Disposición 5/2002

Texto Original

Oficina Nacional de Tecnologías InformáticasADMINISTRACION NACIONAL DE ADUANASDisposición 5/2002Apruébanse la "Política de Certificación: Criterios para el otorgamiento de certificados a favor de suscriptores", el "Manual de Procedimientos", el "Plan de Cese de Actividades" y la "Política de Seguridad" para la Autoridad Certificante de la Oficina Nacional de Tecnologías Informáticas.Bs. As., 26/4/2002VISTO el Decreto N° 78 del 10 de enero de 2002, el Decreto N° 427 del 16 de abril de 1998, la Decisión Administrativa N° 102 del 29 de diciembre de 2000, las Resoluciones de la ex Secretaría de la Función Pública N° 194 del 27 de noviembre de 1998, y la N° 212 del 30 de diciembre de 1998, la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS N° 01 del 3 de octubre de 2001, yCONSIDERANDO:Que el Decreto N° 78/02 asigna a la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS la responsabilidad primaria en la promoción de la utilización de la firma digital en los organismos del sector público actuando como Autoridad Certificante.Que el Decreto N° 427/98 habilita el uso de la firma digital en el marco de la Infraestructura de Firma Digital para el Sector Público Nacional.Que la Decisión Administrativa N° 102/00 ha prorrogado por DOS (2) años la vigencia del Decreto N° 427/98.Que la Resolución SFP N° 194/98 establece los "Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional".Que la Resolución SFP N° 212/98 aprueba la "Política de Certificación: Criterios para el licenciamiento de las Autoridades Certificantes de la Administración Pública Nacional".Que la Disposición ONTI N° 01/01 asigna los roles de la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS, de acuerdo a lo establecido en las Resoluciones de la ex SFP N° 194/98 y 212/98.Que corresponde aprobar la "Política de Certificación: Criterios para el otorgamiento de certificados a favor de suscriptores", el "Manual de Procedimientos", el "Plan de Cese de Actividades" y la "Política de Seguridad’’ de la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS, como autoridad certificante de la JEFATURA DE GABINETE DE MINISTROS.Que la presente medida se dicta en virtud de lo dispuesto en el Decreto N° 78/02.Por ello,EL DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS INFORMATICASDISPONE:Artículo 1° — Apruébase la "Política de Certificación: Criterios para el otorgamiento de certificados a favor de suscriptores" para la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS que obra como ANEXO I.Art. 2° — Apruébase el "Manual de Procedimientos" para la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS que obra como ANEXO II.Art. 3° — Apruébase el "Plan de Cese de Actividades" para la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS que obra como ANEXO III.Art. 4° — Apruébase la "Política de Seguridad" para la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS que obra como ANEXO IV.Art. 5° — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.— Gustavo A. Vullo.ANEXO IPOLITICA DE CERTIFICACIONCriterios para el otorgamiento de certificados a favor de suscriptoresAutoridad CertificanteJefatura de Gabinete de MinistrosSubsecretaría de la Gestión PúblicaOficina Nacional de Tecnologías InformáticasINDICE1- AMBITO DE APLICACION2- SUJETOS3- OBJETO4- CONTACTOS - SUGERENCIAS5- RESPONSABILIDADES5-1- RESPONSABILIDAD DE LA AUTORIDAD CERTIFICANTE5-2- RESPONSABILIDADES ASUMIDAS POR LA AUTORIDAD CERTIFICANTE AL EMITIR UN CERTIFICADO5-3- OBLIGACIONES DE LAS AUTORIDADES DE REGISTRACIÓN5-4- RESPONSABILIDAD DEL SUSCRIPTOR6- INTERPRETACION7- PUBLICACION - REPOSITORIOS7-1 - FRECUENCIA DE LA ACTUALIZACIÓN7-2- ACCESO7-3- CONFIDENCIALIDAD8 - IDENTIFICACION Y AUTENTICACION8-1- REGISTRACIÓN CENTRALIZADA8-1-1- Verificación de datos por la Autoridad de Registración local8-1-2- Verificación de datos vía área de recursos humanos8-1-3- Verificación de identidad a través del responsable del organismo8-1-4- Servicio de registración itinerante8-2- REGISTRACIÓN DESCENTRALIZADA8.2.1.- Autoridades de Registración Remotas con nombramiento de auxiliares en el proceso de validación de identidad8-3- SOLICITUDES DE RENOVACIÓN8-4- PERÍODO DE VALIDEZ9 - REQUISITOS OPERATIVOS9-1- REQUERIMIENTO9-2- EMISIÓN DEL CERTIFICADO9-3- CONTENIDO DEL CERTIFICADO – ATRIBUTOS9-4- CONDICIONES DE VALIDEZ DEL CERTIFICADO DE CLAVE PÚBLICA9-5- REVOCACIÓN DE CERTIFICADOS9-5-1- Clases de revocación9-5-1-1- Revocación voluntaria9-5-1-2- Revocación obligatoria9-5-2- Autorizados a requerir la revocación9-5-3- Procedimiento para solicitar la revocación9-5-4- Actualización de repositorios9-5-5- Emisión de listas de certificados revocados9-6- AUDITORÍA - PROCEDIMIENTOS DE SEGURIDAD9-7- ARCHIVOS9-7-1- Información a ser archivada9-7-2- Plazo de conservación9-7-3- Protección de archivos9-7-4- Archivos de resguardo9-8- SITUACIONES DE EMERGENCIA9-8-1- Plan de Contingencias9-8-3- Cese de operaciones de la Autoridad Certificante10 - CONTROLES DE SEGURIDAD10-1- CONTROLES DE SEGURIDAD FÍSICA10-1-1- Control de acceso10-2- CONTROLES FUNCIONALES10-2-1- Determinación de roles10-2-2- Separación de funciones10-3- CONTROLES DE SEGURIDAD PERSONAL10-3-1- Calificación del personal10-3-2- Antecedentes10-3-3- Entrenamiento10-4- CONTROLES DE SEGURIDAD LÓGICA10-4-1- Generación e instalación de claves10-4-1-1- Generación10-4-1-2- Envío de la clave pública10-4-1-3- Características criptográficas10-4-2- Protección de la clave privada10-4-2-1- Estándares criptográficos10-4-2-2- Destrucción de la clave privada10-4-3- Otros aspectos del manejo de claves10-4-3-1- Reemplazo de claves10-4-3-2- Restricciones al uso de claves privadas10-4-4- Controles de seguridad del computador10-4-5- Controles de seguridad de conectividad de red11- CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS – CARACTERISTICAS12 - ADMINISTRACION DE ESTA POLITICA12-1- CAMBIOS A LA POLÍTICA12-1-1- Listado de propuestas12-2- PUBLICACIÓN Y NOTIFICACIÓN REFERENCIAS1- Ambito de aplicaciónEl presente documento define los términos que rigen la relación entre la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros, en su carácter de Autoridad Certificante y sus funcionarios y agentes que soliciten la emisión de certificados de clave pública para ser utilizados en el marco del Decreto 427/98. Asimismo, regula la relación que pueda crearse entre dicha Autoridad Certificante y los funcionarios y agentes dependientes de otros organismos o dependencias de la Administración Pública Nacional Centralizada y Descentralizada, de entes autárquicos, organismos provinciales y municipales, de otros Poderes del Estado Nacional y de los Estados Provinciales y de representantes del sector privado, a través de convenios específicos firmados en cada caso en particular.El presente documento forma parte de la documentación técnica emitida por la Autoridad Certificante de la Oficina Nacional de Tecnologías Informáticas junto con los siguientes documentos:a) Manual de Procedimientosb) Política de Seguridadc) Manual de Procedimientos de Seguridadd) Plan de Contingenciase) Plan de Cese de Actividades2- SujetosEsta política es aplicable por:a) La Autoridad Certificante de la Oficina Nacional de Tecnologías Informáticas (en adelante ACONTI) que otorga certificados a favor de sus dependientes y de los funcionarios y agentes pertenecientes a otros organismos o dependencias de la Administración Pública Nacional Centralizada y Descentralizada, entes autárquicos, organismos provinciales y municipales, de otros Poderes del Estado Nacional y de los Estados Provinciales y de representantes del sector privado.b) Las Autoridades de Registración previstas en la Resolución 194/98 de la ex Secretaría de la Función Pública, que se constituyan en el ámbito de aplicación de esta política.c) La Sindicatura General de la Nación, en cumplimiento de sus funciones de Organismo Auditante de todos los organismos regulados por esta política.d) Los suscriptores de certificados en el ámbito de aplicación de esta política.3- Objeto Esta política regula el empleo de la firma digital en la instrumentación de:a) Los actos internos del Sector Público Nacional, provincial, municipal, y de otros Poderes del Estado Nacional y de los Estados Provinciales que no produzcan efectos individuales en forma directa.b) Los actos que vinculen al Sector Público Nacional, provincial, municipal, a otros Poderes del Estado Nacional y de los Estados Provinciales con representantes del sector privado.4- Contactos - SugerenciasEsta política es administrada por la Autoridad Certificante cuyas funciones ejerce la Oficina Nacional de Tecnologías Informáticas (AC-ONTI).Por consultas o sugerencias, por favor dirigirse a:E-mail:consulta@pki.gov.arPersonalmente o por correo:Autoridad Certificante - ONTIRoque Sáenz Peña 511 - 5° piso (C1035AAA) Buenos AiresTE: 4345-0383 / Fax: 4343-74585- Responsabilidades5 -1 - Responsabilidad de la Autoridad CertificanteEn su carácter de Autoridad Certificante, la Oficina Nacional de Tecnologías Informáticas es responsable de todos los aspectos relativos a la emisión y administración de los certificados emitidos a favor de todos los suscriptores que adhieran a esta política, ya sea que éstos sean sus dependientes o bien, que se trate de funcionarios o agentes de otros organismos o dependencias de la Administración Pública Nacional, entes autárquicos, organismos provinciales o municipales, de otros Poderes del Estado Nacional y de los Estados Provinciales, y de representantes del sector privado, que gestionen su certificado ante la AC-ONTI, con el alcance que se establezca para cada caso en particular.En particular, su responsabilidad se extiende a:a) El proceso de identificación y autenticación del suscriptor, en el ejercicio de sus funciones de Autoridad de Registración.b) La emisión de certificados.c) La administración de certificados, incluyendo el proceso de revocación.5 -2 - Responsabilidades asumidas por la Autoridad Certificante al emitir un certificadoAl emitir un certificado, la Autoridad Certificante garantiza:a) Que el certificado ha sido emitido siguiendo las pautas establecidas en esta política y en el Manual de Procedimientos para la validación de los datos en él incluidos.b) Que el certificado satisface todos los requisitos exigidos por el Decreto 427/98c) Que los algoritmos y longitudes de claves utilizados cumplen con la última versión aprobada por Resolución de la Autoridad de Aplicación en relación a los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional.d) Que el certificado y su eventual revocación, serán publicados según lo dispuesto en esta política.5 -3 - Obligaciones de las Autoridades de RegistraciónLas Autoridades de Registración que se constituyan en el ámbito de aplicación de esta política, cualquiera sea la modalidad que adopten, están obligadas a cumplir las funciones de validación de la identidad y autenticación de los datos de los suscriptores que soliciten sus certificados por su intermedio y a archivar y conservar toda la documentación respaldatoria de dicho proceso.5 -4 - Responsabilidad del SuscriptorEl suscriptor de un certificado de clave pública de acuerdo a los lineamientos de esta política asume la absoluta responsabilidad por su utilización, incluyendo la custodia exclusiva y permanente de su clave privada. En particular, el suscriptor es responsable de solicitar la revocación de su certificado en caso de finalizar su vínculo laboral con la Administración Pública o con el organismo en que se desempeñe y en los demás casos previstos en la normativa vigente. La AC-ONTI no asume ninguna responsabilidad por el uso que el suscriptor eventualmente pudiera darle al certificado fuera del alcance establecido en el apartado 1 de esta política.6- InterpretaciónLa interpretación, obligatoriedad, diseño y validez de esta política se encuentran sometidos a lo establecido por el Decreto 427/98.7- Publicación - RepositoriosLa AC-ONTI mantiene un repositorio en línea de acceso público que contiene:a) Certificados emitidos que hagan referencia a esta política.b) Listas de certificados revocados.c) El certificado de clave pública de la AC-ONTId) Copia de esta política y de toda otra documentación técnica referida a la AC-ONTI que se emita.e) Toda otra información referida a certificados que hagan referencia a esta política.El repositorio se encuentra disponible en:http://ca.pki.gov.ar/7 -1 - Frecuencia de la actualizaciónToda información que corresponda incluir en el repositorio debe serlo inmediatamente después de haber sido conocida y verificada por la AC-ONTI.Las emisiones de certificados y revocaciones de certificados deben ser incluidas tan pronto como se hayan cumplido los procedimientos de validación de identidad de los solicitantes establecidos en esta política y en el Manual de Procedimientos para cada caso en particular.7 -2 - AccesoEl repositorio se encuentra disponible para uso público durante VEINTICUATRO (24) horas diarias SIETE (7) días a la semana, sujeto a un razonable calendario de mantenimiento. La AC-ONTI no puede poner restricciones al acceso a esta política, a su certificado de clave pública y a las versiones anteriores y actualizadas de la documentación técnica que emita.7-3- ConfidencialidadToda información referida a suscriptores que sea recibida por la AC-ONTI en los requerimientos es confidencial y no puede hacerse pública sin el consentimiento previo de aquellos, salvo que sea requerida judicialmente.Lo indicado no es aplicable cuando se trate de información que se transcriba en el certificado o sea obtenida de fuentes públicas.8 - Identificación y AutenticaciónDentro del marco de aplicación de esta política, son admitidos los siguientes procedimientos de identificación de los suscriptores de certificados en función de los distintos esquemas de Autoridades de Registración previstos:

Los procesos a seguir en cada una de las opciones mencionadas son los siguientes:8 -1 - Registración Centralizada8-1-1- Verificación de datos por la Autoridad de Registración localEl suscriptor debe iniciar el pedido de emisión del certificado ingresando al sitio web de la ACONTI completando el formulario de solicitud y siguiendo el procedimiento allí indicado. Posteriormente debe presentarse personalmente ante el Responsable de la Autoridad de Registración local a fin de validar su identidad, provisto de la siguiente documentación:a) Documento de identidad (DNI u otro de validez nacional), en original y fotocopia.b) Código de identificación del requerimientoc) Nota firmada por el máximo responsable del área de recursos humanos intervenida por Mesa de Entradas, Salidas y Archivo del organismo a que pertenece, que incluirá:I. Nombre y ApellidoII. Documento de IdentidadIII. Jurisdicción/Organismo/Dependencia/Cargo8-1-2- Verificación de datos vía área de recursos humanosEl suscriptor debe iniciar el pedido de emisión del certificado siguiendo el procedimiento indicado en el apartado anterior. El responsable del área de Recursos Humanos del organismo donde reside la AC-ONTI, o bien un funcionario de dicho sector designado al efecto, colaborarán con el Responsable de la Autoridad de Registración local en el proceso de identificación, validando los datos complementarios del suscriptor (jurisdicción, organismo, dependencia y cargo).Posteriormente el suscriptor debe presentarse ante el Responsable de la Autoridad de Registración local provisto de:a) Documento de Identidad (DNI u otro de validez nacional), en original y fotocopia.b) Código de identificación del requerimiento8-1-3- Verificación de identidad a través del responsable del organismoEl suscriptor debe iniciar el pedido de emisión del certificado siguiendo el procedimiento indicado en el apartado 8.1.1.. Posteriormente debe presentarse ante la máxima autoridad del organismo al que pertenece a fin de validar su identidad, provisto de la siguiente documentación:a) Documento de Identidad (DNI u otro de validez nacional), en original y fotocopia.b) Código de identificación del requerimientoc) Nota firmada por el máximo responsable del área de recursos humanos del organismo consignando:I. Nombre y ApellidoII. Documento de IdentidadIII. Jurisdicción/Organismo/Dependencia/Cargo8-1-4- Servicio de registración itineranteEl funcionario solicitante debe iniciar el pedido de emisión del certificado siguiendo el procedimiento indicado en el apartado 8.1.1.El Responsable de la Autoridad de Registración local debe concurrir a la dependencia u organismo a fin de efectuar la validación de la identidad del funcionario, para lo cual requerirá:a) Documento de Identidad (DNI u otro de validez nacional), en original y fotocopia.b) Nombramiento (Decreto o Resolución)8 -2 - Registración DescentralizadaLa AC-ONTI admite la constitución de Autoridades de Registración externas al ámbito físico donde desarrolla sus actividades. En particular, se admitirán aquellos organismos o dependencias que se encuentren en condiciones de efectuar un adecuado control de identidad de los suscriptores de certificados que les presentaran una solicitud de emisión, dado el tipo de información que manejan y su cercanía al usuario final (tales como áreas de recursos humanos). En todos los casos, es atribución de la AC-ONTI autorizar el funcionamiento de las Autoridades de Registración.Toda Autoridad de Registración autorizada por la AC-ONTI asume las siguientes obligaciones: a) Designar un responsable del proceso de validación de identidad de los suscriptores (Responsable de la Autoridad de Registración) y su correspondiente sustituto.b) Cumplir con las obligaciones establecidas en la Política de Certificación y en el Manual de Procedimientos de la AC-ONTI respecto al proceso de validación de identidad de los suscriptores.c) Cumplir con las disposiciones establecidas en la Política de Certificación y en el Manual de Procedimientos de la AC-ONTI respecto a la conservación de archivos y documentación respaldatoria referida al proceso de validación de identidad de los suscriptores.d) Permitir la realización de las revisiones periódicas que realice la AC-ONTI a fin de garantizar la seguridad del sistema.e) Toda otra obligación específica que se establezca en el Manual de Procedimientos de la AC-ONTI Toda Autoridad de Registración debe adherir a los términos de la Política de Certificación, del Manual de Procedimientos y del resto de la documentación técnica de la AC-ONTI. Dicha adhesión se instrumentará mediante la firma de un Acuerdo de Responsabilidad.8.2.1.- Autoridades de Registración Remotas con nombramiento de auxiliares en el proceso de validación de identidad.Se admitirá que las Autoridades de Registración que se constituyan designen funcionarios que actuarán como colaboradores en el proceso de validación de la identidad de sus suscriptores. En tal caso, los auxiliares mencionados asumen las mismas obligaciones que la Autoridad de Registración en cuya órbita se constituyan respecto al cumplimiento de los procedimientos de validación de identidad de los suscriptores.8 -3 - Solicitudes de renovaciónDentro de los TREINTA (30) días anteriores a la expiración del período operacional de un certificado emitido según los lineamientos de esta política, un suscriptor puede solicitar a la AC-ONTI la emisión de un nuevo certificado.8 -4 - Período de validezLos certificados emitidos por la AC-ONTI tienen un período máximo de validez de UN (1) año desde la fecha de emisión.9 - Requisitos operativos9 -1 - RequerimientoLa emisión del certificado a favor de un suscriptor implica su autorización para utilizarlo con los alcances definidos por el Decreto 427/98 y caduca por expiración o revocación del certificado. Todo suscriptor que se postule para obtener un certificado debe completar un requerimiento, el que estará sujeto a revisión y aprobación por la Autoridad de Registración según las previsiones indicadas en el apartado 8.El proceso de solicitud puede ser iniciado solamente por el interesado, quien debe acreditar fehacientemente su identidad.9 -2 - Emisión del certificadoCumplidos los recaudos del proceso de identificación y autenticación de acuerdo con esta política y una vez completada y aprobada la solicitud, la AC-ONTI debe emitir el correspondiente certificado. Debe firmarlo digitalmente y ponerlo a disposición del interesado, notificándolo de tal situación.9 -3 - Contenido del certificado – AtributosUn certificado emitido de acuerdo a los requerimientos de esta política incluye los datos identificatorios mínimos recomendados por la última versión de los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional. En particular, deben incluirse los siguientes datos a efectos de distinguir unívocamente al suscriptor:a) Número de versión X.509 del certificadob) Nombre y apellido del suscriptor del certificado.c) Localidad, provincia y país de residencia habitual.d) Dirección de correo electrónico.e) Clave pública del suscriptor.f) Algoritmos de firma de la clave pública.g) Número de serie del certificado.h) Período de validez del certificado.i) Nombre de la Autoridad Certificante emisora del certificado.j) Dirección de consulta de la lista de certificados revocados (CRL).k) URL donde se encuentra disponible esta Política de Certificación.l) Todo otro dato relevante para la utilización del certificado según disponga el Manual de procedimientos de la AC-ONTI.9 -4 - Condiciones de validez del certificado de clave públicaEl certificado de clave pública correspondiente a un suscriptor en los términos de la presente Política es válido únicamente si:a) Ha sido emitido por la AC-ONTIb) No ha sido revocado.c) No ha expirado su período de vigencia.d) El certificado de la AC-ONTI no ha sido revocado ni ha expirado su período de vigencia.El certificado de clave pública de la AC-ONTI es válido únicamente si:a) No ha sido revocado.b) No ha expirado su período de vigencia.9 -5 - Revocación de certificados9-5-1- Clases de revocación9-5-1-1- Revocación voluntariaEl Responsable de la Autoridad de Registración admitirá solicitudes de revocación recibidas vía interfaz web o a través de un correo electrónico firmado digitalmente por el suscriptor a la siguiente dirección de correo electrónico:revocación@pki.gov.arEl suscriptor podrá también efectuar la solicitud presentándose personalmente ante el Responsable mencionado, debiendo acreditar fehacientemente su identidad.Asimismo, se admitirán solicitudes de revocación firmadas digitalmente por el responsable del área de Recursos Humanos o por la máxima autoridad competente del organismo o dependencia a que pertenece el suscriptor a la dirección de correo electrónico mencionada anteriormente o presentadas personalmente por cualquiera de los nombrados.El Responsable de la Autoridad de Registración está facultado para aceptar solicitudes de revocación que reciba por otros medios (telefónicamente, vía fax) siempre que, a su juicio, la urgencia de la situación justifique la aceptación. En tales casos, debe efectuar una confirmación telefónica de la solicitud o bien, de no ser posible, utilizar otro medio de verificación alternativo a fin de validar la identidad del solicitante.9-5-1-2- Revocación obligatoriaUn suscriptor debe solicitar la inmediata revocación de su certificado:a) Cuando se produzcan cambios en la información que el certificado contiene o ésta se desactualice.b) Cuando la clave privada asociada al certificado de clave pública, o el medio en que se encuentre almacenada, se encuentren comprometidos o corran peligro de estarlo.c) Cuando cese su vínculo laboral con el organismo, dependencia o institución.La AC-ONTI debe revocar el certificado de su suscriptor:a) A solicitud del suscriptor cuando se verifiquen los procedimientos de recepción y validación establecidos en el Manual de Procedimientos.b) A solicitud del responsable del área de recursos humanos o de la máxima autoridad del organismo o dependencia cuando se verifiquen los procedimientos de recepción y validación establecidos en el Manual de Procedimientos.c) Ante incumplimiento por parte del suscriptor de las obligaciones establecidas por el Decreto N° 427/98, por esta política, por el Manual de Procedimientos o por cualquier otro acuerdo, regulación o ley aplicable al certificado.d) Si toma conocimiento de que existe sospecha de que la clave privada del suscriptor se encuentra comprometida.e) Si la AC-ONTI determina que el certificado no fue emitido de acuerdo a los lineamientos del Decreto N° 427/98, de esta política, del Manual de Procedimientos o de los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional.f) Si se verifica cualquier otro supuesto que se contemple en el Manual de Procedimientos.9-5-2- Autorizados a requerir la revocaciónUnicamente el suscriptor, el responsable del área de Recursos Humanos o la máxima autoridad del organismo o dependencia pueden solicitar la revocación de un certificado emitido según lo dispuesto en esta política.9-5-3- Procedimiento para solicitar la revocaciónLa solicitud de revocación del certificado de un suscriptor debe ser comunicada en forma inmediata a la AC-ONTI por alguno de los autorizados indicados en el apartado anterior o bien por el Responsable de la Autoridad de Registración remota. Debe presentarse vía interfaz web, por correo electrónico firmado digitalmente o bien personalmente según lo establecido en el apartado 9.5.1.1.9-5-4- Actualización de repositoriosUna vez recibida una solicitud de revocación y efectuada la validación de la identidad del solicitante, el repositorio indicando el estado de los certificados se actualizará de inmediato.Todas las solicitudes y la información acerca de los procedimientos cumplimentados deben ser archivadas, según lo dispuesto en el apartado 9.7.9-5-5- Emisión de listas de certificados revocadosLa AC-ONTI debe emitir listas de certificados revocados, efectuando como mínimo una actualización semanal.Asimismo, toda vez que la AC-ONTI reciba una solicitud de revocación aprobada por el Responsable de la Autoridad de Registración, deberá emitir una lista de certificados revocados dentro de un plazo máximo de VEINTICUATRO (24) horas. En todos los casos, las listas de certificados revocados deben ser firmadas digitalmente por la AC-ONTI.9 -6 - Auditoría - Procedimientos de seguridadTodos los hechos significativos que afecten la seguridad del sistema de la AC-ONTI deben ser almacenados en archivos de transacciones de auditoría.Serán conservados en el ámbito de la AC-ONTI al menos durante un año.Posteriormente, serán archivados en un lugar físico protegido hasta completar un período mínimo de DIEZ (10) años.9 -7 - Archivos9-7-1- Información a ser archivadaLa AC-ONTI debe conservar información acerca de:a) Solicitudes de certificados y toda información que avale el proceso de identificación.b) Solicitudes de revocación de certificadosc) Certificados emitidos y listas de certificados revocados.d) Archivos de auditoría.e) Toda comunicación relevante entre la AC-ONTI y los suscriptores.9-7-2- Plazo de conservaciónLa información acerca de los certificados debe conservarse por un plazo mínimo de DIEZ (10) años.9-7-3- Protección de archivosLos medios de almacenamiento de la información deben ser protegidos física y lógicamente, utilizando criptografía cuando fuera apropiado.9-7-4- Archivos de resguardoEs obligación de la AC-ONTI la implementación de procedimientos para la emisión de copias de resguardo actualizadas, las cuales deben encontrarse disponibles a la brevedad en caso de pérdida o destrucción de los archivos. Dichos procedimientos deben detallarse en el Manual de Procedimientos de Seguridad.9 -8 - Situaciones de Emergencia9-8-1- Plan de ContingenciasLa AC-ONTI debe implementar un plan de contingencias. Este debe garantizar el mantenimiento mínimo de la operatoria (recepción de solicitudes de revocación y consulta de listas de certificados revocados actualizadas) y su puesta en operaciones dentro de las VEINTICUATRO (24) horas de producirse una emergencia.El plan debe ser conocido por todo el personal que cumpla funciones en la AC-ONTI y debe incluir una prueba completa de los procedimientos a utilizar en casos de emergencia, por lo menos una vez al año.9-8-2- Plan de protección de clavesLa AC-ONTI debe implementar procedimientos a seguir cuando su clave privada se vea comprometida. Deben incluirse las medidas a tomar para revocar los certificados emitidos y notificar en forma inmediata a sus suscriptores.9-8-3- Cese de operaciones de la Autoridad CertificanteEn caso de que la AC-ONTI cese en sus funciones, todos los suscriptores de certificados por ella emitidos deben ser notificados de inmediato.Resulta de aplicación lo dispuesto en 9-5-1-2 último párrafo.10 - Controles de Seguridad10 -1 - Controles de seguridad física10-1-1- Control de accesoLa AC-ONTI debe implementar controles apropiados que restrinjan el acceso a los equipos, programas y datos utilizados para proveer el servicio de certificación, solamente a personas debidamente autorizadas.10 -2 - Controles funcionales10-2-1- Determinación de rolesTodo el personal que tenga acceso o control sobre operaciones criptográficas que puedan afectar la emisión, utilización o revocación de los certificados, incluyendo modificaciones en el repositorio, debe ser confiable. Se incluyen, entre otros, a administradores del sistema, operadores, técnicos y supervisores de las operaciones de la AC-ONTI.10-2-2- Separación de funcionesCon el fin de mantener una adecuada separación de funciones, cada uno de los roles definidos en la AC-ONTI deben ser desempeñados por diferentes responsables.Las designaciones deben ser notificadas por escrito a cada uno de los interesados, quienes deben dejar constancia de su aceptación.10 -3 - Controles de seguridad personal10-3-1- Calificación del personalLa AC-ONTI debe seguir una política de administración de personal que provea razonable seguridad acerca de la confiabilidad y competencia del personal para el adecuado cumplimiento de sus funciones. 10-3-2- AntecedentesTodo el personal involucrado en la operatoria de la AC-ONTI debe ser sometido a adecuados procesos de investigación que permitan demostrar su confiabilidad y competencia para las funciones a cumplir.Esta investigación es obligatoria como paso previo al inicio de la relación laboral.10-3-3- EntrenamientoTodo el personal de la AC-ONTI debe tener acceso a toda la documentación técnica pública que sea emitida y aprobada en respaldo de los procesos de emisión, actualización y revocación de los certificados, así como sobre aspectos funcionales del sistema informático.10 -4 - Controles de seguridad lógica10-4-1- Generación e instalación de claves10-4-1-1- GeneraciónEl par de claves del suscriptor de un certificado emitido en los términos de esta política debe ser generado de manera tal que su clave privada se encuentre bajo su exclusivo y permanente conocimiento y control. El suscriptor es considerado titular del par de claves; como tal, debe generarlo en un sistema confiable, no debe revelar su clave privada a terceros bajo ninguna circunstancia y debe almacenarla en un medio que garantice su confidencialidad.10-4-1-2- Envío de la clave públicaLa clave pública del suscriptor del certificado debe ser transferida a la AC-ONTI de manera tal que asegure que:a) No pueda ser cambiada durante la transferencia.b) El remitente posea la clave privada que corresponde a la clave pública transferida.c) El remitente de la clave pública sea el suscriptor del certificado.El requerimiento de un certificado debe emitirse en formato PKCS#10. según se establece en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional o bien en el que se establezca en futuras ediciones de los mismos.10-4-1-3- Características criptográficasLa Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros, en su carácter de Autoridad de Aplicación, define en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional:a) Los tipos de algoritmos de firma aceptables.b) Las longitudes mínimas de clave aceptables de las Autoridades Certificantes y de los suscriptores. El algoritmo de firma utilizado por la AC-ONTI es SHA-1 con RSA. según se establece en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional o bien en el que se establezca en futuras ediciones de los mismos.En caso de conocerse un mecanismo que vulnere cualquiera de los algoritmos mencionados en las longitudes indicadas, es obligación de la AC-ONTI revocar todos los certificados comprometidos y notificar a suscriptores.10-4-2- Protección de la clave privadaLa AC-ONTI debe proteger su clave privada de acuerdo con lo previsto en esta política.10-4-2-1- Estándares criptográficosLa generación y almacenamiento de claves y su utilización deben efectuarse utilizando un equipamiento técnicamente confiable que cumpla con los estándares aprobados por la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros para la Administración Pública Nacional.10-4-2-2- Destrucción de la clave privadaSi por cualquier motivo deja de utilizarse la clave privada de la AC-ONTI para crear firmas digitales, la misma debe ser destruida.10-4-3- Otros aspectos del manejo de claves10-4-3-1- Reemplazo de clavesEl par de claves de la AC-ONTI debe ser reemplazado cuando las mismas hayan sido vulneradas o exista presunción en tal sentido.10-4-3-2- Restricciones al uso de claves privadasLa clave privada de la AC-ONTI empleada para emitir certificados según los lineamientos de esta política debe utilizarse para firmar certificados a favor de suscriptores. Adicionalmente, la mencionada clave sólo puede usarse para firmar listas de certificados revocados.10-4-4- Controles de seguridad del computadorTodos los servidores de la AC-ONTI incluyen los controles de seguridad enunciados en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional. 10-4-5- Controles de seguridad de conectividad de redLos servicios que provee la AC-ONTI que deban estar conectados a una red de comunicación pública, deben ser protegidos por la tecnología apropiada que garantice su seguridad. Además, debe asegurarse que se exija autorización de acceso a todos los servicios que así lo requieran. 11- Certificados y listas de certificados revocados – CaracterísticasTodos los certificados que hacen referencia a esta política se emiten en formato X509 versión 3 o superior según se establece en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional o bien en el que se establezca en futuras ediciones de los mismos. Los certificados incluyen una referencia que identifica la política aplicable.Las listas de certificados revocados se emiten en formato X509 versión 2. según se establece en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional o bien en el que se establezca en futuras ediciones de los mismos.12 - Administración de esta política12 -1 - Cambios a la política12-1-1- Listado de propuestasLa AC-ONTI informará a los suscriptores de certificados acerca de todos aquellos cambios significativos que se efectúen a esta Política. Las modificaciones indicadas serán publicadas en el sitio web de la AC-ONTI .12 -2 - Publicación y notificaciónUna copia de esta política de certificación y de sus versiones anteriores se encuentra disponible en la interfaz web de la AC-ONTI en:http://ca.pki.gov.arReferencias

PKCS#10: Public Key Criptography Standards #10, desarrollado por RSA Laboratories. Disponible en:

http://www.rsa.com/

SHA-1: Secure Hash Standard-1, NIST FIPS PUB 180-1, desarrollado por National Institute of Standards and Technology, US Department of Commerce. Disponible en:

http://www.itl.nist.gov/div897/pubs/fip180-1.htm

RSA: Estándar criptográfico, desarrollado por RSA Laboratories. Disponible en:

http://www.rsa.com/X509 versión 3: formato definido en estándar ISO/IEC/ITU X.509. Disponible en:http://www.ietf.org/

X509 versión 2: formato definido en estándar ISO/IEC/ITU X.509. Disponible en:

http://www.ietf.org/internet-drafts/draft-ietf-pkix-ipki-part1-08.txt http://www.ietf.org/ANEXO IIMANUAL DE PROCEDIMIENTOSAutoridad CertificanteJefatura de Gabinete de MinistrosSubsecretaría de la Gestión PúblicaOficina Nacional de Tecnologías Informáticas1.- INTRODUCCION2.- DEFINICION DE ROLES2.1.- FUNCIONES DEL OPERADOR TÉCNICO DE LA AC-ONTI2.2.- FUNCIONES DEL RESPONSABLE DE LA AUTORIDAD DE REGISTRACIÓN LOCAL2.3.- FUNCIONES DEL OFICIAL CERTIFICADOR2.4.- FUNCIONES DEL RESPONSABLE DE SEGURIDAD INFORMÁTICA2.5.- DESIGNACIÓN2.6.- ENTREGA DE LOS DISPOSITIVOS CRIPTOGRÁFICOS2.7.- FUNCIONARIOS SUSTITUTOS2.8.- CESE DE FUNCIONES3.- SOLICITUD DE EMISION DEL CERTIFICADO3.1.- INICIACIÓN DEL PROCESO3.2.- VALIDACIÓN DE LA IDENTIDAD DEL SOLICITANTE3.2.1.- Registración centralizada3.2.1.1.- Verificación de datos por la Autoridad de Registración local3.2.1.2.- Verificación de datos vía área de recursos humanos3.2.1.3.- Procedimientos de excepción3.2.1.3.1.- Verificación de identidad a través del responsable del organismo3.2.1.3.2.- Servicio de registración itinerante3.2.2.- Registración Descentralizada3.2.2.1.- Procedimiento de designación del responsable de la Autoridad de Registración remota RARR)3-2-2-2- Procedimiento de solicitud de certificados ante el RARR3-2-2-3- Designación de auxiliares del RARR3-2-2-4- Procedimiento de solicitud de certificados ante el Auxiliar del RARR4- EMISION DEL CERTIFICADO5- CONTENIDO DEL CERTIFICADO6- REVOCACION DEL CERTIFICADO6-1- CLASES DE REVOCACIÓN6-1-1- Revocación voluntaria:6-1-2- Revocación obligatoria:6-2- AUTORIZADOS A PEDIR REVOCACIÓN6-3- REVOCACIÓN A SOLICITUD DEL SUSCRIPTOR O DE FUNCIONARIO AUTORIZADO6-3-1- Recepción e identificación6-3-2- Recepción por otros medios6-3-3- Procedimientos complementarios6-3-4- Actualización de repositorios de certificados revocados6-3-5- Emisión de listas de certificados revocados (CRLs)6-4- REVOCACIÓN DECIDIDA POR LA AC-ONTI7- EXPIRACION DEL CERTIFICADO7-1- RENOVACIÓN DE CERTIFICADOS8- RESPONSABILIDADES8-1- RESPONSABILIDAD DE LA AC-ONTI8-2- RESPONSABILIDAD DE LA AUTORIDAD DE REGISTRACIÓN REMOTA8-3- RESPONSABILIDAD DE LOS SUSCRIPTORES9- CONFIDENCIALIDAD10- INTERPRETACION Y OBLIGATORIEDAD11- AUDITORIAS11-1- ARCHIVOS DE AUDITORÍA11-2— COPIAS DE RESGUARDO DE ARCHIVOS DE TRANSACCIONES DE AUDITORÍA12- ARCHIVOS12-1- COPIAS DE RESGUARDO13- PLANES DE EMERGENCIA14- CONTROLES DE SEGURIDAD14-1- CONTROLES DE SEGURIDAD FÍSICA Y PERSONAL14-2- CONTROLES DE SEGURIDAD LÓGICA:14-3- CONTROLES DE SEGURIDAD DEL COMPUTADOR:15- CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS – CARACTERISTICAS16- ADMINISTRACION DE LA DOCUMENTACION TECNICA EMITIDA POR LA AC-ONTI 16-1- CAMBIOS A LA DOCUMENTACION TECNICA:16-2- PUBLICACION Y NOTIFICACION:1.- IntroducciónEl presente manual describe el conjunto de procedimientos utilizados por la Autoridad Certificante cuyas funciones son ejercidas por la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros (en adelante AC-ONTI) en el cumplimiento de sus responsabilidades de emisión y administración de certificados de clave pública emitidos a favor de sus suscriptores.Este Manual de Procedimientos forma parte de la documentación técnica emitida por la AC-ONTI junto con los siguientes documentos:

Política de CertificaciónPolítica de SeguridadManual de Procedimientos de SeguridadPlan de ContingenciasPlan de Cese de Actividades.

2.- Definición de rolesPara el cumplimiento de sus funciones, la AC-ONTI define los siguientes roles en su estructura: a) Operador Técnico de la AC-ONTIb) Responsable de la Autoridad de Registración de la AC-ONTIc) Oficial Certificador de la AC-ONTId) Sustitutos de los anteriormente mencionadose) Responsable de Seguridad InformáticaEl responsable de la AC-ONTI es el Director de la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros, o bien el funcionario que fuera designado a tal efecto.2.1. - Funciones del Operador Técnico de la AC -ONTIa) Administrar los recursos informáticos que integran la estructura de la AC-ONTI.b) Habilitar la intervención digital del Responsable de la Autoridad de Registración y del Oficial Certificador en los procesos de emisión y revocación de certificadosc) Archivar las copias de resguardo generadas por el sistema y la copia del software de la AC-ONTI d) Implementar y cumplir los procedimientos de seguridad.2.2. - Funciones del Responsable de la Autoridad de Registración locala) Recibir las solicitudes de nuevos certificados para suscriptores.b) Verificar los datos de identidad y de competencia del solicitante.c) Aprobar la emisión del certificado solicitado.d) Aprobar la revocación de certificadose) Archivar la información respaldatoria.En caso de utilizarse un esquema de Autoridades de Registración remotas, según se indica en el apartado 3.2.2, las funciones mencionadas serán cumplidas por el Responsable de la Autoridad de Registración remota.2.3. - Funciones del Oficial Certificadora) Ser el depositario de la clave privada de la AC-ONTI.b) Firmar digitalmente los certificados de los suscriptores.c) Firmar digitalmente las listas de certificados revocados (CRLs).2.4. - Funciones del Responsable de Seguridad InformáticaLas funciones del Responsable de Seguridad Informática se definen en la Política de Seguridad de la AC-ONTI2.5. - DesignaciónCada uno de los responsables de los roles mencionados será designado por Disposición de la máxima autoridad de la Oficina Nacional de Tecnologías Informáticas, comunicándose dicho nombramiento a cada una de las partes involucradas. Estas deberán notificarse debidamente, manifestando por escrito su aceptación del cumplimiento de las obligaciones inherentes a su función. 2.6. - Entrega de los dispositivos criptográficosAl momento de la entrega de los dispositivos criptográficos a los distintos responsables (Oficial Certificador y Responsable de la Autoridad de Registración) se procederá a labrar un acta como respaldo.El Oficial Certificador y el Responsable de la Autoridad de Registración deben conservar los dispositivos criptográficos bajo su absoluto y exclusivo control, para lo cual cumplirán los procedimientos indicados en el Manual de Procedimientos de Seguridad. El Oficial Certificador sólo utilizará el dispositivo criptográfico de firma en presencia de otro funcionario designado según lo establecido en el apartado anterior.2.7. - Funcionarios sustitutosLos funcionarios designados como sustitutos para cubrir los roles descriptos en el apartado 2 reemplazarán a los responsables mencionados en caso de ausencia temporaria de éstos. El reemplazo continuará hasta tanto el responsable ausente se reintegre a sus actividades o se nombre un nuevo titular. El procedimiento a seguir se encuentra definido en el Plan de Contingencias.2.8. - Cese de funcionesEn caso de renuncia de alguno de los responsables, remoción en su cargo o cambio en el rol asignado, el sustituto designado lo reemplazará en forma permanente. En estos casos el responsable que no continúe con sus actividades debe entregar el dispositivo criptográfico que tenga en su poder al responsable de la AC-ONTI. Se procederá asimismo a la destrucción de las claves de activación correspondientes al dispositivo y a su copia de resguardo, a la entrega del dispositivo al nuevo responsable, a la generación de la nueva clave de activación y a la entrega de la copia de resguardo y clave de activación al responsable de su custodia.Todo lo actuado deberá figurar en un acta que será firmada por los responsables intervinientes y por el responsable de la AC-ONTI.Toda nueva designación para cubrir los roles mencionados en el apartado 2 así como cualquier modificación en los servicios brindados o documentación técnica a utilizar debe ser aprobada por el responsable de la AC-ONTI y notificada según lo indicado en el presente apartado. 3.- Solicitud de emisión del certificado3.1. - Iniciación del procesoTodo suscriptor de un certificado en los términos del presente documento debe iniciar el trámite de solicitud ingresando al sitio web de la AC-ONTI (http://ca.pki.gov.ar). Debe completar el formulario de solicitud de certificado, incluyendo sus datos identificatorios, generar su propio par de claves y remitir todo el conjunto de datos en formato PKCS#10 a la AC-ONTI.El solicitante obtendrá el valor de la función de hash SHA-1 para la clave pública del requerimiento de certificado en formato PKCS#10. Este código identificatorio le será pedido para validar su identidad y la integridad de la solicitud ante la AC-ONTI.El procedimiento indicado debe ser cumplido por todos los suscriptores de certificados, independientemente del esquema de identificación utilizado por la AC-ONTI según se describe en los apartados siguientes.3.2. - Validación de la identidad del solicitanteLos procedimientos a utilizar para la identificación de los solicitantes de certificados diferirán en función de los distintos esquemas de registración admitidos por la AC-ONTI.3.2.1.- Registración centralizada3.2.1.1.- Verificación de datos por la Autoridad de Registración localEn este caso, el Responsable de la Autoridad de Registración local tiene a su cargo la verificación de los datos del suscriptor. Este debe iniciar el pedido de emisión del certificado, ingresando al sitio web de la AC-ONTI, completando el formulario de solicitud de certificado, generando su par de claves y remitiendo datos y clave pública a la AC-ONTI.Posteriormente debe presentarse personalmente ante el Responsable de la Autoridad de Registración local, con nota firmada por el máximo responsable de la Oficina de Recursos Humanos del organismo al que pertenece, certificada por su Mesa de Entradas, Salidas y Archivo. En la nota deberá especificarse:a) Nombre y Apellidob) Documento de Identidad (DNI u otro de validez nacional)c) Jurisdicción/Organismo/Dependencia/CargoDeberá presentar además su documento de identidad (original y fotocopia) y el código de identificación del requerimiento. El Responsable de la Autoridad de Registración local verificará:a) Que el documento corresponde a la persona que se presentó.b) Que dicha persona es aquella cuyos datos figuran en la nota presentada. A tal fin debe cotejar los datos del documento con los que figuran en la mencionada nota. Verificará que la misma haya sido certificada por la Mesa de Entradas, Salidas y Archivo del organismo.c) Que el código de identificación del requerimiento coincide con el cálculo de la función de hash SHA-1 aplicada a la solicitud que será utilizada para la emisión del certificado (ver apartado 4). El Responsable de la Autoridad de Registración local está facultado para solicitar cualquier tipo de documentación adicional que considere necesaria a efectos de cumplimentar el proceso de identificación.Efectuada la validación de identidad, el Responsable de la Autoridad de Registración local devolverá el documento de identidad al solicitante, inicialará la fotocopia del mismo y la nota presentada, en prueba de conformidad. Posteriormente, procederá a archivar toda la documentación de respaldo según lo previsto en el apartado 12.Cumplida la etapa de validación de la identidad del solicitante, el Responsable de la Autoridad de Registración local puede:a) Aprobar la emisión del certificado.b) Suspender el requerimiento, si no se han reunido elementos de juicio suficientes para validar la identidad del solicitante según los procedimientos indicados. En este caso se informará al solicitante acerca de los elementos necesarios para finalizar satisfactoriamente el proceso de validación de su identidad. El solicitante tendrá un plazo de DIEZ (10) días para proveer la información complementaria que se le solicite, vencido el cual deberá reiniciar el proceso de solicitud de emisión del certificado, efectuando un nuevo requerimiento de emisión.En caso que el proceso de validación de la identidad del solicitante no hubiera finalizado satisfactoriamente, debe dejarse constancia de lo acontecido en un acta que será firmada por el Responsable de la Autoridad de Registración local y el solicitante cuya identidad no se hubiera podido verificar. En ella se indicará el plazo para la nueva presentación. Se efectuarán dos copias del acta, entregándose un ejemplar al solicitante quien acusará recibo. El otro ejemplar y el acuse de recibo de la copia serán archivados por el Responsable de la Autoridad de Registración local. Si el proceso de validación de identidad ha sido exitoso, interviene el Oficial Certificador quien procede a verificar el cumplimiento de las distintas instancias del proceso, haciéndolo constar en la documentación recibida. A continuación, se iniciará el proceso de emisión del certificado.3.2.1.2.- Verificación de datos vía área de recursos humanosDefinimos los siguientes roles en el proceso de validación de la identidad:a) El Responsable de la Autoridad Registración local, quien validará la identidad del suscriptor.b) El Responsable del área de Recursos Humanos del organismo, quien será encargado de validar los datos complementarios del suscriptor (jurisdicción, organismo, dependencia y cargo del suscriptor del certificado).De ser necesario, el responsable mencionado podrá ser reemplazado por otro funcionario perteneciente al área de Recursos Humanos. Este debe ser designado mediante nota firmada por el máximo responsable de la misma, intervenida por la Mesa de Entradas, Salidas y Archivo del organismo donde ésta resida. En la nota debe nombrarse al funcionario o agente como responsable de la verificación de los datos complementarios del suscriptor, incluyendo su dirección de correo electrónico.El procedimiento a seguir para la emisión del certificado del funcionario de la Oficina de Recursos Humanos seguirá los pasos indicados en el apartado anterior.El suscriptor debe iniciar la solicitud de emisión del certificado, ingresando al sitio web de la ACONTI y completando el formulario de requerimiento, generando su par de claves y remitiendo datos y clave pública a la AC-ONTI.El Responsable de la Autoridad de Registración local recibirá la solicitud y enviará un formulario digital firmado digitalmente solicitando la verificación de los datos complementarios al responsable del área de Recursos Humanos. Si los datos son correctos, éste lo especificará en el campo Anexo y devolverá el formulario recibido firmándolo digitalmente.En caso que los datos complementarios hayan sido verificados correctamente, el Responsable de la Autoridad de Registración local convocará al suscriptor quien deberá presentarse portando documento de identidad y fotocopia y el código de identificación del requerimiento. El Responsable de la Autoridad de Registración local verificará:a) Que el documento corresponde a la persona que se presentó.b) Que dicha persona es aquella cuyos datos figuran en el formulario digital validado por el responsable del área de Recursos Humanos. A tal fin debe cotejar los datos del documento con los que figuran en dicho formulario.c) Que el código de identificación del requerimiento coincide con el cálculo de la función de hash SHA-1 aplicada a la solicitud que será utilizada para la emisión del certificado (ver apartado 4) Efectuada la validación de identidad, el Responsable de la Autoridad de Registración local devolverá el documento de identidad al solicitante, inicialará la fotocopia del mismo y el formulario recibido, en prueba de conformidad. Posteriormente, procederá a archivar toda la documentación de respaldo según lo previsto en el apartado 12.Cumplida la etapa de validación de la identidad del solicitante, se continuará con el proceso de emisión del certificado según lo establecido en el apartado anterior.En caso de que existieran discrepancias en los datos recibidos, el responsable del área de Recursos Humanos lo especificará en el campo Anexo y devolverá el formulario firmado digitalmente. En tal caso, el Responsable de la Autoridad de Registración local se contactará con el solicitante, a fin de que éste convalide la corrección y efectúe un nuevo requerimiento de certificado. Se dejará constancia escrita de lo actuado, firmada por el Responsable de la Autoridad de Registración local.3.2.1.3.- Procedimientos de excepciónEn casos de excepción, se utilizarán los procedimientos indicados a continuación a fin de validar la identidad del suscriptor:3.2.1.3.1.- Verificación de identidad a través del responsable del organismoExcepcionalmente se admitirá la emisión del certificado sin la concurrencia personal del suscriptor ante el Responsable de la Autoridad de Registración local. En tal caso, el suscriptor debe completar el formulario de solicitud de certificado a través de la interfaz web, generando su par de claves y remitiendo datos y clave pública a la AC-ONTI.El suscriptor debe presentarse personalmente ante la máxima autoridad del organismo al que pertenece a fin de efectuar la validación de su identidad. Para ello debe acompañar su documento de identidad (original y fotocopia) y una nota firmada por el máximo responsable del área de Recursos Humanos del organismo, o bien de un funcionario perteneciente a dicha oficina nombrado según lo dispuesto en 3.2.1.2, consignando los siguientes datos:a) Nombre y Apellidob) Documento de Identidadc) Jurisdicción/Organismo/Dependencia/Cargod) Código de identificación del requerimiento del certificadoEfectuada la validación, la máxima autoridad del organismo remitirá al Responsable de la Autoridad de Registración local una nota firmada e intervenida por Mesa de Entradas, Salidas y Archivo en la que indicará su conformidad con la información recibida del suscriptor, informando el código de identificación del requerimiento. El Responsable de la Autoridad de Registración local verificará la nota recibida y la correspondencia de los datos informados con los que figuraban en el requerimiento. De ser correcta la verificación, archivará la documentación de respaldo y continuará con el proceso de emisión del certificado según lo previsto en el apartado 3.2.1.1.3.2.1.3.2.- Servicio de registración itineranteEn caso que la aprobación de la emisión del certificado sea requerida en el lugar de trabajo del funcionario solicitante, el Responsable de la Autoridad de Registración local debe concurrir a la misma a efectos de efectuar la validación de la identidad del suscriptor.El funcionario solicitante debe completar a través de la interfaz web el formulario de solicitud de certificado, generando su par de claves y remitiendo datos y clave pública a la AC-ONTI.El funcionario solicitante debe presentar su nombramiento (Decreto o Resolución), su documento de identidad (original y fotocopia) y copia del código de identificación del requerimiento del certificado.Firmará la fotocopia de su documento y la copia del código mencionado, acreditando haber efectuado el requerimiento. El Responsable de la Autoridad de Registración verificará que el documento corresponde al funcionario, inicialando su fotocopia en prueba de validez.Efectuadas las mencionadas verificaciones, el Responsable de la Autoridad de Registración local accederá a través de una conexión segura a la AC-ONTI, a fin de efectuar la aprobación de todos los atributos del requerimiento, continuándose con el proceso de emisión del certificado.3.2.2.- Registración DescentralizadaPodrá admitirse la existencia de Autoridades de Registración fuera del organismo donde reside la AC-ONTI. En tal caso, la Autoridad de Registración que se constituya tendrá a su cargo el proceso de validación personal de la identidad de los suscriptores de certificados que se postulen por su intermedio. A fin de cumplir con los procedimientos de validación de identidad de los suscriptores, deberá designar un funcionario Responsable de la Autoridad de Registración remota y su correspondiente sustituto. Ambos deben ser designados por Resolución de la máxima autoridad del organismo donde se constituya la Autoridad de Registración, informándose a la AC-ONTI de tal nombramiento. Asimismo, las Autoridades de Registración constituidas en forma remota podrán recibir la colaboración de Auxiliares, quienes colaborarán en el proceso de validación de la identidad de los suscriptores de certificados. Los mencionados auxiliares serán designados por Resolución de la máxima autoridad del organismo donde se constituyan.En caso de constituir Autoridades de Registración en jurisdicción de los Poderes Judiciales provinciales, los respectivos Responsables y sustitutos serán designados por Acordada/Resolución de la Suprema Corte/Superior Tribunal de Justicia/Consejo de la Magistratura/Procuración General o Defensoría o bien por Resolución firmada por la autoridad responsable de la Superintendencia de la jurisdicción. Idéntica modalidad se utilizará para la designación de los auxiliares de los responsables mencionados. Los funcionarios integrantes de los organismos indicados participarán en los procesos de designación según lo establecido en los apartados 3.2.2.1.2 y 3.2.2.3.2.Los procedimientos de designación de los responsables mencionados y de validación de la identidad de los suscriptores que utilicen el presente esquema de registración son los siguientes:3.2.2.1.- Procedimiento de designación del responsable de la Autoridad de Registración remota (RARR)1. Funcionario responsable de la Autoridad de Registración remotaa) Ingresa al sitio web de la AC-ONTIb) Efectúa el requerimiento y genera su par de claves.c) Envía el requerimiento a la AC-ONTI. Obtiene una nota de confirmación de su recepción, que incluye:I. Datos personalesII. Código de identificación del requerimientoa) Obtiene una nota de aceptación de condiciones y responsabilidades inherentes al cumplimiento de la función de RARR.b) Imprime y firma ambas notas (confirmación y aceptación).1. Máxima autoridad del organismoa) Recibe la nota de confirmación de recepción del requerimiento del funcionario designado como RARR.b) Emite la designación (Resolución u otro nombramiento según lo establecido en 3.2.2) del funcionario como RARR, incluyendo:I. Nombre y Apellido del funcionario designadoII. Organismo al que perteneceIII. Cargoa) La máxima autoridad del organismo o el funcionario competente que hubiera firmado la designación deberán asimismo intervenir la nota de confirmación, acreditando de tal forma que el requerimiento fuera efectuado por el RARR designado. Opcionalmente, podrán incluir el código de identificación del requerimiento y la mencionada acreditación en el nombramiento.El nombramiento firmado por funcionarios competentes, la nota de aceptación y de confirmación son remitidas a la AC-ONTI1. AC-ONTI:Responsable de la Autoridad de Registración Local (RARL)a) Recibe el nombramiento y las notas de aceptación y de confirmaciónb) Verifica su integridad, la coincidencia de los datos indicados en ambas notas y las firmas indicadas en 2.c) Verifica que el código identificatorio del requerimiento informado en la nota de confirmación coincida con el cálculo de la función de hash SHA-1 aplicada a la solicitud que será utilizada para la emisión del certificado.d) Si la verificación es exitosa aprueba los atributos del requerimiento, aprobando la emisión del certificado para el RARR.e) Por último, archiva la documentación de respaldo del proceso de validación de identidad (nombramiento, nota de confirmación y nota de aceptación). Oficial CertificadorFirma el nuevo certificado incorporándolo a la lista de Autoridades de Registración habilitadas, informando al RARR de la emisión del certificado a través de un mensaje de correo electrónico firmado digitalmente.3-2-2-2- Procedimiento de solicitud de certificados ante el RARR1. Solicitantea) Ingresa al sitio web de la AC-ONTI.b) Efectúa el requerimiento y genera su par de claves.c) Envía el requerimiento a la AC-ONTI. Obtiene una nota de confirmación de su recepción, que incluye:I. Nombre y Apellido del solicitanteII. Organismo al que perteneceIII. CargoIV. Código de identificación del requerimientod) Imprime y firma la nota recibida.e) Valida su identidad personalmente ante el RARR presentando la nota de confirmación firmada y su documento de identidad.1. Responsable de la Autoridad de Registración Remotaa) Verifica integridad de la nota de confirmación.b) Valida la identidad del solicitante mediante la verificación de su documento de identidad.c) Firma la nota como constancia de verificación de la identidad del solicitante y de la realización del requerimiento.d) Verifica la validez de los datos que figuran en la nota y su correspondencia con los que figuran en la interfaz web, incluyendo el código de identificación del requerimiento.e) Si los controles son exitosos, aprueba la emisión del certificado.f) Informa la aprobación a la AC-ONTI a través un correo electrónico firmado digitalmente.g) Archiva la documentación de respaldo del proceso de validación (nota de confirmación y fotocopia de documento de identidad).3. AC-ONTIOficial Certificadora) Recibe la aprobación.b) Firma el nuevo certificado informando al suscriptor acerca de su emisión a través de un mensaje de correo electrónico firmado digitalmente.En caso de constituir Autoridades de Registración en jurisdicción de los Poderes Judiciales provinciales, se admitirá la intervención del Secretario del Juzgado a fin de firmar la nota de confirmación como constancia de realización de los controles indicados en 3.2.2.2.2.a y 3.2.2.2.2.b A continuación, remitirá la nota mencionada al RARR, continuando el proceso de emisión con los procedimientos previstos. Si el solicitante fuera el titular del Juzgado, la nota de confirmación podrá ser firmada por dicho funcionario, remitiéndola posteriormente al RARR.Este procedimiento alternativo será de aplicación en el proceso de solicitud de certificados ante el auxiliar del RARR (apartados 3-2-2-4-2-a y 3-2-2-4-2-b).3-2-2-3- Designación de auxiliares del RARR1. Auxiliar del RARRa) Ingresa al sitio web de la AC-ONTI.b) Efectúa el requerimiento y genera su par de claves.c) Envía el requerimiento a la AC-ONTI. Obtiene una nota de confirmación de su recepción, que incluye:I. Datos personalesII. Código de identificación del requerimientoIII. Obtiene una nota de aceptación de condiciones y responsabilidades inherentes al cumplimiento de la función de auxiliar del RARR en el proceso de validación.IV. Imprime y firma ambas notas (confirmación y aceptación).1. Máxima autoridad del organismo donde se constituye el auxiliar del RARR.a) Recibe la nota de confirmación del funcionario designado como auxiliar del RARR.b) Emite designación (Resolución u otro nombramiento según lo establecido en 3.2.2) del funcionario como RARR, incluyendo:I. Nombre y Apellido del funcionario designado.II. Organismo.III. Cargo.a) La máxima autoridad del organismo o el funcionario competente que hubiera firmado la designación deberán asimismo intervenir la nota de confirmación, verificando la validez de los datos incluídos en ella y su correspondencia con los que figuran en la interfaz web, acreditando de tal forma que el requerimiento fuera efectuado por el RARR designado. Opcionalmente, podrán incluir el código de identificación del requerimiento y la mencionada acreditación en el nombramiento.El nombramiento firmado por funcionarios competentes y la nota de aceptación y de confirmación son remitidas al RARR de la jurisdicción.1. Responsable de la Autoridad de Registración Remotaa) Recibe el nombramiento y la nota de aceptación y de confirmaciónb) Verifica su integridad, la coincidencia de los datos indicados en ambas notas y las firmas indicadas en 2.c) Verifica que el código identificatorio del requerimiento informado en la nota de confirmación coincida con el cálculo de la función de hash SHA-1 aplicada a la solicitud que será utilizada para la emisión del certificado.d) Si la verificación es exitosa aprueba los atributos del requerimiento, aprobando la emisión del certificado para el RARR.e) Archiva la documentación respaldatoria del proceso de validación (nombramiento y notas de confirmación y aceptación).1. AC-ONTIOficial Certificadora) Recibe la autorizaciónb) Firma el nuevo certificado informando al Auxiliar del RARR acerca de su emisión a través de un mensaje de correo electrónico firmado digitalmente.3-2-2-4- Procedimiento de solicitud de certificados ante el Auxiliar del RARR1. Solicitantea) Ingresa al sitio web de la AC-ONTIb) Efectúa el requerimiento y genera su par de claves.c) Envía el requerimiento a la AC-ONTI. Obtiene una nota de confirmación de su recepción, que incluye:I. Nombre y Apellido del solicitanteII. Organismo al que perteneceIII. CargoIV. Código de identificación del requerimientoa) Imprime y firma la nota obtenida.b) Valida su identidad personalmente ante el auxiliar del RARR presentando la nota de confirmación firmada y su documento de identidad.1. Auxiliar del RARRa) Verifica integridad de la nota de confirmaciónb) Valida la identidad del solicitante mediante la verificación de su documento de identidadc) Firma la nota de confirmación como constancia de verificación de la identidad del solicitante y de la realización del requerimientod) Informa al RARR de su jurisdicción acerca de la verificación efectuada. A tal fin el auxiliar podrá comunicarlo:I. por correo electrónico firmado digitalmente, incluyendo todos los datos contenidos en la nota de confirmación. En este caso el auxiliar conservará la documentación de respaldo del requerimiento (nota de confirmación y fotocopia del documento de identidad)II. por correo remitiendo la nota de confirmación firmada y fotocopia del documento de identidad del solicitante. En este caso, el auxiliar conservará copia de la documentación remitida.1. Responsable de la Autoridad de Registración Remotaa) Verifica integridad de la información recibidab) Verifica que los datos coincidan con los atributos del certificado que figuran en la interfaz web y su coincidencia con el código de identificación del requerimientoc) Si los controles son exitosos, aprueba la emisión de certificadod) Informa la aprobación a la AC-ONTI a través un correo electrónico firmado digitalmentee) Archiva la documentación de respaldo que hubiera recibido (nota de confirmación y fotocopia de documento de identidad) en caso de haberse cumplido el procedimiento indicado en 2.d.II.1. AC-ONTIOficial Certificadora) Recibe la aprobaciónb) Firma el nuevo certificado informando al suscriptor acerca de su emisión a través de un mensaje de correo electrónico firmado digitalmente.4- Emisión del certificadoUna vez finalizado exitosamente el proceso de validación de la identidad del suscriptor según los procedimientos indicados en el apartado 3, se iniciará el proceso de emisión del certificado. Este comprende los siguientes procedimientos:a) El Responsable de la Autoridad de Registración local accede al sistema, selecciona el requerimiento de certificado, verifica sus atributos con los que figuran en la nota presentada y controla que su código de identificación coincida con el informado. De ser exitosos los controles, ingresa su dispositivo de firma a fin de firmar la aprobación de la emisión. En caso de intervenir una Autoridad de Registración remota en la validación de la identidad del solicitante, el procedimiento mencionado será efectuado en forma remota por el Responsable de dicha Autoridad de Registración (RARR).De utilizarse el servicio de registración itinerante previsto en el apartado 3-2-1-3-2, el procedimiento mencionado se efectuará en forma remota por el Responsable de la Autoridad de Registración local.b) El Oficial Certificador ingresa al sistema, verificando la lista de certificados cuya emisión ha sido aprobada y aún no han sido firmados. A continuación habilita la clave privada de la AC-ONTI ingresando su dispositivo de firma y procede a firmar los certificados. c) El solicitante recibirá un mensaje de correo electrónico que le informará acerca de la emisión de su certificado.d) Por último, se cierran todos los servicios. Se entiende que el solicitante acepta la totalidad de las obligaciones establecidas por la Política de Certificación de la AC-ONTI y por este Manual de Procedimientos a partir de la fecha y hora de inicio de validez del certificado emitido. En consecuencia, asume la absoluta y exclusiva responsabilidad por su utilización, y por los daños emergentes que la no observancia de la regulación pudiera implicar. 5- Contenido del certificadoEl certificado de clave pública debe contener como mínimo los siguientes datos:a) Número de versión X.509 del certificadob) Nombre y apellido del suscriptor del certificado.c) Localidad, provincia y país de residencia habitual.d) Dirección de correo electrónico.e) Clave pública del suscriptor.f) Algoritmos de firma de la clave pública.g) Número de serie del certificado.h) Período de validez del certificado.i) Nombre de la Autoridad Certificante emisora del certificado.j) Dirección de consulta de la lista de certificados revocados (CRL).k) URL donde se encuentra disponible esta Política de Certificación.6- Revocación del Certificado6 -1 - Clases de revocación6-1-1- Revocación voluntaria:El suscriptor de un certificado puede solicitar su revocación por cualquier motivo y en cualquier momento, para lo cual debe comunicarlo a la AC-ONTI siguiendo el procedimiento que establece este manual.6-1-2- Revocación obligatoria:Un suscriptor debe obligatoriamente pedir la revocación de su certificado cuando:a) Se produzcan cambios en la información que el certificado contiene o ésta se desactualice.b) La clave privada asociada al certificado de clave pública, o el medio en que se encuentre almacenada se encuentren comprometidos o corran peligro de estarlo.c) Se produzca el cese de su relación laboral con el organismo, dependencia o institución, sin perjuicio de la obligación que le corresponde al responsable del área de Recursos Humanos del organismo donde desempeña sus funciones.La AC-ONTI debe obligatoriamente revocar el certificado de un suscriptor en las siguientes situaciones:a) A solicitud del suscriptor cuando se verifiquen los procedimientos de recepción y validación establecidos en los apartados 6.3.1 y 6.3.2 de este manual.b) A solicitud del responsable del área de recursos humanos o de la máxima autoridad del organismo o dependencia cuando se verifiquen los procedimientos de recepción y validación establecidos en los apartados 6.3.1 y 6.3.2 de este manual.c) Ante incumplimiento por parte del suscriptor de las obligaciones establecidas por el Decreto N° 427/98, por la Política de Certificación de la AC-ONTI, por este Manual de Procedimientos o cualquier otro acuerdo, regulación o ley aplicable al certificado.d) Si toma conocimiento que existe sospecha que la clave privada del suscriptor se encuentra comprometida.e) Si la AC-ONTI determina que el certificado no fue emitido de acuerdo a los lineamientos del Decreto N°427/98, de la Política de Certificación, de este Manual de Procedimientos o de los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional. En caso que el suscriptor cese en su vinculación laboral, el responsable del área de Recursos Humanos del organismo, dependencia o institución donde se desempeñara, o en su caso, el funcionario que administre el registro de personal, está obligado a informar de inmediato a la AC-ONTI acerca de tal situación, a fin de efectuar la correspondiente revocación.6 -2 - Autorizados a pedir revocaciónSólo pueden pedir la revocación de un certificado:a) El suscriptor, si se da alguno de los supuestos de revocación indicados en el apartado 6-1-2.b) La máxima autoridad del organismo o dependencia donde se desempeñe el suscriptor o bien el responsable del área de Recursos Humanos o el funcionario que administre el registro de personal. 6 -3 - Revocación a solicitud del suscriptor o de funcionario autorizado6-3-1- Recepción e identificaciónProducida una causa de revocación del certificado, el suscriptor del certificado, o bien alguno de los responsables indicados en el apartado 6-2-b deben comunicarlo a la AC-ONTI..Son aceptados los pedidos de revocación que se efectúen por los siguientes medios:a) A través del sitio web de la AC-ONTI.b) Por correo electrónico firmado digitalmente por el suscriptor, el responsable del área de Recursos Humanos o la máxima autoridad del organismo o dependencia donde aquel desempeñe sus funciones. El texto del mensaje debe incluir los datos personales del suscriptor y la causa que origina el pedido de revocación y se dirigirá al Responsable de la Autoridad de Registración de la AC-ONTI, quien revocará el certificado.c) Personalmente, presentándose alguno de los funcionarios mencionados ante el Responsable de la Autoridad de Registración de la AC-ONTI. Si quien concurre es el suscriptor, se dará curso al pedido de revocación en forma inmediata, previa verificación de su documento de identidad. Si quien concurre es un funcionario autorizado, debe acreditar su identidad mediante presentación de su documento de identidad y copia de su nombramiento o nota de autorización firmada por la máxima autoridad del organismo o dependencia certificada por Mesa de Entradas, Salidas y Archivo. Se acompañará una nota de solicitud de revocación firmada por la máxima autoridad del organismo o dependencia o por el responsable del área de Recursos Humanos.d) Dada la urgencia del caso, el Responsable de la Autoridad de Registración de la AC-ONTI puede autorizar la revocación obviando la presentación del pedido de revocación y efectuando una confirmación telefónica de la solicitud.6-3-2- Recepción por otros mediosEl Responsable de la Autoridad de Registración se encuentra facultado para aceptar las solicitudes de revocación de certificados que reciba por otros medios (teléfono o fax). En estos casos debe verificar telefónicamente la identidad de quien efectuara el pedido de revocación, solicitando su número de documento de identidad y verificándolo con los datos del solicitante del certificado que figuran en sus archivos. De no ser posible dicha verificación, podrá aceptar la solicitud de revocación si a su juicio la urgencia de la situación lo justifica, debiendo efectuar las verificaciones que estime necesarias para validar la identidad del solicitante.En caso de constituirse Autoridades de Registración remotas, los procedimientos de recepción de solicitudes de revocación indicados serán cumplidos por el Responsable de la Autoridad de Registración remota (RARR).6-3-3- Procedimientos complementariosEn todos los casos en que se efectúe una revocación se labrará un acta en la que conste lo actuado en el proceso mencionado, firmada por el Responsable de la Autoridad de Registración y el Oficial Certificador. Un ejemplar del acta quedará a disposición del solicitante de la revocación; el otro ejemplar del acta quedará en poder del Responsable de la Autoridad de Registración para su archivo.6-3-4- Actualización de repositorios de certificados revocadosRecibida y aceptada una solicitud de revocación el certificado será revocado automáticamente. El repositorio con el estado de los certificados se actualizará de inmediato. 6-3-5- Emisión de listas de certificados revocados (CRLs)La ACL-ONTI emite semanalmente una lista de certificados revocados actualizada.Asimismo, toda vez que se produzca una revocación, la AC-ONTI emite una lista de certificados revocados actualizada en un plazo máximo de VEINTICUATRO (24) horas de aceptada la solicitud.Dicha lista indica claramente la fecha y la hora de la última actualización.El Oficial Certificador de la AC-ONTI es el responsable de firmar digitalmente la lista de certificados revocados, pudiendo utilizar el mismo par de claves utilizado para firmar certificados.El acceso a las listas de certificados revocados es público, no pudiendo establecerse ninguna clase de restricción. Se encuentra disponible en el sitio web de la AC-ONTI, en el siguiente URL:http://www.pki.gov.ar/ol/crl6 -4 - Revocación decidida por la AC -ONTISi la AC-ONTI toma conocimiento, por cualquier medio que fuera, acerca de irregularidades cometidas por el suscriptor de un certificado, las cuales, a su juicio, impliquen un posible incumplimiento de sus obligaciones que puedan originar causales de revocación, debe iniciar de inmediato la investigación pertinente.En caso de confirmar dicho incumplimiento, la AC-ONTI procede a revocar de inmediato el certificado comprometido.De toda denuncia o notificación que se reciba e investigación que se inicie, así como sus resultados, debe dejarse documentación respaldatoria asentada en archivos que estarán a disposición del Organismo Auditante. Lo mismo debe hacerse con los incumplimientos que se detecten y que motiven revocación de certificados.7- Expiración del certificadoTodos los certificados emitidos por la AC-ONTI a favor de suscriptores tienen un período de vigencia de UN (1) año, contados a partir de la fecha de emisión. Esta información consta expresamente en el certificado.Transcurrido el plazo mencionado, el certificado expirará automáticamente, perdiendo toda validez.En tal caso, el suscriptor debe gestionar uno nuevo, para lo cual iniciará el correspondiente proceso de solicitud de emisión.7 -1 - Renovación de certificadosUn suscriptor puede solicitar la renovación de su certificado dentro de los TREINTA (30) días anteriores a la fecha de su vencimiento. La utilización de este procedimiento de renovación evitará que aquella deba presentar nuevamente la documentación necesaria para emitir un certificado nuevo. El período de validez del certificado renovado se extenderá por UN (1) año a partir de la fecha de la renovación. El suscriptor efectuará su solicitud de renovación vía interfaz web, identificándose con su certificado vigente. El Responsable de la Autoridad de Registración recibe las solicitudes de renovación, verificando que el certificado a renovar se encuentra vigente. Efectuado el control mencionado, aprobará la renovación, interviniendo el Oficial Certificador quien emitirá el nuevo certificado que tendrá la misma clave pública que el certificado vencido.En caso de constituirse Autoridades de Registración remotas, los procedimientos de recepción de solicitudes de renovación indicados serán cumplidos por el Responsable de la Autoridad de Registración remota (RARR).8- Responsabilidades8 -1 - Responsabilidad de la AC -ONTIEn el cumplimiento de sus funciones relativas a la emisión y administración de certificados, la ACONTI garantiza:a) Que el certificado ha sido emitido siguiendo las pautas establecidas en el Manual de Procedimientos para la validación de los datos en él incluidos.b) Que el certificado satisface todos los requisitos exigidos por el Decreto N° 427/98.c) Que los algoritmos y longitudes de claves utilizados cumplen con la última versión aprobada por la Autoridad de Aplicación en relación a los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional.d) Que el certificado será publicado de acuerdo a lo dispuesto en la Política de Certificación.8 -2 - Responsabilidad de la Autoridad de Registración remotaa) Dar cumplimiento a los procedimientos establecidos en la Política de Certificación de la AC-ONTI, de este Manual de Procedimientos y de las normas reglamentarias sobre firma digital. b) Mantener el control de su clave privada e impedir su divulgación.c) Solicitar la inmediata revocación de su certificado en caso de compromiso de la clave privada.d) Resguardar el secreto de su clave privada aún en caso de que el certificado se encuentre expirado. e) Solicitar la inmediata revocación de su certificado en caso de producirse algún cambio en su situación laboral que implique la discontinuidad de su función como Responsable de la Autoridad de Registración remota (RARR).f) Mantener actualizados los certificados emitidosg) Permitir las auditorías y controles necesarios para garantizar la seguridad de la operatoria del sistema. h) Mantener el archivo y resguardo de la informacióni) Mantener la debida confidencialidad respecto a toda información recibida durante el desempeño de su función, cumpliendo las previsiones establecidas en el apartado 9.8 -3 - Responsabilidad de los SuscriptoresEs responsabilidad de los suscriptores de certificados mantener informada a la AC-ONTI acerca de cualquier cambio en la información que se incluya en los mismos. En particular el suscriptor es responsable de informar a la AC-ONTI acerca del cese de su relación laboral con el organismo o dependencia del que dependiera al momento de efectuar la solicitud del certificado. Las responsabilidades mencionadas se hacen extensivas al responsable del área de Recursos Humanos del organismo o dependencia del que dependiera el suscriptor o al funcionario que administre el registro de personal.9- ConfidencialidadLa información referida a los suscriptores recibida o generada por la AC-ONTI puede clasificarse en:a) No confidencial: la información que obligatoriamente debe figurar en el certificado según lo indicado en la Política de Certificación.b) Confidencial: toda otra información recibida o generada por la AC-ONTI en el proceso de identificación, emisión y administración del certificado, no incluida en el mismo, así como cualquier otra información vinculada a la operatoria de la AC-ONTI.La información considerada confidencial no puede ser revelada por la AC-ONTI a terceros bajo ninguna circunstancia, excepto que se dé alguno de los siguientes supuestos:a) Que exista consentimiento previo del suscriptor para su divulgación.b) Esta autorización debe otorgarse a través de un mensaje de correo electrónico firmado digitalmente por el suscriptor o bien personalmente por éste, debiendo validar su identidad siguiendo los procedimientos previstos en el apartado 3-2-1-1 en cuanto sean pertinentes.c) Que la información sea requerida legalmente, por orden judicial emanada de juez competente. Toda solicitud de información confidencial que se reciba es archivada por el Responsable de la Autoridad de Registración en las condiciones establecidas en el apartado 12.La información acerca de las causas de la revocación de un certificado es considerada confidencial y sujeta a las mencionadas restricciones informativas.El deber de confidencialidad debe notificarse por escrito a todo el personal, como requisito de su designación. 10- Interpretación y obligatoriedadLa interpretación de toda la documentación técnica emitida por la AC-ONTI se encuentra sometida a lo dispuesto en el Decreto N° 427/98 y sus resoluciones reglamentarias.Las disposiciones contenidas en los documentos indicados emitidos en acuerdo a la normativa mencionada son de aplicación obligatoria para los sujetos involucrados. Se considera que éstos se han notificado de tal circunstancia a partir de la fecha y hora de inicio de validez del certificado emitido. Toda discrepancia respecto de la interpretación y/o aplicación de las políticas y procedimientos, así como los conflictos que pudieran suscitarse entre la AC-ONTI y el suscriptor del certificado, serán resueltos por la Autoridad de Aplicación11- AuditoríasSegún lo establecido por el Art. 81 de la Ley 11.672 y el Art. 61 de la Ley 25.237, la Sindicatura General de la Nación cumple funciones de Organismo Auditante de las Autoridades Certificantes que conforman la Infraestructura de Firma Digital del Sector Público Nacional. El propósito de las auditorías es verificar que las Autoridades Certificantes implementen un sistema que asegure la calidad de los servicios de certificación, cumpliendo con los lineamientos establecidos en su documentación técnica. 11 -1 - Archivos de AuditoríaLa AC-ONTI mantiene un sistema de archivos de transacciones de auditoría que permita mantener en un entorno de seguridad toda la información considerada relevante que pueda ser requerida por la Sindicatura General de la Nación en el desarrollo de su función de Organismo Auditante. El sistema prevé la generación de:a) Logs del sistemaSe mantiene un registro de logs que incluye información sobre los siguientes eventos:1. Encendido y apagado del equipo2. Ingreso y salida del sistema de cada usuario3. Programas ejecutados4. Acceso a los objetos del sistema (base de passwords, base de datos de certificados)5. Cambios en los archivos o políticas de definición de logsPara cada uno de estos eventos, se conserva la siguiente información mínima:I. UsuarioII. Fecha y horaIII. Tipo de eventoIV. Datos particulares del evento1. Registros de transacciones de auditoría que permitan el seguimiento de las distintas etapas del ciclo de vida de los certificados.a) Copia de la documentación respaldatoria del proceso de validación de identidad de los suscriptores. Todos los archivos (digitales o en soporte papel) que respalden las transacciones deben encontrarse actualizados en forma permanente y a disposición del Organismo Auditante.Los archivos de auditoría son generados por el Operador Técnico de la AC-ONTI. Se conservan bajo llave bajo la responsabilidad del Responsable de Seguridad Informática. Este tendrá en su poder un juego de llaves, junto al Operador Técnico y su sustituto. Una copia de la misma se encuentra en poder del responsable de la AC-ONTI. Debe quedar constancia de los datos de quienes poseen una copia de las llaves. Los archivos de transacciones de auditoría sólo pueden ser visualizados por representantes de dicho organismo.Los archivos deben conservarse en un espacio físico acondicionado dentro del ámbito de la ACONTI por un plazo mínimo de DIEZ (10) años. Aquellos con antigüedad mayor a un año pueden trasladarse a un archivo secundario en un lugar físico protegido manteniendo las mismas medidas de seguridad. De utilizarse un esquema de registración descentralizada, los Responsables de la Autoridades de Registración remotas (RARR) están obligados a mantener a disposición del Organismo Auditante archivo de copias de toda la documentación que reciban o generen como respaldo del proceso de validación de la identidad de los suscriptores. El mencionado archivo se conservará bajo la responsabilidad del RARR y su sustituto, en lugar físico seguro y por el plazo establecido en el presente apartado. Esta obligación se extiende a los auxiliares de los RARR que se hubieran designado. La AC-ONTI efectuará auditorías periódicas sobre las Autoridades de Registración remotas con el fin de verificar el cumplimiento por parte de éstas de los procedimientos de validación y la revisión de su documentación respaldatoria.Asimismo, el Responsable de una Autoridad de Registración remota está obligado a efectuar una auditoría semestral sobre sus auxiliares y en aquellos casos en los que se hubiera aplicado el procedimiento opcional indicado en el apartado 3-2-2-2-3. A tal fin efectuará una revisión de la documentación respaldatoria de dicho proceso, así como de los procedimientos de validación utilizados. 11 -2 - Copias de resguardo de Archivos de transacciones de AuditoríaLas copias de resguardo de los archivos de transacciones de auditoría se mantienen a disposición del Organismo Auditante. El procedimiento para su generación y mantenimiento se encuentra especificado en el Manual de Procedimientos de Seguridad.12- ArchivosLa AC-ONTI mantiene un sistema de archivos que permita la conservación, en condiciones adecuadas de seguridad, de toda la información referida a los procesos de emisión y administración de los certificados.La información mínima a conservar es la siguiente:a) Solicitudes de emisión de certificados, incluyendo documentación de respaldo del proceso de identificaciónb) Solicitudes de revocación de certificados.c) Notificaciones de compromiso de claves.d) Emisión de certificados.e) Revocación de certificados.f) Emisión de listas de certificados revocados.g) Cambios de claves.h) Nombramiento de personal en roles confiables.i) Actas de actividades efectuadas por dicho personalj) Nombramiento de Responsables de Autoridades de Registración remotas y de sus auxiliaresk) Toda comunicación entre la AC-ONTI y el Organismo Licenciante.Los archivos se conservarán bajo llave. Es función del Responsable de la Autoridad de Registración local su mantenimiento y resguardo. En caso de ausencia, su función será cubierta por su sustituto. Cada uno de los responsables mencionados tendrá en su poder un juego de llaves. Una copia de la misma se encuentra en poder del responsable de la AC-ONTI. Debe quedar constancia escrita de los datos de quienes poseen una copia de las llaves.Los archivos deben conservarse en un espacio físico acondicionado dentro del ámbito de la ACONTI por un plazo mínimo de DIEZ (10) años. Aquellos con antigüedad mayor a un año pueden trasladarse a un archivo secundario en un lugar físico protegido, manteniendo las mismas medidas de seguridad. De utilizarse un esquema de registración descentralizada, los Responsables de la Autoridades de Registración remotas (RARR) están obligados a mantener archivo de toda la documentación que reciban o generen como respaldo del proceso de validación de la identidad de sus auxiliares. El mencionado archivo se conservará bajo la responsabilidad del RARR y su sustituto, en lugar físico seguro y por el plazo establecido en el presente apartado. Esta obligación se extiende a los auxiliares de los RARR que se hubieran designado respecto a la documentación respaldatoria del proceso de validación de identidad de los suscriptores que hubieran solicitado sus certificados por su intermedio.En caso que se optara por centralizar el archivo de dicha información bajo la responsabilidad del RARR, su auxiliar le remitirá la documentación recibida, conservando copia de la misma en su poder. 12 -1 - Copias de resguardoSe mantendrán copias de resguardo de todos los archivos referidos a los procesos de emisión y administración de certificados que se encuentren en el servidor de la AC-ONTI. El procedimiento para su generación y mantenimiento se encuentra especificado en el Manual de Procedimientos de Seguridad.13- Planes de emergenciaLa AC-ONTI posee un plan de contingencias que permite garantizar el mantenimiento mínimo de la operatoria y la recuperación de los recursos comprometidos dentro de las VEINTICUATRO (24) horas de producida una emergencia.Los procedimientos detallados a cumplir se encuentran descriptos en el Plan de Contingencias. 14- Controles de Seguridad14 -1 - Controles de Seguridad Física y PersonalLa AC-ONTI implementa controles de seguridad físicos y personales a fin de dotar de un adecuado marco de seguridad a las funciones que desarrolla (generación de claves, autenticación, emisión y revocación de certificados, archivos, etc.).Estos controles son críticos para otorgar confiabilidad a los certificados, ya que su ausencia comprometerá todas las instancias del sistema.Los controles de seguridad física y personal se detallan en el Manual de Procedimientos de Seguridad.14 -2 - Controles de Seguridad Lógica:La AC-ONTI define en el Manual de Procedimientos de Seguridad:a) Las medidas de seguridad a fin de proteger sus claves criptográficas pública y privada y todos los demás datos críticos necesarios para operar con módulos criptográficos (números pin, passwords, claves manuales compartidas o no por el personal, etc.).b) Otros controles de seguridad lógica que garantizan las funciones de generación de claves, identificación de usuarios, emisión y renovación de certificados, auditoría y archivos.14 -3 - Controles de Seguridad del Computador:Son aplicables los controles indicados en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional (Resolución N° 194/98 de la ex Secretaría de la Función Pública). 15- Certificados y listas de certificados revocados – CaracterísticasSe emplean certificados en formato x509 versión 3 o superior y listas de certificados revocados en formato x509 versión 2.La información a incluir en los certificados se encuentra detallada en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional (Resolución N° 194/98 de la ex Secretaría de la Función Pública) y en el apartado 5 del presente manual.16- Administración de la documentación técnica emitida por la AC-ONTIEn este capítulo se incluyen disposiciones acerca del mantenimiento de la documentación técnica emitida por la AC-ONTI, sus eventuales modificaciones y notificaciones.16 -1 - Cambios a la documentación técnica:La AC-ONTI informará a sus suscriptores acerca de todos aquellos cambios significativos que se efectúen a la documentación técnica pública mencionada en el presente manual. Las modificaciones indicadas serán publicadas en el sitio web de la AC-ONTI.Toda modificación debe ser aprobada por Resolución emitida por la Autoridad de Aplicación.16 -2 - Publicación y Notificación:El Manual de Procedimientos y demás documentación técnica pública emitida por la AC-ONTI, así como sus versiones anteriores se encuentran disponibles en su sitio web en el siguiente URL:http://ca.pki.gov.ar/ANEXO IIIPLAN DE CESE DE ACTIVIDADESAutoridad CertificanteJefatura de Gabinete de MinistrosSubsecretaría de la Gestión PúblicaOficina Nacional de Tecnologías InformáticasINDICE1- COMPONENTES INVOLUCRADOS2- PROCEDIMIENTOS A SEGUIR2-1- PROCEDIMIENTO GENERAL2-2- CESE DE ACTIVIDADES CON TRANSFERENCIA DE CERTIFICADOS1- Componentes involucradosEl cese de actividades de la Autoridad Certificante de la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros (en adelante ACONTI) tiene efectos que involucrarán a todos los suscriptores de sus certificados. Cualquiera sea el motivo que lo ocasione, la AC-ONTI tomará una serie de recaudos a fin minimizar el impacto de la finalización de sus servicios.En caso de producirse un cese de actividades, los procedimientos correspondientes serán supervisados conjuntamente por el Organismo Licenciante y el Organismo Auditante.2- Procedimientos a seguir2 -1 - Procedimiento generalSi la AC-ONTI dejara de operar, no emitirá nuevos certificados a favor de sus suscriptores. Unicamente garantizará la posibilidad de emitir las Listas de Certificados Revocados con la periodicidad habitual o ante el pedido de revocación de un certificado por parte de alguno de sus suscriptores.Los procedimientos generales a seguir son los siguientes:a) Publicar el cese de actividades en el Boletín Oficial durante TRES (3) días consecutivos, indicando fecha y hora de cese de actividades, que no podrá ser anterior a los NOVENTA (90) días corridos contados desde la fecha de la última publicación.b) Notificar acerca de la situación al Organismo Licenciante con una antelación no menor a los NOVENTA (90) días corridos de la fecha de cese, indicando expresamente la fecha prevista. La notificación se efectuará mediante un mensaje de correo electrónico firmado digitalmente o personalmente por el responsable de la AC-ONTI o un representante autorizado. Además, en ella se informará si la AC-ONTI efectuará transferencia de los certificados emitidos a favor de otra Autoridad Certificante bajo el régimen del Decreto 427/98.c) Notificar a los suscriptores acerca del cese de sus actividades mediante un mensaje de correo electrónico firmado digitalmente con una antelación no menor a los NOVENTA (90) días corridos de la fecha prevista de cese.d) Publicar durante TRES (3) días consecutivos en uno o más diarios de difusión nacional el cese de sus actividades, si hubiera emitido certificados a personas ajenas al Sector Público Nacional.e) Rechazar toda solicitud de emisión de un nuevo certificado por parte de un suscriptor dentro de los NOVENTA (90) días corridos anteriores a la fecha prevista para el cese.f) Rechazar toda solicitud de renovación de un certificado por parte de un suscriptor dentro de los NOVENTA (90) días corridos anteriores a la fecha prevista para el cese.g) Emplear la clave privada de la AC-ONTI solamente para firmar las Listas de Certificados Revocados.h) Brindar el servicio de revocación de certificados, actualización de repositorios y emisión de listas de certificados revocados hasta la fecha prevista de cese de actividades. Solamente podrá efectuar revocaciones a solicitud de sus suscriptores, quienes serán los únicos responsables de pedir la revocación de sus certificados.i) Revocar la totalidad de los certificados que hubiera emitido y que se encuentren vigentes a la fecha de cese de sus actividades.j) Destruir los dispositivos de soporte de su clave privada mediante un procedimiento que garantice su destrucción total según el último estado del arte disponible a la fecha, una vez revocados o expirados los certificados de sus suscriptores. El procedimiento de destrucción se hará en presencia del responsable de la AC-ONTI, del Responsable de Seguridad, del Oficial Certificador y del Responsable de la Autoridad de Registración, dejando constancia de lo actuado en el acta correspondiente.2 -2 - Cese de actividades con transferencia de certificadosAl producirse el cese de sus actividades, se admitirá que la AC-ONTI efectúe una transferencia de los certificados emitidos a sus suscriptores a favor de otra Autoridad Certificante bajo el régimen del Decreto 427/98. Para ello se requerirá un acuerdo previo entre ambas Autoridades Certificantes, con aprobación del Organismo Licenciante, que deberá ser firmado por las máximas autoridades respectivas. Dicho acuerdo debe indicar que la Autoridad Certificante continuadora toma a su cargo la administración de la totalidad de los certificados emitidos por la AC-ONTI que cesa sus actividades, que no hubieran sido revocados a la fecha de la transferencia. El Organismo Licenciante puede oponerse al acuerdo si considera que existe causa que lo justifique. Sendas copias del mencionado acuerdo se remitirán al Organismo Licenciante y al Organismo Auditante, para su archivo.Asimismo, la AC-ONTI transferirá a la Autoridad Certificante continuadora toda la documentación que obre en su poder y que hubiera generado en el proceso de emisión y administración de certificados, así como la totalidad de los archivos y copias de resguardo, en cualquier formato y toda otra documentación referida a su operatoria.El proceso de transferencia será supervisado conjuntamente por el Organismo Licenciante y el Organismo Auditante.La AC-ONTI informará acerca de la transferencia en las publicaciones y notificaciones que efectúe referidas al cese de sus actividades mencionadas en el apartado 2.1. Además, con excepción de lo dispuesto en el punto i), cumplirá con la totalidad de los procedimientos indicados en el mismo. En caso que la AC-ONTI optara por no transferir sus certificados, procederá a revocar la totalidad de los certificados que hubiere emitido y que se encuentren vigentes a la fecha de cese de sus actividades. En tal caso, toda la documentación de la Autoridad Certificante discontinuada quedará en custodia del Organismo Licenciante y a disposición del Organismo Auditante.ANEXO IVPOLITICA DE SEGURIDADAutoridad CertificanteJefatura de Gabinete de MinistrosSubsecretaría de la Gestión PúblicaOficina Nacional de Tecnologías InformáticasINDICE1.- INTRODUCCION2.- COMPROMISO3.- PRINCIPIOS APLICABLES3.1.- NORMAS LEGALES Y CONTRACTUALES3.2.- CAPACITACIÓN3.3.- CUMPLIMIENTO3.4.- PROTECCIÓN DE LA INTEGRIDAD DEL SOFTWARE Y LA INFORMACIÓN3.5.- GESTIÓN DE CONTINUIDAD DE LAS OPERACIONES3.6.- SEPARACIÓN DE FUNCIONES4.- NORMAS Y PROCEDIMIENTOS4.1.- SEGURIDAD FÍSICA Y AMBIENTAL4.2.- SEGURIDAD DE ACCESO DE TERCEROS4.3.- CLASIFICACIÓN Y CONTROL DE ACTIVOS4.4.- ADMINISTRACIÓN DE RECURSOS HUMANOS4.5.- RESPUESTA A INCIDENTES Y ANOMALÍAS4.6.- PROTECCIÓN DE LA INTEGRIDAD Y LEGALIDAD DEL SOFTWARE4.7.- MANTENIMIENTO Y RESGUARDO DE LA INFORMACIÓN4.8.- CONTROLES DE ACCESO LÓGICO4.9.- ADMINISTRACIÓN DE LA CONTINUIDAD DE OPERACIONES5.- RESPONSABILIDADES Y FUNCIONES5.1.- RESPONSABILIDAD PRIMARIA5.2.- FUNCIONES5.3.- REVISIÓN Y ACTUALIZACIÓN6.- DOCUMENTOS DE REFERENCIA1.- IntroducciónLa información es un activo que, como el resto de los recursos importantes de la organización, tiene valor para la misma y por consiguiente debe ser debidamente protegido. La Seguridad de la Información resguarda a este activo de una amplia gama de amenazas, a fin de garantizar la continuidad del negocio, minimizar el riesgo de posibles daños y maximizar el retorno sobre las inversiones y oportunidades.La información puede existir en muchas formas. Cualquiera sea la forma que adquiere, o los medios por los cuales se distribuye y almacena, siempre debe ser protegida en forma adecuada.La Seguridad de la Información se define aquí como la preservación de las siguientes características:

confidencialidad: se garantiza que la información es accesible sólo para aquellas personas autorizadasintegridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento disponibilidad: se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados con la misma, toda vez que se requieraautenticidad: se garantiza la procedencia y autoría de la información

La Seguridad de la Información se logra implementando un conjunto adecuado de controles, que comprenden políticas, prácticas, procedimientos, estructuras organizacionales y funciones relativas al software. Estos controles deben ser establecidos para garantizar que se logren los objetivos específicos de seguridad de la organización.El objeto principal de la Autoridad Certificante de la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros (en adelante ACONTI) es estructurar un esquema de confianza válido para los suscriptores de sus certificados y para los terceros que se relacionen con ella. El cumplimiento de todos los procedimientos operativos y de seguridad descriptos en la documentación técnica emitida resulta un requisito básico para el mantenimiento de la confiabilidad de dicho esquema. En particular, es crítico el adecuado seguimiento de los procedimientos previstos respecto a la emisión de los certificados y a la validación de la identidad de los solicitantes.Por último, es necesario resaltar que la Seguridad de la Información es un proceso continuo cuya calidad está determinada por la del componente con menor grado de seguridad.2.- CompromisoEl responsable de la AC-ONTI asume el compromiso de apoyar y dirigir los principios básicos que guían la gestión de la Seguridad de la Información, obligándose a exigir el cumplimiento de las disposiciones de la presente política a todo el personal asignado a funciones en el mismo.3.- Principios aplicablesLa presente Política de Seguridad está basada en los siguientes principios:3.1. - Normas legales y contractualesEsta política se dicta en todo de acuerdo con las normas y regulaciones de carácter general que resulten aplicables a la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros.Asimismo, resulta aplicable toda legislación vigente relativa al diseño, operación, uso y administración de los recursos informáticos.La normativa a contemplar se refiere a:a) Derechos de Propiedad Intelectualb) Protección de los registros de la organizaciónc) Protección de datos y privacidad de la información personald) Prevención del uso inadecuado de los recursos de procesamiento de la informacióne) Regulación de controles para el uso de criptografíaf) Recolección de evidenciasg) Cualquier otra norma relacionada con la materia.3.2. - CapacitaciónLos objetivos y procedimientos de esta política serán comunicados a todo el personal que desarrolle funciones en la AC-ONTI, incluyendo al personal ajeno al mismo asignado a tareas temporarias, quienes serán capacitados en la comprensión de sus objetivos y procedimientos de aplicación en cuanto correspondan a las funciones que debe cumplir.3.3. - CumplimientoLa presente política resulta de cumplimiento obligatorio para todo el personal designado para cumplir funciones en la AC-ONTI. La obligación se extiende a todo el personal ajeno al mismo que sea asignado al cumplimiento de tareas temporarias. El personal mencionado está obligado a adherir a la política y a cumplir sus disposiciones.El incumplimiento de las disposiciones de la presente política se considera falta grave y dará lugar a las sanciones establecidas en el régimen jurídico de la función pública.De tratarse de terceros no alcanzados por el régimen legal mencionado, serán pasibles de las sanciones previstas en la legislación administrativa, civil, comercial y penal vigente.La documentación técnica de la AC-ONTI se encontrará en todo momento disponible para ser consultada por su personal. La documentación técnica de carácter público actualizada se encontrará disponible en todo momento en el sitio web de la AC-ONTI.3.4. - Protección de la integridad del software y la informaciónDado que el software y las instalaciones de procesamiento de información son vulnerables a la introducción de software malicioso (por ejemplo, virus informáticos) la AC-ONTI tomará precauciones para su detección y prevención a fin de garantizar la integridad de la información, procedimientos y sistemas.3.5. - Gestión de continuidad de las operacionesA fin de garantizar la continuidad de las operaciones de la AC-ONTI, se establecen medidas para proteger el correcto funcionamiento de los servicios y prevenir incidentes. En casos de necesidad extrema, se prevén los mecanismos necesarios para instrumentar un plan de contingencias que permita la continuidad de las operaciones.3.6. - Separación de funcionesLos roles definidos en la operatoria de la AC-ONTI (Operador Técnico de la Autoridad Certificante, Oficial Certificador, Responsable de la Autoridad de Registración, Responsable de Seguridad Informática y sustitutos de cada uno de ellos) son desempeñados por diferentes responsables. Ninguno de los nombrados concentrará más de una función, aun cuando fuera en forma transitoria. En caso de ausencia temporaria, el responsable será reemplazado por su correspondiente sustituto.4.- Normas y ProcedimientosLa presente Política de Seguridad se instrumenta a través de diversos procedimientos que permiten llevar a la práctica los principios enunciados en el apartado 3. Los procedimientos mencionados se refieren a los siguientes aspectos:4.1. - Seguridad física y ambientalEl entorno de trabajo de la AC-ONTI garantiza en forma adecuada las condiciones de seguridad física y ambiental para su funcionamiento, existiendo procedimientos de seguridad que los respaldan. 4.2. - Seguridad de acceso de tercerosNingún tercero tiene acceso a las operaciones críticas de la AC-ONTI. El personal ajeno al mismo que cumple funciones temporarias se encuentra debidamente autorizado y sus actividades son permanentemente supervisadas mientras se encuentre en el recinto de la Autoridad Certificante.4.3. - Clasificación y control de activosSe establecen responsables para cada uno de los activos de la AC-ONTI. Estos son clasificados por su nivel de criticidad y se determinan procedimientos para su protección.4.4. - Administración de recursos humanosEl personal que desempeña funciones en la AC-ONTI debe demostrar su probidad y destreza para las funciones asignadas, conservándose evidencia al respecto.4.5. - Respuesta a incidentes y anomalíasLos procedimientos de seguridad y de contingencias respaldan en forma adecuada la continuidad de las operaciones de la AC-ONTI.4.6. - Protección de la integridad y legalidad del softwareToda instalación de software de la AC-ONTI se encuentra debidamente autorizada.4.7. - Mantenimiento y resguardo de la informaciónLa información de la AC-ONTI, cualquiera sea su soporte, se conserva según lo dispuesto por las normas y reglamentos aplicables.4.8. - Controles de acceso lógicoEl acceso a los sistemas y servicios de la AC-ONTI se encuentra restringido al personal debidamente autorizado.4.9. - Administración de la continuidad de operacionesLos procedimientos establecidos en el Plan de Contingencias garantizan la continuidad de las operaciones de la AC-ONTI con un tiempo mínimo de recuperación.5.- Responsabilidades y Funciones5.1. - Responsabilidad primariaEl responsable de la AC-ONTI tiene la responsabilidad primaria de la definición, aprobación, implementación, revisión, actualización y cumplimiento de la presente política.5.2. - FuncionesA los fines de una efectiva implementación de la política y los procedimientos de seguridad, el responsable de la AC-ONTI asigna las siguientes funciones:a) Definición, mantenimiento, revisión y actualización de los contenidos de la política y de los procedimientos de seguridad. Esta función estará a cargo de ArCERT (Coordinación de Emergencia en Redes Teleinformáticas de la Administración Pública Argentina). El equipo mencionado elevará los productos obtenidos al responsable de la AC-ONTI para su aprobación.b) Verificación y control del cumplimiento de las disposiciones de la política y los procedimientos de seguridad, a cargo del Responsable de Seguridad Informática de la AC-ONTI.Todo el personal que desempeñe funciones en la AC-ONTI, aun cuando estas fueran de carácter temporario, está obligado a instrumentar y cumplir las disposiciones de esta política, de los procedimientos de seguridad y de sus actualizaciones en su ámbito de competencia.5.3. - Revisión y ActualizaciónSe establece un proceso mínimo de revisión anual a fin de garantizar respuestas a los cambios que afecten la base de evaluación de riesgos original. No obstante, ArCERT determinará aquellos casos en que resulte necesario una actualización con una periodicidad menor. A tal fin, tendrá en cuenta los siguientes aspectos en su evaluación:a) la eficacia de la política, demostrada por la naturaleza, número e impacto de los incidentes de seguridad registradosb) el costo e impacto de los controles en la eficiencia de los servicios c) los efectos de los cambios en la tecnologíad) cambios que afecten en la infraestructura organizacional, técnica y de servicios de la AC-ONTI e) cambios significativos en la exposición de los recursos frente a las amenazas nuevas o preexistentes f) incidentes relativos a la seguridad ocurridos desde la revisión anterior6.- Documentos de referenciaLa presente Política de Seguridad se emite en acuerdo a lo dispuesto en el Decreto N° 427/98, a los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional (Resolución de la ex Secretaría de la Función Pública N° 194/98) y se complementa con los siguientes documentos referidos a la operatoria de la AC-ONTI:a) Política de Certificaciónb) Manual de Procedimientosc) Plan de Cese de Actividadesd) Plan de Contingenciase) Manual de Procedimientos de Seguridad —FE DE ERRATAS—OFICINA NACIONAL DE TECNOLOGIAS INFORMATICASDisposición N° 5/2002-ONTIEn la edición del 6 de mayo de 2002, donde se publicó la citada Disposición, se consignó erróneamente, tanto en el Sumario como en la página 7, el título de la misma, siendo el correcto el que se transcribe a continuación:ADMINISTRACION PUBLICA NACIONAL.