Infraestructura de Firma Digital REPÚBLICA ARGENTINA. Ley Nº Certificador Licenciado

Transcripción

1 Infraestructura de Firma Digital REPÚBLICA ARGENTINA Ley Nº Certificador Licenciado Manual de Procedimientos de Certificación

2 ACTUALIZACIONES Vsn Fecha Elabora Revisa Descripción Vsn01 17/12/2008 Lic. Patricia Combalia Lic. Patricia Combalia Primera Versión aprobada por Resolución SGP Nº 87/08 Se adecuó la terminología del documento para responder al término de Certificador Licenciado en vez de referenciar a una Autoridad Certificante de una Política específica, con el Vsn02 27/07/2009 Lic. María Eugenia Rodriguez Lic. Patricia Combalia propósito de que este documento sea común a toda Política de Certificación que presente ANSES como Certificador Licenciado. Se incorporaron los Anexos I a IV, estableciéndolos como la parte no pública del Manual de Procedimientos de Certificación. Vsn03 30/09/2009 Lic. María Eugenia Lic. Patricia Combalia Se aplicaron las observaciones que realizara la ONTI en Acta del día 24/09/2009. Rodriguez Vsn04 30/10/2009 Lic. María Eugenia Lic. Patricia Combalia Se aplicaron las observaciones que realizara la ONTI en Acta del día 29/10/2009. Rodriguez Generación de nuevo par de claves después de una revocación - Sin compromiso de clave: Se modificó la obligatoriedad de la verificación de la identidad persona física, dejando su necesidad a criterio de la AR. Vsn05 28/07/2010 Lic. María Eugenia Lic. Patricia Combalia Controles Funcionales Se aclaró que una misma persona puede estar designada en dos roles al mismo tiempo, pero no puede ejercer ambos roles Rodriguez de manera simultánea durante una actividad o situación dada Controles de seguridad del personal Se modificó de acuerdo a lo establecido en el punto Seguridad en la definición de puestos de trabajo y la Página 2 de 66

3 asignación de recursos, del Plan de Seguridad Antecedentes laborales, calificaciones, experiencia e idoneidad del personal Se modificó el primer y segundo párrafo, para guardar coherencia con lo expuesto en el Plan de Seguridad y en el punto 5.3 Controles de Seguridad del personal Requisitos para contratación de personal Se modificó el primer párrafo debido a que la ANSES no contrata personal específicamente para realizar tareas del Certificador Licenciado, sino que designa personal idóneo existente y que realiza otras tareas, además de las referentes a un rol del Certificador Licenciado Archivo permanente de la clave pública Se modificó la periodicidad del Traslado de Cintas de Backups, debido a que los mismos son enviados de manera remota hasta el servidor de Backups ubicado en Contingencia. ANEXO I - Consideraciones propias del Administrador de Dispositivos Criptográficos para Suscriptores 2. ORGANIGRAMA: se cambió la denominación de los Sustitutos, eliminando la categorización de Primario y Secundario. ANEXO V - Ciclo de Vida del Dispositivo Criptográfico de los Suscriptores Formateo del Dispositivo Criptográfico: se modificó este procedimiento para que se ajuste al procedimiento implementado desde la puesta operativa de la aplicación para Administración de Dispositivos Criptográficos Devolución del Dispositivo Criptográfico: se modificó este procedimiento para que se ajuste al procedimiento implementado desde la puesta operativa de la aplicación para Administración de Dispositivos Criptográficos. Vsn06 12/03/2015 Mariano Quesada Jorge Devoto Adecuación del documento a la nueva Política Única de Certificación establecida en la Decisión Administrativa 927/2014 Página 3 de 66

4 1. - INTRODUCCIÓN Descripción general Nombre e Identificación del Documento Participantes Certificador Autoridad de Registro Suscriptores de certificados Terceros Usuarios Uso de los certificados Administración de la Política Responsable del documento Contacto Procedimiento de aprobación del Manual de Procedimientos Definiciones y Acrónimos Definiciones Acrónimos RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS Repositorios Publicación de información del certificador Frecuencia de publicación Controles de acceso a la información IDENTIFICACIÓN Y AUTENTICACIÓN Asignación de nombres de suscriptores Tipos de Nombres Necesidad de Nombres Distintivos Anonimato o uso de seudónimos Reglas para la interpretación de nombres Unicidad de nombres Reconocimiento, autenticación y rol de las marcas registradas Registro inicial Métodos para comprobar la posesión de la clave privada Autenticación de la identidad de Personas Jurídicas Públicas o Privadas Autenticación de la identidad de Personas Físicas Información no verificada del suscriptor Validación de autoridad Criterios para la interoperabilidad Identificación y autenticación para la generación de nuevo par de claves (Rutina de Re Key) Renovación con generación de nuevo par de claves (Rutina de Re Key) Generación de UN (1) certificado con el mismo par de claves Requerimiento de revocación CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS Solicitud de certificado Solicitantes de certificados Solicitud de certificado Procesamiento de la solicitud del certificado Emisión del certificado Proceso de emisión del certificado Notificación de emisión Aceptación del certificado Uso del par de claves y del certificado Uso de la clave privada y del certificado por parte del suscriptor Uso de la clave pública y del certificado por parte de Terceros Usuarios Renovación del certificado sin generación de un nuevo par de claves Renovación del certificado con generación de un nuevo par de claves Página 4 de 66

5 Modificación del certificado Suspensión y Revocación de Certificados Causas de revocación Autorizados a solicitar la revocación Procedimientos para la solicitud de revocación Plazo para la solicitud de revocación Plazo para el procesamiento de la solicitud de revocación Requisitos para la verificación de la lista de certificados revocados Frecuencia de emisión de listas de certificados revocados Vigencia de la lista de certificados revocados Disponibilidad del servicio de consulta sobre revocación y de estado del certificado Requisitos para la verificación en línea del estado de revocación Otras formas disponibles para la divulgación de la revocación Requisitos específicos para casos de compromiso de claves Causas de suspensión Autorizados a solicitar la suspensión Procedimientos para la solicitud de suspensión Límites del periodo de suspensión de un certificado Estado del certificado Características técnicas Disponibilidad del servicio Aspectos operativos Desvinculación del suscriptor Recuperación y custodia de claves privadas CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN Controles de seguridad física Controles de Gestión Controles de seguridad del personal Antecedentes laborales, calificaciones, experiencia e idoneidad del personal Entrenamiento y capacitación inicial Frecuencia de procesos de actualización técnica Frecuencia de rotación de cargos Sanciones a aplicar por acciones no autorizadas Requisitos para contratación de personal Documentación y materiales provistos al personal Procedimientos de Auditoría de Seguridad Conservación de registros de eventos Cambio de claves criptográficas Plan de respuesta a incidentes y recuperación ante desastres Plan de Cese de Actividades CONTROLES DE SEGURIDAD TECNICA Generación e instalación del par de claves criptográficas Generación del par de claves criptográficas Entrega de la clave privada Entrega de la clave pública al emisor del certificado Disponibilidad de la clave pública del certificador Tamaño de claves Generación de parámetros de claves asimétricas Propósitos de utilización de claves (campo KeyUsage en certificados X.509 v.3) Protección de la clave privada y controles sobre los dispositivos criptográficos Controles y estándares para dispositivos criptográficos Control M de N de clave privada Recuperación de clave privada Copia de seguridad de clave privada Página 5 de 66

6 Archivo de clave privada Transferencia de claves privadas en dispositivos criptográficos Almacenamiento de claves privadas en dispositivos criptográficos Método de activación de claves privadas Método de desactivación de claves privadas Método de destrucción de claves privadas Requisitos de los dispositivos criptográficos Otros aspectos de administración de claves Archivo permanente de la clave pública Período de uso de clave pública y privada Datos de activación Generación e instalación de datos de activación Protección de los datos de activación Otros aspectos referidos a los datos de activación Controles de seguridad informática Requisitos Técnicos específicos Requisitos de seguridad computacional Controles Técnicos del ciclo de vida de los sistemas Controles de desarrollo de sistemas Controles de gestión de seguridad Controles de seguridad del ciclo de vida del software Controles de seguridad de red Certificación de fecha y hora PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS Perfil del certificado Número de versión Extensiones Identificadores de algoritmos Formatos de nombre Restricciones de nombre OID de la Política de Certificación Sintaxis y semántica de calificadores de Política Semántica de procesamiento para extensiones críticas Perfil de la lista de certificados revocados Número de versión Extensiones de CRL (Lista de Certificados Revocados) Perfil de la consulta en línea del estado del certificado Consultas OCSP Respuestas OCSP AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES Procedimiento de Auditoría Interna ASPECTOS LEGALES Y ADMINISTRATIVOS Aranceles Responsabilidad Financiera Confidencialidad Información confidencial Información no confidencial Responsabilidades de los roles involucrados Privacidad Derechos de Propiedad Intelectual Responsabilidades y garantías Deslinde de responsabilidad Limitaciones a la responsabilidad frente a terceros Compensaciones por daños y perjuicios Página 6 de 66

7 Condiciones de vigencia Avisos personales y comunicaciones con los participantes Gestión del ciclo de vida del documento Procedimientos de cambio Mecanismo y plazo de publicación y notificación Condiciones de modificación del OID Procedimientos de resolución de conflictos Legislación aplicable Conformidad con normas aplicables Cláusulas adicionales Otras cuestiones generales Página 7 de 66

8 1. - INTRODUCCIÓN Descripción general El presente Manual de Procedimiento de Certificación tiene por objetivo definir y describir las actividades necesarias para implementar los servicios de certificación del Certificador Licenciado, estableciendo a su vez las responsabilidades de cada uno de los roles participantes. En el presente documento además de los roles específicos del Certificador Licenciado, se tienen en cuenta otros actores que desempeñan sus funciones en procedimientos de carácter general en ANSES y que son citados cuando el proceso de igual carácter amerite su participación. El Manual de Procedimiento de Certificación es un documento técnico administrativo que involucra aspectos de carácter normativo, organizativo y técnico operativo, para que las Autoridades Certificantes del Certificador Licenciado den cumplimiento a sus Políticas de Certificación. Las diferentes Autoridades Certificantes de este Certificador Licenciado comparten la misma infraestructura tecnológica, previa aprobación por parte del ente licenciante. Sus principales aportes serán, entre otros: - Facilitar el conocimiento de las acciones que involucra la operatoria de la Infraestructura de Firma Digital. - Auxiliar en el adiestramiento y capacitación del personal, por describir en forma detallada las actividades de cada rol. - Uniformar y controlar el cumplimiento de las rutinas de trabajo y evitar su alteración arbitraria. - Determinar en forma sencilla las responsabilidades por fallas o errores. Página 8 de 66

9 - Facilitar las labores de auditoría y evaluación del control interno. - Ayudar a la coordinación de actividades. - Construir una base de análisis para el mejoramiento de los mismos. Este documento fue elaborado de conformidad con la Ley Nº , su Decreto Reglamentario Nº 2628/2002 y la Decisión Administrativa 927/2014 de la JGM Nombre e Identificación del Documento Nombre: Manual de Procedimiento de Certificación Versión: 3.0 Fecha: [completar luego de su aprobación por parte de la Autoridad de Aplicación] Lugar: Buenos Aires, Argentina Participantes Certificador ANSES en su calidad de Certificador Licenciado, desarrolla las tareas de emisión de certificados digitales según lo establecido por la Ley y sus normas complementarias Autoridad de Registro Las tareas relacionadas con la identificación y autenticación de los solicitantes y suscriptores, la verificación y guarda de la documentación probatoria son realizadas por la Autoridad de Registro. Las Autoridades de Registro habilitadas se publicarán en los sitios mencionados en el punto Autoridad de Registro de la correspondiente Política Única de Certificación Suscriptores de certificados Esta Administración Nacional, en carácter de Certificador Licenciado, emitirá certificados digitales a los suscriptores de sus Políticas de Certificación, a través de las Autoridades Certificantes que forman parte de su infraestructura tecnológica, de acuerdo a lo establecido en Página 9 de 66

10 los puntos Suscriptores de certificados digitales y Uso de los certificados de la Política Única de Certificación correspondiente Terceros Usuarios Son Terceros Usuarios de los certificados emitidos bajo la presente Política Única de Certificación, toda persona física o jurídica que recibe un documento firmado digitalmente y que genera una consulta para verificar la validez del certificado digital correspondiente, de acuerdo al Anexo I del Decreto N 2628 del 19 de diciembre de En el caso de los certificados de sitio seguro, serán Terceros Usuarios quienes verifiquen el certificado del servidor Uso de los certificados Los certificados emitidos por el Certificador Licenciado, sólo podrán ser utilizados de acuerdo a lo estipulado en el punto Uso de los certificados de la Política Única de Certificación Administración de la Política Responsable del documento Este Manual de Procedimientos es administrado por: - Dirección de Seguridad Informática, de la Dirección General de Informática e Innovación Tecnológica de ANSES representada por su Director a cargo. - Domicilio: Piedras 353, (C1070AAG) Ciudad Autónoma de Buenos Aires, Argentina - Correo electrónico: firmadigital@anses.gov.ar - Teléfono: (011) Contacto Para realizar preguntas, efectuar reclamos o enviar sugerencias referidos al proceso de certificación el interesado deberá dirigirse a: - Mesa de Servicios de la Dirección General de Informática e Innovación Tecnológica de ANSES representada por el Coordinador a cargo. - Domicilio: Piedras 353, (C1070AAG) Ciudad Autónoma de Buenos Aires, Argentina Página 10 de 66

11 - - Teléfono: (011) Procedimiento de aprobación del Manual de Procedimientos El Manual de Procedimientos ha sido presentado ante el ente licenciante durante el proceso de adecuación, aprobado por acto administrativo:. y por el cual se obtuvo la licencia, la RESOLUCIÓN SGGP Nº 87 del 17 de diciembre del Definiciones y Acrónimos Definiciones Según lo descripto en el punto Definiciones de la Política Única de Certificación del Certificador Licenciado Acrónimos Según lo descripto en el punto Acrónimos de la Política Única de Certificación del Certificador Licenciado RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS Se detallan a continuación las responsabilidades del certificador y de todo otro participante respecto al mantenimiento de repositorios, publicación de certificados y de información sobre sus políticas y procedimientos Repositorios Los repositorios de información y la publicación de la Lista de Certificados Revocados son administrados en forma directa por la ANSES Publicación de información del certificador Según lo descripto en el punto Publicación de información del certificador de la Política Única de Certificación del Certificador Licenciado. Página 11 de 66

12 La configuración de publicación de las CRLs del Certificador Licenciado se encuentra descrito en el punto 3.- Configuración aplicada a las tareas programadas de publicación de la CRL, del ANEXO VIII Configuración Aplicada a los Servidores que componen la Infraestructura de la AC, del presente manual. Este Manual de Procedimientos de Certificación reviste el carácter de público, exceptuando los anexos: - Anexo I Consideraciones propias del Administrador de Dispositivos Criptográficos para Suscriptores. - Anexo II Administración del HSM - Anexo III Administración de los Servidores que componen la Infraestructura de la AC - Anexo IV - Emisión de Certificado Digital de la Autoridad de Registro - Anexo V - Ciclo de Vida del Dispositivo Criptográfico de los Suscriptores - Anexo VI - Ciclo de Vida de Información del Suscriptor - Anexo VII Esquema de Red de los Servidores que componen la Infraestructura de la AC - Anexo VIII Configuración Aplicada a los Servidores que componen la Infraestructura de la AC - Anexo IX Acuerdo de Confidencialidad Frecuencia de publicación Se garantiza la actualización inmediata del repositorio cada vez que cualquiera de los documentos publicados sea modificado Controles de acceso a la información Se garantizan los controles de los accesos al certificado del certificador, a la Lista de Certificados Revocados y a las versiones anteriores y actualizadas de la Política Única de Certificación y a su Manual de Procedimientos (excepto en sus aspectos confidenciales). Solo se revelará información confidencial o privada, si es requerida judicialmente o en el marco de procedimientos administrativos. Página 12 de 66

13 3. - IDENTIFICACIÓN Y AUTENTICACIÓN Asignación de nombres de suscriptores Tipos de Nombres No se establecen restricciones a los nombres que pueden ser incluidos dentro de los certificados, en tanto se correspondan con la documentación probatoria exigida para la emisión de certificados, de la Política Única de Certificación que enmarca la emisión de dicho certificado digital Necesidad de Nombres Distintivos Según lo descripto en el punto Necesidad de Nombres Distintivos de la Política Única de Certificación del Certificador Licenciado Anonimato o uso de seudónimos No se emitirán certificados anónimos o cuyo Nombre Distintivo contenga UN (1) seudónimo. Todos los nombres representados dentro de los certificados emitidos bajo la presente política coinciden con los del correspondiente documento personal. En casos de coincidencia de nombres, el método de resolución será la combinación del Nombre común con los atributos Número de serie Reglas para la interpretación de nombres Según lo descripto en el punto Reglas para la interpretación de nombres de la Política Única de Certificación del Certificador Licenciado Procedimiento de resolución de disputas sobre nombres Roles que participan - Responsable de Firma Digital. - Autoridad de Registro. - Solicitante Página 13 de 66

14 Evento Iniciador: - Conflicto en la utilización y titularidad de nombres en los certificados de suscriptores. Actividades - El solicitante presenta su reclamo a través de nota fehaciente ante la Autoridad de Registro. - La Autoridad de Registro evalúa y convoca a una reunión al Responsable de Firma Digital. - Los roles intervinientes dirimen la disputa tomando como criterio respecto a Unicidad, lo establecido en el punto Reglas para la interpretación de nombres, de la Política Única de Certificación dentro de la que se enmarca la emisión del certificado digital. - Dejan sentado Disputa Dirimida en Libro de Actas de la Autoridad de Registro. - La Autoridad de Registro comunica al solicitante. Salidas - Identificación de los campos a aplicar en el certificado digital, que conformarán el nombre del titular Unicidad de nombres El nombre distintivo de cada certificado es único para cada suscriptor. En caso de existir coincidencia de nombre distintivo de dos o más suscriptores, la unicidad queda resuelta por medio de los atributos citados en el punto Reglas para la interpretación de nombres de la Política Única de Certificación del Certificador Licenciado Reconocimiento, autenticación y rol de las marcas registradas Según lo descripto en el punto Reconocimiento, autenticación y rol de las marcas registradas de la Política Única de Certificación del Certificador Licenciado Registro inicial Se describen los procedimientos a utilizar para autenticar, como paso previo a la emisión de UN (1) certificado, la identidad y demás atributos del solicitante que se presente ante el certificador o ante la Autoridad de Registro operativamente vinculada. Se establecen los Página 14 de 66

15 medios admitidos para recibir los requerimientos de certificados y para comunicar su aceptación. El certificador DEBE cumplir con lo establecido en: a) El artículo 21, inciso a) de la Ley de Firma Digital Nº y el artículo 34, inciso e) de su reglamentario, Decreto Nº 2628/02, relativos a la información a brindar a los solicitantes. b) El artículo 14, inciso b) de la Ley de Firma Digital Nº relativo a los contenidos mínimos de los certificados Métodos para comprobar la posesión de la clave privada Roles que participan - Solicitante / Suscriptor. Requisitos/Condiciones - Dispositivo criptográfico inicializado, operativo y con controladores instalados. - Aplicación de la Autoridad Certificante. - El solicitante / suscriptor es partícipe directo y necesario en la generación de su par de claves criptográficas asimétricas. Eventos Iniciadores: - Verificación de la posesión de la clave privada del solicitante / suscriptor. Actividades - El solicitante/suscriptor, durante el proceso de solicitud, genera y almacena el par de claves en su dispositivo criptográfico. - Los datos de la solicitud y el requerimiento con la clave pública del solicitante / suscriptor, en formato PKCS#10, son enviados a la aplicación de la Autoridad Certificante. - La aplicación de la Autoridad Certificante valida el requerimiento PKCS#10. - En caso de ser correcto el formato, la aplicación de la Autoridad Certificante entrega al solicitante / suscriptor un recibo de solicitud incluyendo el resumen criptográfico (huella SHA-1). Página 15 de 66

16 - El solicitante / suscriptor debe imprimir el recibo de solicitud para entregar a la Autoridad de Registro en el proceso de identificación y autenticación. - El proceso continúa en el punto Autenticación de la identidad de las personas físicas Salidas - Par de claves criptográficas asimétricas, generadas y almacenadas en el dispositivo criptográfico. - Recibo de Solicitud, con el requerimiento con la clave pública del solicitante, en formato PKCS# Autenticación de la identidad de Personas Jurídicas Públicas o Privadas No aplicable Autenticación de la identidad de Personas Físicas Roles que participan - Solicitante / Suscriptor - Autoridad de Registro. Requisitos/Condiciones - Aplicación de la Autoridad Certificante. - Solicitud de certificado pendiente de validación. - Documentación exigida en el punto Autenticación de la identidad de las personas físicas de la Política Única de Certificación del Certificador Licenciado. - Para los casos de renovación, la Autoridad de Registro podrá requerir, ante dudas de la verificación realizada con anterioridad, que el suscriptor se presente nuevamente para acreditar identidad. - La identificación y autenticación de las personas que desempeñan el rol de Autoridad de Página 16 de 66

17 Registro la realizará una Autoridad de Registro que designe la Máxima Autoridad de la ANSES, siguiendo los pasos de autenticación de este procedimiento. Eventos Iniciadores: - El solicitante / suscriptor se presenta ante la Autoridad de Registro para acreditar identidad. Actividades: - El solicitante / suscriptor se presenta personalmente frente a la Autoridad de Registro, para acreditar fehacientemente su identidad, con la documentación exigida en el punto Autenticación de la identidad de las personas físicas de la Política Única de Certificación del Certificador Licenciado. - La Autoridad de Registro verificará la identidad del solicitante / suscriptor, la documentación que presenta y el resumen criptográfico (huella SHA-1) vinculada con la solicitud, así como toda otra información contenida en la solicitud. - En caso de aplicar, el solicitante / suscriptor firma delante de la Autoridad de Registro una copia impresa del Acuerdo con Suscriptores. - La Autoridad de Registro devolverá el documento de identidad al solicitante / suscriptor, y dará constancia de recepción (sello junto con inicialización) de la fotocopia del documento Recibo de Solicitud. - La Autoridad de Registro procederá a registrar en el Libro de Actas de la Autoridad de Registro la verificación de identidad realizada. - Posteriormente, la Autoridad de Registro procederá a evaluar la solicitud realizada por el solicitante/suscriptor. - La aceptación o rechazo de la solicitud será informada al solicitante / suscriptor por correo electrónico y también podrá consultar su estado a través de la aplicación de la Autoridad Certificante. El proceso continúa en el punto Emisión del Certificado. Salidas - La Autoridad de Registro procederá a archivar toda la documentación como respaldo del Página 17 de 66

18 proceso de validación, según lo previsto en el apartado Relacionadas con el almacenamiento, manipulación, archivo y destrucción de documentos de las Pautas de la Autoridad de Registro del Certificador Licenciado. - La solicitud aprobada o rechazada y enviada a la AC Información no verificada del suscriptor En el caso de certificados digitales de personas físicas, la renovación en este apartado aplica a la emisión de UN (1) nuevo certificado sin que haya un cambio en la clave pública o en ningún otro dato del suscriptor. La renovación se podrá realizar siempre que el certificado se encuentre vigente. A los fines de la obtención del certificado, no se exigirá la presencia física del suscriptor, debiendo éste remitir la constancia firmada digitalmente del inicio del trámite de renovación Validación de autoridad No aplicable Criterios para la interoperabilidad Los certificados emitidos pueden ser utilizados por sus titulares en forma interoperable para firmar digitalmente cualquier documento o transacción, así como para autenticación o cifrado Identificación y autenticación para la generación de nuevo par de claves (Rutina de Re Key) Renovación con generación de nuevo par de claves (Rutina de Re Key) Roles que participan - Suscriptor Requisitos/Condiciones - Dispositivo criptográfico FIPS Nivel 2 inicializado, operativo y con controladores instalados. - Certificado digital vigente. Página 18 de 66

19 Eventos Iniciadores: - Suscriptor requiere generar un nuevo par de claves. Actividades: - El suscriptor conectará su dispositivo criptográfico en el puerto USB de su equipamiento informático. - El suscriptor procederá a solicitar un nuevo certificado, según lo previsto en Solicitud de certificado de la Política Única de Certificación dentro de la cual se enmarca la emisión del certificado digital. - El suscriptor procederá a retirar su dispositivo criptográfico del puerto USB. Salidas - Nuevo par de claves generadas y almacenadas en dispositivo criptográfico. - Recibo de Solicitud de Emisión Generación de UN (1) certificado con el mismo par de claves En el caso de certificados digitales de personas físicas, la renovación en este apartado aplica a la emisión de UN (1) nuevo certificado sin que haya un cambio en la clave pública o en ningún otro dato del suscriptor. La renovación se podrá realizar siempre que el certificado se encuentre vigente. A los fines de la obtención del certificado, no se exigirá la presencia física del suscriptor, debiendo éste remitir la constancia firmada digitalmente del inicio del trámite de renovación. Roles que participan - Suscriptor Requisitos/Condiciones - Dispositivo criptográfico FIPS Nivel 2 inicializado, operativo y con controladores instalados. - Certificado digital vigente. Página 19 de 66

20 Eventos Iniciadores: - Suscriptor requiere generar un nuevo certificado con el mismo par de claves. Actividades: - El suscriptor conectará su dispositivo criptográfico en el puerto USB de su equipamiento informático. - El suscriptor procederá a solicitar un nuevo certificado, según lo previsto en Solicitud de certificado de la Política Única de Certificación dentro de la cual se enmarca la emisión del certificado digital. - El suscriptor procederá a retirar su dispositivo criptográfico del puerto USB. Salidas - Nuevo certificado con el mismo par de claves generadas oportunamente y almacenadas en dispositivo criptográfico. - Recibo de Solicitud de Emisión Requerimiento de revocación Roles que participan - Suscriptor. - Autoridad de Registro - Administración Nacional. Requisitos/Condiciones - El solicitante debe poseer un certificado digital vigente. - Aplicación de la Autoridad Certificante. - Los sitios web desde donde se puede acceder a la aplicación de la Autoridad Certificante se encuentran disponibles las 24 horas los 7 días de la semana, durante todo el año, lo que permite servicios de revocación en horarios no habituales de jornada laboral, como así también fines de semana y feriados. - Será responsabilidad del Área con competencia en Recursos Humanos de la ANSES o bien Página 20 de 66

21 del Organismo o institución externa con quien esta Administración Nacional haya celebrado un Convenio de Prestación de Servicio de Certificación de Certificados Digitales, notificar a la Autoridad de Registro que corresponda, de los cambios relacionados con la persona del suscriptor tales como, renuncia del suscriptor, cambio de funciones del suscriptor y otros temas relacionados, de manera tal que la Autoridad de Registro proceda a iniciar la solicitud de revocación inmediata del certificado. - La Autoridad de Registro Central de la ANSES, tiene autoridad y capacidad tecnológica para solicitar la revocación del cualquier certificado emitido por una Autoridad Certificante del Certificador Licenciado. Eventos Iniciadores - El suscriptor podrá iniciar la solicitud de revocación, según lo indicado en el Causas de revocación de la Política Única de Certificación del Certificador Licenciado. - La Autoridad de Registro podrá iniciar de oficio la solicitud de revocación de certificados, según lo indicado en el Causas de revocación de la Política Única de Certificación del Certificador Licenciado. - Por decisión de esta Administración Nacional. Actividades: Iniciadas por el suscriptor a través de la aplicación de la Autoridad Certificante: - El suscriptor procede a ingresar a la aplicación de la Autoridad Certificante, selecciona el certificado vigente a revocar y procede a solicitar su revocación. - El proceso continúa en el punto Procedimiento para la solicitud de revocación. - El suscriptor imprime el Recibo de Solicitud de Revocación y lo remite a la Autoridad de Registro para su archivo en su carpeta. - En caso de que el Suscriptor posea un certificado emitido bajo la Política Única de Certificación que en su punto Solicitud de certificado incluya la generación de un PIN de Revocación, éste podrá ser utilizado para realizar la revocación del certificado Página 21 de 66

22 vigente, según lo establecido en el punto Requerimiento de revocación de la misma Política Única de Certificación. Iniciadas por la Autoridad de Registro a solicitud del suscriptor: - La Autoridad de Registro procede a ingresar a la aplicación de la Autoridad Certificante y selecciona el certificado perteneciente al suscriptor. - La Autoridad de Registro realiza la solicitud de revocación, firmándola digitalmente. - El proceso continúa en el punto Procedimiento para la solicitud de revocación. - La Autoridad de Registro imprime el Recibo de Solicitud de Revocación y lo archiva en la carpeta del suscriptor. - La Autoridad de Registro deja constancia en el Libro de Actas de la Autoridad de Registro la revocación realizada y el motivo de la misma. Iniciadas por la Autoridad de Registro (de oficio o por decisión de esta Administración Nacional): - La Autoridad de Registro procede a ingresar a la aplicación de la Autoridad Certificante, selecciona el certificado perteneciente al suscriptor e inicia, con su solicitud, el proceso automático de revocación. - El proceso continúa en el punto Procedimiento para la solicitud de revocación. - La Autoridad de Registro imprime el Recibo de Solicitud de Revocación y lo archiva en la carpeta del suscriptor. - La Autoridad de Registro deja constancia en el Libro de Actas de la Autoridad de Registro la revocación realizada y el motivo de la misma. Salidas: - Certificado Revocado. - Recibo de Solicitud de Revocación CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS Solicitud de certificado Página 22 de 66

23 Solicitantes de certificados Se describen las condiciones que deben cumplir los solicitantes de certificados Solicitud de certificado El proceso de solicitud de emisión de certificado debe ser iniciado exclusivamente por el solicitante, quien debe acreditar fehacientemente su identidad. Para poder efectuar la solicitud de un certificado, los solicitantes deben: a) Estar conectados a la red interna y haber iniciado sesión en el dominio de ANSES. b) Utilizar un sistema operativo Windows 2000, XP, 7 o superior. c) Utilizar Internet Explorer versión 6.0 o superior como navegador. d) Estar autorizado para acceder a la aplicación de la Autoridad Certificante. e) Poseer un dispositivo criptográfico inicializado, operativo y con controladores instalados. Para iniciar el pedido de emisión del certificado, el solicitante debe ingresar al sitio Intranet de ANSES y seleccionar el enlace a la aplicación de la Autoridad Certificante. La aplicación de la Autoridad Certificante verifica que la estación de trabajo del solicitante cumple con los requerimientos técnicos mínimos y presenta la pantalla del proceso de solicitud y a continuación muestra el Acuerdo con Suscriptores. El solicitante deberá aceptar el Acuerdo con Suscriptores para poder continuar con el proceso. La aplicación de la Autoridad Certificante, utilizando la identificación del usuario con sesión activa en la estación de trabajo, obtendrá la información personal y laboral desde las bases de datos de Recursos Humanos de esta Administración Nacional. La siguiente información es presentada al solicitante para su verificación: a) UserID b) Apellidos y Nombres c) Correo electrónico d) CUIL e) Cargo f) Dependencia y Área g) Localidad y Provincia Página 23 de 66

24 h) Observaciones i) País Procesamiento de la solicitud del certificado Roles que participan - Solicitante. Requisitos/Condiciones - El solicitante debe poseer un dispositivo criptográfico inicializado, operativo y con controladores instalados, para lo cual debe proceder según lo detallado en el ANEXO V - Ciclo de Vida del Dispositivo Criptográfico de los Suscriptores de este Manual de Procedimientos. - Cumplir con los requisitos mínimos de configuración de hardware y software detallados en el sitio web de la Aplicación de la Autoridad Certificante. - Aplicación de la Autoridad Certificante. - Cualquier otro requisito o condición detallados en el punto Solicitud de certificado de la de la Política Única de Certificación del Certificador Licenciado. Evento Iniciadores: - El proceso de solicitud de emisión de certificado debe ser iniciado exclusivamente por el solicitante, quien debe acreditar fehacientemente su identidad según se indica en Autenticación de la identidad de las personas físicas. Actividades: - Para iniciar la solicitud de emisión de su certificado, el solicitante deberá conectar el dispositivo criptográfico a su estación de trabajo y luego ingresar a la aplicación de la Autoridad Certificante con su userid, de acuerdo al sistema de autenticación descrito en el punto Solicitud de certificado de la Política Única de Certificación del Certificador Licenciado. - La aplicación de la Autoridad Certificante verifica que la estación de trabajo del solicitante Página 24 de 66

25 cumple con los requerimientos técnicos mínimos. - En caso de que lo requisitos técnicos se cumplan, la aplicación de la Autoridad Certificante asocia al solicitante con la Autoridad de Registro que le corresponde, según el mecanismo de asociación descrito en el punto Solicitud de certificado de la Política Única de Certificación del Certificador Licenciado, y procede a mostrar a continuación el Acuerdo con Suscriptores. - El solicitante toma conocimiento del Acuerdo con Suscriptores, conformando, cuando aplique, el acto administrativo de Aceptación al firmar dicho acuerdo en presencia de la Autoridad de Registro, cuando se presenta para acreditar identidad. - A continuación del paso anterior, la aplicación de la Autoridad Certificante presentará una pantalla donde el solicitante, dependiendo de lo establecido en el punto Solicitud de certificado de la Política Única de Certificación del Certificador Licenciado, deberá: a. Chequear que la información presentada sea correcta y, en caso de haber errores, solicitar una modificación de la siguiente forma: Nota: Esto aplica únicamente para las personas físicas que desempeñan funciones en esta Administración Nacional. En caso de que dichas personas no figuren en la base de datos de Recursos de Humanos, deberán regularizar su situación ante dicha gerencia siguiente el procedimiento establecido por esta, antes de poder realizar una solicitud de emisión de Certificado Digital, pues la aplicación sólo trabaja con la información existente en la base de datos de Recursos Humanos. i. Seleccionar el botón Modificar, con lo que se habilitarán los campos para que se realicen las modificaciones necesarias. ii. Seleccionar la opción Enviar, con lo que la aplicación remitirá la solicitud de modificación de datos a la Autoridad de Registro, para que la misma gestione su corrección. Página 25 de 66

26 iii. El proceso de Solicitud de Emisión finaliza hasta tanto los datos no sean corregidos. b. Completar los campos con la información correcta. - Constatado que la información presentada en los campos del formulario de solicitud esté correcta, el solicitante selecciona la opción Enviar. La aplicación de la Autoridad Certificante requiere que el solicitante realice la generación de un par de claves criptográficas asimétricas. - Luego, la aplicación de la Autoridad Certificante remite los datos de la solicitud y el requerimiento con la clave pública del solicitante, en formato PKCS#10, a la Autoridad de Registro para su evaluación. - El solicitante debe imprimir el recibo de solicitud que incluye el resumen criptográfico (huella SHA-1), para entregar a la Autoridad de Registro en el proceso de identificación y autenticación. Para el caso de las Políticas de Certificación que así lo establezcan en su punto Solicitud de certificado, el solicitante deberá tomar nota del PIN de Revocación que se genera al realizar una Solicitud de Emisión. Este PIN de Revocación podrá ser recuperado, en caso de extravío por parte del suscriptor, ingresando en la aplicación desde los sitios definidos en el punto Publicación de información del certificador de la Política Única de Certificación correspondiente, y seleccionando el certificado vigente. - Luego, la aplicación de la Autoridad Certificante, envía notificaciones de correo electrónico a los siguientes actores: a) Al solicitante, a los efectos de informar la documentación a entregar ante la Autoridad de Registro, según lo indicado en Autenticación de la identidad de las personas físicas, y los plazos para presentarse (30 días hábiles a partir de emitida la solicitud). b) A la Autoridad de Registro a fin de informar una nueva solicitud de emisión. Página 26 de 66

27 Salidas - Par de claves criptográficas asimétricas generadas y almacenadas en el dispositivo criptográfico para suscriptores. - Recibo de solicitud, que incluye el resumen criptográfico (huella SHA-1). - El proceso continúa como se describe en Autenticación de la identidad de las personas físicas Emisión del certificado Proceso de emisión del certificado Roles que participan - Administración Nacional Requisitos/Condiciones - Servicio de Certificación de la Autoridad Certificante habilitada y lista para firmar certificados y CRLs. - Aplicación de la Autoridad Certificante. Eventos Iniciadores: - Aprobación de solicitud de emisión de certificado, según lo actuado en Solicitud de certificado. - Aprobación de solicitud de renovación de certificado, según lo actuado en Renovación del certificado sin generación de un nuevo par de claves. Actividades - La aplicación de la Autoridad Certificante verifica la firma digital de las aprobaciones realizadas por las Autoridades de Registro. - La aplicación de la Autoridad Certificante remite el requerimiento con la clave pública del solicitante/suscriptor, en formato PKCS#10, al Servicio de Certificación de la Autoridad Certificante. - El Servicio de Certificación de la Autoridad Certificante emite el correspondiente certificado, Página 27 de 66

28 firmándolo digitalmente con su clave privada. - A continuación, la aplicación de la Autoridad Certificante envía un mail al suscriptor, notificándole que su certificado ha sido emitido. El Certificado Digital será un adjunto del mail. - La aplicación de la Autoridad Certificante, una vez que se emitió el certificado, eliminará automáticamente el requerimiento PKCS#10 asociado a ese certificado con el fin de evitar que se genere un nuevo certificado con dicho requerimiento. - El proceso continúa como se describe en Aceptación del certificado. Salidas - Certificado digital firmado digitalmente por el Servicio de Certificación de la Autoridad Certificante Notificación de emisión Lo relacionado a este punto se detalla en el apartado siguiente, Aceptación del certificado de este Manual de Procedimientos Aceptación del certificado Roles que participan - Suscriptor Requisitos/Condiciones - Certificado digital firmado digitalmente por el Servicio de Certificación de la Autoridad Certificante. Eventos Iniciadores: - Notificación de la emisión del certificado digital. Actividades: - El suscriptor, una vez notificado de la emisión de un certificado a su nombre, deberá descargar el certificado desde: a) el archivo adjunto del correo electrónico donde recibe la notificación. Página 28 de 66

29 b) la aplicación de Autoridad Certificante. - En ambos casos, el suscriptor debe controlar su contenido. - En caso de que existiera algún error u omisión en los datos del suscriptor contenidos en el certificado, deberá informarlo inmediatamente a la Autoridad de Registro para que ésta proceda a solicitar su revocación. - Ante la ausencia de reclamos frente la Autoridad de Registro, por parte del suscriptor en cuanto a los datos del certificado, esta Administración Nacional asume la exactitud del contenido del certificado y que el suscriptor acepta la totalidad de las obligaciones y responsabilidades establecidas por la Política Única de Certificación dentro de la cual se enmarca la emisión del certificado digital. Salidas - Certificado en poder del suscriptor Uso del par de claves y del certificado Uso de la clave privada y del certificado por parte del suscriptor Según lo establecido en la Ley Nº , en su artículo 25, el suscriptor debe: a) Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación; b) Utilizar UN (1) dispositivo de creación de firma digital técnicamente confiable; c) Solicitar la revocación de su certificado al certificador ante cualquier circunstancia que pueda haber comprometido la privacidad de sus datos de creación de firma; d) Informar sin demora al certificador el cambio de alguno de los datos contenidos en el certificado digital que hubiera sido objeto de verificación. De acuerdo a lo establecido en la Decisión Administrativa 927/2014: Proveer toda la información que le sea requerida a los fines de la emisión del certificado de modo completo y preciso. Utilizar los certificados de acuerdo a los términos y condiciones establecidos en la presente Política Única de Certificación. Página 29 de 66

30 Tomar debido conocimiento, a través del procedimiento previsto en cada caso, del contenido de la Política Única de Certificación, del Manual de Procedimientos, del Acuerdo con Suscriptores y de cualquier otro documento aplicable Uso de la clave pública y del certificado por parte de Terceros Usuarios Los Terceros Usuarios deben: a) Conocer los alcances de la Política Única de Certificación del Certificador Licenciado; b) Verificar la validez del certificado digital Renovación del certificado sin generación de un nuevo par de claves Roles que participan - Suscriptor. - Autoridad de Registro Requisitos/Condiciones - El suscriptor debe un Certificado Digital vigente. - El suscriptor debe poseer un dispositivo criptográfico inicializado, operativo y con controladores instalados. - Aplicación de la Autoridad Certificante. Evento Iniciadores: - La aplicación de la Autoridad Certificante brinda un servicio de alerta al suscriptor respecto a la próxima expiración de su certificado digital, a partir de 30 días consecutivos antes de efectuarse la expiración del mismo. - El proceso de solicitud de renovación es iniciado exclusivamente por el suscriptor antes de vencer el periodo de validez de su certificado. El periodo de validez es indicado en Periodo de uso de la clave pública y privada. En el caso de que el certificado hubiera expirado, el suscriptor deberá iniciar una solicitud de emisión de certificado, siguiendo lo expresado en el Solicitud de certificado. Actividades: - Para iniciar la Solicitud de Renovación de su certificado, el solicitante deberá conectar el Página 30 de 66

31 dispositivo criptográfico a su estación de trabajo y luego ingresar a la aplicación de la Autoridad Certificante su userid, de acuerdo al sistema de autenticación descripto en el punto Renovación del certificado sin generación de un nuevo par de claves de la Política Única de Certificación del Certificador Licenciado. - La aplicación de la Autoridad Certificante verifica que la estación de trabajo del suscriptor cumple con los requerimientos técnicos mínimos. - En caso de que lo requisitos técnicos se cumplan, la aplicación de la Autoridad Certificante procede a presentar la pantalla del proceso de solicitud de renovación. En caso de que la aplicación realice una asociación entre el Suscriptor y una Autoridad de Registro particular, la misma se efectuará según lo descripto en el punto Renovación del certificado sin generación de un nuevo par de claves de la Política Única de Certificación del Certificador Licenciado. - El suscriptor deberá seleccionar el certificado a renovar. - La aplicación de la Autoridad Certificante obtendrá la información relativa al certificado desde la base de datos del ciclo de vida del certificado. - El suscriptor deberá verificar los datos presentados por la aplicación. - En caso de que los datos no estén actualizados, no podrá continuar con la solicitud de renovación. Si así correspondiera, pasará al proceso de solicitud de revocación según el apartado Procedimientos para la solicitud de revocación, por encontrarse vigente el certificado y luego iniciar una nueva solicitud de emisión de certificado siguiendo lo expresado en el Solicitud de certificado. - En caso de que los datos estén actualizados, el suscriptor selecciona la opción Enviar y la aplicación de la Autoridad Certificante requiere que el suscriptor realice la generación de un nuevo par de claves criptográficas asimétricas. - Luego, la aplicación de la Autoridad Certificante remite los datos de la solicitud y el requerimiento con la clave pública del solicitante, en formato PKCS#10, a la Autoridad de Página 31 de 66