Oficina Nacional de Tecnologías Informáticas
ADMINISTRACION NACIONAL DE ADUANAS
Disposición 5/2002
Apruébanse la "Política de Certificación: Criterios para el otorgamiento de certificados a favor de suscriptores", el "Manual de Procedimientos", el "Plan de Cese de Actividades" y la "Política de Seguridad" para la Autoridad Certificante de la Oficina Nacional de Tecnologías Informáticas.
Bs. As., 26/4/2002
VISTO el Decreto N° 78 del 10 de enero de 2002, el Decreto N° 427 del 16 de abril de 1998, la Decisión Administrativa N° 102 del 29 de diciembre de 2000, las Resoluciones de la ex Secretaría de la Función Pública N° 194 del 27 de noviembre de 1998, y la N° 212 del 30 de diciembre de 1998, la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS N° 01 del 3 de octubre de 2001, y
CONSIDERANDO:
Que el Decreto N° 78/02 asigna a la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS la responsabilidad primaria en la promoción de la utilización de la firma digital en los organismos del sector público actuando como Autoridad Certificante.
Que el Decreto N° 427/98 habilita el uso de la firma digital en el marco de la Infraestructura de Firma Digital para el Sector Público Nacional.
Que la Decisión Administrativa N° 102/00 ha prorrogado por DOS (2) años la vigencia del Decreto N° 427/98.
Que la Resolución SFP N° 194/98 establece los "Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional".
Que la Resolución SFP N° 212/98 aprueba la "Política de Certificación: Criterios para el licenciamiento de las Autoridades Certificantes de la Administración Pública Nacional".
Que la Disposición ONTI N° 01/01 asigna los roles de la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS, de acuerdo a lo establecido en las Resoluciones de la ex SFP N° 194/98 y 212/98.
Que corresponde aprobar la "Política de Certificación: Criterios para el otorgamiento de certificados a favor de suscriptores", el "Manual de Procedimientos", el "Plan de Cese de Actividades" y la "Política de Seguridad’’ de la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS, como autoridad certificante de la JEFATURA DE GABINETE DE MINISTROS.
Que la presente medida se dicta en virtud de lo dispuesto en el Decreto N° 78/02.
Por ello,
EL DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS
DISPONE:
Artículo 1° — Apruébase la "Política de Certificación: Criterios para el otorgamiento de certificados a favor de suscriptores" para la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS que obra como ANEXO I.
Art. 2° — Apruébase el "Manual de Procedimientos" para la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS que obra como ANEXO II.
Art. 3° — Apruébase el "Plan de Cese de Actividades" para la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS que obra como ANEXO III.
Art. 4° — Apruébase la "Política de Seguridad" para la Autoridad Certificante de la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS que obra como ANEXO IV.
Art. 5° — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.— Gustavo A. Vullo.
ANEXO I
POLITICA DE CERTIFICACION
Criterios para el otorgamiento de certificados a favor de suscriptores
Autoridad Certificante
Jefatura de Gabinete de Ministros
Subsecretaría de la Gestión Pública
Oficina Nacional de Tecnologías Informáticas
INDICE
1- AMBITO DE APLICACION
2- SUJETOS
3- OBJETO
4- CONTACTOS - SUGERENCIAS
5- RESPONSABILIDADES
5-1- RESPONSABILIDAD DE LA AUTORIDAD CERTIFICANTE
5-2- RESPONSABILIDADES ASUMIDAS POR LA AUTORIDAD CERTIFICANTE AL EMITIR UN CERTIFICADO
5-3- OBLIGACIONES DE LAS AUTORIDADES DE REGISTRACIÓN
5-4- RESPONSABILIDAD DEL SUSCRIPTOR
6- INTERPRETACION
7- PUBLICACION - REPOSITORIOS
7-1 - FRECUENCIA DE LA ACTUALIZACIÓN
7-2- ACCESO
7-3- CONFIDENCIALIDAD
8 - IDENTIFICACION Y AUTENTICACION
8-1- REGISTRACIÓN CENTRALIZADA
8-1-1- Verificación de datos por la Autoridad de Registración local
8-1-2- Verificación de datos vía área de recursos humanos
8-1-3- Verificación de identidad a través del responsable del organismo
8-1-4- Servicio de registración itinerante
8-2- REGISTRACIÓN DESCENTRALIZADA
8.2.1.- Autoridades de Registración Remotas con nombramiento de auxiliares en el proceso de validación de identidad
8-3- SOLICITUDES DE RENOVACIÓN
8-4- PERÍODO DE VALIDEZ
9 - REQUISITOS OPERATIVOS
9-1- REQUERIMIENTO
9-2- EMISIÓN DEL CERTIFICADO
9-3- CONTENIDO DEL CERTIFICADO – ATRIBUTOS
9-4- CONDICIONES DE VALIDEZ DEL CERTIFICADO DE CLAVE PÚBLICA
9-5- REVOCACIÓN DE CERTIFICADOS
9-5-1- Clases de revocación
9-5-1-1- Revocación voluntaria
9-5-1-2- Revocación obligatoria
9-5-2- Autorizados a requerir la revocación
9-5-3- Procedimiento para solicitar la revocación
9-5-4- Actualización de repositorios
9-5-5- Emisión de listas de certificados revocados
9-6- AUDITORÍA - PROCEDIMIENTOS DE SEGURIDAD
9-7- ARCHIVOS
9-7-1- Información a ser archivada
9-7-2- Plazo de conservación
9-7-3- Protección de archivos
9-7-4- Archivos de resguardo
9-8- SITUACIONES DE EMERGENCIA
9-8-1- Plan de Contingencias
9-8-3- Cese de operaciones de la Autoridad Certificante
10 - CONTROLES DE SEGURIDAD
10-1- CONTROLES DE SEGURIDAD FÍSICA
10-1-1- Control de acceso
10-2- CONTROLES FUNCIONALES
10-2-1- Determinación de roles
10-2-2- Separación de funciones
10-3- CONTROLES DE SEGURIDAD PERSONAL
10-3-1- Calificación del personal
10-3-2- Antecedentes
10-3-3- Entrenamiento
10-4- CONTROLES DE SEGURIDAD LÓGICA
10-4-1- Generación e instalación de claves
10-4-1-1- Generación
10-4-1-2- Envío de la clave pública
10-4-1-3- Características criptográficas
10-4-2- Protección de la clave privada
10-4-2-1- Estándares criptográficos
10-4-2-2- Destrucción de la clave privada
10-4-3- Otros aspectos del manejo de claves
10-4-3-1- Reemplazo de claves
10-4-3-2- Restricciones al uso de claves privadas
10-4-4- Controles de seguridad del computador
10-4-5- Controles de seguridad de conectividad de red
11- CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS – CARACTERISTICAS
12 - ADMINISTRACION DE ESTA POLITICA
12-1- CAMBIOS A LA POLÍTICA
12-1-1- Listado de propuestas
12-2- PUBLICACIÓN Y NOTIFICACIÓN
REFERENCIAS
1- Ambito de aplicación
El presente documento define los términos que rigen la relación entre la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros, en su carácter de Autoridad Certificante y sus funcionarios y agentes que soliciten la emisión de certificados de clave pública para ser utilizados en el marco del Decreto 427/98. Asimismo, regula la relación que pueda crearse entre dicha Autoridad Certificante y los funcionarios y agentes dependientes de otros organismos o dependencias de la Administración Pública Nacional Centralizada y Descentralizada, de entes autárquicos, organismos provinciales y municipales, de otros Poderes del Estado Nacional y de los Estados Provinciales y de representantes del sector privado, a través de convenios específicos firmados en cada caso en particular.
El presente documento forma parte de la documentación técnica emitida por la Autoridad Certificante de la Oficina Nacional de Tecnologías Informáticas junto con los siguientes documentos:
a) Manual de Procedimientos
b) Política de Seguridad
c) Manual de Procedimientos de Seguridad
d) Plan de Contingencias
e) Plan de Cese de Actividades
2- Sujetos
Esta política es aplicable por:
a) La Autoridad Certificante de la Oficina Nacional de Tecnologías Informáticas (en adelante ACONTI) que otorga certificados a favor de sus dependientes y de los funcionarios y agentes pertenecientes a otros organismos o dependencias de la Administración Pública Nacional Centralizada y Descentralizada, entes autárquicos, organismos provinciales y municipales, de otros Poderes del Estado Nacional y de los Estados Provinciales y de representantes del sector privado.
b) Las Autoridades de Registración previstas en la Resolución 194/98 de la ex Secretaría de la Función Pública, que se constituyan en el ámbito de aplicación de esta política.
c) La Sindicatura General de la Nación, en cumplimiento de sus funciones de Organismo Auditante de todos los organismos regulados por esta política.
d) Los suscriptores de certificados en el ámbito de aplicación de esta política.
3- Objeto
Esta política regula el empleo de la firma digital en la instrumentación de:
a) Los actos internos del Sector Público Nacional, provincial, municipal, y de otros Poderes del Estado Nacional y de los Estados Provinciales que no produzcan efectos individuales en forma directa.
b) Los actos que vinculen al Sector Público Nacional, provincial, municipal, a otros Poderes del Estado Nacional y de los Estados Provinciales con representantes del sector privado.
4- Contactos - Sugerencias
Esta política es administrada por la Autoridad Certificante cuyas funciones ejerce la Oficina Nacional de Tecnologías Informáticas (AC-ONTI).
Por consultas o sugerencias, por favor dirigirse a:
E-mail:
consulta@pki.gov.ar
Personalmente o por correo:
Autoridad Certificante - ONTI
Roque Sáenz Peña 511 - 5° piso (C1035AAA) Buenos Aires
TE: 4345-0383 / Fax: 4343-7458
5- Responsabilidades
5 -1 - Responsabilidad de la Autoridad Certificante
En su carácter de Autoridad Certificante, la Oficina Nacional de Tecnologías Informáticas es responsable de todos los aspectos relativos a la emisión y administración de los certificados emitidos a favor de todos los suscriptores que adhieran a esta política, ya sea que éstos sean sus dependientes o bien, que se trate de funcionarios o agentes de otros organismos o dependencias de la Administración Pública Nacional, entes autárquicos, organismos provinciales o municipales, de otros Poderes del Estado Nacional y de los Estados Provinciales, y de representantes del sector privado, que gestionen su certificado ante la AC-ONTI, con el alcance que se establezca para cada caso en particular.
En particular, su responsabilidad se extiende a:
a) El proceso de identificación y autenticación del suscriptor, en el ejercicio de sus funciones de Autoridad de Registración.
b) La emisión de certificados.
c) La administración de certificados, incluyendo el proceso de revocación.
5 -2 - Responsabilidades asumidas por la Autoridad Certificante al emitir un certificado
Al emitir un certificado, la Autoridad Certificante garantiza:
a) Que el certificado ha sido emitido siguiendo las pautas establecidas en esta política y en el Manual de Procedimientos para la validación de los datos en él incluidos.
b) Que el certificado satisface todos los requisitos exigidos por el Decreto 427/98
c) Que los algoritmos y longitudes de claves utilizados cumplen con la última versión aprobada por Resolución de la Autoridad de Aplicación en relación a los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional.
d) Que el certificado y su eventual revocación, serán publicados según lo dispuesto en esta política.
5 -3 - Obligaciones de las Autoridades de Registración
Las Autoridades de Registración que se constituyan en el ámbito de aplicación de esta política, cualquiera sea la modalidad que adopten, están obligadas a cumplir las funciones de validación de la identidad y autenticación de los datos de los suscriptores que soliciten sus certificados por su intermedio y a archivar y conservar toda la documentación respaldatoria de dicho proceso.
5 -4 - Responsabilidad del Suscriptor
El suscriptor de un certificado de clave pública de acuerdo a los lineamientos de esta política asume la absoluta responsabilidad por su utilización, incluyendo la custodia exclusiva y permanente de su clave privada. En particular, el suscriptor es responsable de solicitar la revocación de su certificado en caso de finalizar su vínculo laboral con la Administración Pública o con el organismo en que se desempeñe y en los demás casos previstos en la normativa vigente. La AC-ONTI no asume ninguna responsabilidad por el uso que el suscriptor eventualmente pudiera darle al certificado fuera del alcance establecido en el apartado 1 de esta política.
6- Interpretación
La interpretación, obligatoriedad, diseño y validez de esta política se encuentran sometidos a lo establecido por el Decreto 427/98.
7- Publicación - Repositorios
La AC-ONTI mantiene un repositorio en línea de acceso público que contiene:
a) Certificados emitidos que hagan referencia a esta política.
b) Listas de certificados revocados.
c) El certificado de clave pública de la AC-ONTI
d) Copia de esta política y de toda otra documentación técnica referida a la AC-ONTI que se emita.
e) Toda otra información referida a certificados que hagan referencia a esta política.
El repositorio se encuentra disponible en:
http://ca.pki.gov.ar/
7 -1 - Frecuencia de la actualización
Toda información que corresponda incluir en el repositorio debe serlo inmediatamente después de haber sido conocida y verificada por la AC-ONTI.
Las emisiones de certificados y revocaciones de certificados deben ser incluidas tan pronto como se hayan cumplido los procedimientos de validación de identidad de los solicitantes establecidos en esta política y en el Manual de Procedimientos para cada caso en particular.
7 -2 - Acceso
El repositorio se encuentra disponible para uso público durante VEINTICUATRO (24) horas diarias SIETE (7) días a la semana, sujeto a un razonable calendario de mantenimiento.
La AC-ONTI no puede poner restricciones al acceso a esta política, a su certificado de clave pública y a las versiones anteriores y actualizadas de la documentación técnica que emita.
7-3- Confidencialidad
Toda información referida a suscriptores que sea recibida por la AC-ONTI en los requerimientos es confidencial y no puede hacerse pública sin el consentimiento previo de aquellos, salvo que sea requerida judicialmente.
Lo indicado no es aplicable cuando se trate de información que se transcriba en el certificado o sea obtenida de fuentes públicas.
8 - Identificación y Autenticación
Dentro del marco de aplicación de esta política, son admitidos los siguientes procedimientos de identificación de los suscriptores de certificados en función de los distintos esquemas de Autoridades de Registración previstos:
Los procesos a seguir en cada una de las opciones mencionadas son los siguientes:
8 -1 - Registración Centralizada
8-1-1- Verificación de datos por la Autoridad de Registración local
El suscriptor debe iniciar el pedido de emisión del certificado ingresando al sitio web de la ACONTI completando el formulario de solicitud y siguiendo el procedimiento allí indicado. Posteriormente debe presentarse personalmente ante el Responsable de la Autoridad de Registración local a fin de validar su identidad, provisto de la siguiente documentación:
a) Documento de identidad (DNI u otro de validez nacional), en original y fotocopia.
b) Código de identificación del requerimiento
c) Nota firmada por el máximo responsable del área de recursos humanos intervenida por Mesa de Entradas, Salidas y Archivo del organismo a que pertenece, que incluirá:
I. Nombre y Apellido
II. Documento de Identidad
III. Jurisdicción/Organismo/Dependencia/Cargo
8-1-2- Verificación de datos vía área de recursos humanos
El suscriptor debe iniciar el pedido de emisión del certificado siguiendo el procedimiento indicado en el apartado anterior. El responsable del área de Recursos Humanos del organismo donde reside la AC-ONTI, o bien un funcionario de dicho sector designado al efecto, colaborarán con el Responsable de la Autoridad de Registración local en el proceso de identificación, validando los datos complementarios del suscriptor (jurisdicción, organismo, dependencia y cargo).
Posteriormente el suscriptor debe presentarse ante el Responsable de la Autoridad de Registración local provisto de:
a) Documento de Identidad (DNI u otro de validez nacional), en original y fotocopia.
b) Código de identificación del requerimiento
8-1-3- Verificación de identidad a través del responsable del organismo
El suscriptor debe iniciar el pedido de emisión del certificado siguiendo el procedimiento indicado en el apartado 8.1.1.. Posteriormente debe presentarse ante la máxima autoridad del organismo al que pertenece a fin de validar su identidad, provisto de la siguiente documentación:
a) Documento de Identidad (DNI u otro de validez nacional), en original y fotocopia.
b) Código de identificación del requerimiento
c) Nota firmada por el máximo responsable del área de recursos humanos del organismo consignando:
I. Nombre y Apellido
II. Documento de Identidad
III. Jurisdicción/Organismo/Dependencia/Cargo
8-1-4- Servicio de registración itinerante
El funcionario solicitante debe iniciar el pedido de emisión del certificado siguiendo el procedimiento indicado en el apartado 8.1.1.
El Responsable de la Autoridad de Registración local debe concurrir a la dependencia u organismo a fin de efectuar la validación de la identidad del funcionario, para lo cual requerirá:
a) Documento de Identidad (DNI u otro de validez nacional), en original y fotocopia.
b) Nombramiento (Decreto o Resolución)
8 -2 - Registración Descentralizada
La AC-ONTI admite la constitución de Autoridades de Registración externas al ámbito físico donde desarrolla sus actividades. En particular, se admitirán aquellos organismos o dependencias que se encuentren en condiciones de efectuar un adecuado control de identidad de los suscriptores de certificados que les presentaran una solicitud de emisión, dado el tipo de información que manejan y su cercanía al usuario final (tales como áreas de recursos humanos). En todos los casos, es atribución de la AC-ONTI autorizar el funcionamiento de las Autoridades de Registración.
Toda Autoridad de Registración autorizada por la AC-ONTI asume las siguientes obligaciones:
a) Designar un responsable del proceso de validación de identidad de los suscriptores (Responsable de la Autoridad de Registración) y su correspondiente sustituto.
b) Cumplir con las obligaciones establecidas en la Política de Certificación y en el Manual de Procedimientos de la AC-ONTI respecto al proceso de validación de identidad de los suscriptores.
c) Cumplir con las disposiciones establecidas en la Política de Certificación y en el Manual de Procedimientos de la AC-ONTI respecto a la conservación de archivos y documentación respaldatoria referida al proceso de validación de identidad de los suscriptores.
d) Permitir la realización de las revisiones periódicas que realice la AC-ONTI a fin de garantizar la seguridad del sistema.
e) Toda otra obligación específica que se establezca en el Manual de Procedimientos de la AC-ONTI Toda Autoridad de Registración debe adherir a los términos de la Política de Certificación, del Manual de Procedimientos y del resto de la documentación técnica de la AC-ONTI. Dicha adhesión se instrumentará mediante la firma de un Acuerdo de Responsabilidad.
8.2.1.- Autoridades de Registración Remotas con nombramiento de auxiliares en el proceso de validación de identidad.
Se admitirá que las Autoridades de Registración que se constituyan designen funcionarios que actuarán como colaboradores en el proceso de validación de la identidad de sus suscriptores. En tal caso, los auxiliares mencionados asumen las mismas obligaciones que la Autoridad de Registración en cuya órbita se constituyan respecto al cumplimiento de los procedimientos de validación de identidad de los suscriptores.
8 -3 - Solicitudes de renovación
Dentro de los TREINTA (30) días anteriores a la expiración del período operacional de un certificado emitido según los lineamientos de esta política, un suscriptor puede solicitar a la AC-ONTI la emisión de un nuevo certificado.
8 -4 - Período de validez
Los certificados emitidos por la AC-ONTI tienen un período máximo de validez de UN (1) año desde la fecha de emisión.
9 - Requisitos operativos
9 -1 - Requerimiento
La emisión del certificado a favor de un suscriptor implica su autorización para utilizarlo con los alcances definidos por el Decreto 427/98 y caduca por expiración o revocación del certificado.
Todo suscriptor que se postule para obtener un certificado debe completar un requerimiento, el que estará sujeto a revisión y aprobación por la Autoridad de Registración según las previsiones indicadas en el apartado 8.
El proceso de solicitud puede ser iniciado solamente por el interesado, quien debe acreditar fehacientemente su identidad.
9 -2 - Emisión del certificado
Cumplidos los recaudos del proceso de identificación y autenticación de acuerdo con esta política y una vez completada y aprobada la solicitud, la AC-ONTI debe emitir el correspondiente certificado.
Debe firmarlo digitalmente y ponerlo a disposición del interesado, notificándolo de tal situación.
9 -3 - Contenido del certificado – Atributos
Un certificado emitido de acuerdo a los requerimientos de esta política incluye los datos identificatorios mínimos recomendados por la última versión de los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional. En particular, deben incluirse los siguientes datos a efectos de distinguir unívocamente al suscriptor:
a) Número de versión X.509 del certificado
b) Nombre y apellido del suscriptor del certificado.
c) Localidad, provincia y país de residencia habitual.
d) Dirección de correo electrónico.
e) Clave pública del suscriptor.
f) Algoritmos de firma de la clave pública.
g) Número de serie del certificado.
h) Período de validez del certificado.
i) Nombre de la Autoridad Certificante emisora del certificado.
j) Dirección de consulta de la lista de certificados revocados (CRL).
k) URL donde se encuentra disponible esta Política de Certificación.
l) Todo otro dato relevante para la utilización del certificado según disponga el Manual de procedimientos de la AC-ONTI.
9 -4 - Condiciones de validez del certificado de clave pública
El certificado de clave pública correspondiente a un suscriptor en los términos de la presente Política es válido únicamente si:
a) Ha sido emitido por la AC-ONTI
b) No ha sido revocado.
c) No ha expirado su período de vigencia.
d) El certificado de la AC-ONTI no ha sido revocado ni ha expirado su período de vigencia.
El certificado de clave pública de la AC-ONTI es válido únicamente si:
a) No ha sido revocado.
b) No ha expirado su período de vigencia.
9 -5 - Revocación de certificados
9-5-1- Clases de revocación
9-5-1-1- Revocación voluntaria
El Responsable de la Autoridad de Registración admitirá solicitudes de revocación recibidas vía interfaz web o a través de un correo electrónico firmado digitalmente por el suscriptor a la siguiente dirección de correo electrónico:
revocación@pki.gov.ar
El suscriptor podrá también efectuar la solicitud presentándose personalmente ante el Responsable mencionado, debiendo acreditar fehacientemente su identidad.
Asimismo, se admitirán solicitudes de revocación firmadas digitalmente por el responsable del área de Recursos Humanos o por la máxima autoridad competente del organismo o dependencia a que pertenece el suscriptor a la dirección de correo electrónico mencionada anteriormente o presentadas personalmente por cualquiera de los nombrados.
El Responsable de la Autoridad de Registración está facultado para aceptar solicitudes de revocación que reciba por otros medios (telefónicamente, vía fax) siempre que, a su juicio, la urgencia de la situación justifique la aceptación. En tales casos, debe efectuar una confirmación telefónica de la solicitud o bien, de no ser posible, utilizar otro medio de verificación alternativo a fin de validar la identidad del solicitante.
9-5-1-2- Revocación obligatoria
Un suscriptor debe solicitar la inmediata revocación de su certificado:
a) Cuando se produzcan cambios en la información que el certificado contiene o ésta se desactualice.
b) Cuando la clave privada asociada al certificado de clave pública, o el medio en que se encuentre almacenada, se encuentren comprometidos o corran peligro de estarlo.
c) Cuando cese su vínculo laboral con el organismo, dependencia o institución.
La AC-ONTI debe revocar el certificado de su suscriptor:
a) A solicitud del suscriptor cuando se verifiquen los procedimientos de recepción y validación establecidos en el Manual de Procedimientos.
b) A solicitud del responsable del área de recursos humanos o de la máxima autoridad del organismo o dependencia cuando se verifiquen los procedimientos de recepción y validación establecidos en el Manual de Procedimientos.
c) Ante incumplimiento por parte del suscriptor de las obligaciones establecidas por el Decreto N° 427/98, por esta política, por el Manual de Procedimientos o por cualquier otro acuerdo, regulación o ley aplicable al certificado.
d) Si toma conocimiento de que existe sospecha de que la clave privada del suscriptor se encuentra comprometida.
e) Si la AC-ONTI determina que el certificado no fue emitido de acuerdo a los lineamientos del Decreto N° 427/98, de esta política, del Manual de Procedimientos o de los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional.
f) Si se verifica cualquier otro supuesto que se contemple en el Manual de Procedimientos.
9-5-2- Autorizados a requerir la revocación
Unicamente el suscriptor, el responsable del área de Recursos Humanos o la máxima autoridad del organismo o dependencia pueden solicitar la revocación de un certificado emitido según lo dispuesto en esta política.
9-5-3- Procedimiento para solicitar la revocación
La solicitud de revocación del certificado de un suscriptor debe ser comunicada en forma inmediata a la AC-ONTI por alguno de los autorizados indicados en el apartado anterior o bien por el Responsable de la Autoridad de Registración remota. Debe presentarse vía interfaz web, por correo electrónico firmado digitalmente o bien personalmente según lo establecido en el apartado 9.5.1.1.
9-5-4- Actualización de repositorios
Una vez recibida una solicitud de revocación y efectuada la validación de la identidad del solicitante, el repositorio indicando el estado de los certificados se actualizará de inmediato.
Todas las solicitudes y la información acerca de los procedimientos cumplimentados deben ser archivadas, según lo dispuesto en el apartado 9.7.
9-5-5- Emisión de listas de certificados revocados
La AC-ONTI debe emitir listas de certificados revocados, efectuando como mínimo una actualización semanal.
Asimismo, toda vez que la AC-ONTI reciba una solicitud de revocación aprobada por el Responsable de la Autoridad de Registración, deberá emitir una lista de certificados revocados dentro de un plazo máximo de VEINTICUATRO (24) horas. En todos los casos, las listas de certificados revocados deben ser firmadas digitalmente por la AC-ONTI.
9 -6 - Auditoría - Procedimientos de seguridad
Todos los hechos significativos que afecten la seguridad del sistema de la AC-ONTI deben ser almacenados en archivos de transacciones de auditoría.
Serán conservados en el ámbito de la AC-ONTI al menos durante un año.
Posteriormente, serán archivados en un lugar físico protegido hasta completar un período mínimo de DIEZ (10) años.
9 -7 - Archivos
9-7-1- Información a ser archivada
La AC-ONTI debe conservar información acerca de:
a) Solicitudes de certificados y toda información que avale el proceso de identificación.
b) Solicitudes de revocación de certificados
c) Certificados emitidos y listas de certificados revocados.
d) Archivos de auditoría.
e) Toda comunicación relevante entre la AC-ONTI y los suscriptores.
9-7-2- Plazo de conservación
La información acerca de los certificados debe conservarse por un plazo mínimo de DIEZ (10) años.
9-7-3- Protección de archivos
Los medios de almacenamiento de la información deben ser protegidos física y lógicamente, utilizando criptografía cuando fuera apropiado.
9-7-4- Archivos de resguardo
Es obligación de la AC-ONTI la implementación de procedimientos para la emisión de copias de resguardo actualizadas, las cuales deben encontrarse disponibles a la brevedad en caso de pérdida o destrucción de los archivos. Dichos procedimientos deben detallarse en el Manual de Procedimientos de Seguridad.
9 -8 - Situaciones de Emergencia
9-8-1- Plan de Contingencias
La AC-ONTI debe implementar un plan de contingencias. Este debe garantizar el mantenimiento mínimo de la operatoria (recepción de solicitudes de revocación y consulta de listas de certificados revocados actualizadas) y su puesta en operaciones dentro de las VEINTICUATRO (24) horas de producirse una emergencia.
El plan debe ser conocido por todo el personal que cumpla funciones en la AC-ONTI y debe incluir una prueba completa de los procedimientos a utilizar en casos de emergencia, por lo menos una vez al año.
9-8-2- Plan de protección de claves
La AC-ONTI debe implementar procedimientos a seguir cuando su clave privada se vea comprometida. Deben incluirse las medidas a tomar para revocar los certificados emitidos y notificar en forma inmediata a sus suscriptores.
9-8-3- Cese de operaciones de la Autoridad Certificante
En caso de que la AC-ONTI cese en sus funciones, todos los suscriptores de certificados por ella emitidos deben ser notificados de inmediato.
Resulta de aplicación lo dispuesto en 9-5-1-2 último párrafo.
10 - Controles de Seguridad
10 -1 - Controles de seguridad física
10-1-1- Control de acceso
La AC-ONTI debe implementar controles apropiados que restrinjan el acceso a los equipos, programas y datos utilizados para proveer el servicio de certificación, solamente a personas debidamente autorizadas.
10 -2 - Controles funcionales
10-2-1- Determinación de roles
Todo el personal que tenga acceso o control sobre operaciones criptográficas que puedan afectar la emisión, utilización o revocación de los certificados, incluyendo modificaciones en el repositorio, debe ser confiable. Se incluyen, entre otros, a administradores del sistema, operadores, técnicos y supervisores de las operaciones de la AC-ONTI.
10-2-2- Separación de funciones
Con el fin de mantener una adecuada separación de funciones, cada uno de los roles definidos en la AC-ONTI deben ser desempeñados por diferentes responsables.
Las designaciones deben ser notificadas por escrito a cada uno de los interesados, quienes deben dejar constancia de su aceptación.
10 -3 - Controles de seguridad personal
10-3-1- Calificación del personal
La AC-ONTI debe seguir una política de administración de personal que provea razonable seguridad acerca de la confiabilidad y competencia del personal para el adecuado cumplimiento de sus funciones.
10-3-2- Antecedentes
Todo el personal involucrado en la operatoria de la AC-ONTI debe ser sometido a adecuados procesos de investigación que permitan demostrar su confiabilidad y competencia para las funciones a cumplir.
Esta investigación es obligatoria como paso previo al inicio de la relación laboral.
10-3-3- Entrenamiento
Todo el personal de la AC-ONTI debe tener acceso a toda la documentación técnica pública que sea emitida y aprobada en respaldo de los procesos de emisión, actualización y revocación de los certificados, así como sobre aspectos funcionales del sistema informático.
10 -4 - Controles de seguridad lógica
10-4-1- Generación e instalación de claves
10-4-1-1- Generación
El par de claves del suscriptor de un certificado emitido en los términos de esta política debe ser generado de manera tal que su clave privada se encuentre bajo su exclusivo y permanente conocimiento y control. El suscriptor es considerado titular del par de claves; como tal, debe generarlo en un sistema confiable, no debe revelar su clave privada a terceros bajo ninguna circunstancia y debe almacenarla en un medio que garantice su confidencialidad.
10-4-1-2- Envío de la clave pública
La clave pública del suscriptor del certificado debe ser transferida a la AC-ONTI de manera tal que asegure que:
a) No pueda ser cambiada durante la transferencia.
b) El remitente posea la clave privada que corresponde a la clave pública transferida.
c) El remitente de la clave pública sea el suscriptor del certificado.
El requerimiento de un certificado debe emitirse en formato PKCS#10. según se establece en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional o bien en el que se establezca en futuras ediciones de los mismos.
10-4-1-3- Características criptográficas
La Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros, en su carácter de Autoridad de Aplicación, define en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional:
a) Los tipos de algoritmos de firma aceptables.
b) Las longitudes mínimas de clave aceptables de las Autoridades Certificantes y de los suscriptores.
El algoritmo de firma utilizado por la AC-ONTI es SHA-1 con RSA. según se establece en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional o bien en el que se establezca en futuras ediciones de los mismos.
En caso de conocerse un mecanismo que vulnere cualquiera de los algoritmos mencionados en las longitudes indicadas, es obligación de la AC-ONTI revocar todos los certificados comprometidos y notificar a suscriptores.
10-4-2- Protección de la clave privada
La AC-ONTI debe proteger su clave privada de acuerdo con lo previsto en esta política.
10-4-2-1- Estándares criptográficos
La generación y almacenamiento de claves y su utilización deben efectuarse utilizando un equipamiento técnicamente confiable que cumpla con los estándares aprobados por la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros para la Administración Pública Nacional.
10-4-2-2- Destrucción de la clave privada
Si por cualquier motivo deja de utilizarse la clave privada de la AC-ONTI para crear firmas digitales, la misma debe ser destruida.
10-4-3- Otros aspectos del manejo de claves
10-4-3-1- Reemplazo de claves
El par de claves de la AC-ONTI debe ser reemplazado cuando las mismas hayan sido vulneradas o exista presunción en tal sentido.
10-4-3-2- Restricciones al uso de claves privadas
La clave privada de la AC-ONTI empleada para emitir certificados según los lineamientos de esta política debe utilizarse para firmar certificados a favor de suscriptores. Adicionalmente, la mencionada clave sólo puede usarse para firmar listas de certificados revocados.
10-4-4- Controles de seguridad del computador
Todos los servidores de la AC-ONTI incluyen los controles de seguridad enunciados en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional.
10-4-5- Controles de seguridad de conectividad de red
Los servicios que provee la AC-ONTI que deban estar conectados a una red de comunicación pública, deben ser protegidos por la tecnología apropiada que garantice su seguridad. Además, debe asegurarse que se exija autorización de acceso a todos los servicios que así lo requieran.
11- Certificados y listas de certificados revocados – Características
Todos los certificados que hacen referencia a esta política se emiten en formato X509 versión 3 o superior según se establece en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional o bien en el que se establezca en futuras ediciones de los mismos. Los certificados incluyen una referencia que identifica la política aplicable.
Las listas de certificados revocados se emiten en formato X509 versión 2. según se establece en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional o bien en el que se establezca en futuras ediciones de los mismos.
12 - Administración de esta política
12 -1 - Cambios a la política
12-1-1- Listado de propuestas
La AC-ONTI informará a los suscriptores de certificados acerca de todos aquellos cambios significativos que se efectúen a esta Política. Las modificaciones indicadas serán publicadas en el sitio web de la AC-ONTI .
12 -2 - Publicación y notificación
Una copia de esta política de certificación y de sus versiones anteriores se encuentra disponible en la interfaz web de la AC-ONTI en:
http://ca.pki.gov.ar
Referencias
http://www.rsa.com/
http://www.itl.nist.gov/div897/pubs/fip180-1.htm
http://www.rsa.com/
X509 versión 3: formato definido en estándar ISO/IEC/ITU X.509. Disponible en:
http://www.ietf.org/
http://www.ietf.org/internet-drafts/draft-ietf-pkix-ipki-part1-08.txt http://www.ietf.org/
ANEXO II
MANUAL DE PROCEDIMIENTOS
Autoridad Certificante
Jefatura de Gabinete de Ministros
Subsecretaría de la Gestión Pública
Oficina Nacional de Tecnologías Informáticas
1.- INTRODUCCION
2.- DEFINICION DE ROLES
2.1.- FUNCIONES DEL OPERADOR TÉCNICO DE LA AC-ONTI
2.2.- FUNCIONES DEL RESPONSABLE DE LA AUTORIDAD DE REGISTRACIÓN LOCAL
2.3.- FUNCIONES DEL OFICIAL CERTIFICADOR
2.4.- FUNCIONES DEL RESPONSABLE DE SEGURIDAD INFORMÁTICA
2.5.- DESIGNACIÓN
2.6.- ENTREGA DE LOS DISPOSITIVOS CRIPTOGRÁFICOS
2.7.- FUNCIONARIOS SUSTITUTOS
2.8.- CESE DE FUNCIONES
3.- SOLICITUD DE EMISION DEL CERTIFICADO
3.1.- INICIACIÓN DEL PROCESO
3.2.- VALIDACIÓN DE LA IDENTIDAD DEL SOLICITANTE
3.2.1.- Registración centralizada
3.2.1.1.- Verificación de datos por la Autoridad de Registración local
3.2.1.2.- Verificación de datos vía área de recursos humanos
3.2.1.3.- Procedimientos de excepción
3.2.1.3.1.- Verificación de identidad a través del responsable del organismo
3.2.1.3.2.- Servicio de registración itinerante
3.2.2.- Registración Descentralizada
3.2.2.1.- Procedimiento de designación del responsable de la Autoridad de Registración remota RARR)
3-2-2-2- Procedimiento de solicitud de certificados ante el RARR
3-2-2-3- Designación de auxiliares del RARR
3-2-2-4- Procedimiento de solicitud de certificados ante el Auxiliar del RARR
4- EMISION DEL CERTIFICADO
5- CONTENIDO DEL CERTIFICADO
6- REVOCACION DEL CERTIFICADO
6-1- CLASES DE REVOCACIÓN
6-1-1- Revocación voluntaria:
6-1-2- Revocación obligatoria:
6-2- AUTORIZADOS A PEDIR REVOCACIÓN
6-3- REVOCACIÓN A SOLICITUD DEL SUSCRIPTOR O DE FUNCIONARIO AUTORIZADO
6-3-1- Recepción e identificación
6-3-2- Recepción por otros medios
6-3-3- Procedimientos complementarios
6-3-4- Actualización de repositorios de certificados revocados
6-3-5- Emisión de listas de certificados revocados (CRLs)
6-4- REVOCACIÓN DECIDIDA POR LA AC-ONTI
7- EXPIRACION DEL CERTIFICADO
7-1- RENOVACIÓN DE CERTIFICADOS
8- RESPONSABILIDADES
8-1- RESPONSABILIDAD DE LA AC-ONTI
8-2- RESPONSABILIDAD DE LA AUTORIDAD DE REGISTRACIÓN REMOTA
8-3- RESPONSABILIDAD DE LOS SUSCRIPTORES
9- CONFIDENCIALIDAD
10- INTERPRETACION Y OBLIGATORIEDAD
11- AUDITORIAS
11-1- ARCHIVOS DE AUDITORÍA
11-2— COPIAS DE RESGUARDO DE ARCHIVOS DE TRANSACCIONES DE AUDITORÍA
12- ARCHIVOS
12-1- COPIAS DE RESGUARDO
13- PLANES DE EMERGENCIA
14- CONTROLES DE SEGURIDAD
14-1- CONTROLES DE SEGURIDAD FÍSICA Y PERSONAL
14-2- CONTROLES DE SEGURIDAD LÓGICA:
14-3- CONTROLES DE SEGURIDAD DEL COMPUTADOR:
15- CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS – CARACTERISTICAS
16- ADMINISTRACION DE LA DOCUMENTACION TECNICA EMITIDA POR LA AC-ONTI
16-1- CAMBIOS A LA DOCUMENTACION TECNICA:
16-2- PUBLICACION Y NOTIFICACION:
1.- Introducción
El presente manual describe el conjunto de procedimientos utilizados por la Autoridad Certificante cuyas funciones son ejercidas por la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros (en adelante AC-ONTI) en el cumplimiento de sus responsabilidades de emisión y administración de certificados de clave pública emitidos a favor de sus suscriptores.
Este Manual de Procedimientos forma parte de la documentación técnica emitida por la AC-ONTI junto con los siguientes documentos:
2.- Definición de roles
Para el cumplimiento de sus funciones, la AC-ONTI define los siguientes roles en su estructura:
a) Operador Técnico de la AC-ONTI
b) Responsable de la Autoridad de Registración de la AC-ONTI
c) Oficial Certificador de la AC-ONTI
d) Sustitutos de los anteriormente mencionados
e) Responsable de Seguridad Informática
El responsable de la AC-ONTI es el Director de la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros, o bien el funcionario que fuera designado a tal efecto.
2.1. - Funciones del Operador Técnico de la AC -ONTI
a) Administrar los recursos informáticos que integran la estructura de la AC-ONTI.
b) Habilitar la intervención digital del Responsable de la Autoridad de Registración y del Oficial Certificador en los procesos de emisión y revocación de certificados
c) Archivar las copias de resguardo generadas por el sistema y la copia del software de la AC-ONTI
d) Implementar y cumplir los procedimientos de seguridad.
2.2. - Funciones del Responsable de la Autoridad de Registración local
a) Recibir las solicitudes de nuevos certificados para suscriptores.
b) Verificar los datos de identidad y de competencia del solicitante.
c) Aprobar la emisión del certificado solicitado.
d) Aprobar la revocación de certificados
e) Archivar la información respaldatoria.
En caso de utilizarse un esquema de Autoridades de Registración remotas, según se indica en el apartado 3.2.2, las funciones mencionadas serán cumplidas por el Responsable de la Autoridad de Registración remota.
2.3. - Funciones del Oficial Certificador
a) Ser el depositario de la clave privada de la AC-ONTI.
b) Firmar digitalmente los certificados de los suscriptores.
c) Firmar digitalmente las listas de certificados revocados (CRLs).
2.4. - Funciones del Responsable de Seguridad Informática
Las funciones del Responsable de Seguridad Informática se definen en la Política de Seguridad de la AC-ONTI
2.5. - Designación
Cada uno de los responsables de los roles mencionados será designado por Disposición de la máxima autoridad de la Oficina Nacional de Tecnologías Informáticas, comunicándose dicho nombramiento a cada una de las partes involucradas. Estas deberán notificarse debidamente, manifestando por escrito su aceptación del cumplimiento de las obligaciones inherentes a su función.
2.6. - Entrega de los dispositivos criptográficos
Al momento de la entrega de los dispositivos criptográficos a los distintos responsables (Oficial Certificador y Responsable de la Autoridad de Registración) se procederá a labrar un acta como respaldo.
El Oficial Certificador y el Responsable de la Autoridad de Registración deben conservar los dispositivos criptográficos bajo su absoluto y exclusivo control, para lo cual cumplirán los procedimientos indicados en el Manual de Procedimientos de Seguridad. El Oficial Certificador sólo utilizará el dispositivo criptográfico de firma en presencia de otro funcionario designado según lo establecido en el apartado anterior.
2.7. - Funcionarios sustitutos
Los funcionarios designados como sustitutos para cubrir los roles descriptos en el apartado 2 reemplazarán a los responsables mencionados en caso de ausencia temporaria de éstos. El reemplazo continuará hasta tanto el responsable ausente se reintegre a sus actividades o se nombre un nuevo titular. El procedimiento a seguir se encuentra definido en el Plan de Contingencias.
2.8. - Cese de funciones
En caso de renuncia de alguno de los responsables, remoción en su cargo o cambio en el rol asignado, el sustituto designado lo reemplazará en forma permanente. En estos casos el responsable que no continúe con sus actividades debe entregar el dispositivo criptográfico que tenga en su poder al responsable de la AC-ONTI. Se procederá asimismo a la destrucción de las claves de activación correspondientes al dispositivo y a su copia de resguardo, a la entrega del dispositivo al nuevo responsable, a la generación de la nueva clave de activación y a la entrega de la copia de resguardo y clave de activación al responsable de su custodia.
Todo lo actuado deberá figurar en un acta que será firmada por los responsables intervinientes y por el responsable de la AC-ONTI.
Toda nueva designación para cubrir los roles mencionados en el apartado 2 así como cualquier modificación en los servicios brindados o documentación técnica a utilizar debe ser aprobada por el responsable de la AC-ONTI y notificada según lo indicado en el presente apartado.
3.- Solicitud de emisión del certificado
3.1. - Iniciación del proceso
Todo suscriptor de un certificado en los términos del presente documento debe iniciar el trámite de solicitud ingresando al sitio web de la AC-ONTI (http://ca.pki.gov.ar). Debe completar el formulario de solicitud de certificado, incluyendo sus datos identificatorios, generar su propio par de claves y remitir todo el conjunto de datos en formato PKCS#10 a la AC-ONTI.
El solicitante obtendrá el valor de la función de hash SHA-1 para la clave pública del requerimiento de certificado en formato PKCS#10. Este código identificatorio le será pedido para validar su identidad y la integridad de la solicitud ante la AC-ONTI.
El procedimiento indicado debe ser cumplido por todos los suscriptores de certificados, independientemente del esquema de identificación utilizado por la AC-ONTI según se describe en los apartados siguientes.
3.2. - Validación de la identidad del solicitante
Los procedimientos a utilizar para la identificación de los solicitantes de certificados diferirán en función de los distintos esquemas de registración admitidos por la AC-ONTI.
3.2.1.- Registración centralizada
3.2.1.1.- Verificación de datos por la Autoridad de Registración local
En este caso, el Responsable de la Autoridad de Registración local tiene a su cargo la verificación de los datos del suscriptor. Este debe iniciar el pedido de emisión del certificado, ingresando al sitio web de la AC-ONTI, completando el formulario de solicitud de certificado, generando su par de claves y remitiendo datos y clave pública a la AC-ONTI.
Posteriormente debe presentarse personalmente ante el Responsable de la Autoridad de Registración local, con nota firmada por el máximo responsable de la Oficina de Recursos Humanos del organismo al que pertenece, certificada por su Mesa de Entradas, Salidas y Archivo. En la nota deberá especificarse:
a) Nombre y Apellido
b) Documento de Identidad (DNI u otro de validez nacional)
c) Jurisdicción/Organismo/Dependencia/Cargo
Deberá presentar además su documento de identidad (original y fotocopia) y el código de identificación del requerimiento. El Responsable de la Autoridad de Registración local verificará:
a) Que el documento corresponde a la persona que se presentó.
b) Que dicha persona es aquella cuyos datos figuran en la nota presentada. A tal fin debe cotejar los datos del documento con los que figuran en la mencionada nota. Verificará que la misma haya sido certificada por la Mesa de Entradas, Salidas y Archivo del organismo.
c) Que el código de identificación del requerimiento coincide con el cálculo de la función de hash SHA-1 aplicada a la solicitud que será utilizada para la emisión del certificado (ver apartado 4). El Responsable de la Autoridad de Registración local está facultado para solicitar cualquier tipo de documentación adicional que considere necesaria a efectos de cumplimentar el proceso de identificación.
Efectuada la validación de identidad, el Responsable de la Autoridad de Registración local devolverá el documento de identidad al solicitante, inicialará la fotocopia del mismo y la nota presentada, en prueba de conformidad. Posteriormente, procederá a archivar toda la documentación de respaldo según lo previsto en el apartado 12.
Cumplida la etapa de validación de la identidad del solicitante, el Responsable de la Autoridad de Registración local puede:
a) Aprobar la emisión del certificado.
b) Suspender el requerimiento, si no se han reunido elementos de juicio suficientes para validar la identidad del solicitante según los procedimientos indicados. En este caso se informará al solicitante acerca de los elementos necesarios para finalizar satisfactoriamente el proceso de validación de su identidad. El solicitante tendrá un plazo de DIEZ (10) días para proveer la información complementaria que se le solicite, vencido el cual deberá reiniciar el proceso de solicitud de emisión del certificado, efectuando un nuevo requerimiento de emisión.
En caso que el proceso de validación de la identidad del solicitante no hubiera finalizado satisfactoriamente, debe dejarse constancia de lo acontecido en un acta que será firmada por el Responsable de la Autoridad de Registración local y el solicitante cuya identidad no se hubiera podido verificar. En ella se indicará el plazo para la nueva presentación. Se efectuarán dos copias del acta, entregándose un ejemplar al solicitante quien acusará recibo. El otro ejemplar y el acuse de recibo de la copia serán archivados por el Responsable de la Autoridad de Registración local.
Si el proceso de validación de identidad ha sido exitoso, interviene el Oficial Certificador quien procede a verificar el cumplimiento de las distintas instancias del proceso, haciéndolo constar en la documentación recibida. A continuación, se iniciará el proceso de emisión del certificado.
3.2.1.2.- Verificación de datos vía área de recursos humanos
Definimos los siguientes roles en el proceso de validación de la identidad:
a) El Responsable de la Autoridad Registración local, quien validará la identidad del suscriptor.
b) El Responsable del área de Recursos Humanos del organismo, quien será encargado de validar los datos complementarios del suscriptor (jurisdicción, organismo, dependencia y cargo del suscriptor del certificado).
De ser necesario, el responsable mencionado podrá ser reemplazado por otro funcionario perteneciente al área de Recursos Humanos. Este debe ser designado mediante nota firmada por el máximo responsable de la misma, intervenida por la Mesa de Entradas, Salidas y Archivo del organismo donde ésta resida. En la nota debe nombrarse al funcionario o agente como responsable de la verificación de los datos complementarios del suscriptor, incluyendo su dirección de correo electrónico.
El procedimiento a seguir para la emisión del certificado del funcionario de la Oficina de Recursos Humanos seguirá los pasos indicados en el apartado anterior.
El suscriptor debe iniciar la solicitud de emisión del certificado, ingresando al sitio web de la ACONTI y completando el formulario de requerimiento, generando su par de claves y remitiendo datos y clave pública a la AC-ONTI.
El Responsable de la Autoridad de Registración local recibirá la solicitud y enviará un formulario digital firmado digitalmente solicitando la verificación de los datos complementarios al responsable del área de Recursos Humanos. Si los datos son correctos, éste lo especificará en el campo Anexo y devolverá el formulario recibido firmándolo digitalmente.
En caso que los datos complementarios hayan sido verificados correctamente, el Responsable de la Autoridad de Registración local convocará al suscriptor quien deberá presentarse portando documento de identidad y fotocopia y el código de identificación del requerimiento. El Responsable de la Autoridad de Registración local verificará:
a) Que el documento corresponde a la persona que se presentó.
b) Que dicha persona es aquella cuyos datos figuran en el formulario digital validado por el responsable del área de Recursos Humanos. A tal fin debe cotejar los datos del documento con los que figuran en dicho formulario.
c) Que el código de identificación del requerimiento coincide con el cálculo de la función de hash SHA-1 aplicada a la solicitud que será utilizada para la emisión del certificado (ver apartado 4) Efectuada la validación de identidad, el Responsable de la Autoridad de Registración local devolverá el documento de identidad al solicitante, inicialará la fotocopia del mismo y el formulario recibido, en prueba de conformidad. Posteriormente, procederá a archivar toda la documentación de respaldo según lo previsto en el apartado 12.
Cumplida la etapa de validación de la identidad del solicitante, se continuará con el proceso de emisión del certificado según lo establecido en el apartado anterior.
En caso de que existieran discrepancias en los datos recibidos, el responsable del área de Recursos Humanos lo especificará en el campo Anexo y devolverá el formulario firmado digitalmente. En tal caso, el Responsable de la Autoridad de Registración local se contactará con el solicitante, a fin de que éste convalide la corrección y efectúe un nuevo requerimiento de certificado. Se dejará constancia escrita de lo actuado, firmada por el Responsable de la Autoridad de Registración local.
3.2.1.3.- Procedimientos de excepción
En casos de excepción, se utilizarán los procedimientos indicados a continuación a fin de validar la identidad del suscriptor:
3.2.1.3.1.- Verificación de identidad a través del responsable del organismo
Excepcionalmente se admitirá la emisión del certificado sin la concurrencia personal del suscriptor ante el Responsable de la Autoridad de Registración local. En tal caso, el suscriptor debe completar el formulario de solicitud de certificado a través de la interfaz web, generando su par de claves y remitiendo datos y clave pública a la AC-ONTI.
El suscriptor debe presentarse personalmente ante la máxima autoridad del organismo al que pertenece a fin de efectuar la validación de su identidad. Para ello debe acompañar su documento de identidad (original y fotocopia) y una nota firmada por el máximo responsable del área de Recursos Humanos del organismo, o bien de un funcionario perteneciente a dicha oficina nombrado según lo dispuesto en 3.2.1.2, consignando los siguientes datos:
a) Nombre y Apellido
b) Documento de Identidad
c) Jurisdicción/Organismo/Dependencia/Cargo
d) Código de identificación del requerimiento del certificado
Efectuada la validación, la máxima autoridad del organismo remitirá al Responsable de la Autoridad de Registración local una nota firmada e intervenida por Mesa de Entradas, Salidas y Archivo en la que indicará su conformidad con la información recibida del suscriptor, informando el código de identificación del requerimiento. El Responsable de la Autoridad de Registración local verificará la nota recibida y la correspondencia de los datos informados con los que figuraban en el requerimiento. De ser correcta la verificación, archivará la documentación de respaldo y continuará con el proceso de emisión del certificado según lo previsto en el apartado 3.2.1.1.
3.2.1.3.2.- Servicio de registración itinerante
En caso que la aprobación de la emisión del certificado sea requerida en el lugar de trabajo del funcionario solicitante, el Responsable de la Autoridad de Registración local debe concurrir a la misma a efectos de efectuar la validación de la identidad del suscriptor.
El funcionario solicitante debe completar a través de la interfaz web el formulario de solicitud de certificado, generando su par de claves y remitiendo datos y clave pública a la AC-ONTI.
El funcionario solicitante debe presentar su nombramiento (Decreto o Resolución), su documento de identidad (original y fotocopia) y copia del código de identificación del requerimiento del certificado.
Firmará la fotocopia de su documento y la copia del código mencionado, acreditando haber efectuado el requerimiento. El Responsable de la Autoridad de Registración verificará que el documento corresponde al funcionario, inicialando su fotocopia en prueba de validez.
Efectuadas las mencionadas verificaciones, el Responsable de la Autoridad de Registración local accederá a través de una conexión segura a la AC-ONTI, a fin de efectuar la aprobación de todos los atributos del requerimiento, continuándose con el proceso de emisión del certificado.
3.2.2.- Registración Descentralizada
Podrá admitirse la existencia de Autoridades de Registración fuera del organismo donde reside la AC-ONTI. En tal caso, la Autoridad de Registración que se constituya tendrá a su cargo el proceso de validación personal de la identidad de los suscriptores de certificados que se postulen por su intermedio.
A fin de cumplir con los procedimientos de validación de identidad de los suscriptores, deberá designar un funcionario Responsable de la Autoridad de Registración remota y su correspondiente sustituto. Ambos deben ser designados por Resolución de la máxima autoridad del organismo donde se constituya la Autoridad de Registración, informándose a la AC-ONTI de tal nombramiento.
Asimismo, las Autoridades de Registración constituidas en forma remota podrán recibir la colaboración de Auxiliares, quienes colaborarán en el proceso de validación de la identidad de los suscriptores de certificados. Los mencionados auxiliares serán designados por Resolución de la máxima autoridad del organismo donde se constituyan.
En caso de constituir Autoridades de Registración en jurisdicción de los Poderes Judiciales provinciales, los respectivos Responsables y sustitutos serán designados por Acordada/Resolución de la Suprema Corte/Superior Tribunal de Justicia/Consejo de la Magistratura/Procuración General o Defensoría o bien por Resolución firmada por la autoridad responsable de la Superintendencia de la jurisdicción. Idéntica modalidad se utilizará para la designación de los auxiliares de los responsables mencionados. Los funcionarios integrantes de los organismos indicados participarán en los procesos de designación según lo establecido en los apartados 3.2.2.1.2 y 3.2.2.3.2.
Los procedimientos de designación de los responsables mencionados y de validación de la identidad de los suscriptores que utilicen el presente esquema de registración son los siguientes:
3.2.2.1.- Procedimiento de designación del responsable de la Autoridad de Registración remota (RARR)
1. Funcionario responsable de la Autoridad de Registración remota
a) Ingresa al sitio web de la AC-ONTI
b) Efectúa el requerimiento y genera su par de claves.
c) Envía el requerimiento a la AC-ONTI. Obtiene una nota de confirmación de su recepción, que incluye:
I. Datos personales
II. Código de identificación del requerimiento
a) Obtiene una nota de aceptación de condiciones y responsabilidades inherentes al cumplimiento de la función de RARR.
b) Imprime y firma ambas notas (confirmación y aceptación).
1. Máxima autoridad del organismo
a) Recibe la nota de confirmación de recepción del requerimiento del funcionario designado como RARR.
b) Emite la designación (Resolución u otro nombramiento según lo establecido en 3.2.2) del funcionario como RARR, incluyendo:
I. Nombre y Apellido del funcionario designado
II. Organismo al que pertenece
III. Cargo
a) La máxima autoridad del organismo o el funcionario competente que hubiera firmado la designación deberán asimismo intervenir la nota de confirmación, acreditando de tal forma que el requerimiento fuera efectuado por el RARR designado. Opcionalmente, podrán incluir el código de identificación del requerimiento y la mencionada acreditación en el nombramiento.
El nombramiento firmado por funcionarios competentes, la nota de aceptación y de confirmación son remitidas a la AC-ONTI
1. AC-ONTI:
Responsable de la Autoridad de Registración Local (RARL)
a) Recibe el nombramiento y las notas de aceptación y de confirmación
b) Verifica su integridad, la coincidencia de los datos indicados en ambas notas y las firmas indicadas en 2.
c) Verifica que el código identificatorio del requerimiento informado en la nota de confirmación coincida con el cálculo de la función de hash SHA-1 aplicada a la solicitud que será utilizada para la emisión del certificado.
d) Si la verificación es exitosa aprueba los atributos del requerimiento, aprobando la emisión del certificado para el RARR.
e) Por último, archiva la documentación de respaldo del proceso de validación de identidad (nombramiento, nota de confirmación y nota de aceptación).
Oficial Certificador
Firma el nuevo certificado incorporándolo a la lista de Autoridades de Registración habilitadas, informando al RARR de la emisión del certificado a través de un mensaje de correo electrónico firmado digitalmente.
3-2-2-2- Procedimiento de solicitud de certificados ante el RARR
1. Solicitante
a) Ingresa al sitio web de la AC-ONTI.
b) Efectúa el requerimiento y genera su par de claves.
c) Envía el requerimiento a la AC-ONTI. Obtiene una nota de confirmación de su recepción, que incluye:
I. Nombre y Apellido del solicitante
II. Organismo al que pertenece
III. Cargo
IV. Código de identificación del requerimiento
d) Imprime y firma la nota recibida.
e) Valida su identidad personalmente ante el RARR presentando la nota de confirmación firmada y su documento de identidad.
1. Responsable de la Autoridad de Registración Remota
a) Verifica integridad de la nota de confirmación.
b) Valida la identidad del solicitante mediante la verificación de su documento de identidad.
c) Firma la nota como constancia de verificación de la identidad del solicitante y de la realización del requerimiento.
d) Verifica la validez de los datos que figuran en la nota y su correspondencia con los que figuran en la interfaz web, incluyendo el código de identificación del requerimiento.
e) Si los controles son exitosos, aprueba la emisión del certificado.
f) Informa la aprobación a la AC-ONTI a través un correo electrónico firmado digitalmente.
g) Archiva la documentación de respaldo del proceso de validación (nota de confirmación y fotocopia de documento de identidad).
3. AC-ONTI
Oficial Certificador
a) Recibe la aprobación.
b) Firma el nuevo certificado informando al suscriptor acerca de su emisión a través de un mensaje de correo electrónico firmado digitalmente.
En caso de constituir Autoridades de Registración en jurisdicción de los Poderes Judiciales provinciales, se admitirá la intervención del Secretario del Juzgado a fin de firmar la nota de confirmación como constancia de realización de los controles indicados en 3.2.2.2.2.a y 3.2.2.2.2.b A continuación, remitirá la nota mencionada al RARR, continuando el proceso de emisión con los procedimientos previstos. Si el solicitante fuera el titular del Juzgado, la nota de confirmación podrá ser firmada por dicho funcionario, remitiéndola posteriormente al RARR.
Este procedimiento alternativo será de aplicación en el proceso de solicitud de certificados ante el auxiliar del RARR (apartados 3-2-2-4-2-a y 3-2-2-4-2-b).
3-2-2-3- Designación de auxiliares del RARR
1. Auxiliar del RARR
a) Ingresa al sitio web de la AC-ONTI.
b) Efectúa el requerimiento y genera su par de claves.
c) Envía el requerimiento a la AC-ONTI. Obtiene una nota de confirmación de su recepción, que incluye:
I. Datos personales
II. Código de identificación del requerimiento
III. Obtiene una nota de aceptación de condiciones y responsabilidades inherentes al cumplimiento de la función de auxiliar del RARR en el proceso de validación.
IV. Imprime y firma ambas notas (confirmación y aceptación).
1. Máxima autoridad del organismo donde se constituye el auxiliar del RARR.
a) Recibe la nota de confirmación del funcionario designado como auxiliar del RARR.
b) Emite designación (Resolución u otro nombramiento según lo establecido en 3.2.2) del funcionario como RARR, incluyendo:
I. Nombre y Apellido del funcionario designado.
II. Organismo.
III. Cargo.
a) La máxima autoridad del organismo o el funcionario competente que hubiera firmado la designación deberán asimismo intervenir la nota de confirmación, verificando la validez de los datos incluídos en ella y su correspondencia con los que figuran en la interfaz web, acreditando de tal forma que el requerimiento fuera efectuado por el RARR designado. Opcionalmente, podrán incluir el código de identificación del requerimiento y la mencionada acreditación en el nombramiento.
El nombramiento firmado por funcionarios competentes y la nota de aceptación y de confirmación son remitidas al RARR de la jurisdicción.
1. Responsable de la Autoridad de Registración Remota
a) Recibe el nombramiento y la nota de aceptación y de confirmación
b) Verifica su integridad, la coincidencia de los datos indicados en ambas notas y las firmas indicadas en 2.
c) Verifica que el código identificatorio del requerimiento informado en la nota de confirmación coincida con el cálculo de la función de hash SHA-1 aplicada a la solicitud que será utilizada para la emisión del certificado.
d) Si la verificación es exitosa aprueba los atributos del requerimiento, aprobando la emisión del certificado para el RARR.
e) Archiva la documentación respaldatoria del proceso de validación (nombramiento y notas de confirmación y aceptación).
1. AC-ONTI
Oficial Certificador
a) Recibe la autorización
b) Firma el nuevo certificado informando al Auxiliar del RARR acerca de su emisión a través de un mensaje de correo electrónico firmado digitalmente.
3-2-2-4- Procedimiento de solicitud de certificados ante el Auxiliar del RARR
1. Solicitante
a) Ingresa al sitio web de la AC-ONTI
b) Efectúa el requerimiento y genera su par de claves.
c) Envía el requerimiento a la AC-ONTI. Obtiene una nota de confirmación de su recepción, que incluye:
I. Nombre y Apellido del solicitante
II. Organismo al que pertenece
III. Cargo
IV. Código de identificación del requerimiento
a) Imprime y firma la nota obtenida.
b) Valida su identidad personalmente ante el auxiliar del RARR presentando la nota de confirmación firmada y su documento de identidad.
1. Auxiliar del RARR
a) Verifica integridad de la nota de confirmación
b) Valida la identidad del solicitante mediante la verificación de su documento de identidad
c) Firma la nota de confirmación como constancia de verificación de la identidad del solicitante y de la realización del requerimiento
d) Informa al RARR de su jurisdicción acerca de la verificación efectuada. A tal fin el auxiliar podrá comunicarlo:
I. por correo electrónico firmado digitalmente, incluyendo todos los datos contenidos en la nota de confirmación. En este caso el auxiliar conservará la documentación de respaldo del requerimiento (nota de confirmación y fotocopia del documento de identidad)
II. por correo remitiendo la nota de confirmación firmada y fotocopia del documento de identidad del solicitante. En este caso, el auxiliar conservará copia de la documentación remitida.
1. Responsable de la Autoridad de Registración Remota
a) Verifica integridad de la información recibida
b) Verifica que los datos coincidan con los atributos del certificado que figuran en la interfaz web y su coincidencia con el código de identificación del requerimiento
c) Si los controles son exitosos, aprueba la emisión de certificado
d) Informa la aprobación a la AC-ONTI a través un correo electrónico firmado digitalmente
e) Archiva la documentación de respaldo que hubiera recibido (nota de confirmación y fotocopia de documento de identidad) en caso de haberse cumplido el procedimiento indicado en 2.d.II.
1. AC-ONTI
Oficial Certificador
a) Recibe la aprobación
b) Firma el nuevo certificado informando al suscriptor acerca de su emisión a través de un mensaje de correo electrónico firmado digitalmente.
4- Emisión del certificado
Una vez finalizado exitosamente el proceso de validación de la identidad del suscriptor según los procedimientos indicados en el apartado 3, se iniciará el proceso de emisión del certificado.
Este comprende los siguientes procedimientos:
a) El Responsable de la Autoridad de Registración local accede al sistema, selecciona el requerimiento de certificado, verifica sus atributos con los que figuran en la nota presentada y controla que su código de identificación coincida con el informado. De ser exitosos los controles, ingresa su dispositivo de firma a fin de firmar la aprobación de la emisión. En caso de intervenir una Autoridad de Registración remota en la validación de la identidad del solicitante, el procedimiento mencionado será efectuado en forma remota por el Responsable de dicha Autoridad de Registración (RARR).
De utilizarse el servicio de registración itinerante previsto en el apartado 3-2-1-3-2, el procedimiento mencionado se efectuará en forma remota por el Responsable de la Autoridad de Registración local.
b) El Oficial Certificador ingresa al sistema, verificando la lista de certificados cuya emisión ha sido aprobada y aún no han sido firmados. A continuación habilita la clave privada de la AC-ONTI ingresando su dispositivo de firma y procede a firmar los certificados.
c) El solicitante recibirá un mensaje de correo electrónico que le informará acerca de la emisión de su certificado.
d) Por último, se cierran todos los servicios. Se entiende que el solicitante acepta la totalidad de las obligaciones establecidas por la Política de Certificación de la AC-ONTI y por este Manual de Procedimientos a partir de la fecha y hora de inicio de validez del certificado emitido. En consecuencia, asume la absoluta y exclusiva responsabilidad por su utilización, y por los daños emergentes que la no observancia de la regulación pudiera implicar.
5- Contenido del certificado
El certificado de clave pública debe contener como mínimo los siguientes datos:
a) Número de versión X.509 del certificado
b) Nombre y apellido del suscriptor del certificado.
c) Localidad, provincia y país de residencia habitual.
d) Dirección de correo electrónico.
e) Clave pública del suscriptor.
f) Algoritmos de firma de la clave pública.
g) Número de serie del certificado.
h) Período de validez del certificado.
i) Nombre de la Autoridad Certificante emisora del certificado.
j) Dirección de consulta de la lista de certificados revocados (CRL).
k) URL donde se encuentra disponible esta Política de Certificación.
6- Revocación del Certificado
6 -1 - Clases de revocación
6-1-1- Revocación voluntaria:
El suscriptor de un certificado puede solicitar su revocación por cualquier motivo y en cualquier momento, para lo cual debe comunicarlo a la AC-ONTI siguiendo el procedimiento que establece este manual.
6-1-2- Revocación obligatoria:
Un suscriptor debe obligatoriamente pedir la revocación de su certificado cuando:
a) Se produzcan cambios en la información que el certificado contiene o ésta se desactualice.
b) La clave privada asociada al certificado de clave pública, o el medio en que se encuentre almacenada se encuentren comprometidos o corran peligro de estarlo.
c) Se produzca el cese de su relación laboral con el organismo, dependencia o institución, sin perjuicio de la obligación que le corresponde al responsable del área de Recursos Humanos del organismo donde desempeña sus funciones.
La AC-ONTI debe obligatoriamente revocar el certificado de un suscriptor en las siguientes situaciones:
a) A solicitud del suscriptor cuando se verifiquen los procedimientos de recepción y validación establecidos en los apartados 6.3.1 y 6.3.2 de este manual.
b) A solicitud del responsable del área de recursos humanos o de la máxima autoridad del organismo o dependencia cuando se verifiquen los procedimientos de recepción y validación establecidos en los apartados 6.3.1 y 6.3.2 de este manual.
c) Ante incumplimiento por parte del suscriptor de las obligaciones establecidas por el Decreto N° 427/98, por la Política de Certificación de la AC-ONTI, por este Manual de Procedimientos o cualquier otro acuerdo, regulación o ley aplicable al certificado.
d) Si toma conocimiento que existe sospecha que la clave privada del suscriptor se encuentra comprometida.
e) Si la AC-ONTI determina que el certificado no fue emitido de acuerdo a los lineamientos del Decreto N°427/98, de la Política de Certificación, de este Manual de Procedimientos o de los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional.
En caso que el suscriptor cese en su vinculación laboral, el responsable del área de Recursos Humanos del organismo, dependencia o institución donde se desempeñara, o en su caso, el funcionario que administre el registro de personal, está obligado a informar de inmediato a la AC-ONTI acerca de tal situación, a fin de efectuar la correspondiente revocación.
6 -2 - Autorizados a pedir revocación
Sólo pueden pedir la revocación de un certificado:
a) El suscriptor, si se da alguno de los supuestos de revocación indicados en el apartado 6-1-2.
b) La máxima autoridad del organismo o dependencia donde se desempeñe el suscriptor o bien el responsable del área de Recursos Humanos o el funcionario que administre el registro de personal.
6 -3 - Revocación a solicitud del suscriptor o de funcionario autorizado
6-3-1- Recepción e identificación
Producida una causa de revocación del certificado, el suscriptor del certificado, o bien alguno de los responsables indicados en el apartado 6-2-b deben comunicarlo a la AC-ONTI..
Son aceptados los pedidos de revocación que se efectúen por los siguientes medios:
a) A través del sitio web de la AC-ONTI.
b) Por correo electrónico firmado digitalmente por el suscriptor, el responsable del área de Recursos Humanos o la máxima autoridad del organismo o dependencia donde aquel desempeñe sus funciones. El texto del mensaje debe incluir los datos personales del suscriptor y la causa que origina el pedido de revocación y se dirigirá al Responsable de la Autoridad de Registración de la AC-ONTI, quien revocará el certificado.
c) Personalmente, presentándose alguno de los funcionarios mencionados ante el Responsable de la Autoridad de Registración de la AC-ONTI. Si quien concurre es el suscriptor, se dará curso al pedido de revocación en forma inmediata, previa verificación de su documento de identidad. Si quien concurre es un funcionario autorizado, debe acreditar su identidad mediante presentación de su documento de identidad y copia de su nombramiento o nota de autorización firmada por la máxima autoridad del organismo o dependencia certificada por Mesa de Entradas, Salidas y Archivo. Se acompañará una nota de solicitud de revocación firmada por la máxima autoridad del organismo o dependencia o por el responsable del área de Recursos Humanos.
d) Dada la urgencia del caso, el Responsable de la Autoridad de Registración de la AC-ONTI puede autorizar la revocación obviando la presentación del pedido de revocación y efectuando una confirmación telefónica de la solicitud.
6-3-2- Recepción por otros medios
El Responsable de la Autoridad de Registración se encuentra facultado para aceptar las solicitudes de revocación de certificados que reciba por otros medios (teléfono o fax). En estos casos debe verificar telefónicamente la identidad de quien efectuara el pedido de revocación, solicitando su número de documento de identidad y verificándolo con los datos del solicitante del certificado que figuran en sus archivos. De no ser posible dicha verificación, podrá aceptar la solicitud de revocación si a su juicio la urgencia de la situación lo justifica, debiendo efectuar las verificaciones que estime necesarias para validar la identidad del solicitante.
En caso de constituirse Autoridades de Registración remotas, los procedimientos de recepción de solicitudes de revocación indicados serán cumplidos por el Responsable de la Autoridad de Registración remota (RARR).
6-3-3- Procedimientos complementarios
En todos los casos en que se efectúe una revocación se labrará un acta en la que conste lo actuado en el proceso mencionado, firmada por el Responsable de la Autoridad de Registración y el Oficial Certificador. Un ejemplar del acta quedará a disposición del solicitante de la revocación; el otro ejemplar del acta quedará en poder del Responsable de la Autoridad de Registración para su archivo.
6-3-4- Actualización de repositorios de certificados revocados
Recibida y aceptada una solicitud de revocación el certificado será revocado automáticamente. El repositorio con el estado de los certificados se actualizará de inmediato.
6-3-5- Emisión de listas de certificados revocados (CRLs)
La ACL-ONTI emite semanalmente una lista de certificados revocados actualizada.
Asimismo, toda vez que se produzca una revocación, la AC-ONTI emite una lista de certificados revocados actualizada en un plazo máximo de VEINTICUATRO (24) horas de aceptada la solicitud.
Dicha lista indica claramente la fecha y la hora de la última actualización.
El Oficial Certificador de la AC-ONTI es el responsable de firmar digitalmente la lista de certificados revocados, pudiendo utilizar el mismo par de claves utilizado para firmar certificados.
El acceso a las listas de certificados revocados es público, no pudiendo establecerse ninguna clase de restricción. Se encuentra disponible en el sitio web de la AC-ONTI, en el siguiente URL:
http://www.pki.gov.ar/ol/crl
6 -4 - Revocación decidida por la AC -ONTI
Si la AC-ONTI toma conocimiento, por cualquier medio que fuera, acerca de irregularidades cometidas por el suscriptor de un certificado, las cuales, a su juicio, impliquen un posible incumplimiento de sus obligaciones que puedan originar causales de revocación, debe iniciar de inmediato la investigación pertinente.
En caso de confirmar dicho incumplimiento, la AC-ONTI procede a revocar de inmediato el certificado comprometido.
De toda denuncia o notificación que se reciba e investigación que se inicie, así como sus resultados, debe dejarse documentación respaldatoria asentada en archivos que estarán a disposición del Organismo Auditante. Lo mismo debe hacerse con los incumplimientos que se detecten y que motiven revocación de certificados.
7- Expiración del certificado
Todos los certificados emitidos por la AC-ONTI a favor de suscriptores tienen un período de vigencia de UN (1) año, contados a partir de la fecha de emisión. Esta información consta expresamente en el certificado.
Transcurrido el plazo mencionado, el certificado expirará automáticamente, perdiendo toda validez.
En tal caso, el suscriptor debe gestionar uno nuevo, para lo cual iniciará el correspondiente proceso de solicitud de emisión.
7 -1 - Renovación de certificados
Un suscriptor puede solicitar la renovación de su certificado dentro de los TREINTA (30) días anteriores a la fecha de su vencimiento. La utilización de este procedimiento de renovación evitará que aquella deba presentar nuevamente la documentación necesaria para emitir un certificado nuevo. El período de validez del certificado renovado se extenderá por UN (1) año a partir de la fecha de la renovación. El suscriptor efectuará su solicitud de renovación vía interfaz web, identificándose con su certificado vigente. El Responsable de la Autoridad de Registración recibe las solicitudes de renovación, verificando que el certificado a renovar se encuentra vigente. Efectuado el control mencionado, aprobará la renovación, interviniendo el Oficial Certificador quien emitirá el nuevo certificado que tendrá la misma clave pública que el certificado vencido.
En caso de constituirse Autoridades de Registración remotas, los procedimientos de recepción de solicitudes de renovación indicados serán cumplidos por el Responsable de la Autoridad de Registración remota (RARR).
8- Responsabilidades
8 -1 - Responsabilidad de la AC -ONTI
En el cumplimiento de sus funciones relativas a la emisión y administración de certificados, la ACONTI garantiza:
a) Que el certificado ha sido emitido siguiendo las pautas establecidas en el Manual de Procedimientos para la validación de los datos en él incluidos.
b) Que el certificado satisface todos los requisitos exigidos por el Decreto N° 427/98.
c) Que los algoritmos y longitudes de claves utilizados cumplen con la última versión aprobada por la Autoridad de Aplicación en relación a los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional.
d) Que el certificado será publicado de acuerdo a lo dispuesto en la Política de Certificación.
8 -2 - Responsabilidad de la Autoridad de Registración remota
a) Dar cumplimiento a los procedimientos establecidos en la Política de Certificación de la AC-ONTI, de este Manual de Procedimientos y de las normas reglamentarias sobre firma digital.
b) Mantener el control de su clave privada e impedir su divulgación.
c) Solicitar la inmediata revocación de su certificado en caso de compromiso de la clave privada.
d) Resguardar el secreto de su clave privada aún en caso de que el certificado se encuentre expirado.
e) Solicitar la inmediata revocación de su certificado en caso de producirse algún cambio en su situación laboral que implique la discontinuidad de su función como Responsable de la Autoridad de Registración remota (RARR).
f) Mantener actualizados los certificados emitidos
g) Permitir las auditorías y controles necesarios para garantizar la seguridad de la operatoria del sistema.
h) Mantener el archivo y resguardo de la información
i) Mantener la debida confidencialidad respecto a toda información recibida durante el desempeño de su función, cumpliendo las previsiones establecidas en el apartado 9.
8 -3 - Responsabilidad de los Suscriptores
Es responsabilidad de los suscriptores de certificados mantener informada a la AC-ONTI acerca de cualquier cambio en la información que se incluya en los mismos. En particular el suscriptor es responsable de informar a la AC-ONTI acerca del cese de su relación laboral con el organismo o dependencia del que dependiera al momento de efectuar la solicitud del certificado. Las responsabilidades mencionadas se hacen extensivas al responsable del área de Recursos Humanos del organismo o dependencia del que dependiera el suscriptor o al funcionario que administre el registro de personal.
9- Confidencialidad
La información referida a los suscriptores recibida o generada por la AC-ONTI puede clasificarse en:
a) No confidencial: la información que obligatoriamente debe figurar en el certificado según lo indicado en la Política de Certificación.
b) Confidencial: toda otra información recibida o generada por la AC-ONTI en el proceso de identificación, emisión y administración del certificado, no incluida en el mismo, así como cualquier otra información vinculada a la operatoria de la AC-ONTI.
La información considerada confidencial no puede ser revelada por la AC-ONTI a terceros bajo ninguna circunstancia, excepto que se dé alguno de los siguientes supuestos:
a) Que exista consentimiento previo del suscriptor para su divulgación.
b) Esta autorización debe otorgarse a través de un mensaje de correo electrónico firmado digitalmente por el suscriptor o bien personalmente por éste, debiendo validar su identidad siguiendo los procedimientos previstos en el apartado 3-2-1-1 en cuanto sean pertinentes.
c) Que la información sea requerida legalmente, por orden judicial emanada de juez competente.
Toda solicitud de información confidencial que se reciba es archivada por el Responsable de la Autoridad de Registración en las condiciones establecidas en el apartado 12.
La información acerca de las causas de la revocación de un certificado es considerada confidencial y sujeta a las mencionadas restricciones informativas.
El deber de confidencialidad debe notificarse por escrito a todo el personal, como requisito de su designación.
10- Interpretación y obligatoriedad
La interpretación de toda la documentación técnica emitida por la AC-ONTI se encuentra sometida a lo dispuesto en el Decreto N° 427/98 y sus resoluciones reglamentarias.
Las disposiciones contenidas en los documentos indicados emitidos en acuerdo a la normativa mencionada son de aplicación obligatoria para los sujetos involucrados. Se considera que éstos se han notificado de tal circunstancia a partir de la fecha y hora de inicio de validez del certificado emitido.
Toda discrepancia respecto de la interpretación y/o aplicación de las políticas y procedimientos, así como los conflictos que pudieran suscitarse entre la AC-ONTI y el suscriptor del certificado, serán resueltos por la Autoridad de Aplicación
11- Auditorías
Según lo establecido por el Art. 81 de la Ley 11.672 y el Art. 61 de la Ley 25.237, la Sindicatura General de la Nación cumple funciones de Organismo Auditante de las Autoridades Certificantes que conforman la Infraestructura de Firma Digital del Sector Público Nacional. El propósito de las auditorías es verificar que las Autoridades Certificantes implementen un sistema que asegure la calidad de los servicios de certificación, cumpliendo con los lineamientos establecidos en su documentación técnica.
11 -1 - Archivos de Auditoría
La AC-ONTI mantiene un sistema de archivos de transacciones de auditoría que permita mantener en un entorno de seguridad toda la información considerada relevante que pueda ser requerida por la Sindicatura General de la Nación en el desarrollo de su función de Organismo Auditante.
El sistema prevé la generación de:
a) Logs del sistema
Se mantiene un registro de logs que incluye información sobre los siguientes eventos:
1. Encendido y apagado del equipo
2. Ingreso y salida del sistema de cada usuario
3. Programas ejecutados
4. Acceso a los objetos del sistema (base de passwords, base de datos de certificados)
5. Cambios en los archivos o políticas de definición de logs
Para cada uno de estos eventos, se conserva la siguiente información mínima:
I. Usuario
II. Fecha y hora
III. Tipo de evento
IV. Datos particulares del evento
1. Registros de transacciones de auditoría que permitan el seguimiento de las distintas etapas del ciclo de vida de los certificados.
a) Copia de la documentación respaldatoria del proceso de validación de identidad de los suscriptores.
Todos los archivos (digitales o en soporte papel) que respalden las transacciones deben encontrarse actualizados en forma permanente y a disposición del Organismo Auditante.
Los archivos de auditoría son generados por el Operador Técnico de la AC-ONTI. Se conservan bajo llave bajo la responsabilidad del Responsable de Seguridad Informática. Este tendrá en su poder un juego de llaves, junto al Operador Técnico y su sustituto. Una copia de la misma se encuentra en poder del responsable de la AC-ONTI. Debe quedar constancia de los datos de quienes poseen una copia de las llaves. Los archivos de transacciones de auditoría sólo pueden ser visualizados por representantes de dicho organismo.
Los archivos deben conservarse en un espacio físico acondicionado dentro del ámbito de la ACONTI por un plazo mínimo de DIEZ (10) años. Aquellos con antigüedad mayor a un año pueden trasladarse a un archivo secundario en un lugar físico protegido manteniendo las mismas medidas de seguridad.
De utilizarse un esquema de registración descentralizada, los Responsables de la Autoridades de Registración remotas (RARR) están obligados a mantener a disposición del Organismo Auditante archivo de copias de toda la documentación que reciban o generen como respaldo del proceso de validación de la identidad de los suscriptores. El mencionado archivo se conservará bajo la responsabilidad del RARR y su sustituto, en lugar físico seguro y por el plazo establecido en el presente apartado. Esta obligación se extiende a los auxiliares de los RARR que se hubieran designado.
La AC-ONTI efectuará auditorías periódicas sobre las Autoridades de Registración remotas con el fin de verificar el cumplimiento por parte de éstas de los procedimientos de validación y la revisión de su documentación respaldatoria.
Asimismo, el Responsable de una Autoridad de Registración remota está obligado a efectuar una auditoría semestral sobre sus auxiliares y en aquellos casos en los que se hubiera aplicado el procedimiento opcional indicado en el apartado 3-2-2-2-3. A tal fin efectuará una revisión de la documentación respaldatoria de dicho proceso, así como de los procedimientos de validación utilizados.
11 -2 - Copias de resguardo de Archivos de transacciones de Auditoría
Las copias de resguardo de los archivos de transacciones de auditoría se mantienen a disposición del Organismo Auditante. El procedimiento para su generación y mantenimiento se encuentra especificado en el Manual de Procedimientos de Seguridad.
12- Archivos
La AC-ONTI mantiene un sistema de archivos que permita la conservación, en condiciones adecuadas de seguridad, de toda la información referida a los procesos de emisión y administración de los certificados.
La información mínima a conservar es la siguiente:
a) Solicitudes de emisión de certificados, incluyendo documentación de respaldo del proceso de identificación
b) Solicitudes de revocación de certificados.
c) Notificaciones de compromiso de claves.
d) Emisión de certificados.
e) Revocación de certificados.
f) Emisión de listas de certificados revocados.
g) Cambios de claves.
h) Nombramiento de personal en roles confiables.
i) Actas de actividades efectuadas por dicho personal
j) Nombramiento de Responsables de Autoridades de Registración remotas y de sus auxiliares
k) Toda comunicación entre la AC-ONTI y el Organismo Licenciante.
Los archivos se conservarán bajo llave. Es función del Responsable de la Autoridad de Registración local su mantenimiento y resguardo. En caso de ausencia, su función será cubierta por su sustituto.
Cada uno de los responsables mencionados tendrá en su poder un juego de llaves. Una copia de la misma se encuentra en poder del responsable de la AC-ONTI. Debe quedar constancia escrita de los datos de quienes poseen una copia de las llaves.
Los archivos deben conservarse en un espacio físico acondicionado dentro del ámbito de la ACONTI por un plazo mínimo de DIEZ (10) años. Aquellos con antigüedad mayor a un año pueden trasladarse a un archivo secundario en un lugar físico protegido, manteniendo las mismas medidas de seguridad.
De utilizarse un esquema de registración descentralizada, los Responsables de la Autoridades de Registración remotas (RARR) están obligados a mantener archivo de toda la documentación que reciban o generen como respaldo del proceso de validación de la identidad de sus auxiliares. El mencionado archivo se conservará bajo la responsabilidad del RARR y su sustituto, en lugar físico seguro y por el plazo establecido en el presente apartado. Esta obligación se extiende a los auxiliares de los RARR que se hubieran designado respecto a la documentación respaldatoria del proceso de validación de identidad de los suscriptores que hubieran solicitado sus certificados por su intermedio.
En caso que se optara por centralizar el archivo de dicha información bajo la responsabilidad del RARR, su auxiliar le remitirá la documentación recibida, conservando copia de la misma en su poder.
12 -1 - Copias de resguardo
Se mantendrán copias de resguardo de todos los archivos referidos a los procesos de emisión y administración de certificados que se encuentren en el servidor de la AC-ONTI. El procedimiento para su generación y mantenimiento se encuentra especificado en el Manual de Procedimientos de Seguridad.
13- Planes de emergencia
La AC-ONTI posee un plan de contingencias que permite garantizar el mantenimiento mínimo de la operatoria y la recuperación de los recursos comprometidos dentro de las VEINTICUATRO (24) horas de producida una emergencia.
Los procedimientos detallados a cumplir se encuentran descriptos en el Plan de Contingencias.
14- Controles de Seguridad
14 -1 - Controles de Seguridad Física y Personal
La AC-ONTI implementa controles de seguridad físicos y personales a fin de dotar de un adecuado marco de seguridad a las funciones que desarrolla (generación de claves, autenticación, emisión y revocación de certificados, archivos, etc.).
Estos controles son críticos para otorgar confiabilidad a los certificados, ya que su ausencia comprometerá todas las instancias del sistema.
Los controles de seguridad física y personal se detallan en el Manual de Procedimientos de Seguridad.
14 -2 - Controles de Seguridad Lógica:
La AC-ONTI define en el Manual de Procedimientos de Seguridad:
a) Las medidas de seguridad a fin de proteger sus claves criptográficas pública y privada y todos los demás datos críticos necesarios para operar con módulos criptográficos (números pin, passwords, claves manuales compartidas o no por el personal, etc.).
b) Otros controles de seguridad lógica que garantizan las funciones de generación de claves, identificación de usuarios, emisión y renovación de certificados, auditoría y archivos.
14 -3 - Controles de Seguridad del Computador:
Son aplicables los controles indicados en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional (Resolución N° 194/98 de la ex Secretaría de la Función Pública).
15- Certificados y listas de certificados revocados – Características
Se emplean certificados en formato x509 versión 3 o superior y listas de certificados revocados en formato x509 versión 2.
La información a incluir en los certificados se encuentra detallada en los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional (Resolución N° 194/98 de la ex Secretaría de la Función Pública) y en el apartado 5 del presente manual.
16- Administración de la documentación técnica emitida por la AC-ONTI
En este capítulo se incluyen disposiciones acerca del mantenimiento de la documentación técnica emitida por la AC-ONTI, sus eventuales modificaciones y notificaciones.
16 -1 - Cambios a la documentación técnica:
La AC-ONTI informará a sus suscriptores acerca de todos aquellos cambios significativos que se efectúen a la documentación técnica pública mencionada en el presente manual. Las modificaciones indicadas serán publicadas en el sitio web de la AC-ONTI.
Toda modificación debe ser aprobada por Resolución emitida por la Autoridad de Aplicación.
16 -2 - Publicación y Notificación:
El Manual de Procedimientos y demás documentación técnica pública emitida por la AC-ONTI, así como sus versiones anteriores se encuentran disponibles en su sitio web en el siguiente URL:
http://ca.pki.gov.ar/
ANEXO III
PLAN DE CESE DE ACTIVIDADES
Autoridad Certificante
Jefatura de Gabinete de Ministros
Subsecretaría de la Gestión Pública
Oficina Nacional de Tecnologías Informáticas
INDICE
1- COMPONENTES INVOLUCRADOS
2- PROCEDIMIENTOS A SEGUIR
2-1- PROCEDIMIENTO GENERAL
2-2- CESE DE ACTIVIDADES CON TRANSFERENCIA DE CERTIFICADOS
1- Componentes involucrados
El cese de actividades de la Autoridad Certificante de la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros (en adelante ACONTI) tiene efectos que involucrarán a todos los suscriptores de sus certificados. Cualquiera sea el motivo que lo ocasione, la AC-ONTI tomará una serie de recaudos a fin minimizar el impacto de la finalización de sus servicios.
En caso de producirse un cese de actividades, los procedimientos correspondientes serán supervisados conjuntamente por el Organismo Licenciante y el Organismo Auditante.
2- Procedimientos a seguir
2 -1 - Procedimiento general
Si la AC-ONTI dejara de operar, no emitirá nuevos certificados a favor de sus suscriptores. Unicamente garantizará la posibilidad de emitir las Listas de Certificados Revocados con la periodicidad habitual o ante el pedido de revocación de un certificado por parte de alguno de sus suscriptores.
Los procedimientos generales a seguir son los siguientes:
a) Publicar el cese de actividades en el Boletín Oficial durante TRES (3) días consecutivos, indicando fecha y hora de cese de actividades, que no podrá ser anterior a los NOVENTA (90) días corridos contados desde la fecha de la última publicación.
b) Notificar acerca de la situación al Organismo Licenciante con una antelación no menor a los NOVENTA (90) días corridos de la fecha de cese, indicando expresamente la fecha prevista. La notificación se efectuará mediante un mensaje de correo electrónico firmado digitalmente o personalmente por el responsable de la AC-ONTI o un representante autorizado. Además, en ella se informará si la AC-ONTI efectuará transferencia de los certificados emitidos a favor de otra Autoridad Certificante bajo el régimen del Decreto 427/98.
c) Notificar a los suscriptores acerca del cese de sus actividades mediante un mensaje de correo electrónico firmado digitalmente con una antelación no menor a los NOVENTA (90) días corridos de la fecha prevista de cese.
d) Publicar durante TRES (3) días consecutivos en uno o más diarios de difusión nacional el cese de sus actividades, si hubiera emitido certificados a personas ajenas al Sector Público Nacional.
e) Rechazar toda solicitud de emisión de un nuevo certificado por parte de un suscriptor dentro de los NOVENTA (90) días corridos anteriores a la fecha prevista para el cese.
f) Rechazar toda solicitud de renovación de un certificado por parte de un suscriptor dentro de los NOVENTA (90) días corridos anteriores a la fecha prevista para el cese.
g) Emplear la clave privada de la AC-ONTI solamente para firmar las Listas de Certificados Revocados.
h) Brindar el servicio de revocación de certificados, actualización de repositorios y emisión de listas de certificados revocados hasta la fecha prevista de cese de actividades. Solamente podrá efectuar revocaciones a solicitud de sus suscriptores, quienes serán los únicos responsables de pedir la revocación de sus certificados.
i) Revocar la totalidad de los certificados que hubiera emitido y que se encuentren vigentes a la fecha de cese de sus actividades.
j) Destruir los dispositivos de soporte de su clave privada mediante un procedimiento que garantice su destrucción total según el último estado del arte disponible a la fecha, una vez revocados o expirados los certificados de sus suscriptores. El procedimiento de destrucción se hará en presencia del responsable de la AC-ONTI, del Responsable de Seguridad, del Oficial Certificador y del Responsable de la Autoridad de Registración, dejando constancia de lo actuado en el acta correspondiente.
2 -2 - Cese de actividades con transferencia de certificados
Al producirse el cese de sus actividades, se admitirá que la AC-ONTI efectúe una transferencia de los certificados emitidos a sus suscriptores a favor de otra Autoridad Certificante bajo el régimen del Decreto 427/98. Para ello se requerirá un acuerdo previo entre ambas Autoridades Certificantes, con aprobación del Organismo Licenciante, que deberá ser firmado por las máximas autoridades respectivas.
Dicho acuerdo debe indicar que la Autoridad Certificante continuadora toma a su cargo la administración de la totalidad de los certificados emitidos por la AC-ONTI que cesa sus actividades, que no hubieran sido revocados a la fecha de la transferencia. El Organismo Licenciante puede oponerse al acuerdo si considera que existe causa que lo justifique. Sendas copias del mencionado acuerdo se remitirán al Organismo Licenciante y al Organismo Auditante, para su archivo.
Asimismo, la AC-ONTI transferirá a la Autoridad Certificante continuadora toda la documentación que obre en su poder y que hubiera generado en el proceso de emisión y administración de certificados, así como la totalidad de los archivos y copias de resguardo, en cualquier formato y toda otra documentación referida a su operatoria.
El proceso de transferencia será supervisado conjuntamente por el Organismo Licenciante y el Organismo Auditante.
La AC-ONTI informará acerca de la transferencia en las publicaciones y notificaciones que efectúe referidas al cese de sus actividades mencionadas en el apartado 2.1. Además, con excepción de lo dispuesto en el punto i), cumplirá con la totalidad de los procedimientos indicados en el mismo.
En caso que la AC-ONTI optara por no transferir sus certificados, procederá a revocar la totalidad de los certificados que hubiere emitido y que se encuentren vigentes a la fecha de cese de sus actividades. En tal caso, toda la documentación de la Autoridad Certificante discontinuada quedará en custodia del Organismo Licenciante y a disposición del Organismo Auditante.
ANEXO IV
POLITICA DE SEGURIDAD
Autoridad Certificante
Jefatura de Gabinete de Ministros
Subsecretaría de la Gestión Pública
Oficina Nacional de Tecnologías Informáticas
INDICE
1.- INTRODUCCION
2.- COMPROMISO
3.- PRINCIPIOS APLICABLES
3.1.- NORMAS LEGALES Y CONTRACTUALES
3.2.- CAPACITACIÓN
3.3.- CUMPLIMIENTO
3.4.- PROTECCIÓN DE LA INTEGRIDAD DEL SOFTWARE Y LA INFORMACIÓN
3.5.- GESTIÓN DE CONTINUIDAD DE LAS OPERACIONES
3.6.- SEPARACIÓN DE FUNCIONES
4.- NORMAS Y PROCEDIMIENTOS
4.1.- SEGURIDAD FÍSICA Y AMBIENTAL
4.2.- SEGURIDAD DE ACCESO DE TERCEROS
4.3.- CLASIFICACIÓN Y CONTROL DE ACTIVOS
4.4.- ADMINISTRACIÓN DE RECURSOS HUMANOS
4.5.- RESPUESTA A INCIDENTES Y ANOMALÍAS
4.6.- PROTECCIÓN DE LA INTEGRIDAD Y LEGALIDAD DEL SOFTWARE
4.7.- MANTENIMIENTO Y RESGUARDO DE LA INFORMACIÓN
4.8.- CONTROLES DE ACCESO LÓGICO
4.9.- ADMINISTRACIÓN DE LA CONTINUIDAD DE OPERACIONES
5.- RESPONSABILIDADES Y FUNCIONES
5.1.- RESPONSABILIDAD PRIMARIA
5.2.- FUNCIONES
5.3.- REVISIÓN Y ACTUALIZACIÓN
6.- DOCUMENTOS DE REFERENCIA
1.- Introducción
La información es un activo que, como el resto de los recursos importantes de la organización, tiene valor para la misma y por consiguiente debe ser debidamente protegido. La Seguridad de la Información resguarda a este activo de una amplia gama de amenazas, a fin de garantizar la continuidad del negocio, minimizar el riesgo de posibles daños y maximizar el retorno sobre las inversiones y oportunidades.
La información puede existir en muchas formas. Cualquiera sea la forma que adquiere, o los medios por los cuales se distribuye y almacena, siempre debe ser protegida en forma adecuada.
La Seguridad de la Información se define aquí como la preservación de las siguientes características:
La Seguridad de la Información se logra implementando un conjunto adecuado de controles, que comprenden políticas, prácticas, procedimientos, estructuras organizacionales y funciones relativas al software. Estos controles deben ser establecidos para garantizar que se logren los objetivos específicos de seguridad de la organización.
El objeto principal de la Autoridad Certificante de la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros (en adelante ACONTI) es estructurar un esquema de confianza válido para los suscriptores de sus certificados y para los terceros que se relacionen con ella. El cumplimiento de todos los procedimientos operativos y de seguridad descriptos en la documentación técnica emitida resulta un requisito básico para el mantenimiento de la confiabilidad de dicho esquema. En particular, es crítico el adecuado seguimiento de los procedimientos previstos respecto a la emisión de los certificados y a la validación de la identidad de los solicitantes.
Por último, es necesario resaltar que la Seguridad de la Información es un proceso continuo cuya calidad está determinada por la del componente con menor grado de seguridad.
2.- Compromiso
El responsable de la AC-ONTI asume el compromiso de apoyar y dirigir los principios básicos que guían la gestión de la Seguridad de la Información, obligándose a exigir el cumplimiento de las disposiciones de la presente política a todo el personal asignado a funciones en el mismo.
3.- Principios aplicables
La presente Política de Seguridad está basada en los siguientes principios:
3.1. - Normas legales y contractuales
Esta política se dicta en todo de acuerdo con las normas y regulaciones de carácter general que resulten aplicables a la Oficina Nacional de Tecnologías Informáticas de la Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros.
Asimismo, resulta aplicable toda legislación vigente relativa al diseño, operación, uso y administración de los recursos informáticos.
La normativa a contemplar se refiere a:
a) Derechos de Propiedad Intelectual
b) Protección de los registros de la organización
c) Protección de datos y privacidad de la información personal
d) Prevención del uso inadecuado de los recursos de procesamiento de la información
e) Regulación de controles para el uso de criptografía
f) Recolección de evidencias
g) Cualquier otra norma relacionada con la materia.
3.2. - Capacitación
Los objetivos y procedimientos de esta política serán comunicados a todo el personal que desarrolle funciones en la AC-ONTI, incluyendo al personal ajeno al mismo asignado a tareas temporarias, quienes serán capacitados en la comprensión de sus objetivos y procedimientos de aplicación en cuanto correspondan a las funciones que debe cumplir.
3.3. - Cumplimiento
La presente política resulta de cumplimiento obligatorio para todo el personal designado para cumplir funciones en la AC-ONTI. La obligación se extiende a todo el personal ajeno al mismo que sea asignado al cumplimiento de tareas temporarias. El personal mencionado está obligado a adherir a la política y a cumplir sus disposiciones.
El incumplimiento de las disposiciones de la presente política se considera falta grave y dará lugar a las sanciones establecidas en el régimen jurídico de la función pública.
De tratarse de terceros no alcanzados por el régimen legal mencionado, serán pasibles de las sanciones previstas en la legislación administrativa, civil, comercial y penal vigente.
La documentación técnica de la AC-ONTI se encontrará en todo momento disponible para ser consultada por su personal. La documentación técnica de carácter público actualizada se encontrará disponible en todo momento en el sitio web de la AC-ONTI.
3.4. - Protección de la integridad del software y la información
Dado que el software y las instalaciones de procesamiento de información son vulnerables a la introducción de software malicioso (por ejemplo, virus informáticos) la AC-ONTI tomará precauciones para su detección y prevención a fin de garantizar la integridad de la información, procedimientos y sistemas.
3.5. - Gestión de continuidad de las operaciones
A fin de garantizar la continuidad de las operaciones de la AC-ONTI, se establecen medidas para proteger el correcto funcionamiento de los servicios y prevenir incidentes. En casos de necesidad extrema, se prevén los mecanismos necesarios para instrumentar un plan de contingencias que permita la continuidad de las operaciones.
3.6. - Separación de funciones
Los roles definidos en la operatoria de la AC-ONTI (Operador Técnico de la Autoridad Certificante, Oficial Certificador, Responsable de la Autoridad de Registración, Responsable de Seguridad Informática y sustitutos de cada uno de ellos) son desempeñados por diferentes responsables. Ninguno de los nombrados concentrará más de una función, aun cuando fuera en forma transitoria. En caso de ausencia temporaria, el responsable será reemplazado por su correspondiente sustituto.
4.- Normas y Procedimientos
La presente Política de Seguridad se instrumenta a través de diversos procedimientos que permiten llevar a la práctica los principios enunciados en el apartado 3. Los procedimientos mencionados se refieren a los siguientes aspectos:
4.1. - Seguridad física y ambiental
El entorno de trabajo de la AC-ONTI garantiza en forma adecuada las condiciones de seguridad física y ambiental para su funcionamiento, existiendo procedimientos de seguridad que los respaldan.
4.2. - Seguridad de acceso de terceros
Ningún tercero tiene acceso a las operaciones críticas de la AC-ONTI. El personal ajeno al mismo que cumple funciones temporarias se encuentra debidamente autorizado y sus actividades son permanentemente supervisadas mientras se encuentre en el recinto de la Autoridad Certificante.
4.3. - Clasificación y control de activos
Se establecen responsables para cada uno de los activos de la AC-ONTI. Estos son clasificados por su nivel de criticidad y se determinan procedimientos para su protección.
4.4. - Administración de recursos humanos
El personal que desempeña funciones en la AC-ONTI debe demostrar su probidad y destreza para las funciones asignadas, conservándose evidencia al respecto.
4.5. - Respuesta a incidentes y anomalías
Los procedimientos de seguridad y de contingencias respaldan en forma adecuada la continuidad de las operaciones de la AC-ONTI.
4.6. - Protección de la integridad y legalidad del software
Toda instalación de software de la AC-ONTI se encuentra debidamente autorizada.
4.7. - Mantenimiento y resguardo de la información
La información de la AC-ONTI, cualquiera sea su soporte, se conserva según lo dispuesto por las normas y reglamentos aplicables.
4.8. - Controles de acceso lógico
El acceso a los sistemas y servicios de la AC-ONTI se encuentra restringido al personal debidamente autorizado.
4.9. - Administración de la continuidad de operaciones
Los procedimientos establecidos en el Plan de Contingencias garantizan la continuidad de las operaciones de la AC-ONTI con un tiempo mínimo de recuperación.
5.- Responsabilidades y Funciones
5.1. - Responsabilidad primaria
El responsable de la AC-ONTI tiene la responsabilidad primaria de la definición, aprobación, implementación, revisión, actualización y cumplimiento de la presente política.
5.2. - Funciones
A los fines de una efectiva implementación de la política y los procedimientos de seguridad, el responsable de la AC-ONTI asigna las siguientes funciones:
a) Definición, mantenimiento, revisión y actualización de los contenidos de la política y de los procedimientos de seguridad. Esta función estará a cargo de ArCERT (Coordinación de Emergencia en Redes Teleinformáticas de la Administración Pública Argentina). El equipo mencionado elevará los productos obtenidos al responsable de la AC-ONTI para su aprobación.
b) Verificación y control del cumplimiento de las disposiciones de la política y los procedimientos de seguridad, a cargo del Responsable de Seguridad Informática de la AC-ONTI.
Todo el personal que desempeñe funciones en la AC-ONTI, aun cuando estas fueran de carácter temporario, está obligado a instrumentar y cumplir las disposiciones de esta política, de los procedimientos de seguridad y de sus actualizaciones en su ámbito de competencia.
5.3. - Revisión y Actualización
Se establece un proceso mínimo de revisión anual a fin de garantizar respuestas a los cambios que afecten la base de evaluación de riesgos original. No obstante, ArCERT determinará aquellos casos en que resulte necesario una actualización con una periodicidad menor. A tal fin, tendrá en cuenta los siguientes aspectos en su evaluación:
a) la eficacia de la política, demostrada por la naturaleza, número e impacto de los incidentes de seguridad registrados
b) el costo e impacto de los controles en la eficiencia de los servicios
c) los efectos de los cambios en la tecnología
d) cambios que afecten en la infraestructura organizacional, técnica y de servicios de la AC-ONTI
e) cambios significativos en la exposición de los recursos frente a las amenazas nuevas o preexistentes
f) incidentes relativos a la seguridad ocurridos desde la revisión anterior
6.- Documentos de referencia
La presente Política de Seguridad se emite en acuerdo a lo dispuesto en el Decreto N° 427/98, a los Estándares sobre Tecnología de Firma Digital para la Administración Pública Nacional (Resolución de la ex Secretaría de la Función Pública N° 194/98) y se complementa con los siguientes documentos referidos a la operatoria de la AC-ONTI:
a) Política de Certificación
b) Manual de Procedimientos
c) Plan de Cese de Actividades
d) Plan de Contingencias
e) Manual de Procedimientos de Seguridad
—FE DE ERRATAS—
OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS
Disposición N° 5/2002-ONTI
En la edición del 6 de mayo de 2002, donde se publicó la citada Disposición, se consignó erróneamente, tanto en el Sumario como en la página 7, el título de la misma, siendo el correcto el que se transcribe a continuación:
ADMINISTRACION PUBLICA NACIONAL.