Disposición 11/2014

“Politica Unica De Certificacion” - Apruebase Adhesion

Actualizado 02 de Marzo de 2017 Jefatura De Gabinete De Ministros
“Politica Unica De Certificacion” - Apruebase Adhesion

Apruebase la adhesion de la oficina nacional de tecnologias de informacion dependiente de la subsecretaria de tecnologias de gestion de la secretaria de gabinete y coordinacion administrativa de la jefatura de gabinete de ministros, en su calidad de certificador licenciado, a la “politica unica de certificacion”.

Id norma: 241845 Tipo norma: Disposición Numero boletin: 33067

Fecha boletin: 09/02/2015 Fecha sancion: 30/12/2014 Numero de norma 11/2014

Organismo (s)

Organismo origen: Subsecretaria De Tecnologias De Gestion Ver Disposiciones Observaciones: -

Esta norma modifica o complementa a

Ver 4 norma(s).

Esta norma es complementada o modificada por

Ver 2 norma(s).

Texto Original

Actualizado 02 de Marzo de 2017

JEFATURADE GABINETE DE MINISTROS

SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA

SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN

Disposición 11/2014

Bs. As., 30/12/2014

VISTO el Expediente N° CUDAP: EXP-JGM:0064247/2014 del Registro de laJEFATURA DE GABINETE DE MINISTROS, la Ley N° 25.506, los Decretos Nros.357 del 21 de febrero de 2002 y sus modificatorios y 2628 del 19 dediciembre de 2002 y sus modificatorios, la Decisión Administrativa N°927 del 30 de octubre de 2014 y las Resoluciones N° 63 del 13 denoviembre de 2007 de la ex SUBSECRETARÍA DE LA GESTIÓN PÚBLICA de laJEFATURA DE GABINETE DE MINISTROS y N° 227 del 21 de octubre de 2010 dela ex SECRETARÍA DE LA GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DEMINISTROS, y

CONSIDERANDO:

Que la Ley N° 25.506 de Firma Digital, reconoce la eficacia jurídicadel documento electrónico, la firma electrónica y la firma digital,estableciendo las características de la Infraestructura de FirmaDigital de la REPÚBLICA ARGENTINA.

Que el inciso h) del artículo 30 de la mencionada ley asigna a laautoridad de aplicación la función de otorgar o revocar las licencias alos certificadores y supervisar su actividad, según las exigenciasinstituidas por la reglamentación.

Que el artículo 24 del Decreto N° 2628 del 19 de diciembre de 2002 ysus modificatorios, reglamentario de la Ley N° 25.506 de Firma Digital,establece el procedimiento que los certificadores deben observar parala obtención de una licencia y detalla la documentación exigida para elcumplimiento de las condiciones estipuladas en la Ley N° 25.506, sudecreto reglamentario y normas complementarias.

Que la Decisión Administrativa N° 927 del 30 de octubre de 2014,establece las pautas técnicas complementarias del marco normativo defirma digital, aplicables al otorgamiento y revocación de licencias alos certificadores que así lo soliciten.

Que el Decreto N° 357 del 21 de febrero de 2002 y sus modificatorios,en el punto XI de la planilla Anexa al artículo 2° faculta a laSUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN dependiente de la SECRETARÍA DEGABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DEMINISTROS, entre otras funciones, para actuar como autoridad deaplicación del Régimen Normativo de la infraestructura de Firma Digitalestablecida por la Ley N° 25.506, y ejercer las funciones de entelicenciante y supervisor de certificadores.

Que la Resolución N° 63 del 13 de noviembre de 2007 de la exSUBSECRETARÍA DE LA GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DEMINISTROS aprueba la “Política de Certificación de la AutoridadCertificante Raíz de la Infraestructura de Firma Digital de laREPÚBLICA ARGENTINA”, que rige la emisión de certificados a losCertificadores que hayan sido licenciados por el ente licenciante.

Que la Resolución N° 227 del 21 de octubre de 2010 de la ex SECRETARÍADE LA GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS otorga laLicencia para operar como Certificador Licenciado a la OFICINA NACIONALDE TECNOLOGÍAS DE INFORMACIÓN de la SUBSECRETARÍA DE TECNOLOGÍAS DEGESTIÓN de la SECRETARÍA DE GABINETE Y GESTIÓN ADMINISTRATIVA de laJEFATURA DE GABINETE DE MINISTROS.

Que en virtud de las constancias obrantes en el expediente, se hanacreditado las condiciones requeridas por la Decisión Administrativa N°927/14 para que la Autoridad Certificante de la OFICINA NACIONAL DETECNOLOGÍAS DE INFORMACIÓN, en su calidad de Certificador Licenciado,adhiera a la Política Única de Certificación, en cumplimiento a lodispuesto por su artículo 62.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DECOORDINACIÓN ADMINISTRATIVA de la SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado laintervención que le compete.

Que el SUBSECRETARIO DE TECNOLOGÍAS DE GESTIÓN dependiente de laSECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DEGABINETE DE MINISTROS se encuentra facultado para dictar la presentemedida en virtud del Decreto N° 357/2002 y sus modificatorios.

Por ello,

EL SUBSECRETARIO DE TECNOLOGÍAS DE GESTIÓN DE LA SECRETARÍA DE GABINETEY COORDINACIÓN ADMINISTRATIVA DE LA JEFATURA DE GABINETE DE MINISTROS

DISPONE:

ARTÍCULO 1° — Apruébase la adhesión de la OFICINA NACIONAL DETECNOLOGÍAS DE INFORMACIÓN dependiente de la SUBSECRETARÍA DETECNOLOGÍAS DE GESTIÓN de la SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS, en su calidadde Certificador Licenciado, a la “Política Única de Certificación”,cuyo texto adecuado forma parte integrante de la presente Disposicióncomo Anexo.

ARTÍCULO 2° — Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DELREGISTRO OFICIAL y archívese. — Ing. SERGIO A. BLANCO, Subsecretario deTecnologías de Gestión, Secretaría de Gabinete y CoordinaciónAdministrativa, Jefatura de Gabinete de Ministros.

ANEXO

INFRAESTRUCTURA DE FIRMA DIGITAL REPÚBLICA ARGENTINA

LEY N° 25.506

POLÍTICA ÚNICA DE CERTIFICACIÓN AUTORIDAD CERTIFICANTE

OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN

Oficina Nacional de Tecnologías de Información

SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN

SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA

JEFATURA DE GABINETE DE MINISTROS

Versión 2.0

Diciembre 2014

ÍNDICE

ÍNDICE

1. - INTRODUCCIÓN

1.1. - Descripción general

1.2. - Nombre e Identificación del Documento

1.3. - Participantes

1.3.1. - Certificador

1.3.2. - Autoridad de Registro

1.3.3. - Suscriptores de certificados

1.3.4. - Terceros Usuarios

1.4. - Uso de los certificados

1.5. - Administración de la Política

1.5.1. - Responsable del documento

1.5.2. - Contacto

1.5.3. - Procedimiento de aprobación de la Política Única deCertificación

1.6. - Definiciones y Acrónimos

1.6.1. – Definiciones

1.6.2. - Acrónimos

2. - RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS.

2.1. - Repositorios

2.2. - Publicación de información del Certificador

2.3. - Frecuencia de publicación

2.4. - Controles de acceso a la información

3. - IDENTIFICACIÓN Y AUTENTICACIÓN

3.1.- Asignación de nombres de suscriptores

3.1.1. - Tipos de Nombres

3.1.2. - Necesidad de Nombres Distintivos

3.1.4. - Reglas para la interpretación de nombres

3.1.5. - Unicidad de nombres

3.1.6. - Reconocimiento, autenticación y rol de las marcas registradas

3.2. - Registro inicial

3.2.2 - Autenticación de la identidad de Personas Jurídicas Públicas oPrivadas

3.2.3. - Autenticación de la identidad de Personas Físicas

3.2.4. - Información no verificada del suscriptor

3.2.5. - Validación de autoridad

3.2.6. - Criterios para la interoperabilidad

3.3. - Identificación y autenticación para la generación de nuevo parde claves (Rutina de Re Key)

3.3.1. - Renovación con generación de nuevo par de claves (Rutina de ReKey)

3.3.2. - Generación de un certificado con el mismo par de claves

3.4. - Requerimiento de revocación

4. - CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS

4.1. - Solicitud de certificado

4.1.1. - Solicitantes de certificados

4.1.2. - Solicitud de certificado

4.2. - Procesamiento de la solicitud del certificado

4.3. - Emisión del certificado

4.3.1. - Proceso de emisión del certificado

4.3.2. - Notificación de emisión

4.4. - Aceptación del certificado

4.5. - Uso del par de claves y del certificado

4.5.1. - Uso de la clave privada y del certificado por parte delsuscriptor

4.5.2. - Uso de la clave pública y del certificado por parte deTerceros Usuarios

4.6. - Renovación del certificado sin generación de un nuevo par declaves

4.7. - Renovación del certificado con generación de un nuevo par declaves

4.8. - Modificación del certificado

4.9. - Suspensión y Revocación de Certificados

4.9.1. - Causas de revocación

4.9.2. - Autorizados a solicitar la revocación

4.9.3. - Procedimientos para la solicitud de revocación

4.9.4. - Plazo para la solicitud de revocación

4.9.5. - Plazo para el procesamiento de la solicitud de revocación

4.9.6. - Requisitos para la verificación de la lista de certificadosrevocados

4.9.7. - Frecuencia de emisión de listas de certificados revocados

4.9.8.- Vigencia de la lista de certificados revocados

4.9.9. - Disponibilidad del servicio de consulta sobre revocación y deestado del certificado

4.9.10. - Requisitos para la verificación en línea del estado derevocación

4.9.11. - Otras formas disponibles para la divulgación de la revocación

4.9.12. - Requisitos específicos para casos de compromiso de claves

4.9.13. - Causas de suspensión

4.9.14. - Autorizados a solicitar la suspensión

4.9.15. - Procedimientos para la solicitud de suspensión

4.9.16. - Límites del periodo de suspensión de un certificado

4.10. - Estado del certificado

4.10.1. - Características técnicas

4.10.2. - Disponibilidad del servicio

4.10.3. - Aspectos operativos

4.11. - Desvinculación del suscriptor

4.12. - Recuperación y custodia de claves privadas

5. - CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN

5.1. - Controles de seguridad física

5.2. - Controles de Gestión

5.3. - Controles de seguridad del personal

5.4. - Procedimientos de Auditoría de Seguridad

5.5. - Conservación de registros de eventos

5.6. - Cambio de claves criptográficas

5.7. - Plan de Continuidad de las Operaciones

5.8. - Plan de Cese de Actividades

6. - CONTROLES DE SEGURIDAD TÉCNICA

6.1. - Generación e instalación del par de claves criptográficas

6.1.1. - Generación del par de claves criptográficas

6.1.2. - Entrega de la clave privada

6.1.3. - Entrega de la clave pública al emisor del certificado

6.1.4. - Disponibilidad de la clave pública del Certificador

6.1.5. - Tamaño de claves

6.1.6. - Generación de parámetros de claves asimétricas

6.1.7. - Propósitos de utilización de claves (campo “KeyUsage” encertificados X.509 v.3)

6.2. - Protección de la clave privada y controles sobre losdispositivos criptográficos

6.2.1. - Controles y estándares para dispositivos criptográficos

6.2.2. - Control “M de N” de clave privada

6.2.3. - Recuperación de clave privada

6.2.4. - Copia de seguridad de clave privada

6.2.5. - Archivo de clave privada

6.2.6. - Transferencia de claves privadas en dispositivos criptográficos

6.2.7. - Almacenamiento de claves privadas en dispositivoscriptográficos

6.2.8. - Método de activación de claves privadas

6.2.9. - Método de desactivación de claves privadas

6.2.10. - Método de destrucción de claves privadas

6.2.11. - Requisitos de los dispositivos criptográficos

6.3. - Otros aspectos de administración de claves

6.3.1. - Archivo permanente de la clave pública

6.3.2. - Período de uso de clave pública y privada

6.4. - Datos de activación

6.4.1. - Generación e instalación de datos de activación

6.4.2. - Protección de los datos de activación

6.4.3. - Otros aspectos referidos a los datos de activación

6.5. - Controles de seguridad informática

6.5.1. - Requisitos Técnicos específicos

6.5.2. - Requisitos de seguridad computacional

6.6. - Controles Técnicos del ciclo de vida de los sistemas

6.6.1. - Controles de desarrollo de sistemas

6.6.2. - Controles de gestión de seguridad

6.6.3. - Controles de seguridad del ciclo de vida del software

6.7. - Controles de seguridad de red

6.8. - Certificación de fecha y hora

7. - PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS

7.1. - Perfil del certificado

7.2. - Perfil de la lista de certificados revocados

7.3. - Perfil de la consulta en línea del estado del certificado

8. - AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES

9. - ASPECTOS LEGALES Y ADMINISTRATIVOS

9.1. - Aranceles

9.2. - Responsabilidad Financiera

9.3. - Confidencialidad

9.3.1. - Información confidencial

9.3.2. - Información no confidencial

9.3.3. - Responsabilidades de los roles involucrados

9.4. - Privacidad

9.5 - Derechos de Propiedad Intelectual

9.6. - Responsabilidades y garantías

9.7. - Deslinde de responsabilidad

9.8. - Limitaciones a la responsabilidad frente a terceros

9.9. - Compensaciones por daños y perjuicios

9.10. - Condiciones de vigencia

9.11.- Avisos personales y comunicaciones con los participantes

9.12.- Gestión del ciclo de vida del documento

9.12.1. - Procedimientos de cambio

9.12.2 - Mecanismo y plazo de publicación y notificación

9.12.3. - Condiciones de modificación del OID

9.13. - Procedimientos de resolución de conflictos

9.14. - Legislación aplicable

9.15. - Conformidad con normas aplicables

9.16. - Cláusulas adicionales

9.17. - Otras cuestiones generales

1. - INTRODUCCIÓN.

1.1. - Descripción general.

El presente documento establece las políticas que se aplican a larelación entre un Certificador Licenciado en el marco de laInfraestructura de Firma Digital de la REPÚBLICA ARGENTINA (Ley N°25.506 y sus modificatorias) y los solicitantes, suscriptores yterceros usuarios de los certificados que éste emita. Un certificadovincula los datos de verificación de firma digital de una personafísica o jurídica o con una aplicación a un conjunto de datos quepermiten identificar a dicha entidad, conocida como suscriptor delcertificado.

La autoridad de aplicación de la Infraestructura de firma digital antesmencionada es la SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVAde la JEFATURA DE GABINETE DE MINISTROS, siendo la SUBSECRETARÍA DETECNOLOGÍAS DE GESTIÓN de la SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS, quien entiendeen las funciones de ente licenciante.

1.2. - Nombre e Identificación del Documento.

Nombre: Política Única de Certificación de la Oficina Nacional deTecnologías de Información.

Versión: 2.0

Fecha de aplicación:

Sitio de publicación: http://pki.jgm.gob.ar/cps/cps.pdf

OID: 2.16.32.1.1.3

Lugar: Ciudad Autónoma de Buenos Aires, República Argentina

1.3. - Participantes.

Integran la infraestructura del Certificador las siguientes entidades:

1.3.1. - Certificador.

La Oficina Nacional de Tecnologías de Información (en adelante, laONTI) en su calidad de Certificador, presta los servicios decertificación, de acuerdo con los términos de la presente Política.

Oficina Nacional de Tecnologías de Información

Domicilio: Roque Sáenz Peña 511 - 5° piso (C1035AAA) Ciudad Autónoma deBuenos Aires Argentina

Correo electrónico: aconti@jefatura.gob.ar

Teléfonos: (54 11) 5985-8663

(54 11) 4343-9001 Int. 533

1.3.2. - Autoridad de Registro.

El Certificador posee una estructura de Autoridades de Registro, enadelante AR, que efectúan las funciones de validación de identidad y deotros datos de los solicitantes y suscriptores de certificados,registrando las presentaciones y trámites que les sean formulados poréstos.

Los organismos públicos que han sido habilitados para operar como ARdel Certificador, incluyendo su domicilio, datos de contacto y sioperan bajo modalidad de Puesto Móvil, se encuentran disponibles en susitio web https://pki.jgm.gob.ar/app

1.3.3. - Suscriptores de certificados.

Podrán ser suscriptores de los certificados emitidos por la AutoridadCertificante de la ONTI, en adelante AC-ONTI:

• Las personas físicas que desempeñen funciones en entes públicosestatales.

• Las personas físicas o jurídicas que realicen trámites con el Estado,cuando existe una aplicación que requiera una firma digital, siempreque se cumplan las siguientes condiciones:

a) Deberá existir una AR autorizada por el Certificador en el organismoresponsable de la aplicación, quien debe informar de la misma alCertificador.

b) Los solicitantes de certificados deberán efectuar el trámite desolicitud exclusivamente ante la AR autorizada.

• Los organismos y las empresas públicas.

La AC ONTI emite también un certificado para ser usado en relación conel servicio On Line Certificate Status Protocol (en adelante, OCSP) deconsulta sobre el estado de un certificado. Asimismo, la AC ONTI emitecertificados para proveedores de servicios en relación a la firmadigital, según lo dispuesto en el artículo 10° de la DecisiónAdministrativa N° 927 del 30 de noviembre de 2014.

1.3.4. - Terceros Usuarios.

Son Terceros Usuarios de los certificados emitidos bajo la presentePolítica Única de Certificación, toda persona física o jurídica querecibe un documento firmado digitalmente y que genera una consulta paraverificar la validez del certificado digital correspondiente, deacuerdo al Anexo I del Decreto N° 2628 del 19 de diciembre de 2002.

1.4. - Uso de los certificados.

Las claves correspondientes a los certificados digitales que se emitanbajo la presente Política Única de Certificación podrán ser utilizadasen forma interoperable en los procesos de firma digital de cualquierdocumento o transacción y para la autenticación o el cifrado.

1.5. - Administración de la Política.

1.5.1. - Responsable del documento.

Será responsable de la presente Política Única el máximo responsabledel Certificador licenciado, con los siguientes datos:

Correo electrónico: aconti@jefatura.gob.ar

Teléfonos:

(54 11) 5985-8663

(54 11) 4343-9001 Int. 533

1.5.2. - Contacto.

La presente Política Única es administrada por el máximo responsabledel Certificador Licenciado:

Correo electrónico: aconti@jefatura.gob.ar

Teléfono: (54 11) 5985-8663

(54 11) 4343-9001 Int. 533

1.5.3. - Procedimiento de aprobación de la Política Única deCertificación.

La Política Única de Certificación y el Formulario de Adhesión delAnexo I han sido presentados y autorizados por el ente licenciante deacuerdo a lo dispuesto por la presente Disposición.

1.6. - Definiciones y Acrónimos.

1.6.1. - Definiciones.

- Autoridad de Aplicación: la SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS es la Autoridadde Aplicación de firma digital en la REPÚBLICA ARGENTINA.

- Autoridad de Registro: es la entidad que tiene a su cargo lasfunciones de:

• Recepción de las solicitudes de emisión de certificados.

• Validación de la identidad y autenticación de los datos de lostitulares de certificados.

• Validación de otros datos de los titulares de certificados que sepresenten ante ella cuya verificación delegue el CertificadorLicenciado.

• Remisión de las solicitudes aprobadas al Certificador Licenciado conla que se encuentre operativamente vinculada.

• Recepción y validación de las solicitudes de revocación decertificados; y su direccionamiento al Certificador Licenciado con elque se vinculen.

• Identificación y autenticación de los solicitantes de revocación decertificados.

• Archivo y la conservación de toda la documentación respaldatoria delproceso de validación de identidad, de acuerdo con los procedimientosestablecidos por el Certificador Licenciado.

• Cumplimiento de las normas y recaudos establecidos para la protecciónde datos personales.

• Cumplimiento de las disposiciones que establezca la Política Única deCertificación y el Manual de Procedimientos del Certificador Licenciadocon el que se encuentre vinculada, en la parte que resulte aplicable.

Dichas funciones son delegadas por el Certificador Licenciado. Puedeactuar en una instalación fija o en modalidad móvil, siempre que medieautorización del ente licenciante.

- Certificado Digital: Se entiende por certificado digital al documentodigital firmado digitalmente por un Certificador, que vincula los datosde verificación de firma a su titular (artículo 13 de la Ley N° 25.506).

- Certificador Licenciado: Se entiende por Certificador Licenciado atoda persona de existencia ideal, registro público de contratos uorganismo público que expide certificados, presta otros servicios enrelación con la firma digital y cuenta con una licencia para ello,otorgada por el ente licenciante. (artículo 17 de la Ley N° 25.506).

- Certificación digital de fecha y hora: Indicación de la fecha y horacierta, asignada a un documento o registro electrónico por una terceraparte confiable y firmada digitalmente por ella. (Anexo al Decreto N°2628/02).

- Ente licenciante: la SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN de laSECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DEGABINETE DE MINISTROS es Ente Licenciante.

- Lista de certificados revocados: Lista de certificados que han sidodejados sin efecto en forma permanente por el Certificador Licenciado,la cual ha sido firmada digitalmente y publicada por el mismo. Eninglés: Certificate Revocation List (CRL). (Anexo al Decreto N°2628/02).

- Manual de Procedimientos: Conjunto de prácticas utilizadas por elCertificador Licenciado en la emisión y administración de loscertificados. En inglés: Certification Practice Statement (CPS). (Anexoal Decreto N° 2628/02).

- Plan de Cese de Actividades: conjunto de actividades a desarrollarpor el Certificador Licenciado en caso de finalizar la prestación desus servicios. (Anexo al Decreto N° 2628/02).

- Plan de Continuidad de las operaciones: Conjunto de procedimientos aseguir por el Certificador Licenciado ante situaciones de ocurrencia noprevistas que comprometan la continuidad de sus operaciones.

- Plan de Seguridad: Conjunto de políticas, prácticas y procedimientosdestinados a la protección de los recursos del Certificador Licenciado.(Anexo al Decreto N° 2628/02).

- Política de Privacidad: conjunto de declaraciones que el CertificadorLicenciado se compromete a cumplir de manera de resguardar los datos delos solicitantes y suscriptores de certificados digitales por élemitidos.

- Servicio OCSP (Protocolo en línea del estado de un certificado -“Online Certificate Status Protocol”): servicio de verificación enlínea del estado de los certificados. El OCSP es un método paradeterminar el estado de revocación de un certificado digital usandootros medios que no sean el uso de Listas de Revocación de Certificados(CRL). El resultado de una consulta a este servicio está firmado por elCertificador que brinda el servicio.

- Suscriptor o Titular de certificado digital: Persona o entidad a cuyonombre se emite un certificado y que posee una clave privada que secorresponde con la clave pública contenida en el mismo.

- Tercero Usuario: persona física o jurídica que recibe un documentofirmado digitalmente y que genera una consulta para verificar lavalidez del certificado digital correspondiente. (artículo 3° delDecreto N° 724 del 8 de junio de 2006).

1.6.2. - Acrónimos.

CRL - Lista de Certificados Revocados (“Certificate Revocation List”).

CUIT - Clave Única de Identificación Tributaria.

IEC - International Electrotechnical Commission.

IETF - Internet Engineering Task Force.

OCSP - Protocolo en línea del estado de un certificado (“On lineCertificate Status Protocol”).

OID - Identificador de Objeto (“Object Identifier”).

ONTI - Oficina Nacional de Tecnologías de Información.

RFC - Request for Comments.

2. - RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS.

Conforme a lo dispuesto por la Ley N° 25.506, la relación entre elCertificador que emita un certificado digital y el titular de esecertificado se rige por el contrato que celebren entre ellos, sinperjuicio de las previsiones de la citada ley, y demás legislaciónvigente. Esa relación conforme el artículo 37 de la mencionada leyquedará encuadrada dentro del ámbito de responsabilidad civilcontractual.

Al emitir un certificado digital o al reconocerlo en los términos delartículo 16 de la Ley 25.506, el Certificador es responsable por losdaños y perjuicios que provoque, por los incumplimientos a lasprevisiones de ésta, por los errores u omisiones que presenten loscertificados digitales que expida, por no revocarlos, en legal tiempo yforma cuando así correspondiere y por las consecuencias imputables a lainobservancia de procedimientos de certificación exigibles todo ello deacuerdo con los establecido en el artículo 38 de la Ley N° 25.506.Corresponderá al Certificador demostrar que actuó con la debidadiligencia.

El artículo 36 del Decreto N° 2628/02, Reglamentario de la Ley N°25.506, establece la responsabilidad del Certificador respecto de lasAR.

En ese sentido prescribe que una AR puede constituirse como únicaunidad o con varias unidades dependientes jerárquicamente entre sí,pudiendo delegar su operatoria en otras AR, siempre que medie laaprobación del Certificador.

El Certificador es responsable con los alcances establecidos en la LeyN° 25.506, aún en el caso de que delegue parte de su operatoria en AR,sin perjuicio del derecho del Certificador de reclamar a la AR lasindemnizaciones por los daños y perjuicios que aquél sufriera comoconsecuencia de los actos y/u omisiones de ésta.

El Certificador no es responsable en los siguientes casos, según elartículo 39 de la Ley antes mencionada:

a) Por los casos que se excluyan taxativamente en las condiciones deemisión y utilización de sus certificados digitales y que no esténexpresamente previstos en la Ley N° 25.506;

b) Por los daños y perjuicios que resulten del uso no autorizado de uncertificado digital, si en las correspondientes condiciones de emisióny utilización de sus certificados constan las restricciones de suutilización;

c) Por eventuales inexactitudes en el certificado que resulten de lainformación facilitada por el titular que, según lo dispuesto en lasnormas y en los manuales de procedimientos respectivos, deba ser objetode verificación, siempre que el Certificador pueda demostrar que hatomado todas las medidas razonables.

Los alcances de la responsabilidad del Certificador se limitan a lasconsecuencias directas de la falta de cumplimiento de losprocedimientos establecidos en esta Política Única de Certificación enrelación a la emisión, renovación y revocación de certificados. Losalcances de la responsabilidad del Certificador se limitan a losámbitos de su incumbencia directa, en ningún momento será responsablepor el mal uso de los certificados que pudiera hacerse, tampoco por losdaños y perjuicios derivados de la falta de consulta de la informacióndisponible en Internet sobre la validez de los certificados, ni tampocoserá responsable de los usos de los certificados en aplicacionesespecíficas.

El Certificador no garantiza el acceso a la información cuando mediaranrazones de fuerza mayor (catástrofes naturales, cortes masivos de luzpor períodos indeterminados, destrucción debido a eventos no previstos,etc.) ni asume responsabilidad por los daños o perjuicios que sederiven en forma directa o indirecta como consecuencia de estos casos.

2.1. - Repositorios.

El servicio de repositorio de información y la publicación de la Listade Certificados Revocados son administrados en forma directa por elCertificador.

2.2. - Publicación de información del Certificador.

El Certificador garantizará el acceso a la información actualizada yvigente publicada en su repositorio de los siguientes elementos:

a) Formulario de Adhesión del Anexo I.

b) Política única de Certificación.

c) Acuerdo Tipo con suscriptores.

d) Términos y condiciones Tipo con terceros usuarios (“relyingparties”).

e) Política de Privacidad.

f) Manual de Procedimientos (parte pública).

g) Información relevante de los informes de su última auditoría.

h) Repositorio de certificados revocados.

i) Certificados del Certificador Licenciado y acceso al de la AutoridadCertificante Raíz.

Adicionalmente a lo indicado, el Certificador mantiene en el mismorepositorio en línea de acceso público:

a) Su certificado OCSP.

b) Las Políticas de Certificación anteriores.

c) Información relevante de los informes de la última auditoríadispuesta por la Autoridad de Aplicación.

El servicio de repositorio se encuentra disponible para uso públicodurante las VEINTICUATRO (24) horas los SIETE (7) días de la semana,sujeto a un razonable calendario de mantenimiento, en el sitio web delCertificador https://pki.jgm.gob.ar/app

El Certificador está obligado a brindar el servicio de repositorio encumplimiento de lo dispuesto en el artículo 21 de la Ley N° 25.506, elDecreto N° 2628/02, y en la presente Política Única de Certificación.

• Obligaciones establecidas en el artículo 21 inciso k) de la Ley N°25.506:

k) Publicar en Internet o en la red de acceso público de transmisión odifusión de datos que la sustituya en el futuro, en forma permanente eininterrumpida, la lista de certificados digitales revocados, laPolítica Única de certificación, la información relevante de losinformes de la última auditoría de que hubiera sido objeto, su Manualde Procedimientos y toda información que determine la Autoridad deAplicación.

• Obligaciones establecidas en el artículo 34 incisos g), h) y m) delDecreto N° 2628/02:

g) Garantizar el acceso permanente, eficiente y gratuito de lostitulares y terceros al repositorio de certificados revocados.

h) Mantener actualizados los repositorios de certificados revocados porel período establecido por la Autoridad de Aplicación.

m) Cumplir con las normas y recaudos establecidos para la protección dedatos personales.

2.3. - Frecuencia de publicación.

Se garantiza la actualización inmediata del repositorio cada vez quecualquiera de los documentos publicados sea modificado.

2.4. - Controles de acceso a la información.

Se garantizan los controles de los accesos al certificado delCertificador, a la Lista de Certificados Revocados y a las versionesanteriores y actualizadas de la Política de Certificación y a su Manualde Procedimientos (excepto en sus aspectos confidenciales).

Solo se revelará información confidencial o privada, si es requeridajudicialmente o en el marco de los procedimientos administrativos queresulten aplicables.

En virtud de lo dispuesto por la Ley de Protección de Datos PersonalesN° 25.326 y por el inciso h) del artículo 21 de la Ley N° 25.506, elsolicitante o titular de un certificado digital podrá solicitar elacceso a toda la información relativa a las tramitaciones realizadas.

3. - IDENTIFICACIÓN Y AUTENTICACIÓN.

En esta sección se describen los procedimientos empleados paraautenticar la identidad de los solicitantes de certificados digitales yutilizados por las Autoridades Certificantes o sus AR comoprerrequisito para su emisión. También se describen los pasos para laautenticación de los solicitantes de renovación y revocación decertificados.

3.1.- Asignación de nombres de suscriptores.

3.1.1. - Tipos de Nombres.

El nombre a utilizar es el que surge de la documentación presentada porel solicitante, de acuerdo al apartado que sigue.

3.1.2. - Necesidad de Nombres Distintivos.

Para los certificados de los proveedores de servicios de firma digitalo de aplicación:

“commonName” (OID 2.5.4.3: Nombre común): DEBE corresponder al nombrede la aplicación, servicio o de la unidad operativa responsable delservicio.

“organizationalUnitName” (OID 2.5.4.11: Nombre de la suborganización):DEBE contener a las unidades operativas relacionadas con el servicio,en caso de existir, pudiendo utilizarse varias instancias de esteatributo de ser necesario.

“organizationName” (OID 2.5.4.10: Nombre de la organización): DEBEestar presente y DEBE coincidir con el nombre de la Persona JurídicaPública o Privada responsable del servicio o aplicación.

“serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBEcontener el número de identificación de la Persona Jurídica Pública oPrivada responsable del servicio o aplicación, expresado como texto yrespetando el siguiente formato y codificación: “[código deidentificación]” “[nro. de identificación]”.

El valor para el campo [código de identificación] es:

- “CUIT”: Clave Única de Identificación Tributaria para las PersonasJurídicas argentinas.

- “countryName” (OID 2.5.4.6: Código de país): DEBE estar presente yDEBE representar el país de emisión de los certificados, codificadosegún el estándar [ISO3166] de DOS (2) caracteres.

Para los certificados de Personas Físicas:

“commonName” (OID 2.5.4.3: Nombre común): DEBE estar presente y DEBEcorresponderse con el nombre que figura en el Documento de Identidaddel suscriptor, acorde a lo establecido en el punto 3.2.3.

- “serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente yDEBE contener el tipo y número de identificación del titular, expresadocomo texto y respetando el siguiente formato y codificación: “[tipo dedocumento]” “[nro. de documento]”

Los valores posibles para el campo [tipo de documento] son:

- En caso de ciudadanos argentinos o residentes: “CUIT/CUIL”: ClaveÚnica de Identificación Tributaria o Laboral.

- En caso de extranjeros:

• “PA” [país]: Número de Pasaporte y código de país emisor. El atributo[país] DEBE estar codificado según el estándar [ISO3166] de DOS (2)caracteres.

• “EX” [país]: Número y tipo de documento extranjero aceptado en virtudde acuerdos internacionales.

El atributo [país] DEBE estar codificado según el estándar [ISO3166] deDOS (2) caracteres.

“countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBErepresentar el país de emisión de los certificados, codificado según elestándar [ISO3166] de DOS (2) caracteres.

Para los certificados de Personas Jurídicas Públicas o Privadas:

“commonName” (OID 2.5.4.3: Nombre común): DEBE coincidir con ladenominación de la Persona Jurídica Pública o Privada o con el nombrede la unidad operativa responsable del servicio (ej. Gerencia deCompras).

“organizationalUnitName” (OID 2.5.4.11: Nombre de la suborganización):PUEDE contener las unidades operativas relacionadas con el suscriptor,pudiendo utilizarse varias instancias de este atributo de ser necesario.

“organizationName” (OID 2.5.4.10: Nombre de la organización): paracertificados de aplicaciones, DEBE coincidir con la denominación de laPersona Jurídica Pública o Privada.

“serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBEcontener el número de identificación de la Persona Jurídica Pública oPrivada, expresado como texto y respetando el siguiente formato ycodificación: “[código de identificación]” “[nro. de identificación]”.

Los valores posibles para el campo [código de identificación] son:

a) “CUIT”: Clave Única de Identificación Tributaria para las PersonasJurídicas argentinas.

b) “ID” [país]: Número de identificación tributario para PersonasJurídicas extranjeras. El atributo [país] DEBE estar codificado segúnel estándar [ISO3166] de 2 caracteres.

“countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBErepresentar el país de emisión de los certificados, codificado según elestándar [ISO3166] de 2 caracteres.

Para los certificados de sitio seguro:

“commonName” (OID 2.5.4.3: Nombre común): DEBE contener la denominacióndel sitio web de Internet que se busca proteger.

“organizationalUnitName” (OID 2.5.4.11: Nombre de la Suborganización):DEBE contener a las unidades operativas de las que depende el sitioweb, de corresponder, pudiendo utilizarse varias instancias de esteatributo de ser necesario.

“organizationName” (OID 2.5.4.10: Nombre de la Organización): DEBEestar presente y DEBE coincidir con el nombre de la Persona JurídicaPública o Privada responsable del sitio Web.

“serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBEcontener el número de identificación de la Persona Jurídica Pública oPrivada responsable del servicio o aplicación, expresado como texto yrespetando el siguiente formato y codificación: “[código deidentificación]” “[nro. de identificación]”.

El valor para el campo [código de identificación] es: “CUIT”: ClaveÚnica de Identificación Tributaria para las Personas Jurídicasargentinas.

“countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBErepresentar el país de emisión de los certificados, codificado según elestándar [ISO3166] de DOS (2) caracteres.

3.1.3. - Anonimato o uso de seudónimos.

No se emitirán certificados anónimos o cuyo Nombre Distintivo contengaUN (1) seudónimo.

3.1.4. - Reglas para la interpretación de nombres.

Todos los nombres representados dentro de los certificados emitidosbajo la presente Política coinciden con los correspondientes aldocumento de identidad del suscriptor. Las discrepancias o conflictosque pudieran generarse cuando los datos de los solicitantes osuscriptores contengan caracteres especiales, se tratarán de modo deasegurar la precisión de la información contenida en el certificado.

3.1.5. - Unicidad de nombres.

El nombre distintivo debe ser único para cada suscriptor, pudiendoexistir más de un certificado con igual nombre distintivo sicorresponde al mismo suscriptor. El procedimiento de resolución dehomonimias se basa en la utilización del número de identificaciónlaboral o tributaria, tanto en el caso de personas físicas comojurídicas.

3.1.6. - Reconocimiento, autenticación y rol de las marcas registradas.

No se admite la inclusión de marcas comerciales, marcas de servicios onombres de fantasía como nombres distintivos en los certificados,excepto en el caso de personas jurídicas o aplicaciones, en los que seaceptará en base a la documentación presentada.

El Certificador se reserva el derecho de tomar todas las decisionesreferidas a posibles conflictos sobre la utilización y titularidad decualquier nombre entre sus suscriptores conforme su normativa alrespecto. En caso de conflicto, la parte que solicite el certificadodebe demostrar su interés legítimo y su derecho a la utilización de unnombre en particular.

3.2. - Registro inicial.

Se describen los procedimientos a utilizar para autenticar, como pasoprevio a la emisión de UN (1) certificado, la identidad y demásatributos del solicitante que se presente ante el Certificador o antela Autoridad de Registro operativamente vinculada. Se establecen losmedios admitidos para recibir los requerimientos de certificados y paracomunicar su aceptación.

El Certificador DEBE cumplir con lo establecido en:

a) El artículo 21, inciso a) de la Ley de Firma Digital N° 25.506 y elartículo 34, inciso e) de su reglamentario, Decreto N° 2628/02,relativos a la información a brindar a los solicitantes.

El artículo 14, inciso b) de la Ley de Firma Digital N° 25.506 relativoa los contenidos mínimos de los certificados.

3.2.1. - Métodos para comprobar la posesión de la clave privada.

El Certificador comprueba que el solicitante se encuentra en posesiónde la clave privada mediante la verificación de la solicitud delcertificado digital en formato PKCS#10, el que no incluye dicha clave.Las claves siempre son generadas por el solicitante. En ningún caso elCertificador licenciado ni sus AR podrán tomar conocimiento o accederbajo ninguna circunstancia a las claves de los solicitantes o titularesde los certificados, conforme el inciso b) del artículo 21 de la Ley N°25.506.

3.2.2 - Autenticación de la identidad de Personas Jurídicas Públicas oPrivadas.

Los procedimientos de autenticación de la identidad de los suscriptoresde los certificados de personas jurídicas públicas o privadascomprenden los siguientes aspectos:

a) El requerimiento debe efectuarse únicamente por intermedio delresponsable autorizado a actuar en nombre del suscriptor para el casode certificados de personas jurídicas o de quien se encuentre a cargodel servicio, aplicación o sitio web.

b) El Certificador o la AR, en su caso, verificará la identidad delresponsable antes mencionado y su autorización para gestionar elcertificado correspondiente.

c) El responsable mencionado en el apartado a) deberá validar suidentidad según lo dispuesto en el apartado siguiente.

d) La identidad de la Persona Jurídica titular del certificado oresponsable del servicio, aplicación o sitio web deberá ser verificadamediante documentación que acredite su condición de tal.

La documentación a presentar para la autenticación es la siguiente:

Para persona jurídicas privadas:

- Constancia de inscripción en el Registro Societario correspondiente ala jurisdicción, y poder que acredita el carácter de representantelegal o apoderado de la persona autorizada a iniciar el trámite.

Ambos documentos deben estar autenticados ante escribano.

Opcionalmente, se podrá presentar constancia de escribano público de laexistencia y validez de los mencionados documentos.

Para personas jurídicas públicas:

- Nota de la máxima autoridad del organismo solicitante acreditando laautorización para gestionar el certificado, acompañada de copia fiel dela norma de creación del organismo.

Además, cuando corresponda se requiere la presentación de nota queincluya nombre de la aplicación, servicio o unidad operativaresponsable.

El Certificador DEBE cumplir con las siguientes exigenciasreglamentarias impuestas por:

a) El artículo 21, inciso i) de la Ley N° 25.506 relativo a laconservación de la documentación de respaldo de los certificadosemitidos.

b) El artículo 21, inciso f) de la Ley N° 25.506 relativo a larecolección de datos personales.

c) El artículo 34, inciso m) del Decreto N° 2628/02 relativo a laprotección de datos personales.

Debe conservarse la documentación que respalda el proceso deidentificación de la persona responsable de la custodia de las clavescriptográficas.

El responsable autorizado o a cargo del servicio, aplicación o sitioweb debe firmar UN (1) acuerdo que contenga la confirmación de que lainformación incluida en el certificado es correcta.

3.2.3. - Autenticación de la identidad de Personas Físicas.

Se describen los procedimientos de autenticación de la identidad de lossuscriptores de los certificados de Personas Físicas.

Se exige la presencia física del solicitante o suscriptor delcertificado ante el Certificador o la Autoridad de Registro con la quese encuentre operativamente vinculado. La verificación se efectúamediante la presentación de los siguientes documentos:

- De poseer nacionalidad argentina, se requiere Documento Nacional deIdentidad.

- De tratarse de extranjeros, se requiere Documento Nacional deIdentidad argentino o Pasaporte válido u otro documento válido aceptadoen virtud de acuerdos internacionales.

En todos los casos, se conservará UNA (1) copia digitalizada de ladocumentación de respaldo del proceso de autenticación por parte delCertificador o de la AR operativamente vinculada.

Se consideran obligatorias las exigencias reglamentarias impuestas por:

a) El artículo 21, inciso i) de la Ley N° 25.506 relativo a laconservación de la documentación de respaldo de los certificadosemitidos.

b) El artículo 21, inciso f) de la Ley N° 25.506 relativo a larecolección de datos personales.

c) El artículo 34, inciso i) del Decreto N° 2628/02 relativo a generar,exigir o tomar conocimiento de la clave privada del suscriptor.

d) El artículo 34, inciso m) del Decreto N° 2628/02 relativo a laprotección de datos personales.

Adicionalmente, el Certificador debe celebrar UN (1) acuerdo con elsolicitante o suscriptor, conforme el Anexo V de la presente DecisiónAdministrativa, del que surge su conformidad respecto a la veracidad dela información incluida en el certificado.

La Autoridad de Registro deberá verificar que el dispositivocriptográfico utilizado por el solicitante, si fuera el caso, cumplecon las especificaciones técnicas establecidas por el ente licenciante.

3.2.4. - Información no verificada del suscriptor.

Se conserva la información referida al solicitante que no hubiera sidoverificada. Adicionalmente, se cumple con lo establecido en el apartado3 del inciso b) del artículo 14 de la Ley N° 25.506.

3.2.5. - Validación de autoridad.

Según lo dispuesto en el punto 3.2.2., el Certificador o la AR con laque se encuentre operativamente vinculado, verifica la autorización dela Persona Física que actúa en nombre de la Persona Jurídica paragestionar el certificado correspondiente.

3.2.6. - Criterios para la interoperabilidad.

Los certificados emitidos pueden ser utilizados por sus titulares enforma interoperable para firmar digitalmente cualquier documento otransacción, así como para autenticación o cifrado.

3.3. - Identificación y autenticación para la generación de nuevo parde claves (Rutina de Re Key).

3.3.1. - Renovación con generación de nuevo par de claves (Rutina de ReKey).

En el caso de certificados digitales de personas físicas o jurídicas,la renovación en este apartado aplica a la generación de UN (1) nuevopar de claves y su correspondiente certificado:

a) después de la revocación de UN (1) certificado.

b) después de la expiración de UN (1) certificado.

c) antes de la expiración de UN (1) certificado.

En los casos a) y b) se exigirá el cumplimiento de los procedimientosprevistos en el punto

3.2.3. - Autenticación de la identidad de Personas Físicas.

Si la solicitud del nuevo certificado se realiza antes de la expiracióndel certificado, no habiendo sido este revocado, no se exigirá lapresencia física, debiendo el solicitante remitir la constancia firmadadigitalmente del inicio del trámite de renovación.

En los certificados de personas jurídicas o de aplicaciones, incluyendolos de servidores, se deberá tramitar UN (1) nuevo certificado,cumpliendo los pasos requeridos en el apartado 3.2.2. Autenticación dela identidad de Personas Jurídicas Públicas o Privadas.

3.3.2. - Generación de un certificado con el mismo par de claves.

En el caso de certificados digitales de personas físicas o jurídicas,la renovación en este apartado aplica a la emisión de UN (1) nuevocertificado sin que haya un cambio en la clave pública o en ningún otrodato del suscriptor. La renovación se podrá realizar solo UNA (1) vez ysiempre que el certificado se encuentre vigente.

A los fines de la obtención del certificado, no se exigirá la presenciafísica del suscriptor, debiendo éste remitir la constancia firmadadigitalmente del inicio del trámite de renovación.

En los certificados de aplicaciones, incluyendo los de servidores, sedeberá tramitar UN (1) nuevo certificado, según lo indicado en elapartado anterior.

3.4. - Requerimiento de revocación.

El suscriptor cuando se trate de los certificados de persona física ola persona física a cargo de la custodia de la clave privada para elresto de los casos, podrá revocar el certificado digital utilizandocualquiera de los siguientes métodos:

• A través de la aplicación de la AC ONTI: https://pki.jgm.gob.ar/app/ quese encuentra disponible VEINTICUATRO (24) horas, si tiene acceso a suclave privada o utilizando el código de revocación que le fuerainformado al momento de la emisión de su certificado.

• Presentándose ante la AR correspondiente con documento que permitaacreditar su identidad en caso de no poder utilizar alguno de losanteriores.

4. - CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS.

4.1. - Solicitud de certificado.

4.1.1. - Solicitantes de certificados.

Se describen las condiciones que deben cumplir los solicitantes decertificados.

4.1.2. - Solicitud de certificado.

Las solicitudes sólo podrán ser iniciadas por el solicitante, en elcaso de certificados de personas físicas, por el representante legal oapoderado con poder suficiente a dichos efectos, o por el Responsabledel Servicio, aplicación o sitio web, autorizado a tal fin, en el casode personas jurídicas.

Dicho solicitante debe presentar la documentación prevista en losapartados 3.2.2. - Autenticación de la identidad de Personas JurídicasPúblicas o Privadas y 3.2.3. - Autenticación de la identidad dePersonas Físicas, así como la constancia de C.U.I.T. o C.U.I.L. Deberátambién demostrar la pertenencia a la comunidad de suscriptoresprevista en el apartado 1.3.3. Suscriptores de certificados.

Cuando se trate de solicitudes de certificados de personas físicas, elsolicitante debe probar su carácter de suscriptor para esta PolíticaÚnica de Certificación de acuerdo a lo indicado en el apartado 1.3.3.En el caso de solicitudes de certificados de proveedores de serviciosde firma digital, aplicaciones, personas jurídicas o sitio seguro, elcarácter de suscriptor debe ser probado por el representante legal oapoderado, el responsable del servicio, aplicación o sitio web,autorizado a tal fin.

Los pasos para realizar la solicitud son los siguientes:

a) Ingresar al sitio web del Certificador https://pki.jgm.gob.ar/app/seleccionando el enlace a la aplicación de solicitud de emisión decertificados.

b) Completar la solicitud de certificado con los datos requeridos deacuerdo al tipo de certificado, seleccionando la AR que le corresponde.

c) Aceptar el Acuerdo con Suscriptores en el que se hace referencia ala Política Única de Certificación que respalda la emisión delcertificado.

d) Enviar su solicitud a la AC ONTI e imprimirla.

e) Presentarse ante la AR correspondiente para realizar laidentificación personal y la verificación de la documentación requeridaen cada caso.

Cabe agregar que para el caso de funcionarios, agentes o personascontratadas en el Sector Público, se aceptará únicamente como direcciónde correo electrónico válida aquella que revista carácter institucionaly se encuentre accesible por un cliente de correo electrónico.

Una vez ingresados sus datos y como paso previo a la generación del parde claves, seleccionará el nivel de seguridad del certificado requerido(alto o normal).

Adicionalmente, el solicitante deberá leer y aceptar el Acuerdo conSuscriptores para continuar el proceso.

4.2. - Procesamiento de la solicitud del certificado.

El procesamiento de la solicitud finaliza con su aceptación o rechazopor parte de la AR.

Adicionalmente a la documentación enunciada en el apartado 3.2.3, sedeberá adjuntar:

- Nota de solicitud de certificado, firmada por el solicitante.

- Para acreditar el desempeño de funciones en entes públicos estatales,alternativamente se podrá presentar cualquiera de los siguientesdocumentos:

- Copia fiel del Acto Administrativo de su designación.

- Constancia emitida por la Oficina de Recursos Humanos, Personal oequivalente de su organismo o entidad, que certifique la prestación desus servicios.

- Constancia de certificación de servicios firmada por un superiorjerárquico del organismo en que se desempeña el solicitante.

En caso de tratarse de persona físicas que requieran su certificadopara efectuar trámites con el Estado, deberá cumplir con lascondiciones adicionales establecidas por la AR asociada a ese trámite.

En todos los casos, la AR efectúa los siguientes pasos:

• Verifica la existencia de la solicitud en la aplicación delCertificador.

• Valida la identidad del solicitante o su representante autorizadomediante la verificación de la documentación requerida.

• Verifica la titularidad de la solicitud mediante el control de lanota de solicitud del certificado.

• Requiere al solicitante o su representante autorizado la firma de lanota de solicitud en su presencia.

• Resguarda toda la documentación respaldatoria del proceso devalidación por el término de DIEZ (10) años a partir de la fecha devencimiento o revocación del certificado.

4.3. - Emisión del certificado.

4.3.1. - Proceso de emisión del certificado.

Cumplidos los recaudos del proceso de validación de identidad y otrosdatos del solicitante, de acuerdo con esta Política Única deCertificación y una vez aprobada la solicitud de certificado por la AR,la AC ONTI emite el certificado firmándolo digitalmente y lo pone adisposición del suscriptor.

4.3.2. - Notificación de emisión.

La notificación de la emisión del certificado se efectúa a través de uncorreo electrónico remitido por la aplicación del Certificador a lacuenta de correo declarada por el solicitante o representanteautorizado al momento de iniciar el trámite. En dicho correo se indicael enlace al que debe acceder para descargar el certificado emitido.

4.4. - Aceptación del certificado.

Un certificado emitido por el Certificador se considera aceptado por sutitular una vez que éste haya sido puesto a su disposición por losmedios indicados en el apartado anterior.

4.5. - Uso del par de claves y del certificado.

4.5.1. - Uso de la clave privada y del certificado por parte delsuscriptor.

Según lo establecido en la Ley N° 25.506, en su artículo 25, elsuscriptor debe:

a) Mantener el control exclusivo de sus datos de creación de firmadigital, no compartirlos, e impedir su divulgación;

b) Utilizar UN (1) dispositivo de creación de firma digitaltécnicamente confiable;

c) Solicitar la revocación de su certificado al Certificador antecualquier circunstancia que pueda haber comprometido la privacidad desus datos de creación de firma;

d) Informar sin demora al Certificador el cambio de alguno de los datoscontenidos en el certificado digital que hubiera sido objeto deverificación.

De acuerdo a lo establecido en la Decisión Administrativa N° 927/2014:

• Proveer toda la información que le sea requerida a los fines de laemisión del certificado de modo completo y preciso.

• Utilizar los certificados de acuerdo a los términos y condicionesestablecidos en la presente Política Única de Certificación.

• Tomar debido conocimiento, a través del procedimiento previsto encada caso, del contenido de la Política Única de Certificación, delManual de Procedimientos, del Acuerdo con Suscriptores y de cualquierotro documento aplicable.

4.5.2. - Uso de la clave pública y del certificado por parte deTerceros Usuarios.

Los Terceros Usuarios deben:

a) Conocer los alcances de la presente Política Única de Certificación.

b) Verificar la validez del certificado digital.

4.6. - Renovación del certificado sin generación de un nuevo par declaves.

Se aplica el punto 3.3.2.- Generación de UN (1) certificado con elmismo par de claves.

4.7. - Renovación del certificado con generación de un nuevo par declaves.

En el caso de certificados digitales de Personas Físicas, la renovacióndel certificado posterior a su revocación o luego de su expiraciónrequiere por parte del suscriptor el cumplimiento de los procedimientosprevistos en el punto 3.2.3. - Autenticación de la identidad dePersonas Físicas.

Si la solicitud de UN (1) nuevo certificado se realiza antes de laexpiración del anterior, no habiendo sido este revocado, no se exigirála presencia física, debiendo el solicitante remitir la constanciafirmada digitalmente del inicio del trámite de renovación.

Para los certificados de aplicaciones, incluyendo los de servidores,los responsables deben tramitar UN (1) nuevo certificado en todos loscasos, cumpliendo los pasos requeridos en el apartado

3.2.2. Autenticación de la Identidad de las Personas Jurídicas Públicaso Privadas.

4.8. - Modificación del certificado.

El suscriptor se encuentra obligado a notificar al CertificadorLicenciado cualquier cambio en alguno de los datos contenidos en elcertificado digital, que hubiera sido objeto de verificación, deacuerdo a lo dispuesto en el inciso d) del artículo 25 de la Ley N°25.506. En cualquier caso procede la revocación de dicho certificado yde ser requerido, la solicitud de uno nuevo.

4.9. - Suspensión y Revocación de Certificados.

Los certificados serán revocados de manera oportuna y sobre la base deUNA (1) solicitud de revocación de certificado validada.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.1. - Causas de revocación.

El Certificador procederá a revocar los certificados digitales quehubiera emitido en los siguientes casos:

• A solicitud del titular del certificado digital o del responsableautorizado para el caso de certificados de Personas Jurídicas oAplicación.

• Si determinara que el certificado fue emitido en base a informaciónfalsa, que al momento de la emisión hubiera sido objeto de verificación.

• Si determinara que los procedimientos de emisión y/o verificación handejado de ser seguros.

• Por Resolución Judicial.

• Por Resolución de la Autoridad de Aplicación.

• Por fallecimiento del titular.

• Por declaración judicial de ausencia con presunción de fallecimientodel titular.

• Por declaración judicial de incapacidad del titular.

• Si se determina que la información contenida en el certificado hadejado de ser válida.

• Cuando la clave privada asociada al certificado, o el medio en que seencuentre almacenada, se encuentren comprometidos o corran peligro deestarlo.

• Ante incumplimiento por parte del suscriptor de las obligacionesestablecidas en el Acuerdo con Suscriptores.

• Si se determina que el certificado no fue emitido de acuerdo a loslineamientos de la Política Única de Certificación, del Manual deProcedimientos, de la Ley N° 25.506, el Decreto Reglamentario N°2628/02 y demás normativa sobre firma digital.

• Por revocación de su propio certificado digital.

El Certificador, de corresponder, revocará el certificado en un plazono superior a las VEINTICUATRO (24) horas de recibido el requerimientode revocación.

4.9.2. - Autorizados a solicitar la revocación.

Se encuentran autorizados a solicitar la revocación de un certificadoemitido por el Certificador:

a) El suscriptor del certificado.

b) El responsable autorizado que efectuara el requerimiento, en el casode certificados de persona jurídica o aplicación.

c) El responsable autorizado por la Persona Jurídica que brinda elservicio o es titular del certificado o la aplicación.

d) El responsable autorizado por la Persona Jurídica responsable delsitio web, en el caso de certificados de sitio seguro.

e) Aquellas personas habilitadas por el suscriptor del certificado atal fin, previa acreditación fehaciente de tal autorización.

f) El Certificador o la AR operativamente vinculada.

g) El ente licenciante.

h) La autoridad judicial competente.

i) La Autoridad de Aplicación.

4.9.3. - Procedimientos para la solicitud de revocación.

El Certificador garantiza que:

a) Se identifica debidamente al solicitante de la revocación según seestablece en el apartado 3.4.

b) Las solicitudes de revocación, así como toda acción efectuada por elCertificador o la autoridad de registro en el proceso, estándocumentadas y conservadas en sus archivos.

c) Se documentan y archivan las justificaciones de las revocacionesaprobadas.

d) Una vez efectuada la revocación, se actualiza el estado delcertificado en el repositorio y se incluye en la próxima lista decertificados revocados a ser emitida.

e) El suscriptor del certificado revocado es informado del cambio deestado de su certificado.

Un suscriptor podrá revocar su certificado digital utilizandocualquiera de los siguientes métodos:

• A través de la aplicación de la AC ONTI https://pki.jgm.gob.ar/app/que se encuentra disponible VEINTICUATRO (24) horas, si tiene acceso asu clave privada.

• A través de la aplicación de la AC ONTI https://pki.jgm.gob.ar/app/que se encuentra disponible VEINTICUATRO (24) horas, utilizando elcódigo de revocación que le fue entregado al momento de la emisión delcertificado.

• En caso de no poder utilizar alguno de los anteriores, presentándoseante la AR correspondiente, con documento de identidad que permitaacreditar su identidad. En caso de suscriptores pertenecientes a entespúblicos estatales, la revocación podrá ser solicitada por unresponsable autorizado del organismo en el que se desempeñe el titulardel certificado, por nota dirigida al Responsable de la AR.

Los suscriptores serán notificados en sus respectivas direcciones decorreo electrónico o en la aplicación del Certificador, delcumplimiento del proceso de revocación.

4.9.4. - Plazo para la solicitud de revocación.

El titular de un certificado debe requerir su revocación en formainmediata cuando se presente alguna de las circunstancias previstas enel apartado 4.9.1.

El servicio de recepción de solicitudes de revocación se encuentradisponible en forma permanente SIETE POR VEINTICUATRO (7x24) horascumpliendo con lo establecido en el artículo 34, inciso f) del DecretoN° 2628/02.

El Certificador dispone de un servicio de recepción de solicitudes derevocación que se encuentra disponible en forma permanente, SIETE PORVEINTICUATRO (7x24) horas a través de la aplicación web de la AC ONTI.

4.9.5. - Plazo para el procesamiento de la solicitud de revocación.

El plazo máximo entre la recepción de la solicitud y el cambio de lainformación de estado del certificado indicando que la revocación hasido puesta a disposición de los Terceros Usuarios, no superará enningún caso las VEINTICUATRO (24) horas.

4.9.6. - Requisitos para la verificación de la lista de certificadosrevocados.

Los Terceros Usuarios están obligados a verificar el estado de validezde los certificados mediante el control de la lista de certificadosrevocados o en su defecto, mediante el servicio de consultas en líneasobre el estado de los certificados (OCSP), que el Certificador pondráa su disposición.

Los Terceros Usuarios están obligados a confirmar la autenticidad yvalidez de las listas de certificados revocados mediante laverificación de la firma digital del Certificador y de su período devalidez.

El Certificador cumple con lo establecido en el artículo 34, inciso g)del Decreto N° 2628/02 relativo al acceso al repositorio decertificados revocados y las obligaciones establecidas en la presenteDecisión Administrativa y sus correspondientes Anexos.

4.9.7. - Frecuencia de emisión de listas de certificados revocados.

El Certificador genera y publica una Lista de Certificados Revocadosasociada a esta Política Única de Certificación con una frecuenciadiaria, disponible en:

http://pki.jgm.gob.ar/crl/FD.crl

y en:

http://pkicont.jgm.gob.ar/crl/FD.crl

con listas complementarias (delta CRL) en modo horario.

4.9.8.- Vigencia de la lista de certificados revocados.

La lista de certificados revocados indicará su fecha de efectivavigencia, así como la fecha de su próxima actualización.

4.9.9. - Disponibilidad del servicio de consulta sobre revocación y deestado del certificado.

El Certificador pone a disposición de los interesados la posibilidad deverificar el estado de un certificado por medio del acceso a la listade certificados revocados y mediante el servicio de consultas en líneasobre el estado de los certificados (OCSP).

Ambos servicios se encuentran disponibles SIETE POR VEINTICUATRO (7x24)horas, sujetos a un razonable calendario de mantenimiento.

4.9.10. - Requisitos para la verificación en línea del estado derevocación.

El uso del protocolo OCSP permite, mediante su consulta, determinar elestado de validez de un certificado digital y representa unaalternativa a la consulta a la CRL, la que también estará disponible.El servicio OCSP se provee por medio del sitio webhttp://pki.jgm.gob.ar/ocsp

4.9.11. - Otras formas disponibles para la divulgación de la revocación.

El Certificador no utiliza otros medios para la divulgación del estadode revocación de los certificados que los contemplados en la presentePolítica Única de Certificación.

4.9.12. - Requisitos específicos para casos de compromiso de claves.

En caso de compromiso de su clave privada, el titular del certificadocorrespondiente se encuentra obligado a comunicar inmediatamente dichacircunstancia al Certificador mediante alguno de los mecanismosprevistos en el apartado 4.9.3. - Procedimientos para la solicitud derevocación.

4.9.13. - Causas de suspensión.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.14. - Autorizados a solicitar la suspensión.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.15. - Procedimientos para la solicitud de suspensión.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.16. - Límites del periodo de suspensión de un certificado.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.10. - Estado del certificado.

4.10.1. - Características técnicas.

Los servicios disponibles para la verificación del estado de loscertificados emitidos por el Certificador son:

• Lista de certificados revocados (CRL).

• Servicio OCSP.

Respecto a la CRL, se emite cada VEINTICUATRO (24) horas y delta CRLsen modo horario.

Con respecto a OCSP, permite verificar si el certificado se encuentravigente o ha sido revocado.

4.10.2. - Disponibilidad del servicio.

Ambos servicios se encuentran disponibles SIETE POR VEINTICUATRO (7x24)horas, sujetos a un razonable calendario de mantenimiento.

4.10.3. - Aspectos operativos.

No existen otros aspectos a mencionar.

4.11. - Desvinculación del suscriptor.

Una vez expirado el certificado o si este fuera revocado, de notramitar un nuevo certificado, su titular se considera desvinculado delos servicios del Certificador.

De igual forma se producirá la desvinculación, ante el cese de lasoperaciones del certificador.

4.12. - Recuperación y custodia de claves privadas.

En virtud de lo dispuesto en el inciso b) del artículo 21 de la Ley N°25.506, el Certificador licenciado se obliga a no realizar bajo ningunacircunstancia la recuperación o custodia de claves privadas de lostitulares de certificados digitales. Asimismo, de acuerdo a lodispuesto en el inciso

a) del artículo 25 de la ley antes mencionada, el suscriptor de uncertificado emitido en el marco de esta Política Única de Certificaciónse encuentra obligado a mantener el control exclusivo de su claveprivada, no compartirla e impedir su divulgación.

5. - CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN.

Se describen a continuación los procedimientos referidos a loscontroles de seguridad física, de gestión y operativos implementadospor el Certificador. La descripción detallada se encuentra en el Plande Seguridad.

5.1. - Controles de seguridad física.

Se cuenta con controles de seguridad relativos a:

a) Construcción y ubicación de instalaciones.

b) Niveles de acceso físico.

c) Comunicaciones, energía y ambientación.

d) Exposición al agua.

e) Prevención y protección contra incendios.

f) Medios de almacenamiento.

g) Disposición de material de descarte.

h) Instalaciones de seguridad externas.

5.2. - Controles de Gestión.

Se cuenta con controles de seguridad relativos a:

a) Definición de roles afectados al proceso de certificación.

b) Número de personas requeridas por función.

c) Identificación y autenticación para cada rol.

d) Separación de funciones

5.3. - Controles de seguridad del personal.

Se cuenta con controles de seguridad relativos a:

a) Calificaciones, experiencia e idoneidad del personal, tanto deaquellos que cumplen funciones críticas como de aquellos que cumplenfunciones administrativas, de seguridad, limpieza, etcétera.

b) Antecedentes laborales.

c) Entrenamiento y capacitación inicial.

d) Frecuencia de procesos de actualización técnica.

e) Frecuencia de rotación de cargos.

f) Sanciones a aplicar por acciones no autorizadas.

g) Requisitos para contratación de personal.

h) Documentación provista al personal, incluidas tarjetas y otroselementos de identificación personal.

5.4. - Procedimientos de Auditoría de Seguridad.

Se mantienen políticas de registro de eventos, cuyos procedimientosdetallados serán desarrollados en el Manual de Procedimientos.

Se cuenta con procedimientos de auditoría de seguridad sobre lossiguientes aspectos:

a) Tipo de eventos registrados: se cumple con lo establecido en elAnexo II Sección 3.

b) Frecuencia de procesamiento de registros.

c) Período de guarda de los registros, se cumple con lo establecido enel inciso i) del artículo 21 de la Ley N° 25.506 respecto a loscertificados emitidos.

d) Medidas de protección de los registros, incluyendo privilegios deacceso.

e) Procedimientos de resguardo de los registros.

f) Sistemas de recolección y análisis de registros (internos vs.externos).

g) Notificaciones del sistema de recolección y análisis de registros.

h) Evaluación de vulnerabilidades.

5.5. - Conservación de registros de eventos.

Se han desarrollado e implementado políticas de conservación deregistros, cuyos procedimientos detallados se encuentran desarrolladosen el Manual de Procedimientos.

Los procedimientos cumplen con lo establecido por el artículo 21,inciso i) de la Ley N° 25.506 relativo al mantenimiento de ladocumentación de respaldo de los certificados digitales emitidos.

Se respeta lo establecido en el Anexo II Sección 3 respecto delregistro de eventos.

Existen procedimientos de conservación y guarda de registros en lossiguientes aspectos, que se encuentran detallados en el Manual deProcedimientos:

a) Tipo de registro archivado: se cumple con lo establecido en el AnexoII Sección 3.

b) Período de guarda de los registros.

c) Medidas de protección de los registros archivados, incluyendoprivilegios de acceso.

d) Procedimientos de resguardo de los registros.

e) Requerimientos para los registros de certificados de fecha y hora.

f) Sistemas de recolección y análisis de registros (internos vs.externos).

g) Procedimientos para obtener y verificar la información archivada.

5.6. - Cambio de claves criptográficas.

El par de claves del Certificador ha sido generado con motivo dellicenciamiento y tiene una vigencia de DIEZ (10) años. Por su parte lalicencia tiene una vigencia de CINCO (5) años.

En todos los casos el cambio de claves criptográficas del Certificadorimplica la emisión de un nuevo certificado por parte de la AC Raíz dela REPÚBLICA ARGENTINA. Si la clave privada del Certificador seencontrase comprometida, se procederá a la revocación de su certificadoy esa clave ya no podrá ser usada en el proceso de emisión decertificados.

El Certificador tomará los recaudos necesarios para efectuar consuficiente antelación la renovación de su licencia y la obtención delcertificado, si correspondiese.

5.7. - Plan de Continuidad de las Operaciones.

Se describen los requerimientos relativos a la recuperación de losrecursos del Certificador en caso de falla o desastre. Estosrequerimientos serán desarrollados en el Plan de Continuidadde las Operaciones.

Se han desarrollado procedimientos referidos a:

a) Identificación, registro, reporte y gestión de incidentes.

b) Recuperación ante falla inesperada o sospecha de falla decomponentes de hardware,software y datos.

c) Recuperación ante compromiso o sospecha de compromiso de la claveprivada del Certificador.

d) Continuidad de las operaciones en un entorno seguro luego dedesastres.

Los procedimientos cumplen con lo establecido por el artículo 33 delDecreto N° 2628/02 en lo relativo a los servicios de infraestructuratecnológica prestados por un tercero.

5.8. - Plan de Cese de Actividades.

Se describen los requisitos y procedimientos a ser adoptados en caso definalización de servicios del certificador o de una o varias de susautoridades certificantes o de registro. Estos requerimientos sondesarrollados en su Plan de Cese de Actividades.

Se han implementado procedimientos referidos a:

a) Notificación al ente licenciante, suscriptores, terceros usuarios,otros Certificadores y otros usuarios vinculados.

b) Revocación del certificado del Certificador y de los certificadosemitidos.

c) Transferencia de la custodia de archivos y documentación eidentificación de su custodio.

El responsable de la custodia de archivos y documentación cumple conidénticas exigencias de seguridad que las previstas para elCertificador o su autoridad certificante o de registro que cesó.

Se contempla lo establecido por el artículo 44 de la Ley N° 25.506 deFirma Digital en lo relativo a las causales de caducidad de lalicencia. Asimismo, los procedimientos cumplen lo dispuesto por elartículo 33 del Decreto N° 2628/02, reglamentario de la Ley de FirmaDigital, en lo relativo a los servicios de infraestructura tecnológicaprestados por un tercero y las obligaciones establecidas en la presentedecisión administrativa y sus correspondientes Anexos.

6. - CONTROLES DE SEGURIDAD TÉCNICA.

Se describen las medidas de seguridad implementadas por el Certificadorpara proteger las claves criptográficas y otros parámetros de seguridadcríticos. Además se incluyen los controles técnicos que seimplementarán sobre las funciones operativas del Certificador, AR,repositorios, suscriptores, etcétera.

6.1. - Generación e instalación del par de claves criptográficas.

6.1.1. - Generación del par de claves criptográficas.

El Certificador, luego del otorgamiento de su licencia, genera el parde claves criptográficas en un ambiente seguro con la participación depersonal autorizado, sobre dispositivos criptográficos FIPS 140-2 Nivel3.

En el caso de las AR, cada Oficial de Registro genera y almacena su parde claves utilizando un dispositivo criptográfico FIPS 140-2 Nivel 2.

Las claves criptográficas de los suscriptores son generadas porsoftware (nivel de seguridad normal) o por hardware (nivel de seguridadalto) y almacenada por ellos. En este último caso los dispositivoscriptográficos utilizados deben ser FIPS 140-2 Nivel 2.

Las claves criptográficas utilizadas por los proveedores de otrosservicios relacionados con la firma digital son generadas y almacenadasutilizando dispositivos criptográficos FIPS 140-2 Nivel 2 como mínimo.

6.1.2. - Entrega de la clave privada.

En todos los casos, se cumple con la obligación de abstenerse degenerar, exigir o por cualquier otro medio tomar conocimiento o accedera los datos de creación de firmas de los suscriptores (incluyendo losroles vinculados a las actividades de registro), establecido por la LeyN° 25.506, artículo 21, inciso b) y el Decreto N° 2628/02, artículo 34,inciso i).

6.1.3. - Entrega de la clave pública al emisor del certificado.

Todo solicitante de un certificado emitido bajo esta Política Única deCertificación entrega su clave pública a la AC ONTI, a través de laaplicación correspondiente, durante el proceso de solicitud de sucertificado. La AC ONTI por su parte utilizará técnicas de “prueba deposesión” para determinar que el solicitante se encuentra en posesiónde la clave privada asociada a dicha clave pública.

Los procesos de solicitud utilizan el formato PKCS#10 para implementarla “prueba de posesión”, remitiendo los datos del solicitante y suclave pública dentro de una estructura firmada con su clave privada.

El procedimiento descripto asegura que:

• La clave pública no pueda ser cambiada durante la transferencia.

• Los datos recibidos por el Certificador se encuentran vinculados adicha clave pública.

• El remitente posee la clave privada que corresponde a la clavepública transferida.

6.1.4. - Disponibilidad de la clave pública del Certificador.

El certificado del Certificador, el de la AC Raíz de la REPÚBLICAARGENTINA y aquellos emitidos a proveedores de otros servicios de firmadigital se encuentran a disposición de los suscriptores y tercerosusuarios en un repositorio en línea de acceso público a través deInternet en https://pki.jgm.gob.ar/app/

6.1.5. - Tamaño de claves.

El Certificador genera su par de claves criptográficas utilizando elalgoritmo RSA de 4096 bits.

Los suscriptores, incluyendo las AR y los proveedores de otrosservicios de firma digital generan sus claves mediante el algoritmo RSAcon un tamaño de clave 2048 bits, excepto el caso de las Autoridades deSello de Tiempo que utilizarán una clave de 4096 bits.

6.1.6. - Generación de parámetros de claves asimétricas.

No se establecen condiciones especiales para la generación deparámetros de claves asimétricas más allá de las que se indican en elpunto 6.1.5.

6.1.7. - Propósitos de utilización de claves (campo “KeyUsage” encertificados X.509 v.3).

Las claves criptográficas de los suscriptores de los certificadospueden ser utilizados para firmar digitalmente, para funciones deautenticación y para cifrado.

6.2. - Protección de la clave privada y controles sobre losdispositivos criptográficos.

La protección de la clave privada es considerada desde la perspectivadel Certificador, de los repositorios, de las AR y de los suscriptores,siempre que sea aplicable. Para cada una de estas entidades se abordanlos siguientes temas:

a) Estándares utilizados para la generación del par de claves.

b) Número de personas involucradas en el control de la clave privada.

c) En caso de existir copias de resguardo de la clave privada,controles de seguridad establecidos sobre ellas.

d) Procedimiento de almacenamiento de la clave privada en undispositivo criptográfico.

e) Responsable de activación de la clave privada y acciones a realizarpara su activación.

f) Duración del período de activación de la clave privada yprocedimiento a utilizar para su desactivación.

g) Procedimiento de destrucción de la clave privada.

h) Requisitos aplicables al dispositivo criptográfico utilizado para elalmacenamiento de las claves privadas.

6.2.1. - Controles y estándares para dispositivos criptográficos.

Para la generación y el almacenamiento de las claves criptográficas, elCertificador, las AR y los suscriptores que opten por un nivel Altopara sus certificados, utilizan los dispositivos referidos en elapartado 6.1.1.

6.2.2. - Control “M de N” de clave privada.

Los controles empleados para la activación de las claves se basan en lapresencia de M de N con M mayor a 2.

6.2.3. - Recuperación de clave privada.

Ante una situación que requiera recuperar su clave privada, y siempreque ésta no se encuentre comprometida, el Certificador cuenta conprocedimientos para su recuperación. Esta sólo puede ser realizada porpersonal autorizado, sobre dispositivos criptográficos seguros y con elmismo nivel de seguridad que aquel en el que se realicen lasoperaciones críticas de la AC ONTI.

No se implementan mecanismos de resguardo y recuperación de las clavesprivadas de las AR y de los suscriptores. Estos deberán proceder a larevocación del certificado y a tramitar una nueva solicitud de emisiónde certificado, si así correspondiere.

6.2.4. - Copia de seguridad de clave privada.

El Certificador genera una copia de seguridad de la clave privada através de un procedimiento que garantiza su integridad yconfidencialidad.

No se mantienen copias de las claves privadas de los suscriptores decertificados ni de los Oficiales de Registro.

6.2.5. - Archivo de clave privada.

El Certificador almacena las copias de reguardo de su clave privada através de un procedimiento que garantiza su integridad, disponibilidady confidencialidad, conservándola en un lugar seguro, al igual que suselementos de activación, de acuerdo a lo dispuesto por la DecisiónAdministrativa N° 927/14 en cuanto a los niveles de resguardo de claves.

6.2.6. - Transferencia de claves privadas en dispositivoscriptográficos.

El par de claves criptográficas del Certificador se genera y almacenaen dispositivos criptográficos conforme a lo establecido en la presentePolítica, salvo en el caso de las copias de resguardo que también estánsoportados en dispositivos criptográficos homologados FIPS 140-2 nivel3.

El par de claves criptográficas de las AR y de los suscriptores decertificados de nivel de seguridad Alto es almacenado en el mismodispositivo criptográfico FIPS 140-2 nivel 2 donde se genera, nopermitiendo su exportación.

6.2.7. - Almacenamiento de claves privadas en dispositivoscriptográficos

El almacenamiento de las claves criptográficas del Certificador serealiza en el mismo dispositivo de generación que brinda un alto nivelde seguridad de acuerdo a la certificación FIPS 140-2 nivel 3 y nivel 4de seguridad física de acuerdo a lo establecido en el Anexo II de laDecisión Administrativa JGM N° 927/2014.

Las claves criptográficas de las AR y de los suscriptores decertificados de nivel de seguridad Alto son almacenadas en el mismodispositivo criptográfico FIPS 140-2 nivel 2 donde se generan, con losmismos niveles de seguridad.

6.2.8. - Método de activación de claves privadas.

Para la activación de la clave privada de la AC ONTI se aplicanprocedimientos que requieren la participación de los poseedores declaves de activación según el control M de N descripto más arriba.Estos participantes son autenticados utilizando métodos adecuados deidentificación.

6.2.9. - Método de desactivación de claves privadas.

Para la desactivación de la clave privada de la AC ONTI se aplicanprocedimientos que requieren la participación de los poseedores de lasclaves, según el control M de N. Para desarrollar esta actividad, losparticipantes son autenticados utilizando métodos adecuados deidentificación.

6.2.10. - Método de destrucción de claves privadas.

Las claves privadas de la AC ONTI se destruyen mediante procedimientosque imposibilitan su posterior recuperación o uso, bajo las mismasmedidas de seguridad física que se emplearon para su creación.

6.2.11. - Requisitos de los dispositivos criptográficos.

La AC ONTI utiliza un dispositivo criptográfico con la certificaciónFIPS 140-2 Nivel 3 para la generación y almacenamiento de sus claves.

En el caso de las AR se utilizan dispositivos criptográficos FIPS 140-2Nivel 2.

Los suscriptores que opten por un nivel de seguridad Alto utilizandispositivos criptográficos FIPS 140-2 Nivel 2.

Los proveedores de otros servicios relacionados con la firma digital,utilizan dispositivos FIPS 140-2 Nivel 2 como mínimo.

6.3. - Otros aspectos de administración de claves.

6.3.1. - Archivo permanente de la clave pública.

Los certificados emitidos a suscriptores y a las AR como así también elde la AC ONTI, que contienen las correspondientes claves públicas, sonalmacenados bajo un esquema de redundancia y respaldados en formaperiódica sobre dispositivos de solo lectura, lo cual sumado a la firmade los mismos, garantiza su integridad.

Los certificados se almacenan en formato estándar bajo codificacióninternacional DER.

6.3.2. - Período de uso de clave pública y privada.

Las claves privadas correspondientes a los certificados emitidos por elCertificador son utilizadas por los suscriptores únicamente durante elperíodo de validez de los certificados.

Las correspondientes claves públicas son utilizadas durante el períodoestablecido por las normas legales vigentes, a fin de posibilitar laverificación de las firmas generadas durante su período de validez.

6.4. - Datos de activación.

Se entiende por datos de activación, a diferencia de las claves, a losvalores requeridos para la operatoria de los dispositivoscriptográficos y que necesitan estar protegidos.

Se establecen medidas suficientes de seguridad para proteger los datosde activación requeridos para la operación de los dispositivoscriptográficos de los usuarios de certificados.

6.4.1. - Generación e instalación de datos de activación.

Los datos de activación del dispositivo criptográfico del Certificadortienen un control “M de N” en base a “M” Poseedores de claves deactivación, que deben estar presentes de un total de “N” Poseedoresposibles.

Ni el Certificador ni las AR implementan mecanismos de respaldo decontraseñas y credenciales de acceso a las claves privadas de lossuscriptores o AR o a sus dispositivos criptográficos, si fueraaplicable.

6.4.2. - Protección de los datos de activación.

El Certificador establece medidas de seguridad para protegeradecuadamente los datos de activación de su clave privada contra usosno autorizados. En este sentido, instruirá a los poseedores de lasclaves de activación para el uso seguro y resguardo de los dispositivoscorrespondientes.

6.4.3. - Otros aspectos referidos a los datos de activación.

Es responsabilidad de las AR, de los proveedores de otros serviciosrelacionados con la firma digital y demás suscriptores de certificadosemitidos por la AC ONTI, la elección de contraseñas fuertes para laprotección de sus claves privadas y para el acceso a los dispositivoscriptográficos que utilicen, si fuera aplicable.

6.5. - Controles de seguridad informática.

6.5.1. - Requisitos Técnicos específicos.

El Certificador establece requisitos de seguridad referidos alequipamiento y al software de certificación vinculados con lossiguientes aspectos:

• Control de acceso a los servicios y roles afectados al proceso decertificación.

• Separación de funciones entre los roles afectados al proceso decertificación.

• Identificación y autenticación de los roles afectados al proceso decertificación.

• Utilización de criptografía para las sesiones de comunicación y basesde datos.

• Archivo de datos históricos y de auditoría del Certificador yusuarios.

• Registro de eventos de seguridad.

• Prueba de seguridad relativa a servicios de certificación.

• Mecanismos confiables para identificación de roles afectados alproceso de certificación.

• Mecanismos de recuperación para claves y sistema de certificación.

Las funcionalidades mencionadas son provistas a través de unacombinación del sistema operativo, software de certificación ycontroles físicos.

6.5.2. - Requisitos de seguridad computacional.

El Certificador cumple con las siguientes calificaciones de seguridadsobre los productos en los que se basa la implementación:

• Windows 2008 R2 Server Enterprise: en proceso de evaluación paracertificar EAL4+

• Windows 2008 Server Enterprise x86: certificado EAL4+.

• Forefront TMG 2010 Enterprise x64: en proceso de evaluación paracertificar EAL4+.

• SQL 2008 Enterprise x64 SP1: certificado EAL4+.

El dispositivo criptográfico utilizado por el Certificador estácertificado por el NIST (National Institute of Standards andTechnology) FIPS 140-2 Nivel 3.

Los dispositivos criptográficos utilizados por las AR y por lossuscriptores con nivel de seguridad Alto están certificados por NIST(National Institute of Standards and Technology) FIPS 140-2 Nivel 2.

Los dispositivos criptográficos utilizados por los proveedores de otrosservicios en relación a la firma digital están certificados por NIST(National Institute of Standards and Technology) FIPS 140-2 Nivel 2como mínimo.

6.6. - Controles Técnicos del ciclo de vida de los sistemas.

Se implementan procedimientos de control técnico para el ciclo de vidade los sistemas. Asimismo se contemplan controles para el desarrollo,administración de cambios y gestión de la seguridad, en lo relacionadodirecta o indirectamente con las actividades de certificación.

6.6.1. - Controles de desarrollo de sistemas.

El Certificador cumple con procedimientos específicos para el diseño,desarrollo y prueba de lossistemas entre los que se encuentran:

• Separación de ambientes de desarrollo, prueba y producción.

• Control de versiones para los componentes desarrollados.

• Pruebas con casos de uso.

6.6.2. - Controles de gestión de seguridad

Se documenta y controla la configuración del sistema, así como todamodificación o actualización, habiéndose implementado un método dedetección de modificaciones no autorizadas.

6.6.3. - Controles de seguridad del ciclo de vida del software.

No aplicable.

6.7. - Controles de seguridad de red.

Los controles de seguridad de la red interna y externa de la AC ONTI seencuentran a cargo del Programa Nacional de Infraestructuras Críticasde Información y Ciberseguridad de la OFICINA NACIONAL DE TECNOLOGÍASDE INFORMACIÓN de la SUBSECRETARÍA DF TECNOLOGÍAS DE GESTIÓN de laSECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DEGABINETE DE MINISTROS.

6.8. - Certificación de fecha y hora.

La AC ONTI no presta el servicio de emisión de sello de tiempo.

7. - PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS.

7.1. - Perfil del certificado.

Todos los certificados son emitidos conforme con lo establecido en laespecificación ITU X.509 versión 3, y cumplen con las indicacionesestablecidas en la sección “2 - Perfil de certificados digitales” delAnexo IV - Perfiles de los Certificados y de las Listas de CertificadosRevocados.

Perfil del certificado de persona física.


Perfil del certificado de persona jurídica.

Perfil del certificado de aplicaciones.

Perfil del certificado de sitio seguro



Perfil del certificado de proveedores de servicios de firma digital.

Para Autoridad de Competencia.


Para Autoridad de Sello de tiempo.


7.2. - Perfil de la lista de certificados revocados.

Las listas de certificados revocados correspondientes a la presentePolítica Única de Certificación son emitidas conforme con loestablecido en la especificación ITU X.509 versión 2 y cumplen con lasindicaciones establecidas en la sección “3 - Perfil de CRLs” del AnexoIV - “Perfiles de los Certificados y de las Listas de CertificadosRevocados”.

7.3. - Perfil de la consulta en línea del estado del certificado

La consulta en línea del estado de un certificado digital se realizautilizando el Protocolo OCSP (On-Line Certificate Status Protocol). Seimplementa conforme a lo indicado en la especificación RFC 6960 ycumple con las indicaciones establecidas en la sección “4 - Perfil dela consulta en línea del estado del certificado” del Anexo IV -“Perfiles de los Certificados y de las Listas de CertificadosRevocados”.

8. - AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES.

En base a lo dispuesto por las normas vigentes, la ONTI, en su calidadde Certificador Licenciado se encuentra sujeta a las auditorías quellevan a cabo las siguientes entidades pertenecientes al Sector Público:

• Ente Licenciante de la Infraestructura Nacional de Firma Digital dela REPÚBLICA ARGENTINA.

• Sindicatura General de la Nación (SIGEN).

• Auditoría General de la Nación (AGN).

• Unidad de Auditoría Interna (UAI) de Jefatura de Gabinete deMinistros.

Las mencionadas entidades realizan las auditorías en base a susprogramas los que son comunicados e informados oportunamente.

Los aspectos a evaluar se encuentran establecidos en el artículo 27 dela Ley N° 25.506 y otras normas reglamentarias.

Los informes resultantes de las auditorías son elevados a lasautoridades de la ONTI.

Sus aspectos relevantes son publicados en forma permanente eininterrumpida en su sitio web.

El Certificador cumple las exigencias reglamentarias impuestas por:

• Los artículos 33 y 34 de la Ley N° 25.506 de Firma Digital, respectoal sistema de auditoría y el artículo 21, inciso k) de la misma Ley,relativo a la publicación de informes de auditoría.

• Los artículos 18 a 21 del Decreto N° 2628/02, reglamentario de la Leyde Firma Digital, relativos al sistema de auditoría y el artículo 20,vinculado a conflicto de intereses.

9.- ASPECTOS LEGALES Y ADMINISTRATIVOS

9.1.- Aranceles

El Certificador no percibe aranceles por ninguno de los servicios quepudiera brindar relacionados con esta Política Única de Certificación.Los certificados emitidos bajo la presente Política son gratuitos y nose cobra ningún tipo de arancel o tasa por su solicitud, emisión,renovación, revocación o utilización.

9.2.- Responsabilidad Financiera

Las responsabilidades financieras se originan en lo establecido por laLey N° 25.506 y su Decreto Reglamentario N° 2628/02 y en lasdisposiciones de la presente Política.

9.3.- Confidencialidad

Toda información referida a solicitantes o suscriptores de certificadosque sea recibida por el Certificador o por las AR operativamentevinculadas, será tratada en forma confidencial y no puede hacersepública sin el consentimiento previo de los titulares de los datos,salvo que sea requerida judicialmente. La exigencia se extiende a todaotra información referida a los solicitantes y los suscriptores decertificados a la que tenga acceso el Certificador o sus AR durante elciclo de vida del certificado.

Lo indicado no es aplicable cuando se trate de información que setranscriba en el certificado o sea obtenida de fuentes públicas.

9.3.1.- Información confidencial

Toda información remitida por el solicitante o suscriptor de uncertificado al momento de efectuar un requerimiento es consideradaconfidencial y no es divulgada a terceros sin su consentimiento previoy expreso, salvo que sea requerida mediante resolución fundada en causajudicial por juez competente. La exigencia se extenderá también a todaotra información referida a los suscriptores de certificados a la quetenga acceso el Certificador o la Autoridad de Registro durante elciclo de vida del certificado.

El Certificador garantiza la confidencialidad frente a terceros de suclave privada, la que, al ser el punto de máxima confianza, serágenerada y custodiada conforme a lo que se especifique en la presentePolítica. Asimismo, se considera confidencial cualquier información:

• Resguardada en servidores o bases de datos y vinculada al proceso degestión del ciclo de vida de los certificados digitales emitidos por elCertificador.

• Almacenada en cualquier soporte, incluyendo aquella que se trasmitaverbalmente, vinculada a procedimientos de certificación, exceptoaquella declarada como no confidencial en forma expresa.

• Relacionada con los Planes de Contingencia, controles, procedimientosde seguridad y registros de auditoría pertenecientes al Certificador.

En todos los casos resulta de aplicación la Ley N° 25.326 de protecciónde datos personales, su reglamentación y normas complementarias.

9.3.2.- Información no confidencial

La siguiente información recibida por el Certificador o por sus AR noes considerada confidencial:

a) Contenido de los certificados y de las listas de certificadosrevocados.

b) Información sobre personas físicas o jurídicas que se encuentredisponible en certificados o en directorios de acceso público.

c) Políticas de Certificación y Manual de procedimientos deCertificación (en sus aspectos no confidenciales).

d) Secciones públicas de la Política de Seguridad del Certificador.

e) Política de privacidad del Certificador

9.3.3.- Responsabilidades de los roles involucrados

La información confidencial podrá ser revelada ante un requerimientoemanado de juez competente como parte de un proceso judicial o anterequerimiento de autoridad administrativa como parte de un procesoadministrativo.

Toda divulgación de información referida a los datos de identificacióndel suscriptor o a cualquier otra información generada o recibidadurante el ciclo de vida del certificado sólo podrá efectuarse previaautorización escrita del suscriptor del certificado.

No será necesario el consentimiento cuando:

• Los datos se hayan obtenido de fuentes de acceso público irrestricto;

• Los datos se limiten a nombre, Documento Nacional de Identidad,identificación tributaria o previsional u ocupación.

• Aquellos para los que el Certificador hubiera obtenido autorizaciónexpresa de su titular.

9.4.- Privacidad

Todos los aspectos vinculados a la privacidad de los datos personalesse encuentran sujetos a la normativa vigente en materia de Protecciónde los Datos Personales (Ley N° 25.326 y normas reglamentarias,complementarias y aclaratorias). Las consideraciones particulares seincluyen en la Política de Privacidad.

9.5. - Derechos de Propiedad Intelectual

El derecho de autor de los sistemas y aplicaciones informáticasdesarrollados por el Certificador para la implementación de su AC, comoasí también toda la documentación relacionada, pertenece a la ONTI.

El derecho de autor de la presente Política Única de Certificación y detoda otra documentación generada por el Certificador en relación con laInfraestructura de Firma Digital, pertenece a la ONTI.Consecuentemente, dichos documentos no pueden ser reproducidos,copiados ni utilizados de ninguna manera, total o parcial, sin previo yformal consentimiento de la ONTI, de acuerdo a la legislación vigente.

9.6.- Responsabilidades y garantías

Las responsabilidades y garantías para el Certificador licenciado, susAR, los suscriptores, los terceros usuarios y otras entidadesparticipantes, se originan en lo establecido por la Ley N° 25.506 y suDecreto Reglamentario N° 2628/02 y en las disposiciones de la presentePolítica.

9.7.- Deslinde de responsabilidad

Las limitaciones de responsabilidad del Certificador licenciado serigen por lo establecido en el art. 39 de la Ley N° 25.506, en lasdisposiciones de la presente Política y en el Acuerdo con suscriptores.

9.8.- Limitaciones a la responsabilidad frente a terceros

Las limitaciones de responsabilidad del Certificador Licenciadorespecto a otras entidades participantes, se rigen por lo establecidoen el art. 39 de la Ley N° 25.506, en las disposiciones de la presentePolítica y en los Términos y Condiciones con terceros usuarios.

9.9.- Compensaciones por daños y perjuicios

No aplicable.

9.10.- Condiciones de vigencia

La presente Política Única de Certificación se encuentra vigente apartir de la fecha de su aprobación por parte del Ente Licenciante yhasta tanto sea reemplazada por una nueva versión. Todo cambio en laPolítica, una vez aprobado por el ente licenciante, será debidamentecomunicado al suscriptor.

9.11.- Avisos personales y comunicaciones con los participantes

No aplicable.

9.12.- Gestión del ciclo de vida del documento

No se agrega información.

9.12.1.- Procedimientos de cambio

Toda modificación a la Política Única de Certificación es aprobadapreviamente por el ente licenciante conforme a lo establecido por laLey N° 25.506, artículo 21, inciso q) y por la Decisión AdministrativaJGM N° 927/2014 y sus anexos respectivos.

Toda Política Única de Certificación es sometida a aprobación del entelicenciante durante el proceso de licenciamiento.

Todo cambio en la Política Única de Certificación es comunicado alsuscriptor.

La presente Política Única de Certificación será revisada y actualizadaperiódicamente por el Certificador y sus nuevas versiones se pondrán envigencia, previa aprobación del ente licenciante.

9.12.2. - Mecanismo y plazo de publicación y notificación.

Una copia de la versión vigente de la presente Política Única deCertificación se encuentra disponible en forma pública y accesible através de Internet en el sitio web http://pki.jgm. gob.ar/cps/cps.pdf.

9.12.3.- Condiciones de modificación del OID

No aplicable.

9.13.- Procedimientos de resolución de conflictos.

Cualquier controversia y/o conflicto resultante de la aplicación deesta Política Única de Certificación deberá ser resuelto en sedeadministrativa de acuerdo a las previsiones de la Ley Nacional deProcedimientos Administrativos N° 19.549 y su Decreto Reglamentario N°1759/72.

La presente Política Única de Certificación se encuentra en un todosubordinada a las prescripciones de la Ley N° 25.506 y sureglamentación.

Los titulares de certificados y los terceros usuarios podrán interponerante el ente licenciante recurso administrativo por conflictosreferidos a la prestación del servicio por parte del Certificador. Unavez agotada la vía administrativa, podrá interponerse acción judicial,siendo competente la Justicia en lo Contencioso Administrativo Federal.

El reclamo efectuado por un tercero usuario o por el titular de uncertificado digital expedido por el Certificador, sólo será procedenteprevia acreditación de haberse efectuado reclamo ante este último conresultado negativo. Acreditada dicha circunstancia, el ente licencianteprocederá a recibir, evaluar y resolver las denuncias mediante lainstrucción del correspondiente trámite administrativo.

A los efectos del reclamo antes citado, se procederá de la siguientemanera:

a) Una vez recibido el reclamo en las oficinas del Certificador, estecitará al reclamante a una audiencia y labrará un acta que deje expresaconstancia de los hechos que motivan el reclamo y de todos y cada unode los antecedentes que le sirvan de causa.

b) Una vez que el Certificador emita opinión, se notificará alreclamante y se le otorgará un plazo de CINCO (5) días hábilesadministrativos para ofrecer y producir la prueba de su descargo.

c) La ONTI resolverá en un plazo de DIEZ (10) días lo que estimecorresponder, dictando el Acto Administrativo correspondiente, conformea los criterios de máxima razonabilidad, equidad y pleno ajuste albloque de legalidad vigente y aplicable.

En ningún caso la Política Única de Certificación del Certificadorprevalecerá sobre lo dispuesto por la normativa legal vigente de firmadigital.

El suscriptor o los terceros usuarios podrán accionar ante el entelicenciante, previo agotamiento del procedimiento ante el CertificadorLicenciado correspondiente, el cual deberá proveer obligatoriamente alinteresado de un adecuado procedimiento de resolución de conflictos.

9.14.- Legislación aplicable

La legislación que respalda la interpretación, aplicación y validez deesta Política Única de Certificación es la Ley N° 25.506, el Decreto N°2628/02, y toda otra norma complementaria dictada por la autoridadcompetente.

9.15.- Conformidad con normas aplicables.

La legislación aplicable a la actividad del Certificador es la Ley N°25.506, el Decreto N° 2628/02, toda otra norma complementaria dictadapor la autoridad competente y otras normas que sean aplicables.

9.16.- Cláusulas adicionales

No se establecen cláusulas adicionales.

9.17.- Otras cuestiones generales

No aplicable.

e. 09/02/2015 N° 7438/15 v. 09/02/2015

Páginas externas

Información Legislativa y Documental
Sistema Argentino de Información Jurídica