Firma digital Firma digital y documento y documento electrónicoelectrónico

Eduardo Molina Quiroga

DocumentoDocumento

objeto, con una significación determinada, que permite “representar” un hecho o manifestación de voluntad, con posterioridad a su ocurrencia

Elementos del documentoElementos del documento

soporte material método de registro

o conservación de la información.

Soporte documentalSoporte documental

La representación de un hecho mediante un objeto (cosa), para que tenga valor documental, debe expresarse por un medio permanente que permita su reproducción, que es la forma por excelencia de su representación

Método documentaciónMétodo documentación

Cualquier método que permita conservar la información sobre un soporte material resulta apta desde el punto de vista documental (dibujo sobre una tela, grabación de sonido en una cinta magnetofónica, fijación de una imagen en una filmina, la escritura sobre papel, etc).

Firma = autoríaFirma = autoría

Cuando es necesario vincular la declaración registrada en un documento con determinada persona, se busca que el mismo contenga algún elemento sólo atribuíble a este sujeto.

La firma, en sentido amplio, cumple esta función, y por ello se ha utilizado la expresión para diversas modalidades, no siempre coincidentes.

Gestión documentalGestión documental

Desmaterialización de los documentos

en papel

Manejo de documentosManejo de documentos

Normas de la Administración Pública

Nacional

Los documentos electrónicos son Los documentos electrónicos son una realidad en la APNuna realidad en la APN

Resolución SFP Nº 45 del 17 de marzo de 1997

Decreto N° 427/98 (Derogado por Dec. 2628/02

Resolución N° 194/98 SFP

Resolución N° 212/98 SFP

Ley 25.237 Presupuesto Adm. Pca. Nac. año 2000 (Art. 61) SIGEN

DA Nº 102/00

Decreto 673/01 - Secretaría para la Modernización del Estado

Decreto 1023/01 contrataciones públicas

La firma electrónica se usa La firma electrónica se usa

Administración Pública Nacional. Comisión Nacional de Valores Ministerio de Economía Ministerio de Justicia Secretaría de la Funcion Pública Comision Nacional de Energía Atómica. Registro Nacional de Reincidencias Procuración del Tesoro Registro Nacional de Proveedores Comercio Electrónico: e@commerce Correo electrónico A.F.I.P.

En el ámbito privado se ha En el ámbito privado se ha extendido su utilizaciónextendido su utilización

Cajeros autómáticos Venta de pasajes aéreos Banca electrónica Inscripciones en universidades Compras por Internet Comunicación habitual por correo

electrónico Etc.

Por ejemplo en la banca Por ejemplo en la banca electrónicaelectrónica

IHB1.XXX.COM.AR es un Sitio Seguro XXXXXXX S.A.La Seguridad sigue siendo uno de los principales preocupaciones para los

consumidores on-line. El Programa de Sitio Seguro de XXX S.A. le permite a Ud. obtener más información sobre los sitios seguros que visita antes de enviarles información que considera confidencial. Por favor, verifique que la información que aparece en esta página coincide con la información del sitio que Ud. está visitando.

Si la información es correcta, Ud puede enviar información sensible, tales como número de

tarjeta de crédito, con la seguridad que: Este sitio tiene un Server ID emitido por XXX S.A. XXX S.A. ha verificado el nombre de la Organización y que BANCO XXXX

SA ha entregado documentación que demuestra el derecho a su uso. El sitio legitimamente opera bajo el auspicio de BANCO XXX SA. Toda la información enviada a este sitio, si se encuentra bajo una

conexión SSL, se encuentra encriptada, protegida su divulgación hacia terceras partes.

Como es un certificado de sitio Como es un certificado de sitio seguro en la bancaseguro en la banca

Nombre

IHB1.XXX.COM.AR

Status

Valido

Período de Validez

28-NOV-05 - 28-DEC-06

Información de Server ID

Country = AR

State = Buenos Aires

Locality = Capital Federal

Organization = Banco XXXXX SA

Organizational Unit = Banco XXXXX SA

Organizational Unit = Terms of use at www.xxxxx.com/rpa (c) 04

Organizational Unit = Authenticated by XXXXX S.A.

Organizational Unit = Member, XXXXX Trust Network

Common Name = ihb1.XXX.com.ar

Concepto de documento Concepto de documento electrónicoelectrónico

Inalterabilidad (por su efecto de reproducir en el tiempo)

Autenticidad (cuando no ha sufrido

alteraciones tales que varíen su

contenido) Durabilidad (cuando el soporte garantiza

que no habrá modificaciones

irreversibles, o que si las hay dejarán

huella)

Exigencias del documento

Fijación en un soporte electrónico (u Fijación en un soporte electrónico (u óptico) de información, que queda óptico) de información, que queda registrada en la memoria auxiliar del registrada en la memoria auxiliar del computador, incluyendo en este computador, incluyendo en este concepto los medios técnicos concepto los medios técnicos necesarios para la recuperación de la necesarios para la recuperación de la información (hardware y software).información (hardware y software).

Documento electrónico o digital

Admitimos hablar de documento Admitimos hablar de documento digital (o electrónico) en sentido digital (o electrónico) en sentido amplio, que es el formado por el amplio, que es el formado por el ordenador a través de sus propios ordenador a través de sus propios órganos de salida, y es perceptible por órganos de salida, y es perceptible por el hombre, sin intervención de el hombre, sin intervención de máquinas traductorasmáquinas traductoras

Documento electrónicoDocumento electrónico

¿Que es digitalizar ?¿Que es digitalizar ?Digitalizar es convertir algo en números

(Dígitos). Mediante codificación se puede digitalizar texto

(letras) y convertirlas en números.También se puede Digitalizar ,convertir en

números:– Imágenes (fotos). – Imágenes en movimiento (video).– Sonido (voz, música, etc).

Como se digitaliza ?Como se digitaliza ?

Si se trata de texto, mediante un código (tabla ASCII de conversión) en la que a cada letra o símbolo del alfabeto, le corresponde un número.

EJ A= 65 , B= 66 etc.La palabra Justicia quedaría convertida

(digitalizada) así:

74 117 115 116 105 99 105 97

Qué es un bit ?Qué es un bit ?

Podemos imaginarnos un bit como una lamparita que puede estar en uno de los siguientes dos estados:

apagada       encendida

El bit es la unidad mínima de información empleada en informática, en cualquier dispositivo digital, o en la teoría de la información. Con él, podemos representar dos valores cualesquiera, como verdadero o falso, abierto o cerrado, blanco o negro, norte o sur, masculino o femenino, amarillo o azul, etc. Basta con asignar uno de esos valores al estado de "apagado" (0), y el otro al estado de "encendido“ (1)

Numeración BinariaNumeración Binaria En lugar de usar nuestros números con diez simbolos:

0,1,2,3,.....9 , se usa una numeración (Binaria) con solo dos símbolos :

0 y 1 La palabra Justicia quedaría así representada: En lugar de 74 117 115 116 105 99 105 97

1001010 1110101 1110011 1110100 1101001 1100011 1101001 1100001

Así es como realmente se almacena en medios magnéticos, electrónicos y ópticos y así tambien se transmite al cyberespacio.

Documento DigitalDocumento Digital

Es una secuencia de números.

0010010010010101001001001001010

Puede Contener (representar):– Texto– Voz y Sonido– Imágenes (fotos)– Videos

En la En la memoria de la máquinamemoria de la máquina, cuyo contenido o texto está en el lenguaje de la máquina, el que puede ser pasado a lenguaje natural o comprensible para facilitar su utilización o lectura

¿Dónde se ¿Dónde se encuentraencuentra??

Documento formadoDocumento formado porpor lalacomputadoracomputadora (constituye). (constituye).

Documento formado porDocumento formado por mediomedio de la computadorade la computadora (comprueba)(comprueba)

FirmasFirmas FirmaFirma es la prueba de manifestación de la voluntad que es la prueba de manifestación de la voluntad que

permite imputar la autoría (tradicionalmente se asocia permite imputar la autoría (tradicionalmente se asocia a la firma ológrafa) a la firma ológrafa)

Firma electrónicaFirma electrónica es un método o símbolo basado en es un método o símbolo basado en medios electrónicos utilizado con la intención de medios electrónicos utilizado con la intención de vincularse o autenticar un documento. Debe ser vincularse o autenticar un documento. Debe ser probada por quien invoca su validez. probada por quien invoca su validez.

Firma digitalFirma digital es la firma electrónica que utiliza es la firma electrónica que utiliza una técnica segura que identifica fehacientemente al una técnica segura que identifica fehacientemente al firmante del documento electrónico.garantizando la firmante del documento electrónico.garantizando la autenticación, integridad y no repudio del documento autenticación, integridad y no repudio del documento firmado. Es una forma verificable de manifestar la firmado. Es una forma verificable de manifestar la voluntad y que goza de presunciones legales iuris voluntad y que goza de presunciones legales iuris tantum, de autoría y de integridad.tantum, de autoría y de integridad.

Un documento electrónico es fácilmente alterable

No es posible determinar con certeza el autor

No permite reemplazar el papel

Es repudiable

Escenario Actual

Rechazo o negación de una

operación por una de las

partes

Repudio

Integridad

Autoría

Atribuir el documento a su

autorVerificar la no alteración del

contenido

Garantizar el NO REPUDIO

Necesitamos ...

Qué es cifrar ?Qué es cifrar ?

Consiste en Consiste en transformar una información transformar una información (texto claro) en otro ininteligible (texto (texto claro) en otro ininteligible (texto cifrado o cripto)cifrado o cripto), usando una , usando una claveclave determinada, pretendiendo que solo quien determinada, pretendiendo que solo quien conozca dicho procedimiento y clave pueda conozca dicho procedimiento y clave pueda acceder a la información original. acceder a la información original.

La operación inversa se llama La operación inversa se llama DESCIFRARDESCIFRAR

Criptosistema simétrico o de Criptosistema simétrico o de Clave SecretaClave Secreta

Las Las clavesclaves para cifrar o para cifrar o descifrardescifrar son son idénticasidénticas o o facilmente calculables facilmente calculables una a partir de la otra.una a partir de la otra.

Cripsosistema asimétrico o de Clave Pública

Las Las clavesclaves para cifrar o para cifrar o descifrar son descifrar son diferentesdiferentes

y una de ellas es imposible de y una de ellas es imposible de calcular por derivacion de la calcular por derivacion de la otra.otra.

.

Privada

PúblicaPrivadaPrivada

Pública

Clave Clave

Criptografía

Criptografía Simétrica

Criptografía Asimétrica

Firma ElectrónicaFirma Electrónica

Firma electrónica es aquella que identifica a una persona con una clave o un password y le permite desde ingresar a una computadora, hasta acceder a un correo electrónico o a una página web a la que el usuario está abonado.

PúblicaPrivada

Clave Clave

Privada Pública

Pública

Criptografía

Criptografía Simétrica

Criptografía Asimétrica

Firma DigitalFirma Digital La firma Digital es una clave doble: Una parte es Privada (Clave Privada o firma

digital propiamente dicha) que solo debe conocer su poseedor.

Una parte es Pública (Clave Pública) , relacionada con la anterior, para verificaciones.

En sí es un número de más de

300 dígitos. El sistema es tal que el conocimiento de la Clave

pública, no permite deducir la clave privada.

p= 13069322402100655460372905860955471125556555722027918271400496820543230709995361923 026449726342667352298135532444657556071721709079499346407281185886210303

q= 11543291706304854991282053266556482345340381283249361938035635072123140767619879947 055794178155878831076988621881878883273530930538636731138191162287228337

Public Key:n= p*q = 15086300089119274131984091466854446446751437178443907045057674491932959261191279542 29034815151088196647574427605671372595058789251003353085350186857959250414436161702 03299241549726752965481817691505256855094549856968833483708744362754719215241945330 731e= 5

PrivateKey:d= e-1 mod ((p-1)(q-1)) = 60345200356477096527936365867417785787005748713775628180230697967731837044765118169 16139260604352786590297710422685490380235157004013412341400747431837000673240082471 91155159579070501814113387178273006311257361683347763269349066990051396531992163328 742

Criptografía

Firma Digital. DefiniciónFirma Digital. Definición

Firma digital es un bloque de caracteres que acompaña a un documento o fichero acreditando quien es su autor (autenticación) y que no ha existido ninguna manipulación posterior de los datos (integridad).

Para firmar “digitalmente” un documento electrónico, su autor utiliza su propia clave secreta (sist. criptográfico asimétrico), a la que él solo tiene acceso, lo que impide que pueda después negar su autoría (no revocación), lo que se verifica mediante una clave pública.

Firma Digital : Sistema de Claves Asimétrico

Firma Digital Sistema de Claves Asimétrico

Firma Digital : Operación de Firma

Firma Digital : Verificación de la Firma

Firma Digital: ¿Cómo funciona?

Cuando se Firma

Cuando se Verifica

Firma

¿coinciden?

Algoritmo de Hash (MD5 – SHA1)

Pública

Privada

Digesto o huella digital

Firma

Digestos

Certificado De Clave Publica

Firma Digital : Verificación de la Firma

¿ Qué NO es una Firma Digital ?¿ Qué NO es una Firma Digital ?

Una firma digitalizada.

Una firma manuscrita escaneada.

Una contraseña.

Una huella digital.

No tiene que ver con biometría.

No es autenticación solamente.

No es cifrado de datos (confidencialidad).

Funciones de la Firma DigitalFunciones de la Firma Digital

INDICATIVAINDICATIVA: identidad del autorDECLARATIVADECLARATIVA: conformidad del

firmante con su contenidoINTEGRIDAD: se detecta cualquier

alteración del mensajePROBATORIAPROBATORIA: vincula al autor con el

signatario y acredita el contenido en forma indubitable (no repudio)

La firma digital en el mundoLa firma digital en el mundoAntecedentes Legales Internacionales de la Firma Digital

Naciones Unidas - UNCITRAL - Ley Modelo de Firma Digital Directiva 93/1999 de Firma Digital de la Comunidad Europea Ley de Firma Digital de la República Federal Alemana. Ley Reglamentaria de Firma Digital de la República Federal Alemana Ley de Firma Digital de la República Francesa Ley de Firma Digital de Hong Kong Ley de Firma Digital de Perú Ley de Firma Electrónica de Chile Ley de Firma Electrónica de Ecuador Ley de Firma Digital del Estado de Utah, EE.UU.- con Comentario y

Ejemplos de Aplicación. Ley de Firma Digital de EEUU Ley de Colombia Ley española, etc Varios pueden ser consultados en :http://www.cnv.gov.ar/FirmasDig/            

Marco Normativo•Ley 25.506 Firma digital y documento electrónico

•Decreto Nº 2628/02, reglamenta Ley Nº 25.506 crea (artículo 11) el Ente Administrador de Firma Digital (depende Jefatura de Gabinete de Ministros) como órgano técnico administrativo encargado de otorgar las licencias a los certificadores, de supervisar su actividad y dictar las normas tendientes a asegurar el régimen de libre competencia en el mercado de los prestadores y la protección de los usuarios de Firma Digital.

•Decreto Nº 624/03: establece responsabilidad primaria de la Oficina Nacional de Tecnologias de Informacion (ONTI)

•Decreto Nº 1028/03 (modificatorio del Decreto Nº 624/03), disolvió Ente Administrador de Firma Digital y asignó sus funciones a la ONTI junto con la responsabilidad de intervenir en la definición de las normas y procedimientos reglamentarios del régimen de Firma Digital Ley Nº 25.506.

•Decreto Nº 409/05: Subsecretaría de la Gestión Pública es Autoridad de aplicación del régimen normativo de Firma Digital y Entidad Licenciante de Certificadores de FD.

•Decreto Nº 724/06 (modifica Decreto Nº 2628/02, artículos 1º inciso b), 30 y 38) y regula supuestos de aceptación por parte de terceros usuarios de los documentos firmados digitalmente.

•Decisión Administrativa 6/2007 JGM: Establece marco normativo para el otorgamiento y revocación de las licencias a los

certificadores de FD

Consideraciones generales. Certificados

digitales. Certificador licenciado. Titular de un

certificado digital. Organización institucional.

Autoridad de aplicación. Sistema de auditoría.

Comisión Asesora para la Infraestructura de

Firma Digital. Responsabilidad. Sanciones.

Disposiciones Complementarias. Sancionada: 14- Noviembre de 2001

Promulgada de Hecho: 11 Diciembre de 2001

Ley Nº 25.506 Firma Digital y

documento electrónico

Principios que pueden desprenderse de la Ley 25506

Sistema de acreditación obligatorio

Infraestructura de Firma Digital

Autoridad de Aplicación Jefatura de Gabinete de Ministros

Efectos jurídicos de la Firma digital: Presunciones iuris tantum de autoría e integridad

Efectos jurídicos de la Firma electrónica

Neutralidad Tecnológica

Reconocimiento de certificados extranjeros

Protección del consumidor

Sistema de hardware, software, personal, normas y procedimientos que proveen garantías de seguridad para los documentos, transacciones y comunicaciones electrónicas

Infraestructura de FD (PKI)

Firma digital (art. 2 LFD 25.506)Firma digital (art. 2 LFD 25.506)

Se entiende porSe entiende por firma digitalfirma digital al resultado de al resultado de aplicar a un documento digital aplicar a un documento digital unun procedimiento matemáticoprocedimiento matemático que requiere que requiere información deinformación de exclusivo conocimiento del firmanteexclusivo conocimiento del firmante encontrándose esta bajo suencontrándose esta bajo su absoluto controlabsoluto control. . La firma digital debe ser susceptible deLa firma digital debe ser susceptible de verificaciónverificación por terceras partes de modo tal que dicha verificaciónpor terceras partes de modo tal que dicha verificación simultáneamentesimultáneamente permita permita identificar al firmanteidentificar al firmante y y detectar cualquierdetectar cualquier alteración del documentoalteración del documento digital digital posteriorposterior a su firma a su firma..

No tiene efecto enNo tiene efecto en• Disposiciones por causa de muerte• Actos jurídicos Derecho de Familia• Actos personalísimos en general• Cuando se exigen formalidades

incompatibles (por disposición legal o acuerdo de partes). Ej.: escritura pública trasmision ds.reales inmuebles

Qué es un documento digitalQué es un documento digital

• representación digital • de actos o hechos, • con independencia del soporte

utilizado • para su fijación, almacenamiento o

archivoUn documento digital también satisface el

requerimiento de escritura

0010101010110100011110010101010110100011110000

1110000010101010101011110000010101010101010101

Documento digital firmado digitalmente por un certificador(licenciado), quevincula los datos deverificación de firma

a su titular.

Certificado digital (art. 13 LFD)

La Autoridad Certificante XX dice que el Sr. Juan López es titular de la clave pública:

30 81 89 02 81 81 00 bb 1f de 07 33 c1 cb f7 87 b6 d9 ab 78 bb e1 cb ab b4 85 5f be 9a c0 6b 9c cc cd 0a f8 4d 35 49 68 d8 81 2e 38 7a 43 e0 50 a1 18 35 73 83 2a ec 71 96 7f 68 c0 b8 2b a5 41 80 37 8a a6 31 34 95 f6 7d 88 c6 49 15 78 b5 94 92 28 cf f6 a5 01 ad b7 ae 10 51 d7 6a 56 83 6b e0 82 70 56 3a eb 5e 47 21 61 1a aa 31 94 f2 ef bb 66 25 3a 0f c9 b9 7f 11 b0 7a de 6f 6b 6f b2 05 26 7e e3

Válido entre: 01/01/2004 y 31/12/2005No. de serie: 1001

(firma digital de Autoridad Certificante)

Certificados digitales

PresuncionesPresuncionesSe presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma.Se presume, salvo prueba en contrario,que un documento digital no ha sido modificado desde el momento de su firma Si el resultado de un procedimiento de verificación deuna firma digital , aplicado a ese documentoDigital es verdadero

A qué se llama Firma ElectrónicaA qué se llama Firma Electrónica

• conjunto de datos electrónicos• integrados, ligados o asociados• de manera lógica • a otros datos electrónicos,• utilizado por el signatario como su medio

de identificación, • que carezca de alguno de los requisitos

legales para ser considerada firma digital.

Carga prueba:En caso de ser desconocida la firma electrónica corresponde a quien laInvoca acreditar su validez

Efectos firma electrónica

Se presume, salvo prueba en contrario,que un documento digital no ha sido modificado desde el momentode su firma Cuando el procedimiento de verificaciónde una firma digital, aplicado a esedocumento digital indica que esverdadero

Presunción integridad (art. 8 LFD)

• creada durante período vigencia certificado digital válido del firmante

• debidamente verificada según el procedimiento correspondiente

• Si el certificado ha sido emitido o reconocido, por un certificador licenciado.

Validez de la firma digital (art. 9 LFD)

• Se presumirá, • salvo prueba en contrario, • que el documento firmado proviene

del remitente,• cuando un documento digital, enviado

en forma automática,• por un dispositivo programado,• lleve la firma digital del remitente.

Presunción remitente (art. 10 LFD)

Se consideran tales:• Los documentos electrónicos

firmados digitalmente • los reproducidos en formato

digital firmados digitalmente a partir de originales de primera generación en cualquier otro soporte

Documento original (art. 11 LFD)

• Estos documentos electrónicos firmados digitalmente y los reproducidos, etc.

• poseen valor probatorio • como originales • (según los procedimientos que

determine la reglamentación)

Efectos (art. 11 LFD)

Exigencia legal se satisface:• conservación documentos digitales

firmados digitalmente, (según procedimientos reglamentación), siempre que:

• sean accesibles para su posterior consulta

• permite determinar fehacientemente • origen, destino, fecha y hora de su

generación, envío y/o recepción

Conservación documentos (art. 12 LFD)

• Emitidos por certificador licenciado• Formatos estándares reconocidos

internacionalmente (fijados autoridad de aplicación)

• Contener datos que permitan:• Identificar titular • Certificador licenciado que lo emitió• período de vigencia • datos que permitan su identificación

única

Requisitos certificado digital (art. 14)

• Ser susceptible de verificación respecto de su estado de revocación;

• Diferenciar claramente la información verificada de no verificada

• Contemplar la información necesaria para la verificación de la firma;

• Identificar la política de certificación bajo la cual fue emitido.

Requisitos certificado digital (art. 14)

Sistema de Firma Digital

Actores Quien firma (suscriptor)

Quien(es) necesita(n) verificar la firma

(terceros usuarios)

Quien testimonia que una firma digital

pertenece a una cierta persona (entidad

certificadora licenciada)

Quien controla el sistema (Autoridad

Licenciante)

Clases de Certificados

Certificados raíz de autoridad licenciante

Certificados raíz de entidades certificadoras

Certificados de suscriptores personas jurídicas

Certificados de suscriptores personas físicas

DocumentaciónPolítica de Certificación (Certification

Policy): Conjunto de reglas que indican la aplicabilidad de un certificado a un grupo de usuarios o a un sistema en particular.

Manual de Procedimientos de Certificación (Certification Practice Statement): Conjunto de prácticas implementadas por una Certificador en el proceso de emisión de un certificado.

Diferencias entre PC/MPC

Una Política de Certificación establece:

Qué requerimientos de seguridad se implementan en la AC

Un Manual de Procedimientos de Certificación establece:

Cómo se implementan en la práctica esos requerimientos

Política de Certificación (CP) Establece el conjunto de derechos, obligaciones y

responsabilidades de las partes

Es la base para evaluar el grado de confianza de un Certificador respecto a los certificados que emite

Debe ser pública

Debe ser consultada por todas las partes involucradas (suscriptores y terceros usuarios)

Un Certificador puede emitir más de una PC para distintas clases de certificados

Documentación Adicional

Plan de Seguridad Política de Seguridad Manual de Procedimientos de Seguridad

Plan de Contingencias

Plan de Cese de Actividades

Estructura de la Firma DigitalEstructura de la Firma Digital

Personas Q ue S ol ic i tan y obtienene l certi ficado de c lave Pública :

U n a c lave P erson a l (su F irm a)U n a c lave P ú b lica (V erificac ion es )

E ntidades C erti ficantesL icenc iadas

B o lsa d e V a lo res , C om is ió n d e E n erg ía A tó m ica ,M in is te rio d e Ju s tic ia , e tc .

O RG A NIS M O L IC E NC IA NT EA u to rid ad ce rt ifican te ra íz

C on tro la y A u d ita a las E n tid ad es C ertifican tesS ec re ta ría d e la F u n c ió n P ú b lica

Decisión Administrativa 6/2007

objetividad

transparencia no discriminación

Principios que rigen la actividad de los certificadores:

Infraestructura de Firma Digital de la R.A. (IFDRA)Ente licenciante (EL) y su Autoridad Certificante Raíz, (ACr)Certificadores licenciados (CL), incluyendo sus AC y sus Autoridades de Registro (AR)Suscriptores de Certificados Digitales (CD)

Terceros usuarios de Certificados

Estandares operativos IFDRA

Anexos I y II

Estándares tecnológicos de la IFDRA: Anexo III

Acuerdos con suscriptores: Anexo V

Términos y condiciones con terceros usuarios Anexo VI

Aranceles: Anexo VII

Trámite solicitud licenciamiento certificadoresConsentimiento libre, expreso e informado del suscriptor, por escrito. Debe incluir la confirmación de que la información del suscriptor a incluir en el certificado es correcta. Para publicarla debe contar con el consentimiento del suscriptorCertificador Licenciado debe publicar en Internet, en forma permanente e ininterrumpida:

•Actos administrativos otorgamiento y revocacion licencias•Acuerdos con suscriptores (Anexo V: Contenidos mínimos)•Términos y condiciones con terceros usuarios (Anexo VI: Contenidos mínimos)•Para cada una de las políticas de certificación por la cual obtuvo una licencia•Toda otra información relevante relativa a ella.

Domicilio: en territorio de la República Argentina o sede del establecimiento en el cual desempeña en forma permanente, habitual o continuada su actividad.Notificar al Ente Licenciante antes DIEZ (10) días, cualquier modificación que proyecten realizar sobre los aspectos que fueron objeto de revisión para el otorgamiento de su licencia. Eente Licenciante puede aceptar o rechazar dichos cambios.Solo pueden usar “LICENCIADO” los que han cumplido requisitosReconocimiento CERTIFICADOS EXTRANJEROS: el CL debe presentar política de certificación apropiada a los fines de la obtención de la licencia correspondiente, como así también acreditar el cumplimiento de los demás requisitos exigidos.Mantener el REGISTRO actualizado y accesible por Internet de CL y revocaciones.Nº Resolución que concede, renueva o revoca la licencia, Certificado Digital del Certificador Licenciado. identificación del CertificadorDomicilio/números telefónicos/dirección de su sitio en Internet /políticas de certificación del certificador licenciado/Resoluciones que las aprueban. Toda nueva Política de Certificación presentada por dicho certificador licenciado para su licenciamiento y aprobada por el ente licenciante, será incluida en el registro de certificadores mencionado en el presente artículo, con su correspondiente Resolución.Auditorias

ArancelesCertificadores del sector público no pagan arancel de licenciamientoSolicitud licencia única…………………… $ 30.000Licencias adicionales …………………….. $ 15.000Renovacion licencias …………………….. $ 15.000Monto mínimo garantía/seguro caución ….. $ 500.000

Cómo es el trámite de solicitud de licenciamiento (Anexo I)Solicitud firmada por el responsable (persona física o jurídica, organismo o jurisdiccion)

Política de Certificación (PC)

Manual de Política de Certificación (MPC)

Acuerdo tipo con suscriptores

Acuerdo tipo con terceros usuarios

Resumen de la PC/MPC para suscriptores

Política de Privacidad del certificador (Anexo VIII: Contenidos mínimos Política Privacidad)

Direcciones, protocolos y medios para acceder a la información que se publica (certificados, lista de certificados revocados CLRs, etc)

Ejemplos de certificados, CLRs, perfiles de certificados a emitir

Documentación complementaria: (para evaluar consistencia y compatibilidad instalaciones, IT, procedimientos y controles del solicitante respecto PC)

·         Contratos de tercerizacion de servicios

·         Plan de cese de actividades

·         Plan de seguridad

o        Descripción estructura tecnológica

Documentación adicional en caso de personas jurídicas:

·         Garantía de caución

·         Contrato o estatuto social (copia certificada escribano)

·         Ultima acta asamblea o reunion directorio con distribucion cargos (cce)

·         Constancia inscripcion IGJ

·         Constancia inscripcion AFIP

·         Ultimos estados contables auditados CPN

·         Comprobante pago arancel iniciacion trámite

Trámite inicial: Requisitos legales generales

Obligación de información condiciones utilización Certificados Digitales, tramitacion y revocacion y Políticas de Certificación

Garantías (seguros caución para entidades privadas)

Acuerdo entre partes (con suscriptores y terceros usuarios Anexos V yVI)

Contratos de servicios de tercerizacion

Política de Privacidad del Certificador (Contenidos mínimos política de privacidad)

Políticas de Certificación (Requisitos mínimos para PC (Anexo II)) RFC 2527 del IETF (Internet Engineering Task Force=y estándar X9.79 ANSI

Redactada en castellano: No utilizar términos o siglas que no puedan comprender usuarios finales. Si utiliza términos extranjeros, su traducción en castellano

Respetar la estructura del índice del Anexo II

Plataforma tecnológicaCiclo de vida claves criptográficas del Certificador

Generación del par de claves cripotgráficas (no pueden ser inferiores a RSA 2048 bits/DSA 2048 bits/ECDSA 210 bits, en dispositivo cumpla FIPS 140 nivel

3)

Almacenamiento, respaldo y recuperación claves privadas

Distribución claves públicas

Custodia de claves

Utilización claves privadas (deben haber minimo 2 personas para activarlas)

Destrucción claves criptográficas al finalizar ciclo vida

Administracion ciclo vida dispositivos criptográficos (acceso y funcionamiento hardware)

Ciclo de vida certificados suscriptores

Registro y procesamiento solicitud suscriptor

Renovacion

Requerimiento nuevo par de claves

Emisión del certificado

Distribución del certificado

Aceptación del certificado

Revocación del certificado

Suspensión del certificado (no lo permite la LFD)

Procesamiento de la información sobre el estado de un certificado (oportuna, completa y adecuada a disposicion suscriptores y usuarios)

Estructura y contenido de los certificados, CRL y datos verificacion (Perfil mínimo de certificados y listas de certificados revocados –Anexo III)

Especificacion ITU X.509

PREGUNTAS ?PREGUNTAS ?

Muchas gracias.