MANUAL DE PROCEDIMIENTOS DE CERTIFICACIÓN DEL INSTITUTO DE FIRMA DIGITAL DE LA PROVINCIA DE SAN LUIS de la Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana OID 2.16.32.1.3.2.1.1.6.
INFRAESTRUCTURA DE FIRMA DIGITAL DE LA PROVINCIA DE SAN LUIS
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
ÍNDICE 1.
INTRODUCCIÓN .....................................................................................................................................................8
1.1.
RESUMEN ..............................................................................................................................................................8
1.2.
IDENTIFICACIÓN ....................................................................................................................................................8
1.3.
PARTICIPANTES Y APLICABILIDAD..........................................................................................................................9
1.3.1.
CERTIFICADOR .......................................................................................................................................................9
1.3.2.
AUTORIDAD DE REGISTRO .....................................................................................................................................9
1.3.3.
PROCEDIMIENTO DE DESIGNACIÓN DE AUTORIDADES DE REGISTRO. ...............................................................10
1.3.4.
SUSCRIPTORES DE CERTIFICADOS .......................................................................................................................12
1.3.5.
APLICABILIDAD ....................................................................................................................................................13
1.4.
CONTACTOS .........................................................................................................................................................13
2.
ASPECTOS GENERALES DE LA POLÍTICA DE CERTIFICACIÓN ................................................................................14
2.1.
OBLIGACIONES ....................................................................................................................................................14
2.1.1.
OBLIGACIONES DEL CERTIFICADOR .....................................................................................................................14
2.1.2.
OBLIGACIONES DE LA AUTORIDAD DE REGISTRO ................................................................................................14
2.1.3.
OBLIGACIONES DEL SUSCRIPTOR DEL CERTIFICADO ...........................................................................................15
2.1.4.
OBLIGACIONES DE TERCEROS USUARIOS ............................................................................................................15
2.1.5.
OBLIGACIONES DEL SERVICIO DE REPOSITORIO ..................................................................................................15
2.2.
RESPONSABILIDADES ...........................................................................................................................................15
2.3.
RESPONSABILIDAD FINANCIERA ..........................................................................................................................15
2.3.1.
RESPONSABILIDAD FINANCIERA DEL CERTIFICADOR ...........................................................................................15
2.4.
INTERPRETACIÓN Y LEGALIDAD ...........................................................................................................................15
2.4.1.
LEGISLACIÓN APLICABLE......................................................................................................................................15
2.4.2.
FORMA DE INTERPRETACIÓN Y APLICACIÓN .......................................................................................................16
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 2 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
2.4.3.
PROCEDIMIENTOS DE RESOLUCIÓN DE CONFLICTOS ..........................................................................................16
2.5.
ARANCELES ..........................................................................................................................................................17
2.6.
PUBLICACIÓN Y REPOSITORIOS DE CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS (CRLS) ..................18
2.6.1.
PUBLICACIÓN DE INFORMACIÓN DEL CERTIFICADOR .........................................................................................18
2.6.2.
FRECUENCIA DE PUBLICACIÓN ............................................................................................................................19
2.6.3.
CONTROLES DE ACCESO A LA INFORMACIÓN .....................................................................................................20
2.6.4.
REPOSITORIOS .....................................................................................................................................................20
2.7.
AUDITORIAS.........................................................................................................................................................21
2.8.
CONFIDENCIALIDAD ............................................................................................................................................23
2.8.1.
INFORMACIÓN CONFIDENCIAL ............................................................................................................................23
2.8.2.
INFORMACIÓN NO CONFIDENCIAL ......................................................................................................................23
2.8.3.
PUBLICACIÓN DE INFORMACIÓN SOBRE LA REVOCACIÓN O SUSPENSIÓN DE UN CERTIFICADO .......................23
2.8.4.
DIVULGACIÓN DE INFORMACIÓN A AUTORIDADES JUDICIALES .........................................................................23
2.8.5.
DIVULGACIÓN DE INFORMACIÓN COMO PARTE DE UN PROCESO JUDICIAL O ADMINISTRATIVO .....................23
2.8.6.
DIVULGACIÓN DE INFORMACIÓN POR SOLICITUD DEL SUSCRIPTOR ..................................................................24
2.8.7.
OTRAS CIRCUNSTANCIAS DE DIVULGACIÓN DE INFORMACIÓN..........................................................................24
2.9.
DERECHOS DE PROPIEDAD INTELECTUAL ............................................................................................................24
3.
IDENTIFICACIÓN Y AUTENTICACIÓN ....................................................................................................................24
3.1.
REGISTRO INICIAL ................................................................................................................................................24
3.1.1.
TIPOS DE NOMBRES.............................................................................................................................................25
3.1.2.
NECESIDAD DE NOMBRES DISTINTIVOS ..............................................................................................................25
3.1.3.
REGLAS PARA LA INTERPRETACIÓN DE NOMBRES ..............................................................................................25
3.1.4.
UNICIDAD DE NOMBRES......................................................................................................................................25
3.1.5.
PROCEDIMIENTO DE RESOLUCIÓN DE DISPUTAS SOBRE NOMBRES ...................................................................26
3.1.6.
RECONOCIMIENTO, AUTENTICACIÓN Y ROL DE LAS MARCAS REGISTRADAS .....................................................26
3.1.7.
MÉTODOS PARA COMPROBAR LA POSESIÓN DE LA CLAVE PRIVADA .................................................................26
3.1.8.
AUTENTICACIÓN DE LA IDENTIDAD DE PERSONAS JURÍDICAS PÚBLICAS O PRIVADAS .......................................27
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 3 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
3.1.9.
AUTENTICACIÓN DE LA IDENTIDAD DE PERSONAS FÍSICAS .................................................................................27
3.2.
GENERACIÓN DE NUEVO PAR DE CLAVES (RE KEY) .............................................................................................30
3.3.
GENERACIÓN DE NUEVO CERTIFICADO (POSTERIOR A REVOCACIÓN) ................................................................30
3.4.
REQUERIMIENTO DE REVOCACIÓN .....................................................................................................................30
4.
CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS .................................................................................31
4.1.
SOLICITUD DE CERTIFICADO ................................................................................................................................31
4.1.1.
SOLICITUD DE NUEVO CERTIFICADO ...................................................................................................................31
4.1.2.
SOLICITUD DE RENOVACIÓN ...............................................................................................................................32
4.2.
EMISIÓN DEL CERTIFICADO .................................................................................................................................32
4.3.
ACEPTACIÓN DEL CERTIFICADO ...........................................................................................................................33
4.4.
SUSPENSIÓN Y REVOCACIÓN DE CERTIFICADOS .................................................................................................33
4.4.1.
CAUSAS DE REVOCACIÓN ....................................................................................................................................33
4.4.2.
AUTORIZADOS A SOLICITAR LA REVOCACIÓN .....................................................................................................34
4.4.3.
PROCEDIMIENTOS PARA LA SOLICITUD DE REVOCACIÓN ...................................................................................35
4.4.3.1. REVOCACIÓN DE CERTIFICADOS DE FIRMA DIGITAL POR EL SUSCRIPTOR A TRAVÉS DE LA APLICACIÓN WEB ...35 4.4.3.2. REVOCACIÓN DE CERTIFICADOS DE FIRMA DIGITAL POR LA AUTORIDAD DE REGISTRO ....................................35 4.4.4.
PLAZO PARA LA SOLICITUD DE REVOCACIÓN ......................................................................................................36
4.4.5.
CAUSAS DE SUSPENSIÓN .....................................................................................................................................37
4.4.6.
AUTORIZADOS A SOLICITAR LA SUSPENSIÓN ......................................................................................................37
4.4.7.
PROCEDIMIENTOS PARA LA SOLICITUD DE SUSPENSIÓN ....................................................................................37
4.4.8.
LÍMITES DEL PERIODO DE SUSPENSIÓN DE UN CERTIFICADO .............................................................................37
4.4.9.
FRECUENCIA DE EMISIÓN DE LISTAS DE CERTIFICADOS REVOCADOS .................................................................37
4.4.10.
REQUISITOS PARA LA VERIFICACIÓN DE LA LISTA DE CERTIFICADOS REVOCADOS .............................................38
4.4.11.
DISPONIBILIDAD DEL SERVICIO DE CONSULTA SOBRE REVOCACIÓN Y DE ESTADO DEL CERTIFICADO ...............38
4.4.12.
REQUISITOS PARA LA VERIFICACIÓN EN LÍNEA DEL ESTADO DE REVOCACIÓN ...................................................39
4.4.13.
OTRAS FORMAS DISPONIBLES PARA LA DIVULGACIÓN DE LA REVOCACIÓN ......................................................39
4.4.14.
REQUISITOS PARA LA VERIFICACIÓN DE OTRAS FORMAS DE DIVULGACIÓN DE REVOCACIÓN...........................39
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 4 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
4.4.15.
REQUISITOS ESPECÍFICOS PARA CASOS DE COMPROMISO DE CLAVES ...............................................................39
4.5.
PROCEDIMIENTOS DE AUDITORÍA DE SEGURIDAD ..............................................................................................40
4.6.
ARCHIVO DE REGISTROS DE EVENTOS .................................................................................................................41
4.7.
CAMBIO DE CLAVE ...............................................................................................................................................43
4.8.
PLAN DE CONTINGENCIA Y RECUPERACIÓN ANTE DESASTRES ...........................................................................44
4.9.
PLAN DE CESE DE ACTIVIDADES ...........................................................................................................................45
5.
CONTROLES DE SEGURIDAD FÍSICA, FUNCIONALES Y PERSONALES ....................................................................46
5.1.
CONTROLES DE SEGURIDAD FÍSICA .....................................................................................................................46
5.2.
CONTROLES FUNCIONALES..................................................................................................................................48
5.3.
CONTROLES DE SEGURIDAD DEL PERSONAL .......................................................................................................48
5.3.1.
PROCEDIMIENTO DE ENTREGA Y RECEPCIÓN DE ELEMENTOS SENSIBLES ..........................................................50
6.
CONTROLES DE SEGURIDAD TÉCNICA .................................................................................................................51
6.1.
GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES CRIPTOGRÁFICAS ................................................................51
6.1.1.
GENERACIÓN DEL PAR DE CLAVES CRIPTOGRÁFICAS ..........................................................................................51
6.1.1.1. GENERACIÓN DEL PAR DE CLAVES DEL CERTIFICADOR .......................................................................................51 6.1.1.2. GENERACIÓN DEL PAR DE CLAVES DE LOS OFICIALES DE REGISTRO DE SUS AUTORIDADES DE REGISTRO ........51 6.1.1.3. GENERACIÓN DEL PAR DE CLAVES DEL SUSCRIPTOR: ..........................................................................................51 6.1.2.
ENTREGA DE LA CLAVE PRIVADA AL SUSCRIPTOR ...............................................................................................52
6.1.3.
ENTREGA DE LA CLAVE PÚBLICA AL EMISOR DEL CERTIFICADO ..........................................................................52
6.1.4.
DISPONIBILIDAD DE LA CLAVE PÚBLICA DEL CERTIFICADOR ...............................................................................53
6.1.5.
TAMAÑO DE CLAVES ...........................................................................................................................................53
6.1.6.
GENERACIÓN DE PARÁMETROS DE CLAVES ASIMÉTRICAS ..................................................................................54
6.1.7.
VERIFICACIÓN DE CALIDAD DE LOS PARÁMETROS ..............................................................................................54
6.1.8.
GENERACIÓN DE CLAVES POR HARDWARE O SOFTWARE ...................................................................................54
6.1.9.
PROPÓSITOS DE UTILIZACIÓN DE CLAVES (CAMPO “KEY USAGE” EN CERTIFICADOS X.509 V.3) ........................54
6.2.
PROTECCIÓN DE LA CLAVE PRIVADA ...................................................................................................................54
6.2.1.
ESTÁNDARES PARA MÓDULOS CRIPTOGRÁFICOS ...............................................................................................55
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 5 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
6.2.2.
CONTROL “M DE N” DE CLAVE PRIVADA .............................................................................................................55
6.2.3.
RECUPERACIÓN DE CLAVE PRIVADA ....................................................................................................................55
6.2.4.
COPIA DE SEGURIDAD DE CLAVE PRIVADA ..........................................................................................................56
6.2.5.
ARCHIVO DE CLAVE PRIVADA ..............................................................................................................................56
6.2.6.
INSERCIÓN DE CLAVES PRIVADAS EN MÓDULOS CRIPTOGRÁFICOS ...................................................................56
6.2.7.
MÉTODO DE ACTIVACIÓN DE CLAVES PRIVADAS ................................................................................................57
6.2.8.
MÉTODO DE DESACTIVACIÓN DE CLAVES PRIVADAS ..........................................................................................57
6.2.9.
MÉTODO DE DESTRUCCIÓN DE CLAVES PRIVADAS .............................................................................................57
6.3.
OTROS ASPECTOS DE ADMINISTRACIÓN DE CLAVES ...........................................................................................57
6.3.1.
ARCHIVO PERMANENTE DE CLAVE PÚBLICA .......................................................................................................57
6.3.2.
PERÍODO DE USO DE CLAVE PÚBLICA Y PRIVADA ................................................................................................57
6.4.
DATOS DE ACTIVACIÓN .......................................................................................................................................58
6.4.1.
GENERACIÓN E INSTALACIÓN DE DATOS DE ACTIVACIÓN ..................................................................................58
6.4.2.
PROTECCIÓN DE LOS DATOS DE ACTIVACIÓN .....................................................................................................58
6.4.3.
OTROS ASPECTOS REFERIDOS A LOS DATOS DE ACTIVACIÓN .............................................................................58
6.5.
CONTROLES DE SEGURIDAD INFORMÁTICA ........................................................................................................59
6.5.1.
REQUISITOS TÉCNICOS ESPECÍFICOS ...................................................................................................................59
6.5.2.
CALIFICACIONES DE SEGURIDAD COMPUTACIONAL ...........................................................................................60
6.6.
CONTROLES TÉCNICOS DEL CICLO DE VIDA .........................................................................................................61
6.6.1.
CONTROLES DE DESARROLLO DE SISTEMAS ........................................................................................................61
6.6.2.
CONTROLES DE ADMINISTRACIÓN DE SEGURIDAD .............................................................................................61
6.6.3.
CALIFICACIONES DE SEGURIDAD DEL CICLO DE VIDA ..........................................................................................62
6.7.
CONTROLES DE SEGURIDAD DE RED ...................................................................................................................62
6.8.
CONTROLES DE INGENIERÍA DE MÓDULOS CRIPTOGRÁFICOS ............................................................................62
7.
PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS ...........................................................62
7.1.
PERFIL DEL CERTIFICADO .....................................................................................................................................62
7.2.
PERFIL DE LA LISTA DE CERTIFICADOS REVOCADOS ............................................................................................62
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 6 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
8.
ADMINISTRACIÓN DE ESPECIFICACIONES ...........................................................................................................63
8.1.
PROCEDIMIENTOS DE CAMBIO DE ESPECIFICACIONES .......................................................................................63
8.2.
PROCEDIMIENTOS DE PUBLICACIÓN Y NOTIFICACIÓN ........................................................................................63
8.3.
PROCEDIMIENTOS DE APROBACIÓN ...................................................................................................................63
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 7 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
1. INTRODUCCIÓN 1.1.
RESUMEN
El presente Manual describe el conjunto de procedimientos utilizados por la Autoridad Certificante del
Instituto de Firma Digital de la Provincia de San Luis (en adelante AC-INSTITUTO) en el cumplimiento de sus responsabilidades de emisión y administración de certificados de clave pública emitidos a favor de sus Suscriptores en el marco de la Política de Certificación para Firma Digital de Profesionales y Auxiliares de la Salud Humana, OID 2.16.32.1.3.2.1.1.6., en cumplimiento de lo dispuesto en la Ley Provincial de Firma Digital N º V-0591-2007, reglamentada por el Decreto N° 0428-MP-2008, por la cual la Provincia adhiere a la Ley Nacional Nº 25.506, su decreto Reglamentario Nº 2628/02 y demás normas Reglamentarias. El presente Manual de Procedimientos forma parte de la documentación técnica emitida por la AC-INSTITUTO junto con los siguientes documentos:
Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana.
Plan de Seguridad: integrado por Política de Seguridad y Manual de Procedimientos de Seguridad.
Plan de Contingencias.
Plan de Cese de Actividades.
Acuerdo con Suscriptores.
Términos y Condiciones con Terceros Usuarios.
Política de Privacidad.
Plataforma Tecnológica.
1.2.
IDENTIFICACIÓN
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 8 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Nombre: “Manual de Procedimientos de Certificación de la Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana” Versión: 1.0 OID: 2.16.32.1.3.2.1.1.6 Fecha de Aplicación: 26 de Marzo de 2013 Sitio de Publicación: http://www.pki.sanluis.gov.ar Lugar de Publicación: Ciudad de La Punta, Provincia de San Luis, República Argentina.
1.3.
PARTICIPANTES Y APLICABILIDAD
Este Manual de Procedimientos es aplicable a: a) El Certificador Licenciado Provincial (en adelante el INSTITUTO), que emite certificados digitales para Firma Digital de Profesionales y Auxiliares de la Salud Humana. b) Las Autoridades de Registro (en adelante, las AR) que se constituyan en el ámbito de la Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana. c) Los solicitantes y suscriptores de certificados digitales emitidos por el Certificador, en el ámbito de la mencionada Política. d) Los terceros usuarios que verifican firmas digitales basadas en certificados digitales emitidos por el Certificador, en el ámbito de la mencionada Política. 1.3.1.
CERTIFICADOR
Los procedimientos enunciados en este Manual en su parte pertinente son de aplicación obligatoria para el INSTITUTO, quien presta los servicios de certificación digital de acuerdo con los términos de la Política de Certificación para Firma Digital de Profesionales y Auxiliares de la Salud Humana y del presente Manual de Procedimientos de Certificación. 1.3.2.
AUTORIDAD DE REGISTRO
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 9 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Los procedimientos enunciados en este Manual en su parte pertinente son de aplicación obligatoria para las Autoridades de Registro (AR). Ello, toda vez que el INSTITUTO admite la posibilidad de constituir Autoridades de Registro Remotas en los organismos que pretendan actuar como tales, las que serán responsables de efectuar las funciones de validación de identidad y de otros datos de los solicitantes y suscriptores de certificados digitales, registrando las presentaciones y trámites que les sean formulados por éstos. A los efectos de la constitución de una Autoridad de Registro será indispensable la celebración de un “Convenio de Constitución de Autoridad de Registro Remota” entre el INSTITUTO y el Organismo que pretende constituirse como tal. Dicho convenio deberá ser suscripto por el responsable máximo de ese Organismo y el Director del INSTITUTO, individualizando expresamente la Política de Certificación vinculada al presente Manual; designando al Responsable de la Autoridad de Registro (será el responsable máximo del organismo); a los Oficiales de Registro de la Autoridad de Registro Remota así como al Instructor de Firma Digital y al Responsable de Soporte de Firma Digital. Asimismo este Convenio deberá ser refrendado por la Autoridad de Aplicación Provincial. Dichas Autoridades de Registro serán responsables de efectuar las funciones de validación de identidad y de otros datos de los solicitantes y suscriptores de certificados digitales que resultan relevantes para su emisión y tendrán a su cargo la guarda de la documentación respaldatoria. Los organismos que han sido habilitados para operar como AR del INSTITUTO se encuentran disponibles en el sitio web http://www.pki.sanluis.gov.ar. Esta información se actualizará dentro de las cuarenta y ocho (48) horas de constituida una nueva AR. De igual forma y en el mismo plazo se procederá a su incorporación en la aplicación de la AC-INSTITUTO. 1.3.3.
PROCEDIMIENTO DE DESIGNACIÓN DE AUTORIDADES DE REGISTRO.
El Organismo que pretenda firmar un Convenio, para constituirse como Autoridad de Registro Remota, designará al menos dos personas que se desempeñarán en el rol de OFICIAL DE REGISTRO debiendo seguir para su elección el procedimiento que se describe a continuación: Previo a la Suscripción del Convenio de Constitución de AR Remota,
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 10 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
La máxima autoridad del Organismo o entidad que pretenda constituirse como AR comunicará al INSTITUTO mediante nota suscripta: La designación de las personas que ejercerán el rol de Oficial de Registro en la respectiva Autoridad de Registro una vez constituida. La designación de la o las personas que ejercerán los roles de Instructor de Firma Digital y de Responsable de Soporte de Firma Digital, quienes tendrán a su cargo las tareas enunciadas en el punto 2.1.2 del presente Manual. Dichos roles podrán recaer en los Oficiales de Registro. Eventualmente ambos roles podrán ser asignados a una misma persona si la autoridad competente así lo decidiese. Es responsabilidad de la AR asegurar la disponibilidad de ambos roles, como así también, asegurar su reemplazo, en caso de producirse la baja de alguno de ellos. Bajo ninguna circunstancia estas responsabilidades recaerán en el Certificador. Quien suscriba el Convenio en representación del Organismo donde se constituye la AR será el Responsable de la Autoridad de Registro, teniendo a su cargo notificar al INSTITUTO cualquier modificación que incida en su operatoria. El INSTITUTO procederá a aprobar o bien a denegar dicha propuesta, haciéndole saber al Organismo respecto de las obligaciones y responsabilidades que asume al respecto. En caso de aprobación, se procederá a la celebración del Convenio de Constitución de Autoridad de Registro Remota, el que será refrendado por la Autoridad de Aplicación del Régimen Provincial de Firma Digital.
Suscripto el Convenio de Constitución de la Autoridad de Registro: Cada Oficial de Registro, Instructor de Firma Digital y Responsable de Soporte de Firma Digital deberá recibir capacitación impartida al efecto por el INSTITUTO. Cada Oficial de Registro, Instructor de Firma Digital y Responsable de Soporte de Firma Digital deberá suscribir un Acta de Aceptación de cargo y confidencialidad.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 11 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Cada Oficial de Registro deberá solicitar un certificado debiendo contar al momento de dicha solicitud con un dispositivo criptográfico provisto por el Organismo en el cual desempeña su función el que quedará bajo su absoluto y exclusivo control. El certificado del Oficial de Registro solicitado será dado por la AC-INSTITUTO en el marco de la Política de Certificación de Agentes del Estado de la Provincia de San Luis. El INSTITUTO procederá a relacionar en el Sistema de la AC-INSTITUTO a cada Oficial de Registro con la AR donde llevará a cabo su función, previa constatación de su identidad y la correspondiente designación en el Convenio. El INSTITUTO procederá a publicar en su página web los datos de la nueva Autoridad de Registro Remota entre los cuales enunciará el Organismo donde se encuentra constituida y los datos de contacto. 1.3.4.
SUSCRIPTORES DE CERTIFICADOS
Los procedimientos enunciados en este Manual en su parte pertinente son de aplicación obligatoria para los Suscriptores de certificados digitales emitidos por la AC-INSTITUTO. Conforme lo dispuesto en la Política de Certificación vinculada al presente Manual podrán ser Suscriptores: a) Las personas físicas que acrediten ejercer alguna profesión o actividad vinculada con la salud humana en la Provincia de San Luis tales como medicina, odontología, bioquímica, farmacia y otras profesiones y actividades de colaboración afines, existentes o que se creen, así como aquellas que acrediten desempeñar actividades y prácticas preventivas, asistenciales, rehabilitadoras o de recreación para la salud, que se realicen individual o colectivamente, comprendidas en la Ley Provincial N° XIV0361-2004. Los certificados digitales para personas físicas serán emitidos en dispositivos criptográficos seguros aprobados por el INSTITUTO (Ej: tokens, smartcards, etc).
b) El INSTITUTO será suscriptor de certificados para ser usado en relación con el servicio On Line Certificate Status Protocol (en adelante, OCSP) de consulta sobre el estado de un certificado.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 12 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
1.3.5.
Versión
1.0
Fecha
26/03/2013
APLICABILIDAD
Los procedimientos descriptos en el presente Manual son de aplicación obligatoria para la emisión y revocación de certificados digitales emitidos en el marco de la Política de Certificación para Firma Digital de Profesionales y Auxiliares de la Salud Humana los que podrán ser utilizados para suscribir digitalmente todo tipo de documentos, comunicaciones, archivos, registros, trámites, bases y bancos de datos, que el Suscriptor en función de la competencia que le otorga su profesión o actividad se encuentre facultado a firmar, en concordancia con lo dispuesto por la normativa legal vigente. Siempre teniendo en cuenta los límites previstos en el artículo 4º de la Ley Nacional Nº 25.506 y demás límites que pudieran existir. Ello, toda vez que los certificados de clave pública emitidos en virtud de dicha Política de Certificación identificarán al firmante conjuntamente con su profesión o actividad relacionada con la Salud Humana que ejerzan en el ámbito de la Provincia de San Luis. Asimismo, los procedimientos enunciados en este Manual de Certificación son de aplicación para la emisión de certificados a favor del INSTITUTO utilizados para la verificación en línea del estado de los certificados (OCSP).
1.4.
CONTACTOS
El presente Manual de Procedimientos es administrado por el Instituto de Firma Digital de la Provincia de San Luis. Para efectuar consultas y/o sugerencias dirigirse a:
Instituto de Firma Digital de la Provincia de San Luis - Universidad de La Punta Domicilio: Av. Universitaria S/N, Ciudad de La Punta (5710) - Universidad de La Punta Provincia de San Luis - República Argentina. Teléfono: (0266) 4452000 int. 6095 Correo electrónico:
[email protected] Sitio Web: http://www.pki.sanluis.gov.ar
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 13 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Centro de Servicios Tecnológicos San Luis – Datacenter Domicilio: Av. Universitaria S/N, Ciudad de La Punta (5710) Provincia de San Luis - República Argentina. Teléfono: (0266) 4452000 int. 2010
2. ASPECTOS GENERALES DE LA POLÍTICA DE CERTIFICACIÓN 2.1.
OBLIGACIONES
2.1.1.
OBLIGACIONES DEL CERTIFICADOR
Las obligaciones del INSTITUTO se encuentran establecidas en el apartado 2.1.1 de la Política de Certificación, no habiendo procedimientos aplicables a este punto. 2.1.2.
OBLIGACIONES DE LA AUTORIDAD DE REGISTRO
Las obligaciones de las AR se encuentran establecidas en el apartado 2.1.2 de la Política de Certificación vinculada a este Manual. Adicionalmente los organismos que constituyan una AR asumen las siguientes obligaciones: a) Instruir a sus suscriptores en la tramitación de los servicios provistos por el INSTITUTO y en el manejo de la operatoria de la tecnología de firma digital de las distintas aplicaciones que requieran su uso a través del Instructor de Firma Digital. b) Instruir a sus usuarios acerca de las buenas prácticas de utilización de la tecnología de firma digital por medio del mencionado Instructor de Firma Digital. c) Asistir a solicitantes o suscriptores en la tramitación de los servicios provistos por el INSTITUTO y en el manejo de la operatoria de la tecnología de firma digital de las distintas aplicaciones que requieran su uso a través del Responsable de Soporte de Firma Digital.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 14 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
2.1.3.
Versión
1.0
Fecha
26/03/2013
OBLIGACIONES DEL SUSCRIPTOR DEL CERTIFICADO
El suscriptor de un certificado digital asume las obligaciones establecidas en el apartado 2.1.3 de la Política de Certificación, no habiendo procedimientos especiales aplicables a este punto. 2.1.4.
OBLIGACIONES DE TERCEROS USUARIOS
Los terceros usuarios de un certificado digital asumen las obligaciones establecidas en el apartado 2.1.4 de la Política de Certificación, no habiendo procedimientos especiales aplicables a este punto. 2.1.5.
OBLIGACIONES DEL SERVICIO DE REPOSITORIO
El INSTITUTO brinda el servicio de repositorio según lo establecido en el apartado 2.1.5 de la Política de Certificación, no habiendo procedimientos especiales aplicables a este punto. 2.2.
RESPONSABILIDADES
El INSTITUTO asume la responsabilidad ante terceros con el alcance establecido en el apartado 2.2 de la Política de Certificación, no habiendo procedimientos especiales aplicables a este punto. 2.3.
RESPONSABILIDAD FINANCIERA
2.3.1.
RESPONSABILIDAD FINANCIERA DEL CERTIFICADOR
La responsabilidad financiera del INSTITUTO se origina en lo establecido en el régimen provincial de firma digital previsto en la Ley N° V-0591-2007, reglamentada en el Decreto Nº 0428-MP-2008, por la cual la Provincia adhiere la Ley 25.506, su Decreto Reglamentario Nº 2628/02; y en las disposiciones de la Política de Certificación vinculada a este Manual de Procedimientos, no habiendo procedimientos aplicables a este punto. 2.4.
INTERPRETACIÓN Y LEGALIDAD
2.4.1.
LEGISLACIÓN APLICABLE
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 15 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
La interpretación, obligatoriedad, diseño y validez de este Manual de Procedimientos de Certificación y sus documentos asociados se encuentran sometidos a lo establecido por la Ley Provincial Nº V-05912007, su Decreto Reglamentario Nº 0428-MP-2008, la Ley Nacional Nº 25.506, su Decreto Reglamentario Nº 2628/2002, la Resolución Rectoral Nº 2120004-ULP-2009 y demás normas complementarias dictadas por autoridad competente. El presente Manual así como todos sus documentos asociados se actualizarán dando cumplimiento a los procedimientos detallados en el apartado 8, “Administración de Especificaciones”.
2.4.2.
FORMA DE INTERPRETACIÓN Y APLICACIÓN
La interpretación y/o aplicación de las disposiciones del presente Manual de Procedimientos y de cualquiera de sus documentos asociados, será resuelta según lo previsto en la normativa citada en el Punto 2.4.1 “Legislación Aplicable”, siguiendo el procedimiento previsto en el Punto 2.4.3 “Procedimiento de Resolución de Conflictos”. 2.4.3.
PROCEDIMIENTOS DE RESOLUCIÓN DE CONFLICTOS
A los efectos de la resolución de cualquier controversia y/o conflicto resultante de la aplicación de lo dispuesto en este Manual de Certificación, la Política asociada al presente y/o en cualquiera de sus documentos asociados, los suscriptores o terceros usuarios deberán agotar la vía administrativa con el Certificador Licenciado Provincial. Luego de cumplida esa instancia podrán accionar ante la Autoridad de Aplicación conforme el procedimiento previsto en el Decreto N° 0428-MP-2008. A los efectos del reclamo ante el INSTITUTO, se procederá de la siguiente manera: Una vez recibido el reclamo en las oficinas del INSTITUTO, este citará al reclamante a una audiencia y labrará un acta que deje expresa constancia de los hechos que motivan el reclamo y de los antecedentes que le sirvan de causa. Una vez que el Certificador emita opinión, se notificará al reclamante y se le otorgará un plazo de CINCO (5) días hábiles administrativos para ofrecer y producir la prueba de su descargo. Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 16 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El INSTITUTO resolverá en un plazo de DIEZ (10) días lo que estime corresponder, dictando el acto administrativo correspondiente.
Los reclamos realizados ante la Autoridad de Aplicación tramitarán de acuerdo a lo dispuesto en el artículo 19 del Decreto Provincial N° 0428-MP-2008, conforme el cual el procedimiento se ajustará a las siguientes disposiciones: 1. La Autoridad de Aplicación iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones de la Ley Provincial de Firma Digital, su Decreto Reglamentario y/o a las demás normas reglamentarias, por denuncia de quien invocare un interés particular, o asociaciones de consumidores o usuarios. 2. Se procederá a labrar acta en la que se dejará constancia del hecho denunciado o verificado y de la disposición presuntamente infringida. En la misma acta se dispondrá agregar la documentación acompañada y citar al Certificador para que, dentro del plazo de CINCO (5) días hábiles, presente su descargo por escrito o por vía telemática con firma digital. 3. La constancia del acta labrada, así como las comprobaciones técnicas que se dispusieran, constituirán prueba suficiente de los hechos así comprobados, salvo en los casos en que resultaren desvirtuados por otras pruebas. 4. Las pruebas se admitirán solamente en caso de existir hechos controvertidos y siempre que no resulten manifiestamente inconducentes. Contra la resolución que deniegue medidas de prueba sólo se concederá recurso de reconsideración. La prueba deberá producirse dentro del término de DIEZ (10) días hábiles, prorrogables cuando haya causas justificadas, teniéndose por desistidas aquellas no producidas dentro de dicho plazo por causa imputable al infractor. 5. Concluidas las diligencias sumariales, se dictará la resolución definitiva dentro del término de VEINTE (20) días hábiles. Una vez agotada la vía administrativa, podrá interponerse acción judicial. 2.5.
ARANCELES
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 17 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El Certificador no percibe aranceles por la solicitud, emisión y/o revocación de los certificados de clave pública emitidos bajo la Política de Certificación vinculada a este Manual de Procedimientos de Certificación. Asimismo, el INSTITUTO tampoco percibe aranceles por ninguno de sus servicios relacionados. El INSTITUTO se reserva el derecho de entregar en forma gratuita dispositivos criptográficos para la emisión de certificados digitales reservándose el derecho de requerir al Suscriptor las garantías necesarias a efectos de afianzar suficientemente su valor de mercado. 2.6. PUBLICACIÓN Y REPOSITORIOS DE CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS (CRLS) 2.6.1.
PUBLICACIÓN DE INFORMACIÓN DEL CERTIFICADOR
El INSTITUTO opera un sitio de publicación, el que se encuentra disponible durante las VEINTICUATRO (24) horas los SIETE (7) días de la semana, en http:// www.pki.sanluis.gov.ar
En este sitio se puede encontrar la siguiente información: El certificado digital de clave pública de la Autoridad Certificante Raíz de la Provincia de San Luis y el certificado digital de clave pública de la Autoridad Certificante Intermedia Provincial; El certificado digital de clave pública de la Autoridad Certificante del INSTITUTO para la Política de Certificación para Firma Digital de Profesionales y Auxiliares de la Salud Humana; Los datos de contacto del INSTITUTO; La Política de Certificación antes mencionada en su versión vigente y las anteriores; Este Manual de Procedimientos de Certificación en sus aspectos de carácter público, en su versión vigente y las anteriores; El Acuerdo con Suscriptores; Los Términos y Condiciones con Terceros Usuarios;
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 18 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
La Política de Privacidad; La Lista de Certificados Emitidos; La Lista de Certificados Revocados (CRL); Toda otra documentación técnica de carácter público que se emita, en su versión vigente y las anteriores; La información relevante de los datos de la última auditoría de que hubiera sido objeto el INSTITUTO.
Adicionalmente, el INSTITUTO pone a disposición de los Terceros y los Suscriptores un servicio de consulta basado en el protocolo de comunicación OSCP, “Online Certificate Status Protocol” para la consulta en línea del estado de validez de los certificados emitidos bajo la Política de Certificación vinculada al presente Manual de Certificación. Dicho servicio de verificación: •
Cumple con lo señalado en el RFC 2560 del registro de estándares para Internet.
•
Utiliza mensajes codificados que son transmitidos sobre el protocolo HTTP.
Este servicio mantiene una disponibilidad de 24x7, durante los 365 días del año. 2.6.2.
FRECUENCIA DE PUBLICACIÓN
La información alojada en el sitio de publicación será actualizada inmediatamente después que la información a incluir en ellos haya sido verificada y autorizada por el INSTITUTO. Cuando se trate de la modificación a la Política de Certificación, Manual de Procedimientos y demás documentación obligatoria, las actualizaciones se realizarán en un plazo de veinticuatro (24) horas, siempre que se hubiera cumplido el procedimiento de Administración de Especificaciones descripto en el apartado 8 de este Manual. La Lista de Certificados Revocados (CRL) y el repositorio de emitidos serán actualizados inmediatamente después de revocarse o emitirse un certificado, y en ningún caso superará las veinticuatro (24) horas de demora.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 19 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Independientemente de un suceso de revocación de un certificado, la Lista de Certificados Revocados (CRL) se renueva diariamente aunque no sufriera modificaciones. 2.6.3.
CONTROLES DE ACCESO A LA INFORMACIÓN
El INSTITUTO no establece restricciones al acceso a la Política de Certificación, al Acuerdo con Suscriptores, a los Términos y Condiciones con Terceros Usuarios, a este Manual de Procedimientos en sus aspectos de carácter público y a toda otra documentación técnica de carácter público que emita, en sus versiones actualizadas y las anteriores. El INSTITUTO garantiza el acceso a su certificado de clave pública y su estado de validez, a la Lista de Certificados Revocados, la Lista de Certificados Emitidos. El acceso permanente e irrestricto por parte de los Suscriptores y terceros a la información publicada en su repositorio es monitoreado permanentemente por el personal del INSTITUTO, que detecta la indisponibilidad o falla del servicio de certificación, reportando el incidente inmediatamente a fin de resolver a la brevedad el inconveniente. En caso de resultar infructuoso en un tiempo acorde a la gravedad de la falla, se aplicará el Plan de Contingencias. 2.6.4.
REPOSITORIOS
El servicio de repositorio de información y la publicación de la Lista de Certificados Revocados son administrados en forma directa por el INSTITUTO.Los sitios de publicación se encontrarán disponibles para uso público durante VEINTICUATRO (24) horas diarias, SIETE (7) días a la semana, sujeto a un razonable calendario de mantenimiento. El procedimiento de emisión y publicación de la CRL se ejecuta en forma automática por la aplicación de la AC INSTITUTO. Una vez determinada la necesidad de revocación de un certificado digital, la actualización de la Lista de Certificados Revocados (CRL) se realiza de modo automático y sincrónico con la correspondiente operación de revocación en el Sistema Informático del INSTITUTO. Sin perjuicio de ello, la CRL se renueva diariamente independientemente de si hubieran ocurrido nuevas revocaciones. Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 20 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
De este modo, salvo contingencias operativas, la publicación del estado de los certificados digitales revocados por el INSTITUTO estará disponible para su consulta por parte de terceros usuarios inmediatamente de revocados. La Lista de Certificados Revocados incluye la fecha y la hora de la última actualización. El acceso a la Lista de Certificados Revocados es público, no estableciéndose ninguna clase de restricción. Se encuentra disponible en el sitio web del INSTITUTO http://www. pki.sanluis.gov.ar, o bien se puede consultar el estado de los certificados por medio del servicio Online Certificate Status http://ocsp.pki.sanluis.gov.ar/ocsp Asimismo, el repositorio de certificados se actualiza de manera automática inmediatamente después de ocurrida la emisión de un certificado digital. 2.7.
AUDITORIAS
El INSTITUTO se encuentra sujeto a auditorías de la Autoridad de Aplicación conforme lo dispuesto en la Ley Provincial Nº V-0591-2007, el Decreto Nº 0428-MP-2008, la Resolución Rectoral Nº 2120003-ULP2009 y la Resolución Rectoral Nº 2120004-ULP-2009. La información relevante de los informes de la última auditoría, será publicada en el sitio de publicación del INSTITUTO http://pki.sanluis.gov.ar Entre los principales temas a auditar se encontrarán:
Requisitos legales generales,
Política de Certificación y Manual de Procedimientos de Certificación,
Plan de Seguridad,
Plan de Cese de Actividades,
Plan de Contingencia,
La Normativa Jurídica Interna de la Sala Cofre del Instituto de Firma Digital de la Provincia de San Luis, aprobada por Resolución Rectoral Nº 2120006-ULP-2009 y sus modificatorias,
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 21 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Ciclo de vida de las claves criptográficas de la Autoridad Certificante,
Ciclo de vida de los certificados de Suscriptores,
Estructura y contenido de los certificados y Listas de Certificados Revocados,
Mecanismos de acceso a la documentación publicada, certificados y CRLs,
Pautas para la Autoridad de Registro.
En caso de dictámenes no favorables, el Director del INSTITUTO implementará las medidas correctivas necesarias. Las Autoridades de Registro, además, se encuentran sujetas a las auditorías del INSTITUTO en base a un cronograma anual. Podrá asimismo realizar revisiones ad-hoc cuando las circunstancias lo ameriten. El INSTITUTO se reserva el derecho de suspender temporalmente o revocar la autorización para actuar como AR Remota, en caso de detectar incumplimientos graves en la operatoria de la AR. La información relevante de los informes de las auditorías es publicada en el sitio web del INSTITUTO http://www.pki.sanluis.gov.ar Las auditorías deberán realizarse siguiendo el procedimiento que se detalla a continuación: El INSTITUTO, en su rol de Certificador, así como las Autoridades de Registro que deban ser sometidas a auditorias, serán notificadas fehacientemente por el Coordinador de Auditoría del ente auditante con DIEZ (10) días hábiles de antelación a la fecha de inicio de la Auditoría. La etapa de relevamiento no podrá durar más de QUINCE (15) días hábiles, salvo justificación en contrario. Concluida la auditoría, el Coordinador de Auditorías de la entidad auditante elevará a su Superior un informe conteniendo el análisis pormenorizado del resultado de la auditoria. Asimismo, notificará el Informe de auditoría a la Autoridad de Aplicación. El informe también será notificado al auditado dentro de los CINCO (5) días de su recepción por parte de su Superior, quien contará con un plazo de VEINTE (20) días hábiles para efectuar las aclaraciones que considere pertinentes. Las entidades auditantes y las personas que efectúen las auditorías deben mantener la confidencialidad sobre la información considerada amparada bajo normas de confidencialidad por el Certificador Licenciado o el solicitante de licenciamiento.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 22 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
2.8.
CONFIDENCIALIDAD
2.8.1.
INFORMACIÓN CONFIDENCIAL
Versión
1.0
Fecha
26/03/2013
A los efectos de la divulgación de información considerada confidencial, a petición de autoridad judicial o competente, deberá ser previamente autorizada por el Director del INSTITUTO, quien decidirá sobre la conveniencia de la oportunidad y medio en que se realizará la comunicación del contenido al requirente. 2.8.2.
INFORMACIÓN NO CONFIDENCIAL
La información no confidencial relacionada con la Autoridad Certificante del INSTITUTO se encuentra disponible y libremente accesible en el sitio de publicación http://www.pki.sanluis.gov.ar 2.8.3.
PUBLICACIÓN DE INFORMACIÓN SOBRE LA REVOCACIÓN O SUSPENSIÓN DE UN
CERTIFICADO El acceso a la Lista de Certificados Revocados (CRL) es público y se encuentra disponible en el sitio del INSTITUTO de publicación http://www.pki.sanluis.gov.ar, conforme lo dispuesto en el apartado 2.6.4 “Repositorios de certificados y listas de revocación” del presente Manual de Procedimientos. Conforme lo dispuesto en la Ley N° 25.506, el estado de suspensión no está admitido. 2.8.4.
DIVULGACIÓN DE INFORMACIÓN A AUTORIDADES JUDICIALES
Cuando existiera un pedido formal de información emanado de una Autoridad Judicial, ya sea que se trate sobre información confidencial o no confidencial de Suscriptores, se le dará el tratamiento detallado en el apartado 2.8.1. – “Información confidencial” del presente Manual de Procedimientos. 2.8.5.
DIVULGACIÓN DE INFORMACIÓN COMO PARTE DE UN PROCESO JUDICIAL O
ADMINISTRATIVO Resulta de aplicación lo establecido en el apartado 2.8.4 del presente Manual de Procedimientos.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 23 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
2.8.6.
Versión
1.0
Fecha
26/03/2013
DIVULGACIÓN DE INFORMACIÓN POR SOLICITUD DEL SUSCRIPTOR
De conformidad con lo dispuesto en la Ley N° 25.326 de Protección de los Datos Personales, los Suscriptores pueden tener acceso a sus datos de identificación u otra información vinculada al ciclo de vida de su certificado digital. A fin de solicitar la divulgación de su información deberá hacerlo por escrito dirigiéndose al INSTITUTO. 2.8.7.
OTRAS CIRCUNSTANCIAS DE DIVULGACIÓN DE INFORMACIÓN
Resulta de aplicación lo establecido en el apartado 2.8.7 de la Política de Certificación vinculada a este Manual. 2.9.
DERECHOS DE PROPIEDAD INTELECTUAL
El derecho de autor de los sistemas y aplicaciones informáticas desarrollados por el INSTITUTO para la implementación de su Autoridad Certificante, como así también toda la documentación relacionada, pertenece a la Universidad de La Punta. Asimismo esta Universidad mantiene en forma exclusiva todos los derechos de propiedad intelectual relacionados con sus nombres. Los sistemas no desarrollado por el INSTITUTO cuentan con su correspondiente licencia de uso. Ninguna parte de este Manual de Procedimientos ni sus documentos asociados se puede reproducir o distribuir sin que la previa notificación de derechos de propiedad intelectual aparezca en forma precisa, completa y sin modificaciones, atribuyendo su autoría a la Universidad de La Punta. Consecuentemente, dichos documentos no pueden ser reproducidos, copiados ni utilizados de ninguna manera, total o parcial, sin previo y formal consentimiento de la Universidad de la Punta, de acuerdo a la legislación vigente.
3. IDENTIFICACIÓN Y AUTENTICACIÓN 3.1.
REGISTRO INICIAL
El INSTITUTO emite certificados a las personas físicas que cumplan con los requisitos exigidos en la Política de Certificación del Instituto de Firma Digital para Firma Digital de Profesionales y Auxiliares de la Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 24 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Salud Humana para ser suscriptor, efectuándose una validación personal de la identidad del solicitante y demás circunstancias exigidas, para lo cual se requiere su presencia física ante la AR. La única excepción a la emisión de certificados para persona físicas es el caso del Certificado OCSP, mencionado en el apartado 1.3.4., que sólo será emitido a favor del INSTITUTO. 3.1.1.
TIPOS DE NOMBRES
Sólo se admitirá el nombre y apellido que figure en la documentación identificatoria de la persona solicitante de certificado digital. 3.1.2.
NECESIDAD DE NOMBRES DISTINTIVOS
Los atributos mínimos incluidos en los certificados se encuentran definidos en el apartado 3.1.2 de la Política de Certificación vinculada al presente Manual de Procedimientos. 3.1.3.
REGLAS PARA LA INTERPRETACIÓN DE NOMBRES
Todos los nombres representados dentro de los certificados emitidos bajo la Política de Certificación vinculada a este Manual de Procedimientos coinciden con los correspondientes al documento de identidad del Suscriptor. Las discrepancias o conflictos que pudieran generarse cuando los datos de los suscriptores contengan caracteres especiales, se tratarán de modo de asegurar la precisión de la información contenida en el certificado. 3.1.4.
UNICIDAD DE NOMBRES
El nombre distintivo de cada certificado es único para cada Suscriptor y está integrado por los campos indicados en el punto 3.1.2 de la Política de Certificación vinculada al presente Manual de Procedimientos. Si dos o más Suscriptores tuvieran el mismo nombre y apellido, la unicidad queda resuelta por la combinación de los valores en los campos “Nombre Común” y “Número de Serie”.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 25 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
3.1.5.
Versión
1.0
Fecha
26/03/2013
PROCEDIMIENTO DE RESOLUCIÓN DE DISPUTAS SOBRE NOMBRES
El INSTITUTO resolverá los conflictos que pudieran generarse respecto de la utilización de nombres distintivos. 3.1.6.
RECONOCIMIENTO, AUTENTICACIÓN Y ROL DE LAS MARCAS REGISTRADAS
No se aplica por tratarse de un Manual de Procedimientos vinculado a una Política de Certificación en el marco de la cual sólo se emiten certificados digitales a personas físicas. 3.1.7.
MÉTODOS PARA COMPROBAR LA POSESIÓN DE LA CLAVE PRIVADA
El Solicitante generará su par de claves criptográficas usando su propio dispositivo criptográfico técnicamente confiable, durante el proceso de solicitud de certificado. Las claves son generadas y almacenadas por el Solicitante, no quedando almacenada la clave privada en el sistema informático del INSTITUTO. La aplicación de la AC-INSTITUTO validará el requerimiento del certificado (PKCS#10) con el fin de verificar la posesión de la clave privada del Solicitante. En caso de ser correcto el formato, la aplicación de la AC INSTITUTO entrega al solicitante un "Formulario de Solicitud". El solicitante debe firmar ológrafamente el "Formulario de solicitud" y entregarlo a la Autoridad de Registro en el proceso de validación de la identidad. La aplicación de la Autoridad Certificante, una vez que emite el certificado, eliminará automáticamente el requerimiento PKCS#10 asociado a ese certificado con el fin de evitar que se genere un nuevo certificado con dicho requerimiento. De acuerdo con lo dispuesto en el artículo 28 del Decreto N° 0428-MP-2008, reglamentario de la Ley Provincial N° V-0591-2007, el artículo 21 inciso b) de la Ley N°25.506 y el artículo 34 inciso i) del Decreto N°2628/2002 el INSTITUTO se abstiene de generar, exigir o por cualquier medio tomar conocimiento o acceder bajo ninguna circunstancia a la clave privada de los solicitantes y titulares de los certificados por él emitidos.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 26 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
3.1.8.
Versión
1.0
Fecha
26/03/2013
AUTENTICACIÓN DE LA IDENTIDAD DE PERSONAS JURÍDICAS PÚBLICAS O PRIVADAS
No es aplicable, ya que la Política de Certificación vinculada al presente Manual de Procedimientos no contempla la emisión de certificados digitales a personas jurídicas. 3.1.9.
AUTENTICACIÓN DE LA IDENTIDAD DE PERSONAS FÍSICAS
El INSTITUTO únicamente emite certificados para personas físicas que cumplan con los requisitos para ser Suscriptor exigidos en la Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana, efectuándose una validación de la identidad del Solicitante, para lo cual se requiere su presencia física ante la Autoridad de Registro correspondiente. Asimismo, el Solicitante debe probar que posee la profesión o actividad vinculada con la salud humana que alega. En consecuencia, para la generación de su certificado de firma digital, el Solicitante debe concurrir personalmente con el dispositivo criptográfico y la documentación que se detalla a continuación: a) Documento de Identidad, Libreta Cívica, Libreta de Enrolamiento o Cédula de Identidad Provincial Electrónica, en original y fotocopia. En el caso de extranjeros, deberán presentar en original y fotocopia, Pasaporte, Documento Nacional de Identidad Argentino, Cédula de Identidad MERCOSUR o alguno de los documentos de viaje de los Estados Parte o Asociados del MERCOSUR conforme la normativa migratoria vigente. b) Matrícula otorgada por la Repartición Estatal en cuya órbita se encuentra el Registro ante el cual el Suscriptor se haya matriculado o por la Entidad deontológica en la que se hubiere delegado esa facultad, en original y fotocopia, de la cual surgirá:
Nombre y Apellido del Solicitante,
Documento de Identidad,
Profesión o actividad ejercida vinculada con la salud humana,
Número de Matrícula.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 27 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
c) Nota firmada por el responsable de la Repartición Estatal en cuya órbita se encuentra el Registro ante el cual se haya matriculado el Suscriptor o de la Entidad deontológica en la que se hubiere delegado esa facultad, enunciando los datos enumerados en el ítem precedente y manifestando que la respectiva matrícula se encuentra vigente y habilitada para ejercer la profesión.
La Autoridad de Registro verificará la identidad del solicitante y la documentación que presenta. En consecuencia, con el fin de ejecutar el procedimiento de autenticación antes mencionado el Oficial de Registro correspondiente, en presencia del solicitante, deberá verificar:
1) Con relación al documento de identidad presentado deberá cotejar que: I)
El documento corresponde a la persona que se presentó.
II) La fotocopia del documento de identidad presentado coincide con el documento de identidad del cual se obtuvo copia. 2) Con relación a la matrícula presentada deberá verificar que: I)
El nombre y apellido enunciado en la matrícula, coinciden con los del documento de identidad ya cotejado.
II) La matrícula avala una profesión o actividad relacionada con la salud humana en los términos de la Ley Provincial N° XIV-0361-2004. III) La fotocopia de la matrícula presentada coincide con la matrícula de la cual se obtuvo copia. 3) Con relación a la Nota de Solicitud de Emisión de Certificado firmada por el responsable de la Repartición Estatal en cuya órbita se encuentra el Registro ante el cual se haya matriculado el Suscriptor o de la Entidad deontológica en la que se hubiere delegado esa facultad deberá verificar que: I) Los datos del documento de identidad ya cotejado conforme lo descripto en el punto 1 coinciden con los que figuran en la mencionada Nota.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 28 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
II) Que la profesión o actividad vinculada con la salud humana que surge de la Nota coincide con la que figura en la documentación presentada y cotejada conforme lo enunciado en el Item 2. III) Que emana y está firmada por una autoridad competente. IV) Que la fecha de emisión de la Nota de Solicitud de Certificado fue hecha dentro de los DIEZ (10) días de corrido de efectuada la presentación del solicitante ante la AR. En caso de no reunirse elementos de juicio suficientes para validar la identidad del solicitante o la profesión o actividad informada según los procedimientos indicados, no se procederá a realizar el trámite de solicitud de emisión del certificado en el sistema del INSTITUTO. Validada exitosamente la identidad del solicitante y la profesión o actividad informada, se procederá a iniciar la solicitud de emisión de certificado en el sistema del INSTITUTO a cuyo efecto el Solicitante deberá completar el “Formulario de Solicitud de Certificado” con la asistencia del Oficial de Registro, además de aceptar la Política de Certificación, el Acuerdo con Suscriptores y demás documentos asociados. El Oficial de Registro efectuará los siguientes pasos: a) Al momento de la presentación del Solicitante en sus oficinas, valida su identidad y que posee la profesión o actividad vinculada a la Salud Humana la cual ejerce en la Provincia de San Luis, mediante la verificación del documento de identidad, la matrícula y la nota emitida por la pertinente Repartición Estatal o Entidad Deontológica responsable del Registro conforme lo detallado anteriormente. b) Asiste al Solicitante a completar el Formulario de Solicitud de Emisión de Certificado, y luego de imprimirlo, le requiere que proceda a su firma. c) Utiliza el Sistema de Gestión de Certificados Digitales para proceder a la aprobación de la emisión del certificado. d) Asiste al Solicitante en la descarga del certificado. e) Resguarda toda la documentación respaldatoria del proceso de validación de la identidad de los Solicitantes. Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 29 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El INSTITUTO, a través de su Director, podrá autorizar un procedimiento de excepción para emitir certificados en aquellos casos que exista un impedimento justificado, siempre que se garantice la identificación del suscriptor. La AR conserva toda la documentación respaldatoria del proceso de validación por el término de DIEZ (10) años a partir de la fecha de vencimiento o revocación del certificado. 3.2.
GENERACIÓN DE NUEVO PAR DE CLAVES (RE KEY)
Si por alguna causa resultara necesario cambiar el par de claves de un certificado vigente, el Suscriptor deberá solicitar la revocación de su certificado e iniciar nuevamente el proceso de solicitud de un certificado descripto en el apartado 3.1.9 del presente Manual. De haber expirado el certificado, no se permitirá la reutilización del mismo par de claves. 3.3.
GENERACIÓN DE NUEVO CERTIFICADO (POSTERIOR A REVOCACIÓN)
Luego de una revocación el Suscriptor puede solicitar un nuevo certificado. A tal efecto se requiere el cumplimiento de los pasos descriptos en el punto 3.1.9 de este Manual de Certificación. 3.4.
REQUERIMIENTO DE REVOCACIÓN
Un certificado digital emitido en el marco de la Política de Certificación vinculada al Presente Manual de Procedimientos podrá ser revocado utilizando cualquiera de los siguientes métodos: Un certificado digital emitido en el marco de la Política de Certificación podrá ser revocado utilizando cualquiera de los siguientes métodos: a)
A través del sitio web del Instituto
Esta vía de revocación se encuentra disponible las VEINTICUATRO (24) horas los SIETE (7) días de la semana y sólo podrá ser utilizada por el Suscriptor de un certificado de clave pública accediendo a www.pki.sanluis.gov.ar .En este caso el suscriptor deberá, conectar su dispositivo criptográfico a su PC, seleccionar la Política de Certificación vinculada con este Manual y de los trámites opcionales existentes, seleccionar “Revocar un certificado digital”.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 30 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Inmediatamente de solicitada la revocación a través del sitio web se genera un expediente en el Software de Administración Seguro del INSTITUTO, el que será recibido por aquel, quien tendrá a su cargo darle curso a la referida solicitud. b)
Personalmente.
Esta vía de revocación podrá ser utilizada por el Suscriptor o los Terceros Autorizados ante la Autoridad de Registro en la cual se hubiera tramitado la validación de la identidad del Suscriptor. Si quien concurre es el Suscriptor, se dará curso al pedido de revocación en forma inmediata, previa verificación de su documento de identidad. Si quien concurre es alguno de los terceros autorizados conforme lo dispuesto en el Punto 4.4.2., aquel deberá acreditar su identidad mediante presentación de su documento de identidad y el rol que alega con la documentación correspondiente. En ambos casos, deberá dejarse registro de la referida solicitud y la documentación presentada. Este requerimiento podrá realizarse únicamente en días y horarios hábiles, conforme el calendario de la Autoridad de Registro ante la cual el Suscriptor haya realizado la validación de su identidad. A los efectos de dar curso a la solicitud de revocación, el Oficial de Registro deberá generar un expediente en el Software de Administración Seguro del INSTITUTO solicitando la revocación del certificado digital, el que deberá enviar al INSTITUTO inmediatamente de haber recibido la solicitud. c)
Procedimiento de Excepción.
Dada la urgencia del caso y siempre que existan causas suficientes que lo justifiquen, el Oficial de Registro o Director del INSTITUTO puede autorizar la revocación de un certificado de clave pública obviando la presentación del pedido de revocación y efectuando una confirmación telefónica de la solicitud.
4. CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS 4.1.
SOLICITUD DE CERTIFICADO
4.1.1.
SOLICITUD DE NUEVO CERTIFICADO
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 31 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El INSTITUTO sólo emite certificados digitales para personas físicas siempre que reúnan los requisitos para ser Suscriptores conforme con lo dispuesto en el Punto 1.3.3 de la Política de Certificación vinculada al presente Manual de Procedimientos, utilice alguno de los dispositivos criptográficos aprobados por el INSTITUTO y concurra personalmente ante la Autoridad de Registro. A tal efecto el Solicitante deberá presentarse ante la Autoridad de Registro con la documentación enumerada en el punto 3.1.9 de este Manual de Procedimientos y el dispositivo criptográfico aprobado. Validada su identidad y su profesión o actividad por parte del Oficial de Registro, con su asistencia procederá a completar el Formulario de Solicitud de Emisión de Certificado utilizando la correspondiente aplicación del INSTITUTO, previa lectura y aceptación del Acuerdo con Suscriptores. 4.1.2.
SOLICITUD DE RENOVACIÓN
La Política de Certificación vinculada al presente Manual de Procedimientos no contempla la renovación de los certificados. 4.2.
EMISIÓN DEL CERTIFICADO
Cumplidos los recaudos del proceso de validación de identidad y otros datos de los solicitantes de acuerdo con lo establecido en este documento y la Política de Certificación, y luego de completado el Formulario de Solicitud de Certificado, el Oficial de Registro procederá a su control y de corresponder, a su posterior aprobación a través del sistema del INSTITUTO a cuyo efecto deberá firmar digitalmente la actuación. Una vez finalizado exitosamente dicho proceso, el sistema de la AC-INSTITUTO emitirá el certificado correspondiente. Seguidamente, el Suscriptor tendrá disponible su certificado para ser descargado en el dispositivo criptográfico utilizado a cuyo efecto deberá conectar el dispositivo criptográfico correspondiente y descargarlo en la misma computadora desde la cual ha realizado la solicitud. Los certificados digitales tendrán una validez de DOS (2) años desde su fecha de emisión, siempre que dicho plazo no exceda el período de uso del certificado de la Autoridad Certificante del Instituto de Firma Digital de la Provincia de San Luis actuando como Certificador Licenciado Provincial.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 32 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El Suscriptor recibirá un correo electrónico en la dirección declarada en el proceso de solicitud, informando que a los fines de una correcta utilización del certificado deberá instalar los certificados de la Autoridad Certificante Raíz de la Provincia de San Luis, de la Autoridad Certificante Intermedia Provincial y el correspondiente a la Política de Certificación y los drivers (controladores) del dispositivo criptográfico que utilice en su computadora.
4.3.
ACEPTACIÓN DEL CERTIFICADO
La descarga del certificado del Suscriptor importará su aceptación asumiendo, en consecuencia, la absoluta y exclusiva responsabilidad por su utilización y por los daños emergentes que la no observancia de la regulación pudiera implicar, desde la fecha de su emisión. Cumplidos estos pasos, el Certificador procederá a publicar el certificado emitido en su sitio web. 4.4.
SUSPENSIÓN Y REVOCACIÓN DE CERTIFICADOS
El estado de suspensión de certificados no es admitido en el marco de la Ley N° 25.506. 4.4.1.
CAUSAS DE REVOCACIÓN
El INSTITUTO revocará los certificados digitales que hubiera emitido en los siguientes casos: a) A solicitud del Suscriptor del certificado digital; b) Si determinara que un certificado digital fue emitido en base a una información falsa, que en el momento de la emisión hubiera sido objeto de verificación; c) Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros; d) Por condiciones especiales definidas en su política de certificación; e) Por resolución judicial o de la autoridad de aplicación; f) Por fallecimiento del titular; g) Por declaración judicial de ausencia con presunción de fallecimiento del titular; Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 33 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
h) Por declaración judicial de incapacidad del titular; i) Si se determina que la información contenida en el certificado ha dejado de ser válida; j) La clave privada asociada al certificado de clave pública o el medio en que se encuentre almacenada se encuentren comprometidos o corran peligro de estarlo; k) Cuando cese el vínculo del suscriptor con el ente o sea modificada su situación de revista o cargo; l) Ante incumplimiento por parte del suscriptor de las obligaciones establecidas en el Acuerdo con Suscriptores; m) Si se determina que el certificado no fue emitido de acuerdo a los lineamientos de la Política de Certificación, del Manual de Procedimientos, de la Ley N° 25.506, del Decreto Reglamentario N° 2628/02 y demás normativa sobre firma digital; n) Por revocación del certificado digital del Certificador o) Cuando así lo establezcan las condiciones indicadas en el Acuerdo aplicable a la AR, de existir p) Se produzcan cambios en la información que el certificado contiene o ésta se desactualice; q) Se produzca la suspensión o cancelación de su matrícula; r) Por disposición del INSTITUTO debidamente fundada, como por ejemplo incumplimiento por parte del Suscriptor de las obligaciones establecidas por la normativa vigente en materia de firma digital. 4.4.2.
AUTORIZADOS A SOLICITAR LA REVOCACIÓN
Se encuentran autorizados a solicitar la revocación de un certificado emitido en el marco de la Política de Certificación vinculada al presente Manual de Certificación: a) El Suscriptor del certificado; b) La Repartición Estatal en cuya órbita se encuentra el Registro ante el cual el Suscriptor se haya matriculado o la Entidad deontológica en la que se hubiere delegado esa facultad; c)
El INSTITUTO y los Responsables de la Autoridad de Registro correspondiente a ese Suscriptor;
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 34 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
d) La Autoridad de Aplicación del Régimen Provincial de Firma Digital; e)
La Autoridad Judicial competente;
f)
El Tercero que ostente un derecho subjetivo o interés legítimo, bajo su exclusiva responsabilidad. 4.4.3.
PROCEDIMIENTOS PARA LA SOLICITUD DE REVOCACIÓN
4.4.3.1.
REVOCACIÓN DE CERTIFICADOS DE FIRMA DIGITAL POR EL SUSCRIPTOR A TRAVÉS DE LA APLICACIÓN WEB
El suscriptor puede solicitar la revocación de su certificado siguiendo el siguiente procedimiento: a) Ingresa a la aplicación disponible en http://www.pki.sanluis.gov.ar, selecciona la Política de Certificación para Firma Digital de Profesionales y Auxiliares de la Salud Humana. Seguidamente conecta su dispositivo criptográfico y de los trámites existentes, opta por “Revocar un certificado digital” y selecciona el certificado digital que desea revocar. b) El suscriptor debe completar el campo Motivo (obligatorio) en el cual enunciará la razón por la cual desea a revocar su certificado. c) Al presionar el botón “Revocar”, la aplicación solicitará la firma de la actuación y constancia de revocación. d) El Suscriptor confirma la solicitud de revocación de su certificado. e) La aplicación solicita al sistema del INSTITUTO la revocación del certificado. f) Una vez revocado aquel, actualiza el estado del certificado a “Certificado revocado”. g) La aplicación notifica al Suscriptor a través de un correo electrónico que su certificado ha sido revocado.
4.4.3.2.
REVOCACIÓN DE CERTIFICADOS DE FIRMA DIGITAL POR LA AUTORIDAD DE REGISTRO
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 35 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Con el fin de efectuar la revocación de un certificado digital el Oficial de Registro realiza el siguiente procedimiento: a) Esta vía de revocación puede ser iniciada por el Suscriptor o cualquiera de los Terceros Autorizados conforme lo dispuesto en el apartado 4.4.2 del presente Manual de Certificación. Si fuera a solicitud del Suscriptor, bastará que aquel presente su documento de identidad. Si en cambio la revocación fuera a solicitud de alguno de los Terceros Autorizados, además de su identidad, aquel deberá acreditar el rol que ostenta a excepción del supuesto de los Oficiales de Registro y miembros facultados del INSTITUTO, en cuyo caso ese extremo quedará acreditado al firmar digitalmente la actuación de revocación con su certificado digital. b) El Oficial de Registro deberá ingresar al Software de Administración Seguro del INSTITUTO y seleccionar el certificado que desea revocar de la lista de certificados vigentes. c) El sistema automáticamente le habilitará el formulario de Revocación, que deberá completar con los campos del Solicitante de Revocación y Motivo (obligatorio, entre las opciones que se muestran), entre otros. d) Al presionar el botón Revocar, el sistema solicitará al Oficial de Registro que proceda a firmar la actuación, la aplicación presenta una reconfirmación de la revocación. e) Confirma la revocación del certificado. f) La aplicación solicita al sistema la revocación del certificado. g) Actualiza el estado del certificado a “Certificado revocado”. h) La aplicación notifica al suscriptor a través de un correo electrónico que su certificado ha sido revocado. i) Imprime la nota de revocación, que debe ser firmada por el suscriptor o la autoridad competente que solicita la revocación, a fin de archivarla con la documentación respaldatoria de la emisión de certificados. En caso de que la solicitud de la revocación no sea efectuada por el suscriptor, deberá archivarse además la documentación legal respaldatoria que avala dicha solicitud. 4.4.4.
PLAZO PARA LA SOLICITUD DE REVOCACIÓN
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 36 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El INSTITUTO dispone de un servicio de recepción de solicitud de revocación que se encuentra disponible los SIETE (7) días de la semana, durante las VEINTICUATRO (24) horas del día a través de la página web http://www.pki.sanluis.gov.ar La solicitud recibida será procesada de inmediato, conforme lo exigido por la normativa vigente. El plazo máximo entre la recepción de la solicitud y el cambio de la información de estado del certificado digital en los sitios de publicación será de VEINTICUATRO (24) horas. 4.4.5.
CAUSAS DE SUSPENSIÓN
El estado de suspensión no es admitido en el marco de la Ley N° 25.506. 4.4.6.
AUTORIZADOS A SOLICITAR LA SUSPENSIÓN
No aplicable. 4.4.7.
PROCEDIMIENTOS PARA LA SOLICITUD DE SUSPENSIÓN
No aplicable. 4.4.8.
LÍMITES DEL PERIODO DE SUSPENSIÓN DE UN CERTIFICADO
No aplicable. 4.4.9.
FRECUENCIA DE EMISIÓN DE LISTAS DE CERTIFICADOS REVOCADOS
El INSTITUTO mantiene publicada una Lista de Certificados Revocados en forma permanente, efectuando su actualización diariamente. Sin perjuicio de ello, toda vez que se produce una revocación, el INSTITUTO emite una Lista de Certificados Revocados actualizada en un plazo máximo de VEINTICUATRO (24) horas de aceptada la solicitud.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 37 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
4.4.10.
Versión
1.0
Fecha
26/03/2013
REQUISITOS PARA LA VERIFICACIÓN DE LA LISTA DE CERTIFICADOS REVOCADOS
Para efectuar la verificación de un documento que hubiera sido firmado por un Suscriptor de la AC INSTITUTO, los terceros usuarios, están obligados a comprobar el estado de validez de los certificados mediante el control de la Lista de Certificados Revocados (CRL) o, en su defecto, mediante el servicio en línea de consultas sobre revocación descripto en el apartado 4.4.11 del presente Manual que el INSTITUTO pondrá a disposición y confirmar la validez de la Lista de Certificados Revocados (CRL) mediante la verificación de la firma digital del Certificador y de su período de validez. 4.4.11.
DISPONIBILIDAD DEL SERVICIO DE CONSULTA SOBRE REVOCACIÓN Y DE ESTADO DEL
CERTIFICADO La verificación del estado de los certificados puede realizarse indistintamente a través del servicio de consulta basado en el protocolo de comunicación OCSP o de la consulta de la Lista de Certificados Revocados (CRL). Ambos servicios disponibles los SIETE (7) días de la semana durante las VEINTICUATRO (24) horas del día. Las Listas de Certificados Revocados están disponibles de manera permanente y gratuita en el sitio web: http://fdpsalud.pki.sanluis.gov.ar/crl/firmadigitalpsalud.crl y alternativamente, en: http://fdpsalud1.pki.sanluis.gov.ar/crl/firmadigitalpsalud.crl La dirección electrónica para llevar a cabo la consulta en línea a través del protocolo OCSP la cual está incluida en todos los certificados digitales emitidos bajo la Política vinculada con este Manual de Procedimientos: http://ocsp.pki.sanluis.gov.ar/ocsp El usuario podrá descargar en forma manual o a través de sus aplicaciones los archivos correspondientes a la CRL completa.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 38 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Los certificados digitales emitidos por la AC INSTITUTO contienen la dirección de Internet de ambos puntos de distribución de la Lista de Certificados Revocados, como así también del servicio en línea de consulta sobre revocación de los certificados. 4.4.12.
REQUISITOS PARA LA VERIFICACIÓN EN LÍNEA DEL ESTADO DE REVOCACIÓN
Se aplica lo establecido en el apartado 4.4.12 de la Política de Certificación. Para verificar en línea el estado de un certificado, la aplicación del usuario realizará una consulta sobre su estado a partir de la dirección de Internet http://ocsp.pki.sanluis.gov.ar/ocsp El formato de la petición se realiza según la sintaxis ASN.1. El servicio “OCSP responder” de la AC INSTITUTO. Las respuestas se firman digitalmente con la clave privada correspondiente al certificado OCSP emitido bajo titularidad del INSTITUTO. 4.4.13.
OTRAS FORMAS DISPONIBLES PARA LA DIVULGACIÓN DE LA REVOCACIÓN
El INSTITUTO no utiliza otros medios para la divulgación del estado de revocación de los certificados que los contemplados en su Política de Certificación y cuyos procedimientos se encuentran descriptos en el presente Manual. 4.4.14.
REQUISITOS PARA LA VERIFICACIÓN DE OTRAS FORMAS DE DIVULGACIÓN DE
REVOCACIÓN No aplicable. 4.4.15.
REQUISITOS ESPECÍFICOS PARA CASOS DE COMPROMISO DE CLAVES
Ante el compromiso de claves el Suscriptor del certificado es responsable de efectuar su revocación a través de alguna de las vías enumeradas en el apartado 4.4.3, es decir, a través de la aplicación del INSTITUTO o solicitarla a la AR ante la cual hubiera tramitado su certificado. A continuación se enumeran algunas de las causas de revocación:
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 39 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
a) Por compromiso o sospecha de compromiso de la clave privada. b) Por pérdida de la clave privada. c) Porque ya no sea posible su utilización. d) Ante el conocimiento de que está ya no sea segura para operar. e) Por cualquier otra circunstancia que el suscriptor considere que pueda resultar perjudicial a la seguridad de su clave privada. El INSTITUTO procederá a revocar el certificado correspondiente de conformidad a lo dispuesto en la Política de Certificación, concluido ello notificará al suscriptor a través de un correo electrónico de dicha circunstancia y procederá a actualizar inmediatamente la CRL de acuerdo a lo establecido en el punto 4.4.4. 4.5.
PROCEDIMIENTOS DE AUDITORÍA DE SEGURIDAD
La AC del INSTITUTO mantiene registros de auditoría de todas las operaciones que realiza, protegiendo su integridad, en medios de almacenamiento encriptados y conservándolos por DIEZ (10) años. Los referidos registros son utilizados para tareas de monitoreo habitual, del funcionamiento de los sistemas y procesos, para posibles auditorías internas y externas. Asimismo, se mantienen registros no informatizados de toda aquella información que no ha sido registrada en el sistema y de toda aquella información que ha sido registrada en formato papel. Estos registros se encuentran disponibles tanto para la auditoria interna del INSTITUTO, como de la Autoridad de Aplicación y de otros organismos o entidades que tengan competencias al respecto. Los principales procedimientos implementados a fin de respaldar la realización de las auditorías sobre la AC-INSTITUTO son los siguientes:
a) Registro de logs de auditoría Período de conservación: DIEZ (10) años
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 40 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Métodos de protección contra borrado o modificación. Resguardo en lugar físico seguro b) Notificación de eventos significativos: todo el personal del INSTITUTO es responsable de cumplir un procedimiento de notificación de eventos que puedan comprometer la seguridad de los sistemas. c) Informes de vulnerabilidad. Tanto los logs de auditoria como los Informes de Vulnerabilidades como las constancias de notificación de eventos de seguridad se mantienen a disposición de los auditantes. El procedimiento para su generación y mantenimiento se encuentra especificado en el Manual de Procedimientos de Seguridad. 4.6.
ARCHIVO DE REGISTROS DE EVENTOS
La AC -INSTITUTO conserva el registro de eventos sobre cada una de las actividades que se detallan más abajo, registrando para cada evento:
Fecha y hora de ocurrencia. Número de serie o secuencia. Tipo de Evento.
Administración del Ciclo de Vida de las Claves Criptográficas a)
Generación y almacenamiento de las claves criptográficas del Certificador.
b)
Resguardo y recuperación de las claves criptográficas del Certificador.
c)
Utilización de las claves criptográficas del Certificador.
d)
Archivo de las claves criptográficas del Certificador.
e)
Retiro de servicio de datos relacionados con las claves criptográficas.
f)
Destrucción de claves criptográficas del Certificador.
g)
Identificación de la entidad que autoriza una operación de administración de claves
criptográficas.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 41 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
h)
Identificación de la entidad que administra los datos relativos a las claves criptográficas.
i)
Compromiso de la clave privada.
Administración del Ciclo de Vida de los Certificados
a)
Recepción de solicitudes de certificados.
b)
Transferencia de claves públicas para la emisión del certificado.
c)
Cambios en los datos de la solicitud del certificado.
d)
Generación de certificados.
e)
Distribución de la clave pública del Certificador.
f)
Solicitudes de revocación de certificados.
g)
Generación y emisión de listas de certificados revocados.
h)
Acciones tomadas en relación con la expiración de un certificado.
Administración del Ciclo de Vida de los Dispositivos Criptográficos a)
Recepción del dispositivo.
b)
Ingreso o retiro del dispositivo del lugar de almacenamiento.
c)
Instalación del dispositivo.
d)
Uso del dispositivo.
e)
Desinstalación del dispositivo.
f)
Retiro, baja o borrado de información del dispositivo.
Información Relacionada con la Solicitud de Certificados a)
Tipos de documentos de identificación presentados por el Solicitante.
b)
Ubicación del archivo de las copias de las solicitudes de certificados y de los documentos de
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 42 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Identificación. c)
Identificación de la entidad que recibe y acepta la solicitud.
d)
Método utilizado para validar los documentos de identificación.
e)
Identificación de la Autoridad de Registro.
Eventos de Seguridad a)
Lecturas y/o escrituras en archivos sensibles de seguridad.
b)
Borrado de datos sensibles de seguridad.
c)
Cambios en los perfiles de seguridad.
d)
Registro de intentos exitosos y fallidos de accesos al sistema, los datos y recursos.
e)
Caídas del sistema, fallas en el hardware y software, u otras anomalías.
f)
Acciones desarrolladas por los operadores y administradores del sistema y responsables de Seguridad.
g)
Cambios en la relación entre la Autoridad Certificante del INSTITUTO y su Autoridad de Registro o personal relacionado con el proceso de certificación.
h)
Accesos a los componentes del sistema de la Autoridad Certificante del INSTITUTO o a cualquiera de sus componentes.
i)
Eventos o situaciones no previstas.
Todos los archivos que contienen registros de eventos se conservan en un espacio físico acondicionado dentro del ámbito del INSTITUTO por un plazo mínimo de DIEZ (10) años. Aquellos con antigüedad mayor a un año pueden trasladarse a un archivo secundario en un lugar físico protegido, manteniendo las mismas medidas de seguridad. 4.7.
CAMBIO DE CLAVE
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 43 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El par de claves criptográficas de la AC INSTITUTO para la Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana tendrá una vigencia de SESENTA (60) años. El cambio del par de claves criptográficas de la Autoridad Certificante del INSTITUTO dará origen a la emisión de un nuevo certificado por parte de la Autoridad Certificante del Ente Licenciante de la Provincia de San Luis. Si la clave privada del INSTITUTO se encontrara comprometida, se procederá a la revocación del certificado y esa clave ya no podrá ser utilizada en el proceso de emisión de certificados. El cambio de claves del Certificador antes del vencimiento de su período de validez implica la emisión de un nuevo certificado. 4.8.
PLAN DE CONTINGENCIA Y RECUPERACIÓN ANTE DESASTRES
El INSTITUTO ha implementado un Plan de Contingencia ante hechos que comprometan la continuidad de sus operaciones, que garantiza el mantenimiento de sus servicios esenciales, los que incluirán como mínimo la recepción de solicitudes de revocación, y la consulta de CRL actualizadas y el servicio OSCP. Dicho Plan de Contingencia describe los procedimientos que se implementan para minimizar las interrupciones de las actividades y para salvaguardar los procesos críticos de las consecuencias de fallas significativas o desastres. El Plan involucra a la totalidad de los recursos físicos, software, personal e información, con el objeto de garantizar la adecuada y continua prestación de servicios. Los procesos y procedimientos se encuentran definidos en dicho Plan, sobre el que se contemplan mecanismos de prueba y simulación con una periodicidad de SEIS (6) meses o cuando los cambios realizados sobre el hardware o software de base o aplicativo así lo ameriten. El INSTITUTO declarará la emergencia ante los siguientes eventos, en la medida que impidan el desarrollo de sus operaciones:
- Revocación de su certificado. - Compromiso o sospecha de compromiso de su clave privada.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 44 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
- Destrucción o falla masiva del hardware o software para la administración del ciclo de vida de los certificados. - Destrucción o falla masiva de las fuentes de energía. - Siniestro que afecte a la estructura del edificio. - Fallas en los sistemas de comunicaciones. - Fallas en los suministros, como por ejemplo, aire acondicionado o líneas de energía eléctrica estabilizada, por períodos extensos. - Otros eventos de similar impacto en la operatoria del Certificador. Ante la emergencia, el Responsable de Contingencia es el encargado de administrar el cumplimiento del Plan. 4.9.
PLAN DE CESE DE ACTIVIDADES
El INSTITUTO cesará en su calidad de Certificador Licenciado Provincial cuando se configure alguno de los siguientes supuestos previstos en la legislación vigente: a) Decisión unilateral comunicada a la Autoridad de Aplicación. b) Disolución o reestructuración del organismo que ejerce las funciones de Certificador. c) Cancelación de su licencia dispuesta por la Autoridad de Aplicación.
La estrategia prevista para el caso de cese de actividades, así como los procedimientos a seguir desde la declaración de cese hasta la inhabilitación lógica y física de sus instalaciones se encuentran establecidas en un documento específico denominado Plan de Cese de Actividades. Sin perjuicio de ello, ante el Cese de Actividades, el INSTITUTO deberá dar cumplimiento al procedimiento que se detalla a continuación: a) Publicará en el Boletín Oficial durante TRES (3) días consecutivos la fecha y hora del Cese de sus actividades, que no podrá ser anterior a los NOVENTA (90) días corridos contados desde la fecha de la
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 45 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
última publicación, en un diario de difusión provincial, un diario de difusión nacional y en el sitio web del INSTITUTO; b) Notificará a la Autoridad de Aplicación y a los Suscriptores vía correo electrónico con una antelación no menor a los NOVENTA (90) días de la fecha prevista de cese; c) Revocará la totalidad de los Certificados que hubiere emitido y que se encontraren vigentes a la fecha de Cese de sus Actividades, a menos que sean transferidos a otro Certificador Licenciado. d) Una vez revocados los Certificados, destruirá la Clave Privada de la AC-INSTITUTO mediante un procedimiento que garantice su destrucción total de acuerdo al último estado del arte. Toda información digital será resguardada por el INSTITUTO por un plazo de DIEZ (10) años, así como toda la documentación de respaldo de las solicitudes. Si el cese se debiera a la disolución del INSTITUTO, los registros pasarán a manos del organismo que se instituya para realizar funciones similares o, en su defecto, a la Autoridad de Aplicación.
5. CONTROLES DE SEGURIDAD FÍSICA, FUNCIONALES Y PERSONALES La descripción detallada de los procedimientos referidos a los controles de seguridad física, funcional y del personal se desarrolla en el Plan de Seguridad del INSTITUTO.
5.1.
CONTROLES DE SEGURIDAD FÍSICA
El INSTITUTO ha implementado controles apropiados que restringen el acceso a los equipos, programas y datos utilizados por la AC-INSTITUTO para la provisión del servicio de Certificación, limitándolo a personas debidamente autorizadas. La AC-INSTITUTO opera en instalaciones construidas bajo estrictas normas internacionales de seguridad física y ambiental que le brindan una protección adecuada. Construcción y Ubicación de las Instalaciones
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 46 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Para realizar las operaciones de la Autoridad Certificante, el INSTITUTO cuenta con instalaciones apropiadas que disponen de controles físicos para evitar, prevenir y detectar el acceso indebido a los equipos, programas y datos utilizados. Las instalaciones poseen perímetros de seguridad expresamente definidos. Niveles de Acceso Físico Para ingresar al recinto que contiene los equipos de la AC-INSTITUTO, el personal autorizado debe atravesar varios niveles de seguridad. Los requisitos de autenticación se incrementan a medida que se accede a los niveles superiores conforme lo especificado en la Normativa Jurídica Interna de la Sala Cofre del Instituto de Firma Digital de la Provincia de San Luis, aprobada por Resolución Rectoral Nº 2120006ULP-2009, modificada por Resolución Rectoral N° 10290003-ULP-2010. Energía Eléctrica y Aire Acondicionado Los equipos de la AC-INSTITUTO están alojados en instalaciones que brindan condiciones adecuadas de suministro de energía eléctrica y de aire acondicionado, para permitir una operación segura. Exposición al Agua e Inundaciones Dentro de las instalaciones, los equipos de la AC-INSTITUTO están alojados en compartimentos estancos a fin de prevenir el impacto producido por inundaciones o filtraciones de líquidos. Prevención y Protección contra Incendio Los equipos de la AC-INSTITUTO están alojados en instalaciones que cuentan con alarmas de detección y sistemas de extinción de incendios. Medios de Almacenamiento de Información El INSTITUTO mantiene los respaldos de información de manera íntegra y confidencial, almacenándolos en recintos ignífugos y accesibles solo por personal autorizado. El INSTITUTO almacena copias completas de respaldo en instalaciones externas. Además cuenta con procedimientos de recuperación escritos que son verificados periódicamente. Descarte de Medios de Almacenamiento de Información - Disposición Final o Reutilización segura de los equipos y medios de almacenamiento
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 47 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El INSTITUTO tiene implementado procedimientos para la destrucción de información sensitiva, a fin de imposibilitar su recuperación, acceso o divulgación luego de su eliminación. 5.2.
CONTROLES FUNCIONALES
El INSTITUTO ha establecido una estructura de personal estable con roles específicos, definidos para realizar las actividades de emisión de certificados y operación de la AC-INSTITUTO que contempla una adecuada separación de funciones. Definición de Roles Afectados al Proceso de Certificación El personal del INSTITUTO que tenga acceso a los equipos involucrados en los procesos de emisión o revocación de Certificados, incluyendo la emisión de la Lista de Certificados Revocados (CRL), es seleccionado y entrenado a los efectos de proporcionar un ambiente de operación seguro y confiable. Este personal deber ser evaluado al menos una vez cada DOS (2) años para confirmar su continuidad en el puesto. Separación de Funciones El INSTITUTO mantiene un esquema de roles y funciones para establecer una adecuada segregación y control de las responsabilidades de su personal. Para evitar que una sola persona pueda llevar a cabo operaciones sensitivas, se requiere para las mismas la participación concurrente de varias personas con diferentes roles. Para lograr una adecuada separación de roles a fin de evita incompatibilidades en la designación. Número de Personas Requerido por Función Cada uno de los roles tiene por lo menos un titular asignado y un sustituto. Identificación y Autentificación para Cada Rol Para ejecutar las funciones pertinentes a su propio rol, todo el personal se debe autenticar de manera segura usando contraseñas y/o certificados digitales. 5.3.
CONTROLES DE SEGURIDAD DEL PERSONAL
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 48 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El INSTITUTO sigue la Política de administración de personal establecida para la Universidad de La Punta y las específicamente previstas en el Plan de Seguridad. Antecedentes Laborales, Calificaciones, Experiencia e Idoneidad del Personal El personal del INSTITUTO posee experiencia y calificaciones adecuadas para las funciones que desempeñan. Dicho personal tiene pleno conocimiento de las Políticas de Seguridad y Certificación que permiten mantener un ambiente seguro y confiable así como del resto de la documentación asociada a la Política de Certificación para Firma Digital de Profesionales y Auxiliares de la Salud Humana. El personal del INSTITUTO ha sido cuidadosamente seleccionado y calificado antes de iniciar sus actividades. Entrenamiento y Capacitación Inicial El personal del INSTITUTO ha sido entrenado adecuadamente antes de iniciar sus actividades. Frecuencias del Proceso de Actualización Técnica El personal del INSTITUTO recibe capacitación constante respecto de los cambios tecnológicos y de procedimientos, que puedan afectar directa o indirectamente las operaciones de certificación. Sanciones a Aplicar por Actividades No Autorizadas El personal del INSTITUTO que incumpliere sus funciones y responsabilidades, será sancionado de acuerdo al régimen de sanciones establecido por la Universidad de La Punta Requisitos para Contratación de Personal El personal del INSTITUTO es contratado de acuerdo al régimen de la Universidad de La Punta. Documentación y Materiales Provistos al Personal El INSTITUTO proporciona a su personal toda la documentación necesaria para el desempeño de sus funciones y responsabilidades. Asimismo, se le hace entrega de todo material adicional que fuera necesario para el cumplimiento de sus funciones (por ejemplo, dispositivos criptográficos, llaves, tarjetas de acceso, etc.) como paso previo al inicio de su relación laboral. El personal mencionado firma un acuse de recibo por el material entregado y un compromiso de confidencialidad en los casos necesarios.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 49 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
5.3.1.
Versión
1.0
Fecha
26/03/2013
PROCEDIMIENTO DE ENTREGA Y RECEPCIÓN DE ELEMENTOS SENSIBLES
La entrega de dispositivos y credenciales de acceso a cualquier sistema, dato o recurso del INSTITUTO o de sus AR se realizará a partir de una autorización expresa del Director del Instituto de Firma Digital de la Provincia de San Luis, donde constará:
Lugar y Fecha. Datos personales del receptor (apellido y nombre, cargo o rol dentro del INSTITUTO, DNI, dirección de correo electrónico, dirección postal y número telefónico). Datos del elemento sensible (tipo, marca, número de serie, etc.). Motivo de la entrega. Período por el cual se hace la entrega. Firma del responsable del INSTITUTO. Constancia de la recepción indicando fecha, firma y aclaración.
Una copia de esta constancia quedará en poder del INSTITUTO y una segunda, en poder del receptor. En las oficinas del INSTITUTO se llevará un registro actualizado de todos los dispositivos entregados y devueltos. En caso de robo o extravío, el responsable al que se le ha asignado el elemento sensible deberá notificar inmediatamente y por escrito de tal circunstancia al Director del INSTITUTO, a fin de que se adopten las medidas necesarias para evitar cualquier compromiso de los recursos de la AC INSTITUTO. A partir de dicha notificación se procederá al reintegro del dispositivo debiendo cumplirse el procedimiento antes señalado. En caso de pérdida de un dispositivo criptográfico, el responsable de tal elemento podrá ser sujeto del cargo de reposición, según lo determine el Director del INSTITUTO.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 50 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
6. CONTROLES DE SEGURIDAD TÉCNICA
El Certificador define en el Manual de Procedimientos de Seguridad: a) Las medidas de seguridad a fin de proteger sus claves criptográficas pública y privada y todos los demás datos críticos necesarios para operar con módulos criptográficos (números pin, passwords, claves manuales compartidas o no por el personal, etc.). b) Otros controles de seguridad que garantizan las funciones de generación de claves, identificación de usuarios, emisión de certificados, auditoría y archivos. 6.1.
GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES CRIPTOGRÁFICAS
6.1.1.
GENERACIÓN DEL PAR DE CLAVES CRIPTOGRÁFICAS
6.1.1.1.
GENERACIÓN DEL PAR DE CLAVES DEL CERTIFICADOR
El Certificador genera el par de claves criptográficas en un ambiente seguro por personal autorizado, sobre dispositivos criptográficos FIPS 140-2 Nivel 3, mediante el algoritmo RSA con un tamaño de 4096 bits. 6.1.1.2.
GENERACIÓN DEL PAR DE CLAVES DE LOS OFICIALES DE REGISTRO DE SUS AUTORIDADES DE REGISTRO
La clave privada de los Oficiales de Registro es generada y almacenada por ellos mismos utilizando un dispositivo criptográfico FIPS 140-2 Nivel 2, mediante el algoritmo RSA con un tamaño mínimo de 1024 bits. 6.1.1.3.
GENERACIÓN DEL PAR DE CLAVES DEL SUSCRIPTOR:
Las claves privadas de los suscriptores son generadas y almacenadas por ellos, sobre dispositivos criptográficos homologados FIPS 140-2 Nivel 2, mediante el algoritmo RSA con un tamaño mínimo de 1024 bits. El par de claves del Suscriptor de un certificado es generado de manera tal que su clave privada se encuentre bajo su exclusivo y permanente conocimiento y control, absteniéndose el Certificador de Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 51 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
acceder o tomar conocimiento por cualquier otro medio de su clave privada conforme lo exige la normativa vigente. El suscriptor es considerado titular del par de claves, como tal, está obligado a establecer los controles de acceso que aseguren que él es el único capaz de acceder a su clave privada; a generar su par de claves de manera segura siguiendo el procedimiento establecido por este Manual tal como se describe en el apartado 4.1 y no revelar su clave privada a terceros bajo ninguna circunstancia. 6.1.2.
ENTREGA DE LA CLAVE PRIVADA AL SUSCRIPTOR
Las características del procedimiento de generación de la clave privada del suscriptor garantizan que ésta es generada por el mismo y en ningún momento es accedida o trasmitida por cualquier otro medio al Certificador. Para la generación y activación de las claves, los Suscriptores cuentan con dispositivos criptográficos externos removibles que las protegen por medio de dos factores de seguridad: -
Mediante la posesión del dispositivo,
-
Mediante un PIN o contraseña definida por el propio Suscriptor, o Mediante huella biométrica.
6.1.3.
ENTREGA DE LA CLAVE PÚBLICA AL EMISOR DEL CERTIFICADO
Durante el proceso de solicitud del certificado, la clave pública del Solicitante es entregada al INSTITUTO utilizando técnicas de “prueba de posesión” de la clave privada asociada tal como se describe en el apartado 3.1.7. Los procesos de solicitud utilizan el formato PKCS#10 para implementar la “prueba de posesión”, remitiendo los datos del solicitante y su clave pública dentro de una estructura firmada con su clave privada. La clave pública del solicitante es generada y transferida al Certificador durante el proceso de solicitud de certificado de manera tal que asegure que: a) No puede ser cambiada durante la transferencia. b) El remitente posee la clave privada que corresponde a la clave pública transferida.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 52 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
La solicitud de un certificado se emite en formato PKCS#10, o bien en el formato que lo reemplace en el futuro. 6.1.4.
DISPONIBILIDAD DE LA CLAVE PÚBLICA DEL CERTIFICADOR
El INSTITUTO publica su propio certificado y su cadena de certificación en un repositorio en línea de acceso público a través de Internet disponible en http://www.pki.sanluis.gov.ar. El proceso de verificación de la validez de los certificados de los suscriptores se realiza automáticamente a través del siguiente procedimiento: 1. A través de la verificación de la cadena de confianza del certificado del suscriptor, proceso que se ejecuta de la siguiente manera: a. Contra el certificado de la AC-INSTITUTO, es decir aquella que emitió el certificado del suscriptor. b. Contra el certificado de la AC Intermedia de la infraestructura de Firma Digital de la Provincia de San Luis, la cual emitió el certificado al INSTITUTO. c. Contra el certificado de la AC RAIZ, la cual emitió el certificado de la AC Intermedia de la infraestructura de Firma Digital de la Provincia de San Luis.
2. Realizando la verificación de la vigencia y el estado de los certificados, mediante la consulta a las CRL emitidas por las AC INSTITUTO, la AC-INTERMEDIA y la ACR RAIZ. 6.1.5.
TAMAÑO DE CLAVES
La longitud de las claves criptográficas del certificado del INSTITUTO es de 4096 bits. La longitud de las claves criptográficos de los Oficiales de Registro de sus Autoridades de Registro es de 1024 bits como mínimo. La longitud de las claves criptográficas de los certificados de los Suscriptores es de 1024 bits como mínimo. El algoritmo de firma en todos los casos es SHA-1 con RSA. Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 53 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
6.1.6.
Versión
1.0
Fecha
26/03/2013
GENERACIÓN DE PARÁMETROS DE CLAVES ASIMÉTRICAS
No se establecen condiciones especiales para la generación de parámetros de claves asimétricas más allá de las que se indican en el punto 6.1.5. 6.1.7.
VERIFICACIÓN DE CALIDAD DE LOS PARÁMETROS
La verificación de calidad de los parámetros es realizada por la aplicación del INSTITUTO. Esta verificación abarca al menos la correcta longitud de claves y los distintos parámetros de los certificados. 6.1.8.
GENERACIÓN DE CLAVES POR HARDWARE O SOFTWARE
El INSTITUTO utiliza los dispositivos que se detallan a continuación para la generación de sus claves criptográficas: a) Para la generación de las claves criptográficas del INSTITUTO: dispositivos que cumplen con las características definidas en FIPS 140-2 para el nivel 3. b) Para la generación de las claves criptográficas utilizadas por los Oficiales de Registro de las AR a fin de realizar las tareas de aprobación de solicitudes, renovaciones o revocaciones: dispositivos que cumplen con las características definidas en FIPS 140-2 para el nivel 2. c) Para certificados de Suscriptores. El solicitante genera su par de claves y almacena la clave privada en un dispositivo criptográfico que cumplen con las características definidas en FIPS 140-2 para el nivel 2. 6.1.9.
PROPÓSITOS DE UTILIZACIÓN DE CLAVES (CAMPO “KEY USAGE” EN CERTIFICADOS
X.509 V.3) Las claves contenidas en los certificados de usuarios emitidos por el INSTITUTO tienen como propósito su utilización para firmar digitalmente. Los valores a utilizar en los certificados son “Firma Digital y No Repudio”. 6.2.
PROTECCIÓN DE LA CLAVE PRIVADA
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 54 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El INSTITUTO cuenta con los procedimientos de control sobre su clave privada que se detallan a continuación: a) Se establecen responsables de su control. b) Se establece un procedimiento de custodia de la clave privada. c) Se establece un procedimiento de activación de la clave privada. d) Se establece un procedimiento de destrucción de la clave privada. 6.2.1.
ESTÁNDARES PARA MÓDULOS CRIPTOGRÁFICOS
Para la generación de claves criptográficas el INSTITUTO utiliza dispositivos de las siguientes características: a) Para la generación de las claves criptográficas del Certificador se utilizarán dispositivos que cumplen con las características definidas en FIPS 140-2 para el nivel 3. b) Para la generación de las claves criptográficas de los Oficiales de Registro de sus Autoridades de Registro se utilizarán dispositivos que cumplen con las características definidas en FIPS 140-2 para el nivel 2. c) Para certificados de Suscriptores, el solicitante genera su par de claves y almacena la clave privada en dispositivos criptográficos que cumplen con las características definidas en FIPS 140-2 para el nivel 2. 6.2.2.
CONTROL “M DE N” DE CLAVE PRIVADA
Las claves privadas del INSTITUTO son activadas exclusivamente en el recinto donde opera o en el sitio de contingencia, dentro del nivel de seguridad asignado a las operaciones críticas del Certificador. El procedimiento de utilización de las claves privadas del Certificador se efectúa de manera segura, de manera tal que siempre es necesaria la presencia de DOS (2) personas distintas para su activación de un universo de SEIS (6) personas posibles. 6.2.3.
RECUPERACIÓN DE CLAVE PRIVADA
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 55 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
En caso de necesidad, el INSTITUTO posee procedimientos para recuperar la clave privada a partir de copias de respaldo. Esta recuperación sólo es realizada por personal autorizado, sobre dispositivos criptográficos seguros y exclusivamente en los niveles de seguridad donde se encuentran las instalaciones críticas de la AC-INSTITUTO o su contingencia. No se implementan mecanismos de resguardo y recuperación de la clave privada para los Oficiales de Registro de las Autoridades de Registro ni de los Suscriptores. En caso de compromiso de la clave privada, éstos deberán proceder a la revocación del certificado y tramitación de una nueva solicitud de emisión de certificado si así correspondiere. 6.2.4.
COPIA DE SEGURIDAD DE CLAVE PRIVADA
El INSTITUTO genera una copia de seguridad de la clave privada garantizando su integridad y confidencialidad a través del procedimiento establecido a tal fin. El INSTITUTO no realiza copias de las claves privadas de los Suscriptores ni de los Oficiales de Registro de sus Autoridades de Registro. 6.2.5.
ARCHIVO DE CLAVE PRIVADA
La clave privada del INSTITUTO es archivada garantizando su integridad y confidencialidad. Bajo los procedimientos de archivo de la clave privada del Certificador. 6.2.6.
INSERCIÓN DE CLAVES PRIVADAS EN MÓDULOS CRIPTOGRÁFICOS
El par de claves criptográficas se genera y almacena en dispositivos criptográficos siguiendo el siguiente procedimiento: a) Las copias de resguardo de la AC-INSTITUTO también están soportados en dispositivos criptográficos homologados FIPS 140-2 nivel 3. b) El par de claves criptográficas del personal de las AR y de los suscriptores se almacena en el mismo dispositivo criptográfico con las características definidas en FIPS 140-2 para el nivel 2 donde se genera y no permite su exportación.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 56 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
6.2.7.
Versión
1.0
Fecha
26/03/2013
MÉTODO DE ACTIVACIÓN DE CLAVES PRIVADAS
La clave privada de la AC-INSTITUTO se activa previa autenticación de los responsables de su control a través de un procedimiento seguro. Los Oficiales de Registro de las Autoridades de Registro y los Suscriptores tienen acceso a su clave privada y a su certificado contenidos en el dispositivo criptográfico a través de PIN/ contraseña o huella biométrica. 6.2.8.
MÉTODO DE DESACTIVACIÓN DE CLAVES PRIVADAS
La clave privada de la AC-INSTITUTO se desactiva previa autenticación de los responsables de su control a través de un procedimiento seguro de desactivación de la clave privada del Certificador. 6.2.9.
MÉTODO DE DESTRUCCIÓN DE CLAVES PRIVADAS
En caso de cese de actividades del INSTITUTO o de compromiso de su clave privada, los dispositivos criptográficos serán reformateados e inicializados nuevamente por personal autorizado. Bajo los procedimientos de destrucción de la clave privada del Certificador. 6.3.
OTROS ASPECTOS DE ADMINISTRACIÓN DE CLAVES
6.3.1.
ARCHIVO PERMANENTE DE CLAVE PÚBLICA
Los certificados emitidos a Suscriptores y a los Oficiales de Registro de las Autoridades de Registro, con sus claves públicas, como así también el de la AC INSTITUTO son almacenados bajo un esquema de redundancia y respaldados en forma periódica sobre dispositivos de solo lectura en repositorios de certificados digitales, lo cual sumado a la firma de los mismos, garantiza su integridad. Los certificados se almacenan en formato estándar bajo codificación internacional DER. Los repositorios de certificados digitales se encuentran disponibles en el sitio web http://www.pki.sanluis.gov.ar 6.3.2.
PERÍODO DE USO DE CLAVE PÚBLICA Y PRIVADA
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 57 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
El período de validez del par de claves se corresponde con el período de validez de los Certificados emitidos: - El certificado digital de la AC-INSTITUTO, tiene una validez de SESENTA (60) años, y de no mediar una revocación anticipada, se lo utilizará para firmar certificados de suscriptores. - El certificado de los Suscriptores de la Política de Certificación vinculada al presente Manual tienen una validez de DOS (2) años. 6.4.
DATOS DE ACTIVACIÓN
6.4.1.
GENERACIÓN E INSTALACIÓN DE DATOS DE ACTIVACIÓN
Los datos de activación del dispositivo criptográfico del INSTITUTO tienen un control “M de N” en base a DOS (2) funcionarios testigos que deben estar presentes de un total de SEIS (6) funcionarios posibles. En el caso de los Suscriptores y Oficiales de Registro de las AR, como paso previo a la generación de su par de claves, deberán establecer una clave de seguridad sobre el dispositivo denominado PIN/contraseña o en caso de estar disponible, su huella biométrica. Esta clave de seguridad debe cumplir los requisitos establecidos en la Política de Seguridad y es conocida solo por el Suscriptor, protege su clave privada e impide el acceso a la misma por parte de terceros, incluida la AC-INSTITUTO 6.4.2.
PROTECCIÓN DE LOS DATOS DE ACTIVACIÓN
Los suscriptores son responsables de la custodia de sus dispositivos criptográficos y de la confidencialidad de la contraseña de protección de su clave privada y de acceso al dispositivo criptográfico, si fuera el caso. El INSTITUTO no establece mecanismos de respaldo de dichas contraseñas. 6.4.3.
OTROS ASPECTOS REFERIDOS A LOS DATOS DE ACTIVACIÓN
Los Suscriptores son responsables de seleccionar contraseñas fuertes para la activación de sus claves privadas. A tal efecto, se formulan las siguientes sugerencias: - Utilizar al menos 8 caracteres, que incluyan letras mayúsculas, minúsculas y números
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 58 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
- No elegir contraseñas fácilmente deducibles como por ejemplo, nombres de familiares, direcciones, números telefónicos, etc. - En caso de que se utilice un dispositivo criptográfico con doble autenticación, la contraseña de accesos no debe coincidir con la de activación de la clave privada. 6.5.
CONTROLES DE SEGURIDAD INFORMÁTICA
6.5.1.
REQUISITOS TÉCNICOS ESPECÍFICOS
El Certificador establece los siguientes controles de seguridad referidos a su equipamiento: a) Control de acceso a los servicios y roles afectados al proceso de certificación Controles de seguridad físicos y lógicos para proteger el acceso a las instalaciones del Certificador y el acceso lógico a los sistemas involucrados en su gestión. b) Separación de funciones para los roles de certificación Ninguno de los intervinientes posee más de un rol o función c) Identificación y autenticación de los roles de certificación Se utiliza una autenticación robusta (2 factores como mínimo) para todos los roles afectados al proceso de certificación d) Utilización de entorno seguro para las sesiones de comunicación y bases de datos. e) Archivo de datos históricos y de auditoria del Certificador y usuarios Se almacenan y archivan los datos históricos y de auditoría del certificador y de los trámites de los suscriptores según lo establecido en el apartado 4.6 f) Registro de eventos de seguridad Todos los eventos de seguridad ocurridos durante el proceso de certificación se registran en archivos de logs. g) Prueba de seguridad relativa a servicios de certificación De forma periódica se realizan pruebas de seguridad de los servicios involucrados en la certificación
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 59 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
h) Mecanismos confiables para identificación de roles afectados al proceso de certificación i) Mecanismos de recuperación para claves y sistema de certificación. En el documento Plan de Contingencia se describen los mecanismos de recuperación de los sistemas para la continuidad de operaciones. Las funcionalidades mencionadas son provistas a través de una combinación del sistema operativo, software de certificación y controles físicos. La descripción de los controles de seguridad establecidos sobre los servidores del Certificador se incluye en el Manual de Procedimientos de Seguridad. 6.5.2.
CALIFICACIONES DE SEGURIDAD COMPUTACIONAL
Todo el equipamiento afectado a las tareas sensibles del INSTITUTO se encuentra ubicado en la sala de acceso exclusivo, bajo los niveles de acceso requeridos por la normativa. El INSTITUTO cumple con las siguientes calificaciones de seguridad sobre los productos en los que se basa la implementación: - Sistemas: Windows 2008 Server Enterprise x86: Certificado EAL4+ Windows 2008 Server Enterprise x64 sp2: Certificado EAL4+ SQL 2008 Server R2 Enterprise Edition x64: Certificado EAL4+ -Harware de Máxima Seguridad: -LUNA S.A 4.3: Certificaciones Regulatorias EstándarU/L 1950 (EN60950) & CSA, C22.2 y en conformidad con CSA, C22.2, FIPS 140-2, Nivel 3 validado, RoHS en conformidad, BAC y EAC Certificación ePassport -Certificaciones y descripción de Célula de Sala Cofre: Material refractario resistente al fuego y gases corrosivos; Estructura auto-portante para paredes, techo y piso; Puertas herméticas de cerramiento automático y blindaje de cables y ductos; Carga de losa reducida, desmontable, reubicable y expansible; Estanqueidad comprobada contra gases corrosivos y polvo, de acuerdo con la norma DIN 18095; Estanqueidad en relación al agua de basamentos o de combate a incendio, de acuerdo con el laudo bw 8995.01 del LGA; Testeada y aprobada como conjunto, simulando la situación real de incendio, según la
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 60 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
norma europea EN 1047-2:2000 y la VDMA Alemana 24991/2; Certificado EN1047-2 por ECBS (Consejo Europeo de Certificación);Certificación -Seguridad: Certificado ABNT 15247. La tecnología de Sala Cofre IT Modular, está certificada bajo norma EN 1047/2 es producida exclusivamente en Alemania o Brasil, bajo el control y procesos de calidad de Lampertz AG, lo que permite garantizar la producción ininterrumpida de células Lampertz aún en caso de desastres en alguna de estas fábricas. -Software de Administración Seguro: El INSTITUTO utiliza un software seguro, escalable, modular e integrable que permite dar soporte documental a todos los circuitos diseñados para implementar la infraestructura de clave pública. El
sistema
implementa
las
validaciones
de
revocaciones
de
certificados
por
CRL
(CertificateRevocationList) y OCSP (Online Certificate Status Protocol). Entre sus módulos se encuentra una interfaz basada en servicios web sobre la infraestructura de clave pública de Microsoft Windows Server 2008+, utilizando el framework WCF (Windows Comunication Framework) que provee un modelo de programación unificada para construir aplicaciones orientadas a servicios. Para la administración de certificados digitales el referido Software de Administración Seguro se basa en el estándar X.509 para infraestructuras de claves públicas (Public Key Infraestructure). X.509 especifica formatos estándar para los certificados de claves públicas y cumple con las normas nacionales e internacionales para infraestructuras de claves públicas y relacionadas: RFC 2459, RFC 5280, RFC 2560, RFC 3161, PKCS#. 6.6.
CONTROLES TÉCNICOS DEL CICLO DE VIDA
6.6.1.
CONTROLES DE DESARROLLO DE SISTEMAS
El INSTITUTO posee separación de ambientes de desarrollo, prueba y producción y control de versiones para componentes desarrollados. 6.6.2.
CONTROLES DE ADMINISTRACIÓN DE SEGURIDAD
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 61 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Se establecen controles respecto a la integridad del sistema de archivos del INSTITUTO que permiten controlar la alteración y verificar si es un cambio válido. 6.6.3.
CALIFICACIONES DE SEGURIDAD DEL CICLO DE VIDA
No aplicable. 6.7.
CONTROLES DE SEGURIDAD DE RED
Los servicios que provee la AC INSTITUTO se encuentran conectados a una red de comunicación pública, son debidamente protegidos por la tecnología apropiada garantizando su integridad. 6.8.
CONTROLES DE INGENIERÍA DE MÓDULOS CRIPTOGRÁFICOS
El dispositivo criptográfico utilizado por el INSTITUTO está certificado por NIST (National Institute of Standards and Technology) con FIPS 140-2 Nivel 3. Los dispositivos criptográficos utilizados por los Oficiales de Registro de las AR están certificados por NIST (National Institute of Standards and Technology) con FIPS 140-2 Nivel 2. Los dispositivos criptográficos utilizados por los Suscriptores están certificados por NIST (National Institute of Standards and Technology) con FIPS 140-2 Nivel 2.
7. PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS 7.1.
PERFIL DEL CERTIFICADO
Resulta de aplicación lo establecido en el apartado 7.1 de la Política de Certificación. 7.2.
PERFIL DE LA LISTA DE CERTIFICADOS REVOCADOS
Resulta de aplicación lo establecido en el apartado 7.2 de la Política de Certificación.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 62 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
8. ADMINISTRACIÓN DE ESPECIFICACIONES 8.1.
PROCEDIMIENTOS DE CAMBIO DE ESPECIFICACIONES
El INSTITUTO cuenta con procedimientos de administración de cambios para efectuar modificaciones a su Política de Certificación, a su Manual de Procedimientos y a los demás documentos exigidos por la Resolución Rectoral N° 2100046-MP-2009. Toda modificación será sometida a la aprobación de la Autoridad de Aplicación. 8.2.
PROCEDIMIENTOS DE PUBLICACIÓN Y NOTIFICACIÓN
El INSTITUTO, una vez notificado de la aprobación de las modificaciones a los documentos indicados en el apartado 8.1 por parte de la Autoridad de Aplicación, y siempre que se trate de documentos de carácter público, publicará en su sitio web el texto de las nuevas versiones de los mencionados documentos donde indicará el texto reemplazado. Los Suscriptores que posean certificados vigentes a la fecha de aplicación del cambio serán notificados por correo electrónico en las direcciones declaradas en los correspondientes certificados. Los documentos vigentes de carácter público y sus versiones anteriores se encuentran disponibles en su sitio web http://www.pki.sanluis.gov.ar
8.3.
PROCEDIMIENTOS DE APROBACIÓN
Toda documentación emitida por el certificador, así como cualquier modificación a efectuar a la misma o cualquier cambio en los datos relativos a su licencia, serán sometidos a aprobación por parte de la Autoridad de Aplicación. La Historia de las revisiones deberá contener la siguiente información como mínimo:
Versión y Modificación Fecha de emisión
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 63 de 64
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6. Versión
1.0
Fecha
26/03/2013
Descripción Motivo del Cambio
Cada nueva versión y/o modificación suplanta a las anteriores, resultando sólo vigente la última, la que está representada por el presente documento.
Manual de Procedimientos de Certificación CARÁCTER: PÚBLICO
Firma Digital
Página 64 de 64