Infraestructura de Firma Digital - República Argentina Ley 25.506 Política de Privacidad
a) Información que se solicita a los suscriptores de certificados... 3 b) Destino o finalidad de la información recabada y su utilización... 3 c) Información contenida en el certificado y su correspondiente publicación... 3 d) Información sobre el tratamiento de los datos o información adicional opcionalmente remitida por el suscriptor... 4 e) Detalle de las medidas técnicas y organizativas para garantizar la seguridad y confidencialidad de los datos personales... 5 f) Información sobre manejo de los datos recabados.... 6 g) Medio de contacto para el suscriptor... 6 h) Medio de contacto para terceros usuarios... 7 Política de Privacidad_VOM5 Página 2 de 7
La presente política de privacidad determina el tratamiento que el certificador dará a los datos recibidos de los suscriptores y será de alcance tanto para la ANSES en su carácter de Certificador Licenciado, como para los terceros usuarios y otros terceros en general, en un todo de acuerdo con la Ley Nº 25.326 de Protección de los Datos Personales, la Ley Nº 25.506 de Firma Digital y sus respectivas normas complementarias. a) Información que se solicita a los suscriptores de certificados Luego de que el solicitante ha leído y aprobado el acuerdo con suscriptores y ha ingresado la solicitud debe presentarse personalmente frente a la Autoridad de Registro habilitada donde acreditará fehacientemente su identidad, acompañando la siguiente documentación: a) Documento de identidad y fotocopia: Documento Nacional de Identidad o Libreta de Enrolamiento o Libreta Cívica b) Nota de Autorización. (original y copia) Debe estar dirigida al responsable de la Autoridad de Registro y debe consignar los siguientes datos: Motivos-causas por el cual requiere un certificado de la AC-ANSES. Tipo y número de Documento de Identidad. Área a la que pertenece: Jurisdicción, Organismo, Dependencia y Cargo al que pertenece. Firma del máximo responsable del área. Certificación por la Mesa de Entradas, Salidas y Archivo. c) Recibo de solicitud, impreso b) Destino o finalidad de la información recabada y su utilización La información recabada será incorporada a los certificados digitales por la Autoridad Certificante para personas Físicas de la ANSES. Dicha acción tendrá por finalidad vincular los datos de verificación de firma a su titular, de acuerdo al artículo 13 de Ley N 25.506. Dicha información será utilizada por la Autoridad de Registro de la ANSES para aprobar la emisión del mencionado certificado y no será usada para ningún otro fin fuera de lo estipulado en la Política de Certificación. Asimismo, se informa al suscriptor sobre el derecho que le asiste a acceder o rectificar sus datos de carácter personal siempre que aporte la documentación necesaria para ello. c) Información contenida en el certificado y su correspondiente publicación La información contenida en el certificado y su correspondiente publicación se encuentra detallada en el apartado 3 Identificación y Autenticación de la Política de Certificación. Política de Privacidad_VOM5 Página 3 de 7
No se publicará ninguna lista de certificados emitidos. Política de Privacidad d) Información sobre el tratamiento de los datos o información adicional opcionalmente remitida por el suscriptor Toda información de carácter personal proporcionada a la Autoridad de Registro de la ANSES por solicitantes o suscriptores para la tramitación de sus certificados, sea esta de carácter obligatorio, adicional u opcional, será tratada en los términos de la Ley N 25.326 de Protección de los Datos Personales. En este sentido, la presente política estará en un todo de acuerdo con la mencionada norma. La presente protección abarca a: - Cualquier información almacenada en servidores o bases de datos destinadas a Firma Digital de esta Administración Nacional. - Cualquier información impresa o transmitida en forma verbal referida a procedimientos, manual de procedimientos, u otros similares, salvo aquellos que en forma expresa fueran declarados como no confidenciales. - Cualquier información referida a planes de contingencia, controles o procedimientos de seguridad, o a registros de auditoria creados y/o mantenidos por ANSES. Considerando, asimismo, como confidencial la clave privada de la Autoridad de Certificación y las claves privadas de los suscriptores y de la Autoridad de Registro, esta Administración Nacional proporciona los medios para que la generación de dichas claves, sólo se realice de modo seguro a través de un dispositivo criptográfico, de acuerdo a lo establecido en el punto 2.8.1 de la Política de Certificación. Por su parte, se deja constancia de que los documentos contenidos en el apartado 2.8.2 de la Política de Certificación serán considerados públicos y, por lo tanto, accesibles por terceros, a saber: a) Esta Política de Privacidad b) Acuerdo con Suscriptores c) Términos y condiciones con Terceros Usuarios d) Manual de Procedimientos de Certificación en su parte pública. e) Política de Certificación. f) Resumen de la Política de Certificación y del Manual de Procedimientos de Certificación. g) Certificado de la Autoridad Certificante Raíz de la República Argentina (ACR RA) h) Certificado de la i) Lista de Certificados Revocados (CRL) de la Autoridad Certificante para Personas Físicas de la ANSES j) Información relevante de los informes de la última auditoría realizada En lo que respecta a la publicación de información sobre revocación de un certificado es de destacar que este tipo de información no será considerada de carácter confidencial. Los funcionarios asignados a roles dentro de las actividades de Firma Digital se verán eximidos del secreto profesional por razones de fuerza mayor, que pudieren causar perjuicio al Estado, o aquellas Política de Privacidad_VOM5 Página 4 de 7
derivadas de la seguridad pública canalizada a través de la vía judicial respectiva. A los efectos de lo dispuesto en la normativa citada, se informa al suscriptor de la existencia de certificados revocados. ANSES, siendo la entidad responsable de dicha lista, se compromete a poner los medios a su alcance para evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos de carácter personal contenidos en ese listado. Asimismo, se informa al suscriptor sobre el derecho que le asiste a acceder o rectificar sus datos de carácter personal siempre que aporte la documentación necesaria para ello. e) Detalle de las medidas técnicas y organizativas para garantizar la seguridad y confidencialidad de los datos personales A fin de garantizar la seguridad y protección integral de los datos personales, la ANSES pone en práctica las siguientes medidas, las cuales se encuentran más ampliamente descritas en el Manual de Procedimientos de Certificación: - Físicas: Los sistemas centrales de la se encuentran aislados en un compartimento exclusivo en el interior de la Sala Cofre de esta Administración Nacional denominado Recinto de la Autoridad Certificante. - La Sala Cofre cuenta con controles de seguridad física de última generación que protegen las instalaciones informáticas de la ANSES y garantizan la continuidad de sus operaciones. - Funcionales: Cada uno de los roles a cumplir en las operaciones de la Autoridad Certificante se encuentran definidos siguiendo los siguientes criterios: a) Cada uno de los roles tiene un titular asignado y, por lo menos, un sustituto. b) Los roles de responsable son asignados a personal que cumple funciones en ANSES. c) Todos los roles son excluyentes entre si. - Técnicas: Las claves criptográficas de la Autoridad Certificante son generadas en ambientes seguros por personal autorizado sobre dispositivos criptográficos homologados FIPS 140-2 Nivel 3, utilizando claves generadas mediante el algoritmo RSA con un tamaño mínimo de 4094 bits. La clave de la Autoridad de Registro es generada y almacenada sobre un dispositivo criptográfico diseñado para tal fin que cumple con las normas FIPS 140-2 nivel 2, utilizando claves generadas mediante el algoritmo RSA con un tamaño de 1024 bits. Las claves de los suscriptores son generadas y almacenadas sobre dispositivos criptográficos diseñados para tal fin que cumplen con las normas FIPS 140-2 nivel 2, utilizando claves generadas mediante el algoritmo RSA con un tamaño de 1024 bits. - Jurídicas: Toda persona involucrada en el proceso de Firma Digital de la ANSES se encuentra obligada, a través de Acuerdos de Confidencialidad, a proceder al resguardo y protección de los datos personales que resultan necesarios para la implementación de dicho proceso. - Personales: La ANSES controla periódicamente a las personas vinculadas con los servicios que presta como Certificador Licenciado a través de su desempeño y legajo laboral. - La Autoridad de Registro (AR) dispone de control y seguimiento de los accesos físicos de su ámbito de trabajo según requerimiento de la Decisión Administrativa Nº 6/2007 de la JGM y responde a las pautas fijadas por esta Administración Nacional. - De manera sucinta los detalles de la seguridad física son los siguientes: - La AR funciona dentro del Nivel 2 de seguridad física. Política de Privacidad_VOM5 Página 5 de 7
- La AR está instalada en un ambiente dedicado y cuenta con: o equipos de prevención de incendios, o armario con llave, de uso exclusivo de la AR, o circuitos eléctricos de alimentación al equipamiento protegidos por UPS y tensión estabilizada. o circuitos eléctricos, telefónicos y de red protegidos dentro de ductos adecuados, o única puerta de entrada, con cerradura de seguridad y o paredes adecuadas para prevenir del acceso no autorizado, incluso por la parte superior, construidas, o iluminación de emergencia. - Por último, en cumplimiento del artículo 9º de la Ley Nº 25.326 de Protección de los Datos Personales la ANSES garantiza la seguridad y confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, permitiendo detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio tecnológico utilizado. La Política de Seguridad describe la infraestructura de seguridad lógica y física, frente al acceso por parte de terceros. A su vez, los Procedimientos de Seguridad prevén monitoreos de seguridad, entre los que se destacan: control de integridad en archivos y configuraciones de los servidores de esta AC, análisis de vulnerabilidades y revisión de logs y registros de auditoría de los distintos componentes de esta Autoridad Certificante. f) Información sobre manejo de los datos recabados. Por su parte, ANSES informa a suscriptores de certificados digitales que los datos que fueron recabados con el fin de aplicar Firma Digital no serán objeto de cesión a ninguna persona física, jurídica, privada o pública de cualquier nivel, salvo petición judicial. Asimismo, ANSES adopta las medidas técnicas y organizativas que resultan necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado, de acuerdo a lo establecido por el artículo 9 de la Ley Nº 25326 de Protección de los Datos Personales. g) Medio de contacto para el suscriptor Los suscriptores de certificados digitales emitidos por la Autoridad Certificante para Personas Físicas de la ANSES podrán actualizar información, formular las preguntas que considere necesarias, realizar comentarios o sugerencias o bien pedir la supresión, rectificación o actualización de sus datos personales, y presentar sugerencias referidas al proceso de certificación, dirigiéndose a: Mesa de Ayuda de la Gerencia de Sistemas y Telecomunicaciones, ANSES representado por el Coordinador a cargo - Domicilio: Piedras 353, (C1070AAG) Ciudad Autónoma de Buenos Aires, Argentina - E-mail: mesadeayuda@anses.gov.ar - Teléfono: (011) 4015-2100 Política de Privacidad_VOM5 Página 6 de 7
h) Medio de contacto para terceros usuarios Los terceros usuarios de certificados digitales emitidos por esta Autoridad Certificante podrán formular las preguntas que considere necesarias, realizar comentarios o sugerencias referidos al proceso de certificación, dirigiéndose a: Mesa de Ayuda de la Gerencia de Sistemas y Telecomunicaciones, ANSES representado por el Coordinador a cargo - Domicilio: Piedras 353, (C1070AAG) Ciudad Autónoma de Buenos Aires, Argentina - E-mail: mesadeayuda@anses.gov.ar - Teléfono: (011) 4015-2100 Política de Privacidad_VOM5 Página 7 de 7