Norma Legal Oficial del día 18 de diciembre del año 2002 (18/12/2002)


Si dese vizualizar el documento entero como pdf click aqui.

TEXTO DE LA PÁGINA 47

MORDAZA, miercoles 18 de diciembre de 2002

NORMAS LEGALES PREPUBLICACION

Pag. 235313

En el MORDAZA de la Infraestructura Oficial de Firma Digital, la certificacion otorgada a una persona natural o juridica puede ser solicitada por entidades relacionadas a MORDAZA, a fin de que las relaciones que mantienen entre si se desarrollen en observancia de la Ley Nº 27269. En tales casos las entidades que soliciten la certificacion deberan informar a los futuros titulares de las mismas sobre los servicios de certificacion digital contratados a su favor. Los titulares de la certificacion podran requerir mayor informacion a la Entidad de Certificacion emisora y podran ampliar el ambito de aplicacion de la certificacion inicialmente otorgada a efecto de emplearla en cualquiera de las relaciones juridicas que mantenga. Articulo 2º.- Requisitos de orden tecnico que deben observar las Entidades de Certificacion.- Para efectos del cumplimiento de los requisitos previstos en el articulo 11º del Reglamento de la Ley de Firmas Digitales, las entidades que postulen deben observar los parametros senalados en la Guia anexa a las presentes Disposiciones. Articulo 3º.- Naturaleza de los servicios de Intermediacion Digital.- La intermediacion digital prevista en el Reglamento como un servicio de valor agregado involucra servicios de micrograbacion cuya prestacion esta sujeta al cumplimiento de la legislacion en dicha materia. Las entidades de certificacion que prevean su prestacion deben observar la legislacion citada o en su defecto involucrar la participacion de entidades certificadas para la prestacion de servicios de micrograbacion o almacenamiento de microformas, en este ultimo caso mantienen la responsabilidad por los servicios subcontratados. Articulo 4º.- Respaldo Financiero.- Las entidades de certificacion y de verificacion y registro deben contar con recursos propios para la prestacion de sus servicios, o estar en condiciones de garantizar la continuidad de los mismos. MORDAZA entidades, deben contar con una cobertura de seguros para cubrir los danos que eventualmente se generen por la prestacion de sus servicios. Dicha informacion debe ser comunicada a los usuarios en forma previa a la prestacion de los servicios. Articulo 5º.- Plazos del procedimiento de acreditacion.- El procedimiento de acreditacion de Entidades de Certificacion no podra exceder los 120 dias utiles de conformidad con la Ley Nº 27809. Los plazos de cada una de las etapas de evaluacion previstas a lo largo del procedimiento, son las que ha continuacion se senalan: a) Admision: 10 dias utiles. b) Seleccion y designacion del equipo auditor: 20 dias utiles. c) Evaluacion documentaria: 20 dias utiles. d) Subsanacion de observaciones: 30 dias utiles. e) Evaluacion de campo: 20 dias utiles. f) Subsanacion de observaciones: 10 dias utiles. GUIA DE REQUISITOS PARA LA ACREDITACION DE ORGANISMOS DE CERTIFICACION Las entidades que soliciten su acreditacion como Organismos de Certificacion de Firmas Digitales en el MORDAZA de la Ley Nº 27269 y su Reglamento deberan contar con soluciones e infraestructura que soporten las multiples politicas tecnicas futuras, ademas de las ya existentes, asi como los requisitos que se detallan en la presente Guia, los mismos que deben ser implementados en el pais. Los solicitantes deberan contar con: a) Dominios de confianza en el MORDAZA, que permitan verificar los sistemas en que se soporta la prestacion de los servicios de certificacion digital. b) Politica de Confidencialidad, que este de acuerdo a la normatividad de manejo de informacion de terceros vigente en el pais. c) Politicas de Integridad, Autenticacion y No repudio, deberan contar con los procedimientos y mecanismos necesarios fijados en la Ley. d) Politicas y Normas de Monitoreo, Reporte y Auditoria de los servicios de PKI, deberan contar con un detallado documento sobre Seguridad y Disponibilidad de los servicios brindados. 1. Requisitos de Funcionalidad. Las entidades de certificacion deberan contar con los siguientes requisitos, para tal efecto deben adoptar el estandar X.509 en su version actualizada u otro estandar compatible a este como base de los servicios de certificacion digital:

1.1. Politicas y procedimientos para la administracion del ciclo de MORDAZA de las claves, las mismas que deberan involucrar: a) Politicas y normas de recuperacion de las claves b) Politicas y Normas de generacion de las claves c) Politicas y Normas de distribucion, revocacion, suspension, repudio y archivo (almacenamiento) de las claves 1.2. Estructura de Manejo de los Certificados sujeta a mecanismos de auditoria periodicos, entendiendo por dicha estructura un sistema que involucra politicas, procedimientos, personal y el soporte tecnico para: a) La administracion y control de claves (creacion y mantenimiento, habilidad para enlazar las claves con un nombre, habilidad para preguntar que claves se enlazan a un nombre). Estas politicas no deben estar basadas en la identidad individual. La certificacion del enlace entre una llave publica y un nombre del directorio sera obligatorio. La certificacion del enlace entre los atributos adicionales y un nombre del directorio seran discrecionales. b) El soporte concurrente de multiples politicas, entendido como la capacidad del certificado para interactuar en diferentes sectores, tales como el financiero y tributario, considerando las restricciones que cada uno de estos impone. c) El Intercambio entre certificados (interoperabilidad tecnica) d) Permitir la transferencia de certificados de una entidad de certificacion a otra (en el caso de inoperatividad de la entidad que los emitio inicialmente), a fin de garantizar la continuidad del servicio. e) Permitir la certificacion cruzada entre distintos organismos de certificacion f) Superar los problemas de interoperabilidad que se presenten - en caso de que los caminos de la certificacion MORDAZA contradictorios o multiples - a traves de arbitrajes tecnicos para permitir la aceptabilidad de certificados mediante los dispositivos correspondientes, en funcion a la plataforma de generacion utilizada. g) Separar los servicios de certificacion de los sistemas de almacenamiento de los datos obtenidos en la prestacion del servicio, sin que ello perjudique la posibilidad de controlar el flujo de informacion desde el repositorio de datos hacia el sistema de certificacion (requerimiento transaccional) 1.3. Una Estructura de Seguridad entendiendo por MORDAZA a un sistema que involucra politicas, procedimientos, personal y soporte tecnico con el objeto de: a) Proteger la confidencialidad, integridad y disponibilidad de los servicios de certificacion. b) Garantizar servicios de no repudio tecnologico1 para mantener la operatividad del certificado, c) Impedir que el sistema de certificacion implementado permita revocar sus propias acciones d) Evitar que los usuarios del servicio de certificacion puedan revocar tecnologicamente sus propias acciones 1.4. En caso de incorporar servicios de valor agregado de fechado y hora (time stamping), deben contar con un proveedor para tal servicio, el mismo que debe estar disponible dentro de una red abierta, accesible desde cualquier plataforma tecnologica. El prestador del servicio de time stamping debe contar con personeria juridica en el pais. En todo caso el certificador es responsable por la aptitud de los servicios subcontratados. 1.5. Procedimientos estructurados sobre la base de estandares internacionales para la integracion de los servicios de certificacion prestados dentro de la Infraestructura Oficial de Firma Digital, con Certificados y datos asociados provenientes de Infraestructuras Oficiales extranjeras o infraestructuras nacionales no oficiales, que presenten diferencias culturales tales como las barreras idiomaticas;

1

No repudio tecnologico.- Entendido como el servicio que permite la operatividad del certificado aun en casos adversos, tales como vencimiento del certificado

Deseo borrar mis datos personales que aparecen en esta página.