponible en forma permanente SIETE POR VEINTICUATRO (7x24) horas através de la aplicación de la Autoridad Certificante, cumpliendo con loestablecido en el artículo 34, inciso f) del Decreto N° 2628/02.

4.9.5. - Plazo para el procesamiento de la solicitud de revocación

El plazo entre la recepción de la solicitud y el cambio de lainformación de estado del certificado indicando que la revocación hasido puesta a disposición de los Terceros Usuarios, no superará enningún caso las VEINTICUATRO (24) horas.

4.9.6. - Requisitos para la verificación de la lista de certificados revocados

Los Terceros Usuarios deben validar el estado de los certificados,mediante el control de la lista de certificados revocados, a menos queutilicen otro sistema con características de seguridad y confiabilidadpor lo menos equivalentes.

La autenticidad y validez de las listas de certificados revocadostambién debe ser confirmada mediante la verificación de la firmadigital del certificador que la emite y de su período de validez.

El certificador cumple con lo establecido en el artículo 34, inciso g)del Decreto N° 2628/02 relativo al acceso al repositorio decertificados revocados y las obligaciones establecidas en la DecisiónAdministrativa N° 927/2014 y sus correspondientes Anexos.

4.9.7. - Frecuencia de emisión de listas de certificados revocados

La Autoridad Certificante para Personas Físicas de la ANSES genera ypublica una única lista conteniendo todos los certificados revocadosasociada a la Política Única de Certificación, en formato del CRL X.509v2, con una frecuencia no mayor a VEINTICUATRO (24) horas.

4.9.8. - Vigencia de la lista de certificados revocados

La vigencia de cada lista de certificados revocados es de VEINTICUATRO (24) horas, e indica la fecha de emisión de la siguiente.

4.9.9. - Disponibilidad del servicio de consulta sobre revocación y de estado del certificado

La ANSES dispondrá servicios de verificación en línea del estado de loscertificados, adicional al mecanismo válido para la verificación delestado de los certificados a través de las Listas de CertificadosRevocados (CRLs).

4.9.10. - Requisitos para la verificación en línea del estado de revocación

El uso del servicio de consulta en línea sobre el estado de loscertificados (OCSP) permite, mediante su consulta determinar el estadode validez de un certificado digital.

4.9.11. - Otras formas disponibles para la divulgación de la revocación

No aplicable.

4.9.12. - Requisitos específicos para casos de compromiso de claves

En caso de compromiso de su clave privada, el titular del certificadocorrespondiente se encuentra obligado a comunicar inmediatamente dichacircunstancia al certificador mediante alguno de los mecanismosprevistos en el apartado 4.9.3. “Procedimientos para la solicitud derevocación”.

La ANSES podrá iniciar una investigación para determinarresponsabilidad en el hecho, cuál fue el nivel de exposición al riesgode uso fraudulento de las claves, y podrá aplicar las sanciones ymedidas correctivas que resultaren necesarias.

4.9.13. - Causas de suspensión

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.14. - Autorizados a solicitar la suspensión

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.15. - Procedimientos para la solicitud de suspensión

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.16. - Límites del período de suspensión de un certificado

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.10. - Estado del certificado

4.10.1. - Características técnicas

La aplicación de Firma Digital para suscriptores se encuentradisponible en forma permanente SIETE POR VEINTICUATRO (7x24) horas aefectos de la gestión de certificados y la verificación del estado delos mismos.

4.10.2. - Disponibilidad del servicio

Toda interrupción y restablecimiento del servicio es comunicado a los roles y Mesa de Servicio.

4.10.3. - Aspectos operativos

No existe información adicional a la indicada en puntos anteriores.

4.11. - Desvinculación del suscriptor

Una vez expirado el certificado o si éste fuera revocado, de notramitar un nuevo certificado, su titular se considera desvinculado delos servicios del certificador.

De igual forma se producirá la desvinculación, ante el cese de las operaciones del certificador.

4.12. - Recuperación y custodia de claves privadas

El certificador licenciado no podrá bajo ninguna circunstancia realizarla recuperación o custodia de claves privadas de los titulares decertificados digitales, en virtud de lo dispuesto en el inciso b) delartículo 21 de la Ley N° 25.506. El suscriptor se encuentra obligado amantener el control exclusivo de su clave privada, no compartirla eimpedir su divulgación, de acuerdo a lo dispuesto en el inciso a) delartículo 25 de la ley antes mencionada.

5. - CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN

Se describen a continuación los procedimientos referidos a loscontroles de seguridad física, de gestión y operativos implementadospor el certificador. La descripción detallada se efectuará en el Plande Seguridad.

5.1. - Controles de seguridad física

Los sistemas centrales de la Autoridad Certificante para PersonasFísicas de la ANSES se encuentran aislados en un compartimientoexclusivo en el interior de un ambiente de máxima seguridad denominado“Recinto de la Autoridad Certificante”. Dispone de controles deseguridad física que protegen las instalaciones informáticas de laANSES y garantizan la continuidad de sus operaciones.

Algunas de sus características comprenden:

a) Monitoreo ambiental de temperatura, humedad, ruido, flujo de aire, polvo, polución, etc.

b) Prevención contra agentes naturales como agua, vapor, calor, fuego, gases, polvo, etc.

c) Aislamiento a altas temperaturas externas.

d) Aislamiento a campos magnéticos externos.

e) Estructura sólida de bóveda.

f) Prevención contra explosiones, derrumbes y sismos.

g) Prevención temprana de incendios.

h) Sistemas de extinción de fuego.

i) Sistemas de refrigeración y control de humedad.

j) Sistemas de alimentación eléctrica redundante.

k) Sistemas de suministro de energía ininterrumpido.

I) Sistema de generación de energía alternativo.

m) Sistemas de conectividad redundantes.

n) Sistema de puerta doble con cerramiento automático.

o) Control de acceso con identificación biométrica.

p) Sistema de cámaras para monitoreo completo en accesos y áreas críticas.

5.2. - Controles de Gestión

Los controles funcionales son cumplidos por personal calificadoasignando a cada uno de ellos un rol específico para la operación de laAutoridad Certificante para Personas Físicas de la ANSES.

Los roles son asignados por el Responsable de la AC, respetando los siguientes criterios:

a) Cada uno de los roles tiene un titular asignado y, por lo menos, un sustituto.

b) Los roles son asignados a personal que cumple funciones en ANSES.

c) Todos los roles son excluyentes entre sí.

5.3. - Controles de seguridad del personal

Cuenta con controles de seguridad relativos a:

a) Calificaciones, experiencia e idoneidad del personal, tanto deaquellos que cumplen funciones críticas como de aquellos que cumplenfunciones administrativas, de seguridad, limpieza, etcétera.

b) Antecedentes laborales.

c) Entrenamiento y capacitación inicial.

d) Frecuencia de procesos de actualización técnica.

e) Frecuencia de rotación de cargos.

f) Sanciones a aplicar por acciones no autorizadas.

g) Requisitos para contratación de personal.

h) Documentación provista al personal, incluidas tarjetas y otros elementos de identificación personal.

5.4. - Procedimientos de Auditoría de Seguridad

Se mantienen políticas de registro de eventos, cuyos procedimientosdetallados serán desarrollados en el Manual de Procedimientos.

Se cuenta con procedimientos de auditoría de seguridad sobre los siguientes aspectos:

a) Tipo de eventos registrados. Debe respetarse lo establecido en el Anexo II Sección 3.

b) Frecuencia de procesamiento de registros.

c) Período de guarda de los registros. Debe respetarse lo establecidoen el inciso i) del artículo 21 de la Ley N° 25.506 respecto a loscertificados emitidos.

d) Medidas de protección de los registros, incluyendo privilegios de acceso.

e) Procedimientos de resguardo de los registros.

f) Sistemas de recolección y análisis de registros (internos vs. externos).

g) Notificaciones del sistema de recolección y análisis de registros.

h) Evaluación de vulnerabilidades.

5.5. - Conservación de registros de eventos

Se han desarrollado e implementado políticas de conservación deregistros, cuyos procedimientos detallados se encuentran desarrolladosen el Manual de Procedimientos.

Los procedimientos cumplen con lo establecido por el artículo 21,inciso i) de la Ley N° 25.506 relativo al mantenimiento de ladocumentación de respaldo de los certificados digitales emitidos.

Se respeta lo establecido en el Anexo II Sección 3 respecto del registro de eventos.

Existen procedimientos de conservación y guarda de registros en lossiguientes aspectos, que se encuentran detallados en el Manual deProcedimientos:

a) Tipo de registro archivado. Debe respetarse lo establecido en el Anexo II Sección 3.

b) Período de guarda de los registros.

c) Medidas de protección de los registros archivados, incluyendo privilegios de acceso.

d) Procedimientos de resguardo de los registros.

e) Requerimientos para los registros de certificados de fecha y hora.

f) Sistemas de recolección y análisis de registros (internos vs. externos).

g) Procedimientos para obtener y verificar la información archivada.

5.6. - Cambio de claves criptográficas

Las claves criptográficas de la Autoridad Certificante para PersonasFísicas de la ANSES han sido generadas con motivo del licenciamiento dela presente Política Única de Certificación en presencia de laAutoridad de Aplicación de Firma Digital y tendrán una duración de 10años.

Por su parte, la licencia, en sí misma, tiene una vigencia limitada a 5años. El cambio del par de claves criptográficas de la AutoridadCertificante para Personas Físicas de la ANSES, dará origen a laemisión de un nuevo certificado, por parte de la AC Raíz de laAutoridad de Aplicación, y será usado para la emisión de losposteriores certificados de los suscriptores. Este certificado estarádisponible para su consulta en los sitios web informados. Dos añosantes del vencimiento previsto del certificado de la AutoridadCertificante se realizará una nueva generación de claves y sesolicitará la renovación de la licencia de “Certificador Licenciado”.Una vez concedida la licencia, la nueva clave pública será distribuidaen un certificado firmado por la “Autoridad Certificante Raíz de laRepública Argentina” (ACR RA).

5.7. - Plan de respuesta a incidentes y recuperación ante desastres

El plan de contingencia de la ANSES como certificador licenciadoestablece los procedimientos y actividades relacionados con el serviciode certificación de Firma Digital y será de aplicación desde el momentode la declaración de la emergencia hasta la restauración de laoperatoria normal.

La emergencia será declarada cuando se produzca uno de los siguientes:

a) Revocación de su certificado.

b) Compromiso o sospecha de compromiso de su clave privada.

c) Destrucción del hardware.

d) Destrucción de las fuentes de energía.

e) Siniestro que afecte a la estructura del edificio.

f) Necesidad de continuar las operaciones en un entorno seguro luego de desastres naturales o de otra naturaleza.

g) Pérdida de la capacidad de procesamiento de Hardware y/o Software.

h) Necesidad de recuperación ante falla o sospecha de falla de componentes de hardware, software y datos.

i) Fallas en los sistemas de comunicaciones.

j) Fallas de suministros, como por ejemplo aire acondicionado o líneas de energía eléctrica estabilizada, por períodos extensos.

En casos de emergencia, el Responsable de Contingencia es el encargado de administrar el cumplimiento del Plan de Contingencia.

Declarada la contingencia, se integrará un Comité de Contingencia, quetiene la responsabilidad de dirigir las operaciones de recuperación yrestauración del procesamiento normal, de acuerdo a lo detallado en elPlan de Contingencia.

Están previstos mecanismos de prueba y simulación con una periodicidadde SEIS (6) meses o cuando los cambios realizados al hardware, softwarede base y/o software aplicativo lo ameriten.

Las pruebas del plan tienen por objeto brindar los elementos necesariospara minimizar el tiempo de recuperación y contar con información realrespecto al servicio de contingencia.

5.8. - Plan de Cese de Actividades

Ante la declaración de cese en la prestación de los servicios decertificación, la ANSES elaboró un Plan de Cese, que contempla lasestrategias y procedimientos a seguir desde dicha declaración hasta lainhabilitación lógica y física de la Autoridad Certificante paraPersonas Físicas de la ANSES. La ejecución del Plan de Cese se podráproducir a partir de la manifestación de la máxima autoridad de laANSES sobre su decisión unilateral de proceder al cese de actividades,ya sea por razones de índole política o de seguridad. También podrá sermotivado por cancelación de la licencia dispuesta por la Autoridad deAplicación o por disolución de esta Administración Nacional.

Ante la declaración del cese de los servicios de certificación, laANSES procederá a su publicación a través del Boletín Oficial, delsitio https://servicioswww.anses.gov.ar/firmadigital/, por Gacetilla de Prensa de esta ADMINISTRACIÓN NACIONAL y la publicación en un medio de difusión nacional.

Las acciones previstas para proceder a dicha declaración y aquellas quedevienen de ella se encuentran contempladas en el documento internotitulado Plan de Cese de Actividades.

Se mantendrán los registros necesarios para proporcionar prueba ciertade los servicios de certificación, para lo cual se realizarán copias deresguardo de los registros, los cuales serán almacenados en un servidorque opera dentro de instalaciones seguras.

Toda información digital será resguardada por ANSES por un plazo deDIEZ (10) años, así como toda la documentación de respaldo de lassolicitudes. Si el cese se debiera a la disolución de este Organismo,los registros pasarán a manos del organismo que se instituya pararealizar funciones similares o al Ministerio de Trabajo, Empleo ySeguridad Social.

Se contempla lo establecido por el artículo 44 de la Ley N° 25.506 deFirma Digital en lo relativo a las causales de caducidad de lalicencia. Asimismo, los procedimientos cumplen lo dispuesto por elartículo 33 del Decreto N° 2628/02, reglamentario de la Ley de FirmaDigital, en lo relativo a los servicios de infraestructura tecnológicaprestados por un tercero y las obligaciones establecidas en la DecisiónAdministrativa N° 927/2014 y sus correspondientes Anexos.

6. - CONTROLES DE SEGURIDAD TÉCNICA

Se describen las medidas de seguridad implementadas por el certificadorpara proteger las claves criptográficas y otros parámetros de seguridadcríticos. Además se incluyen los controles técnicos que seimplementarán sobre las funciones operativas del certificador,Autoridades de Registro, repositorios, suscriptores, etcétera.

6.1. - Generación e instalación del par de claves criptográficas

Las claves criptográficas de la Autoridad Certificante son generadas enambientes seguros, por personal autorizado, sobre dispositivoscriptográficos homologados FIPS 140-2 Nivel 3.

La Autoridad Certificante utiliza claves generadas mediante el algoritmo RSA con un tamañode 4096 bits.

6.1.1. - Generación del par de claves criptográficas

La clave criptográfica de la Autoridad de Registro es generada por suresponsable utilizando un dispositivo criptográfico que cuenta con lacertificación FIPS 140-2 Nivel 2.

La Autoridad de Registro genera su clave mediante el algoritmo RSA con un tamaño mínimo de 2048 bits.

Las claves criptográficas de los suscriptores son generadas y almacenadas en dispositivos criptográficos FIPS 140-2 Nivel 2.

Los suscriptores generan sus claves mediante el algoritmo RSA con un tamaño mínimo de 2048 bits.

Las claves privadas de los suscriptores son generadas por ellos mismosdurante el proceso de solicitud, absteniéndose la ANSES de generar,exigir o por cualquier otro medio tomar conocimiento o acceder a susdatos de creación de firma.

Para la generación y almacenamiento de las claves los suscriptorescuentan con dispositivos criptográficos externos removibles que lasprotegen por medio de dos factores de seguridad: 1) mediante laposesión del dispositivo, 2) mediante un PIN o contraseña definida porel propio suscriptor.

La clave pública del solicitante es entregada a la AutoridadCertificante durante el proceso de solicitud de certificado utilizandotécnicas de “prueba de posesión” de la clave privada asociada.

Los procesos de solicitud utilizan el formato PKCS#10 para implementarla “prueba de posesión”, remitiendo los datos del solicitante y suclave pública dentro de una estructura firmada con su clave privada.

Los solicitantes deben probar su identidad y demostrar que la solicitudles pertenece, presentándose frente a la Autoridad de Registro con unrecibo de la solicitud en el cual se identifica la huella criptográficade ésta.

Los certificados de la “Autoridad Certificante para Personas Físicas dela ANSES” y el certificado de la “Autoridad Certificante Raíz de laRepública Argentina” (ACR RA) se encuentran disponibles en unrepositorio en línea de acceso público a través de Internet.

La verificación de integridad de los certificados publicados puederealizarse cotejando sus firmas digitales a partir del certificado dela “Autoridad Certificante Raíz de la República Argentina” ocorroborando las huellas criptográficas de éstos con las que fueranpublicadas oportunamente en el Boletín Oficial de la Nación.

La AC de ANSES utiliza claves RSA con un tamaño de 4096 bits.

La Autoridad de Registro utiliza claves RSA con un tamaño mínimo de 2048 bits.

Los suscriptores de certificados utilizan claves RSA con un tamaño mínimo de 2048 bits.

No se establecen condiciones especiales para la generación deparámetros de claves asimétricas más allá de los que corresponden conel algoritmo de generación RSA según su especificación técnica.

6.1.2. - Entrega de la clave privada

Las claves privadas de los suscriptores son generadas por ellos mismosdurante el proceso de solicitud. En todos los casos ANSES cumple con laobligación de abstenerse de generar, exigir o por cualquier otro mediotomar conocimiento o acceder a los datos de creación de firmas de lossuscriptores (incluyendo los roles vinculados a las actividades deregistro), establecido por la Ley N° 25.506, artículo 21, inciso b) yel Decreto N° 2628/02, artículo 34, inciso i).

Para la generación y almacenamiento de las claves los suscriptorescuentan con dispositivos criptográficos externos removibles que lasprotegen por medio de dos factores de seguridad: 1) mediante laposesión del dispositivo, 2) mediante un PIN o contraseña definida porel propio suscriptor.

6.1.3. - Entrega de la clave pública al emisor del certificado

La clave pública del solicitante es entregada a la AutoridadCertificante durante el proceso de solicitud de certificado utilizandotécnicas de “prueba de posesión” de la clave privada asociada.

Los procesos de solicitud utilizan el formato PKCS#10 para implementarla “prueba de posesión”, remitiendo los datos del solicitante y suclave pública dentro de una estructura firmada con su clave privada.

Los solicitantes deben probar su identidad y demostrar que la solicitudles pertenece, presentándose frente a la Autoridad de Registro con unrecibo de la solicitud en el cual se identifica la huella criptográficade ésta.

6.1.4. - Disponibilidad de la clave pública del certificador

Los certificados de la “Autoridad Certificante para Personas Físicas dela ANSES” y el certificado de la “Autoridad Certificante Raíz de laRepública Argentina” (ACR RA) se encuentran disponibles en unrepositorio en línea de acceso público a través de Internet.

La verificación de integridad de los certificados publicados puederealizarse cotejando sus firmas digitales a partir del certificado dela “Autoridad Certificante Raíz de la República Argentina” ocorroborando las huellas criptográficas de éstos con las que fueranpublicadas oportunamente en el Boletín Oficial de la Nación.

6.1.5. - Tamaño de claves

La AC de ANSES utiliza claves RSA con un tamaño de 4096 bits.

La Autoridad de Registro utiliza claves RSA con un tamaño mínimo de 2048 bits.

Los suscriptores de certificados utilizan claves RSA con un tamaño mínimo de 2048 bits.

6.1.6. - Generación de parámetros de claves asimétricas.

No se establecen condiciones especiales para la generación deparámetros de claves asimétricas más allá de los que corresponden conel algoritmo de generación RSA según su especificación técnica.

6.1.7. - Propósitos de utilización de claves (campo “KeyUsage” en certificados X.509 v.3)

Las claves criptográficas de los suscriptores de los certificadospueden ser utilizados para firmar digitalmente, para funciones deautenticación y para cifrado.

6.2. - Protección de la clave privada y controles sobre losdispositivos criptográficos La protección de la clave privada,considerada en este punto, se aplica para la Autoridad Certificante, laAutoridad de Registro y los suscriptores, según se detalla acontinuación.

6.2.1. - Controles y estándares para dispositivos criptográficos

La clave privada de la Autoridad Certificante es generada y almacenadasobre un dispositivo criptográfico diseñado para tal fin que cumple conlas normas FIPS 140-2 nivel 3.

La clave privada de la Autoridad de Registro es generada y almacenadasobre un dispositivo criptográfico diseñado para tal fin que cumple conlas normas FIPS 140-2 nivel 2.

La clave privada del suscriptor es generada y almacenada sobredispositivos criptográficos diseñados para tal fin que cumplen con lasnormas FIPS 140-2 nivel 2.

6.2.2. - Control “M de N” de clave privada

La clave privada de la Autoridad Certificante es activadaexclusivamente en las instalaciones de la ANSES o en su sitio decontingencia, dentro del nivel de seguridad (nivel de operacionescríticas de la Autoridad Certificante). Para su activación deben estarpresentes, por lo menos, el responsable técnico, el oficial deseguridad y los oficiales habilitadores.

La Autoridad de Registro y los suscriptores de certificados tienenacceso a su clave privada contenida en su dispositivo criptográficopersonal a través de un PIN o contraseña.

6.2.3. - Recuperación de clave privada

En caso de necesidad, la Autoridad Certificante prevé mecanismos derecuperación de sus claves privadas a partir de las copias de respaldo.Esta recuperación sólo puede ser realizada por personal autorizado,sobre uno de los dispositivos criptográficos seguros de los que disponela ANSES y exclusivamente en los niveles de seguridad de la AutoridadCertificante en su sitio principal o en su sitio de contingencia.

No se implementan mecanismos de resguardo y recuperación de la claveprivada de la Autoridad de Registro, ni de los restantes suscriptores.En caso de compromiso de la clave privada, éstos deberán proceder a larevocación del certificado y tramitación de una nueva solicitud deemisión de certificado si así correspondiere.

6.2.4. - Copia de seguridad de clave privada

Copias de la clave privada de la Autoridad Certificante son realizadasinmediatamente después de su generación por personal autorizado y sonalmacenadas en dispositivos criptográficos seguros homologados FIPS140-2 nivel 3.

No se implementa mecanismos de copias de resguardo de la clave privada de la Autoridad de Registro y de los suscriptores.

6.2.5. - Archivo de clave privada

Las copias de resguardo de la clave privada de la AutoridadCertificante son conservadas en lugares seguros, al igual que suselementos de activación, bajo los niveles de seguridad previstos por laDecisión Administrativa N° 927/2014.

No se implementa mecanismos de archivo de copias de resguardo de laclave privada de la Autoridad de Registro y de los suscriptores.

6.2.6. - Transferencia de claves privadas en dispositivos criptográficos

No aplicable.

6.2.7. Almacenamiento de claves privadas en dispositivos criptográficos

Las copias de resguardo de la clave privada de la AutoridadCertificante están soportadas en dispositivos criptográficoshomologados FIPS 140-2 nivel 3.

La clave privada de la Autoridad de Registro y de los suscriptores esalmacenada en el mismo dispositivo criptográfico donde es generada y nopermite su exportación.

6.2.8. - Método de activación de claves privadas

Para la activación de la clave privada de la Autoridad Certificantedeben estar presentes, por lo menos, el responsable técnico, el oficialde seguridad y los oficiales habilitadores. Los responsables necesariospara la activación deberán identificarse frente al sistema segúncorresponda al rol asignado por medio de distintos mecanismos deautenticación, a saber: llave de seguridad, claves secretas o ambos.

La Autoridad de Registro y los suscriptores tienen acceso a su claveprivada y a su certificado contenidos en el dispositivo criptográfico através de un PIN o contraseña.

6.2.9. - Método de desactivación de claves privadas

La desactivación de la clave privada de la Autoridad Certificante puede realizarse en forma automática o en forma manual.

La desactivación automática se produce en caso de apagado prolongadodel dispositivo criptográfico que contiene esa clave privada.

La desactivación manual puede ser producida por el Responsable de FirmaDigital previa identificación frente al sistema utilizando 2 factoresde autenticación distintos: la posesión de una llave de seguridad másuna clave secreta para habilitarla.

6.2.10. - Método de destrucción de claves privadas

Una vez finalizada la vida útil de la clave privada de la AutoridadCertificante, de la Autoridad de Registro y de los suscriptores, pormotivo de revocación o expiración del certificado asociado, y de nomediar renovación del mismo, los dispositivos criptográficos seránformateados e inicializados.

6.2.11. - Requisitos de los dispositivos criptográficos

Las claves de la Autoridad Certificante son generadas por hardware sobre dispositivos criptográficos FIPS 140-2 nivel 3.

Las claves de la Autoridad de Registro son generadas por hardware sobre dispositivos criptográficos FIPS 140-2 nivel 2.

Las claves de los suscriptores son generadas por hardware a través dedispositivos criptográficos que cumplen con las normas FIPS 140-2 nivel2.

6.3. - Otros aspectos de administración de claves

6.3.1. - Archivo permanente de la clave pública

Los certificados emitidos a suscriptores y a la Autoridad de Registroson almacenados y publicados bajo un esquema de redundancia yrespaldados en forma periódica sobre dispositivos de sólo lectura, locual, sumado a la firma de los mismos, garantiza su integridad.

Todos los certificados son almacenados en soporte óptico y/o magnético,en formato estándar bajo codificación internacional DER. No serequieren herramientas particulares para el tratamiento de dichainformación.

6.3.2. - Período de uso de clave pública y privada

Las claves privadas correspondientes a los certificados emitidos por laANSES podrán ser utilizadas por su suscriptor únicamente durante elperíodo de validez de los certificados, el cual tendrá una vigencia de2 años. Las correspondientes claves públicas podrán ser utilizadasdurante el período establecido por las normas legales vigentes, a finde posibilitar la verificación de las firmas generadas durante superíodo de validez.

6.4. - Datos de activación

Se entiende por datos de activación, a diferencia de las claves, a losvalores requeridos para la operatoria de los dispositivoscriptográficos y que necesitan estar protegidos.

Se establecen medidas suficientes de seguridad para proteger los datosde activación requeridos para la operación de los dispositivoscriptográficos de los usuarios de certificados.

6.4.1. - Generación e instalación de datos de activación

Los dispositivos criptográficos utilizados por los suscriptores y laAutoridad de Registro para la generación, almacenamiento y uso declaves privadas son inicializados por personal de la Gerencia deSeguridad Informática dependiente de la Gerencia de Sistemas yTelecomunicaciones de la ANSES.

Como paso previo a la generación de claves, los suscriptores deberánestablecer una clave de seguridad sobre el dispositivo denominado PIN ocontraseña. Esta clave de seguridad, conocida sólo por el suscriptor,protege su clave privada e impide el acceso a la misma por parte deterceros, incluida la Autoridad Certificante.

6.4.2. - Protección de los datos de activación

Los suscriptores son responsables de la custodia de sus dispositivoscriptográficos y de la no divulgación de sus claves, contraseñas y PINde acceso.

La ANSES no implementa mecanismos de respaldo de las claves privadas de los suscriptores ni de sus datos de activación.

6.4.3. - Otros aspectos referidos a los datos de activación

Las claves privadas correspondientes a los certificados emitidos por laANSES podrán ser utilizadas por su suscriptor únicamente durante elperíodo de validez de los certificados, el cual tendrá una vigencia de2 años. Las correspondientes claves públicas podrán ser utilizadasdurante el período establecido por las normas legales vigentes, a finde posibilitar la verificación de las firmas generadas durante superíodo de validez.

Es responsabilidad de los suscriptores, elegir datos de activación para sus claves privadas que:

- Contengan como mínimo 8 caracteres, que incluyan letras mayúsculas, letras minúsculas y números.

- No sean fácilmente deducibles por otros (evitando utilizar nombres,direcciones, números telefónicos y similares relacionados con elsuscriptor).

La contraseña de acceso al dispositivo criptográfico debe diferir de la clave de acceso a la clave privada.

6.5. - Controles de seguridad informática

6.5.1. - Requisitos Técnicos específicos

Para la prestación de sus servicios, la Autoridad Certificante paraPersonas Físicas de la ANSES utiliza una infraestructura tecnológicapropia que cumple con los requisitos técnicos establecidos por lanormativa vigente. Entre los controles técnicos utilizados puedenmencionarse:

a) Control de Acceso físicos y lógicos: El acceso físico a lasinstalaciones está conformado por diversos perímetros de seguridadinternos unos de otros, cada uno de los cuales cuenta conmecanismos detarjeta de proximidad y/o biométricos. Del mismo modo, el acceso lógicoa los sistemas de firewall y sus propios mecanismos de control ymonitoreo.

b) Separación de funciones y roles críticos: Las principales funcionesvinculadas a los procesos de seguridad y certificación se encuentrandivididos en roles que aseguran el correcto desempeño de losresponsables designados.

Los roles definidos en la operatoria de la Autoridad Certificante serándesempeñados por diferentes responsables. Ninguno de los nombradoscumplirá más de una función o rol, ni aun cuando fuera en formatransitoria. En caso de ausencia temporaria, el responsable seráreemplazado por su correspondiente sustituto.

c) Identificación y autenticación de roles: Para la identificación yautenticación en cada uno de los roles críticos vinculados al procesode certificación y gestión de claves de la ANSES se utilizan mecanismosde reconocimiento biométrico y sistemas de autenticación de múltiplesfactores.

d) Utilización de criptografía para las sesiones de comunicación: Todaslas comunicaciones críticas entre los distintos componentes de laAutoridad Certificante se realizan en forma cifrada.

e) Archivo de datos históricos y de auditoría del certificador yusuarios: Se realizan auditorías y controles periódicos sobre cadaetapa del proceso de certificación, incluyendo la verificación de ladocumentación de respaldo del proceso de identificación de suscriptores.

f) Registro de eventos de seguridad: Todas las operaciones yactividades de la ANSES generan información de control y registros deeventos que permiten verificar el funcionamiento y la seguridad de lossistemas.

g) Prueba de seguridad: Se realizan comprobaciones periódicas del funcionamiento de los sistemas y los planes de contingencia.

h) Mecanismos de recuperación para claves y sistema de certificación:Existen mecanismos y procedimientos de contingencia que garantizan lacorrecta prestación de los servicios.

6.5.2. - Requisitos de seguridad computacional

La Autoridad Certificante para Personas Físicas de la ANSES seencuentra alojada dentro de una Sala Cofre del Centro de Procesamientodel Organismo, contando con las siguientes certificaciones:

a) Euronorma EN 1.047/2 Consejo Europeo de Certificación de Sistemas de Seguridad.

b) Estanqueidad contra gases corrosivos en relación al agua de basamento y polvo según norma DIN 18.095.

c) Testeada y probada en una situación real de incendio según Euronorma EN 1.047/2 y la norma VDMA Alemana 24.991/2.

6.6. - Controles Técnicos del ciclo de vida de los sistemas

ANSES cuenta con una Metodología para el Desarrollo de Sistemas queaplica estándares a cada una de las etapas del ciclo de vida delsoftware de acuerdo a lo establecido en la Política de desarrollo ymantenimiento de sistemas, aprobada por la Resolución de ANSES N°693/08.

6.6.1. - Controles de desarrollo de sistemas

ANSES posee procedimientos específicos para el diseño y desarrollo de sistemas entre los cuales se encuentran:

a) metodologías estándar de análisis, especificación y diseño.

b) control de versiones de cada uno de los módulos y componentes desarrollados.

c) separación de ambientes de desarrollo, prueba y producción.

6.6.2. - Controles de gestión de seguridad

Se documenta y controla la configuración del sistema, así como todamodificación o actualización, habiéndose implementado un método dedetección de modificaciones no autorizadas.

6.6.3. - Controles de seguridad del ciclo de vida del software

No existen certificaciones de terceros respecto del ciclo de vida del software.

6.7. - Controles de seguridad de red

La red de la Autoridad Certificante se encuentra delimitada pordiversos firewalls y monitoreada por un sistema de detección deintrusiones (IDS).

6.8. - Certificación de fecha y hora

La AC ANSES no presta el servicio de emisión de sello de tiempo.

7. - PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS

Los certificados emitidos bajo la presente Política Única deCertificación respetan la especificación ITU-T X.509 (ISO/IEC 9594-8)“Information Technology - The Directory: Public key and atributecertificate frameworks” adoptada como estándar tecnológico para laInfraestructura de Firma Digital de la República Argentina.

7.1. - Perfil del certificado

Todos los certificados emitidos bajo la presente Política Única deCertificación cumplen con las indicaciones establecidas en la sección 2“Perfil de certificados digitales” del Anexo IV “Perfiles de losCertificados y de las Listas de Certificados Revocados”.

Perfil del certificado:

7.1.1. - Número de versión

Ver apartado 2.2. “Campos de los certificados” del Anexo IV de laDecisión Administrativa N° 927/2014 “Perfiles de los certificados y delas listas de certificados revocados”.

7.1.2. - Extensiones

Ver apartado 2.3. “Extensiones de un Certificado” del Anexo IV de laDecisión Administrativa N° 927/2014 “Perfiles de los certificados y delas listas de certificados revocados”.

7.1.3. - Identificadores de algoritmos

Ver apartado 2.2. “Campos de los certificados” del Anexo IV de laDecisión Administrativa N° 927/2014 “Perfiles de los certificados y delas listas de certificados revocados”.

7.1.4. - Formatos de nombre

Ver apartado 2.2. “Campos de los certificados” del Anexo IV de laDecisión Administrativa N° 927/2014 “Perfiles de Certificados y CRLs”.

7.1.5. - Restricciones de nombre

Ver apartado 2.2. “Campos de los certificados” del Anexo IV de laDecisión Administrativa N° 927/2014 “Perfiles de los certificados y delas listas de certificados revocados”.

7.1.6. - OID de la Política de Certificación

Ver apartado 2.3. “Extensiones de un Certificado” del Anexo IV de laDecisión Administrativa N° 927/2014 “Perfiles de los certificados y delas listas de certificados revocados”.

7.1.7. - Sintaxis y semántica de calificadores de Política

Ver apartado 2.3. “Extensiones de un Certificado” del Anexo IV de laDecisión Administrativa N° 927/2014 “Perfiles de los certificados y delas listas de certificados revocados”.

7.1.8. - Semántica de procesamiento para extensiones críticas

Ver apartado 2.3. “Extensiones de un Certificado del Anexo IV de laDecisión Administrativa N° 927/2014 “Perfiles de los certificados y delas listas de certificados revocados”.

7.2. - Perfil de la lista de certificados revocados

Las listas de certificados revocados correspondientes a la presentePolítica Única de Certificación son emitidas conforme lo establecido enla especificación ITU X.509 versión 2 o la que en su defecto, determineel Ente Licenciante, y cumplen con las indicaciones establecidas en lasección 3 “Perfil de CRLs” del Anexo IV “Perfiles de los Certificados yde las Listas de Certificados Revocados”.

Perfil de la lista de certificados revocados:

7.2.1. - Número de versión

Ver apartado 3.2 “Extensiones de un Certificado” del Anexo IV de laDecisión Administrativa N° 927/2014 “Perfiles de los certificados y delas listas de certificados revocados”.

7.2.2. - Extensiones de CRL (Lista de Certificados Revocados)

Ver apartado 3.3 “Extensiones de una CRL” del Anexo IV de la DecisiónAdministrativa N° 927/2014 “Perfiles de los certificados y de laslistas de certificados revocados”.

7.3. - Perfil de la consulta en línea del estado del certificado

La consulta en línea del estado de un certificado digital se realizautilizando el Protocolo OCSP (On-Line Certificate Status Protocol). Deimplementación conforme a lo indicado en la especificación RFC 6960 ycumplimiento con las indicaciones establecidas en la sección 4 “Perfilde la consulta en línea del estado del certificado” del Anexo IV“Perfiles de los Certificados y de las Listas de CertificadosRevocados”.

7.3.1. - Consultas OCSP

Cumple con el formato del apartado 4.1. “Formato” del ANEXO IV de la Decisión Administrativa N° 927/2014.

7.3.2. - Respuestas OCSP

Cumple con el formato del apartado 4.3. “Respuestas OCSP” del ANEXO IV de la Decisión Administrativa N° 927/2014.

8. - AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES

La Autoridad de Aplicación de Firma Digital de la República Argentinarealiza auditorías ordinarias a la “Autoridad Certificante paraPersonas Físicas de la ANSES” y a su Autoridad de Registro, a fin deverificar el cumplimiento de los requisitos de licenciamiento. Lasauditorías realizadas tienen por objeto verificar el cumplimiento delos requisitos exigidos para obtener la condición de certificadoreslicenciados y la aplicación de las políticas y procedimientos aprobadospor la Autoridad de Aplicación para la presente política única decertificación. La ANSES cuenta con una Unidad de Auditoría Interna, querealizará periódicamente la verificación del cumplimiento de losrequisitos fijados en la presente Política Única de Certificación.Asimismo organismos como SIGEN y AGN, realizarán auditorías periódicas.Siendo los temas principales a evaluar en dichas auditorías:

a) Requisitos legales generales

b) Política Única de Certificación y Manual de Procedimientos de Certificación

c) Plan de Seguridad

d) Plan de Cese de Actividades

e) Plan de Contingencia

f) Plataforma Tecnológica

g) Ciclo de vida de las claves criptográficas del certificador

h) Ciclo de vida de los certificados de suscriptores

i) Estructura y contenido de los certificados y CRLs

j) Mecanismos de acceso a la documentación publicada, certificados y CRLs

k) Pautas para la Autoridad de Registro.

En caso de producirse observaciones en las auditorías realizadas luegode la notificación a la máxima autoridad de ANSES, se tomarán a labrevedad las medidas correctivas de carácter legal y técnico queamerite el caso.

En cumplimiento del artículo 21 Inciso K de la Ley N° 25.506, lainformación relevante de los informes de la última auditoría realizadapor la Autoridad de Aplicación, es publicada en los sitios mencionadosen el apartado “Publicación de información del certificador”.

9. - ASPECTOS LEGALES Y ADMINISTRATIVOS

9.1. - Aranceles

Según lo dispuesto por el artículo 38 del Decreto N° 2628/02,modificado por el Decreto N° 724/06, los certificados emitidos por lasentidades y jurisdicciones pertenecientes a la Administración PúblicaNacional deberán ser provistos en forma gratuita.

Los certificados emitidos bajo la presente política son gratuitos y nose aplica ningún tipo de arancel o tasa por su solicitud, emisión,renovación, revocación o utilización.

9.2. - Responsabilidad Financiera

Cuando ANSES emite un certificado digital o bien lo reconozca en lostérminos del artículo 16 de la Ley 25.506 de Firma Digital, seráresponsable por los daños y perjuicios que provoque, por losincumplimientos a las previsiones de ésta, por los errores u omisionesque presenten los certificados digitales que expide, por no revocarlos,en legal tiempo y forma cuando así correspondiere y por lasconsecuencias imputables a la inobservancia de procedimientos decertificación exigibles. Corresponderá a la ANSES demostrar que actuócon la debida diligencia, de acuerdo con el artículo 38 de lamencionada Ley.

9.3. - Confidencialidad

Todos los datos correspondientes a las personas físicas a las cualesalcance esta Política Única de Certificación están sujetos a la Ley N°25.326 de Protección de los Datos Personales. Como principio general,se establece que toda información remitida por el solicitante de uncertificado al momento de efectuar un requerimiento debe serconsiderada confidencial y no ser divulgada a terceros sin elconsentimiento previo del solicitante o suscriptor, salvo que searequerida en causa judicial por un juez competente.

Esta exigencia se extiende a toda otra información referida a lossolicitantes y suscriptores de certificados a la que tenga acceso laANSES o la AR durante el ciclo de vida del certificado.

9.3.1. - Información confidencial

La protección abarca a la siguiente información, en la medida en que no sea de conocimiento público:

- Toda la información remitida por el solicitante o suscriptor a la Autoridad de Registro.

- Cualquier información almacenada en servidores o bases de datos destinadas a Firma Digital de esta Administración Nacional.

- Cualquier información impresa o transmitida en forma verbal referidaa procedimientos, manual de procedimientos, etc., salvo aquellos que enforma expresa fueran declarados como no confidenciales.

- Cualquier información referida a planes de contingencia, controles oprocedimientos de Seguridad, registros de auditoría creados y/omantenidos por ANSES.

- La presente es de carácter enunciativo, resultando confidencial todainformación del proceso de Firma Digital, que expresamente no señale locontrario.

Esta Administración Nacional se compromete, a la hora de prestar susservicios de certificación, a publicar exclusivamente los datos delsuscriptor imprescindibles para el reconocimiento de su firma digital.

A los efectos de lo dispuesto en la normativa citada, se informa alsolicitante o suscriptor de la existencia de certificados revocados.ANSES, como responsable de dicha lista, se compromete a poner losmedios a su alcance para evitar la alteración, pérdida, tratamiento oacceso no autorizado a los datos de carácter personal contenidos en eselistado. Asimismo, se informa al solicitante o suscriptor sobre elderecho que le asiste a acceder o rectificar sus datos de carácterpersonal siempre que se aporte la documentación necesaria para ello.

Toda información que no sea considerada como pública revestirá elcarácter de confidencial, declarándose expresamente como tal a:

- La clave privada de la Autoridad Certificante:

La Autoridad Certificante garantiza la confidencialidad frente aterceros de su clave privada, la cual, al ser el punto de máximaconfianza será generada y custodiada conforme a lo que se especifiqueen la presente política.

- Las claves privadas del solicitante o suscriptor:

Para garantizar la confidencialidad de las claves de autentificación yfirma del solicitante o suscriptor, esta Administración Nacionalproporcionará los medios para que la generación de dichas claves sólose realice de modo seguro a través de un dispositivo criptográfico.Dichas claves serán generadas por el propio solicitante y almacenadasen un dispositivo criptográfico. A su vez, tanto la Autoridad deRegistro (AR) como la Autoridad Certificante (AC) no tendrán laposibilidad de almacenar, copiar o conservar cualquier tipo deinformación que sea suficiente para reconstruir estas claves niactivarlas.

Sobre divulgación de información a autoridades judiciales:

La ANSES podrá revelar información confidencial si es requerida porautoridad judicial y conforme las condiciones de dicho requerimiento.

Sobre divulgación de información como parte de un proceso judicial o administrativo:

La ANSES podrá revelar información confidencial si es requerida en elmarco de procesos judiciales, administrativos u otros procesos legales,tales como citaciones, interrogatorios o solicitud de pruebas.

Sobre divulgación de información por solicitud del suscriptor:

De acuerdo al artículo 14 de la Ley N° 25.326 de Protección de losDatos Personales, el titular de los datos, previa acreditación de suidentidad, tiene derecho a solicitar y obtener información respecto delos datos que sobre su persona obren en los bancos de datos públicos, yde acuerdo con las condiciones establecidas en esta ley. En este casose preverá que el acceso a la lectura de información de la Base deDatos de Firma Digital esté circunscrito a los datos personales delsuscriptor y sólo a ellos.

Sobre otras circunstancias de divulgación de información:

La ANSES no divulgará información confidencial a terceros bajo ningunaotra circunstancia que las previstas en los apartados anteriores,excepto en los casos de excepción previstos en el artículo 11 de la LeyN° 25.326 de Protección de los Datos Personales.

9.3.2. - Información no confidencial

La siguiente información no se considera confidencial:

a) Acuerdo con Suscriptores.

b) Política Única de Privacidad.

c) Términos y condiciones con Terceros Usuarios.

d) Manual de Procedimientos de Certificación en su parte pública.

e) Política Única de Certificación.

f) Resumen de la Política Única de Certificación y del Manual de Procedimientos de Certificación.

g) Certificado de la “Autoridad Certificante Raíz de la República Argentina” (ACR RA).

h) Certificado de la “Autoridad Certificante para Personas Físicas y Jurídica de la ANSES”.

i) Lista de Certificados Revocados (CRL) de la “Autoridad Certificante para Personas Físicas de la ANSES”.

j) Información relevante de los informes de la última auditoría realizada.

9.3.3. - Responsabilidades de los roles involucrados

Son obligaciones de ANSES en su carácter de Certificador Licenciado, cumplir con:

a) Las previsiones establecidas en el artículo 21 de la Ley 25.506.

- Informar a quien solicita un certificado con carácter previo a suemisión y utilizando un medio de comunicación las condiciones precisasde utilización del certificado, sus características, efectos yresponsabilidades, la existencia de un sistema de licenciamiento y losprocedimientos, forma que garantiza su posible responsabilidadpatrimonial y los efectos de la revocación de su propio certificado yde la licencia que le otorga la Autoridad de Aplicación. Esainformación deberá estar libremente accesible en lenguaje fácilmentecomprensible. La parte pertinente de dicha información estará tambiéndisponible para terceros.

- Abstenerse de generar, exigir, o por cualquier otro medio tomarconocimiento o acceder bajo ninguna circunstancia, a los datos decreación de firma digital de los titulares de certificados digitalespor él emitidos.

- Mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación.

- Operar utilizando un sistema técnicamente confiable de acuerdo con lo que determine la Autoridad de Aplicación.

- Notificar al solicitante las medidas que está obligado a adoptar paracrear firmas digitales seguras y para su verificación confiable, y lasobligaciones que asumirá por el solo hecho de ser titular de uncertificado.

- Recabar únicamente aquellos datos personales del titular delcertificado que sean necesarios para su emisión, quedando elsolicitante en libertad de proveer información adicional.

- Mantener la confidencialidad de toda información que no figure en el certificado;

- Poner a disposición del solicitante de un certificado toda la información relativa a su tramitación.

- Mantener la documentación de respaldo de los certificados digitalesemitidos, por diez (10) años a partir de su fecha de vencimiento orevocación.

- Incorporar en su política única de certificación los efectos de larevocación de su propio certificado y/o de la licencia que le otorgarala Autoridad de Aplicación.

- Publicar en Internet o en la red de acceso público de transmisión odifusión de datos que la sustituya en el futuro, en forma permanente eininterrumpida, la lista de certificados digitales revocados, laspolíticas de certificación, la información relevante de los informes dela última auditoría de que hubiera sido objeto, su manual deprocedimientos y toda información que determine la Autoridad deAplicación.

- Publicar en el Boletín Oficial aquellos datos que la Autoridad de Aplicación determine;

- Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas.

- Informar en las políticas de certificación si los certificadosdigitales por él emitidos requieren la verificación de la identidad deltitular.

- Verificar, de acuerdo con lo dispuesto en su manual deprocedimientos, toda otra información que deba ser objeto deverificación, la que debe figurar en las políticas de certificación yen los certificados digitales.

- Solicitar inmediatamente a la Autoridad de Aplicación la revocaciónde su certificado, o informarle la revocación del mismo, cuandoexistieren indicios de que los datos de creación de firma digital queutiliza hubiesen sido comprometidos o cuando el uso de losprocedimientos de aplicación de los datos de verificación de firmadigital en él contenidos hayan dejado de ser seguros.

- Informar inmediatamente a la Autoridad de Aplicación sobre cualquier cambio en los datos relativos a su licencia.

- Permitir el ingreso de los funcionarios autorizados de la Autoridadde Aplicación y de los auditores a su local operativo, poner a sudisposición toda la información necesaria y proveer la asistencia delcaso.

- Emplear personal idóneo que tenga los conocimientos específicos, laexperiencia necesaria para proveer los servicios ofrecidos y enparticular, competencia en materia de gestión, conocimientos técnicosen el ámbito de la firma digital y experiencia adecuada en losprocedimientos de seguridad pertinentes.

- Someter a aprobación de la Autoridad de Aplicación el manual deprocedimientos, el plan de seguridad y el de cese de actividades, asícomo el detalle de los componentes técnicos a utilizar.

- Constituir domicilio legal en la República Argentina.

- Disponer de recursos humanos y tecnológicos suficientes para operarde acuerdo a las exigencias establecidas en la presente ley y sureglamentación.

- Cumplir con toda otra obligación emergente de su calidad de titular de la licencia adjudicada por la Autoridad de Aplicación.

b) Las previsiones establecidas en los artículos 34 y 36 del Decreto N° 2628/02.

- Comprobar por sí o por medio de una Autoridad de Registro que actúeen nombre y por cuenta suya, la identidad y cualquier otro dato de lossolicitantes considerado relevante para los procedimientos deverificación de identidad previos a la emisión del certificado, segúnla Política Única de Certificación bajo la cual se solicita.

- Mantener a disposición permanente del público la Política Única deCertificación y el Manual de Procedimientos correspondiente.

- Cumplir cabalmente con la política única de certificación acordada con el titular y con su Manual de Procedimientos.

- Garantizar la prestación establecida según los niveles definidos enel acuerdo de servicios pactados con sus usuarios, relativo a losservicios para los cuales solicitó el licenciamiento.

- Informar al solicitante de un certificado, en un lenguaje claro yaccesible, en idioma nacional, respecto de las características delcertificado solicitado, las limitaciones a la responsabilidad, si lashubiere, los precios de los servicios de certificación, uso,administración y otros asociados, incluyendo cargos adicionales yformas de pago, los niveles de servicio al proveer, las obligacionesque el suscriptor asume como usuario del servicio de certificación, sudomicilio en la República Argentina y los medios a los que elsuscriptor puede acudir para solicitar aclaraciones, dar cuenta del malfuncionamiento del sistema o presentar sus reclamos.

- Disponer de un servicio de atención a titulares y terceros, quepermita evacuar las consultas y la pronta solicitud de revocación decertificados.

- Garantizar el acceso permanente, eficiente y gratuito de los titulares y terceros al repositorio de certificados revocados.

- Mantener actualizados los repositorios de certificados revocados por el período establecido por la Autoridad de Aplicación.

- Abstenerse de generar, exigir, tomar conocimiento o acceder bajo ninguna circunstancia a la clave privada del suscriptor.

- Informar a la Autoridad de Aplicación de modo inmediato la ocurrenciade cualquier evento que comprometa la correcta prestación del servicio.

- Respetar el derecho del titular del certificado a no recibirpublicidad de ningún tipo por su intermedio, salvo consentimientoexpreso de éste.

- Publicar en el Boletín Oficial durante UN (1) día, el certificado declave pública correspondiente a la política para la cual obtuvolicenciamiento.

- Cumplir las normas y recaudos establecidos para la protección de datos personales.

- En los casos de revocación de certificados contemplados en elapartado 3 del inciso e) del artículo 19 de la Ley N° 25.506, deberásustituir en forma gratuita aquel certificado que ha dejado de serseguro por otro que sí cumpla con estos requisitos.

La Autoridad de Aplicación deberá establecer el proceso de reemplazo decertificados en estos casos. En los casos en los que un certificadohaya dejado de ser seguro por razones atribuibles a su titular, elcertificador licenciado no estará obligado a sustituir el certificado.

- Enviar periódicamente a la Autoridad de Aplicación, informes de estado de operaciones con carácter de declaración jurada.

- Contar con personal idóneo y confiable, con antecedentes profesionales acordes a la función desempeñada.

- Responder a los pedidos de informes por parte de un tercero respecto de la validez y alcance de un certificado emitido por él.

- Ser responsable con los alcances establecidos en la Ley N° 25.506,aún en el caso de que delegue parte de su operatoria en Autoridades deRegistro, sin perjuicio del derecho del certificador de reclamar a laAutoridad de Registro las indemnizaciones por los daños y perjuiciosque aquél sufriera como consecuencia de los actos y/u omisiones de ésta.

c) La obligatoriedad de notificar a sus suscriptores ante cualquieracontecimiento que pudiera ocasionar el compromiso de su clave privaday la generación de un nuevo par de claves.

d) La obligatoriedad de notificar a sus suscriptores y a la Autoridad de Aplicación acerca del cese de sus actividades.

e) La obligatoriedad de emitir y distribuir los certificados a sus suscriptores, informándolos acerca de dicha emisión.

f) Las obligaciones establecidas en la Decisión Administrativa 927/2014 y sus Anexos.

g) El cumplimiento de todas las medidas de seguridad establecidas en su Política de Seguridad.

Son obligaciones de la Autoridad de Registro cumplir con:

a) Las previsiones establecidas en el artículo 35 del Decreto N° 2628/02.

- La recepción de las solicitudes de emisión de certificados.

- La validación de la identidad y autenticación de los datos de los titulares de certificados.

- La validación de otros datos de los titulares de certificados que se presenten ante ella cuya verificación delegue la ANSES.

- La remisión de las solicitudes aprobadas a la ANSES.

- La recepción y validación de las solicitudes de revocación de certificados; y su direccionamiento a la ANSES.

- La identificación y autenticación de los solicitantes de revocación de certificados.

- El archivo y la conservación de toda la documentación de respaldo delproceso de validación de identidad, de acuerdo con los procedimientosestablecidos por la ANSES.

- El cumplimiento de las normas y recaudos establecidos para la protección de datos personales.

- El cumplimiento de las disposiciones que establezca la Política Únicade Certificación y el Manual de Procedimientos de la ANSES, en la parteque resulte aplicable.

b) La protección de sus claves privadas.

c) El cumplimiento de todas las medidas de seguridad establecidas porla ANSES en el documento anexo “Pautas para la Autoridad de Registro”.

Son obligaciones de los suscriptores de certificados cumplir con:

a) Las previsiones establecidas en el artículo 25 de la Ley N° 25.506.

- Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación.

- Utilizar un dispositivo de creación de firma digital técnicamente confiable.

- Solicitar la revocación de su certificado al certificador licenciadoante cualquier circunstancia que pueda haber comprometido la privacidadde sus datos de creación de firma.

- Informar sin demora al certificador licenciado el cambio de alguno delos datos contenidos en el certificado que hubiera sido objeto deverificación.

b) Proveer de modo completo y preciso toda la información necesaria para la emisión del certificado.

c) Utilizar sus certificados de forma adecuada, conforme a lo previsto en la Política Única de Certificación.

d) Tomar conocimiento de los derechos y obligaciones que se establezcanen la “Política Única de Certificación”, en el “Manual deProcedimientos de Certificación” (en sus aspectos no confidenciales),en el “Acuerdo con Suscriptor” y en todo documento aplicable.

e) Solicitar la revocación de su certificado en caso de ocurrir algúncambio que lo excluya de la aplicación de la presente política, comopor ejemplo, la finalización de la relación laboral con la ANSES.

9.4. - Privacidad

Todos los aspectos vinculados a la privacidad de los datos personalesestarán sujetos a la normativa vigente en materia de Protección de losDatos Personales (Ley N° 25.326 y normas reglamentarias,complementarias y aclaratorias). Las consideraciones particulares seincluyen en la Política de Privacidad.

9.5 - Derechos de Propiedad Intelectual

La ANSES es propietaria exclusiva de todos los derechos de propiedadintelectual de la presente política única, acuerdos, declaraciones,procedimientos y documentos auxiliares referidos a la AutoridadCertificante para Personas Físicas de la ANSES, así como ladocumentación y contenidos de los sitios:

- http://intranetanses/firmadigital

- https://servicioswww.anses.gov.ar/firmadigital

y de las aplicaciones informáticas propias, exceptuando software de base y su correspondiente documentación.

9.6. - Responsabilidades y garantías

En un todo de acuerdo con la Ley N° 25.506 de Firma Digital, Capítulo IX, existirán dos supuestos de responsabilidad civil:

1) La existente entre este certificador licenciado que emite un certificado respecto del titular de dicho certificado.

Sin perjuicio de las previsiones de la citada ley, y demás legislaciónvigente, la relación entre la ANSES y el titular de un certificadoemitido por ANSES se regirá por el contrato o acuerdo de partes que secelebre a tal efecto. En este sentido, de acuerdo al artículo 37 de laLey de Firma Digital la relación quedará encuadrada dentro del ámbitode responsabilidad civil contractual.

La ANSES no se hace responsable por los daños y perjuicios que hubieranacontecido por culpa de un tercero, de la víctima, o la presencia de unhecho fortuito o de fuerza mayor que no le sea imputable, quedandoeximido de resarcir total o parcialmente los daños causados a lavíctima en caso de que probara su falta de culpa, o que actuódiligentemente. En caso de comprobarse la falta de diligencia, porparte de esta ADMINISTRACIÓN NACIONAL, de acuerdo a lo dispuesto porlos artículos 520 y 521 del Código Civil, se deberá proceder aindemnizar los daños y perjuicios que sean consecuencia inmediata delhecho dañoso.

2) La que podría presentarse entre ANSES y un tercero.

Con respecto a la responsabilidad de esta ANSES por actos que pudieranafectar los intereses de un tercero, en el marco de la presenteoperatoria, será responsable por los daños y perjuicios que provoque,por los incumplimientos, las imprevisiones, por los errores u omisionesque presenten los certificados digitales que expida, por no revocarlosen legal tiempo y forma y, por las consecuencias imputables a lainobservancia de procedimientos de certificación pertinentes. Deacuerdo con el artículo 38 de la Ley N° 25.506. Dado que ANSES no estácontratando con terceros la responsabilidad civil será de carácterextra contractual.

Limitaciones

Se excluye la responsabilidad civil de la ANSES, en un todo de acuerdocon el artículo 39 de la ley 25.506, en los siguientes casos:

- Por las condiciones de emisión y utilización de sus certificados, que no estén expresamente previstos en la ley.

- Por los daños y perjuicios que resulten del uso no autorizado de un certificado.

- Por eventuales inexactitudes en el certificado que resulten de la información facilitada por el titular.

Ninguna de las partes podrá considerar a la otra como responsable porcualquier finalización, interrupción o demora en el cumplimiento de susobligaciones conforme al presente instrumento que resultara comoconsecuencia de aquellas causales consideradas como fuerza mayor o casofortuito (de acuerdo al Código Civil), siempre y cuando la parte que lainvocare haya puesto prontamente en conocimiento de la otra parte demanera comprobable y fehaciente las circunstancias del hecho, dentro delas 24 horas de conocido el mismo, y haya tomado las medidas querazonablemente que resultan necesarias, bajo las circunstancias, paramitigar los efectos ocasionadospor el hecho de fuerza mayor invocado.

Si se comprobara hecho dañoso se deberá indemnizar a la víctima, deacuerdo a lo estipulado en los artículos 520 y 521 del Código Civil,los daños y perjuicios que sean consecuencia inmediata de dicho hecho.

Cabe destacar que estas disposiciones del Código Civil serán aplicablesen forma supletoria a lo establecido expresamente por las partes en elcontrato.

9.7. - Deslinde de responsabilidad

Lo relacionado a este punto se detalla en el apartado 9.6. “Responsabilidades y garantías”.

9.8. - Limitaciones a la responsabilidad frente a terceros

Lo relacionado a este punto se detalla en el apartado 9.6. “Responsabilidades y garantías”.

9.9. - Compensaciones por daños y perjuicios

Lo relacionado a este punto se detalla en el apartado 9.6. “Responsabilidades y garantías”.

9.10. - Condiciones de vigencia

La presente Política Única de Certificación para Personas Físicas de laANSES se encuentra vigente desde su aprobación y mientras su texto nosea actualizado.

• Fecha de entrada en vigencia: 17/12/2008

9.11. - Avisos personales y comunicaciones con los participantes

No aplicable.

9.12. - Gestión del ciclo de vida del documento

Lo relacionado a este punto se detalla en el apartado, 9.12.1. “Procedimientos de cambio” y

9.12.2. “Mecanismo y plazo de publicación y notificación”.

9.12.1. - Procedimientos de cambio

El presente documento será revisado y actualizado en forma periódicapor la ANSES y puesto en vigencia, previa aprobación del entelicenciante. Las nuevas versiones de la política contendrán unareferencia a cada una de las versiones previas, junto a una descripciónsintética de los principales cambios introducidos.

Todo cambio a la Política Única de Certificación será comunicado al suscriptor.

9.12.2. - Mecanismo y plazo de publicación y notificación

Una copia actualizada del presente documento se encuentra disponible enforma pública y accesible a través de Internet en la dirección:https://servicioswww.anses.gov.ar/firmadigital/

En caso de producirse modificaciones sustanciales a los contenidos dela presente política, los suscriptores que posean certificados vigentesa la fecha de aplicación del cambio serán notificados por correoelectrónico en las direcciones declaradas en los correspondientescertificados.

Producida una actualización de los documentos relacionados con el marcolegal u operativo de la Autoridad Certificante (“Acuerdo conSuscriptores”, “Política de Privacidad”, “Términos y condiciones conTerceros Usuarios”, “Resumen de la Política Única de Certificación ydel Manual de Procedimientos de Certificación”, “Política Única deCertificación”), los documentos actualizados se publicarán dentro delas VEINTICUATRO (24) horas, luego de ser aprobados por la Autoridad deAplicación.

9.12.3. - Condiciones de modificación del OID

No aplicable.

9.13. - Procedimientos de resolución de conflictos

Se deja constancia de que cualquier controversia y/o conflictoresultante de la aplicación de esta Política Única de Certificación,podrá ser resuelta en sede administrativa de acuerdo a lo establecidopor la Ley Nacional de Procedimientos Administrativos N° 19.549 y suDecreto Reglamentario N° 1759/72 T.O. 1991 y que la presente Políticase encuentra supeditada a la normativa vigente en materia de FirmaDigital (Ley N° 25.506 y sus disposiciones reglamentarias) y que enningún caso prevalecerá sobre lo dispuesto por ella.

9.14. - Legislación aplicable

La legislación que respalda la interpretación, aplicación y validez dela Política Única de Certificación, es la Ley N° 25.506, el Decreto N°2628/02, la Decisión Administrativa N° 927/2014, y toda otra normacomplementaria dictada por la autoridad competente.

9.15. - Conformidad con normas aplicables

La presente Política Única de Certificación se rige por la Ley 25.506,el Decreto Reglamentario N° 2628/2002 y la Decisión Administrativa N°927/2014 y demás normas concordantes dictadas por la autoridadcompetente.

Si se presentasen conflictos de interpretación de una o másdisposiciones de esta Política Única de Certificación, el suscriptor otercero usuario deberán agotar la vía administrativa con jurisdicciónen esta ADMINISTRACIÓN, luego de cumplida esta instancia podrá accionarante la Autoridad de Aplicación.

9.16. - Cláusulas adicionales

No se establecen cláusulas adicionales.

9.17. - Otras cuestiones generales

Son obligaciones de los suscriptores de certificados cumplir con:

a) Las previsiones establecidas en el artículo 25 de la Ley N° 25.506.

- Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación.

- Utilizar un dispositivo de creación de firma digital técnicamente confiable.

- Solicitar la revocación de su certificado al certificador licenciadoante cualquier circunstancia que pueda haber comprometido la privacidadde sus datos de creación de firma.

- Informar sin demora al certificador licenciado el cambio de alguno delos datos contenidos en el certificado que hubiera sido objeto deverificación.

b) Proveer de modo completo y preciso toda la información necesaria para la emisión del certificado.

c) Utilizar sus certificados de forma adecuada, conforme a lo previsto en la Política Única de Certificación.

d) Tomar conocimiento de los derechos y obligaciones que se establezcanen la “Política Única de Certificación”, en el “Manual deProcedimientos de Certificación” (en sus aspectos no confidenciales),en el “Acuerdo con Suscriptor” y en todo documento aplicable.

e) Solicitar la revocación de su certificado en caso de ocurrir algúncambio que lo excluya de la aplicación de la presente política, comopor ejemplo, la finalización de la relación laboral con la ANSES.

Son obligaciones de los terceros usuarios de certificados:

a) Conocer los alcances de la Política Única de Certificación conforme los “Términos y condiciones con terceros usuarios”.

b) Rechazar la utilización del certificado para fines distintos a losprevistos en la Política Única de Certificación que lo respalda y deusarlo conforme a los “Términos y condiciones con terceros usuarios”.

c) Verificar la validez del certificado.

e. 06/02/2015 N° 6810/15 v. 06/02/2015