Argentina. Ministerio de Modernización. Secretaría de Modernización Administrativa
Resolución SMA 0006/2016. Boletín Oficial n° 33.400, miércoles 15 de junio de 2016, pp. 13-24.

Citas Legales : Decisión administrativa JGM 0927/2014, Decisión administrativa JGM 0927/2014 - artículo 09, Decisión administrativa JGM 0927/2014 - artículo 53, Decisión administrativa JGM 0927/2014 - artículo 57, Decisión administrativa JGM 0927/2014 - artículo 58, Decisión administrativa JGM 0927/2014 - artículo 59, Decisión administrativa JGM 0927/2014 - anexo I, Decisión administrativa JGM 0927/2014 - anexo II, Decisión administrativa JGM 0927/2014 - anexo II - sección 3, Decisión administrativa JGM 0927/2014 - anexo IV, Decisión administrativa JGM 0927/2014 - anexo IV apartado 3.3., Decisión administrativa JGM 0927/2014 - anexo V, Decreto 00438/1992, Decreto 00438/1992 - anexo I - artículo 23 octies, Decreto 00561/2016, Decreto 00561/2016 - artículo 09, Decreto 00724/2006, Decreto 00724/2006 - artículo 03, Decreto 01023/2013, Decreto 01759/1972 (t.o. 1991) - artículo 038, Decreto 02628/2002, Decreto 02628/2002 - artículo 13 inciso b), Decreto 02628/2002 - artículo 13 inciso c), Decreto 02628/2002 - artículo 13 inciso e), Decreto 02628/2002 - artículo 13 inciso f), Decreto 02628/2002 - artículo 13 inciso g), Decreto 02628/2002 - artículo 13 inciso h), Decreto 02628/2002 - artículo 13 inciso I), Decreto 02628/2002 - artículo 13 inciso j), Decreto 02628/2002 - artículo 13 inciso k), Decreto 02628/2002 - artículo 13 inciso m), Decreto 02628/2002 - artículo 13 inciso n), Decreto 02628/2002 - artículo 13 inciso o), Decreto 02628/2002 - artículo 13 inciso p), Decreto 02628/2002 - artículo 18, Decreto 02628/2002 - artículo 19, Decreto 02628/2002 - artículo 20, Decreto 02628/2002 - artículo 21, Decreto 02628/2002 - artículo 24, Decreto 02628/2002 - artículo 33, Decreto 02628/2002 - artículo 34 inciso e), Decreto 02628/2002 - artículo 34 inciso i), Decreto 02628/2002 - artículo 34 inciso m), Decreto 02628/2002 - anexo I, Ley 11.723, Ley 22.520 (t.o. 1992), Ley 22.520 (t.o. 1992) - artículo 23 octies, Ley 25.326, Ley 25.506, Ley 25.506 - artículo 13, Ley 25.506 - artículo 14 inciso b), Ley 25.506 - artículo 14 inciso b) apartado 3), Ley 25.506 - artículo 17, Ley 25.506 - artículo 21 inciso a), Ley 25.506 - artículo 21 inciso b), Ley 25.506 - artículo 21 inciso f), Ley 25.506 - artículo 21 inciso h), Ley 25.506 - artículo 21 inciso i), Ley 25.506 - artículo 21 inciso k), Ley 25.506 - artículo 21 inciso q), Ley 25.506 - artículo 25, Ley 25.506 - artículo 33, Ley 25.506 - artículo 34, Ley 25.506 - artículo 44, Ley 26.831, Resolución SSGP 0063/2007

BUENOS AIRES, 11 DE MAYO DE 2016

    VISTO el Expediente N° CUDAP: EXP-JGM: 0004977/2011 del Registro de la JEFATURA DE GABINETE DE MINISTROS, las Leyes Nros. 25.506 y 22.520 y modificatorias, los Decretos Nros 2628 del 19 de diciembre de 2002 y sus modificatorios, 561 del 6 de abril de 2016, la Decisión Administrativa N° 927 del 30 de octubre de 2014 y la Resolución de la ex SUBSECRETARÍA DE LA GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS N° 63 del 13 de noviembre de 2007, y

    CONSIDERANDO:

    Que la Ley N° 25.506 de Firma Digital, reconoce la eficacia jurídica del documento electrónico, la firma electrónica y la firma digital, estableciendo las características de la Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA.

    Que el artículo 24 del Decreto N° 2628/02 y sus modificatorios, reglamentario de la Ley N° 25.506 de Firma Digital, establece el procedimiento que los certificadores deben observar para la obtención de una licencia y detalla la documentación exigida para el cumplimiento de las condiciones estipuladas en la mencionada Ley, su Decreto reglamentario y normas complementarias.

    Que la Decisión Administrativa N° 927/14 establece las pautas técnicas complementarias del marco normativo de firma digital, aplicables al otorgamiento y revocación de licencias a los certificadores que así lo soliciten, y dispone en su artículo 57 que la documentación exigida durante el proceso de licenciamiento será considerada confidencial, excepto aquella que la normativa vigente establezca como pública.

    Que en base a lo dispuesto por el citado artículo 57, se establece la obligación de resguardar la información confidencial obrante en las actuaciones de licenciamiento, disponiendo que sólo procederá a utilizarla a los fines de evaluar la aptitud del certificador para cumplir con sus funciones y obligaciones, inherentes al licenciamiento, absteniéndose de revelarla, utilizarla para otros fines o divulgarla a terceros, aún después de haber finalizado el proceso de licenciamiento, salvo respecto de aquella información que la normativa vigente establezca como pública.

    Que conforme lo previsto en el artículo 38 del Reglamento de Procedimientos Administrativos, Decreto N° 1759/72 T.O. 1991, el carácter reservado o secreto de la documentación contenida en una actuación debe ser declarado tal por decisión fundada y con intervención previa del servicio jurídico correspondiente.

    Que, en consecuencia, deviene necesario declarar la reserva de la documentación considerada no pública obrante en el expediente citado en el Visto, dado que la misma contiene información crítica relacionada al funcionamiento y continuidad de las operaciones de la Autoridad Certificante de TECNOLOGÍA DE VALORES S.A.

    Que la Ley de Ministerios N° 22.520 y modificatorias, en su artículo 23 octies establece las competencias del MINISTERIO DE MODERNIZACIÓN, entre las cuales se encuentra la de actuar como Autoridad de Aplicación del régimen normativo que establece la infraestructura de firma digital para el sector público nacional.

    Que el Decreto N° 561/16, en su artículo 9, otorga a la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN, las funciones establecidas en los incisos b), c), e), f), g), h), j), k), I), m), n), o) y p) del artículo 13 y las obligaciones definidas en el artículo 14, ambas del Decreto 2628/02.

    Que habiéndose aceptado la documentación en las condiciones establecidas en la normativa vigente, se ha realizado la auditoría previa al licenciamiento establecida en el artículo 53 de la Decisión Administrativa N° 927/14.

    Que se emitió el correspondiente dictamen legal y técnico que acredita la aptitud de TECNOLOGÍA DE VALORES S.A. para desempeñarse como certificador licenciado en el marco de la Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA creada por la Ley N° 25.506.

    Que en virtud de las constancias obrantes en el expediente, se han acreditado las condiciones requeridas por la Decisión Administrativa N° 927/14 para que TECNOLOGÍA DE VALORES S.A. pueda ejercer su actividad como Certificador Licenciado, aprobando su Política Única de Certificación, conforme a lo dispuesto en su artículo 9°.

    Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN ha tomado la intervención que le compete.

    Que la presente medida se dicta en virtud de las facultades conferidas por el Decreto N° 561/16.

    Por ello,
    EL SECRETARIO DE MODERNIZACIÓN ADMINISTRATIVA
    DEL MINISTERIO DE MODERNIZACIÓN
    RESUELVE:

    ARTÍCULO 1°- Apruébase la “Política Única de Certificación” de la empresa TECNOLOGÍA DE VALORES S.A., cuyo texto forma parte integrante de la presente Resolución como Anexo.

    ARTÍCULO 2°- Instrúyese a la DIRECCIÓN NACIONAL DE SISTEMAS DE ADMINISTRACIÓN Y FIRMA DIGITAL de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN, para que proceda en el término de VEINTICUATRO (24) horas a asignar el Identificador de Objeto (OID) correspondiente a la Política de Certificación que se aprueba por la presente.

    ARTÍCULO 3°- Establécese el carácter de reservado, en los términos del artículo 57 de la Decisión Administrativa N° 927/14, de la siguiente documentación que obra en los presentes actuados: “Plan de Cese de Actividades”. “Plan de Seguridad”. “Políticas”. “Normas”. “Procedimientos Administrativos”. “Procedimientos Operativos”. “Manual de Procedimientos”. “Plan de Contingencia”.

    ARTÍCULO 4°- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.
    Eduardo N. Martelli.
    Secretario de Modernización Administrativa,
    Ministerio de Modernización.
    Citas legales:Resolución SSGP 0063/2007 Biblioteca
    Decisión administrativa JGM 0927/2014 Biblioteca
    Decreto 00438/1992 Biblioteca
    Decreto 00561/2016 Biblioteca
    Decreto 00724/2006 Biblioteca
    Decreto 01759/1972 (t.o. 1991) Biblioteca
    Decreto 02628/2002 Biblioteca
    Ley 11.723 Biblioteca
    Ley 22.520 (t.o. 1992) Biblioteca
    Ley 25.326 Biblioteca
    Ley 25.506 Biblioteca

    ANEXO

    POLÍTICA ÚNICA DE CERTIFICACIÓN DE TECNOLOGÍA DE VALORES S.A.

    Contenido

    1. INTRODUCCIÓN

    2. RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS

    3. IDENTIFICACIÓN Y AUTENTICACIÓN

    4. CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS

    5. CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN

    6. CONTROLES DE SEGURIDAD TÉCNICA

    7. PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS

    8. AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES

    9. ASPECTOS LEGALES Y ADMINISTRATIVOS


    1. INTRODUCCIÓN.

    1.1. Descripción general.

    El presente documento establece las políticas que se aplican a la relación entre un certificador licenciado en el marco de la Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA (Ley N° 25.506) y los solicitantes, suscriptores y terceros usuarios de los certificados que éste emita. Un certificado vincula los datos de verificación de firma digital de una persona física o jurídica o con una aplicación a un conjunto de datos que permiten identificar a dicha entidad, conocida como suscriptor del certificado.

    La autoridad de aplicación de la Infraestructura de firma digital antes mencionada es el MINISTERIO DE MODERNIZACIÓN, siendo el MINISTERIO DE MODERNIZACIÓN, quien entiende en las funciones de ente licenciante.

    1.2. Nombre e identificación del documento.


    1.3. Participantes.

    Integran la infraestructura del certificador las siguientes entidades:

    1.3.1. Certificador.

    Tecnología de Valores S.A. se constituye como Certificador Licenciado responsable del cumplimiento de esta Política Única de Certificación. Asimismo, se desempeña como Autoridad Certificante de la presente Política Única de Certificación.

    Tecnología de Valores S.A.

    CUIT. 30-71142647-3

    25 de Mayo N° 362. - 3° piso

    CABA - Código Postal: C1002ABH

    Tel.: (54) 11-4317-8910

    www.tecnologiadevalores.com.ar

    1.3.2. Autoridad de Registro.

    Las funciones de la Autoridad de Registro serán la recepción de las solicitudes de emisión de Certificados Digitales, la identificación y autenticación de los Solicitantes y/o Suscriptores de los mismos y la recepción y validación de las solicitudes de revocación junto con el archivo de toda la documentación respaldatoria; como así también, las demás funciones que surgen del punto 2.1.2 de la presente Política Única de Certificación. Las mismas serán referenciadas en este documento de aquí en más como la “Autoridad de Registro”.

    Las organizaciones habilitadas para operar como Autoridades de Registro de Tecnología de Valores S.A. en el marco de la presente Política se mencionan en el sitio web www.tecnologia devalores.com.ar

    Las Autoridades de Registro se encuentran vinculadas a Tecnología de Valores S.A. mediante la firma de un acuerdo al afecto.

    Se prevé la generación de nuevas Autoridades de Registro en el marco de la presente Política, las cuales serán oportunamente publicadas en el sitio web de Tecnología de Valores S.A.

    1.3.3. Suscriptores de Certificados.

    El Suscriptor es la persona física o jurídica titular de un Certificado Digital, identificada en el nombre distinguido (DN por sus siglas en inglés) del mismo, que actúa con o para Organizaciones Públicas o Privadas.

    En la presente Política Única de Certificación se denominará al Suscriptor de un Certificado Digital como “Titular” o “Suscriptor” indistintamente.

    Las comunidades de suscriptores están comprendidas por personas físicas y personas jurídicas (Organizaciones Públicas o Privadas) de alguno de los siguientes ámbitos:

    • Cámaras Comerciales e industriales,

    • Mercados, Agentes registrados, Emisoras y demás sujetos regulados por la Ley N° 26.831, Decreto N° 1023/2013 y sus modificatorios y las Normas de la Comisión Nacional de Valores (N.T. 2013 y mod.) y demás normas complementarias que se dicten en el futuro,

    • Sociedades de Garantía Recíproca y entidades patrocinantes autorizadas para avalar y librar, respectivamente, cheques de pago diferido, pagarés y/o letras de cambio,

    • Entidades Financieras y de Medios de Pago,

    • Consejos Profesionales.

    Solicitantes

    Por “Solicitante” se entenderá en la presente Política la persona que haya firmado una Solicitud de Certificado Digital y se encuentra a la espera de la emisión de dicho Certificado.

    Una vez que la Autoridad Certificante ponga a disposición del Solicitante el Certificado Digital emitido para su descarga, el mismo dejará de ser considerado Solicitante y será considerado Suscriptor o Titular del Certificado.

    Tecnología de Valores S.A. emite también un certificado para el servicio On Line Certificate Status Protocol (OCSP), para la consulta sobre el estado de un certificado.

    1.3.4. Terceros Usuarios.

    Son Terceros Usuarios de los certificados emitidos bajo la presente Política Única de Certificación, toda persona física o jurídica que recibe un documento firmado digitalmente y que genera una consulta para verificar la validez del certificado digital correspondiente, de acuerdo al Anexo l del Decreto N° 2628 del 19 de diciembre de 2002 y sus modificatorios. Los suscriptores serán personas físicas o jurídicas.

    1.4. Uso de los certificados.

    Las claves correspondientes a los certificados digitales que se emitan bajo la presente Política Única de Certificación podrán ser utilizadas en forma interoperable en los procesos de firma digital de cualquier documento o transacción y para la autenticación o el cifrado.

    1.5. Administración de la Política.

    1.5.1. Responsable del documento.

    Responsable del registro, mantenimiento e interpretación de la Política.

    Responsable de la Autoridad Certificante de Tecnología de Valores S.A.

    25 de Mayo N° 362. - 3° piso

    CABA - Código Postal: C1002ABH

    Tel (54) 11-4317-8910

    www.tecnologiadevalores.com.ar

    Responsable para contactos, contacto@tecvalores.sba.com.ar

    Tel.: (54) 11-4317-8910

    www.tecnologiadevalores.com.ar

    1.5.2. Contacto.

    Responsable del registro, mantenimiento e interpretación de la Política.

    Responsable de la Autoridad Certificante de Tecnología de Valores S.A.

    25 de Mayo N° 362. - 3° piso

    CABA - Código Postal: C1002ABH

    Tel.: (54) 11-4317-8910

    www.tecnologiadevalores.com.ar

    Responsable para contactos.

    contacto@tecvalores.sba.com.ar

    Tel.: (54) 11-4317-8910

    www.tecnologiadevalores.com.ar

    1.5.3. Procedimiento de aprobación de la Política Única de Certificación.

    La Política Única de Certificación y el Formulario de Adhesión del Anexo I de la Decisión Administrativa N° 927/14 han sido presentados ante el ente licenciante durante el proceso de licenciamiento aprobado por Acto Administrativo.

    1.6. Definiciones y Acrónimos.

    1.6.1. Definiciones.

    Se incluirán las definiciones de los conceptos relevantes utilizadas en la Política Única de Certificación, incluyendo los siguientes:

    • Autoridad de Aplicación: el MINISTERIO DE MODERNIZACIÓN es la Autoridad de Aplicación de firma digital en la REPÚBLICA ARGENTINA.

    • Autoridad de Registro: es la entidad que tiene a su cargo las funciones de:

    - Recepción de las solicitudes de emisión de certificados.

    - Validación de la identidad y autenticación de los datos de los titulares de certificados.

    - Validación de otros datos de los titulares de certificados que se presenten ante ella cuya verificación delegue el Certificador Licenciado.

    - Remisión de las solicitudes aprobadas al Certificador Licenciado con la que se encuentre operativamente vinculada.

    - Recepción y validación de las solicitudes de revocación de certificados; y su direccionamiento al Certificador Licenciado con el que se vinculen.

    - Identificación y autenticación de los solicitantes de revocación de certificados.

    - Archivo y la conservación de toda la documentación respaldatoria del proceso de validación de identidad, de acuerdo con los procedimientos establecidos por el certificador licenciado.

    - Cumplimiento de las normas y recaudos establecidos para la protección de datos personales.

    - Cumplimiento de las disposiciones que establezca la Política Única de Certificación y el Manual de Procedimientos del Certificador Licenciado con el que se encuentre vinculada, en la parte que resulte aplicable.

    Dichas funciones son delegadas por el certificador licenciado. Puede actuar en una instalación fija o en modalidad móvil, siempre que medie autorización del ente licenciante.

    • Certificado Digital: Se entiende por certificado digital al documento digital firmado digitalmente por un certificador, que vincula los datos de verificación de firma a su titular (artículo 13 de la Ley N° 25.506).

    • Certificador Licenciado: Se entiende por certificador licenciado a toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados, presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el ente licenciante. (artículo 17 de la Ley N° 25.506).

    • Certificación digital de fecha y hora: Indicación de la fecha y hora cierta, asignada a un documento o registro electrónico por una tercera parte confiable y firmada digitalmente por ella. (Anexo al Decreto N° 2628/02 y sus modificatorios).

    • Ente licenciante: el MINISTERIO DE MODERNIZACIÓN es el Ente Licenciante.

    • Lista de certificados revocados: Lista de certificados que han sido dejados sin efecto en forma permanente por el Certificador Licenciado, la cual ha sido firmada digitalmente y publicada por el mismo. En inglés: Certificate Revocation List (CRL). (Anexo al Decreto N° 2628/02 y sus modificatorios)

    • Manual de Procedimientos: Conjunto de prácticas utilizadas por el certificador licenciado en la emisión y administración de los certificados. En inglés: Certification Practice Statement (CPS). (Anexo al Decreto N° 2628/02 y sus modificatorios)

    • Plan de Cese de Actividades: conjunto de actividades a desarrollar por el certificador licenciado en caso de finalizar la prestación de sus servicios. (Anexo al Decreto N° 2628/02 y sus modificatorios)

    • Plan de Continuidad de las operaciones: Conjunto de procedimientos a seguir por el certificador licenciado ante situaciones de ocurrencia no previstas que comprometan la continuidad de sus operaciones.

    • Plan de Seguridad: Conjunto de políticas, prácticas y procedimientos destinados a la protección de los recursos del certificador licenciado. (Anexo al Decreto N° 2628/02 y sus modificatorios).

    • Política de Privacidad: conjunto de declaraciones que el Certificador Licenciado se compromete a cumplir de manera de resguardar los datos de los solicitantes y suscriptores de certificados digitales por él emitidos.

    • Servicio OCSP (Protocolo en línea del estado de un certificado - “Online Certificate Status Protocol”): servicio de verificación en línea del estado de los certificados. El OCSP es un método para determinar el estado de revocación de un certificado digital usando otros medios que no sean el uso de Listas de Revocación de Certificados (CRL). El resultado de una consulta a este servicio está firmado por el certificador que brinda el servicio.

    • Suscriptor o Titular de certificado digital: Persona o entidad a cuyo nombre se emite un certificado y que posee una clave privada que se corresponde con la clave pública contenida en el mismo.

    • Tercero Usuario: persona física o jurídica que recibe un documento firmado digitalmente y que genera una consulta para verificar la validez del certificado digital correspondiente. (artículo 3° del Decreto N° 724 del 8 de junio de 2006).

    1.6.2. Acrónimos.

    CRL - Lista de Certificados Revocados (“Certificate Revocation List”)

    CUIT - Clave Única de Identificación Tributaria

    IEC - International Electrotechnical Commission

    IETF - Internet Engineering Task Force

    OCSP - Protocolo en línea del estado de un certificado (“On line Certificate Status Protocol”)

    OID - Identificador de Objeto (“Object Identifier”)

    ONTI - Oficina Nacional de Tecnologías de Información

    RFC - Request for Comments


    2. RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS.

    2.1. Repositorios.

    El repositorio es propio de Tecnología de Valores S.A. y la documentación se encuentra disponible en el sitio web www.tecnologiadevalores.com.ar.

    2.2. Publicación de información del Certificador.
    El certificador garantizará el acceso a la información actualizada y vigente publicada en su repositorio de los siguientes elementos.

    a) Formulario de Adhesión.

    b) Política Única de Certificación.

    c) Acuerdo Tipo con suscriptores.

    d) Términos y condiciones Tipo con terceros usuarios (“relying parties”).

    e) Política de Privacidad.

    f) Manual de Procedimientos (parte pública).

    g) Información relevante de los informes de su última auditoría.

    h) Repositorio de certificados revocados.

    i) Certificados del certificador licenciado y acceso al de la Autoridad Certificante Raíz.

    2.3. Frecuencia de publicación.

    Se garantiza la actualización inmediata del repositorio cada vez que cualquiera de los documentos publicados sea modificado.

    2.4. Controles de acceso a la información.

    Se garantizan los controles de los accesos al certificado del certificador, a la Lista de Certificados Revocados y a las versiones anteriores y actualizadas de la Política Única de Certificación y a su Manual de Procedimientos (excepto en sus aspectos confidenciales). Solo se revelará información confidencial o privada, si es requerida judicialmente o en el marco de procedimientos administrativos.

    En virtud de lo dispuesto por la Ley de Protección de Datos Personales N° 25.326 y por el inciso h) del artículo 21 de la Ley N° 25.506, el solicitante o titular de un certificado digital podrá solicitar el acceso a toda la información relativa a las tramitaciones realizadas.


    3. IDENTIFICACIÓN Y AUTENTICACIÓN.

    En esta sección se describen los procedimientos empleados para autenticar la identidad de los solicitantes de certificados digitales y utilizados por las Autoridades Certificantes o sus Autoridades de Registro como prerrequisito para su emisión. También se describen los pasos para la autenticación de los solicitantes de renovación y revocación de certificados.

    3.1. Asignación de nombres de suscriptores.

    3.1.1. Tipos de Nombres.

    El nombre a utilizar es el que surge de la documentación presentada por el solicitante, de acuerdo al apartado que sigue.

    3.1.2. Necesidad de Nombres Distintivos. Para los certificados de Personas Físicas:

    • “commonName” (OID 2.5.4.3: Nombre común): DEBE estar presente y DEBE corresponderse con el nombre que figura en el Documento de identidad del suscriptor, acorde a lo establecido en el punto 3.2.3.

    • “serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBE contener el tipo y número de identificación del titular, expresado como texto y respetando el siguiente formato y codificación: “[tipo de documento]” “[nro. de documento]”

    • Los valores posibles para el campo [tipo de documento] son:

    - En caso de ciudadanos argentinos o residentes: “CUIT/CUIL”: Clave Única de Identificación Tributaria o Laboral.

    - En caso de extranjeros:

    -- “PA” [país]: Número de Pasaporte y código de país emisor. El atributo [país] DEBE estar codificado según el estándar [ISO3166] de DOS (2) caracteres.

    -- “EX” [país]: Número y tipo de documento extranjero aceptado en virtud de acuerdos internacionales. El atributo [país] DEBE estar codificado según el estándar [ISO3166] de DOS (2) caracteres.

    • “countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBE representar el país de emisión de los certificados, codificado según el estándar [ISO3166] de DOS (2) caracteres. Para los certificados de Personas Jurídicas Públicas o Privadas:

    • “commonName” (OID 2.5.4.3: Nombre común): DEBE coincidir con la denominación de la Persona Jurídica Pública o Privada o con el nombre de la unidad operativa responsable del servicio (ej. Gerencia de Compras).

    • “organizationalUnitName” (OID 2.5.4.11: Nombre de la suborganización): PUEDE contener las unidades operativas relacionadas con el suscriptor, pudiendo utilizarse varias instancias de este atributo de ser necesario.

    • “organizationName” (OID 2.5.4.10: Nombre de la organización): para certificados de aplicaciones, DEBE coincidir con la denominación de la Persona Jurídica Pública o Privada.

    • “serialNumber” (OID 2.5.4.5: Nro de serie): DEBE estar presente y DEBE contener el número de identificación de la Persona Jurídica Pública o Privada, expresado como texto y respetando el siguiente formato y codificación: “[código de identificación]” “[nro. de identificación]”.

    • Los valores posibles para el campo [código de identificación] son:

    - “CUIT”: Clave Única de Identificación Tributaria para las Personas Jurídicas argentinas.

    - “ID” [país]: Número de identificación tributario para Personas Jurídicas extranjeras. El atributo [país] DEBE estar codificado según el estándar [ISO3166] de DOS (2) caracteres.

    • “countryName” (OID 25.4.6: Código de país): DEBE estar presente y DEBE representar el país de emisión de los certificados, codificado según el estándar [ISO3166] de DOS (2) caracteres.

    3.1.3. Anonimato o uso de seudónimos.

    No se emitirán certificados anónimos o cuyo Nombre Distintivo contenga UN (1) seudónimo.

    3.1.4. Reglas para la interpretación de nombres.

    Todos los nombres representados dentro de los certificados emitidos bajo la presente Política coinciden con los correspondientes al documento de identidad del suscriptor o con la documentación presentada por la persona jurídica. Las discrepancias o conflictos que puedan generarse si los datos de los solicitantes o suscriptores contienen caracteres especiales, se tratarán de modo de asegurar la precisión de la información contenida en el certificado.

    3.1.5. Unicidad de nombres.

    El nombre distintivo debe ser único para cada suscriptor, pudiendo existir más de un certificado con igual nombre distintivo si corresponde al mismo suscriptor. El procedimiento de resolución de homonimias se basa en la utilización del número de identificación laboral o tributada, tanto en el caso de personas físicas como jurídicas.

    3.1.6. Reconocimiento, autenticación y rol de las marcas registradas.

    No se admite la inclusión de marcas comerciales, marcas de servicios o nombres de fantasía como nombres distintivos en los certificados, excepto en el caso de personas jurídicas o aplicaciones, en los que se aceptará en base a la documentación presentada. El certificador se reserva el derecho de tomar todas las decisiones referidas a posibles conflictos sobre la utilización y titularidad de cualquier nombre entre sus suscriptores conforme su normativa al respecto. En caso de conflicto, la parte que solicite el certificado debe demostrar su interés legítimo y su derecho a la utilización de un nombre en particular.

    3.2. Registro inicial.

    Se describen los procedimientos a utilizar para autenticar, como paso previo a la emisión de UN (1) certificado, la identidad y demás atributos del solicitante que se presente ante el certificador o ante la Autoridad de Registro operativamente vinculada. Se establecen los medios admitidos para recibir los requerimientos de certificados y para comunicar su aceptación.

    El certificador DEBE cumplir con lo establecido en:

    a) Los artículos 21, inciso a) de la Ley de Firma Digital N° 25.506 y 34, inciso e) de su reglamentario, Decreto N° 2628/02 y sus modificatorios, relativos a la información a brindar a los solicitantes.

    b) El artículo 14, inciso b) de la Ley de Firma Digital N° 25.506, relativo a los contenidos mínimos de los certificados.

    3.2.1. Métodos para comprobar la posesión de la clave privada.

    El certificador comprueba que el solicitante se encuentra en posesión de la clave privada mediante la verificación de la solicitud del certificado digital en formato PKCS#10, el que no incluye dicha clave. Las claves siempre son generadas por el solicitante. En ningún caso el certificador licenciado ni sus autoridades de registro podrán tomar conocimiento o acceder bajo ninguna circunstancia a las claves de los solicitantes o titulares de los certificados, conforme el inciso b) del artículo 21 de la Ley 25.506.

    3.2.2. Autenticación de la identidad de Personas Jurídicas Públicas o Privadas.

    Los procedimientos de autenticación de la identidad de los suscriptores de los certificados de personas jurídicas públicas o privadas comprenden los siguientes aspectos:

    a) El requerimiento debe efectuarse únicamente por intermedio del responsable autorizado a actuar en nombre del suscriptor para el caso de certificados de personas jurídicas o de quien se encuentre a cargo del servicio, aplicación o sitio web.

    b) El certificador o la autoridad del registro, en su caso, verificará la identidad del responsable antes mencionado y su autorización para gestionar el certificado correspondiente.

    c) El responsable mencionado en el apartado a) deberá validar su identidad según lo dispuesto en el apartado siguiente.

    d) La identidad de la Persona Jurídica titular del certificado o responsable del servicio, aplicación o sitio web deberá ser verificada mediante documentación que acredite su condición de tal. Para certificados de personas jurídicas, deberá identificarse a la Organización de que se trate y acreditar su personería mediante la presentación de los siguientes documentos:

    • Copia certificada por escribano de estatuto, acta constitutiva o contrato social, y su inscripción, cuando corresponda.

    • Copia certificada por escribano de acta con última designación de autoridades.

    • Nota de autorización al Solicitante del certificado firmada por representante legal o apoderado de la Organización titular del Certificado, con certificación por escribano de firma y facultades del firmante. En el sitio web www.tecnologiadevalores.com.ar se encuentra disponible el modelo de nota a presentar.

    • Constancia de CUIT de la Organización.

    En los casos que se haga referencia a un sitio web, el responsable autorizado deberá firmar un acuerdo en el que preste conformidad de la información incluida en el Certificado.

    El certificador cumple con las siguientes exigencias reglamentarias impuestas por:

    a) El artículo 21, inciso i) de la Ley N° 25.506 relativo a la conservación de la documentación de respaldo de los certificados emitidos.

    b) El artículo 21, inciso f) de la Ley N° 25.506 relativo a la recolección de datos personales.

    c) El artículo 34, inciso m) del Decreto N° 2628/02 y sus modificatorios relativo a la protección de datos personales.

    Debe conservarse la documentación que respalda el proceso de identificación de la persona responsable de la custodia de las claves criptográficas.

    3.2.3. Autenticación de la identidad de Personas Físicas.

    Se describen los procedimientos de autenticación de la identidad de los suscriptores de los certificados de Personas Físicas.

    Se exige la presencia física del solicitante o suscriptor del certificado ante el certificador o la Autoridad de Registro con la que se encuentre operativamente vinculado. La verificación se efectúa mediante la presentación de los siguientes documentos:

    a) De poseer nacionalidad argentina, se requiere Documento Nacional de Identidad.

    b) De tratarse de extranjeros, se requiere Documento Nacional de Identidad argentino o Pasaporte válido u otro documento válido aceptado en virtud de acuerdos internacionales. En todos los casos, se conservará UNA (1) copia digitalizada de la documentación de respaldo del proceso de autenticación por parte del certificador o de la Autoridad de Registro operativamente vinculada.

    Se consideran obligatorias las exigencias reglamentarias impuestas por:

    a) El artículo 21, inciso i) de la Ley N° 25.506 relativo a la conservación de la documentación de respaldo de los certificados emitidos.

    b) El artículo 21, inciso f) de la Ley N° 25.506 relativo a la recolección de datos personales.

    c) El artículo 34, inciso i) del Decreto N° 2628/02 y sus modificatorios relativo a generar, exigir o tomar conocimiento de la clave privada del suscriptor.

    d) El artículo 34, inciso m) del Decreto N° 2628/02 y sus modificatorios relativo a la protección de datos personales.

    Adicionalmente, el certificador debe celebrar UN (1) acuerdo con el solicitante o suscriptor, conforme el Anexo V de la Decisión Administrativa N° 927/14, del que surge su conformidad respecto a la veracidad de la información incluida en el certificado.

    La Autoridad de Registro deberá verificar que el dispositivo criptográfico utilizado por el solicitante, si fuera el caso, cumple con las especificaciones técnicas establecidas por el ente Iicenciante.

    3.2.4. Información no verificada del suscriptor.

    Se conserva la información referida al solicitante que no hubiera sido verificada. Adicionalmente, se cumple con lo establecido en el apartado 3 del inciso b) del artículo 14 de la Ley N° 25.506.

    3.2.5. Validación de autoridad.

    Según lo dispuesto en el punto 3.2.2., el certificador o la Autoridad de Registro con la que se encuentre operativamente vinculado, verifica la autorización de la Persona Física que actúa en nombre de la Persona Jurídica para gestionar el certificado correspondiente.

    3.2.6. Criterios para la interoperabilidad.

    Los certificados emitidos pueden ser utilizados por sus titulares en forma interoperable para firmar digitalmente cualquier documento o transacción, así como para autenticación o cifrado.

    3.3. Identificación y autenticación para la generación de nuevo par de claves (Rutina de Re Key).

    3.3.1. Renovación con generación de nuevo par de claves (Rutina de Re Key).

    En el caso de certificados digitales de personas físicas o jurídicas, la renovación en este apartado aplica a la generación de UN (1) nuevo par de claves y su correspondiente certificado:

    a) después de la revocación de UN (1) certificado.

    b) después de la expiración de UN (1) certificado.

    c) antes de la expiración de UN (1) certificado.

    En los casos a) y b) se exigirá el cumplimiento de los procedimientos previstos en el punto 3.2.3,

    - Autenticación de la identidad de Personas Físicas.

    Si la solicitud del nuevo certificado se realiza antes de la expiración del certificado, no habiendo sido este revocado, no se exigirá la presencia física, debiendo el solicitante remitir la constancia firmada digitalmente del inicio del trámite de renovación.

    En los certificados de personas jurídicas o de aplicaciones, incluyendo los de servidores, se deberá tramitar UN (1) nuevo certificado, cumpliendo los pasos requeridos en el apartado 3.2.2. Autenticación de la identidad de Personas Jurídicas Públicas o Privadas.

    3.3.2. Generación de UN (1) certificado con el mismo par de claves.

    En el caso de certificados digitales de personas físicas o jurídicas, la renovación en este apartado aplica a la emisión de UN (1) nuevo certificado sin que haya un cambio en la clave pública o en ningún otro dato del suscriptor. La renovación se podrá realizar siempre que el certificado se encuentre vigente.

    A los fines de la obtención del certificado, no se exigirá la presencia física del suscriptor, debiendo éste remitir la constancia firmada digitalmente del inicio del trámite de renovación. En los certificados de aplicaciones, incluyendo los de servidores, se deberá tramitar UN (1) nuevo certificado, según lo indicado en el apartado anterior.

    3.4. Requerimiento de revocación.

    El requerimiento de revocación podrá realizarse electrónica o personalmente y podrá ser solicitado por:

    • El Suscriptor del Certificado para el caso de Certificados de personas físicas.

    • En aquellos casos de certificados de personas jurídicas, el Representante Legal y/o apoderado de la Organización.

    • Aquellas personas autorizadas por el titular del Certificado Digital al momento de la solicitud de Certificado, las que deberán presentar la documentación habilitante.

    • La Autoridad Certificante o la Autoridad de Registro operativamente vinculada en los casos previstos en la presente Política Única de Certificación.

    • La Autoridad de Aplicación de la Infraestructura de Firma Digital establecida por la Ley N° 25.506.

    • Autoridad Judicial competente.


    4. CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS.

    4.1. Solicitud de certificado.

    4.1.1. Solicitantes de certificados.

    Se describen las condiciones que deben cumplir los solicitantes de certificados.

    4.1.2. Solicitud de certificado.

    Las solicitudes sólo podrán ser iniciadas por el solicitante, en el caso de certificados de personas físicas, por el representante legal o apoderado con poder suficiente a dichos efectos, o por el Responsable del Servicio, aplicación o sitio web, autorizado a tal fin, en el caso de personas jurídicas.

    Dicho solicitante debe presentar la documentación prevista en los apartados 3.2.2. - Autenticación de la identidad de Personas Jurídicas Públicas o Privadas y 3.2.3. - Autenticación de la identidad de Personas Físicas, así como la constancia de C.U.I.T. o C.U.I.L. Deberá también demostrar la pertenencia a la comunidad de suscriptores prevista en el apartado 1.3.3. Suscriptores de certificados.

    4.2. Procesamiento de la solicitud de certificado.

    Las personas que deseen solicitar un Certificado Digital podrán presentarse ante la Autoridad de Registro que corresponda, donde se les informará la documentación requerida, el procedimiento de emisión, las responsabilidades inherentes y las condiciones de uso del Certificado; o bien consultar dicha información en el sitio web www.tecnologiadevalores.com.ar

    Requisitos.

    Una vez presentada la solicitud junto con el Acuerdo Tipo con Suscriptores debidamente firmado por el Solicitante, un oficial de la Autoridad de Registro dará comienzo al procedimiento de registración, donde se identificará al Solicitante, se recabarán los datos del mismo a incluir en el Certificado Digital.

    También se le requerirá al Solicitante que indique aquellas personas autorizadas para solicitar la revocación del Certificado.

    Para el caso de certificados de personas jurídicas se verificará además la vinculación del responsable autorizado con la persona jurídica solicitante.

    Luego el oficial de la Autoridad de Registro imprimirá una clave aleatoria que se utilizará a modo de “nombre de usuario” y se la entregará al Solicitante junto con la copia del Formulario de Solicitud. El “nombre de usuario” será requerido posteriormente por la aplicación, al momento de proceder a la generación del Certificado.

    Luego, otro oficial de la Autoridad de Registro verificará que la carga de datos registrada en el sistema se corresponda con lo declarado por el Solicitante y su documentación respaldatoria.

    En caso de encontrar alguna inconsistencia, este último oficial de la Autoridad de Registro dejará en suspenso el trámite de Solicitud de Certificado y se pondrá en contacto con el Solicitante para satisfacer los requerimientos incumplidos. De no poder cumplimentarse dichos requisitos en el plazo de TREINTA (30) días corridos, se tendrá por no firmado el Acuerdo Tipo con Suscriptores y se anulará la solicitud.

    Si los datos registrados son correctos, la solicitud se encontrará entonces lista para ser activada por el Solicitante.

    4.3. Emisión del certificado.

    4.3.1. Proceso de emisión del certificado.

    Cumplidos los recaudos del proceso enunciado en el apartado 4.1.2. Solicitud de certificado y una vez aprobada la solicitud de certificado por la Autoridad de Registro correspondiente, la Autoridad Certificante emitirá el certificado firmándolo digitalmente y lo pondrá a disposición del suscriptor.

    En el mismo sentido, se emitirá un certificado ante una solicitud de renovación.

    Para la emisión de Certificados Digitales, la Autoridad Certificante exige la aprobación de la solicitud presentada, de acuerdo a lo establecido en los puntos 4.1 de la presente Política. Una vez que el oficial de la Autoridad de Registro verifica los datos y aprueba la Solicitud, la firma digitalmente con su Certificado.

    La Autoridad Certificante procesa dicha solicitud y notifica tal circunstancia al Solicitante vía correo electrónico, adjuntándole una segunda clave aleatoria que se utilizará a modo de “contraseña” y un link de acceso directo al sitio de Confirmación Electrónica de Datos de Certificado Digital.

    El Solicitante podrá seguir el mencionado link, o bien ingresar al sitio web www.tecnologia devalores.com.ar, y acceder a la opción Gestión de Certificados Digitales -> Solicitud de Certificado Digital -> Generación de Certificado Digital -> Confirmación Electrónica de Datos de Certificado Digital. Utilizando el “nombre de usuario” y la “contraseña” asignadas, confirmará o rechazará los datos de su Certificado. Si el Solicitante rechaza los datos, el proceso quedará anulado debiendo comenzar nuevamente el trámite de solicitud ante la Autoridad de Registro, conforme lo establecido en 4.1. Si los confirma, se generará en el dispositivo del Solicitante el par de claves criptográficas (pública y privada), almacenando en este dispositivo la clave privada. Una vez realizada dicha operación, la aplicación envía al servidor de la Autoridad de Registro un requerimiento de certificado con la clave pública y éste a su vez lo reenvía al servidor de la Autoridad Certificante, quien requerirá al hardware criptográfico HSM que proceda a la firma del Certificado. Luego se almacena el Certificado en la base de datos del servidor de la Autoridad Certificante y se envía el Certificado firmado al servidor de la Autoridad de Registro, almacenándolo en sus bases de datos.

    En el mismo sentido, se emitirá un certificado ante una solicitud de renovación.

    4.3.2. Notificación de la emisión.

    Cumplido el paso anterior, la Autoridad de Registro notificará vía correo electrónico al Solicitante que el Certificado firmado está emitido y apto para su descarga, y adjuntará el link del sitio web desde el que puede proceder a la misma.

    A partir del envío del correo electrónico, el Solicitante será considerado Suscriptor y/o titular del Certificado emitido.

    La fecha de inicio de validez del Certificado Digital será aquella que registre el servidor de Certificación de la Autoridad Certificante, al momento de la emisión del mismo.

    4.4. Aceptación del certificado.

    Una vez notificado el Suscriptor de la emisión del Certificado mediante correo electrónico, el mismo se considerará aceptado. El Suscriptor puede proceder a descargar el Certificado en el dispositivo o software que almacena su clave privada.

    Para ello, el Suscriptor podrá seguir el link contenido en el mencionado correo electrónico, o bien ingresar al sitio web www.tecnologiadevalores.com.ar, y accederá a la opción Gestión de Certificados Digitales -> Solicitud de Certificado Digital -> Generación de Certificado Digital -> Descarga de Certificado Digital.

    A partir de la descarga del Certificado utilizando su “nombre de usuario” y “contraseña” el Suscriptor podrá comenzar a usar el mismo.

    En caso de observar algún error en el mismo deberá notificar inmediatamente dicha circunstancia a la Autoridad de Registro, de la forma establecida en el punto 4.9.3, procediéndose a la revocación del Certificado.

    4.5. Uso del par de claves y del certificado.

    4.5.1. Uso de la clave privada y del certificado por parte del suscriptor. Según lo establecido en la Ley N° 25.506, en su artículo 25, el suscriptor debe:

    a) Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación;

    b) Utilizar UN (1) dispositivo de creación de firma digital técnicamente confiable;

    c) Solicitar la revocación de su certificado al certificador ante cualquier circunstancia que pueda haber comprometido la privacidad de sus datos de creación de firma;

    d) informar sin demora al certificador el cambio de alguno de los datos contenidos en el certificado digital que hubiera sido objeto de verificación. De acuerdo a lo establecido en la Decisión Administrativa N° 927/14:

    • Proveer toda la información que le sea requerida a los fines de la emisión del certificado de modo completo y preciso.

    • Utilizar los certificados de acuerdo a los términos y condiciones establecidos en la presente Política Única de Certificación.

    • Tomar debido conocimiento, a través del procedimiento previsto en cada caso, del contenido de la Política Única de Certificación, del Manual de Procedimientos, del Acuerdo con Suscriptores y de cualquier otro documento aplicable.

    4.5.2. Uso de la clave pública y del certificado por parte de Terceros Usuarios.

    Los Terceros Usuarios deben:

    a) Conocer los alcances de la presente Política Única de Certificación;

    b) Verificar la validez del certificado digital.

    4.6. Renovación del certificado sin generación de un nuevo par de claves.

    Se aplica el punto 3.3.2.- Generación de UN (1) certificado con el mismo par de claves.

    4.7. Renovación del certificado con generación de un nuevo par de claves.

    En el caso de certificados digitales de Personas Físicas, la renovación del certificado posterior a su revocación o luego de su expiración requiere por parte del suscriptor el cumplimiento de los procedimientos previstos en el punto 3.2.3. - Autenticación de la identidad de Personas Físicas.

    Si la solicitud de UN (1) nuevo certificado se realiza antes de la expiración del anterior, no habiendo sido este revocado, no se exigirá la presencia física, debiendo el solicitante remitir la constancia firmada digitalmente del inicio del trámite de renovación.

    Para los certificados de aplicaciones, incluyendo los de servidores, los responsables deben tramitar UN (1) nuevo certificado en todos los casos, cumpliendo los pasos requeridos en el apartado 3.2.2. Autenticación de la identidad de Personas Jurídicas Públicas o Privadas.

    4.8. Modificación del certificado.

    El suscriptor se encuentra obligado a notificar al certificador licenciado cualquier cambio en alguno de los datos contenidos en el certificado digital, que hubiera sido objeto de verificación, de acuerdo a lo dispuesto en el inciso d) del artículo 25 de la Ley N° 25.506. En cualquier caso procede la revocación de dicho certificado y de ser requerido, la solicitud de uno nuevo.

    4.9. Suspensión y Revocación de Certificados.

    Los certificados serán revocados de manera oportuna y sobre la base de UNA (1) solicitud de revocación de certificado validada.

    El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

    4.9.1. Causas de Revocación.

    El Certificador procederá a revocar los certificados digitales que hubiera emitido en los siguientes casos:

    • A solicitud del titular del certificado digital o del responsable autorizado para el caso de los certificados de Personas Jurídicas o aplicación (Nota para el certificador: se deberá indicar lo que corresponda).

    • Si determinara que el certificado fue emitido en base a información falsa, que al momento de la emisión hubiera sido objeto de verificación.

    • Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros.

    • Por resolución Judicial.

    • Por resolución de la Autoridad de Aplicación.

    • Por fallecimiento del titular.

    • Por declaración judicial de ausencia con presunción de fallecimiento del titular.

    • Por declaración judicial de incapacidad del titular.

    • Si se determina que la información contenida en el certificado ha dejado de ser válida.

    • Cuando la clave privada asociada al certificado, o el medio en que se encuentre almacenada, se encuentren comprometidos o corran peligro de estarlo.

    • Ante incumplimiento por parte del suscriptor de las obligaciones establecidas en el Acuerdo con Suscriptores.

    • Si se determina que el certificado no fue emitido de acuerdo a los lineamientos de la Política Única de Certificación, del Manual de Procedimientos, de la Ley N° 25.506, del Decreto N° 2628/02 y sus modificatorios y demás normativa sobre firma digital.

    • Por revocación de su propio certificado digital.

    El Certificador, de corresponder, revocará el certificado en un plazo no superior a las VEINTICUATRO (24) horas de recibido el requerimiento de revocación.

    4.9.2. Autorizados a solicitar la revocación.

    Se encuentran autorizados para solicitar la revocación de UN (1) certificado:

    a) El suscriptor del certificado.

    b) El responsable autorizado que efectuara el requerimiento, en el caso de certificados de persona jurídica o de aplicación.

    c) El responsable autorizado por la Persona Jurídica que brinda el servicio o es titular del certificado o la aplicación, en el caso de los certificados de aplicación.

    d) El responsable autorizado por la Persona Jurídica responsable del sitio web, en el caso de certificados de sitio seguro.

    e) Aquellas personas habilitadas por el suscriptor del certificado a tal fin, previa acreditación fehaciente de tal autorización.

    f) El certificador o la Autoridad de registro operativamente vinculada.

    g) El ente licenciante.

    h) La autoridad judicial competente.

    i) La Autoridad de Aplicación.

    4.9.3. Procedimientos para la solicitud de revocación.

    El certificador garantiza que:

    a) Se identifica debidamente al solicitante de la revocación según se establece en el apartado 3.4.

    b) Las solicitudes de revocación, así como toda acción efectuada por el certificador o la autoridad de registro en el proceso, están documentadas y conservadas en sus archivos.

    c) Se documentan y archivan las justificaciones de las revocaciones aprobadas.

    d) Una vez efectuada la revocación, se actualiza el estado del certificado en repositorio y se incluye en la próxima lista de certificados revocados a ser emitida.

    e) El suscriptor del certificado revocado es informado del cambio de estado de su certificado.

    El Suscriptor de un Certificado Digital podrá solicitar la revocación del mismo, ya sea por vía electrónica a través del sitio web www.tecnologiadevalores.com.ar, accediendo a la opción Gestión de Certificados Digitales -> Solicitud de Revocación de Certificado Digital; o en forma personal acudiendo a las oficinas de la Autoridad de Registro en las que se gestionó la emisión del Certificado.

    Los otros sujetos autorizados a solicitar la revocación de Certificados Digitales, mencionados en el punto 4.9.2, podrán efectuarla en forma personal en las oficinas mencionadas en el párrafo anterior y de acuerdo a lo establecido en el Manual de Procedimientos o mediante la opción de revocar certificados de terceros en el sitio www.tecnologiadevalores.com.ar accediendo a la opción Gestión de Certificados Digitales -> Solicitud de Revocación de Certificado Digital -> Revocar Certificados de Terceros.

    El suscriptor del certificado revocado y el solicitante de la revocación son informados del cambio de estado del certificado vía correo electrónico.

    4.9.4. Plazo para la solicitud de revocación.

    El titular de un certificado debe requerir su revocación en forma inmediata cuando se presente alguna de las circunstancias previstas en el apartado 4.9.1.

    El servicio de recepción de solicitudes de revocación se encuentra disponible en forma permanente SIETE POR VEINTICUATRO (7x24) horas cumpliendo con lo establecido en el artículo 34, inciso f) del Decreto N° 2628/02 y sus modificatorios.

    4.9.5. Plazo para el procesamiento de la solicitud de revocación.

    El plazo entre la recepción de la solicitud y el cambio de la información de estado del certificado indicando que la revocación ha sido puesta a disposición de los Terceros Usuarios, no superará en ningún caso las VEINTICUATRO (24) horas.

    4.9.6. Requisitos para la verificación de la lista de certificados revocados.

    Los Terceros Usuarios deben validar el estado de los certificados, mediante el control de la lista de certificados revocados, a menos que utilicen otro sistema con características de seguridad y confiabilidad por lo menos equivalentes.

    La autenticidad y validez de las listas de certificados revocados también debe ser confirmada mediante la verificación de la firma digital del certificador que la emite y de su período de validez.

    El certificador cumple con lo establecido en el artículo 34, inciso g) del Decreto N° 2628/02 y sus modificatorios relativo al acceso al repositorio de certificados revocados y las obligaciones establecidas en la Decisión Administrativa N° 927/14 y sus correspondientes Anexos.

    Para consultar la Lista de Certificados Revocados (CRL) correspondiente bastará con acceder a la URL que existe en el campo “CRLDistributionPoint” del Certificado Digital, y buscar en ella el número de serie del Certificado que se quiera consultar.

    4.9.7. Frecuencia de emisión de listas de certificados revocados.

    La lista de certificados digitales revocados se emitirá al menos una vez cada VEINTICUATRO (24) horas.

    4.9.8. Vigencia de la lista de certificados revocados.

    Cada lista de certificados revocados indicará la vigencia, y la fecha de emisión de la siguiente lista.

    4.9.9. Disponibilidad del servicio de consulta sobre revocación y de estado del certificado.

    El certificador pone a disposición de los interesados la posibilidad de verificar el estado de un certificado por medio del acceso a la lista de certificados revocados o de otros medios de verificación de estado en línea.

    La verificación del estado de un Certificado Digital podrá efectuarse en cualquier momento accediendo al sitio web de la Autoridad Certificante www.tecnologiadevalores.com.ar. También se podrá consultar la Lista de Certificados Digitales Revocados, la cual se publicará con la frecuencia prevista en el apartado 4.9.7.

    La Autoridad Certificante también provee servicio de OCSP (On-Line Certificate Status Protocol) para consultar el estado de los certificados.

    4.9.10. Requisitos para la verificación en línea del estado de revocación.

    La verificación del estado de un Certificado Digital podrá efectuarse accediendo al siguiente servicio web: https://www.tecnologiadevalores.com.ar/pki/ocsp.

    El servicio OCSP (Protocolo en línea del estado de un certificado - “Online Certificate Status Protocol”) permite verificar en línea el estado de los certificados. Representa un método para determinar el estado de revocación de un certificado digital usando otros medios que no sean el uso de Listas de Revocación de Certificados (CRL).

    4.9.11. Otras formas disponibles para la divulgación de la revocación.

    Otra forma de verificar el estado de un Certificado Digital podrá ser accediendo al sitio web de la Autoridad Certificante www.tecnologiadevalores.com.ar/

    Accediendo a www.tecnologiadevalores.com.ar -> Gestión de Certificados Digitales -> Consulta de Estado de Certificados Digitales se podrá ingresar un dato del Distinguished Dame (DNI) del Certificado y el Sistema devolverá una lista de los Certificados que contienen ese dato consultado. A partir de ahí, seleccionando un Certificado particular de esa lista se informará sobre el estado actual del mismo.

    Esta consulta de estado se puede realizar a partir de cualquier campo del DN del Certificado (nombre, Serial, etc).

    4.9.12. Requisitos específicos para casos de compromiso de claves.

    En caso de compromiso de su clave privada, el titular del certificado correspondiente se encuentra obligado a comunicar inmediatamente dicha circunstancia al certificador mediante alguno de los mecanismos previstos en el apartado 4.9.3. - Procedimientos para la solicitud de revocación.

    4.9.13. Causas de suspensión.

    El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

    4.9.14. Procedimientos para la solicitud de suspensión.

    El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

    4.9.15. Procedimientos para la solicitud de suspensión.

    El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

    4.9.16. Límites del período de suspensión de un certificado.

    El estado de suspensión no es admitido en el marco de la Ley N° 25.506.

    4.10. Estado del certificado.

    4.10.1. Características técnicas.

    Las consultas de estado del certificado están accesibles por medio del sitio web de tecnología de valores www.tecnologiadevalores.com.ar.

    Adicionalmente, para consultar la Lista de Certificados Revocados correspondiente bastará con acceder a la URL que existe en el campo “CRLDistributionPoint” del Certificado Digital, y buscar en ella el número de serie del Certificado que se quiera consultar. Esta consulta está disponible por medio de los protocolos https y Idap.

    4.10.2. Disponibilidad del servicio.

    Tecnología de Valores S.A. cuenta con un Plan de Contingencia que permite garantizar el total restablecimiento de la operatoria en un plazo menor a las VEINTICUATRO (24) horas incluyendo los servicios de consulta de estado de certificados digitales.

    El plan es conocido por todo el personal afectado de la Autoridad Certificante e incluye pruebas periódicas para garantizar su implementación efectiva en caso necesario.

    4.10.3. Aspectos operativos.

    No existen aspectos operativos adicionales a los mencionados en los puntos anteriores.

    4.11. Desvinculación del suscriptor.

    Una vez expirado el certificado o si este fuera revocado, de no tramitar un nuevo certificado, su titular se considera desvinculado de los servicios del certificador. De igual forma se producirá la desvinculación, ante el cese de las operaciones del certificador.

    4.12. Recuperación y custodia de claves privadas.

    El certificador licenciado no podrá bajo ninguna circunstancia realizar la recuperación o custodia de claves privadas de los titulares de certificados digitales, en virtud de lo dispuesto en el inciso b) del artículo 21 de la Ley N° 25.506. El suscriptor se encuentra obligado a mantener el control exclusivo de su clave privada, no compartirla e impedir su divulgación, de acuerdo a lo dispuesto en el inciso a) del artículo 25 de la ley antes mencionada.


    5. CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN.

    Se describen a continuación los procedimientos referidos a los controles de seguridad física, de gestión y operativos implementados por el certificador. La descripción detallada se efectuará en el Plan de Seguridad.

    5.1. Controles de seguridad física.

    Se cuenta con controles de seguridad relativos a:

    a) Construcción y ubicación de instalaciones.

    b) Niveles de acceso físico.

    c) Comunicaciones, energía y ambientación.

    d) Exposición al agua.

    e) Prevención y protección contra incendios.

    f) Medios de almacenamiento.

    g) Disposición de material de descarte.

    h) Instalaciones de seguridad externas.

    5.2. Controles de Gestión.

    Se cuenta con controles de seguridad relativos a:

    a) Definición de roles afectados al proceso de certificación.

    b) Número de personas requeridas por función.

    c) Identificación y autenticación para cada rol.

    d) Separación de funciones.

    5.3. Controles de seguridad del personal.

    Se cuenta con controles de seguridad relativos a:

    a) Calificaciones, experiencia e idoneidad del personal, tanto de aquellos que cumplen funciones críticas como de aquellos que cumplen funciones administrativas, de seguridad, limpieza, etcétera.

    b) Antecedentes laborales.

    c) Entrenamiento y capacitación inicial.

    d) Frecuencia de procesos de actualización técnica.

    e) Frecuencia de rotación de cargos.

    f) Sanciones a aplicar por acciones no autorizadas.

    g) Requisitos para contratación de personal.

    h) Documentación provista al personal: incluidas tarjetas y otros elementos de identificación personal.

    5.4. Procedimientos de Auditoría de Seguridad.

    Se mantienen políticas de registro de eventos, cuyos procedimientos detallados serán desarrollados en el Manual de Procedimientos.

    Se cuenta con procedimientos de auditoría de seguridad sobre los siguientes aspectos:

    a) Tipo de eventos registrados. Debe respetarse lo establecido en el Anexo II Sección 3 de la Decisión Administrativa N° 927/14.

    b) Frecuencia de procesamiento de registros.

    c) Período de guarda de los registros. Debe respetarse lo establecido en el inciso i) del artículo 21 de la Ley N° 25.506 respecto a los certificados emitidos.

    d) Medidas de protección de los registros, incluyendo privilegios de acceso.

    e) Procedimientos de resguardo de los registros.

    f) Sistemas de recolección y análisis de registros (internos vs. externos).

    g) Notificaciones del sistema de recolección y análisis de registros. h) Evaluación de vulnerabilidades.

    5.5. Conservación de registros de eventos.

    Se han desarrollado e implementado políticas de conservación de registros, cuyos procedimientos detallados se encuentran desarrollados en el Manual de Procedimientos. Los procedimientos cumplen con lo establecido por el artículo 21, inciso i) de la Ley N° 25.506 relativo al mantenimiento de la documentación de respaldo de los certificados digitales emitidos.

    Se respeta lo establecido en el Anexo II Sección 3 de la Decisión Administrativa N° 927/14 respecto del registro de eventos.

    Existen procedimientos de conservación y guarda de registros en los siguientes aspectos, que se encuentran detallados en el Manual de Procedimientos:

    a) Tipo de registro archivado. Debe respetarse lo establecido en el Anexo II Sección 3 de la Decisión Administrativa N° 927/14.

    b) Período de guarda de los registros.

    c) Medidas de protección de los registros archivados, incluyendo privilegios de acceso.

    d) Procedimientos de resguardo de los registros.

    e) Sistemas de recolección y análisis de registros (internos vs. externos).

    f) Procedimientos para obtener y verificar la información archivada.

    5.6. Cambios de claves criptográficas.

    En el caso de las claves de la Autoridad Certificante, los pares de claves podrán ser cambiados por DOS (2) razones:

    • Por compromiso o sospecha de compromiso del par de claves criptográficas.

    • Por expiración, al llegar el plazo de sus respectivas vidas útiles, fijado en DIEZ (10) años.

    En caso de compromiso o sospecha de compromiso del par de claves, la Autoridad Certificante, debe informar al Ente Licenciante, que procederá a revocar el Certificado. Asimismo quedarán también revocados los Certificados de los Suscriptores. Posteriormente, será decisión del Ente Licenciante emitir un nuevo Certificado de acuerdo a las condiciones por las que se revocó el Certificado.

    La Autoridad Certificante comunicará a los Suscriptores la revocación del Certificado de la Autoridad Certificante y de sus Certificados y los invitará a iniciar nuevamente el proceso de solicitud de Certificados para Suscriptores, siempre y cuando el Ente Licenciante haya decidido otorgar un nuevo Certificado a la Autoridad Certificante.

    En el caso de expiración de vida útil del Certificado de la Autoridad Certificante, el cambio de clave implica la emisión de un nuevo Certificado por parte del Ente Licenciante a favor de la Autoridad Certificante. La clave privada que es objeto de cambio continuará siendo utilizada para firmar la Lista de Certificados Revocados correspondientes a la Política bajo la cual fueron emitidos, hasta el plazo de validez del último Certificado Digital emitido con esa clave privada. En ese momento se revocará el Certificado objeto del cambio y se destruirá la clave privada asociada al mismo.

    5.7. Plan de respuesta a incidentes y recuperación ante desastres.

    Se describen los requerimientos relativos a la recuperación de los recursos del certificador en caso de falla o desastre. Estos requerimientos están desarrollados en el Plan de Continuidad de las Operaciones.

    Se han desarrollado procedimientos referidos a:

    a) Identificación, registro, reporte y gestión de incidentes.

    b) Recuperación ante falla inesperada o sospecha de falla de componentes de hardware, software y datos.

    c) Recuperación ante compromiso o sospecha de compromiso de la clave privada del certificador.

    d) Continuidad de las operaciones en un entorno seguro luego de desastres.

    Los procedimientos cumplen con lo establecido por el artículo 33 del Decreto N° 2628/02 y sus modificatorios en lo relativo a los servicios de infraestructura tecnológica prestados por un tercero.

    5.8. Plan de cese de actividades.

    Se describen los requisitos y procedimientos a ser adoptados en caso de finalización de servicios del certificador o de una o varias de sus autoridades certificantes o de registro. Estos requerimientos son desarrollados en su Plan de Cese de Actividades.

    Se han implementado procedimientos referidos a:

    a) Notificación al ente licenciante, suscriptores, terceros usuarios, otros certificadores y otros usuarios vinculados.

    b) Revocación del certificado del certificador y de los certificados emitidos.

    c) Transferencia de la custodia de archivos y documentación e identificación de su custodio. El responsable de la custodia de archivos y documentación cumple con idénticas exigencias de seguridad que las previstas para el certificador o su autoridad certificante o de registro que cesó.

    Se contempla lo establecido por el artículo 44 de la Ley N° 25.506 de Firma Digital en lo relativo a las causales de caducidad de la licencia. Asimismo, los procedimientos cumplen lo dispuesto por el artículo 33 del Decreto N° 2628/02 y sus modificatorios, reglamentario de la Ley de Firma Digital, en lo relativo a los servicios de infraestructura tecnológica prestados por un tercero y las obligaciones establecidas en la Decisión Administrativa N° 927/14 y sus correspondientes Anexos


    6. CONTROLES DE SEGURIDAD TÉCNICA.

    Se describen las medidas de seguridad implementadas por el certificador para proteger las claves criptográficas y otros parámetros de seguridad críticos. Además se incluyen los controles técnicos que se implementarán sobre las funciones operativas del certificador, Autoridades de Registro, repositorios, suscriptores, etcétera.

    6.1. Generación e instalación del par de claves criptográficas.

    La generación e instalación del par de claves deben ser consideradas desde la perspectiva de las autoridades certificantes del certificador, de los repositorios, de las autoridades de registro y de los suscriptores. Para cada una de estas entidades deberán abordarse los siguientes temas:

    a) Responsables de la generación de claves.

    b) Métodos de generación de claves, indicando si se efectúan por software o por hardware.

    c) Métodos de entrega de la clave pública de la entidad al certificador en forma segura.

    d) Métodos de distribución de la clave pública del certificador en forma segura.

    e) Características y tamaños de las claves.

    f) Controles de calidad de los parámetros de generación de claves.

    g) Propósitos para los cuales pueden ser utilizadas las claves y restricciones para dicha utilización.

    6.1.1. Generación del par de claves criptográficas.

    Las claves de la Autoridad Certificante son generadas en la denominada “Ceremonia de Generación de Claves” al inicio de las operaciones de la misma. Esta se realiza en el nivel de operaciones críticas de la Autoridad Certificante, tanto la lista de participantes requeridos como los procedimientos a ejecutar están especificados en el documento “Ceremonia de generación de claves”.

    Las actividades desarrolladas en cada ceremonia de generación de claves serán registradas, fechadas y firmadas por todos los individuos participantes.

    Estos registros se mantendrán en custodia DIEZ (10) años contados a partir del vencimiento/ revocación del Certificado Digital.

    La Autoridad Certificante generará sus propias claves utilizando hardware criptográfico HSM (Hardware Security Module) que cumple con los requerimientos de los estándares FIPS 140-2 Nivel 3.

    Dichas claves son generadas usando el algoritmo de clave pública RSA con longitud de clave de 4096 bits.

    El período de validez de este par de claves será de DIEZ (10) años.

    La Autoridad de Registro genera sus certificados digitales propios utilizando un dispositivo criptográfico que cumple con los requerimientos de los estándares FIPS 140-2 Nivel 2. Dichos certificados son generados usando el algoritmo de clave pública RSA con longitud de clave de 2048 bits o superior.

    El período de validez de estos certificados será de DOS (2) años.

    El Solicitante y/o Suscriptor generará su propio certificado digital con el par de claves (pública y privada) utilizando software con capacidad criptográfica. Una vez generado el par de claves, es obligación del Solicitante y/o Suscriptor establecer los controles y medidas de seguridad apropiadas para protegerlas. Las claves deberán ser RSA de 2048 bits de longitud o superior.

    El período de validez de estos certificados será de DOS (2) años.

    6.1.2. Entrega de la clave privada.

    En todos los casos, se cumple con la obligación de abstenerse de generar, exigir o por cualquier otro medio tomar conocimiento o acceder a los datos de creación de firmas de los suscriptores (incluyendo los roles vinculados a las actividades de registro), establecido por la Ley N° 25.506, artículo 21, inciso b) y el Decreto N° 2628/02, artículo 34, inciso i).

    6.1.3. Entrega de la clave pública al emisor del certificado.

    La entrega de la clave pública por parte del Solicitante a la Autoridad Certificante se llevará a cabo utilizando el estándar PKCS#10 o el que lo reemplace en el futuro, mediante un canal de comunicación seguro.

    6.1.4. Disponibilidad de la clave pública del certificador.

    La Autoridad Certificante publicará en su web institucional www.tecnologiadevalores.com.ar su clave pública, a disposición de todos los Suscriptores y público en general.

    6.1.5. Tamaño de claves.

    La longitud de claves asociadas con los distintos tipos de Certificados emitidos serán las siguientes:

    • Para los Certificados de la Autoridad Certificante: 4096 bits.

    • Para los Certificados de los Administradores de la Autoridad Certificante y de las Autoridades de Registro: 2048 bits o superior.

    • Para los Certificados de Suscriptores: 2048 bits o superior.

    6.1.6. Generación de parámetros de claves asimétricas.

    Los parámetros de generación de claves asimétricas son:

    Algoritmo: RSA

    Exponente: 65.537

    Longitud: según lo indicado en 6.1.5

    6.1.7. Propósitos de utilización de claves (campo “KeyUsage” en certificados X.509 v.3).

    Las claves criptográficas de los suscriptores de los certificados pueden ser utilizados para firmar digitalmente, para funciones de autenticación y para cifrado.

    6.2. Protección de la clave privada y controles sobre los dispositivos criptográficos.

    La protección de la clave privada debe ser considerada desde la perspectiva del certificador, de los repositorios, de las Autoridades de Registro y de los suscriptores, siempre que sea aplicable. Para cada una de estas entidades deberán abordarse los siguientes temas:

    a) Estándares utilizados para la generación del par de claves.

    b) Número de personas involucradas en el control de la clave privada.

    c) En caso de existir copias de resguardo de la clave privada, controles de seguridad establecidos sobre ellas.

    d) Procedimiento de almacenamiento de la clave privada en un dispositivo criptográfico.

    e) Responsable de activación de la clave privada y acciones a realizar para su activación.

    f) Duración del período de activación de la clave privada y procedimiento a utilizar para su desactivación. g) Procedimiento de destrucción de la clave privada.

    h) Requisitos aplicables al dispositivo criptográfico utilizado para el almacenamiento de las claves privadas.

    La Autoridad Certificante protege el acceso a su clave privada mediante hardware criptográfico HSM que requiere el uso concurrente de dos personas con sus respectivas llaves para activar una sesión de uso (de un total de cuatro personas posibles).

    El HSM posee mecanismos de protección física que bloquea el acceso al mismo si se intenta vulnerarlo y se encuentra alojado en el sector con mayores restricciones de acceso de las instalaciones de la Autoridad Certificante.

    Las Autoridades de Registro protegen el acceso a sus claves privadas mediante un hardware criptográfico, el cual posee un código de acceso al mismo que se bloquea al utilizarlo erróneamente un número determinado de veces.

    El Solicitante y/o Suscriptor almacena su clave privada y él proveerá los controles y las medidas de seguridad adecuadas para protegerla.

    6.2.1. Controles y estándares para dispositivos criptográficos.

    Los pares de claves criptográficas de la Autoridad Certificante serán generados en un hardware criptográfico HSM certificado FIPS 140-2 Nivel 3.

    Los pares de claves criptográficas de la Autoridad de Registro serán generados en un hardware criptográfico HSM certificado FIPS 140-2 Nivel 2.

    6.2.2. Control “M de N” de clave privada.

    Los controles empleados para la activación de las claves se basan en la presencia de M de N con M mayor a 2. Estos controles son desarrollados con mayor detalle en los documentos específicos.

    6.2.3. Recuperación de clave privada.

    La clave privada de la Autoridad Certificante cuenta con un respaldo en el sitio de contingencia y con procedimientos de backup y restore que aseguran un adecuado tratamiento.

    6.2.4. Copia de seguridad de clave privada.

    La Autoridad Certificante posee una copia de resguardo de su clave privada, en un hardware criptográfico HSM similar al operativo, convenientemente almacenado en un sitio seguro, que será activado en caso de una contingencia.

    La Autoridad Certificante no almacena copia alguna de otra clave privada que no sea la propia.

    6.2.5. Archivo de clave privada.

    La clave privada de la Autoridad Certificante será generada y archivada en hardware criptográfico HSM certificado FIPS 140-2 Nivel 3, en la zona de máxima seguridad.

    6.2.6. Transferencia de claves privadas en dispositivos criptográficos.

    La Autoridad Certificante generará sus pares de claves en hardware criptográfico HSM. Se realizarán copias de dichos pares de claves para tareas rutinarias, de recuperación o en caso de necesidad de recupero ante desastres.

    En caso que se incorporen copias de resguardo de pares de claves desde otros módulos de hardware criptográfico HSM, todos cumplirán los requerimientos de los estándares FIPS 140-2 Nivel 3, dichos pares de claves serán transportados entre los HSM en forma segura.

    Las Autoridades de Registro generan sus claves en un hardware criptográfico HSM que cumple el estándar FIPS 140-2 Nivel 2, quedando almacenadas y protegidas en dicho hardware.

    El Suscriptor no está obligado a almacenar su clave privada en un dispositivo criptográfico.

    6.2.7. Almacenamiento de claves privadas en dispositivos criptográficos.

    El certificador y las Autoridades de Registro generan sus claves en un hardware criptográfico HSM que cumple el estándar FIPS 140-2 Nivel 2, quedando almacenadas y protegidas en dicho hardware.

    El Suscriptor no está obligado a almacenar su clave privada en un dispositivo criptográfico.

    6.2.8. Método de activación de claves privadas.

    La Autoridad Certificante activa su clave privada según un esquema M de N. (ver punto 6.2.2.)

    6.2.9. Método de desactivación de claves privadas.

    Las claves privadas de la Autoridad Certificante, de las Autoridades de Registro y de los Suscriptores se desactivarán después de cada operación, después de desconectarse de sus sistemas o bien después de remover o desactivar el dispositivo criptográfico según el caso.

    6.2.10. Método de destrucción de claves privadas.

    Al finalizar el término de vida útil de las claves del Certificador Licenciado, todos los juegos de claves privadas serán destruidos de manera segura por personal idóneo siguiendo el procedimiento previsto a tal fin, no siendo posible su posterior reconstrucción.

    6.2.11. Requisitos de los dispositivos criptográficos.

    La Autoridad de Certificación utiliza módulos de hardware criptográfico HSM, bajo los estándares FIPS 140-2 Nivel 3. Las Autoridades de Registro generan sus claves en un hardware criptográfico HSM que cumple el estándar FIPS 140-2 Nivel 2, quedando almacenadas y protegidas en dicho hardware.

    El Suscriptor no está obligado a almacenar su clave privada en un dispositivo criptográfico.

    6.3. Otros aspectos de administración de claves.

    6.3.1. Archivo permanente de la clave pública.

    La clave pública de la Autoridad Certificante está contenida dentro del Certificado emitido por la Autoridad Certificante Raíz y está disponible para su descarga en el sitio web de la Autoridad Certificante www.tecnologiadevalores.com.ar

    La clave pública de los Oficiales de las Autoridades de Registro está contenida dentro del Certificado emitido por la Autoridad Certificante.

    La clave pública de los Suscriptores está contenida dentro del Certificado emitido por la Autoridad Certificante. Además de los recaudos que puedan tomar los interesados, estos Certificados podrán ser descargados del sitio web de la Autoridad Certificante www.tecnologiadevalores. com.ar

    6.3.2. Período de uso de clave pública-y privada.

    Las claves privadas correspondientes a los certificados emitidos por el certificador podrán ser utilizadas por los suscriptores únicamente durante el período de validez de los certificados. Las correspondientes claves públicas podrán ser utilizadas durante el período establecido por las normas legales vigentes, a fin de posibilitar la verificación de las firmas generadas durante su período de validez, según se establece en el apartado anterior.

    6.4. Datos de activación.

    Se entiende por datos de activación, a diferencia de las claves, a los valores requeridos para la operatoria de los dispositivos criptográficos y que necesitan estar protegidos.

    Se establecen medidas suficientes de seguridad para proteger los datos de activación requeridos para la operación de los dispositivos criptográficos de los usuarios de certificados ver punto 6.2.2 en relación al Control “M de N” de clave privada y el punto 6.4.2 en relación a la protección de los datos de activación de claves que estará dado bajo el nivel 6 de seguridad.

    6.4.1. Generación e instalación de datos de activación.

    Los datos de activación utilizados en el hardware criptográfico HSM que almacena las claves privadas de la Autoridad Certificante son generados y registrados según lo descripto en el punto 6.1.1.

    La Autoridad de Registro debe crear contraseñas fuertes para proteger sus claves privadas. Se sugiere que las mismas:

    • Tengan una longitud de OCHO (8) caracteres como mínimo.

    • Sean generadas por el usuario.

    • No posean caracteres repetidos.

    • Alternen caracteres alfabéticos, numéricos, mayúsculas y minúsculas.

    Adicionalmente la autoridad certificante promueve entre los solicitantes de certificados y suscriptores las mejores prácticas relativas a la protección de sus datos de activación y claves. Con este propósito los suscriptores se comprometen a:

    • Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación.

    • Utilizar un dispositivo (por ejemplo dispositivo criptográfico, computadora personal, teléfono inteligente) de creación de firma digital técnicamente confiable.

    • Proteger de la mejor manera posible, el Certificado y su clave privada asociada.

    • Informar sin demora al Certificador Licenciado el cambio de alguno de los datos suministrados al momento de la solicitud del Certificado Digital.

    6.4.2. Protección de los datos de activación.

    La Autoridad Certificante establece medidas de seguridad para proteger adecuadamente los datos de activación de su clave privada. Los depositarios de las llaves que activan el hardware criptográfico HSM de la Autoridad Certificante están obligados a proteger las mismas y firmarán un acuerdo de confidencialidad a tal efecto.

    Las Autoridades de Registro almacenarán sus claves en dispositivos criptográficos protegidos por contraseñas.

    Es responsabilidad exclusiva de las Autoridades de Registro y de los Suscriptores de Certificados, elegir contraseñas fuertes para la protección de sus claves privadas y para el acceso a los dispositivos criptográficos que utilicen, si fuera aplicable, y no divulgarlas.

    6.4.3. Otros aspectos referidos a los datos de activación.

    No existen otros aspectos referidos a datos de activación, adicionales a los descriptos en 6.4.1 y 6.4.2.

    6.5. Controles de seguridad informática.

    6.5.1. Requisitos Técnicos específicos.

    Se establecen los requisitos de seguridad referidos al equipamiento y al software del certificador, cuyo detalle se encuentra en el Manual de Procedimientos.

    Dichos requisitos se vinculan con los siguientes aspectos:

    a) Control de acceso a los servicios y roles afectados al proceso de certificación.

    b) Separación de funciones entre los roles afectados al proceso de certificación.

    c) Identificación y autenticación de los roles afectados al proceso de certificación,

    d) Utilización de criptografía para las sesiones de comunicación y bases de datos.

    e) Archivo de datos históricos y de auditoría del certificador y usuarios.

    f) Registro de eventos de seguridad.

    g) Prueba de seguridad relativa a servicios de certificación.

    h) Mecanismos confiables para identificación de roles afectados al proceso de certificación.

    i) Mecanismos de recuperación para claves y sistema de certificación.

    Estas funciones pueden ser provistas por el sistema operativo, o bien a través de una combinación del sistema operativo, software de certificación y controles físicos.

    6.5.2. Requisitos de seguridad computacional.

    Evaluaciones de Terceros respecto de la seguridad

    Tecnología de Valores S.A, cuenta con las siguientes Calificaciones de Seguridad para sus productos:

    • El hardware criptográfico (HSM) utilizado para la gestión de las claves de la Autoridad Certificante: FIPS 140-2 Nivel 3

    • El dispositivo criptográfico: EAL 2.

    • La Base de Datos: EAL 4+.

    • El Sistema Operativo: EAL 4+.

    • El Centro de Cómputos principal de la Autoridad Certificante ha recibido una Certificación ICREA (International Computer Room Experts Association) bajo el Standard 131-2009, habiendo obtenido el nivel 3, que designa al Data Center como confiable con Ambiente Certificado de clase mundial S-WCCQA (Safety World Class Quality Assurance). De esta forma se cuenta con un reconocimiento internacional a la calidad y seguridad de sus instalaciones y técnicas de mantenimiento.

    6.6. Controles Técnicos del ciclo de vida de los sistemas.

    Se describen los controles de desarrollo y administración de cambios de los sistemas, como así también los asociados a la gestión de la seguridad, en lo relacionado directa o indirectamente con las actividades de certificación.

    6.6.1. Controles de desarrollo de sistemas.

    Las aplicaciones serán adaptadas funcionalmente e implementadas por la Autoridad Certificante siguiendo sus estándares de desarrollo de sistemas y administración de cambios.

    Este mecanismo de control de cambios le permite estar actualizada en las versiones y eventuales mejoras en su sistema operativo y aplicaciones, lo que redunda en un razonable nivel de seguridad y protección respecto de eventuales vulnerabilidades.

    La Autoridad Certificante suministrará también el software a las Autoridades de Registro.

    6.6.2. Controles de gestión de seguridad.

    Se documenta y controla la configuración del sistema, así como toda modificación o actualización, habiéndose implementado un método de detección de modificaciones no autorizadas.

    6.6.3. Controles de seguridad del ciclo de vida del software.

    Se describen, en caso de existir, los resultados de evaluaciones realizadas por terceros calificados respecto del ciclo de vida del software.

    Estos datos se incluirán en el Formulario de Adhesión del Anexo I de la Decisión Administrativa N° 927/14.

    La Autoridad Certificante no contempla calificar la seguridad del ciclo de vida de su software y hardware.

    6.7. Controles de seguridad de red.

    La Autoridad Certificante dispone de hardware de red adecuado para soportar un diseño de la misma que permite controlar, segmentar y ordenar el tráfico de acuerdo a los distintos requerimientos de seguridad. De esta manera previene accesos no autorizados u otras actividades maliciosas desde aquellas redes a las que esté conectada.

    Las comunicaciones que contengan información sensible se llevarán a cabo utilizando encripción y firmas digitales.

    6.8. Certificación de fecha y hora.

    La Autoridad Certificante no contempla prestar servicios de emisión de sellos de tiempo.


    7. PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS.

    Se especifican los formatos de certificados y de listas de certificados revocados generados según la Política Única de Certificación.

    7.1. Perfil del certificado.

    Todos los certificados serán emitidos conforme con lo establecido en la especificación ITU X.509 versión 3 o la que en su defecto, determine el Ente Licenciante, y deben cumplir con las indicaciones establecidas en la sección “2 - Perfil de certificados digitales” del Anexo IV de la Decisión Administrativa N° 927/14 - Perfiles de los Certificados y de las Listas de Certificados Revocados.

    El formato es el siguiente:


    7.1.1. Número de versión.

    El campo “version” describe la versión del certificado. DEBE tener el valor 2 (correspondiente a versión 3).


    7.1.2. Extensiones.

    Las siguientes extensiones DEBEN encontrase presentes en todos los certificados:

    • Restricciones Básicas (BasicConstraint).

    • Uso de Claves (KeyUsage).

    • Uso Extendido de Clave (ExtendedKeyUsage).

    • Identificador de la Clave de la Autoridad Certificante (AuthorityKeyldentifier).

    • Puntos de Distribución de la Lista de Certificados Revocados (CRLDistributionPoint).

    • Nombres Alternativos del Suscriptor (SubjectAltemativeName).

    • Acceso a Información del Emisor (AuthorityInformationAccess). • Políticas de Certificación (CertificatePolicies).

    • Declaración del Certificado Calificado (qcStatement).



    7.1.3. Identificadores de algoritmos.

    El campo “signature” contiene el identificador de objeto (OID) del algoritmo y los parámetros asociados usados por el certificador para firmar el certificado. Este identificador es el definidos en el [RFC4055] para RSA. El algoritmo de firma es sha1RSA (OID: 1 2 840 113549 1 1 5).

    7.1.4. Formatos de nombre.

    El campo “issuer” identifica a la organización responsable de la emisión del certificado, mediante la utilización de los siguientes atributos:
    • Componente de dominio (OID 0.9.2342.19200300.100.1.25: domainComponent).

    • Código de país (OID 2.5.4.6: countryName).

    • Nombre de la organización (OID 2.5.4.10: organizationName).

    • Nombre de la provincia (OID 2.5.4.8: stateOrProvinceName).

    • Número de serie (OID 2.5.4.5: serialNumber).

    El contenido de este campo coincide con el indicado en el campo del distinguishedName” correspondiente al “subject” del certificado emitido por la Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA.

    El atributo “organizationName” está presente.

    El atributo “countryName” está presente y representa el país en el cual se encuentra establecido el emisor, es decir, la REPÚBLICA ARGENTINA. Este atributo está codificado según el estándar [ISO3166].

    El nombre distintivo (DistinguishedName) de la Autoridad Certificante emisora se compone de:


    7.1.5. Restricciones de nombre.

    El campo “subject” identifica la entidad asociada a la clave pública guardada en el campo “subjectPublicKeyInfo”. Contiene un nombre distintivo del suscriptor. Dicho nombre es único para cada suscriptor de certificado emitido por el certificador durante todo el tiempo de vida del mismo.

    La identidad del suscriptor queda especificada utilizando los siguientes atributos:

    • Código de país (OID 2.5.4.6: countryName).

    • Nombre común (OID 2.5.4.3: commonName).

    • Número de serie (OID 2.5.4.5: serialNumber).

    Para los certificados del certificadores licenciados, los campos que integran el nombre distintivo del emisor (issuer DN) deben coincidir con los campos correspondientes del nombre distintivo del suscriptor (subject DN), emitido a nombre del certificador licenciado por la Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA.

    Para los certificados de Personas Físicas:

    “commonName”: está presente y corresponde con el nombre que figura en el documento de identidad del suscriptor.

    “serialNumber” (OID 2.5.4.5: Nro. de serie): está presente y contiene el tipo y número de identificación del titular, expresado como texto y respetando el siguiente formato y codificación: [“tipo de documento”] [“nro., de documento”]. El valor posible para el campo [tipo de documento] es “CUIT/CUIL” Clave Única de Identificación Tributaria o Laboral.

    “countryName”: está presente e indica el país de nacimiento del suscriptor codificado según el estándar [ISO3166].

    El nombre distintivo (DistinguishedName) del Suscriptor para los certificados de personas físicas se compone de:


    Para los certificados de Personas Jurídicas Públicas o Privadas:

    “commonName” (OID 2.5.4.3: Nombre común): coincide con la denominación de la Persona Jurídica Pública o Privada o con el nombre de la unidad operativa responsable del servicio (ej. Gerencia de Compras).

    “orgartizationalUnitName” (OID 2.5.4.11: Nombre de la suborganización): PUEDE contener las unidades operativas relacionadas con el suscriptor, pudiendo utilizarse hasta CINCO (5) instancias de este atributo de ser necesario para establecer niveles jerárquicos dentro de la suborganización.

    “organizationName” (OID 2.5.4.10: Nombre de la organización): para certificados de aplicaciones, DEBE coincidir con la denominación de la Persona Jurídica Pública o Privada.

    “serialNumber” (OID 2.5.4.5: Nro de serie): está presente y contiene el número de identificación de la Persona Jurídica Pública o Privada, expresado como texto y respetando el siguiente formato y codificación: “[código de identificación]” “[nro. de identificación]”

    Los valores posibles para el campo [código de identificación] son:

    a) “CUIT”: Clave única de identificación tributaria para las Personas Jurídicas argentinas.

    b) “ID” [país]: Número de identificación tributario para Personas Jurídicas extranjeras. El atributo [país] DEBE estar codificado según el estándar [ISO3166] de DOS (2) caracteres.

    “countryName” (OID 2.5.4.6: Código de país): está presente y representa el país de emisión de los certificados, codificado según el estándar [ISO3166] de DOS (2) caracteres.

    El nombre distintivo (DistinguishedName) del Suscriptor para los certificados de Personas Jurídicas Públicas o Privadas se compone de:


    7.1.6. OID de la Política Única de Certificación.

    El certificador incluye el OID de su Política Única de Certificación que utilizará para la emisión de certificados. Ese OID es asignado por la DIRECCIÓN NACIONAL DE SISTEMAS DE ADMINISTRACIÓN Y FIRMA DIGITAL de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN, a solicitud del ente licenciante. El documento digital que contiene la Política Única de Certificación fue declarado ante el ente licenciante y la extensión “CertificatePolicies” declara la URI donde el documento estará disponible.

    El campo “userNotice” incluye la leyenda “certificado emitido por un certificador licenciado en el marco de la Ley N° 25.506”.

    7.1.7. Sintaxis y semántica de calificadores de Política.

    La extensión “CertificatePolicies” incluye toda la información sobre la Política Única de Certificación necesaria para la validación del certificado.

    Esta extensión está presente en todos los certificados.

    Esta extensión es marcada como crítica.


    7.1.8. Semántica de procesamiento para extensiones críticas.

    Las extensiones críticas son marcadas como obligatorias en el perfil del certificado.

    7.2. Perfil de la lista de certificados revocados.

    Las listas de certificados revocados correspondientes a la presente Política Única de Certificación serán emitidas conforme con lo establecido en la especificación ITU X.509 versión 2 o la que en su defecto, determine el Ente Licenciante, y cumplirán con las indicaciones establecidas en la sección “3 - Perfil de CRLs” del Anexo IV - “Perfiles de los Certificados y de las Listas de Certificados Revocados”.

    El formato es el siguiente:


    7.2.1. Número de versión.

    El campo “version” describe la versión de la CRL. DEBE tener el valor 1 (correspondiente a Versión 2).

    7.2.2. Extensiones de CRL (Lista de Certificados Revocados).

    A completar sobre la base de lo establecido en el documento referido en el apartado 3.3 del Anexo IV de la Decisión Administrativa N° 927/14.

    Identificación de Clave de la Autoridad Certificante (Authority Key Identifier).

    La extensión “AuthorityKeyldentifier” proporciona un medio para identificar la clave pública que corresponde a la clave privada utilizada para firmar una CRL.

    Esta extensión está presente en todas las listas de revocación de certificados.

    Número de CRL (CRL Number).

    La extensión “CRLNumber” contiene un número de secuencia creciente para una CRL y emisor dado.

    Esta extensión permite que los usuarios determinen fácilmente cuándo una CRL particular reemplaza otra CRL.

    Esta extensión está incluida en todas las listas de revocación de certificados.

    Otras extensiones de CRLs.

    No se declaran otras extensiones más allá de las definidas.

    7.3. Perfil de la consulta en línea del estado del certificado.

    La consulta en línea del estado de un certificado digital se realiza utilizando el Protocolo OCSP (On-Line Certificate Status Protocol). Se implementa conforme a lo indicado en la especificación RFC 6.960.

    7.3.1. Consultas OCSP.

    Los siguientes datos se encuentran presentes en las consultas:

    • Versión (version).

    • Requerimiento de servicio (service request).

    • Identificador del certificado bajo consulta (target certificate identifier).

    • Extensiones opcionales (optionals extensions), las cuales podrían ser procesadas por quien responde.

    Al recibir la consulta OCSP, el servicio determina:

    • Si el formato de la consulta es adecuado.

    • Si quien responde se encuentra habilitado para responder la consulta.

    • Si la consulta contiene la información que es necesaria para responder.

    Si alguna de estas condiciones no se cumpliera, se genera un mensaje de error. De lo contrario se devuelve una respuesta.

    7.3.2. Respuestas OCSP.

    Todas las respuestas OCSP son firmadas digitalmente por la Autoridad Certificante perteneciente al certificador licenciado, que emitió el certificado digital para el cual se hace la consulta.

    Una respuesta OCSP considera los siguientes datos:

    • Versión de la sintaxis de respuesta.

    • Identificador de quien responde.

    • Fecha y hora en la que se genera la respuesta.

    • Respuesta respecto al estado del certificado.

    • Extensiones opcionales.

    • Identificador (OID) único del algoritmo de firma.

    • Firma de la respuesta.

    La respuesta a una consulta OCSP consiste en:

    • Identificador del certificado.

    • Valor correspondiente al estado del certificado.

    • Período de validez de la respuesta.

    • Extensiones opcionales.

    Se especifican las siguientes respuestas posibles para el valor correspondiente al estado del certificado:

    • Válido (good), indicando una respuesta positiva a la consulta. Este valor indica que no existe un certificado digital con el número de serie contenido en la consulta, que haya sido revocado durante su vigencia.

    • Revocado (revoked), indicando que el certificado ha sido revocado.

    • Desconocido (unknown), indicando que quien responde no reconoce el número de serie incluido en la consulta, debido comúnmente a la inclusión de un emisor desconocido.


    8. AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES.

    Tecnología de Valores S.A. está alcanzada por los procesos de auditoría establecidos por la Autoridad de Aplicación de Firma Digital en cumplimiento de lo dispuesto por la Ley N° 25.506, el Decreto N° 2628/02 y sus modificatorios y la Decisión Administrativa N° 927/14. Específicamente, se cumplen las exigencias reglamentarias impuestas por:

    • Los artículos 33 y 34 de la Ley N° 25.506 de Firma Digital, respecto al sistema de auditoría y 21, inciso k) de la misma ley, relativo a la publicación de informes de auditoría.

    • Los artículos 18 a 21 del Decreto N° 2628/02 y sus modificatorios, reglamentario de la Ley de Firma Digital, relativos al sistema de auditoría y 20, vinculado a conflicto de intereses.

    A continuación se resumen los aspectos específicos del proceso de auditoría interna:

    a) Caja de Valores S.A. es la organización seleccionada para realizar las auditorías internas de Tecnología de Valores S.A. Asimismo Caja de Valores S.A. podrá delegar las tareas específicas en algún tercero especializado.

    b) Las auditorías internas se efectúan con una frecuencia anual, tanto para las actividades de la autoridad certificante como de las autoridades de registro.

    c) Caja de Valores S.A. cumple un importante rol en el sistema bursátil argentino en su condición de ADC (Agente de Depósito Colectivo) y ACRyP (Agente de Custodia. Registro y Pago) inscripta con el número de matrícula 19 ante la Comisión Nacional de Valores bajo las prescripciones de la Ley N° 26.831 de Mercado de Capitales, el decreto Reglamentario N° 1023 y las Normas (N.T. 2013 y mod.). En este marco cuenta con una Gerencia de Auditoría Informática con personal capacitado en la materia.

    d) Caja de Valores S.A. es el accionista mayoritario de Tecnología de Valores S.A.

    e) Las revisiones cubren los siguientes aspectos:

    - Confiabilidad y calidad de los sistemas utilizados.

    - Integridad, confidencialidad y disponibilidad de los datos.

    - Cumplimiento de las especificaciones del Manual de Procedimientos y los planes de seguridad y de contingencia aprobados por el Ente Licenciante.

    - Cumplimiento de los requisitos establecidos por la Ley N° 25.506, el Decreto N° 2.628/02 y sus modificatorios y la Decisión Administrativa N° 927/14.

    f) Los informes de auditoría interna son elevados a las autoridades de Tecnología de Valores S.A., quienes toman las medidas necesarias para corregir las debilidades de control identificadas por el auditor.

    g) Cumpliendo lo dispuesto por el artículo 21 inciso k) de la Ley N° 25.506, Tecnología de Valores S.A. publica en su sitio web www.tecnologiadevalores.com.ar la información relevante de los informes de la última auditoría de que hubiera sido objeto.

    Tecnología de Valores S.A. pone a disposición del Ente Licenciante la información relevada por las auditorías internas con el objetivo de controlar el cumplimiento de la Política Única de Certificación.

    Adicionalmente, Tecnología de Valores S.A. y sus autoridades de registro serán auditadas anualmente por alguna de las entidades de auditoría que el ente licenciante habilite en los términos del artículo 18 del Decreto N° 2628/02 y sus modificatorios, dando cumplimento a lo establecido en el artículo 20 del mismo en lo relativo a conflicto de intereses.

    Dichas auditorías anuales del certificador licenciado y sus autoridades de registro cumplirán con lo dispuesto por los artículos 58 y 59 de la Decisión Administrativa N° 927/14.


    9. ASPECTOS LEGALES Y ADMINISTRATIVOS.

    9.1. Aranceles.

    Los aranceles que Tecnología de Valores S.A. cobra por los Certificados de Firma Digital se encuentran a disposición de los Solicitantes en las oficinas de las Autoridades de Registro correspondientes.

    9.2. Responsabilidad Financiera.

    Tecnología de Valores S.A. cuenta con capacidad financiera suficiente para hacer frente a las obligaciones asumidas por la presente.

    Sin perjuicio de lo expuesto, se fija como límite máximo de responsabilidad la suma de U$S 5.000.- por transacción, no pudiendo dicho límite superar en ningún caso la suma de U$S 50.000.- por Certificado durante la vigencia del mismo.

    9.3. Confidencialiciad.

    Tecnología de Valores S.A. y los empleados de ésta, asumen el compromiso de guardar confidencialidad respecto de todo dato personal y de toda información, que no se encuentre entre la información definida como no confidencial en el presente, perteneciente a los Solicitantes y Suscriptores de Certificados, y a la que tenga acceso en virtud de la actividad de certificación que presta; como así también se compromete a mantener la confidencialidad respecto del tratamiento de dicha información y de su documentación respaldatoria.

    El deber de confidencialidad en los términos de la presente, se extiende también a las Autoridades de Registro y a los empleados y/o dependientes de éstas.

    9.3.1. Información confidencial. Deberá ser también considerada con carácter de confidencial, la siguiente información:

    • Las solicitudes de emisión de un Certificado, con la salvedad de los datos contenidos en los Certificados.

    • Plan de Seguridad, el cual contiene todos los documentos que afectan a las tareas que desarrolla el personal de la Autoridad Certificante, tanto se trate de funciones administrativas como técnicas.

    • Plan de Contingencia y otros procedimientos de control que existan.

    • Información vinculada al proceso de gestión del ciclo de vida de los Certificados Digitales emitidos por Tecnología de Valores S.A.

    • La clave privada de Tecnología de Valores S.A.

    No obstante, Tecnología de Valores S.A. quedará relevada del deber de confidencialidad cuando: (I) medie consentimiento expreso del Solicitante y del Suscriptor; y/o (II) dicha información sea requerida por autoridad administrativa competente y/o en causa judicial por juez competente.

    Tecnología de Valores S.A. y las Autoridades de Registro deberán revelar toda información que le sea requerida en causas judiciales, siempre y cuando le sea solicitada en forma escrita y se encuentre debidamente suscripta por autoridad judicial competente, con los recaudos establecidos en las leyes y/o códigos de procedimientos respectivos, aun cuando ésta se encuentre comprendida entre la información considerada confidencial en los términos del presente apartado.

    Tecnología de Valores S.A. y las Autoridades de Registro deberán revelar toda información que le sea requerida en el marco de una investigación judicial o administrativa, aun cuando se trate de información confidencial siempre y cuando le sea solicitada en forma escrita por autoridad competente con indicación de la normativa que otorga facultades al requirente. Excepto en los casos previstos en los DOS (2) párrafos precedentes toda divulgación de información relacionada a los datos de un Solicitante y/o de un Suscriptor sólo podrá efectuarse previa autorización del titular de los datos.

    De conformidad con lo establecido en la normativa vigente, el Solicitante y/o Suscriptor puede solicitar a la Autoridad Certificante y/o a la Autoridad de Registro que corresponda, conocer y rectificar la información que sobre sí mismo conste en la base de datos que Tecnología de Valores S.A. crea con la información entregada por los Solicitantes de Certificados y sus Suscriptores, de acuerdo a lo previsto en el Manual de Procedimientos.

    En ningún caso la información podrá revelar datos pertenecientes a terceros aun cuando se vinculen con el interesado, salvo expreso consentimiento de los terceros involucrados.

    La información requerida por el titular de los datos será suministrada por Tecnología de Valores S.A. en forma gratuita. No obstante, si dicha información fuera requerida con una periodicidad inferior a intervalos de SEIS (6) meses Tecnología de Valores S.A. podrá cobrar un arancel por brindar la misma, salvo que se acredite un interés legítimo al efecto.

    El Suscriptor conoce y acepta que la modificación de la información que ha entregado a Tecnología de Valores S.A. y/o a la Autoridad de Registro puede eventualmente acarrear la revocación del Certificado Digital. La revocación así acaecida no generará derecho a reclamo o indemnización alguna a favor del Suscriptor.

    El Solicitante y/o el Suscriptor autorizan a Tecnología de Valores S.A. y/o a las Autoridades de Registro a suministrar la información comprendida en este capítulo a terceras personas, cuando ello sea necesario para su verificación o para la mejor prestación del servicio de certificación. Tecnología de Valores S.A. informará a dichos terceros acerca de los requerimientos de confidencialidad sobre los datos que reciban.

    9.3.2. Información no confidencial.

    La siguiente información no se considera confidencial:

    a) Contenido de los certificados y de las listas de certificados revocados.

    b) Información sobre personas físicas o jurídicas que se encuentre disponible en certificados o en directorios de acceso público.

    c) Políticas de Certificación y Manual de Procedimientos de Certificación (en sus aspectos no confidenciales).

    d) Secciones públicas de la Política de Seguridad del certificador.

    e) Política de privacidad del certificador.

    9.3.3. Responsabilidades de los roles involucrados.

    Todo el personal de Tecnología de Valores S.A. como así también de las Autoridades de Registro operativamente vinculadas, deberán firmar un Acuerdo de Confidencialidad al momento de iniciarse la relación laboral, mediante el cual se obligue a no divulgar información de carácter sensible, confidencial o que pueda, de alguna manera, ser utilizada para beneficio personal o de terceros, según lo establecido en el presente apartado.

    9.4. Privacidad.

    Todos los aspectos vinculados a la privacidad de los datos personales estarán sujetos a la normativa vigente en materia de Protección de los Datos Personales (Ley N° 25.326 y normas reglamentarias, complementarias y aclaratorias). Las consideraciones particulares se incluyen en la Política de Privacidad.

    9.5. Derechos de Propiedad Intelectual.

    Todos los documentos elaborados y/o utilizados por Tecnología de Valores S.A. y/o sus empleados, obras, trabajos, Certificados, Claves públicas, hardware y demás productos como parte de la prestación de los servicios de Certificación, son propiedad y/o se encuentran licenciados a favor de Tecnología de Valores S.A. y sólo podrán ser usados bajo su licencia y/o autorización; encontrándose por lo tanto amparados en la Ley N° 11.723 (Régimen de Propiedad intelectual) y demás legislación vigente sobre la materia.

    Ni el Suscriptor, ni los Terceros Usuarios podrán traducirlos, reproducirlos, copiarlos, publicarlos o utilizarlos en forma alguna sin la previa autorización expresa de Tecnología de Valores S.A.

    Todos los nombres comerciales, marcas, patentes, diseños industriales y demás signos o creaciones utilizados o realizados por Tecnología de Valores S.A. o sus empleados como parte del servicio de certificación digital, son propiedad de ésta. Su uso por parte de los Suscriptores y los Terceros Usuarios se realizará de acuerdo con lo requerido por Tecnología de Valores S.A. y siempre dentro de las licencias de uso que la misma les otorgue.

    Los Solicitantes de Certificados, deberán manifestar y garantizar al momento de solicitar un Certificado que la remisión de la información contenida en una solicitud de Certificado a Tecnología de Valores S.A. y la utilización de un dominio y nombre distintivo, no es violatoria de los derechos de ninguna persona, en ninguna jurisdicción, relativos a sus marcas, patentes, nombres comerciales y derechos de propiedad intelectual.

    Los Solicitantes, Suscriptores y los Terceros Usuarios deberán informar a Tecnología de Valores S.A., con la mayor brevedad posible, sobre cualquier acto o hecho que pueda considerarse violatorio de una patente o derechos de propiedad de Tecnología de Valores S.A.

    9.6. Responsabilidades y garantías.

    El Certificador Licenciado actuará a su leal saber y entender en la prestación del servicio de certificación, y responderá únicamente por los daños y perjuicios derivados del incumplimiento de las obligaciones impuestas en la Ley N° 25.506 y su Decreto N° 2.628/02 y sus modificatorios, por los errores u omisiones que presenten los Certificados Digitales que expida, por no revocarlos en legal tiempo y forma cuando así correspondiere, y por las consecuencias imputables a la inobservancia de procedimientos de certificación exigibles, siempre que mediare dolo o culpa grave de su parte.

    Tecnología de Valores S.A. podrá contratar seguros referidos al cumplimiento de las obligaciones asumidas por la presente.

    9.7. Deslinde de responsabilidad.

    Tecnología de Valores S.A. no será responsable en ningún supuesto por lucro cesante, pérdida de datos o cualquier otro daño que no sea emergente, fuese o no previsible, surgido en relación con el uso, entrega, licencia, funcionamiento o no funcionamiento de Certificados y, en general, por cualquier transacción o servicio ofrecido como Certificador Licenciado.

    Tecnología de Valores S.A. no responderá en ningún caso, por los daños producidos o relacionados con el incumplimiento o el cumplimiento defectuoso de las obligaciones asumidas por los Suscriptores de Certificados en esta Política Única de Certificación y en el Acuerdo Tipo con Suscriptores correspondiente, los que serán a cargo de estos últimos. Tampoco será responsable de los daños o perjuicios que resulten del uso no autorizado de un Certificado Digital o bien por eventuales inexactitudes en los Certificados que expida y que resulten de la información facilitada por el Suscriptor como así también por no proceder a la solicitud de revocación de un Certificado en tiempo y forma en caso de producirse algunos de los causales de revocación previstas en la Ley N° 25.506 y en la presente Política Única de Certificación.

    El Suscriptor es el único responsable por las obligaciones que emanen de los negocios jurídicos que se realicen con los Certificados Digitales, no asumiendo Tecnología de Valores S.A. ninguna responsabilidad por este concepto.

    Tecnología de Valores S.A. no será responsable en ningún caso, por los daños producidos o relacionados con el incumplimiento o cumplimento defectuoso de las obligaciones que los Terceros Usuarios asumen por la presente y de las previstas en los Términos y Condiciones con Terceros Usuarios, los que estarán a cargo exclusivamente de estos últimos.

    Los Terceros Usuarios asumen toda responsabilidad y riesgos derivados de la aceptación de un Certificado Digital sin haber realizado previamente la validación o sin haber seguido los procedimientos establecidos en esta Política Única de Certificación y el Manual de Procedimientos, eximiendo a Tecnología de Valores S.A. de toda responsabilidad por dicho concepto.

    Tecnología de Valores S.A. no asumirá responsabilidad alguna por el uso de un Certificado Digital en el período transcurrido entre que se produce alguna de las causas de revocación y la Solicitud de revocación del mismo.

    En ningún caso Tecnología de Valores S.A. responderá por los perjuicios ocasionados por el incumplimiento de sus obligaciones cuando fueran motivados por casos de fuerza mayor, caso fortuito o en general cualquier circunstancia sobre la que el Certificador Licenciado no pueda tener un control razonable, incluyendo pero sin limitarse a las siguientes: catástrofes naturales, alteraciones del orden público, guerra o el compromiso de las claves criptográficas derivado del riesgo tecnológico imprevisible.

    Tecnología de Valores S.A. no garantizará los algoritmos y estándares criptográficos utilizados, ni responderá de los daños causados por ataques externos a los mismos, siempre que se haya aplicado la diligencia debida según el estado de la técnica en cada momento y habiendo actuado conforme a esta Política y a la Ley N° 25.506, donde sea aplicable.

    9.8. Limitaciones a la responsabilidad frente a terceros.

    Respecto de los Terceros Usuarios será de aplicación lo establecido en el punto 9.7. de la presente.

    9.9. Compensaciones por daños y perjuicios.

    Será de aplicación lo establecido en el punto 9.2 “Responsabilidad Financiera”

    9.10. Condiciones de vigencia.

    La Política Única de Certificación comenzará a regir una vez que sea aprobada por el Ente Licenciante y mantendrá su vigencia mientras:

    • No sea aprobada por el Ente Licenciante una nueva versión.

    • No sea revocada la Licencia otorgada al Certificador Licenciado por el Ente Licenciante.

    • No se produzca el cese de operaciones del Certificador Licenciado.

    9.11. Avisos personales y comunicaciones con los participantes.

    Las comunicaciones que deban efectuarse a los participantes serán publicadas en el sitio web www.tecnologiadevalores.com.ar en formato destacado en la página principal.

    Adicionalmente Tecnología de Valores S.A. podrá enviar comunicaciones y/o avisos personales a la dirección de correo electrónico que el suscriptor haya informado en la Solicitud de Certificado Digital.

    9.12. Gestión del ciclo de vida del documento.

    La aprobación de la primera versión del presente documento es potestad del Ente Licenciante al inicio de las operaciones de la Autoridad Certificante.

    Toda modificación posterior será comunicada al Ente Licenciante conforme a lo establecido en el artículo 21, inciso q) de la Ley N° 25.506, debiendo ser aprobada por éste.

    Todas las versiones (tanto la vigente como las anteriores) se encontrarán publicadas en el sitio web www.tecnologiadevalores.com.ar

    9.12.1. Procedimientos de cambio.

    Toda Política Única de Certificación es sometida a aprobación del ente licenciante durante el proceso de licenciamiento.

    La Política Única de Certificación podrá ser modificada en todo o en parte por Tecnología de Valores S.A. siguiendo los procedimientos establecidos al efecto, para lo cual deberá contar previamente con la autorización del Ente Licenciante conforme lo establecido en el artículo 21, inciso q) de la Ley N° 25.506.

    Todo cambio a la Política Única de Certificación debe ser comunicado al suscriptor.

    9.12.2. Mecanismo y plazo de publicación y notificación.

    Todo cambio relevante de esta Política, como así también el plazo a partir del cual entrará en vigencia dicho cambio, será informado en el sitio web www.tecnologiadevalores.com.ar de la Autoridad Certificante, destacando el mismo en la página principal.

    9.12.3. Condiciones de modificación del OID.

    No aplicable.

    9.13. Procedimientos de resolución de conflictos.

    En caso de que una persona con interés legítimo quiera hacer valer un reclamo basado en la interpretación, ejecución y/o cumplimiento de la presente Política Única de Certificación, como así también de los demás Documentos relacionados con el Servicio de Certificación enumerados en el punto deberá notificar dicha circunstancia a Tecnología de Valores S.A. por las vías establecidas en el Manual de Procedimientos.

    Una vez notificado del reclamo, Tecnología de Valores S.A. contará con DIEZ (10) días hábiles para su estudio, luego de lo cual ofrecerá una solución al mismo o bien expondrá los motivos de su rechazo, según corresponda, por el mismo medio en que fuera notificado del reclamo.

    El reclamante tendrá un plazo de CINCO (5) días hábiles desde la notificación para considerar la solución propuesta por Tecnología de Valores S.A. De no encontrar satisfactoria la misma, deberá comunicar su no conformidad por el mismo medio. En tal caso, se fijará una reunión conciliatoria a realizarse en la sede de Tecnología de Valores S.A., donde las partes intentarán de buena fe arribar a un acuerdo. Dicha reunión se celebrará dentro de un plazo que no podrá exceder de DIEZ (10) días hábiles, desde que el Reclamante manifieste la no conformidad. A tales efectos la mencionada reunión será mantenida por personal idóneo para tomar decisiones que comprometan a Tecnología de Valores S.A. y al reclamante.

    Sin perjuicio de lo expuesto Tecnología de Valores S.A. podrá, en cualquier momento, pedir al reclamante que aporte mayores datos sobre las circunstancias que hacen al reclamo, o bien podrá organizar las reuniones que considere necesarias para intentar llegar a un acuerdo; en cuyo caso los plazos se suspenderán hasta recibirse respuesta del reclamante. De permanecer cualquier conflicto la cuestión será dirimida por el Tribunal General de Arbitraje de la Bolsa de Comercio de Buenos Aires de acuerdo con la reglamentación vigente para el arbitraje de derecho.

    El laudo arbitral que emita dicho Tribunal, será recurrible ante la Justicia en lo Civil y Comercial Federal.

    El suscriptor o los terceros usuarios podrán accionar ante el ente licenciante, previo agotamiento del procedimiento ante el certificador licenciado correspondiente, el cual deberá proveer obligatoriamente al interesado de un adecuado procedimiento de resolución de conflictos.

    9.14. Legislación aplicable.

    La legislación que respalda la interpretación, aplicación y validez de la Política Única de Certificación, es la Ley N° 25.506, el Decreto N° 2628/02 y sus modificatorios, y toda otra norma complementaria dictada por la autoridad competente.

    En ningún caso, la Política Única de Certificación del certificador prevalecerá sobre lo dispuesto por la normativa vigente de firma digital.
    9.15. Conformidad con normas aplicables.

    No aplicable.

    9.16. Cláusulas adicionales.

    No se establecen cláusulas adicionales

    9.17. Otras cuestiones generales.

    No aplicable.