Disposición 12/2014

Texto Original

JEFATURA DE GABINETE DE MINISTROS

SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA

SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN

Disposición 12/2014

Bs. As., 30/12/2014

VISTO el Expediente N° CUDAP: EXP-JGM:0058588/2014 del Registro de laJEFATURA DE GABINETE DE MINISTROS, la Ley N° 25.506, los Decretos Nros.357 del 21 de febrero de 2002 y sus modificatorios y 2628 del 19 dediciembre de 2002 y sus modificatorios, la Decisión Administrativa N°927 del 30 de octubre de 2014 y las Resoluciones N° 63 del 13 denoviembre de 2007 de la ex SUBSECRETARÍA DE LA GESTIÓN PÚBLICA de laJEFATURA DE GABINETE DE MINISTROS y Nro. 184 del 28 de junio de 2012 dela SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURADE GABINETE DE MINISTROS, y

CONSIDERANDO:

Que la Ley N° 25.506 de Firma Digital, reconoce la eficacia jurídicadel documento electrónico, la firma electrónica y la firma digital,estableciendo las características de la Infraestructura de FirmaDigital de la REPÚBLICA ARGENTINA.

Que el inciso h) del artículo 30 de la mencionada ley asigna a laautoridad de aplicación la función de otorgar o revocar las licencias alos certificadores y supervisar su actividad, según las exigenciasinstituidas por la reglamentación.

Que el artículo 24 del Decreto N° 2628 del 19 de diciembre de 2002 ysus modificatorios, reglamentario de la Ley N° 25.506 de Firma Digital,establece el procedimiento que los certificadores deben observar parala obtención de una licencia y detalla la documentación exigida para elcumplimiento de las condiciones estipuladas en la Ley N° 25.506, sudecreto reglamentario y normas complementarias.

Que la Decisión Administrativa N° 927 del 30 de octubre de 2014,establece las pautas técnicas complementarias del marco normativo defirma digital, aplicables al otorgamiento y revocación de licencias alos certificadores que así lo soliciten.

Que el Decreto N° 357 del 21 de febrero de 2002 y sus modificatorios,en el punto XI de la planilla Anexa al artículo 2° faculta a laSUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN dependiente de la SECRETARÍA DEGABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DEMINISTROS, entre otras funciones, para actuar como autoridad deaplicación del Régimen Normativo de la infraestructura de Firma Digitalestablecida por la Ley N° 25.506, y ejercer las funciones de entelicenciante y supervisor de certificadores.

Que la Resolución N° 63 del 13 de noviembre de 2007 de la exSUBSECRETARÍA DE LA GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DEMINISTROS aprueba la “Política de Certificación de la AutoridadCertificante Raíz de la Infraestructura de Firma Digital de laREPÚBLICA ARGENTINA”, que rige la emisión de certificados a losCertificadores que hayan sido licenciados por el ente licenciante.

Que la Resolución N° 184 del 28 de junio de 2012 de la SECRETARÍA DEGABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DEMINISTROS otorga la Licencia para operar como Certificador Licenciado ala empresa ENCODE S.A.

Que en virtud de las constancias obrantes en el expediente, se hanacreditado las condiciones requeridas por la Decisión Administrativa N°927/14 para que la Autoridad Certificante de ENCODE S.A., en su calidadde Certificador Licenciado, adhiera a la Política Única deCertificación, en cumplimiento a lo dispuesto por su artículo 62.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DECOORDINACIÓN ADMINISTRATIVA de la SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado laintervención que le compete.

Que el SUBSECRETARIO DE TECNOLOGÍAS DE GESTIÓN dependiente de laSECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DEGABINETE DE MINISTROS se encuentra facultado para dictar la presentemedida en virtud del Decreto N° 357/02 y sus modificatorios.

Por ello,

EL SUBSECRETARIO DE TECNOLOGÍAS DE GESTIÓN DE LA SECRETARÍA DE GABINETEY COORDINACIÓN ADMINISTRATIVA DE LA JEFATURA DE GABINETE DE MINISTROS

DISPONE:

ARTÍCULO 1° — Apruébase la adhesión de la empresa ENCODE S.A., en sucalidad de Certificador Licenciado, a la “Política Única deCertificación”, cuyo texto adecuado forma parte integrante de lapresente Disposición como Anexo.

ARTÍCULO 2° — Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DELREGISTRO OFICIAL y archívese. — Ing. SERGIO A. BLANCO, Subsecretario deTecnologías de Gestión, Secretaría de Gabinete y CoordinaciónAdministrativa, Jefatura de Gabinete de Ministros.

ANEXO

POLÍTICA ÚNICA DE CERTIFICACIÓN DE ENCODE S.A.

POLÍTICA DE CERTIFICACIÓN

VERSIÓN 2.0 - FECHA 10/11/2014

ÍNDICE

1. INTRODUCCIÓN

1.1. Descripción general

1.2. Nombre e Identificación del Documento

1.3. Participantes

1.4. Uso de los certificados

1.5. Administración de la Política

1.6. Definiciones y Acrónimos

2. RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS

2.1. Repositorios

2.2. Publicación de información del certificador

2.3. Frecuencia de publicación

2.4. Controles de acceso a la información

3. IDENTIFICACIÓN Y AUTENTICACIÓN

3.1. Asignación de nombres de suscriptores

3.2. Registro inicial

3.3. Identificación y autenticación para la generación de nuevo par de claves (Rutina de Re Key)

3.4. Requerimiento de revocación

4. CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS

4.1. Solicitud de certificado

4.2. Procesamiento de la solicitud del certificado

4.3. Emisión del certificado

4.4. Aceptación del certificado

4.5. Uso del par de claves y del certificado

4.6. Renovación del certificado sin generación de un nuevo para de claves

4.7. Renovación del certificado con generación de un nuevo para de claves

4.8. Modificación del certificado

4.9. Suspensión y Revocación de Certificados

4.10. Estado del certificado

4.11. Desvinculación del suscriptor

4.12. Recuperación y custodia de claves privadas

5. CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN

5.1. Controles de seguridad física

5.2. Controles de Gestión

5.3. Controles de seguridad del personal

5.4. Procedimientos de Auditoría de Seguridad

5.5. Conservación de registros de eventos

5.6. Cambio de claves criptográficas

5.7. Plan de respuesta a incidentes y recuperación ante desastres

5.8. Plan de Cese de Actividades

6. CONTROLES DE SEGURIDAD TÉCNICA

6.1. Generación e instalación del par de claves criptográficas

6.2. Protección de la clave privada y controles sobre los dispositivos criptográficos

6.3. Otros aspectos de administración de claves

6.4. Datos de activación

6.5. Controles de seguridad informática

6.6. Controles Técnicos del ciclo de vida de los sistemas

6.7. Controles de seguridad de red

6.8. Certificación de fecha y hora

7. PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS

7.1. Perfil del certificado

7.2. Perfil de la lista de certificados revocados

7.3. Perfil de la consulta en línea del estado del certificado

8. AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES

9. ASPECTOS LEGALES Y ADMINISTRATIVOS

9.1. Aranceles

9.2. Responsabilidad Financiera

9.3. Confidencialidad

9.4. Privacidad

9.5 Derechos de Propiedad Intelectual

9.6. Responsabilidades y garantías

9.7. Deslinde de responsabilidad

9.8. Limitaciones a la responsabilidad frente a terceros

9.9. Compensaciones por daños y perjuicios

9.10. Condiciones de vigencia

9.11 Avisos personales y comunicaciones con los participantes

9.12 Gestión del ciclo de vida del documento

9.13. Procedimientos de resolución de conflictos

9.14. Legislación aplicable

9.15. Conformidad con normas aplicables

9.16. Cláusulas adicionales

9.17. Otras cuestiones generales

1. INTRODUCCIÓN.

1.1. Descripción general.

El presente documento establece las políticas que se aplican a larelación entre un certificador licenciado en el marco de laInfraestructura de Firma Digital de la REPÚBLICA ARGENTINA (Ley N°25.506 y sus modificatorias) y los solicitantes, suscriptores yterceros usuarios de los certificados que éste emita. Un certificadovincula los datos de verificación de firma digital de una personafísica o jurídica o con una aplicación a un conjunto de datos quepermiten identificar a dicha entidad, conocida como suscriptor delcertificado.

La autoridad de aplicación de la Infraestructura de firma digital antesmencionada es la SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVAde la JEFATURA DE GABINETE DE MINISTROS, siendo la SUBSECRETARÍA DETECNOLOGÍAS DE GESTIÓN de la SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS, quien entiendeen las funciones de ente licenciante.

1.2. Nombre e Identificación del Documento.

Nombre: Política Única de Certificación de ENCODE S.A.

Versión: 2.0

Fecha: 01/11/2014

URL: http://www.encodeac.com.ar/pu/ENCODEPU.pdf

OID: 2.16.32.1.1.4

Lugar: República Argentina

1.3. Participantes.

Integran la infraestructura del certificador las siguientes entidades:

1.3.1. Certificador.

Razón Social: ENCODE S.A.

CUIT: 30-71110353-4

Domicilio: Arturo M. Bas 34 Local PB - X5000KLB - Córdoba - Provincia de Córdoba

Teléfono: 54 (351) 569-4407 o 569-4408 y líneas rotativas

Sitio web: http://www.encodesa.com.ar

1.3.2. Autoridad de Registro.

Se identificarán en forma directa o a través de un enlace a un sitioweb de Internet, las Autoridades de Registro propias o de terceros,utilizadas por el certificador en el proceso de recepción desolicitudes de emisión de certificados, identificación y autenticaciónde la identidad de los solicitantes de certificados y recepción yvalidación de solicitudes de revocación.

Contacto: Responsable de la Autoridad de Registro Central

Domicilio: Arturo M. Bas 34 Local PB - X5000KLB - Córdoba - Provincia de Córdoba

E-mail: arc@encodesa.com.ar

Teléfono: 54 (351) 569-4407 o 569-4408 y líneas rotativas

Sitio web: http://ar.encodesa.com.ar

1.3.3. Suscriptores de certificados.

Según los términos de la presente Política Única de Certificación, sedefine la Comunidad de Suscriptores de certificados digitales a todaslas Personas Físicas o Jurídicas de naturaleza Pública o Privada oresponsables autorizados de aplicaciones y sitios seguros, quesuscriban certificados de firma digital o provisión de serviciosvinculados de firma digital con ENCODE S.A.1.3.4. Terceros Usuarios.

Son Terceros Usuarios de los certificados emitidos bajo la presentePolítica Única de Certificación toda persona física o jurídica querecibe un documento firmado digitalmente y que genera una consulta paraverificar la validez del certificado digital correspondiente, deacuerdo a la normativa vigente. En el caso de los certificados de sitioseguro, serán Terceros Usuarios quienes verifiquen el certificado delservidor.

1.4. Uso de los certificados.

Las claves correspondientes a los certificados digitales que se emitanbajo la presente Política Única de Certificación podrán ser utilizadasen forma interoperable en los procesos de firma digital de cualquierdocumento o transacción y para la autenticación o el cifrado.

1.5. Administración de la Política.

1.5.1. Responsable del documento.

Para realizar preguntas, efectuar reclamos o enviar sugerenciasreferidos al presente documento, el interesado deberá dirigirse a:

Contacto: Responsable Mesa de Ayuda

Domicilio: Arturo M. Bas 34 Local PB - X5000KLB - Córdoba - Provincia de Córdoba

E-mail: mda@encodesa.com.ar

Teléfono: 54 (351) 569-4407 o 569-4408 y líneas rotativas

Sitio web: http://www.encodesa.com.ar

1.5.2. Contacto.

El responsable del registro, mantenimiento e interpretación de la Política Única de Certificación es ENCODE SA.

Contacto: Responsable de la Autoridad de Registro Central

Domicilio: Arturo M. Bas 34 Local PB - X5000KLB - Córdoba - Provincia de Córdoba

E-mail: arc@encodesa.com.ar

Teléfono: 54 (351) 569-4407 o 569-4408 y líneas rotativas

Sitio web: http://ar.encodesa.com.ar

1.5.3. Procedimiento de aprobación de la Política de Certificación.

El presente documento es la Política Única de Certificación de ENCODES.A. OID 2.16.32.1.1.4 de conformidad con la Ley N° 25.506, su DecretoReglamentario N° 2628/2002 y las Decisiones Administrativas N° 6/2007 yN° 927/2014 de la Jefatura de Gabinete de Ministros.

1.6. Definiciones y Acrónimos.

1.6.1. Definiciones.

Se incluirán las definiciones de los conceptos relevantes utilizados en la Política de Certificación, incluyendo los siguientes:

- Autoridad de Aplicación: la SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS es la Autoridadde Aplicación de firma digital en la REPÚBLICA ARGENTINA.

- Autoridad de Registro: es la entidad que tiene a su cargo lasfunciones de validación de la identidad y otros datos de lossolicitantes de certificados digitales. Dichas funciones son delegadaspor el certificador licenciado. Puede actuar en una instalación fija oen modalidad móvil, siempre que medie autorización del ente licenciante.

- Certificado Digital: Se entiende por certificado digital al documentodigital firmado digitalmente por un certificador, que vincula los datosde verificación de firma a su titular (artículo 13 de la Ley N° 25.506).

- Certificador Licenciado: Se entiende por certificador licenciado atoda persona de existencia ideal, registro público de contratos uorganismo público que expide certificados, presta otros servicios enrelación con la firma digital y cuenta con una licencia para ello,otorgada por el ente licenciante. (artículo 17 de la Ley N° 25.506).

- Certificación digital de fecha y hora: Indicación de la fecha y horacierta, asignada a un documento o registro electrónico por una terceraparte confiable y firmada digitalmente por ella. (Anexo al Decreto N°2628 de fecha 19 de diciembre de 2002).

- Ente licenciante: la SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN de laSECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DEGABINETE DE MINISTROS es Ente Licenciante.

- Lista de certificados revocados: Lista de certificados que han sidodejados sin efecto en forma permanente por el Certificador Licenciado,la cual ha sido firmada digitalmente y publicada por el mismo. Eninglés: Certificate Revocation List (CRL). (Anexo al Decreto N°2628/2002)

- Manual de Procedimientos: Conjunto de prácticas utilizadas por elcertificador licenciado en la emisión y administración de loscertificados. En inglés: Certification Practice Statement (CPS). (Anexoal Decreto N° 2628/2002)

- Plan de Cese de Actividades: conjunto de actividades a desarrollarpor el certificador licenciado en caso de finalizar la prestación desus servicios. (Anexo al Decreto N° 2628/2002)

- Plan de Continuidad de las operaciones: Conjunto de procedimientos aseguir por el certificador licenciado ante situaciones de ocurrencia noprevistas que comprometan la continuidad de sus operaciones.

- Plan de Seguridad: Conjunto de políticas, prácticas y procedimientosdestinados a la protección de los recursos del certificador licenciado.(Anexo al Decreto N° 2628/2002)

- Política de Privacidad: conjunto de declaraciones que el CertificadorLicenciado se compromete a cumplir de manera de resguardar los datos delos solicitantes y suscriptores de certificados digitales por élemitidos.

- Servicio OCSP (Protocolo en línea del estado de un certificado -“Online Certificate Status Protocol”): servicio de verificación enlínea del estado de los certificados. El OCSP es un método paradeterminar el estado de revocación de un certificado digital usandootros medios que no sean el uso de Listas de Revocación de Certificados(CRL). El resultado de una consulta a este servicio está firmado por elcertificador que brinda el servicio.

- Suscriptor o Titular de certificado digital: Persona o entidad a cuyonombre se emite un certificado y que posee una clave privada que secorresponde con la clave pública contenida en el mismo.

- Tercero Usuario: persona física o jurídica que recibe un documentofirmado digitalmente y que genera una consulta para verificar lavalidez del certificado digital correspondiente. (artículo 3° delDecreto N° 724/2006).

1.6.2. Acrónimos.

CRL - Lista de Certificados Revocados (“Certificate Revocation List”)

CUIT - Clave Única de Identificación Tributaria

IEC - International Electrotechnical Commission

IETF - Internet Engineering Task Force

OCSP - Protocolo en línea del estado de un certificado (“On-line Certificate Status Protocol”)

OID - Identificador de Objeto (“Object Identifier”)

ONTI - Oficina Nacional de Tecnologías de la Información

RFC - Request for Comments

2. RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS.

Se detallan a continuación las responsabilidades del certificador y detodo otro participante respecto al mantenimiento de repositorios,publicación de certificados y de información sobre sus políticas yprocedimientos.

2.1. Repositorios.

Los repositorios de información y la publicación de la Lista deCertificados Revocados son administrados en forma directa por ENCODES.A.

2.2. Publicación de información del certificador.

El certificador garantizará el acceso a la información actualizada yvigente publicada en su repositorio de los siguientes elementos:

a) Formulario de Adhesión del Anexo I.

b) Política Única de Certificación.

c) Acuerdo Tipo con suscriptores.

d) Términos y condiciones Tipo con terceros usuarios (“relying parties”).

e) Política de Privacidad.

f) Manual de Procedimientos (parte pública).

g) Información relevante de los informes su última auditoría.

h) Repositorio de certificados revocados.

i) Certificados del certificador licenciado y acceso al de la Autoridad Certificante Raíz.

La publicación de información del Certificador Licenciado ENCODE S.A.se realiza en sus servidores, y se puede encontrar en el sitio webidentificado como:

http://www.encodeac.com.ar/firma-digital

Se mantiene el repositorio en línea accesible durante las 24 horas, los 7 días de la semana.

2.3. Frecuencia de publicación.

Se garantiza la actualización inmediata del repositorio cada vez que cualquiera de los documentos publicados sea modificado.

2.4. Controles de acceso a la información.

Se garantizan los controles de los accesos al certificado delcertificador, a la Lista de Certificados Revocados y a las versionesanteriores y actualizadas de la Política de Certificación y a su Manualde Procedimientos (excepto en sus aspectos confidenciales).

Solo se revelará información confidencial o privada, si es requeridajudicialmente o en el marco de procedimientos administrativos.

En virtud de la Ley de Protección de Datos Personales N° 25.326 y a lodispuesto por el inciso h) del artículo 21 de la Ley N° 25.506, elsolicitante o titular de un certificado digital podrá solicitar elacceso a toda la información relativa a las tramitaciones realizadas.

ENCODE S.A. garantiza el acceso permanente, irrestricto y gratuito a la información publicada en su repositorio.

3. IDENTIFICACIÓN Y AUTENTICACIÓN.

En esta sección se describen los procedimientos empleados paraautenticar la identidad de los solicitantes de certificados digitales yutilizados por las Autoridades Certificantes o sus Autoridades deRegistro como prerrequisito para su emisión. También se describen lospasos para la autenticación de los solicitantes de renovación yrevocación de certificados.

3.1. Asignación de nombres de suscriptores.

3.1.1. Tipos de Nombres

El nombre a utilizar es el que surge de la documentación presentada por el solicitante, de acuerdo al apartado que sigue.

3.1.2. Necesidad de Nombres Distintivos.

Para los certificados de los proveedores de servicios de firma digitalo de aplicación: “commonName” (OID 2.5.4.3: Nombre común): DEBEcorresponder al nombre de la aplicación, servicio o de la unidadoperativa responsable del servicio.

“organizationalUnitName” (OID 2.5.4.11: Nombre de la suborganización):DEBE contener a las unidades operativas relacionadas con el servicio,en caso de existir, pudiendo utilizarse varias instancias de esteatributo de ser necesario.

“organizationName” (OID 2.5.4.10: Nombre de la organización): DEBEestar presente y DEBE coincidir con el nombre de la Persona JurídicaPública o Privada responsable del servicio o aplicación.

“serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBEcontener el número de identificación de la Persona Jurídica Pública oPrivada responsable del servicio o aplicación, expresado como texto yrespetando el siguiente formato y codificación: “[código deidentificación]” “[nro. de identificación]”.

El valor para el campo [código de identificación] es:

“CUIT”: Clave Única de Identificación Tributaria para las Personas Jurídicas argentinas.

“countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBErepresentar el país de emisión de los certificados, codificado según elestándar [ISO3166] de DOS (2) caracteres.

Para los certificados de Persona Física:

“commonName” (OID 2.5.4.3: Nombre común): DEBE estar presente y DEBEcorresponderse con el nombre que figura en el Documento de Identidaddel suscriptor, acorde a lo establecido en el punto 3.1.9.

“serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBEcontener el tipo y número de identificación del titular, expresado comotexto y respetando el siguiente formato y codificación: “[tipo dedocumento]” “[nro. de documento]”

Los valores posibles para el campo [tipo de documento] son:

En caso de ciudadanos argentinos o residentes: “CUIT/CUIL”: Clave Única de Identificación Tributaria o Laboral.

En caso de extranjeros:

“PA” [país]: Número de Pasaporte y código de país emisor. El atributo[país] DEBE estar codificado según el estándar [ISO3166] de DOS (2)caracteres.

“EX” [país]: Número y tipo de documento extranjero aceptado en virtudde acuerdos internacionales. El atributo [país] DEBE estar codificadosegún el estándar [ISO3166] de DOS (2) caracteres.

“countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBErepresentar el país de emisión de los certificados, codificado según elestándar [ISO3166] de DOS (2) caracteres.

Para los certificados de Personas Jurídicas Públicas o Privadas:

“commonName” (OID 2.5.4.3: Nombre común): DEBE coincidir con ladenominación de la Persona Jurídica Pública o Privada o con el nombrede la unidad operativa responsable del servicio (ej. Gerencia deCompras).

“organizationalUnitName” (OID 2.5.4.11: Nombre de la suborganización):PUEDE contener las unidades operativas relacionadas con el suscriptor,pudiendo utilizarse varias instancias de este atributo de ser necesario.

“organizationName” (OID 2.5.4.10: Nombre de la organización): paracertificados de aplicaciones, DEBE coincidir con la denominación de laPersona Jurídica Pública o Privada.

“serialNumber” (OID 2.5.4.5: Nro de serie): DEBE estar presente y DEBEcontener el número de identificación de la Persona Jurídica Pública oPrivada, expresado como texto y respetando el siguiente formato ycodificación: “[código de identificación]” “[nro. de identificación]”.

Los valores posibles para el campo [código de identificación] son:

“CUIT”: Clave única de identificación tributaria para las Personas Jurídicas argentinas.

“ID” [país]: Número de identificación tributario para PersonasJurídicas extranjeras. El atributo [país] DEBE estar codificado segúnel estándar [ISO3166] de 2 caracteres.

“countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBErepresentar el país de emisión de los certificados, codificado según elestándar [ISO3166] de 2 caracteres.

Para los certificados de sitio seguro:

“commonName” (OID 2.5.4.3: Nombre común): DEBE contener la denominación del sitio web de Internet que se busca proteger.

“organizationalUnitName” (OID 2.5.4.11: Nombre de la Suborganización):DEBE contener a las unidades operativas de las que depende el sitioweb, de corresponder, pudiendo utilizarse varias instancias de esteatributo de ser necesario.

“organizationName” (OID 2.5.4.10: Nombre de la Organización): DEBEestar presente y DEBE coincidir con el nombre de la Persona JurídicaPública o Privada responsable del sitio web.

“serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBEcontener el número de identificación de la Persona Jurídica Pública oPrivada responsable del servicio o aplicación, expresado como texto yrespetando el siguiente formato y codificación: “[código deidentificación]” “[nro. de identificación]”.

El valor para el campo [código de identificación] es: “CUIT”: ClaveÚnica de Identificación Tributaria para las Personas Jurídicasargentinas.

“countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBErepresentar el país de emisión de los certificados, codificado según elestándar [ISO3166] de DOS (2) caracteres.

3.1.3. Anonimato o uso de seudónimos.

No se emitirán certificados anónimos o cuyo Nombre Distintivo contenga UN (1) seudónimo.

3.1.4. Reglas para la interpretación de nombres.

Todos los nombres representados dentro de los certificados emitidosbajo la presente Política coinciden con los correspondientes aldocumento de identidad del suscriptor o con la documentación presentadapor la persona jurídica. Las discrepancias o conflictos que puedangenerarse si los datos de los solicitantes o suscriptores contienencaracteres especiales, se tratarán de modo de asegurar la precisión dela información contenida en el certificado.

3.1.5. Unicidad de nombres.

El nombre distintivo debe ser único para cada suscriptor, pudiendoexistir más de un certificado con igual nombre distintivo sicorresponde al mismo suscriptor. El procedimiento de resolución dehomonimias se basa en la utilización del número de identificaciónlaboral o tributaria, tanto en el caso de personas físicas comojurídicas.

3.1.6. Reconocimiento, autenticación y rol de las marcas registradas.

No se admite la inclusión de marcas comerciales, marcas de servicios onombres de fantasía como nombres distintivos en los certificados,excepto en el caso de personas jurídicas o aplicaciones, en los que seaceptará en base a la documentación presentada.

El certificador se reserva el derecho de tomar todas las decisionesreferidas a posibles conflictos sobre la utilización y titularidad decualquier nombre entre sus suscriptores conforme su normativa alrespecto. En caso de conflicto, la parte que solicite el certificadodebe demostrar su interés legítimo y su derecho a la utilización de unnombre en particular.

3.2. Registro inicial.

Se describen los procedimientos a utilizar para autenticar, como pasoprevio a la emisión de UN (1) certificado, la identidad y demásatributos del solicitante que se presente ante el certificador o antela Autoridad de Registro operativamente vinculada. Se establecen losmedios admitidos para recibir los requerimientos de certificados y paracomunicar su aceptación.

El certificador DEBE cumplir con lo establecido en:

a) El artículo 21, inciso a) de la Ley de Firma Digital N° 25.506 y elartículo 34, inciso e) de su reglamentario, Decreto N° 2628/02,relativos a la información a brindar a los solicitantes.

b) El artículo 14, inciso b) de la Ley de Firma Digital N° 25.506 relativo a los contenidos mínimos de los certificados.

3.2.1. Métodos para comprobar la posesión de la clave privada.

El certificador comprueba que el solicitante se encuentra en posesiónde la clave privada mediante la verificación de la solicitud delcertificado digital en formato PKCS#10, el que no incluye dicha clave.Las claves siempre son generadas por el solicitante. En ningún caso elcertificador licenciado ni sus autoridades de registro podrán tomarconocimiento o acceder bajo ninguna circunstancia a las claves de lossolicitantes o titulares de los certificados, conforme el inciso b) delartículo 21 de la Ley N° 25.506.

Para la comprobación de la posesión de la clave privada se utiliza el siguiente procedimiento:

• El Solicitante es partícipe directo y necesario en la generación desu par de claves criptográficas asimétricas, utilizando suequipamiento. Las claves criptográficas no quedan almacenadas en lossistemas informáticos de la AC de ENCODE S.A.

• Durante el proceso de solicitud, se requiere que el Solicitanterealice la generación de un par de claves criptográficas asimétricas,dicha operación será realizada desde el equipo del solicitante y enningún momento de la generación los sistemas informáticos de ENCODES.A. tienen contacto con la clave privada del solicitante.

• En los casos en los cuales el Solicitante utilice una implementaciónpor software para la generación del par de claves criptográficasasimétricas, la clave privada podrá quedar almacenada en su perfil deusuario o de la aplicación.

• En los casos en que el Solicitante utilizara un dispositivocriptográfico de su propiedad, las claves son generadas y almacenadasen él.

• Los datos de la Solicitud y el requerimiento con la clave pública delSolicitante, en formato PKCS#10, son enviados a la aplicación delCertificador.

• La aplicación del Certificador valida el requerimiento PKCS#10.

• En caso de ser correcto el formato, la aplicación del Certificadorentrega al Solicitante una Solicitud completa incluyendo el resumencriptográfico (huella MD5).

• El Solicitante debe hacer entrega de la Solicitud a la Autoridad deRegistro en el proceso de identificación, demostrando así la posesiónde la clave privada.

3.2.2. Autenticación de la identidad de Personas Jurídicas Públicas o Privadas.

Los procedimientos de autenticación de la identidad de los suscriptoresde los certificados de personas jurídicas públicas o privadascomprenden los siguientes aspectos:

a) El requerimiento debe efectuarse únicamente por intermedio delresponsable autorizado a actuar en nombre del suscriptor para el casode certificados de personas jurídicas o de quien se encuentre a cargodel servicio, aplicación o sitio web.

b) El certificador o la autoridad del registro, en su caso, verificarála identidad del responsable antes mencionado y su autorización paragestionar el certificado correspondiente.

c) El responsable mencionado en el apartado a) deberá validar su identidad según lo dispuesto en el apartado siguiente.

d) La identidad de la Persona Jurídica titular del certificado oresponsable del servicio, aplicación o sitio web deberá ser verificadamediante documentación que acredite su condición de tal.

El certificador DEBE cumplir con las siguientes exigencias reglamentarias impuestas por:

a) El artículo 21, inciso i) de la Ley N° 25.506 relativo a laconservación de la documentación de respaldo de los certificadosemitidos.

b) El artículo 21, inciso f) de la Ley N° 25.506 relativo a la recolección de datos personales.

c) El artículo 34, inciso m) del Decreto N° 2628/02 relativo a la protección de datos personales.

Se conserva la documentación que respalda el proceso de identificaciónde la persona responsable de la custodia de las claves criptográficas.

El responsable autorizado o a cargo del servicio, aplicación o sitioweb firma UN (1) acuerdo que contiene la confirmación de que lainformación incluida en el certificado es correcta.

El Solicitante del certificado para persona jurídica debe habercompletado el requerimiento de solicitud de certificado y creado el parde claves criptográficas, conforme “4.1.2.- Solicitud de certificado”y, previo pago del arancel correspondiente, se presentará en la ARseleccionada, con la documentación detallada en la “Guía delSolicitante”; a modo ilustrativo se mencionan algunos de loscomprobantes a presentar:

El representante legal, apoderado o administrador de la personajurídica Solicitante del certificado se presenta ante el Oficial deRegistro con los documentos que se detallan más abajo con copiascertificadas por Escribano Público los que correspondieren, tal cual seindica en la Guía del Solicitante:

a) Estatuto o Contrato Social correspondiente a la Persona Jurídica,

b) Acta de directorio o documento que acredite la representación invocada y su documento de identidad,

c) Constancia de inscripción en el Registro Público de Comercio,

d) Constancia de inscripción en AFIP,

e) DNI de todos los socios, en caso de sociedades irregulares,

f) Acta de distribución de cargos,

g) Poder General Amplio o Poder especial que autoriza la solicitud decertificado de firma digital. Se hace saber al Solicitante que seencuentra en la “Guía del Solicitante” el modelo de poder especialrequerido a los fines de solicitar un certificado de firma digital,

h) Solicitud de certificado impresa,

i) Recibo que acredita el pago del certificado correspondiente,

j) A los fines de que el Solicitante tome conocimiento de ladocumentación que requiere ser acompañada para su identificación y laidentificación de la persona jurídica que representa, se sugiereconsultar la “Guía del Solicitante” que se encuentra publicada en elsitio web:

http://www.encodeac.com.ar/firma-digital/guiadelsolicitante.html.

El Solicitante será atendido por un Oficial de Registro, quienverificará su identidad, la documentación que presenta y el resumencriptográfico (huella MD5) vinculado con la Solicitud, así como todaotra información contenida en la Solicitud.

Si la identificación ha sido satisfactoria, el Solicitante firma dosejemplares impresos del “Acuerdo con Suscriptores”, quedando uno enpoder del Solicitante y el otro en poder de la Autoridad de Registrocorrespondiente.

El Oficial conserva para el armado de la carpeta del suscriptor ladocumentación presentada como respaldo del proceso de identificación.

Recibida la documentación en la AR, el Oficial de Registro procederá aefectuar el control de la documentación. Luego cargará en la aplicaciónde la Autoridad de Registro la confirmación de los documentos recibidosy determinará la aceptación o rechazo de la Solicitud.

En caso de aprobar la Solicitud, el Oficial de Registro, firmará lamisma con su certificado habilitado en la aplicación de la AR.

Finalmente, en caso de aprobación, la aplicación enviará un mail alSolicitante a los fines de hacerle saber que el certificado está listopara su descarga e instalación.

El Oficial de Registro arma la carpeta de respaldo de la identificaciónde la persona jurídica Solicitante. Esta contiene la Solicitud deCertificado, y todos los documentos presentados de acuerdo a lo exigidoen la “Guía del Solicitante” y el Acuerdo con Suscriptores firmado.

Si la Solicitud es rechazada o dada de baja por falta deidentificación, la aplicación le informará la condición al Solicitantepor medio de un correo electrónico.

Para los casos de renovación, la Autoridad de Registro podrá requerir,ante dudas, respecto de la verificación realizada con anterioridad, queel Solicitante/Suscriptor se presente nuevamente para acreditaridentidad.

En caso de solicitudes de certificados para sitios seguros seidentificará al suscriptor a cuyo nombre ha sido registrado un dominioDNS y al responsable autorizado del suscriptor.

3.2.3. Autenticación de la identidad de Personas Físicas.

Se describen los procedimientos de autenticación de la identidad de los suscriptores de los certificados de Personas Físicas.

Se exige la presencia física del solicitante o suscriptor delcertificado ante el certificador o la Autoridad de Registro con la quese encuentre operativamente vinculado. La verificación se efectúamediante la presentación de los siguientes documentos:

- De poseer nacionalidad argentina, se requiere Documento Nacional de Identidad.

- De tratarse de extranjeros, se requiere Documento Nacional deIdentidad argentino o Pasaporte válido u otro documento válido aceptadoen virtud de acuerdos internacionales.

En todos los casos, se conservará UNA (1) copia digitalizada de ladocumentación de respaldo del proceso de autenticación por parte delcertificador o de la Autoridad de Registro operativamente vinculada.

Se consideran obligatorias las exigencias reglamentarias impuestas por:

a) El artículo 21, inciso i) de la Ley N° 25.506 relativo a laconservación de la documentación de respaldo de los certificadosemitidos.

b) El artículo 21, inciso f) de la Ley N° 25.506 relativo a la recolección de datos personales.

c) El artículo 34, inciso i) del Decreto N° 2628/02 relativo a generar,exigir o tomar conocimiento de la clave privada del suscriptor.

d) El artículo 34, inciso m) del Decreto N° 2628/02 relativo a la protección de datos personales.

Adicionalmente, el certificador celebra UN (1) acuerdo con elsolicitante o suscriptor, conforme el Anexo V de la presente DecisiónAdministrativa, del que surge su conformidad respecto a la veracidad dela información incluida en el certificado.

La Autoridad de Registro deberá verificar que el dispositivocriptográfico utilizado por el solicitante, si fuera el caso, cumplecon las especificaciones técnicas establecidas por el ente licenciante.

3.2.4. Información no verificada del suscriptor.

Se conserva la información referida al solicitante que no hubiera sidoverificada. Adicionalmente, cumple lo establecido en el apartado 3 delinciso b) del artículo 14 de la Ley N° 25.506.

3.2.5. Validación de autoridad.

Según lo dispuesto en el punto 3.2.2., el certificador o la Autoridadde Registro con la que se encuentre operativamente vinculado, verificala autorización de la Persona Física que actúa en nombre de la PersonaJurídica para gestionar el certificado correspondiente.

3.2.6. Criterios para la interoperabilidad.

Los certificados emitidos pueden ser utilizados por sus titulares enforma interoperable para firmar digitalmente cualquier documento otransacción, así como para autenticación o cifrado.

3.3. Identificación y autenticación para la generación de nuevo par de claves (Rutina de Re Key).

3.3.1. Renovación con generación de nuevo par de claves (Rutina de Re Key).

En el caso de certificados digitales de personas físicas o jurídicas,la renovación en este apartado aplica a la generación de UN (1) nuevopar de claves y su correspondiente certificado:

a) después de la revocación de UN (1) certificado

b) después de la expiración de UN (1) certificado

c) antes de la expiración de UN (1) certificado

En los casos a) y b) se exigirá el cumplimiento de los procedimientosprevistos en el punto 3.2.3. Autenticación de la identidad de PersonasFísicas.

Si la solicitud del nuevo certificado se realiza antes de la expiracióndel certificado, no habiendo sido este revocado, no se exigirá lapresencia física, debiendo el solicitante remitir la constancia firmadadigitalmente del inicio del trámite de renovación.

En los certificados de personas jurídicas o de aplicaciones, incluyendolos de servidores, se deberá tramitar UN (1) nuevo certificado,cumpliendo los pasos requeridos en el apartado 3.2.2. Autenticación dela identidad de Personas Jurídicas Públicas o Privadas.

3.3.2. Generación de UN (1) certificado con el mismo par de claves.

En el caso de certificados digitales de personas físicas o jurídicas,la renovación en este apartado aplica a la emisión de UN (1) nuevocertificado sin que haya un cambio en la clave pública o en ningún otrodato del suscriptor. La renovación se podrá realizar siempre que elcertificado se encuentre vigente.

A los fines de la obtención del certificado, no se exigirá la presenciafísica del suscriptor, debiendo éste remitir la constancia firmadadigitalmente del inicio del trámite de renovación.

En los certificados de aplicaciones, incluyendo los de servidores, sedeberá tramitar UN (1) nuevo certificado, según lo indicado en elapartado anterior.

3.4. Requerimiento de revocación.

La revocación podrá ser iniciada por el Suscriptor, por la Autoridad de Registro o por la AC.

Los suscriptores podrán solicitar la revocación de su certificado ingresando a la aplicación del Certificador desde:

http://www.encodeac.com.ar/firma-digital/revocacion.html

Este sitio se encuentra disponible las 24 horas los 7 días de lasemana, durante todo el año, lo que permite servicios de revocación enhorarios no habituales de jornada laboral, como así también fines desemana y feriados. La solicitud de revocación se procesaautomáticamente, de acuerdo a lo establecido en el punto “4.9.4 - Plazopara la solicitud de revocación”.

El Suscriptor que inicia la revocación se debe identificar en el portalcon su clave de organización y luego con su PIN de revocación, obtenidodurante el proceso de Solicitud, inicia el proceso de revocación decertificado.

En el caso de pérdida del PIN de revocación se deberá solicitar en elportal del Suscriptor el reenvío del mismo. Éste se enviará a ladirección informada por el Suscriptor, en forma automática.

La Autoridad de Registro o la AC de ENCODE S.A., podrán iniciar deoficio o por decisión del Responsable de ENCODE S.A., la revocación decertificados, según lo indicado en el punto “4.9.1. Causas derevocación”.

La Autoridad de Registro o la AC de ENCODE S.A., con la documentaciónrelacionada a la causa de revocación, ingresa a la aplicación delCertificador con su usuario y clave, seleccionando el certificado arevocar que le pertenece al suscriptor e inicia el proceso automáticode revocación. Deja asentado en los registros informáticos de la AR larevocación efectuada.

Para aquellos suscriptores relacionados con una organización, ésta seobliga a: 1) notificar a la Autoridad de Registro de toda modificaciónde la situación del suscriptor que llevaría a inhabilitarlo comosuscriptor de un certificado conforme a la presente Política Única deCertificación, o bien la modificación de los datos del suscriptor quellevarían a modificar la información contenida en el certificadoexpedido a favor de dicho suscriptor y 2) solicitar el requerimiento derevocación inmediata del certificado. También se revocarán loscertificados de estos suscriptores en el caso de finalización de larelación entre la organización y ENCODE S.A.

ENCODE S.A. informará a los suscriptores en caso del término de larelación entre la organización a la que se encuentra vinculadas losmismos y ENCODE S.A., mediante la publicación en el portal desuscriptores de la organización y con una notificación a la casilla decorreo electrónico que informó oportunamente.

4. CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS.

4.1. Solicitud de certificado.

4.1.1. Solicitantes de certificados.

Se describen las condiciones que deben cumplir los solicitantes de certificados.

4.1.2. Solicitud de certificado.

Las solicitudes sólo podrán ser iniciadas por el solicitante, en elcaso de certificados de personas físicas, por el representante legal oapoderado con poder suficiente a dichos efectos, o por el Responsabledel Servicio, aplicación o sitio web, autorizado a tal fin, en el casode personas jurídicas.

Dicho solicitante debe presentar la documentación prevista en losapartados 3.2.2. Autenticación de la identidad de personas jurídicaspúblicas o privadas y 3.2.3. Autenticación de la identidad de personasfísicas, así como la constancia de C.U.I.T. o C.U.I.L. Deberá tambiéndemostrar la pertenencia a la comunidad de suscriptores prevista en elapartado 1.3.3. Suscriptores.

a) Solicitud de certificado de persona física

El proceso de solicitud de emisión de certificado debe ser iniciadoexclusivamente por el Solicitante, quien luego, debe acreditarfehacientemente su identidad según se indica en “3.2.3. Autenticaciónde la identidad de Personas Físicas”.

Para poder efectuar la Solicitud de un certificado, el Solicitante debe:

• Contar con la clave de su organización para acceder a la aplicacióndel Certificador. El Solicitante deberá darse de alta en el sistema desu organización y registrarse. Si ya se encontrase registrado deberáingresar su clave y contraseña en el sitio de su organización yseleccionar la pestaña “Solicitud de certificado” para ingresar alportal del Suscriptor.

• Contar con su dirección de correo electrónico e informarla a losfines de ser notificado en el proceso de solicitud y emisión de sucertificado.

• Cumplir con los requisitos mínimos de configuración de hardware ysoftware detallados en la “Guía del Solicitante” que se encuentra en:

http://www.encodeac.com.ar/firma-digital/guiadelsolicitante.html

• En caso de contar el Solicitante con un dispositivo criptográficopropio, de los modelos homologados por el Certificador, deberáconectarlo previo al inicio de la sesión.

• La aplicación mostrará el formulario de Solicitud de persona físicacon los datos que tuviere almacenados del Solicitante, en caso de quealguno de los datos estuviera desactualizado, hubiera cambiado o fueraincorrecto, deberá ser modificado por el Solicitante en este mismoformulario. Completados los datos de la Solicitud, el Solicitantedeberá confirmarlos.

• El Solicitante procederá a elegir libremente para realizar suidentificación, seleccionando entre la Autoridad de Registro Central ouna de las Autoridades de Registro Delegadas de ENCODE S.A.

• Habiendo confirmado los datos de la solicitud y elegido donderealizar la identificación, como medida de seguridad, se envía lasolicitud al correo electrónico del titular declarado en la misma,solicitando la confirmación.

• Únicamente al ser confirmada la recepción del correo electrónico, laaplicación procederá a solicitar la elección del proveedorcriptográfico con el que se generará el par de claves criptográficasasimétricas.

• Se realiza la generación del par de claves criptográficas asimétricasy el requerimiento de certificado digital en formato PKCS#10. Si elSolicitante posee un dispositivo criptográfico podrá realizar lageneración en el mismo. En caso contrario, la generación se hará porsoftware.

• Generadas las claves, la aplicación del Certificador valida elrequerimiento PKCS#10 y genera el PIN de revocación del certificado yenvía un nuevo correo electrónico al Solicitante, en la dirección porél informada en su Solicitud.

• El correo incluye: la Solicitud con el resumen criptográfico (huellaMD5), los datos de la Autoridad de Registro con los documentos apresentar ante la misma y su PIN de revocación. Asimismo, en los casosque corresponda se le informará importe y formas de pago disponibles.

b) Solicitud de certificado de persona jurídica

El proceso de solicitud de emisión de certificado debe ser iniciadoexclusivamente por el responsable autorizado de la persona jurídicaSolicitante, quien luego deberá acreditar fehacientemente su identidadsegún se indica en “3.2.2. Autenticación de la identidad de PersonasJurídicas Públicas o Privadas”.

Para poder efectuar la solicitud de un certificado, el Solicitante debe:

• El Solicitante debe estar registrado en el sistema de suorganización. Deberá ingresar con su clave y su contraseña, yseleccionar la opción “Solicitud de Certificado” para ingresar a laaplicación del Certificador.

• Contar con su dirección de correo electrónico e informarla a losfines de ser notificado en el proceso de solicitud y emisión de sucertificado.

• Cumplir con los requisitos mínimos de configuración de hardware ysoftware detallados en la “Guía del Solicitante” que se encuentra en:

http://www.encodeac.com.ar/firma-digital/guiadelsolicitante.html

• El proceso de solicitud podrá ser iniciado solamente por elresponsable autorizado de la persona jurídica a favor de la cual seemitirá el certificado.

• La aplicación del Certificador verifica que la estación de trabajodel Solicitante cumple con los requerimientos técnicos mínimos. En casode no cumplimentar los requerimientos técnicos mínimos el sistema leindicará las actualizaciones necesarias para solucionar dichosinconvenientes técnicos y de persistir los mismos deberá dirigirse a laAutoridad de Registro donde se le proporcionará un equipo preparadopara que pueda realizar desde el mismo la suscripción utilizando undispositivo criptográfico propio para generación y el almacenamiento desu par de claves, y en ningún caso existirá contacto de la AR o AC deENCODE S.A. con la clave privada del solicitante.

• En caso de contar el Solicitante con un dispositivo criptográfico propio, deberá conectarlo previo al inicio de la sesión.

• La aplicación le presenta la pantalla con el formulario de Solicitudde certificado de Persona Jurídica. La aplicación le traerá los datosque tuviere almacenados la organización vinculada, en relación a lapersona jurídica a favor de la cual se emitirá el certificadorequerido, debiendo el solicitante proceder a su confirmación. En casode que alguno de los datos registrados en la organización estuvieradesactualizado, hubiera cambiado o fuera incorrecto, deberá sermodificado por el solicitante en este mismo formulario luego de lo cualconfirmará los mismos.

• A continuación le solicita todos los datos del Solicitante en su calidad de responsable autorizado de la persona jurídica.

• Completada la Solicitud, el Solicitante deberá confirmar todos los datos presentes en la misma.

• El Solicitante procederá a elegir libremente para realizar suidentificación, seleccionando entre la Autoridad de Registro Central ouna de las Autoridades de Registro Delegadas de ENCODE S.A.

• Habiendo confirmado los datos de la Solicitud y elegido el lugar parala identificación, como medida de seguridad, se la envía al correoelectrónico declarado en la solicitud, solicitando la confirmación.

• Únicamente al ser confirmada la recepción del correo electrónico laaplicación procederá a solicitar la elección del proveedorcriptográfico con el que se generara el par de claves criptográficasasimétricas.

• Se realiza la generación del par de claves criptográficas asimétricasy el requerimiento de certificado digital en formato PKCS#10. Si elSolicitante posee un dispositivo criptográfico podrá realizar lageneración en el mismo. En caso contrario la generación se hará porsoftware.

• Generadas las claves, la aplicación del Certificador valida elrequerimiento PKCS#10 y genera el PIN de revocación del certificado yenvía un nuevo correo electrónico al Solicitante, en la dirección porél informada en su Solicitud.

• El correo incluye: la Solicitud con el resumen criptográfico (huellaMD5), los datos de la ubicación de la identificación con los documentosa presentar ante la misma y su PIN de revocación. Asimismo, se leinformará importe y formas de pago disponibles.

C) Solicitud de certificados de sitio seguro o de aplicación

El proceso de solicitud de emisión de certificado debe ser iniciadoexclusivamente por el responsable autorizado de la persona jurídicasolicitante, quien luego deberá acreditar fehacientemente su identidadsegún se indica en “3.2.2. Autenticación de la identidad de PersonasJurídicas Públicas o Privadas”.

Para poder efectuar la solicitud de un certificado, el Solicitante DEBE:

• Completar el Formulario de Solicitud del certificado a través delportal de suscriptores y selecciona la opción de “Certificados SSL”para sitio seguro o “Certificados de aplicaciones” para aplicación.

• Contar con una dirección de correo electrónico e informarla a losfines de ser notificado en el proceso de solicitud y emisión de sucertificado.

• Cumplir con los requisitos mínimos de configuración de hardware ysoftware detallados en la “Guía del Solicitante” que se encuentra en:

http://www.encodeac.com.ar/firma-digital/guiadelsolicitante.html

• El proceso de solicitud podrá ser iniciado solamente por elresponsable autorizado de la persona jurídica, titular del sitio seguroo aplicación a favor de la cual se emitirá el certificado.

• La aplicación del Certificador Licenciado verifica que la estación detrabajo del solicitante cumple con los requerimientos técnicos mínimos.En caso de no cumplimentar los requerimientos técnicos mínimos elsistema le indicará las actualizaciones necesarias para solucionardichos inconvenientes técnicos y de persistir los mismos deberádirigirse a la Autoridad de Registro donde se le proporcionará unequipo preparado para que pueda realizar desde el mismo la suscripciónutilizando un dispositivo criptográfico propio para generación y elalmacenamiento de su par de claves, y en ningún caso existirá contactode la AR o AC de ENCODE S.A. con la clave privada del solicitante.

• La aplicación le presenta la pantalla con el formulario de Solicitudde Certificado. A continuación le solicita todos los datos delSolicitante en su calidad de responsable autorizado de la personajurídica.

• Completada la Solicitud, el Solicitante deberá confirmar todos los datos presentes en la misma.

• El Solicitante procederá a elegir libremente para realizar suidentificación, seleccionando entre la Autoridad de Registro Central ouna de las Autoridades de Registro Delegadas de ENCODE S.A.

• Habiendo confirmado los datos de la Solicitud y elegido el lugar parala identificación, como medida de seguridad, se le envía al correoelectrónico declarado en la solicitud, solicitando la confirmación.

• Únicamente al ser confirmada la recepción del correo electrónico laaplicación procederá a solicitar la elección del proveedorcriptográfico con el que se generara el par de claves criptográficasasimétricas.

• Se realiza la generación del par de claves criptográficas asimétricasy el requerimiento de certificado digital en formato PKCS#10. Si elSolicitante posee un dispositivo criptográfico podrá realizar lageneración en el mismo. En caso contrario la generación se hará porsoftware.

• Generadas las claves, la aplicación del Certificador valida elrequerimiento PKCS#10 y genera el PIN de revocación del certificado yenvía un nuevo correo electrónico al Solicitante, en la dirección porél informada en su Solicitud.

• El correo incluye: la Solicitud con el resumen criptográfico (huellaMD5), los datos de la ubicación de la identificación con los documentosa presentar ante la misma y su PIN de revocación. Asimismo, se leinformará importe y formas de pago disponibles.

4.2. Procesamiento de la solicitud del certificado.

En esta sección debe incluirse UNA (1) descripción de las condiciones yprocedimientos utilizados para aceptar o rechazar la solicitud de uncertificado.

Se indicará los plazos aplicables para la aceptación o rechazo de unasolicitud, así como toda la información relativa a la tramitación de sucertificado, de acuerdo al inciso h) del artículo 21 de la Ley N°25.506.

a) Solicitud de certificado de persona física

• Cumpliendo el Solicitante con presentarse en la AR elegida, laaprobación de la Solicitud de certificado digital estará sujeta acubrir los requerimientos para la verificación de la identidad delSolicitante y los requisitos específicos en relación con lascaracterísticas del certificado digital solicitado.

• Si la Solicitud es rechazada se le informa al Solicitante en su dirección de correo electrónico.

• En caso de aprobar la solicitud, el Oficial de Registro, firmará lamisma con su certificado habilitado en la aplicación de la AR.

• Finalmente, en caso de aprobación de la Solicitud, la aplicaciónenviará un mail al Solicitante a los fines de hacerle saber que elcertificado está listo para su descarga e instalación.

• El Oficial de Registro arma la carpeta de respaldo de laidentificación de la persona física Solicitante. Esta contiene laSolicitud de Certificado, los duplicados de todos los documentospresentados en un todo de acuerdo con lo especificado en la “Guía delSolicitante” y el “Acuerdo con Suscriptores” firmado.

b) Solicitud de certificado de persona jurídica

• La aprobación de la solicitud de certificado digital estará sujeta alcumplimiento de los requerimientos para la verificación de la identidaddel Solicitante y al cumplimiento de los requisitos específicos enrelación a las características del certificado digital solicitado.

• Si la Solicitud es rechazada se le informa al Solicitante en su dirección de correo electrónico.

• En caso de aprobar la solicitud, el Oficial de Registro, firmará lamisma con su certificado habilitado en la aplicación de la AR.

• Finalmente, en caso de aprobación de la Solicitud, la aplicaciónenviará un mail al Solicitante a los fines de hacerle saber que elcertificado está listo para su descarga e instalación.

• El Oficial de Registro arma la carpeta de respaldo de laidentificación de la persona jurídica Solicitante. Esta contiene laSolicitud de Certificado, los duplicados de todos los documentospresentados y el “Acuerdo con Suscriptores” firmado.

c) Solicitud de certificados de sitio seguro o de aplicación

• En primer lugar, solamente para certificados de sitio seguro, secomprobará la documentación mediante consulta al registro de dominiocorrespondiente, verificará que el dominio está registrado.

• La aprobación de la solicitud de certificado digital estará sujeta alcumplimiento de los requerimientos para la verificación de la identidaddel Solicitante y al cumplimiento de los requisitos específicos enrelación a las características del certificado digital solicitado.

• Si la Solicitud es rechazada se le informa al Solicitante en su dirección de correo electrónico.

• En caso de aprobar la solicitud, el Oficial de Registro, firmará lamisma con su certificado habilitado en la aplicación de la AR.

• Finalmente, en caso de aprobación de la Solicitud, la aplicaciónenviará un mail al Solicitante a los fines de hacerle saber que elcertificado está listo para su descarga e instalación.

• El Oficial de Registro arma la carpeta de respaldo de laidentificación de la persona jurídica Solicitante. Esta contiene laSolicitud de Certificado, los duplicados de todos los documentospresentados y el “Acuerdo con Suscriptores” firmado.

4.3. Emisión del certificado.

4.3.1. Proceso de emisión del certificado.

Cumplidos los recaudos del proceso de identificación y autenticación deacuerdo con esta Política, y una vez aprobada la Solicitud por laAutoridad de Registro, la Autoridad Certificante ENCODESIN emite elcorrespondiente certificado, firmándolo digitalmente con su claveprivada.

En el mismo sentido, se emitirá un certificado ante una solicitud de renovación.

4.3.2. Notificación de emisión.

Estos datos se incluirán en el formulario del Anexo I. El sistema poneel certificado en el Portal del Suscriptor, a disposición de su titulary le comunica esa disponibilidad por correo electrónico. El Portal delSuscriptor se encuentra en:

http://www.encodeac.com.ar/firma-digital/portal-suscriptor.html

En este sitio web cada Solicitante puede acceder únicamente a su propia información.

4.4. Aceptación del certificado.

Una vez notificado de la emisión de un certificado a su nombre, elSuscriptor o bien su responsable autorizado en caso de tratarse decertificados de personas jurídicas, de sitio seguro y de aplicaciones,deberá controlar su contenido y descargar el certificado desde elPortal del Suscriptor.

En caso de que existiera algún error u omisión en los datos delsuscriptor contenidos en el certificado, deberá revocarlo con su PIN derevocación desde el Portal del Suscriptor, como se indica en “4.9.3.-Procedimientos para la solicitud de revocación”.

En caso de formular un reclamo de no aceptación del certificado antesde descargar el mismo deberá realizarlo dentro de las 48 horas de lanotificación de ENCODE S.A. de la puesta a disposición en el portal delsuscriptor del certificado a su nombre. Ante la ausencia de reclamos ala Autoridad de Registro por parte del Suscriptor, en cuanto a losdatos del certificado, se acepta la exactitud del contenido delcertificado desde el momento de su notificación y el Suscriptor asumela totalidad de las obligaciones y responsabilidades establecidas poresta Política Única de Certificación.

4.5. Uso del par de claves y del certificado.

4.5.1. Uso de la clave privada y del certificado por parte del suscriptor.

Según lo establecido en la Ley N° 25.506, en su artículo 25, el suscriptor debe:

a) Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación;

b) Utilizar UN (1) dispositivo de creación de firma digital técnicamente confiable;

c) Solicitar la revocación de su certificado al certificador antecualquier circunstancia que pueda haber comprometido la privacidad desus datos de creación de firma;

d) Informar sin demora al certificador el cambio de alguno de los datoscontenidos en el certificado digital que hubiera sido objeto deverificación.

De acuerdo a lo establecido en la presente Decisión Administrativa:

• Proveer toda la información que le sea requerida a los fines de la emisión del certificado de modo completo y preciso.

• Utilizar los certificados de acuerdo a los términos y condiciones establecidos en la presente Política de Certificación.

• Tomar debido conocimiento, a través del procedimiento previsto encada caso, del contenido de la Política de Certificación, del Manual deProcedimientos, del Acuerdo con Suscriptores y de cualquier otrodocumento aplicable.

4.5.2. Uso de la clave pública y del certificado por parte Terceros Usuarios.

Los Terceros Usuarios deben:

a) Conocer los alcances de la presente Política Única de Certificación;

b) Verificar la validez del certificado digital.

4.6. Renovación del certificado sin generación de un nuevo para de claves.

Se aplica el punto 3.3.2.- Generación de UN (1) certificado con el mismo par de claves.

4.7. Renovación del certificado con generación de un nuevo para de claves.

En el caso de certificados digitales de Personas Físicas, la renovacióndel certificado posterior a su revocación o luego de su expiraciónrequiere por parte de suscriptor el cumplimiento de los procedimientosprevistos en el punto 3.2.3. Autenticación de la identidad de PersonasFísicas.

Si la solicitud de UN (1) nuevo certificado se realiza antes de laexpiración del anterior, no habiendo sido este revocado, no se exigirála presencia física, debiendo el solicitante remitir la constanciafirmada digitalmente del inicio del trámite de renovación.

Para los certificados de aplicaciones, incluyendo los de servidores,los responsables deben tramitar UN (1) nuevo certificado en todos loscasos, cumpliendo los casos requeridos en el apartado 3.2.2.Autenticación de la identidad de Personas Jurídicas Públicas o Privadas.

4.8. Modificación del certificado.

El suscriptor se encuentra obligado a notificar al certificadorlicenciado cualquier cambio en alguno de los datos contenidos en elcertificado digital, que hubiera sido objeto de verificación, deacuerdo a lo dispuesto en el inciso d) del artículo 25 de la Ley N°25.506. En cualquier caso procede la revocación de dicho certificado yde ser requerido, la solicitud de uno nuevo.

4.9. Suspensión y Revocación de Certificados.

Los certificados serán revocados de manera oportuna y sobre la base de UNA (1) solicitud de revocación de certificado validada.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.1. Causas de revocación.

El Certificador procede a revocar los certificados digitales que hubiera emitido en los siguientes casos:

• A solicitud del titular del certificado digital o del responsableautorizado para el caso de los certificados de persona jurídica oaplicación (Nota para el certificador: se deberá indicar lo quecorresponda)

• Si determinara que el certificado fue emitido en base a informaciónfalsa, que al momento de la emisión hubiera sido objeto de verificación.

• Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros.

• Por Resolución Judicial o Acto Administrativo de Autoridad competente.

• Por Resolución de la Autoridad de Aplicación.

• Por fallecimiento del titular.

• Por declaración judicial de ausencia con presunción de fallecimiento del titular.

• Por declaración judicial de incapacidad del titular.

• Si se determina que la información contenida en el certificado ha dejado de ser válida.

• Cuando la clave privada asociada al certificado, o el medio en que seencuentre almacenada, se encuentren comprometidos o corran peligro deestarlo.

• Ante incumplimiento por parte del suscriptor de las obligaciones establecidas en el Acuerdo con Suscriptores.

• Si se determina que el certificado no fue emitido de acuerdo a loslineamientos de la Política de Certificación, del Manual deProcedimientos, de la Ley N° 25.506, el Decreto Reglamentario N°2628/02 y demás normativa sobre firma digital.

• Por revocación del certificado digital del Certificador.

El Certificador, de corresponder, revocará el certificado en un plazono superior a las VEINTICUATRO (24) horas de recibido el requerimientode revocación.

4.9.2. Autorizados a solicitar la revocación.

Se encuentran autorizados para solicitar la revocación de UN (1) certificado:

a) El suscriptor del certificado.

b) El responsable autorizado que efectuara el requerimiento, en el caso de certificados de persona jurídica o de aplicación.

c) El responsable autorizado por la Persona Jurídica que brinda elservicio o es titular del certificado o la aplicación, en el caso delos certificados de aplicación.

d) El responsable autorizado por la Persona Jurídica responsable del sitio web, en el caso de certificados de sitio seguro.

e) Aquellas personas habilitadas por el suscriptor del certificado atal fin, previa acreditación fehaciente de tal autorización.

f) El certificador o la Autoridad de registro operativamente vinculada.

g) El ente licenciante.

h) La autoridad judicial competente.

i) La Autoridad de Aplicación.

4.9.3. Procedimientos para la solicitud de revocación.

El certificador garantiza que:

a) Se identifica debidamente al solicitante de la revocación según se establece en el apartado 3.4.

b) Las solicitudes de revocación, así como toda acción efectuada por elcertificador o la autoridad de registro en el proceso, estándocumentadas y conservadas en sus archivos.

c) Se documentan y archivan las justificaciones de las revocaciones aprobadas.

d) Una vez efectuada la revocación, se actualiza el estado delcertificado en el repositorio y se incluye en la próxima lista decertificados revocados a ser emitida.

e) El suscriptor del certificado revocado es informado del cambio de estado de su certificado.

Deberán indicarse las vías de contacto disponibles para la realizaciónde la solicitud de revocación y para la comunicación del cambio deestado del certificado.

Los suscriptores podrán solicitar la revocación de su certificado ingresando a la aplicación del Certificador desde:

http://www.encodeac.com.ar/firma-digital/revocacion.htmI

Este sitio se encuentra disponible las 24 horas los 7 días de lasemana, durante todo el año, lo que permite servicios de revocación enhorarios no habituales de jornada laboral, como así también fines desemana y feriados.

Los suscriptores o sus responsables autorizados serán notificados ensus respectivas direcciones de correo electrónico del cumplimiento delproceso de revocación.

La revocación se reflejará en la próxima Lista de CertificadosRevocados, cuando sea generada de acuerdo con lo especificado en elpunto “4.9.7.- Frecuencia de emisión de lista de certificadosrevocados”.

4.9.4. Plazo para la solicitud de revocación.

El titular de un certificado deber requerir su revocación en formainmediata cuando se presente alguna de las circunstancias previstas enel apartado 4.9.1.

El servicio de recepción de solicitudes de revocación se encuentradisponible en forma permanente SIETE POR VEINTICUATRO (7x24) horascumpliendo con lo establecido en el artículo 34, inciso f) del DecretoN° 2628/02.

4.9.5. Plazo para el procesamiento de la solicitud de revocación.

El plazo entre la recepción de la solicitud y el cambio de lainformación de estado del certificado indicando que la revocación hasido puesta a disposición de los Terceros Usuarios, no superará enningún caso las VEINTICUATRO (24) horas.

4.9.6. Requisitos para la verificación de la lista de certificados revocados.

Los Terceros Usuarios deben validar el estado de los certificados,mediante el control de la lista de certificados revocados, a menos queutilicen otro sistema con características de seguridad y confiabilidadpor lo menos equivalentes.

La autenticidad y validez de las listas de certificados revocadostambién debe ser confirmada mediante la verificación de la firmadigital del certificador que la emite y de su período de validez.

El certificador cumple con lo establecido en el artículo 34, inciso g)del Decreto N° 2628/02 relativo al acceso al repositorio decertificados revocados y las obligaciones establecidas en la presenteDecisión Administrativa y sus correspondientes Anexos.

4.9.7. Frecuencia de emisión de listas de certificados revocados.

La Autoridad Certificante ENCODESIN genera y publica periódicamente unaúnica lista conteniendo todos los certificados revocados por ella, enforma acumulativa, en formato del CRL X.509 v2, sin superar lasveinticuatro (24) horas entre publicaciones.

4.9.8. Vigencia de la lista de certificados revocados.

La vigencia de cada lista de certificados revocados es de veinticuatro (24) horas.

4.9.9. Disponibilidad del servicio de consulta sobre revocación y de estado del certificado.

El certificador pone a disposición de los interesados la posibilidad deverificar el estado de un certificado por medio del acceso a la listade certificados revocados o de otros medios de verificación de estadoen línea.

Se informarán los detalles del servicio de consulta de la lista decertificados revocados. Si el certificador ofrece adicionalmente elservicio de verificación en línea del estado de certificados, deberáinformarlo.

El certificador debe poner a disposición de los terceros usuarios:

a) La información relativa a las características de los servicios de verificación de estado.

b) La disponibilidad de tales servicios y los procedimientos que se seguirán en caso de no disponibilidad.

c) Todas las características opcionales de tales servicios.

El único mecanismo válido para la verificación del estado de loscertificados es a través de las Listas de Certificados Revocados.

Todas las aplicaciones propias de ENCODE S.A. donde se utilizan loscertificados emitidos por la AC ENCODESIN realizan la consulta sobre lalista de Certificados Revocados, en forma automática.

4.9.10. Requisitos para la verificación en línea del estado de revocación.

Se establecerán los requisitos para la verificación en línea de lainformación de revocación de certificados por parte de los tercerosusuarios.

4.9.11. Otras formas disponibles para la divulgación de la revocación.

Se describirán, en caso de existir, otras formas utilizadas por elcertificador para divulgar la información sobre revocación decertificados.

Se establecerán los requisitos para la verificación en línea por partede los terceros usuarios, de las formas de divulgación de revocación decertificados previstas en el apartado anterior.

4.9.12. Requisitos específicos para casos de compromiso de claves.

En caso de compromiso de su clave privada, el titular del certificadocorrespondiente se encuentra obligado a comunicar inmediatamente dichacircunstancia al certificador mediante alguno de los mecanismosprevistos en el apartado 4.9.3. Procedimientos para la solicitud derevocación.

4.9.13. Causas de suspensión.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.14. Autorizados a solicitar la suspensión.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.15. Procedimientos para la solicitud de suspensión.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.9.16. Límites del periodo de suspensión de un certificado.

El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

4.10. Estado del certificado.

4.10.1. Características técnicas.

No aplicable.

4.10.2. Disponibilidad del servicio.

No aplicable.

4.10.3. Aspectos operativos.

No aplicable.

4.11. Desvinculación del suscriptor.

Una vez expirado el certificado o si este fuera revocado, de notramitar un nuevo certificado, su titular se considera desvinculado delos servicios del certificador.

De igual forma se producirá la desvinculación, ante el cese de las operaciones del certificador.

4.12. Recuperación y custodia de claves privadas.

El certificador licenciado no podrá bajo ninguna circunstancia realizarla recuperación o custodia de claves privadas de los titulares decertificados digitales, en virtud de lo dispuesto en el inciso b) delartículo 21 de la Ley N° 25.506. El suscriptor se encuentra obligado amantener el control exclusivo de su clave privada, no compartirla eimpedir su divulgación, de acuerdo a lo dispuesto en el inciso a) delartículo 15 de la ley antes mencionada.

5. CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN.

Se describen a continuación los procedimientos referidos a loscontroles de seguridad física, de gestión y operativos implementadospor el certificador. La descripción detallada se efectuará en el Plande Seguridad.

5.1. Controles de seguridad física.

Se cuenta con controles de seguridad relativos a:

a) Construcción y ubicación de instalaciones

b) Niveles de acceso físico.

c) Comunicaciones, energía y ambientación.

d) Exposición al agua.

e) Prevención y protección contra incendios.

f) Medios de almacenamiento.

g) Disposición de material de descarte.

h) Instalaciones de seguridad externas.

5.2. Controles de Gestión.

Se cuenta con controles de seguridad relativos a:

a) Definición de roles afectados al proceso de certificación.

b) Número de personas requeridas por función.

c) Identificación y autenticación para cada rol.

d) Separación de funciones.

5.3. Controles de seguridad del personal.

Se cuenta con controles de seguridad relativos a:

a) Calificaciones, experiencia e idoneidad del personal, tanto deaquellos que cumplen funciones críticas como de aquellos que cumplenfunciones administrativas, seguridad, limpieza, etcétera.

b) Antecedentes laborales.

c) Entrenamiento y capacitación inicial.

d) Frecuencia de procesos de actualización técnica.

e) Frecuencia de rotación de cargos.

f) Sanciones a aplicar por acciones no autorizadas.

g) Requisitos para contratación de personal.

h) Documentación provista al personal, incluidas tarjetas y otros elementos de identificación personal.

5.4. Procedimientos de Auditoría de Seguridad.

Se mantienen políticas de registro de eventos, cuyos procedimientosdetallados serán desarrollados en el Manual de Procedimientos.

Se cuenta con procedimientos de auditoría de seguridad sobre los siguientes aspectos:

a) Tipo de eventos registrados. Debe respetarse lo establecido en el Anexo II Sección 3.

b) Frecuencia de procesamiento de registros.

c) Período de guarda de los registros. Debe respetarse lo establecidoen el inciso i) del artículo 21 de la Ley N° 25.506 respecto a loscertificados emitidos.

d) Medidas de protección de los registros, incluyendo privilegios de acceso.

e) Procedimientos de resguardo de los registros.

f) Sistemas de recolección y análisis de registros (internos vs. externos).

g) Notificaciones del sistema de recolección y análisis de registros.

h) Evaluación de vulnerabilidades.

5.5. Conservación de registros de eventos.

Se han desarrollado e implementado políticas de conservación deregistros, cuyos procedimientos detallados se encuentran desarrolladosen el Manual de Procedimientos. Los procedimientos cumplen con loestablecido por el artículo 21, inciso i) de la Ley N° 25.506 relativoal mantenimiento de la documentación de respaldo de los certificadosdigitales emitidos.

Se respeta lo establecido en el Anexo II Sección 3 respecto del registro de eventos.

Existen procedimientos de conservación y guarda de registros en lossiguientes aspectos, que se encuentran detallados en el Manual deProcedimientos:

a) Tipo de registro archivado. Debe respetarse lo establecido en el Anexo II Sección 3.

b) Período de guarda de los registros.

c) Medidas de protección de los registros archivados, incluyendo privilegios de acceso.

d) Procedimientos de resguardo de los registros.

e) Requerimientos para los registros de certificados de fecha y hora.

f) Sistemas de recolección y análisis de registros (internos vs. externos).

g) Procedimientos para obtener y verificar la información archivada.

5.6. Cambio de claves criptográficas.

Se incluirán los procedimientos a seguir para distribuir una nuevaclave pública a los usuarios de un certificador luego de un cambio declaves. Dichos procedimientos pueden ser los mismos que fueronutilizados para distribuir la clave que se reemplaza. La nueva clavepuede ser incluida en un certificado firmado digitalmente con la claveque será reemplazada, salvo que esta última esté comprometida.

Las claves criptográficas de la Autoridad Certificante ENCODESIN songeneradas con motivo del licenciamiento de la presente Política Únicade Certificación y tendrán un tiempo operacional que coincide con eldescripto en los campos de “Válido Desde” y “Válido Hasta” de lasmismas.

El cambio del par de claves criptográficas de la Autoridad CertificanteENCODESIN, dará origen a la emisión de un nuevo certificado, por partede la Autoridad Certificante Raíz de la República Argentina operada porla Autoridad de Aplicación.

La publicación de la nueva clave pública de la Autoridad CertificanteENCODESIN se realiza en sus servidores, y se puede encontrar en elsitio web identificado como:

http://www.encodeac.com.ar/firma-digital

Se mantiene el repositorio en línea accesible durante las 24 horas, los 7 días de la semana.

Un año antes del vencimiento previsto del certificado de la AutoridadCertificante ENCODESIN se solicitará la renovación de la licencia de laPolítica de Única de Certificación y el certificado correspondiente.

5.7. Plan de respuesta a incidentes y recuperación ante desastres.

Se describen los requerimientos relativos a la recuperación de losrecursos del certificador en caso de falla o desastre. Estosrequerimientos serán desarrollados en el Plan de Contingencia.

Se han desarrollado procedimientos referidos a:

a) Identificación, registro, reporte y gestión de incidentes.

b) Recuperación ante falla inesperada o sospecha de falla de componentes de hardware, software y datos.

c) Recuperación ante compromiso o sospecha de compromiso de la clave privada del certificador.

d) Continuidad de las operaciones en un entorno seguro luego de desastres.

Los procedimientos cumplen con lo establecido por el artículo 33 delDecreto N° 2628/02 en lo relativo a los servicios de infraestructuratecnológica prestados por un tercero.

5.8. Plan de Cese de Actividades.

Se describen los requisitos y procedimientos a ser adoptados en caso definalización de servicios del certificador o de una o varias de susautoridades certificantes o de registro. Estos requerimientos sondesarrollados en su Plan de Cese de Actividades.

Se han implementado procedimientos referidos a:

a) Notificación al ente licenciante, suscriptores, terceros usuarios, otros certificadores y otros usuarios vinculados.

b) Revocación del certificado del certificador y de los certificados emitidos.

c) Transferencia de la custodia de archivos y documentación e identificación de su custodio.

El responsable de la custodia de archivos y documentación cumple conidénticas exigencias de seguridad que las previstas para elcertificador o su autoridad certificante o de registro que cesó.

Se contempla lo establecido por el artículo 22 de la Ley N° 25.506 deFirma Digital en lo relativo a las causales de caducidad de lalicencia. Asimismo, los procedimientos cumplen lo dispuesto por elartículo 33 del Decreto N° 2628/02, reglamentario de la Ley de FirmaDigital, en lo relativo a los servicios de infraestructura tecnológicaprestados por un tercero y las obligaciones establecidas en la presentedecisión administrativa y sus correspondientes Anexos.

6. CONTROLES DE SEGURIDAD TÉCNICA.

Se describen las medidas de seguridad implementadas para proteger lasclaves criptográficas y otros parámetros de seguridad críticos. Ademásse incluyen los controles técnicos que se implementarán sobre lasfunciones operativas del certificador, Autoridades de Registro,repositorios, suscriptores, etcétera.

6.1. Generación e instalación del par de claves criptográficas.

La generación e instalación del par de claves deben ser consideradasdesde la perspectiva de las autoridades certificantes del certificador,de los repositorios, de las autoridades de registro y de lossuscriptores.

6.1.1. Generación del par de claves criptográficas.

La clave privada de la Autoridad Certificante ENCODESIN es generada enambientes seguros, por personal autorizado, sobre dispositivoscriptográficos homologados FIPS 140-2 Nivel 3. Los propósitos para loscuales pueden ser utilizadas las claves y restricciones para dichautilización se encuentran descriptas en el “Acuerdo con el Suscriptor”.

La Autoridad Certificante ENCODESIN genera sus claves mediante el algoritmo RSA con un tamaño de 4096 bits.

La clave privada de las Autoridades de Registro es generada yalmacenada por sus responsables, utilizando un dispositivocriptográfico homologado por ENCODE S.A.

Las Autoridades de Registro generan sus claves mediante el algoritmo RSA con un tamaño mínimo de 2048 bits.

En el caso de los solicitantes y suscriptores, las claves son generadasy almacenadas por ellos mismos mediante el algoritmo RSA con un tamañomínimo de 2048 bits.

Las personas físicas podrán hacerlo a su elección por “software” o por“hardware”. En caso de elección por software las claves deben serresguardadas con un PIN de seguridad para su acceso. En el caso deelección por hardware, el dispositivo criptográfico deberá ser provistopor el suscriptor y debe estar dentro de los modelos especificados enla lista de los dispositivos homologados por ENCODE S.A.

Las personas jurídicas podrán hacerlo a su elección por “software” opor “hardware” provisto por el suscriptor, sobre dispositivoscriptográficos, deben utilizar los homologados por ENCODE S.A.

Las claves de los suscriptores que cuenten con dispositivoscriptográficos externos removibles deberán estar protegidas por tresfactores de seguridad: 1) mediante la posesión del dispositivo por elsuscriptor, 2) mediante una contraseña de acceso al dispositivocriptográfico definida por el propio suscriptor, 3) la contraseña de laclave privada definida por el propio suscriptor.

6.1.2. Entrega de la clave privada.

Las claves privadas de los suscriptores y del personal de lasAutoridades de Registro son generadas por ellos mismos durante elproceso de Solicitud de Certificado, absteniéndose ENCODE S.A. degenerar, exigir o por cualquier otro medio tomar conocimiento o accedera los datos de creación de firma.

6.1.3. Entrega de la clave pública al emisor del certificado.

El Solicitante entrega la clave pública a la Autoridad Certificante ENCODESIN durante el proceso de Solicitud de Certificado.

Los procesos de solicitud utilizan el formato PKCS#10 para implementarla “prueba de posesión”, remitiendo los datos del Solicitante y suclave pública dentro de una estructura firmada con su clave privada.

El Solicitante debe probar su identidad y demostrar que la solicitud lepertenece, presentándose a la Autoridad de Registro con la Solicitud enla cual se identifica el resumen criptográfico (huella MD5).

6.1.4. Disponibilidad de la clave pública del certificador.

Los certificados de la Autoridad Certificante ENCODESIN y elcertificado de la Autoridad Certificante Raíz de la República Argentina(ACR RA) se encuentran disponibles en un repositorio en línea de accesopúblico a través de Internet en la siguiente dirección:

http://www.encodeac.com.ar/firma-digital

La verificación de la validez de los certificados de los suscriptoresde la presente Política, se realiza automáticamente a través delsiguiente procedimiento:

I) Verificando la cadena de confianza del certificado del suscriptor,que es una cadena de firmas y de certificados, que se realiza de lasiguiente manera:

• Verificar el certificado con que se firma al certificado del suscriptor: Certificado de la Autoridad Certificante ENCODESIN, y

• Verificar el certificado con que se firma al certificado de laAutoridad Certificante ENCODESIN: Certificado de la AutoridadCertificante Raíz de la República Argentina.

II) Verificando la vigencia y el estado de los certificados, a travésde la consulta a las CRLs emitidas por la Autoridad CertificanteENCODESIN y por la Autoridad Certificante Raíz.

6.1.5. Tamaño de claves.

La Autoridad Certificante ENCODESIN utiliza claves RSA con un tamaño de4096 bits. Las Autoridades de Registro utilizan claves RSA con untamaño mínimo de 2048 bits. Los suscriptores de certificados utilizanclaves RSA con un tamaño mínimo de 2048 bits.

6.1.6. Generación de parámetros de claves asimétricas.

No se establecen condiciones especiales para la generación deparámetros de claves asimétricas más allá de los que corresponden conel algoritmo de generación RSA según su especificación técnica.

6.1.7. Propósitos de utilización de claves (campo “KeyUsage” en certificados X.509 v.3).

Las claves criptográficas de los suscriptores de los certificadospueden ser utilizados para firmar digitalmente, para funciones deautenticación y para cifrado.

6.2. Protección de la clave privada y controles sobre los dispositivoscriptográficos. La protección de la clave privada, considerada en estepunto, se aplica para la Autoridad Certificante ENCODESIN, lasAutoridades de Registro y los suscriptores.

6.2.1. Controles y estándares para dispositivos criptográficos.

La clave privada de la Autoridad Certificante ENCODESIN es generada yalmacenada sobre un dispositivo criptográfico diseñado para tal fin quecumple con las normas FIPS 140-2 nivel 3.

Las claves privadas de las Autoridades de Registro son generadas yalmacenadas sobre un dispositivo criptográfico diseñado para tal finque cumple con las normas FIPS 140-2 nivel 2.

La clave privada del suscriptor persona física es generada yalmacenada, a elección del Solicitante, 1) por “software”, o 2) por“hardware” sobre dispositivos criptográficos de propiedad delsuscriptor y el modelo del dispositivo debe ser alguno de losespecificados en la lista de dispositivos homologados por ENCODE S.A.

La clave privada del suscriptor persona jurídica, sitio seguro yaplicación es generada y almacenada, a elección del Solicitante, 1) por“software”, o 2) por “hardware” sobre dispositivos criptográficos depropiedad del suscriptor que cumplen con las normas FIPS 140-2 nivel 2.El modelo del dispositivo debe ser alguno de los especificados en lalista de dispositivos homologados por ENCODE S.A.

6.2.2. Control “M de N” de clave privada.

La clave privada de la Autoridad Certificante es activadaexclusivamente en las instalaciones de ENCODE S.A. o en su sitioalternativo de contingencia, dentro del nivel de seguridad asignado alas operaciones críticas de la Autoridad Certificante ENCODESIN. Parasu activación deben estar presentes, personal autorizado en un número M(3), de N (10) posibles.

Las Autoridades de Registro y los suscriptores de certificados condispositivos criptográficos propios tienen acceso a su clave privadapersonal a través de una contraseña de acceso al dispositivocriptográfico y la contraseña de la clave privada.

6.2.3. Recuperación de clave privada.

En caso de necesidad, la Autoridad Certificante ENCODESIN prevémecanismos de recuperación de su clave privada a partir de las copiasde respaldo. Esta recuperación sólo puede ser realizada por personalautorizado, sobre dispositivos criptográficos seguros de los quedispone ENCODE S.A. y exclusivamente en los niveles de seguridad de laAutoridad Certificante ENCODESIN en su sitio principal o en su sitioalternativo de contingencia.

No se implementan mecanismos de resguardo y recuperación de la claveprivada de la Autoridad de Registro, ni de los suscriptores. En caso decompromiso de la clave privada, éstos deberán proceder a la revocacióndel certificado y tramitación de una nueva solicitud de emisión decertificado si así correspondiere.

6.2.4. Copia de seguridad de clave privada.

Copias de la clave privada de la Autoridad Certificante ENCODESIN sonrealizadas inmediatamente después de su generación, por personalautorizado de ENCODE S.A. y almacenadas en dispositivos criptográficosseguros homologados FIPS 140-2 nivel 3. Estos dispositivos sonresguardados en un lugar de acceso restringido.

No se implementan mecanismos de copias de resguardo de la clave privada de las Autoridades de Registro ni de los suscriptores.

6.2.5. Archivo de clave privada.

Las copias de resguardo de la clave privada de la AutoridadCertificante ENCODESIN son conservadas en lugares seguros, al igual quesus elementos de activación, bajo los niveles de seguridad requeridospor la normativa vigente.

6.2.6. Transferencia de claves privadas en dispositivos criptográficos.

Las copias de resguardo de la clave privada de la AutoridadCertificante ENCODESIN están soportadas en dispositivos criptográficoshomologados FIPS 140-2 nivel 3.

6.2.7. Almacenamiento de claves privadas en dispositivos criptográficos.

Las claves privadas de las Autoridades de Registro son generadas yalmacenadas en dispositivos criptográficos homologados FIPS 140-2 nivel2 y no permiten su exportación.

Las claves privadas de los suscriptores que tengan dispositivoscriptográficos propios son generadas y almacenadas en esosdispositivos, estarán homologados como FIPS 140-2 nivel 2 y no permitensu exportación.

6.2.8. Método de activación de claves privadas.

Para la activación de la clave privada de la Autoridad CertificanteENCODESIN se aplica el control M de N. Todos los responsablesnecesarios para la activación deberán identificarse frente al sistemasegún corresponda al rol asignado y en un orden determinado por mediode distintos mecanismos de autenticación, a saber: llave de seguridad,claves secretas o ambos.

Las Autoridades de Registro y los suscriptores de certificados que usendispositivos criptográficos tienen acceso a su clave privada personal através de una contraseña de acceso al dispositivo criptográfico y lacontraseña de la clave privada.

6.2.9. Método de desactivación de claves privadas.

La desactivación de la clave privada de la Autoridad CertificanteENCODESIN puede realizarse en esta implementación, desactivando lapartición que la contiene. Esta tarea requiere seguir un procedimientode excepción, el que debe estar debidamente autorizado por elResponsable de Firma Digital, quien debe, además, participar en laCeremonia de desactivación de la clave privada de la AC ENCODESIN.

6.2.10. Método de destrucción de claves privadas.

Una vez finalizada la vida útil de la clave privada de la AutoridadCertificante ENCODESIN, la partición del dispositivo criptográficocontenedor de esa clave privada será borrada e inicializada a cero.Esta tarea se realizará en el Sitio de Máxima Seguridad en unaCeremonia preparada a ese efecto, con personal autorizado y con losprocedimientos de seguridad establecidos.

Para el caso de que finalice la vida útil de la clave privada de unOficial de una Autoridad de Registro o de un suscriptor, por motivo derevocación o expiración del certificado asociado, y sin mediarrenovación, deberá ser eliminado el certificado asociado al par declaves correspondiente.

6.2.11. Requisitos de los dispositivos criptográficos.

La capacidad del módulo criptográfico de la Autoridad Certificante esexpresada en cumplimiento como mínimo del estándar FIPS 140-2 nivel 3.

La capacidad del módulo criptográfico de los suscriptores y Autoridadesde Registro es expresada en cumplimiento como mínimo del estándar FIPS140-2 nivel 2.

6.3. Otros aspectos de administración de claves.

6.3.1. Archivo permanente de la clave pública.

Los certificados emitidos a Suscriptores y a las Autoridades deRegistro, como así también el de la Autoridad Certificante ENCODESIN,son almacenados y publicados bajo un esquema de redundancia yrespaldados en forma periódica.

Todos los certificados son almacenados en soporte magnético, en formatoestándar bajo codificación internacional DER. Las políticas y controlesde seguridad implementados para recuperar la clave pública archivada,incluyendo el software y hardware, se hallan descriptos en el “Plan deContingencia”.

6.3.2. Período de uso de clave pública y privada.

Las claves privadas correspondientes a los certificados emitidos por elcertificador podrán ser utilizadas por los suscriptores únicamentedurante el período de validez de los certificados. Las correspondientesclaves públicas podrán ser utilizadas durante el período establecidopor las normas legales vigentes, a fin de posibilitar la verificaciónde las firmas generadas durante su período de validez, según seestablece en el apartado anterior.

6.4. Datos de activación.

Se entiende por datos de activación, a diferencia de las claves, a losvalores requeridos para la operatoria de los dispositivoscriptográficos y que necesitan estar protegidos.

Se establecen medidas suficientes de seguridad para proteger los datosde activación requeridos para la operación de los dispositivoscriptográficos de los usuarios de certificados.

6.4.1. Generación e instalación de datos de activación.

Los dispositivos criptográficos utilizados por las Autoridades deRegistro y los suscriptores que los posean, son inicializados por lossuscriptores, en caso de corresponder.

Como paso previo a la generación de la clave privada, las Autoridadesde Registro y los suscriptores deberán establecer una clave deseguridad de acceso sobre el dispositivo criptográfico denominadocontraseña y al momento de la generación, la contraseña de la claveprivada. La contraseña de acceso del dispositivo criptográfico y lacontraseña de la clave privada, son conocidas sólo por su titular, yasea una Autoridad de Registro o un suscriptor, con el propósito deproteger la clave privada e impedir el acceso por parte de terceros,incluida la Autoridad Certificante ENCODESIN.

La generación e instalación de los datos de activación de la claveprivada de la AC ENCODESIN se realiza durante la Ceremonia Inicial conla participación de los N posibles testigos del control M de N.

6.4.2. Protección de los datos de activación.

Las Autoridades de Registro y los Suscriptores son responsables de lacustodia de sus respectivos dispositivos criptográficos y de la nodivulgación de la contraseña de acceso del dispositivo criptográfico nide la contraseña de la clave privada.

Ni ENCODE S.A., ni la Autoridad de Registro Central, ni las Autoridadesde Registro Delegadas implementan mecanismos de respaldo de lascontraseñas de la clave privada ni de la contraseña de acceso deldispositivo criptográfico de Autoridades de Registro ni de Suscriptores.

Los datos de activación de la clave privada de la AC ENCODESIN estánprotegidos por mecanismos de seguridad implementados en el nivel 6 delSitio de Máxima Seguridad.

6.4.3. Otros aspectos referidos a los datos de activación.

Es responsabilidad de las Autoridades de Registro y de losSuscriptores, elegir contraseñas para sus claves privadas y contraseñasde acceso del dispositivo criptográfico que:

• Contengan como mínimo 8 símbolos, que incluyan letras mayúsculas, letras minúsculas y números; y

• No sean fácilmente deducibles por otros, evitando utilizar nombres,direcciones, números telefónicos y similares relacionados con elSuscriptor.

La contraseña de acceso del dispositivo criptográfico debe diferir de la contraseña de la clave privada.

6.5. Controles de seguridad informática.

6.5.1. Requisitos Técnicos específicos.

Se establecen los requisitos de seguridad referidos al equipamiento yal software del certificador, cuyo detalle se encuentra en el Manual deProcedimientos.

Dichos requisitos se vinculan con los siguientes aspectos:

a) Control de acceso a los servicios y roles afectados al proceso de certificación.

b) Separación de funciones entre los roles afectados al proceso de certificación.

c) Identificación y autenticación de los roles afectados al proceso de certificación.

d) Utilización de criptografía para las sesiones de comunicación y bases de datos.

e) Archivo de datos históricos y de auditoría del certificador y usuarios.

f) Registro de eventos de seguridad.

g) Prueba de seguridad relativa a servicios de certificación.

h) Mecanismos confiables para identificación de roles afectados al proceso de certificación.

i) Mecanismos de recuperación para claves y sistema de certificación.Estas funciones pueden ser provistas por el sistema operativo, o bien através de una combinación del sistema operativo, software decertificación y controles físicos.

6.5.2. Requisitos de seguridad computacional.

Los servidores que conforman la Autoridad Certificante ENCODESIN seencuentran alojados en el “Sitio de Máxima Seguridad” o SMS construidocon los estándares requeridos para este tipo de ambientes.

Las certificaciones del módulo criptográfico HSM son las siguientes:

• U/L 1950 & CSA C22.2 y en CSA C22.2

• FCC Part 15 - Clase B

• High Assurance HSM

• Common criteria EAL 4+

• FIPS 140-2 Nivel 3

6.6. Controles Técnicos del ciclo de vida de los sistemas

ENCODE S.A. mantiene el control de los equipos y de la documentación dela configuración del sistema, registrándose toda modificación oactualización a cualquiera de ellos.

El esquema de seguridad física del SMS de la Autoridad CertificanteENCODESIN previene que terceros no autorizados puedan ingresarindebidamente a sus instalaciones.

El control periódico de integridad del sistema de la AutoridadCertificante ENCODESIN, realizado por el servicio ENCODEMON, adviertesobre cualquier cambio realizado, lo identifica y permite comprobar suvalidez.

6.6.1. Controles de desarrollo de sistemas.

Los sistemas informáticos son homologados por personal técnico almomento de su implementación, para asegurar que los programas que seponen en producción respondan a las características de diseñodeclaradas por el proveedor y oportunamente aceptadas cuando fueronseleccionados.

ENCODE S.A. ha adoptado el modelo de la organización OWASP (Open WebApplication Security Project), como su estándar para la seguridad delos sistemas, que aplica tanto en los desarrollos que realiza como enla homologación del software adquirido y en las adaptaciones y elmantenimiento de aplicaciones.

6.6.2. Controles de gestión de seguridad.

Se documenta y controla la configuración del sistema, así como todamodificación o actualización, habiéndose implementado un método dedetección de modificaciones no autorizadas.

6.6.3. Controles de seguridad del ciclo de vida del software.

No es aplicable.

6.7. Controles de seguridad de red.

ENCODE S.A. posee un sistema de protección integral de sus activosinformáticos. La red de la Autoridad Certificante ENCODESIN estáaislada de otras redes y se encuentra delimitada por diversoscortafuegos (“firewalls”) que proveen el filtrado de los paquetes dedatos.

6.8. Certificación de fecha y hora.

El servicio de emisión de sellos de tiempo de la AC ENCODESIN estábasado en la especificación de los estándares RCF 3161 - “Internet X.509 Public Key Infrastructure, ETSI TS 102 023, Time-Stamp Protocol,Electronic Signatures and Infrastructures (ESI) Policy requirements fortime-stamping authorities, ETSI TS 101 861, “Time stamping profile” y asu especificación equivalente RFC 3628 - “Requirements fortime-stamping authorities”; y está sincronizado con la hora oficial dela República Argentina.

7. PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS.

Todos los certificados emitidos bajo la presente Política Unica deCertificación respetan la especificación ITU-T X.509 (ISO/IEC 9594-8)“Information Technology - The Directory: Public key and atributecertificate frameworks” adoptada como estándar tecnológico para laInfraestructura de Firma Digital de la República Argentina por lasDecisiones Administrativas N° 6/2007 y N° 927/2014.

7.1. Perfil del certificado.

Todos los certificados serán emitidos conforme con lo establecido en laespecificación ITU X.509 versión 3 o la que en su defecto determine elEnte Licenciante, y deben cumplir con las indicaciones establecidas enla sección “2 - Perfil de certificados digitales” del Anexo IV -Perfiles de los Certificados y de las Listas de Certificados Revocados.

El formato de los certificados digitales emitidos bajo esta políticacumple con los requerimientos de las Decisiones Administrativas N°6/2007 y N° 927/2014 de la Jefatura de Gabinete de Ministros y lasespecificaciones contenidas en RFC 3739 “Internet X.509 Public KeyInfrastructure Qualified Certificates Profile” y RFC 5280 “InternetX.509 Public Key Infrastructure Certificate and Certificate RevocationList (CRL) Profile”.Bajo esta Política Única de Certificación se emitirán 4 tipos de certificados para:

a) Persona Física

b) Persona Jurídica

c) Sitio seguro

d) Aplicación

a) Perfil del certificado para Persona Física

b) Perfil del certificado para Persona Jurídica

c) Perfil del certificado para Sitio seguro

d) Perfil del certificado para Aplicación

7.1.1. Número de versión.

Todos los certificados emitidos corresponder al estándar X.509 y contienen el valor 2 correspondiente a la versión 3.

7.1.2. Extensiones.

7.1.2.1 Key Usage. El “keyusage” indica el uso del certificado deacuerdo con el RFC 5280 “Internet X.509 Public Key InfrastructureCertificate and CRL Profile”. Es una EXTENSIÓN CRÍTICA.

7.1.2.2 Extensión Políticas de Certificación.

En la extensión de “certificatepolicies” (Politicas de Certificacion)debe detallar el nombre del dominio de la CA y el directorio creadopara el Repositorio de dicho documento. Es una EXTENSIÓN CRITICA.

Se incluye OID de la Política de Certificación. Ese OID es asignado porla Autoridad de Aplicación a solicitud del ente licenciante.

7.1.2.3 Nombre Alternativo del Sujeto.

La extensión “subjectAltName”, es una EXTENSIÓN NO CRITICA. En loscertificados de personas jurídicas públicas o privadas que noidentifiquen a un servicio se incluyen los datos identificatorios de lapersona física a cargo de la custodia de la clave privada del mismo.Adicionalmente, esta extensión “SubjectAlternativeName” permite asociaridentidades adicionales al suscriptor de un certificado. Las opcionesdefinidas incluyen una dirección del correo electrónico, un nombre DNS,una dirección IP y un identificador uniforme de recurso (URI).

Esta extensión debe utilizarse para consignar las direcciones de correoelectrónico de los suscriptores en lugar del atributo “email” del campo“subject”.

7.1.2.4 Restricciones Básicas (Basic Constraints).

La extensión “BasicConstraints” permite identificar si el suscriptor deun certificado es un certificador e indica la longitud máxima de lasrutas de certificación válidas que el certificado incluye. Estaextensión está presente en todos los certificados.

Los certificados de certificador deben contener el atributo “ca” con valor TRUE es una EXTENSIÓN CRITICA.

Para los certificados de usuarios finales deben dos contienen los atributos “ca” con valor FALSE y PathLenConstraint=Null.

7.1.2.5 Uso de Claves Extendido (Extended Key Usage).

La extensión permite configurar los propósitos de la clave. La extensión NO ES CRÍTICA.

Certificados para servicios de certificación digital de fecha y horadeben incluir el valor “id-kp-timeStamping” (1.3.6.1.5.5.7.3.8).

7.1.3. Identificadores de algoritmos.

El campo “signature” contiene el identificador de objeto (OID) delalgoritmo y, si fueran necesarios, los parámetros asociados usados porel certificador para firmar el certificado. Este identificador será delos definidos en el [RFC4055] para RSA, [RFC5480] para curvas elípticaso [RFC5758] para DSA y ECDSA.

7.1.4. Formatos de nombre.

Los formatos de nombres cumplen con lo establecido en el punto “3.1.2.Necesidad de Nombres Distintivos” de la Política Única de Certificaciónde ENCODE S.A.7.1.5. Restricciones de nombre.

Todos los nombres representados dentro de los certificados emitidosbajo la presente Política coinciden con “3.1.4. Reglas para lainterpretación de nombres” y “3.1.5. Unicidad de nombres” de laPolítica Única de Certificación de ENCODE S.A.

7.1.6. OID de la Política de Certificación.

El OID de la Política de Certificación que AC de ENCODE S.A. utilizapara la emisión de sus certificados. Ese OID es asignado por la OFICINANACIONAL DE TECNOLOGÍAS DE INFORMACIÓN de la SUBSECRETARÍA DETECNOLOGÍAS DE GESTIÓN de la SECRETARÍA DE GABINETE Y COORDINACIÓNADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS, a solicitud delente licenciante.

El campo “userNotice” incluye la leyenda “certificado emitido por un certificador licenciado en el marco de la Ley N° 25.506”.

La extensión “CertificatePolicies” incluye la información sobre laPolítica de Certificación necesaria para la validación del certificado.

Esta extensión está presente en todos los certificados y es una EXTENSION CRITICA.

7.1.7. Sintaxis y semántica de calificadores de Política.

El calificador de la política está incluido en la extensión de“certifícate policies” y contiene una referencia al URL con la Políticade Certificación aplicable

7.1.8. Semántica de procesamiento para extensiones críticas.

Sin estipulaciones.

7.2. Perfil de la lista de certificados revocados.

Las listas de certificados revocados correspondientes a la presentePolítica de Certificación serán emitidas conforme con lo establecido enla especificación ITU X.509 versión 2 o la que en su defecto, determineel Ente Licenciante, y cumplirán con las indicaciones establecidas enla sección “3 - Perfil de CRLs” del Anexo IV - Perfiles de losCertificados y de las Listas de Certificados Revocados.

imagen 10

7.2.1. Número de versión.

El campo “version” describe la versión de la CRL. Continen el valor 1 (correspondiente a Versión 2).

7.2.2. Extensiones de CRL (Lista de Certificados Revocados).

7.2.2.1 — Identificación de Clave de la Autoridad Certificante(Authority Key Identifier). La extensión “AuthorityKeyldentifier”proporciona un medio para identificar la clave pública que correspondea la clave privada utilizada para firmar una CRL.

Esta extensión está presente en todas las listas de revocación de certificados.

7.2.2.2 - Número de CRL (CRL Number).

La extensión “CRLNumber” contiene un número de secuencia creciente parauna CRL y emisor dado. Esta extensión permite que los usuariosdeterminen fácilmente cuándo una CRL particular reemplaza otra CRL.

Esta extensión se encuentra en todas las listas de revocación de certificados.

7.2.2.3 - Punto de Distribución del Emisor (Issuing Distribution Point).

La extensión “IssuingDistributionPoint” identifica el punto dedistribución y el alcance de una CRL particular. Esta extensión esCRITICA.

7.3. Perfil de la consulta en línea del estado del certificado.

No es aplicable.

7.3.1. Consultas OCSP.

No es aplicable.

7.2.2. Respuestas OCSP.

No es aplicable.

8. AUDITORIA DE CUMPLIMIENTO Y OTRAS EVALUACIONES.

El Ente Licenciante de la Infraestructura de Firma Digital de laRepública Argentina realiza auditorías ordinarias al Certificador, a la“Autoridad Certificante ENCODESIN” y a sus Autoridades de Registro, afin de verificar el cumplimiento de los requisitos de licenciamiento.

Esas auditorías tienen por objeto verificar el cumplimiento de losrequisitos exigidos para obtener y mantener la condición deCertificador Licenciado y la aplicación de las políticas yprocedimientos aprobados por el Ente Licenciante para la presentePolítica Unica de Certificación.

Los temas principales a evaluar en dichas auditorías son:

• Requisitos legales generales.

• Política Única de Certificación y Manual de Procedimientos de Certificación.

• Plan de Seguridad.

• Plan de Cese de Actividades.

• Plan de Contingencia.

• Plataforma Tecnológica.

• Ciclo de vida de las claves criptográficas del certificador.

• Ciclo de vida de los certificados de suscriptores.

• Estructura y contenido de los certificados y CRLs.

• Mecanismos de acceso a la documentación publicada, certificados y CRLs.

• Guía de instalación y funcionamiento de las Autoridades de Registro.

Por su parte, ENCODE S.A. realizará auditorías periódicas a lasAutoridades de Registro habilitadas, para verificar el cumplimiento delos requisitos de su habilitación, siendo los temas principales aevaluar:

• Lo establecido en el documento “Guía de instalación y funcionamiento de las Autoridades de Registro”.

• Las políticas y procedimientos aprobados por el Ente Licenciante para la presente Política Única de Certificación.

En caso de producirse observaciones en las auditorías realizadas, luegode haber sido debidamente notificadas a ENCODE S.A., ésta tomará lasmedidas correctivas de carácter legal y técnico que amerite el caso.

En cumplimiento del artículo 21 Inciso K de la Ley N° 25.506, lainformación relevante de los informes de la última auditoría realizadapor la Ente Licenciante, es publicada en los sitios mencionados en elapartado “2.2 - Publicación de información del certificador”.

Así mismo ENCODE SA realizará auditorías periódicas sobre los procesosde la propia AC para verificar el permanente cumplimiento de losrequisitos de su habilitación.

9. ASPECTOS LEGALES Y ADMINISTRATIVOS.

9.1. Aranceles.

Los certificados digitales emitidos bajo la presente política sonexpedidos a favor de personas físicas, de personas jurídicas, sitiosseguros y aplicaciones a título oneroso, aplicándose arancelesdiferenciales asociados conforme al tipo de certificado:

Los aranceles serán publicados en el sitio web ENCODE S.A. al que se accede mediante:

http://www.encodeac.com.ar/firma-digital/aranceles.html

El solicitante/suscriptor del certificado deberá pagar el arancel de sucertificado. Con el comprobante para el pago emitido a ese efecto,podrá abonar en la Autoridad de Registro Central o en los medios depago que se indican en la siguiente dirección

http://www.encodeac.com.ar/firma-digital/mediodepago.html

9.2. Responsabilidad Financiera.

ENCODE S.A. será responsable por los daños y perjuicios que provoque,por los incumplimientos a las previsiones de esta Política Única deCertificación, por los errores u omisiones que presenten loscertificados digitales que expide, por no revocarlos, en legal tiempo yforma cuando así correspondiere y por las consecuencias imputables a lainobservancia de procedimientos de certificación exigibles.Corresponderá a ENCODE S.A. demostrar que actuó con la debidadiligencia.

Las responsabilidades financieras se originan en la Ley N° 25.506 y loestablecido por ENCODE S.A. a los efectos de esta Política Única deCertificación. La parte pertinente de esa norma es transcripta acontinuación.

“Obligaciones impuestas por la Ley N° 25.506, artículo 38

El certificador que emita un certificado digital o lo reconozca en lostérminos del artículo 16 de la presente ley, es responsable por losdaños y perjuicios que provoque, por los incumplimientos a lasprevisiones de ésta, por los errores u omisiones que presenten loscertificados digitales que expida, por no revocarlos, en legal tiempo yforma cuando así correspondiere y por las consecuencias imputables a lainobservancia de procedimientos de certificación exigibles.Corresponderá al prestador del servicio demostrar que actuó con ladebida diligencia.

Los certificadores no son responsables en los supuestos del artículo 39 de la Ley 25.506.”

9.3. Confidencialidad.

Todos los datos correspondientes a las personas físicas y jurídicas alas cuales alcance esta Política Única de Certificación están sujetos alas estipulaciones de la Ley N° 25.326 de Protección de los DatosPersonales.

Como principio general, se establece que toda información remitida porel solicitante de un certificado al momento de efectuar unrequerimiento debe ser considerada confidencial y no ser divulgada aterceros sin el consentimiento previo del solicitante o suscriptor,salvo que sea requerida por juez competente o bien como parte de unproceso judicial o administrativo. La exigencia se extenderá también atoda otra información referida a los suscriptores de certificados a laque tenga acceso el Certificador o la Autoridad de Registro durante elciclo de vida del certificado.

9.3.1. Información confidencial.

La protección abarca a la siguiente información, en la medida en que no sea de conocimiento público:

• Toda la información remitida por el solicitante o suscriptor a laAutoridad de Registro, excepto los datos que figuran en el certificado.

• Cualquier información almacenada en servidores o bases de datos destinadas a firma digital.

• Cualquier información impresa o transmitida en forma verbal referidaa procedimientos, manual de procedimientos, etc., salvo aquellos que enforma expresa fueran declarados como no confidenciales.

• Cualquier información referida a planes de contingencia, controles oprocedimientos de seguridad, registros de auditoría creados y/omantenidos por ENCODE S.A. La presente lista es de carácterilustrativo, resultando confidencial toda información del proceso defirma digital que expresamente no señale lo contrario. La regla generales que toda información que no sea considerada como pública revestiráel carácter de confidencial. Durante el ciclo de vida del certificado,tanto ENCODE S.A. como sus Autoridades de Registro no podrán divulgarlos datos de los suscriptores sin su consentimiento. Asimismo, ENCODES.A. se compromete a hacer público exclusivamente los datos delsuscriptor que resulten imprescindibles para el reconocimiento de sufirma digital.

Se declaran expresamente como confidenciales:

• La clave privada de la Autoridad Certificante ENCODESIN. La AutoridadCertificante garantiza la confidencialidad frente a terceros de suclave privada, la cual, al ser el punto de máxima confianza, serágenerada y custodiada conforme a lo que se especifica en la presentepolítica.

• Las claves privadas de los solicitantes y suscriptores. Paragarantizar la confidencialidad de las claves de autenticación y firmade los solicitantes o suscriptores, ENCODE S.A. proporcionará losmedios para que la generación de dichas claves sólo se realice de modoseguro. Las claves serán generadas por el propio solicitante yalmacenadas en un equipo o dispositivo que será preferentemente de tipocriptográfico. A su vez, ni las Autoridades de Registro ni la AutoridadCertificante ENCODESIN tendrán la posibilidad de generar, almacenar,copiar o conservar información que permita reconstruir o activar lasclaves privadas de solicitantes y suscriptores.

9.3.2. Información no confidencial.

La siguiente información no se considera confidencial:

a) Contenido de los certificados y de las listas de certificados revocados.

b) Información sobre personas físicas o jurídicas que se encuentredisponible en certificados o en directorios de acceso público.

c) Políticas de Certificación y Manual de Procedimientos de Certificación (en sus aspectos no confidenciales).

d) Secciones públicas de la Política de Seguridad del certificador.

e) Política de privacidad del certificador.

9.3.3. Responsabilidades de los roles involucrados.

Los roles de ENCODE SA se hallan descriptos en el documento “Roles yFunciones”, que define las principales funciones, responsabilidades,obligaciones y tareas que cubren donde se detalla para aquellos quegestionan información confidencial las responsabilidades pertinentescon el fin de evitar su compromiso o divulgación a personas noautorizadas.

9.4. Privacidad.

Todos los aspectos vinculados a la privacidad de los datos personalesestarán sujetos a la normativa vigente en materia de Protección de losDatos Personales (Ley N° 25.326 y normas reglamentarias,complementarias y aclaratorias). Las consideraciones particulares seincluyen en la Política de Privacidad.

9.5 Derechos de Propiedad Intelectual.

ENCODE S.A. es propietaria exclusiva de todos los derechos de propiedadintelectual de la presente política, acuerdos, declaraciones,procedimientos y documentos auxiliares referidos a la AutoridadCertificante ENCODESIN, así como la documentación y contenidos delsitio web de la Autoridad Certificante ENCODESIN que se encuentra en:

http://www.encodeac.com.ar/firma-digital

Asimismo, es titular del derecho de propiedad intelectual de lasaplicaciones informáticas propias, excepto los sistemas operativos desoporte informáticos no desarrollados por ENCODE SA que cuentan con susrespectivas licencias de uso.

ENCODE SA es única y exclusiva propietaria de la presente PolíticaÚnica de Certificación, y sus documentos relacionados reservándosetodos los derechos de autor establecidos en la legislación vigente dederechos de propiedad intelectual.

9.6. Responsabilidades y garantías.

I) Responsabilidades

En un todo de acuerdo con la Ley N° 25.506 de Firma Digital, Capítulo IX, existirán dos supuestos de responsabilidad civil

I.a) Responsabilidades del Certificador y el Suscriptor

Existen responsabilidades mutuas entre el certificador licenciado que emite un certificado y el titular de dicho certificado.

Sin perjuicio de las previsiones de la arriba citada ley, y demáslegislación vigente, la relación entre ENCODE S.A. y el titular de uncertificado se regirá por el acuerdo que se celebre entre ellos,conforme al artículo 37 de la ley 25.506. El modelo de acuerdo estáidentificado como Acuerdo con Suscriptores y se puede consultar, aligual que otra información disponible, en el sitio web de ENCODE S.A.identificado como:

http://www.encodeac.com.ar/firma-digital

I.b) Responsabilidades del Certificador ante Terceros usuarios

El Certificador que emita un certificado digital, o lo reconozca en lostérminos del artículo 16 de la ley 25.506, es responsable de los dañosy perjuicios que provoque, por los incumplimientos a las previsiones dela ley, por los errores u omisiones que presenten los certificadosdigitales que expida, por no revocarlos en legal tiempo y forma cuandoasí correspondiere y por las consecuencias imputables a lainobservancia de procedimientos de certificación exigibles.Corresponderá al prestador del servicio demostrar que actuó con ladebida diligencia.

II) Garantías

II.a) Garantías del Certificador Licenciado

Además de lo estipulado en la Política Única de Certificación, el Certificador Licenciado debe garantizar:

• No se presentan distorsiones en la información contenida en los certificados o en la emisión de los mismos.

• No existan errores en la información que fue introducida por la entidad que aprueba la emisión del certificado.

• Los certificados reúnen los requerimientos expuestos en esta Política Única de Certific Política Única de Certificación.

II.b) Garantías de la Autoridad de Registro

Además de lo estipulado en la Política Única de Certificación, laAutoridad de Registro debe cumplir con las siguientes obligaciones:

• No se presentan distorsiones en la información contenida en los certificados o en la emisión del mismo.

• No se presentan errores en la información del certificado que fue presentada a la Autoridad de Registro.

• Que los dispositivos y materiales requeridos cumplen con lo dispuesto en esta Política Única de Certificación.

II.c) Garantías del suscriptor

Además de lo estipulado en la Política Única de Certificación, el suscriptor garantiza:

• Cada firma digital creada usando la clave privada corresponde a la clave pública listada en el certificado.

• La clave privada está protegida y que no autoriza a otras personas a tener acceso a la clave privada del suscriptor.

• Toda la información facilitada por el suscriptor y contenida en el certificado es verdadera.

• El certificado es utilizado exclusivamente para los propósitos autorizados.

II.d) Garantías de los Terceros Usuarios

• Los Terceros Usuarios requieren conocer suficiente información para tomar la decisión de aceptar el certificado.

9.7. Deslinde de responsabilidad.

Los Certificadores Licenciados no son responsables en los siguientes casos determinados en el artículo 39 de la ley 25.506:

• Por los casos que se excluyan taxativamente en las condiciones deemisión y utilización de sus certificados y que no estén expresamenteprevistas en la ley;

• Por los daños y perjuicios que resulten del uso no autorizado de uncertificado digital, si en las correspondientes condiciones de emisióny utilización de sus certificados constan las restricciones de suutilización;

Por eventuales inexactitudes en el certificado que resulten de lainformación facilitada por el titular que, según lo dispuesto en lasnormas y en los manuales de procedimientos respectivos, deba ser objetode verificación, siempre que el certificador pueda demostrar que hatomado todas las medidas razonables.

9.8. Limitaciones a la responsabilidad frente a terceros.

I) Limitaciones de responsabilidad legal

ENCODE S.A. establece en su Política Única de Certificación, Manual deProcedimientos u otra documentación relevante cualquier limitación deresponsabilidad que pudiera aplicársele, considerando lasresponsabilidades de privacidad, seguridad y diligencia en los procesosde certificación establecidas en este documento.

II) Limitaciones de responsabilidad del Certificador Licenciado

Dentro de los límites permitidos por la normativa vigente que rige lamateria, en el Acuerdo de Suscriptores se establecerá y limitará laresponsabilidad tanto de suscriptores como de la propia AC ENCODESIN.Las limitaciones de responsabilidad incluye una exclusión de dañosindirectos, especiales, incidentales y derivados.

9.9. Compensaciones por daños y perjuicios.

No es aplicable.

9.10. Condiciones de vigencia.

I) Período de vigencia de la Política Única de Certificación

La Política Única de Certificación empieza a ser efectiva una vezpublicada en su sitio de internet, previa aprobación de la Autoridad deAplicación, y los nuevos certificados deben ser emitidos cumpliendo laspolíticas determinadas en la nueva versión de la Política Única deCertificación.

II) Finalización

La Política Única de Certificación estará en vigor mientras no se derogue expresamente por la emisión de una nueva versión.

III) Efectos de la finalización y supervivencia

La finalización de la vigencia de la Política Única de Certificación,puede ser por derogación expresa, enmiendas o modificaciones; todos loscertificados emitidos bajo esa política seguirán vigentes hasta queexpiren o sean revocados, salvo que la nueva versión de la PolíticaÚnica de Certificación contemple aspectos críticos, en cuyo caso todoslos certificados deberán ser revocados inmediatamente.

9.11 Avisos personales y comunicaciones con los participantes.

No es aplicable.

9.12 Gestión del ciclo de vida del documento.

La presente Política Única de Certificación contempla las siguientes fases de su ciclo de vida:

• Planificación - Se identifican y documentan las principales oportunidades de mejora o necesidades de cambio.

• Evaluación - Los posibles cambios se documentan en categoríascaracterísticas (por ej.: técnicos, operativos, etc.) y cuantificarlossegún una escala numérica conforme a su probabilidad e impacto.

• Aprobación - Si el cambio es aceptado de acuerdo a la evaluaciónprevia, lo autoriza el Responsable de Firma Digital de ENCODE S.A. Acontinuación, todo cambio será sometido a la aprobación de la Autoridadde Aplicación.

• Modificación - Si el cambio es aprobado, se implementa en una nueva versión de la Política.

Publicación - En el sitio web de ENCODE S.A. y puesta en vigencia.

9.12.1. Procedimientos de cambio.

Esta Política Única de Certificación y sus documentos complementariosserán revisados por ENCODE S.A. en forma periódica para detectar ycorregir eventuales faltas de claridad y para adaptarlos a cambios enla normativa.Todo cambio será sometido a la aprobación de la Autoridad de Aplicacióny, una vez aprobado, publicado en el sitio web de ENCODE S.A. y puestoen vigencia.

Cada nueva versión tendrá una descripción de los cambios producidos referidos a la versión previa.

9.12.2 Mecanismo y plazo de publicación y notificación.

I) Procedimientos de publicación y notificación

Una copia actualizada del presente documento se encuentrapermanentemente disponible en forma pública y accesible a través deInternet en la dirección:

http://www.encodeac.com.ar/firma-digital/encodesin.pdf

En caso de producirse modificaciones sustanciales a los contenidos dela presente política, los suscriptores que posean certificados vigentesa la fecha de aplicación del cambio serán notificados por correoelectrónico en las direcciones declaradas en los correspondientescertificados.

II) Procedimientos de aprobación

Según los establecido por la Ley 25.506 Art. 21 inc. q) y por laDecisión Administrativa N° 6/2007 y N° 927/2014 de la JGM, la presentepolítica y sus posteriores modificaciones deben ser aprobadas por laAutoridad de Aplicación de Firma Digital de la República Argentina.

9.12.3. Condiciones de modificación del OID.

No aplicable.

9.13. Procedimientos de resolución de conflictos.

En caso de surgir cualquier discrepancia o conflicto interpretativo ode cualquier índole entre las partes, se deberá realizar un reclamo porescrito dirigido a ENCODE S.A., en su condición de CertificadorLicenciado.ENCODE S.A. intentará resolverlos mediante el siguiente procedimiento administrativo a su cargo:

• Una vez recibida la descripción del conflicto y constatada ladivergencia, labrará un acta que deje expresa constancia de los hechosque la motivan y de todos y cada uno de los antecedentes que le sirvande causa.

• Dará traslado del acta, mediante notificación fehaciente, a laspartes involucradas: Autoridad de Registro y/o Suscriptor y/o Tercerousuario. Estas partes dispondrán de un plazo de diez (10) días corridospara ofrecer y producir la prueba que haga a su defensa y aleguen sobreel mérito de la misma.

• Finalmente, ENCODE S.A. resolverá en un plazo de diez (10) díascorridos lo que estime corresponder, conforme a criterios de máximarazonabilidad, equidad y pleno ajuste a la normativa vigente yaplicable en la especie.

• Las partes involucradas en el conflicto podrán recurrir ante laAutoridad de Aplicación, previo agotamiento del procedimientoadministrativo recién descripto y sin perjuicio de su derecho de acudirdirectamente a la vía judicial correspondiente.

Los registros electrónicos almacenados bajo condiciones de seguridadrazonables y grabados sistemáticamente en un medio permanente einalterable constituyen plena evidencia del cumplimiento de lasobligaciones del certificador y de sus Autoridades de Registros, comoasí también de las comunicaciones, contratos y pagos hechos entre laspartes.

9.14. Legislación aplicable.

La legislación que respalda la interpretación, aplicación y validez dela Política de Certificación, es la Ley N° 25.506, el Decreto N°2628/02, y toda otra norma complementaria dictada por la autoridadcompetente.

9.15. Conformidad con normas aplicables.

A los fines de la interpretación y aplicación de la presente PolíticaÚnica de Certificación se debe tener en cuenta la normativa que la rige.

En caso de reclamos de los usuarios o suscriptores de certificadosdigitales relacionados con la prestación de servicios de ENCODE S.A.,el suscriptor o tercero deberá realizar el correspondiente reclamo enforma fehaciente ante ENCODE S.A. y, en caso de haber resultadoinfructuoso, podrá efectuar una denuncia ante la Autoridad deAplicación, sin perjuicio de dejar a salvo los derechos de las partesen conflicto de recurrir a la vía judicial cuando así lo creyerenconveniente.

9.16. Cláusulas adicionales.

No es aplicable.

9.17. Otras cuestiones generales.

No es aplicable.

e. 09/02/2015 N° 7455/15 v. 09/02/2015