MANUAL DE PROCEDIMIENTOS DE CERTIFICACIÓN DEL INSTITUTO DE FIRMA DIGITAL DE LA PROVINCIA DE SAN LUIS

(1)

MANUAL DE PROCEDIMIENTOS DE CERTIFICACIÓN DEL INSTITUTO DE FIRMA DIGITAL DE LA PROVINCIA DE SAN LUIS

de la Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana

OID 2.16.32.1.3.2.1.1.6.

INFRAESTRUCTURA DE FIRMA DIGITAL DE LA PROVINCIA DE SAN LUIS

(2)

Manual de Procedimientos de Certificación Firma Digital Página 2 de 64 CARÁCTER: PÚBLICO

ÍNDICE

1. INTRODUCCIÓN ... 8

1.1. RESUMEN ... 8

1.2. IDENTIFICACIÓN ... 8

1.3. PARTICIPANTES Y APLICABILIDAD ... 9

1.3.1. CERTIFICADOR ... 9

1.3.2. AUTORIDAD DE REGISTRO ... 9

1.3.3. PROCEDIMIENTO DE DESIGNACIÓN DE AUTORIDADES DE REGISTRO. ... 10

1.3.4. SUSCRIPTORES DE CERTIFICADOS ... 12

1.3.5. APLICABILIDAD ... 13

1.4. CONTACTOS ... 13

2. ASPECTOS GENERALES DE LA POLÍTICA DE CERTIFICACIÓN ... 14

2.1. OBLIGACIONES ... 14

2.1.1. OBLIGACIONES DEL CERTIFICADOR ... 14

2.1.2. OBLIGACIONES DE LA AUTORIDAD DE REGISTRO ... 14

2.1.3. OBLIGACIONES DEL SUSCRIPTOR DEL CERTIFICADO ... 15

2.1.4. OBLIGACIONES DE TERCEROS USUARIOS ... 15

2.1.5. OBLIGACIONES DEL SERVICIO DE REPOSITORIO ... 15

2.2. RESPONSABILIDADES ... 15

2.3. RESPONSABILIDAD FINANCIERA ... 15

2.3.1. RESPONSABILIDAD FINANCIERA DEL CERTIFICADOR ... 15

2.4. INTERPRETACIÓN Y LEGALIDAD ... 15

2.4.1. LEGISLACIÓN APLICABLE... 15

2.4.2. FORMA DE INTERPRETACIÓN Y APLICACIÓN ... 16

(3)

2.4.3. PROCEDIMIENTOS DE RESOLUCIÓN DE CONFLICTOS ... 16

2.5. ARANCELES ... 17

2.6. PUBLICACIÓN Y REPOSITORIOS DE CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS (CRLS) ... 18

2.6.1. PUBLICACIÓN DE INFORMACIÓN DEL CERTIFICADOR ... 18

2.6.2. FRECUENCIA DE PUBLICACIÓN ... 19

2.6.3. CONTROLES DE ACCESO A LA INFORMACIÓN ... 20

2.6.4. REPOSITORIOS ... 20

2.7. AUDITORIAS ... 21

2.8. CONFIDENCIALIDAD ... 23

2.8.1. INFORMACIÓN CONFIDENCIAL ... 23

2.8.2. INFORMACIÓN NO CONFIDENCIAL ... 23

2.8.3. PUBLICACIÓN DE INFORMACIÓN SOBRE LA REVOCACIÓN O SUSPENSIÓN DE UN CERTIFICADO ... 23

2.8.4. DIVULGACIÓN DE INFORMACIÓN A AUTORIDADES JUDICIALES ... 23

2.8.5. DIVULGACIÓN DE INFORMACIÓN COMO PARTE DE UN PROCESO JUDICIAL O ADMINISTRATIVO ... 23

2.8.6. DIVULGACIÓN DE INFORMACIÓN POR SOLICITUD DEL SUSCRIPTOR ... 24

2.8.7. OTRAS CIRCUNSTANCIAS DE DIVULGACIÓN DE INFORMACIÓN... 24

2.9. DERECHOS DE PROPIEDAD INTELECTUAL ... 24

3. IDENTIFICACIÓN Y AUTENTICACIÓN ... 24

3.1. REGISTRO INICIAL ... 24

3.1.1. TIPOS DE NOMBRES... 25

3.1.2. NECESIDAD DE NOMBRES DISTINTIVOS ... 25

3.1.3. REGLAS PARA LA INTERPRETACIÓN DE NOMBRES ... 25

3.1.4. UNICIDAD DE NOMBRES ... 25

3.1.5. PROCEDIMIENTO DE RESOLUCIÓN DE DISPUTAS SOBRE NOMBRES ... 26

3.1.6. RECONOCIMIENTO, AUTENTICACIÓN Y ROL DE LAS MARCAS REGISTRADAS ... 26

3.1.7. MÉTODOS PARA COMPROBAR LA POSESIÓN DE LA CLAVE PRIVADA ... 26

3.1.8. AUTENTICACIÓN DE LA IDENTIDAD DE PERSONAS JURÍDICAS PÚBLICAS O PRIVADAS ... 27

(4)

3.1.9. AUTENTICACIÓN DE LA IDENTIDAD DE PERSONAS FÍSICAS ... 27

3.2. GENERACIÓN DE NUEVO PAR DE CLAVES (RE KEY) ... 30

3.3. GENERACIÓN DE NUEVO CERTIFICADO (POSTERIOR A REVOCACIÓN) ... 30

3.4. REQUERIMIENTO DE REVOCACIÓN ... 30

4. CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS ... 31

4.1. SOLICITUD DE CERTIFICADO ... 31

4.1.1. SOLICITUD DE NUEVO CERTIFICADO ... 31

4.1.2. SOLICITUD DE RENOVACIÓN ... 32

4.2. EMISIÓN DEL CERTIFICADO ... 32

4.3. ACEPTACIÓN DEL CERTIFICADO ... 33

4.4. SUSPENSIÓN Y REVOCACIÓN DE CERTIFICADOS ... 33

4.4.1. CAUSAS DE REVOCACIÓN ... 33

4.4.2. AUTORIZADOS A SOLICITAR LA REVOCACIÓN ... 34

4.4.3. PROCEDIMIENTOS PARA LA SOLICITUD DE REVOCACIÓN ... 35

4.4.3.1. REVOCACIÓN DE CERTIFICADOS DE FIRMA DIGITAL POR EL SUSCRIPTOR A TRAVÉS DE LA APLICACIÓN WEB ... 35

4.4.3.2. REVOCACIÓN DE CERTIFICADOS DE FIRMA DIGITAL POR LA AUTORIDAD DE REGISTRO ... 35

4.4.4. PLAZO PARA LA SOLICITUD DE REVOCACIÓN ... 36

4.4.5. CAUSAS DE SUSPENSIÓN ... 37

4.4.6. AUTORIZADOS A SOLICITAR LA SUSPENSIÓN ... 37

4.4.7. PROCEDIMIENTOS PARA LA SOLICITUD DE SUSPENSIÓN ... 37

4.4.8. LÍMITES DEL PERIODO DE SUSPENSIÓN DE UN CERTIFICADO ... 37

4.4.9. FRECUENCIA DE EMISIÓN DE LISTAS DE CERTIFICADOS REVOCADOS ... 37

4.4.10. REQUISITOS PARA LA VERIFICACIÓN DE LA LISTA DE CERTIFICADOS REVOCADOS ... 38

4.4.11. DISPONIBILIDAD DEL SERVICIO DE CONSULTA SOBRE REVOCACIÓN Y DE ESTADO DEL CERTIFICADO ... 38

4.4.12. REQUISITOS PARA LA VERIFICACIÓN EN LÍNEA DEL ESTADO DE REVOCACIÓN ... 39

4.4.13. OTRAS FORMAS DISPONIBLES PARA LA DIVULGACIÓN DE LA REVOCACIÓN ... 39

4.4.14. REQUISITOS PARA LA VERIFICACIÓN DE OTRAS FORMAS DE DIVULGACIÓN DE REVOCACIÓN... 39

(5)

4.4.15. REQUISITOS ESPECÍFICOS PARA CASOS DE COMPROMISO DE CLAVES ... 39

4.5. PROCEDIMIENTOS DE AUDITORÍA DE SEGURIDAD ... 40

4.6. ARCHIVO DE REGISTROS DE EVENTOS ... 41

4.7. CAMBIO DE CLAVE ... 43

4.8. PLAN DE CONTINGENCIA Y RECUPERACIÓN ANTE DESASTRES ... 44

4.9. PLAN DE CESE DE ACTIVIDADES ... 45

5. CONTROLES DE SEGURIDAD FÍSICA, FUNCIONALES Y PERSONALES ... 46

5.1. CONTROLES DE SEGURIDAD FÍSICA ... 46

5.2. CONTROLES FUNCIONALES... 48

5.3. CONTROLES DE SEGURIDAD DEL PERSONAL ... 48

5.3.1. PROCEDIMIENTO DE ENTREGA Y RECEPCIÓN DE ELEMENTOS SENSIBLES ... 50

6. CONTROLES DE SEGURIDAD TÉCNICA ... 51

6.1. GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES CRIPTOGRÁFICAS ... 51

6.1.1. GENERACIÓN DEL PAR DE CLAVES CRIPTOGRÁFICAS ... 51

6.1.1.1. GENERACIÓN DEL PAR DE CLAVES DEL CERTIFICADOR ... 51

6.1.1.2. GENERACIÓN DEL PAR DE CLAVES DE LOS OFICIALES DE REGISTRO DE SUS AUTORIDADES DE REGISTRO ... 51

6.1.1.3. GENERACIÓN DEL PAR DE CLAVES DEL SUSCRIPTOR: ... 51

6.1.2. ENTREGA DE LA CLAVE PRIVADA AL SUSCRIPTOR ... 52

6.1.3. ENTREGA DE LA CLAVE PÚBLICA AL EMISOR DEL CERTIFICADO ... 52

6.1.4. DISPONIBILIDAD DE LA CLAVE PÚBLICA DEL CERTIFICADOR ... 53

6.1.5. TAMAÑO DE CLAVES ... 53

6.1.6. GENERACIÓN DE PARÁMETROS DE CLAVES ASIMÉTRICAS ... 54

6.1.7. VERIFICACIÓN DE CALIDAD DE LOS PARÁMETROS ... 54

6.1.8. GENERACIÓN DE CLAVES POR HARDWARE O SOFTWARE ... 54

6.1.9. PROPÓSITOS DE UTILIZACIÓN DE CLAVES (CAMPO “KEY USAGE” EN CERTIFICADOS X.509 V.3) ... 54

6.2. PROTECCIÓN DE LA CLAVE PRIVADA ... 54

6.2.1. ESTÁNDARES PARA MÓDULOS CRIPTOGRÁFICOS ... 55

(6)

6.2.2. CONTROL “M DE N” DE CLAVE PRIVADA ... 55

6.2.3. RECUPERACIÓN DE CLAVE PRIVADA ... 55

6.2.4. COPIA DE SEGURIDAD DE CLAVE PRIVADA ... 56

6.2.5. ARCHIVO DE CLAVE PRIVADA ... 56

6.2.6. INSERCIÓN DE CLAVES PRIVADAS EN MÓDULOS CRIPTOGRÁFICOS ... 56

6.2.7. MÉTODO DE ACTIVACIÓN DE CLAVES PRIVADAS ... 57

6.2.8. MÉTODO DE DESACTIVACIÓN DE CLAVES PRIVADAS ... 57

6.2.9. MÉTODO DE DESTRUCCIÓN DE CLAVES PRIVADAS ... 57

6.3. OTROS ASPECTOS DE ADMINISTRACIÓN DE CLAVES ... 57

6.3.1. ARCHIVO PERMANENTE DE CLAVE PÚBLICA ... 57

6.3.2. PERÍODO DE USO DE CLAVE PÚBLICA Y PRIVADA ... 57

6.4. DATOS DE ACTIVACIÓN ... 58

6.4.1. GENERACIÓN E INSTALACIÓN DE DATOS DE ACTIVACIÓN ... 58

6.4.2. PROTECCIÓN DE LOS DATOS DE ACTIVACIÓN ... 58

6.4.3. OTROS ASPECTOS REFERIDOS A LOS DATOS DE ACTIVACIÓN ... 58

6.5. CONTROLES DE SEGURIDAD INFORMÁTICA ... 59

6.5.1. REQUISITOS TÉCNICOS ESPECÍFICOS ... 59

6.5.2. CALIFICACIONES DE SEGURIDAD COMPUTACIONAL ... 60

6.6. CONTROLES TÉCNICOS DEL CICLO DE VIDA ... 61

6.6.1. CONTROLES DE DESARROLLO DE SISTEMAS ... 61

6.6.2. CONTROLES DE ADMINISTRACIÓN DE SEGURIDAD ... 61

6.6.3. CALIFICACIONES DE SEGURIDAD DEL CICLO DE VIDA ... 62

6.7. CONTROLES DE SEGURIDAD DE RED ... 62

6.8. CONTROLES DE INGENIERÍA DE MÓDULOS CRIPTOGRÁFICOS ... 62

7. PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS ... 62

7.1. PERFIL DEL CERTIFICADO ... 62

7.2. PERFIL DE LA LISTA DE CERTIFICADOS REVOCADOS ... 62

(7)

8. ADMINISTRACIÓN DE ESPECIFICACIONES ... 63

8.1. PROCEDIMIENTOS DE CAMBIO DE ESPECIFICACIONES ... 63

8.2. PROCEDIMIENTOS DE PUBLICACIÓN Y NOTIFICACIÓN ... 63

8.3. PROCEDIMIENTOS DE APROBACIÓN ... 63

(8)

1. INTRODUCCIÓN

1.1. RESUMEN

El presente Manual describe el conjunto de procedimientos utilizados por la Autoridad Certificante del Instituto de Firma Digital de la Provincia de San Luis (en adelante AC-INSTITUTO) en el cumplimiento de sus responsabilidades de emisión y administración de certificados de clave pública emitidos a favor de sus Suscriptores en el marco de la Política de Certificación para Firma Digital de Profesionales y Auxiliares de la Salud Humana, OID 2.16.32.1.3.2.1.1.6., en cumplimiento de lo dispuesto en la Ley Provincial de Firma Digital N º V-0591-2007, reglamentada por el Decreto N° 0428-MP-2008, por la cual la Provincia adhiere a la Ley Nacional Nº 25.506, su decreto Reglamentario Nº 2628/02 y demás normas Reglamentarias.

El presente Manual de Procedimientos forma parte de la documentación técnica emitida por la AC-INSTITUTO junto con los siguientes documentos:

 Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana.

 Plan de Seguridad: integrado por Política de Seguridad y Manual de Procedimientos de Seguridad.

 Plan de Contingencias.

 Plan de Cese de Actividades.

 Acuerdo con Suscriptores.

 Términos y Condiciones con Terceros Usuarios.

 Política de Privacidad.

 Plataforma Tecnológica.

1.2. IDENTIFICACIÓN

(9)

Nombre: “Manual de Procedimientos de Certificación de la Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana”

Versión: 1.0

OID: 2.16.32.1.3.2.1.1.6

Fecha de Aplicación: 26 de Marzo de 2013

Sitio de Publicación: http://www.pki.sanluis.gov.ar

Lugar de Publicación: Ciudad de La Punta, Provincia de San Luis, República Argentina.

1.3. PARTICIPANTES Y APLICABILIDAD Este Manual de Procedimientos es aplicable a:

a) El Certificador Licenciado Provincial (en adelante el INSTITUTO), que emite certificados digitales para Firma Digital de Profesionales y Auxiliares de la Salud Humana.

b) Las Autoridades de Registro (en adelante, las AR) que se constituyan en el ámbito de la Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana.

c) Los solicitantes y suscriptores de certificados digitales emitidos por el Certificador, en el ámbito de la mencionada Política.

d) Los terceros usuarios que verifican firmas digitales basadas en certificados digitales emitidos por el Certificador, en el ámbito de la mencionada Política.

1.3.1. CERTIFICADOR

Los procedimientos enunciados en este Manual en su parte pertinente son de aplicación obligatoria para el INSTITUTO, quien presta los servicios de certificación digital de acuerdo con los términos de la Política de Certificación para Firma Digital de Profesionales y Auxiliares de la Salud Humana y del presente Manual de Procedimientos de Certificación.

1.3.2. AUTORIDAD DE REGISTRO

(10)

Los procedimientos enunciados en este Manual en su parte pertinente son de aplicación obligatoria para las Autoridades de Registro (AR). Ello, toda vez que el INSTITUTO admite la posibilidad de constituir Autoridades de Registro Remotas en los organismos que pretendan actuar como tales, las que serán responsables de efectuar las funciones de validación de identidad y de otros datos de los solicitantes y suscriptores de certificados digitales, registrando las presentaciones y trámites que les sean formulados por éstos.

A los efectos de la constitución de una Autoridad de Registro será indispensable la celebración de un

“Convenio de Constitución de Autoridad de Registro Remota” entre el INSTITUTO y el Organismo que pretende constituirse como tal. Dicho convenio deberá ser suscripto por el responsable máximo de ese Organismo y el Director del INSTITUTO, individualizando expresamente la Política de Certificación vinculada al presente Manual; designando al Responsable de la Autoridad de Registro (será el responsable máximo del organismo); a los Oficiales de Registro de la Autoridad de Registro Remota así como al Instructor de Firma Digital y al Responsable de Soporte de Firma Digital. Asimismo este Convenio deberá ser refrendado por la Autoridad de Aplicación Provincial.

Dichas Autoridades de Registro serán responsables de efectuar las funciones de validación de identidad y de otros datos de los solicitantes y suscriptores de certificados digitales que resultan relevantes para su emisión y tendrán a su cargo la guarda de la documentación respaldatoria.

Los organismos que han sido habilitados para operar como AR del INSTITUTO se encuentran disponibles en el sitio web http://www.pki.sanluis.gov.ar. Esta información se actualizará dentro de las cuarenta y ocho (48) horas de constituida una nueva AR. De igual forma y en el mismo plazo se procederá a su incorporación en la aplicación de la AC-INSTITUTO.

1.3.3. PROCEDIMIENTO DE DESIGNACIÓN DE AUTORIDADES DE REGISTRO.

El Organismo que pretenda firmar un Convenio, para constituirse como Autoridad de Registro Remota, designará al menos dos personas que se desempeñarán en el rol de OFICIAL DE REGISTRO debiendo seguir para su elección el procedimiento que se describe a continuación:

Previo a la Suscripción del Convenio de Constitución de AR Remota,

(11)

La máxima autoridad del Organismo o entidad que pretenda constituirse como AR comunicará al INSTITUTO mediante nota suscripta:

La designación de las personas que ejercerán el rol de Oficial de Registro en la respectiva Autoridad de Registro una vez constituida.

La designación de la o las personas que ejercerán los roles de Instructor de Firma Digital y de Responsable de Soporte de Firma Digital, quienes tendrán a su cargo las tareas enunciadas en el punto 2.1.2 del presente Manual. Dichos roles podrán recaer en los Oficiales de Registro. Eventualmente ambos roles podrán ser asignados a una misma persona si la autoridad competente así lo decidiese.

Es responsabilidad de la AR asegurar la disponibilidad de ambos roles, como así también, asegurar su reemplazo, en caso de producirse la baja de alguno de ellos. Bajo ninguna circunstancia estas responsabilidades recaerán en el Certificador.

Quien suscriba el Convenio en representación del Organismo donde se constituye la AR será el Responsable de la Autoridad de Registro, teniendo a su cargo notificar al INSTITUTO cualquier modificación que incida en su operatoria.

El INSTITUTO procederá a aprobar o bien a denegar dicha propuesta, haciéndole saber al Organismo respecto de las obligaciones y responsabilidades que asume al respecto.

En caso de aprobación, se procederá a la celebración del Convenio de Constitución de Autoridad de Registro Remota, el que será refrendado por la Autoridad de Aplicación del Régimen Provincial de Firma Digital.

Suscripto el Convenio de Constitución de la Autoridad de Registro:

Cada Oficial de Registro, Instructor de Firma Digital y Responsable de Soporte de Firma Digital deberá recibir capacitación impartida al efecto por el INSTITUTO.

Cada Oficial de Registro, Instructor de Firma Digital y Responsable de Soporte de Firma Digital deberá suscribir un Acta de Aceptación de cargo y confidencialidad.

(12)

Cada Oficial de Registro deberá solicitar un certificado debiendo contar al momento de dicha solicitud con un dispositivo criptográfico provisto por el Organismo en el cual desempeña su función el que quedará bajo su absoluto y exclusivo control.

El certificado del Oficial de Registro solicitado será dado por la AC-INSTITUTO en el marco de la Política de Certificación de Agentes del Estado de la Provincia de San Luis.

El INSTITUTO procederá a relacionar en el Sistema de la AC-INSTITUTO a cada Oficial de Registro con la AR donde llevará a cabo su función, previa constatación de su identidad y la correspondiente designación en el Convenio.

El INSTITUTO procederá a publicar en su página web los datos de la nueva Autoridad de Registro Remota entre los cuales enunciará el Organismo donde se encuentra constituida y los datos de contacto.

1.3.4. SUSCRIPTORES DE CERTIFICADOS

Los procedimientos enunciados en este Manual en su parte pertinente son de aplicación obligatoria para los Suscriptores de certificados digitales emitidos por la AC-INSTITUTO. Conforme lo dispuesto en la Política de Certificación vinculada al presente Manual podrán ser Suscriptores:

a) Las personas físicas que acrediten ejercer alguna profesión o actividad vinculada con la salud humana en la Provincia de San Luis tales como medicina, odontología, bioquímica, farmacia y otras profesiones y actividades de colaboración afines, existentes o que se creen, así como aquellas que acrediten desempeñar actividades y prácticas preventivas, asistenciales, rehabilitadoras o de recreación para la salud, que se realicen individual o colectivamente, comprendidas en la Ley Provincial N° XIV- 0361-2004.

Los certificados digitales para personas físicas serán emitidos en dispositivos criptográficos seguros aprobados por el INSTITUTO (Ej: tokens, smartcards, etc).

b) El INSTITUTO será suscriptor de certificados para ser usado en relación con el servicio On Line Certificate Status Protocol (en adelante, OCSP) de consulta sobre el estado de un certificado.

(13)

1.3.5. APLICABILIDAD

Los procedimientos descriptos en el presente Manual son de aplicación obligatoria para la emisión y revocación de certificados digitales emitidos en el marco de la Política de Certificación para Firma Digital de Profesionales y Auxiliares de la Salud Humana los que podrán ser utilizados para suscribir digitalmente todo tipo de documentos, comunicaciones, archivos, registros, trámites, bases y bancos de datos, que el Suscriptor en función de la competencia que le otorga su profesión o actividad se encuentre facultado a firmar, en concordancia con lo dispuesto por la normativa legal vigente. Siempre teniendo en cuenta los límites previstos en el artículo 4º de la Ley Nacional Nº 25.506 y demás límites que pudieran existir. Ello, toda vez que los certificados de clave pública emitidos en virtud de dicha Política de Certificación identificarán al firmante conjuntamente con su profesión o actividad relacionada con la Salud Humana que ejerzan en el ámbito de la Provincia de San Luis. Asimismo, los procedimientos enunciados en este Manual de Certificación son de aplicación para la emisión de certificados a favor del INSTITUTO utilizados para la verificación en línea del estado de los certificados (OCSP).

1.4. CONTACTOS

El presente Manual de Procedimientos es administrado por el Instituto de Firma Digital de la Provincia de San Luis.

Para efectuar consultas y/o sugerencias dirigirse a:

Instituto de Firma Digital de la Provincia de San Luis - Universidad de La Punta Domicilio: Av. Universitaria S/N, Ciudad de La Punta (5710) - Universidad de La Punta Provincia de San Luis - República Argentina.

Teléfono: (0266) 4452000 int. 6095

Correo electrónico: [email protected] Sitio Web: http://www.pki.sanluis.gov.ar

(14)

Centro de Servicios Tecnológicos San Luis – Datacenter Domicilio: Av. Universitaria S/N, Ciudad de La Punta (5710) Provincia de San Luis - República Argentina.

Teléfono: (0266) 4452000 int. 2010

2. ASPECTOS GENERALES DE LA POLÍTICA DE CERTIFICACIÓN

2.1. OBLIGACIONES

2.1.1. OBLIGACIONES DEL CERTIFICADOR

Las obligaciones del INSTITUTO se encuentran establecidas en el apartado 2.1.1 de la Política de Certificación, no habiendo procedimientos aplicables a este punto.

2.1.2. OBLIGACIONES DE LA AUTORIDAD DE REGISTRO

Las obligaciones de las AR se encuentran establecidas en el apartado 2.1.2 de la Política de Certificación vinculada a este Manual.

Adicionalmente los organismos que constituyan una AR asumen las siguientes obligaciones:

a) Instruir a sus suscriptores en la tramitación de los servicios provistos por el INSTITUTO y en el manejo de la operatoria de la tecnología de firma digital de las distintas aplicaciones que requieran su uso a través del Instructor de Firma Digital.

b) Instruir a sus usuarios acerca de las buenas prácticas de utilización de la tecnología de firma digital por medio del mencionado Instructor de Firma Digital.

c) Asistir a solicitantes o suscriptores en la tramitación de los servicios provistos por el INSTITUTO y en el manejo de la operatoria de la tecnología de firma digital de las distintas aplicaciones que requieran su uso a través del Responsable de Soporte de Firma Digital.

(15)

2.1.3. OBLIGACIONES DEL SUSCRIPTOR DEL CERTIFICADO

El suscriptor de un certificado digital asume las obligaciones establecidas en el apartado 2.1.3 de la Política de Certificación, no habiendo procedimientos especiales aplicables a este punto.

2.1.4. OBLIGACIONES DE TERCEROS USUARIOS

Los terceros usuarios de un certificado digital asumen las obligaciones establecidas en el apartado 2.1.4 de la Política de Certificación, no habiendo procedimientos especiales aplicables a este punto.

2.1.5. OBLIGACIONES DEL SERVICIO DE REPOSITORIO

El INSTITUTO brinda el servicio de repositorio según lo establecido en el apartado 2.1.5 de la Política de Certificación, no habiendo procedimientos especiales aplicables a este punto.

2.2. RESPONSABILIDADES

El INSTITUTO asume la responsabilidad ante terceros con el alcance establecido en el apartado 2.2 de la Política de Certificación, no habiendo procedimientos especiales aplicables a este punto.

2.3. RESPONSABILIDAD FINANCIERA

2.3.1. RESPONSABILIDAD FINANCIERA DEL CERTIFICADOR

La responsabilidad financiera del INSTITUTO se origina en lo establecido en el régimen provincial de firma digital previsto en la Ley N° V-0591-2007, reglamentada en el Decreto Nº 0428-MP-2008, por la cual la Provincia adhiere la Ley 25.506, su Decreto Reglamentario Nº 2628/02; y en las disposiciones de la Política de Certificación vinculada a este Manual de Procedimientos, no habiendo procedimientos aplicables a este punto.

2.4. INTERPRETACIÓN Y LEGALIDAD 2.4.1. LEGISLACIÓN APLICABLE

(16)

La interpretación, obligatoriedad, diseño y validez de este Manual de Procedimientos de Certificación y sus documentos asociados se encuentran sometidos a lo establecido por la Ley Provincial Nº V-0591- 2007, su Decreto Reglamentario Nº 0428-MP-2008, la Ley Nacional Nº 25.506, su Decreto Reglamentario Nº 2628/2002, la Resolución Rectoral Nº 2120004-ULP-2009 y demás normas complementarias dictadas por autoridad competente.

El presente Manual así como todos sus documentos asociados se actualizarán dando cumplimiento a los procedimientos detallados en el apartado 8, “Administración de Especificaciones”.

2.4.2. FORMA DE INTERPRETACIÓN Y APLICACIÓN

La interpretación y/o aplicación de las disposiciones del presente Manual de Procedimientos y de cualquiera de sus documentos asociados, será resuelta según lo previsto en la normativa citada en el Punto 2.4.1 “Legislación Aplicable”, siguiendo el procedimiento previsto en el Punto 2.4.3

“Procedimiento de Resolución de Conflictos”.

2.4.3. PROCEDIMIENTOS DE RESOLUCIÓN DE CONFLICTOS

A los efectos de la resolución de cualquier controversia y/o conflicto resultante de la aplicación de lo dispuesto en este Manual de Certificación, la Política asociada al presente y/o en cualquiera de sus documentos asociados, los suscriptores o terceros usuarios deberán agotar la vía administrativa con el Certificador Licenciado Provincial. Luego de cumplida esa instancia podrán accionar ante la Autoridad de Aplicación conforme el procedimiento previsto en el Decreto N° 0428-MP-2008.

A los efectos del reclamo ante el INSTITUTO, se procederá de la siguiente manera:

Una vez recibido el reclamo en las oficinas del INSTITUTO, este citará al reclamante a una audiencia y labrará un acta que deje expresa constancia de los hechos que motivan el reclamo y de los antecedentes que le sirvan de causa.

Una vez que el Certificador emita opinión, se notificará al reclamante y se le otorgará un plazo de CINCO (5) días hábiles administrativos para ofrecer y producir la prueba de su descargo.

(17)

El INSTITUTO resolverá en un plazo de DIEZ (10) días lo que estime corresponder, dictando el acto administrativo correspondiente.

Los reclamos realizados ante la Autoridad de Aplicación tramitarán de acuerdo a lo dispuesto en el artículo 19 del Decreto Provincial N° 0428-MP-2008, conforme el cual el procedimiento se ajustará a las siguientes disposiciones:

1. La Autoridad de Aplicación iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones de la Ley Provincial de Firma Digital, su Decreto Reglamentario y/o a las demás normas reglamentarias, por denuncia de quien invocare un interés particular, o asociaciones de consumidores o usuarios.

2. Se procederá a labrar acta en la que se dejará constancia del hecho denunciado o verificado y de la disposición presuntamente infringida. En la misma acta se dispondrá agregar la documentación acompañada y citar al Certificador para que, dentro del plazo de CINCO (5) días hábiles, presente su descargo por escrito o por vía telemática con firma digital.

3. La constancia del acta labrada, así como las comprobaciones técnicas que se dispusieran, constituirán prueba suficiente de los hechos así comprobados, salvo en los casos en que resultaren desvirtuados por otras pruebas.

4. Las pruebas se admitirán solamente en caso de existir hechos controvertidos y siempre que no resulten manifiestamente inconducentes. Contra la resolución que deniegue medidas de prueba sólo se concederá recurso de reconsideración. La prueba deberá producirse dentro del término de DIEZ (10) días hábiles, prorrogables cuando haya causas justificadas, teniéndose por desistidas aquellas no producidas dentro de dicho plazo por causa imputable al infractor.

5. Concluidas las diligencias sumariales, se dictará la resolución definitiva dentro del término de VEINTE (20) días hábiles.

Una vez agotada la vía administrativa, podrá interponerse acción judicial.

2.5. ARANCELES

(18)

El Certificador no percibe aranceles por la solicitud, emisión y/o revocación de los certificados de clave pública emitidos bajo la Política de Certificación vinculada a este Manual de Procedimientos de Certificación.

Asimismo, el INSTITUTO tampoco percibe aranceles por ninguno de sus servicios relacionados.

El INSTITUTO se reserva el derecho de entregar en forma gratuita dispositivos criptográficos para la emisión de certificados digitales reservándose el derecho de requerir al Suscriptor las garantías necesarias a efectos de afianzar suficientemente su valor de mercado.

2.6. PUBLICACIÓN Y REPOSITORIOS DE CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS (CRLS)

2.6.1. PUBLICACIÓN DE INFORMACIÓN DEL CERTIFICADOR

El INSTITUTO opera un sitio de publicación, el que se encuentra disponible durante las VEINTICUATRO (24) horas los SIETE (7) días de la semana, en http:// www.pki.sanluis.gov.ar

En este sitio se puede encontrar la siguiente información:

 El certificado digital de clave pública de la Autoridad Certificante Raíz de la Provincia de San Luis y el certificado digital de clave pública de la Autoridad Certificante Intermedia Provincial;

 El certificado digital de clave pública de la Autoridad Certificante del INSTITUTO para la Política de Certificación para Firma Digital de Profesionales y Auxiliares de la Salud Humana;

 Los datos de contacto del INSTITUTO;

 La Política de Certificación antes mencionada en su versión vigente y las anteriores;

 Este Manual de Procedimientos de Certificación en sus aspectos de carácter público, en su versión vigente y las anteriores;

 El Acuerdo con Suscriptores;

 Los Términos y Condiciones con Terceros Usuarios;

(19)

 La Política de Privacidad;

 La Lista de Certificados Emitidos;

 La Lista de Certificados Revocados (CRL);

 Toda otra documentación técnica de carácter público que se emita, en su versión vigente y las anteriores;

 La información relevante de los datos de la última auditoría de que hubiera sido objeto el INSTITUTO.

Adicionalmente, el INSTITUTO pone a disposición de los Terceros y los Suscriptores un servicio de consulta basado en el protocolo de comunicación OSCP, “Online Certificate Status Protocol” para la consulta en línea del estado de validez de los certificados emitidos bajo la Política de Certificación vinculada al presente Manual de Certificación. Dicho servicio de verificación:

• Cumple con lo señalado en el RFC 2560 del registro de estándares para Internet.

• Utiliza mensajes codificados que son transmitidos sobre el protocolo HTTP.

Este servicio mantiene una disponibilidad de 24x7, durante los 365 días del año.

2.6.2. FRECUENCIA DE PUBLICACIÓN

La información alojada en el sitio de publicación será actualizada inmediatamente después que la información a incluir en ellos haya sido verificada y autorizada por el INSTITUTO.

Cuando se trate de la modificación a la Política de Certificación, Manual de Procedimientos y demás documentación obligatoria, las actualizaciones se realizarán en un plazo de veinticuatro (24) horas, siempre que se hubiera cumplido el procedimiento de Administración de Especificaciones descripto en el apartado 8 de este Manual.

La Lista de Certificados Revocados (CRL) y el repositorio de emitidos serán actualizados inmediatamente después de revocarse o emitirse un certificado, y en ningún caso superará las veinticuatro (24) horas de demora.

(20)

Independientemente de un suceso de revocación de un certificado, la Lista de Certificados Revocados (CRL) se renueva diariamente aunque no sufriera modificaciones.

2.6.3. CONTROLES DE ACCESO A LA INFORMACIÓN

El INSTITUTO no establece restricciones al acceso a la Política de Certificación, al Acuerdo con Suscriptores, a los Términos y Condiciones con Terceros Usuarios, a este Manual de Procedimientos en sus aspectos de carácter público y a toda otra documentación técnica de carácter público que emita, en sus versiones actualizadas y las anteriores.

El INSTITUTO garantiza el acceso a su certificado de clave pública y su estado de validez, a la Lista de Certificados Revocados, la Lista de Certificados Emitidos.

El acceso permanente e irrestricto por parte de los Suscriptores y terceros a la información publicada en su repositorio es monitoreado permanentemente por el personal del INSTITUTO, que detecta la indisponibilidad o falla del servicio de certificación, reportando el incidente inmediatamente a fin de resolver a la brevedad el inconveniente. En caso de resultar infructuoso en un tiempo acorde a la gravedad de la falla, se aplicará el Plan de Contingencias.

2.6.4. REPOSITORIOS

El servicio de repositorio de información y la publicación de la Lista de Certificados Revocados son administrados en forma directa por el INSTITUTO.-

Los sitios de publicación se encontrarán disponibles para uso público durante VEINTICUATRO (24) horas diarias, SIETE (7) días a la semana, sujeto a un razonable calendario de mantenimiento.

El procedimiento de emisión y publicación de la CRL se ejecuta en forma automática por la aplicación de la AC INSTITUTO.

Una vez determinada la necesidad de revocación de un certificado digital, la actualización de la Lista de Certificados Revocados (CRL) se realiza de modo automático y sincrónico con la correspondiente operación de revocación en el Sistema Informático del INSTITUTO. Sin perjuicio de ello, la CRL se renueva diariamente independientemente de si hubieran ocurrido nuevas revocaciones.

(21)

De este modo, salvo contingencias operativas, la publicación del estado de los certificados digitales revocados por el INSTITUTO estará disponible para su consulta por parte de terceros usuarios inmediatamente de revocados.

La Lista de Certificados Revocados incluye la fecha y la hora de la última actualización.

El acceso a la Lista de Certificados Revocados es público, no estableciéndose ninguna clase de restricción.

Se encuentra disponible en el sitio web del INSTITUTO http://www. pki.sanluis.gov.ar, o bien se puede consultar el estado de los certificados por medio del servicio Online Certificate Status http://ocsp.pki.sanluis.gov.ar/ocsp

Asimismo, el repositorio de certificados se actualiza de manera automática inmediatamente después de ocurrida la emisión de un certificado digital.

2.7. AUDITORIAS

El INSTITUTO se encuentra sujeto a auditorías de la Autoridad de Aplicación conforme lo dispuesto en la Ley Provincial Nº V-0591-2007, el Decreto Nº 0428-MP-2008, la Resolución Rectoral Nº 2120003-ULP- 2009 y la Resolución Rectoral Nº 2120004-ULP-2009.

La información relevante de los informes de la última auditoría, será publicada en el sitio de publicación del INSTITUTO http://pki.sanluis.gov.ar

Entre los principales temas a auditar se encontrarán:

 Requisitos legales generales,

 Política de Certificación y Manual de Procedimientos de Certificación,

 Plan de Seguridad,

 Plan de Cese de Actividades,

 Plan de Contingencia,

 La Normativa Jurídica Interna de la Sala Cofre del Instituto de Firma Digital de la Provincia de San Luis, aprobada por Resolución Rectoral Nº 2120006-ULP-2009 y sus modificatorias,

(22)

 Ciclo de vida de las claves criptográficas de la Autoridad Certificante,

 Ciclo de vida de los certificados de Suscriptores,

 Estructura y contenido de los certificados y Listas de Certificados Revocados,

 Mecanismos de acceso a la documentación publicada, certificados y CRLs,

 Pautas para la Autoridad de Registro.

En caso de dictámenes no favorables, el Director del INSTITUTO implementará las medidas correctivas necesarias.

Las Autoridades de Registro, además, se encuentran sujetas a las auditorías del INSTITUTO en base a un cronograma anual. Podrá asimismo realizar revisiones ad-hoc cuando las circunstancias lo ameriten.

El INSTITUTO se reserva el derecho de suspender temporalmente o revocar la autorización para actuar como AR Remota, en caso de detectar incumplimientos graves en la operatoria de la AR.

La información relevante de los informes de las auditorías es publicada en el sitio web del INSTITUTO http://www.pki.sanluis.gov.ar

Las auditorías deberán realizarse siguiendo el procedimiento que se detalla a continuación:

El INSTITUTO, en su rol de Certificador, así como las Autoridades de Registro que deban ser sometidas a auditorias, serán notificadas fehacientemente por el Coordinador de Auditoría del ente auditante con DIEZ (10) días hábiles de antelación a la fecha de inicio de la Auditoría. La etapa de relevamiento no podrá durar más de QUINCE (15) días hábiles, salvo justificación en contrario. Concluida la auditoría, el Coordinador de Auditorías de la entidad auditante elevará a su Superior un informe conteniendo el análisis pormenorizado del resultado de la auditoria. Asimismo, notificará el Informe de auditoría a la Autoridad de Aplicación. El informe también será notificado al auditado dentro de los CINCO (5) días de su recepción por parte de su Superior, quien contará con un plazo de VEINTE (20) días hábiles para efectuar las aclaraciones que considere pertinentes. Las entidades auditantes y las personas que efectúen las auditorías deben mantener la confidencialidad sobre la información considerada amparada bajo normas de confidencialidad por el Certificador Licenciado o el solicitante de licenciamiento.

(23)

2.8. CONFIDENCIALIDAD

2.8.1. INFORMACIÓN CONFIDENCIAL

A los efectos de la divulgación de información considerada confidencial, a petición de autoridad judicial o competente, deberá ser previamente autorizada por el Director del INSTITUTO, quien decidirá sobre la conveniencia de la oportunidad y medio en que se realizará la comunicación del contenido al requirente.

2.8.2. INFORMACIÓN NO CONFIDENCIAL

La información no confidencial relacionada con la Autoridad Certificante del INSTITUTO se encuentra disponible y libremente accesible en el sitio de publicación http://www.pki.sanluis.gov.ar

2.8.3. PUBLICACIÓN DE INFORMACIÓN SOBRE LA REVOCACIÓN O SUSPENSIÓN DE UN CERTIFICADO

El acceso a la Lista de Certificados Revocados (CRL) es público y se encuentra disponible en el sitio del INSTITUTO de publicación http://www.pki.sanluis.gov.ar, conforme lo dispuesto en el apartado 2.6.4

“Repositorios de certificados y listas de revocación” del presente Manual de Procedimientos.

Conforme lo dispuesto en la Ley N° 25.506, el estado de suspensión no está admitido.

2.8.4. DIVULGACIÓN DE INFORMACIÓN A AUTORIDADES JUDICIALES

Cuando existiera un pedido formal de información emanado de una Autoridad Judicial, ya sea que se trate sobre información confidencial o no confidencial de Suscriptores, se le dará el tratamiento detallado en el apartado 2.8.1. – “Información confidencial” del presente Manual de Procedimientos.

2.8.5. DIVULGACIÓN DE INFORMACIÓN COMO PARTE DE UN PROCESO JUDICIAL O ADMINISTRATIVO

Resulta de aplicación lo establecido en el apartado 2.8.4 del presente Manual de Procedimientos.

(24)

2.8.6. DIVULGACIÓN DE INFORMACIÓN POR SOLICITUD DEL SUSCRIPTOR

De conformidad con lo dispuesto en la Ley N° 25.326 de Protección de los Datos Personales, los Suscriptores pueden tener acceso a sus datos de identificación u otra información vinculada al ciclo de vida de su certificado digital. A fin de solicitar la divulgación de su información deberá hacerlo por escrito dirigiéndose al INSTITUTO.

2.8.7. OTRAS CIRCUNSTANCIAS DE DIVULGACIÓN DE INFORMACIÓN

Resulta de aplicación lo establecido en el apartado 2.8.7 de la Política de Certificación vinculada a este Manual.

2.9. DERECHOS DE PROPIEDAD INTELECTUAL

El derecho de autor de los sistemas y aplicaciones informáticas desarrollados por el INSTITUTO para la implementación de su Autoridad Certificante, como así también toda la documentación relacionada, pertenece a la Universidad de La Punta. Asimismo esta Universidad mantiene en forma exclusiva todos los derechos de propiedad intelectual relacionados con sus nombres. Los sistemas no desarrollado por el INSTITUTO cuentan con su correspondiente licencia de uso.

Ninguna parte de este Manual de Procedimientos ni sus documentos asociados se puede reproducir o distribuir sin que la previa notificación de derechos de propiedad intelectual aparezca en forma precisa, completa y sin modificaciones, atribuyendo su autoría a la Universidad de La Punta.

Consecuentemente, dichos documentos no pueden ser reproducidos, copiados ni utilizados de ninguna manera, total o parcial, sin previo y formal consentimiento de la Universidad de la Punta, de acuerdo a la legislación vigente.

3. IDENTIFICACIÓN Y AUTENTICACIÓN

3.1. REGISTRO INICIAL

El INSTITUTO emite certificados a las personas físicas que cumplan con los requisitos exigidos en la Política de Certificación del Instituto de Firma Digital para Firma Digital de Profesionales y Auxiliares de la

(25)

Salud Humana para ser suscriptor, efectuándose una validación personal de la identidad del solicitante y demás circunstancias exigidas, para lo cual se requiere su presencia física ante la AR. La única excepción a la emisión de certificados para persona físicas es el caso del Certificado OCSP, mencionado en el apartado 1.3.4., que sólo será emitido a favor del INSTITUTO.

3.1.1. TIPOS DE NOMBRES

Sólo se admitirá el nombre y apellido que figure en la documentación identificatoria de la persona solicitante de certificado digital.

3.1.2. NECESIDAD DE NOMBRES DISTINTIVOS

Los atributos mínimos incluidos en los certificados se encuentran definidos en el apartado 3.1.2 de la Política de Certificación vinculada al presente Manual de Procedimientos.

3.1.3. REGLAS PARA LA INTERPRETACIÓN DE NOMBRES

Todos los nombres representados dentro de los certificados emitidos bajo la Política de Certificación vinculada a este Manual de Procedimientos coinciden con los correspondientes al documento de identidad del Suscriptor. Las discrepancias o conflictos que pudieran generarse cuando los datos de los suscriptores contengan caracteres especiales, se tratarán de modo de asegurar la precisión de la información contenida en el certificado.

3.1.4. UNICIDAD DE NOMBRES

El nombre distintivo de cada certificado es único para cada Suscriptor y está integrado por los campos indicados en el punto 3.1.2 de la Política de Certificación vinculada al presente Manual de Procedimientos.

Si dos o más Suscriptores tuvieran el mismo nombre y apellido, la unicidad queda resuelta por la combinación de los valores en los campos “Nombre Común” y “Número de Serie”.

(26)

3.1.5. PROCEDIMIENTO DE RESOLUCIÓN DE DISPUTAS SOBRE NOMBRES

El INSTITUTO resolverá los conflictos que pudieran generarse respecto de la utilización de nombres distintivos.

3.1.6. RECONOCIMIENTO, AUTENTICACIÓN Y ROL DE LAS MARCAS REGISTRADAS

No se aplica por tratarse de un Manual de Procedimientos vinculado a una Política de Certificación en el marco de la cual sólo se emiten certificados digitales a personas físicas.

3.1.7. MÉTODOS PARA COMPROBAR LA POSESIÓN DE LA CLAVE PRIVADA

El Solicitante generará su par de claves criptográficas usando su propio dispositivo criptográfico técnicamente confiable, durante el proceso de solicitud de certificado. Las claves son generadas y almacenadas por el Solicitante, no quedando almacenada la clave privada en el sistema informático del INSTITUTO.

La aplicación de la AC-INSTITUTO validará el requerimiento del certificado (PKCS#10) con el fin de verificar la posesión de la clave privada del Solicitante. En caso de ser correcto el formato, la aplicación de la AC INSTITUTO entrega al solicitante un "Formulario de Solicitud". El solicitante debe firmar ológrafamente el "Formulario de solicitud" y entregarlo a la Autoridad de Registro en el proceso de validación de la identidad.

La aplicación de la Autoridad Certificante, una vez que emite el certificado, eliminará automáticamente el requerimiento PKCS#10 asociado a ese certificado con el fin de evitar que se genere un nuevo certificado con dicho requerimiento.

De acuerdo con lo dispuesto en el artículo 28 del Decreto N° 0428-MP-2008, reglamentario de la Ley Provincial N° V-0591-2007, el artículo 21 inciso b) de la Ley N°25.506 y el artículo 34 inciso i) del Decreto N°2628/2002 el INSTITUTO se abstiene de generar, exigir o por cualquier medio tomar conocimiento o acceder bajo ninguna circunstancia a la clave privada de los solicitantes y titulares de los certificados por él emitidos.

(27)

3.1.8. AUTENTICACIÓN DE LA IDENTIDAD DE PERSONAS JURÍDICAS PÚBLICAS O PRIVADAS

No es aplicable, ya que la Política de Certificación vinculada al presente Manual de Procedimientos no contempla la emisión de certificados digitales a personas jurídicas.

3.1.9. AUTENTICACIÓN DE LA IDENTIDAD DE PERSONAS FÍSICAS

El INSTITUTO únicamente emite certificados para personas físicas que cumplan con los requisitos para ser Suscriptor exigidos en la Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana, efectuándose una validación de la identidad del Solicitante, para lo cual se requiere su presencia física ante la Autoridad de Registro correspondiente. Asimismo, el Solicitante debe probar que posee la profesión o actividad vinculada con la salud humana que alega.

En consecuencia, para la generación de su certificado de firma digital, el Solicitante debe concurrir personalmente con el dispositivo criptográfico y la documentación que se detalla a continuación:

a) Documento de Identidad, Libreta Cívica, Libreta de Enrolamiento o Cédula de Identidad Provincial Electrónica, en original y fotocopia.

En el caso de extranjeros, deberán presentar en original y fotocopia, Pasaporte, Documento Nacional de Identidad Argentino, Cédula de Identidad MERCOSUR o alguno de los documentos de viaje de los Estados Parte o Asociados del MERCOSUR conforme la normativa migratoria vigente.

b) Matrícula otorgada por la Repartición Estatal en cuya órbita se encuentra el Registro ante el cual el Suscriptor se haya matriculado o por la Entidad deontológica en la que se hubiere delegado esa facultad, en original y fotocopia, de la cual surgirá:

 Nombre y Apellido del Solicitante,

 Documento de Identidad,

 Profesión o actividad ejercida vinculada con la salud humana,

 Número de Matrícula.

(28)

c) Nota firmada por el responsable de la Repartición Estatal en cuya órbita se encuentra el Registro ante el cual se haya matriculado el Suscriptor o de la Entidad deontológica en la que se hubiere delegado esa facultad, enunciando los datos enumerados en el ítem precedente y manifestando que la respectiva matrícula se encuentra vigente y habilitada para ejercer la profesión.

La Autoridad de Registro verificará la identidad del solicitante y la documentación que presenta. En consecuencia, con el fin de ejecutar el procedimiento de autenticación antes mencionado el Oficial de Registro correspondiente, en presencia del solicitante, deberá verificar:

1) Con relación al documento de identidad presentado deberá cotejar que:

I) El documento corresponde a la persona que se presentó.

II) La fotocopia del documento de identidad presentado coincide con el documento de identidad del cual se obtuvo copia.

2) Con relación a la matrícula presentada deberá verificar que:

I) El nombre y apellido enunciado en la matrícula, coinciden con los del documento de identidad ya cotejado.

II) La matrícula avala una profesión o actividad relacionada con la salud humana en los términos de la Ley Provincial N° XIV-0361-2004.

III) La fotocopia de la matrícula presentada coincide con la matrícula de la cual se obtuvo copia.

3) Con relación a la Nota de Solicitud de Emisión de Certificado firmada por el responsable de la Repartición Estatal en cuya órbita se encuentra el Registro ante el cual se haya matriculado el Suscriptor o de la Entidad deontológica en la que se hubiere delegado esa facultad deberá verificar que:

I) Los datos del documento de identidad ya cotejado conforme lo descripto en el punto 1 coinciden con los que figuran en la mencionada Nota.

(29)

II) Que la profesión o actividad vinculada con la salud humana que surge de la Nota coincide con la que figura en la documentación presentada y cotejada conforme lo enunciado en el Item 2.

III) Que emana y está firmada por una autoridad competente.

IV) Que la fecha de emisión de la Nota de Solicitud de Certificado fue hecha dentro de los DIEZ (10) días de corrido de efectuada la presentación del solicitante ante la AR.

En caso de no reunirse elementos de juicio suficientes para validar la identidad del solicitante o la profesión o actividad informada según los procedimientos indicados, no se procederá a realizar el trámite de solicitud de emisión del certificado en el sistema del INSTITUTO.

Validada exitosamente la identidad del solicitante y la profesión o actividad informada, se procederá a iniciar la solicitud de emisión de certificado en el sistema del INSTITUTO a cuyo efecto el Solicitante deberá completar el “Formulario de Solicitud de Certificado” con la asistencia del Oficial de Registro, además de aceptar la Política de Certificación, el Acuerdo con Suscriptores y demás documentos asociados.

El Oficial de Registro efectuará los siguientes pasos:

a) Al momento de la presentación del Solicitante en sus oficinas, valida su identidad y que posee la profesión o actividad vinculada a la Salud Humana la cual ejerce en la Provincia de San Luis, mediante la verificación del documento de identidad, la matrícula y la nota emitida por la pertinente Repartición Estatal o Entidad Deontológica responsable del Registro conforme lo detallado anteriormente.

b) Asiste al Solicitante a completar el Formulario de Solicitud de Emisión de Certificado, y luego de imprimirlo, le requiere que proceda a su firma.

c) Utiliza el Sistema de Gestión de Certificados Digitales para proceder a la aprobación de la emisión del certificado.

d) Asiste al Solicitante en la descarga del certificado.

e) Resguarda toda la documentación respaldatoria del proceso de validación de la identidad de los Solicitantes.

(30)

El INSTITUTO, a través de su Director, podrá autorizar un procedimiento de excepción para emitir certificados en aquellos casos que exista un impedimento justificado, siempre que se garantice la identificación del suscriptor.

La AR conserva toda la documentación respaldatoria del proceso de validación por el término de DIEZ (10) años a partir de la fecha de vencimiento o revocación del certificado.

3.2. GENERACIÓN DE NUEVO PAR DE CLAVES (RE KEY)

Si por alguna causa resultara necesario cambiar el par de claves de un certificado vigente, el Suscriptor deberá solicitar la revocación de su certificado e iniciar nuevamente el proceso de solicitud de un certificado descripto en el apartado 3.1.9 del presente Manual. De haber expirado el certificado, no se permitirá la reutilización del mismo par de claves.

3.3. GENERACIÓN DE NUEVO CERTIFICADO (POSTERIOR A REVOCACIÓN)

Luego de una revocación el Suscriptor puede solicitar un nuevo certificado. A tal efecto se requiere el cumplimiento de los pasos descriptos en el punto 3.1.9 de este Manual de Certificación.

3.4. REQUERIMIENTO DE REVOCACIÓN

Un certificado digital emitido en el marco de la Política de Certificación vinculada al Presente Manual de Procedimientos podrá ser revocado utilizando cualquiera de los siguientes métodos:

Un certificado digital emitido en el marco de la Política de Certificación podrá ser revocado utilizando cualquiera de los siguientes métodos:

a) A través del sitio web del Instituto

Esta vía de revocación se encuentra disponible las VEINTICUATRO (24) horas los SIETE (7) días de la semana y sólo podrá ser utilizada por el Suscriptor de un certificado de clave pública accediendo a www.pki.sanluis.gov.ar .En este caso el suscriptor deberá, conectar su dispositivo criptográfico a su PC, seleccionar la Política de Certificación vinculada con este Manual y de los trámites opcionales existentes, seleccionar “Revocar un certificado digital”.

(31)

Inmediatamente de solicitada la revocación a través del sitio web se genera un expediente en el Software de Administración Seguro del INSTITUTO, el que será recibido por aquel, quien tendrá a su cargo darle curso a la referida solicitud.

b) Personalmente.

Esta vía de revocación podrá ser utilizada por el Suscriptor o los Terceros Autorizados ante la Autoridad de Registro en la cual se hubiera tramitado la validación de la identidad del Suscriptor.

Si quien concurre es el Suscriptor, se dará curso al pedido de revocación en forma inmediata, previa verificación de su documento de identidad. Si quien concurre es alguno de los terceros autorizados conforme lo dispuesto en el Punto 4.4.2., aquel deberá acreditar su identidad mediante presentación de su documento de identidad y el rol que alega con la documentación correspondiente.

En ambos casos, deberá dejarse registro de la referida solicitud y la documentación presentada.

Este requerimiento podrá realizarse únicamente en días y horarios hábiles, conforme el calendario de la Autoridad de Registro ante la cual el Suscriptor haya realizado la validación de su identidad.

A los efectos de dar curso a la solicitud de revocación, el Oficial de Registro deberá generar un expediente en el Software de Administración Seguro del INSTITUTO solicitando la revocación del certificado digital, el que deberá enviar al INSTITUTO inmediatamente de haber recibido la solicitud.

c) Procedimiento de Excepción.

Dada la urgencia del caso y siempre que existan causas suficientes que lo justifiquen, el Oficial de Registro o Director del INSTITUTO puede autorizar la revocación de un certificado de clave pública obviando la presentación del pedido de revocación y efectuando una confirmación telefónica de la solicitud.

4. CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS

4.1. SOLICITUD DE CERTIFICADO

4.1.1. SOLICITUD DE NUEVO CERTIFICADO

(32)

El INSTITUTO sólo emite certificados digitales para personas físicas siempre que reúnan los requisitos para ser Suscriptores conforme con lo dispuesto en el Punto 1.3.3 de la Política de Certificación vinculada al presente Manual de Procedimientos, utilice alguno de los dispositivos criptográficos aprobados por el INSTITUTO y concurra personalmente ante la Autoridad de Registro.

A tal efecto el Solicitante deberá presentarse ante la Autoridad de Registro con la documentación enumerada en el punto 3.1.9 de este Manual de Procedimientos y el dispositivo criptográfico aprobado.

Validada su identidad y su profesión o actividad por parte del Oficial de Registro, con su asistencia procederá a completar el Formulario de Solicitud de Emisión de Certificado utilizando la correspondiente aplicación del INSTITUTO, previa lectura y aceptación del Acuerdo con Suscriptores.

4.1.2. SOLICITUD DE RENOVACIÓN

La Política de Certificación vinculada al presente Manual de Procedimientos no contempla la renovación de los certificados.

4.2. EMISIÓN DEL CERTIFICADO

Cumplidos los recaudos del proceso de validación de identidad y otros datos de los solicitantes de acuerdo con lo establecido en este documento y la Política de Certificación, y luego de completado el Formulario de Solicitud de Certificado, el Oficial de Registro procederá a su control y de corresponder, a su posterior aprobación a través del sistema del INSTITUTO a cuyo efecto deberá firmar digitalmente la actuación.

Una vez finalizado exitosamente dicho proceso, el sistema de la AC-INSTITUTO emitirá el certificado correspondiente. Seguidamente, el Suscriptor tendrá disponible su certificado para ser descargado en el dispositivo criptográfico utilizado a cuyo efecto deberá conectar el dispositivo criptográfico correspondiente y descargarlo en la misma computadora desde la cual ha realizado la solicitud.

Los certificados digitales tendrán una validez de DOS (2) años desde su fecha de emisión, siempre que dicho plazo no exceda el período de uso del certificado de la Autoridad Certificante del Instituto de Firma Digital de la Provincia de San Luis actuando como Certificador Licenciado Provincial.

(33)

El Suscriptor recibirá un correo electrónico en la dirección declarada en el proceso de solicitud, informando que a los fines de una correcta utilización del certificado deberá instalar los certificados de la Autoridad Certificante Raíz de la Provincia de San Luis, de la Autoridad Certificante Intermedia Provincial y el correspondiente a la Política de Certificación y los drivers (controladores) del dispositivo criptográfico que utilice en su computadora.

4.3. ACEPTACIÓN DEL CERTIFICADO

La descarga del certificado del Suscriptor importará su aceptación asumiendo, en consecuencia, la absoluta y exclusiva responsabilidad por su utilización y por los daños emergentes que la no observancia de la regulación pudiera implicar, desde la fecha de su emisión.

Cumplidos estos pasos, el Certificador procederá a publicar el certificado emitido en su sitio web.

4.4. SUSPENSIÓN Y REVOCACIÓN DE CERTIFICADOS

El estado de suspensión de certificados no es admitido en el marco de la Ley N° 25.506.

4.4.1. CAUSAS DE REVOCACIÓN

El INSTITUTO revocará los certificados digitales que hubiera emitido en los siguientes casos:

a) A solicitud del Suscriptor del certificado digital;

b) Si determinara que un certificado digital fue emitido en base a una información falsa, que en el momento de la emisión hubiera sido objeto de verificación;

c) Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros;

d) Por condiciones especiales definidas en su política de certificación;

e) Por resolución judicial o de la autoridad de aplicación;

f) Por fallecimiento del titular;

g) Por declaración judicial de ausencia con presunción de fallecimiento del titular;

(34)

h) Por declaración judicial de incapacidad del titular;

i) Si se determina que la información contenida en el certificado ha dejado de ser válida;

j) La clave privada asociada al certificado de clave pública o el medio en que se encuentre almacenada se encuentren comprometidos o corran peligro de estarlo;

k) Cuando cese el vínculo del suscriptor con el ente o sea modificada su situación de revista o cargo;

l) Ante incumplimiento por parte del suscriptor de las obligaciones establecidas en el Acuerdo con Suscriptores;

m) Si se determina que el certificado no fue emitido de acuerdo a los lineamientos de la Política de Certificación, del Manual de Procedimientos, de la Ley N° 25.506, del Decreto Reglamentario N° 2628/02 y demás normativa sobre firma digital;

n) Por revocación del certificado digital del Certificador

o) Cuando así lo establezcan las condiciones indicadas en el Acuerdo aplicable a la AR, de existir p) Se produzcan cambios en la información que el certificado contiene o ésta se desactualice;

q) Se produzca la suspensión o cancelación de su matrícula;

r) Por disposición del INSTITUTO debidamente fundada, como por ejemplo incumplimiento por parte del Suscriptor de las obligaciones establecidas por la normativa vigente en materia de firma digital.

4.4.2. AUTORIZADOS A SOLICITAR LA REVOCACIÓN

Se encuentran autorizados a solicitar la revocación de un certificado emitido en el marco de la Política de Certificación vinculada al presente Manual de Certificación:

a) El Suscriptor del certificado;

b) La Repartición Estatal en cuya órbita se encuentra el Registro ante el cual el Suscriptor se haya matriculado o la Entidad deontológica en la que se hubiere delegado esa facultad;

c) El INSTITUTO y los Responsables de la Autoridad de Registro correspondiente a ese Suscriptor;