DECRETO 919/04
LA PLATA, 13 de mayo de 2004.
VISTO: La ley de Ministerios N° 13.175, promulgada por Decreto N° 475/04, y Decreto 1824/02;
CONSIDERANDO:
Que dentro de las acciones asignadas a la competencia de la Secretaría General de la Gobernación se encuentra elaborar propuestas de políticas informáticas y de gobierno electrónico y coordinar con las áreas correspondientes su instrumentación progresiva, como así también las de proponer medidas y dictar las normas que promuevan el perfeccionamiento de la organización y el adecuado funcionamiento de la Administración Pública Provincial (art. 28 inc. 16 ley citada en el Visto);
Que la Administración Pública Provincial no puede permanecer ajena a los avances tecnológicos y al empleo de los nuevos medios que provee el mercado, especialmente cuando contribuye a aumentar la productividad de los organismos, a optimizar el manejo de la información y reducir los costos de almacenamiento y de traslado de papel;
Que la tecnología necesaria para otorgar seguridad a los documentos digitales, así como el intercambio de información digital se encuentran actualmente disponibles, habiendo alcanzado un razonable grado de seguridad y confiabilidad;
Que en el ámbito de la Administración Pública Provincial hay organismos que están intercambiando información utilizando encriptación por clave pública – clave privada, basados en acuerdos de partes;
Que resulta conveniente brindar un marco normativo común que evite la duplicación de esfuerzos e inversiones y que favorezca el empleo y difusión de la transferencia electrónica de información y el uso de la firma electrónica en todos los organismos públicos;
Que la tecnología que se propone ya ha sido incorporada en la legislación nacional y en otros países, con positiva repercusión tanto en el ámbito público como el privado;
Que el mecanismo de la firma electrónica permite probar inequívocamente que una persona firmó un documento digital y que dicho documento no fue alterado desde el momento de su firma, siempre que su implementación se ajuste a los procedimientos preestablecidos;
Que es imprescindible establecer una infraestructura de clave pública para el sector público provincial con el fin de crear las condiciones de un uso confiable del documento suscripto digitalmente;
Que la presente normativa fue concebida con el propósito de crear una alternativa válida a la firma ológrafa;
Que dada su índole, se considera conveniente y necesario que la autorización de empleo de la tecnología de firma electrónica definida en este decreto se sujete a un término de vigencia que permita, a partir de su efectiva utilización, evaluar su funcionamiento, y de resultar oportuno -partiendo de la base de que todo sistema es perfectible y que la tecnología informática tiene un desarrollo vertiginoso- modificarla y actualizarla;
Que en virtud de tales circunstancias se prevé expresamente la elaboración, por la Autoridad de Aplicación, de un informe de los resultados del empleo de la firma electrónica a fin de que el Consejo de Gobierno Electrónico para la Provincia de Buenos Aires, sobre la base de las conclusiones emergentes, proponga al Poder Ejecutivo las medidas tendientes a fijar un régimen definitivo en la materia;
Que han tomado intervención la Asesoría General de Gobierno y la Contaduría General de la Provincia en el marco de sus respectivas competencias;
Que la presente medida se dicta en uso de las facultades conferidas por el art. 144 (proemio) de la Constitución de la Provincia de Buenos Aires,
Por ello
EL GOBERNADOR DE LA PROVINCIA DE BUENOS AIRES
DECRETA
ARTICULO 1°.- Autorízase por el plazo de DOS (2) años, a contar del dictado de los manuales de procedimiento y de los estándares aludidos en el artículo 6° del presente, el empleo de la firma electrónica en la instrumentación de actos internos del Sector Público Provincial. Su utilización deberá sujetarse a las condiciones definidas en la infraestructura de Firma Electrónica para dicho Sector que como Anexo I forma parte de este acto administrativo, previa celebración de un convenio cuyos modelos se plasman en los Anexos III y IV. Con tales parámetros y en la medida que sea compatible con las normas que rigen su funcionamiento, los organismos podrán utilizar la tecnología de firma electrónica para la transferencia de información con terceros, previa celebración de un convenio, cuyo modelo está delineado en el Anexo V.
ARTICULO 2°.- Los términos que se expresan en el presente y los Anexos I, III, IV y V tendrán los alcances definidos en el Glosario que se individualiza como Anexo II.
ARTICULO 3°.- Las disposiciones del presente Decreto serán de aplicación en toda la jurisdicción del Sector Público Provincial, el cual comprende la administración centralizada y descentralizada, los organismos de la Constitución, los entes autárquicos, los bancos y entidades financieras oficiales y todo otro ente en que el Estado Provincial o sus organismos descentralizados tengan participación suficiente para la formación de sus decisiones.
ARTICULO 4°.- Los organismos que componen el Sector Público Provincial podrán arbitrar –en coordinación con la autoridad de aplicación- los medios que resulten necesarios para extender el empleo de la tecnología de la firma electrónica.
ARTÍCULO 5°.- La correspondencia entre una clave pública - elemento del par de claves que permite verificar una firma electrónica - y el agente titular de la misma será acreditada mediante un certificado de clave pública emitido por la Autoridad Certificante de la Provincia o por una Autoridad Certificante Licenciada. Los requisitos y condiciones para la vigencia y validez de los certificados de clave pública (emisión, aceptación, revocación, expiración y demás contingencias del procedimiento), así como las condiciones bajo las cuales deben operar las Autoridades de Registro para el Sector Público, quedan establecidos en el citado Anexo I.
ARTICULO 6°.- La Secretaría General de la Gobernación será la Autoridad de Aplicación del presente, quien se encuentra facultada para dictar los manuales de procedimiento de la Autoridad Certificante y de los Organismos Auditantes y Licenciantes, y los estándares tecnológicos aplicables a las claves, los que deberán ser definidos en un plazo no mayor de CIENTO OCHENTA (180) DIAS corridos, cuyos contenidos deberán reflejar el último estado del arte. Los organismos del Sector Público Provincial deberán informar a la autoridad de aplicación, con la periodicidad que ésta establezca, las aplicaciones que concreten de la tecnología autorizada en este decreto.
ARTÍCULO 7º.- La Secretaría General de la Gobernación cumplirá las funciones de Organismo Licenciante con los alcances definidos en el Anexo I del presente.
ARTICULO 8°.- La Escribanía General de Gobierno cumplirá las funciones de Autoridad Certificante de la Provincia con los alcances definidos en el Anexo I del presente. La Dirección Provincial de Informática y Comunicaciones, será responsable de administrar y operar la infraestructura tecnológica de la Autoridad Certificante de la Provincia en su centro de cómputos.
ARTICULO 9°.- La Contaduría General de la Provincia, cumplirá las funciones de Organismo Auditante en los términos establecidos en el Anexo I del presente.
ARTICULO 10.- La Autoridad de Aplicación definida en el artículo 6°, deberá en CIENTO OCHENTA (180) DIAS corridos antes de la finalización del plazo establecido en el artículo 1°, elaborar y remitir al Consejo de Gobierno Electrónico para la Provincia de Buenos Aires un informe acerca de los resultados que la aplicación del sistema autorizado hubiere tenido en las respectivas jurisdicciones. Dicho Consejo examinará dicho informe y propondrá al Poder Ejecutivo el régimen definitivo a adoptar en la materia.
ARTICULO 11.- Delégase en la Secretaría General de la Gobernación la facultad de prorrogar por el mismo término y por única vez, el plazo establecido en el artículo 1° del presente Decreto.
ARTÍCULO 12.- Invítase a los Poderes Legislativo y Judicial y a los Municipios a adherir a las disposiciones de este Decreto.
ARTÍCULO 13.- El presente Decreto será refrendado por los Señores Ministros Secretarios en los Departamentos de Gobierno y Economía.
ARTICULO 14.- Regístrese, comuníquese, publíquese, dése al Boletín Oficial y pase a la Secretaría General de la Gobernación. Cumplido archívese.
SOLA
R. Magnanini
G. A. Otero
ANEXO I
INFRAESTRUCTURA DE FIRMA ELECTRÓNICA PARA EL
SECTOR PÚBLICO PROVINCIAL
ORGANISMO LICENCIANTE
Funciones:
1. Otorga las licencias habilitantes para acreditar a las autoridades
certificantes y emite los correspondientes CERTIFICADOS DE CLAVE PÚBLICA, que
permiten VERIFICAR LAS FIRMAS ELECTRÓNICAS de los CERTIFICADOS que éstas
emitan;
2. Deniega las solicitudes de licencias a las autoridades certificantes que no cumplan con los requisitos establecidos para su autorización;
3. Revoca las licencias otorgadas a las AUTORIDADES CERTIFICANTES LICENCIADAS que dejan de cumplir con los requisitos establecidos para su autorización;
4. Verifica que las AUTORIDADES CERTIFICANTES LICENCIADAS utilicen sistemas TECNICAMENTE CONFIABLES;
5. Considera para su aprobación el manual de procedimientos, el plan de seguridad y el de cese de actividades presentados por las autoridades certificantes;
6. Acuerda con el ORGANISMO AUDITANTE el plan de auditoría para las AUTORIDADES CERTIFICANTES LICENCIADAS;
7. Dispone la realización de auditorías de oficio;
8. Resuelve los conflictos individuales que se susciten entre el SUSCRIPTOR de un CERTIFICADO y la AUTORIDAD CERTIFICANTE LICENCIADA emisora del mismo;
9. Resuelve todas aquellas contingencias respecto a la Infraestructura de FIRMA ELECTRÓNICA.
Obligaciones:
En su calidad de SUSCRIPTOR de CERTIFICADO y de autoridad certificante, el
ORGANISMO LICENCIANTE tiene idénticas obligaciones que las AUTORIDADES
CERTIFICANTES LICENCIADAS, y además debe:
1º.Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a la CLAVE PRIVADA de cualquier SUSCRIPTOR de los CERTIFICADOS que emita;
2. Mantener el control de su propia CLAVE PRIVADA e impedir su divulgación;
3. Revocar su propio CERTIFICADO DE CLAVE PÚBLICA frente al compromiso de su CLAVE PRIVADA;
4. Permitir el acceso público permanente a los CERTIFICADOS DE CLAVE PÚBLICA
que ha emitido en favor de las AUTORIDADES CERTIFICANTES LICENCIADAS, y a la
LISTA DE CERTIFICADOS REVOCADOS, por medio de conexiones de telecomunicaciones
públicamente accesibles. Esto también se aplica a la información sobre
direcciones y números telefónicos de las AUTORIDADES CERTIFICANTES LICENCIADAS;
5. Permitir el ingreso de los funcionarios autorizados del ORGANISMO AUDITANTE a su local operativo, poner a su disposición toda la información necesaria, y proveer la asistencia del caso;
6. Publicar su propio CERTIFICADO DE CLAVE PÚBLICA en el Boletín Oficial, y en DOS (2) diarios de difusión nacional, durante TRES (3) días consecutivos a partir del día de su emisión;
7. Revocar los CERTIFICADOS emitidos en favor de las AUTORIDADES CERTIFICANTES LICENCIADAS incursas en causales de revocación de licencia, o que han cesado sus actividades;
8. Revocar los CERTIFICADOS emitidos en favor de las AUTORIDADES CERTIFICANTES LICENCIADAS, cuando las CLAVES PÚBLICAS que en ellos figuran dejan de ser TÉCNICAMENTE CONFIABLES;
9. Supervisar la ejecución del plan de cese de actividades de las AUTORIDADES CERTIFICANTES LICENCIADAS que discontinúan sus funciones;
10. Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas.
ORGANISMO AUDITANTE
Funciones:
1. Audita periódicamente al ORGANISMO LICENCIANTE y a las AUTORIDADES CERTIFICANTES
LICENCIADAS;
2. Audita a las autoridades certificantes previo a la obtención de sus licencias;
3. Acuerda con el ORGANISMO LICENCIANTE el plan de auditorias para las AUTORIDADES CERTIFICANTES LICENCIADAS;
4. Audita a las AUTORIDADES CERTIFICANTES LICENCIADAS a solicitud del ORGANISMO LICENCIANTE;
5. Efectúa las revisiones de cumplimiento de
las recomendaciones formuladas en las auditorías.
Obligaciones:
El ORGANISMO AUDITANTE debe:
1. Utilizar técnicas de auditoría apropiadas en sus evaluaciones;
2. Evaluar la confiabilidad y calidad de los sistemas utilizados, la
integridad, confidencialidad y disponibilidad de los datos, como así también el
cumplimiento con las especificaciones del manual de procedimientos y el plan de
seguridad aprobados por el ORGANISMO LICENCIANTE;
3. Verificar que se utilicen sistemas TECNICAMENTE CONFIABLES;
4. Emitir informes de auditoría con los hallazgos, conclusiones y recomendaciones en cada caso;
5. Realizar revisiones de seguimiento de las auditorías, para determinar si el organismo auditado ha tomado las acciones correctivas que surjan de las recomendaciones;
6. Emitir informes con las conclusiones de las revisiones de seguimiento de auditorías;
7. Intervenir en los simulacros de planes de contingencia;
8. Dar copia de
todos los informes de auditoría por él emitidos al ORGANISMO LICENCIANTE.
AUTORIDAD CERTIFICANTE LICENCIADA
Funciones:
1. Emite CERTIFICADOS DE CLAVE PÚBLICA;
Para emitir CERTIFICADOS DE CLAVE PÚBLICA, la AUTORIDAD CERTIFICANTE LICENCIADA debe:
a) recibir del ente/ entidad requirente una solicitud de EMISION DE CERTIFICADO DE CLAVE PÚBLICA, la cual deberá estar firmada digitalmente con la correspondiente CLAVE PRIVADA;
b) verificar fehacientemente la información identificatoria del solicitante, la cual deberá estar siempre incluida en el CERTIFICADO, y toda otra información que según lo dispuesto en el manual de procedimientos de la AUTORIDAD CERTIFICANTE LICENCIADA, deba ser objeto de verificación, lo cual deberá realizarse de acuerdo a lo dispuesto en el citado manual;
c) numerar correlativamente los CERTIFICADOS emitidos;
d) mantener copia de todos los CERTIFICADOS emitidos, consignando su fecha de emisión.
La AUTORIDAD CERTIFICANTE LICENCIADA puede, opcionalmente, incluir en un
CERTIFICADO información no verificada, debiendo indicar claramente tal
cualidad.
2. Revoca CERTIFICADOS DE CLAVE PÚBLICA;
La AUTORIDAD CERTIFICANTE LICENCIADA revocará los CERTIFICADOS DE CLAVE PÚBLICA
por ella emitidos:
a) por solicitud de su SUSCRIPTOR; o
b) por solicitud de un TERCERO; o
c) si llegara a determinar que un CERTIFICADO fue emitido en base a una
información falsa, que en el momento de la EMISION hubiera sido objeto de
verificación; o
d) si llegara a determinar que las CLAVES PÚBLICAS contenidas en los
CERTIFICADOS dejan de ser TECNICAMENTE CONFIABLES; o
e) si cesa en sus actividades y no transfiere los CERTIFICADOS emitidos por ella a otra AUTORIDAD CERTIFICANTE LICENCIADA;
La solicitud de REVOCACION DE UN CERTIFICADO debe hacerse en forma personal o por medio de un DOCUMENTO DIGITAL FIRMADO. Si la
revocación es solicitada por el SUSCRIPTOR, ésta deberá concretarse de
inmediato. Si la revocación es solicitada por un TERCERO, tendrá lugar dentro
de los plazos mínimos necesarios para realizar las verificaciones del caso.
La revocación
debe indicar el momento desde el cual se aplica y no puede ser retroactiva o a
futuro. El CERTIFICADO revocado deberá incluirse inmediatamente en la LISTA DE
CERTIFICADOS REVOCADOS, y la lista debe estar firmada por la AUTORIDAD
CERTIFICANTE LICENCIADA. Dicha lista debe hacerse pública en forma permanente,
por medio de conexiones de telecomunicaciones públicamente accesibles.
La AUTORIDAD CERTIFICANTE LICENCIADA debe emitir una constancia de la
revocación para el solicitante.
Provee, opcionalmente, el servicio de SELLADO DIGITAL DE FECHA Y HORA.
Obligaciones:
Adicionalmente a sus obligaciones emergentes como SUSCRIPTORA de su
CERTIFICADO emitido por el ORGANISMO LICENCIANTE, la AUTORIDAD
CERTIFICANTE LICENCIADA debe:
1. Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a la CLAVE PRIVADA del SUSCRIPTOR;
2. Mantener el control de su CLAVE PRIVADA e impedir su divulgación;
3. Solicitar inmediatamente la REVOCACION DE SU CERTIFICADO, cuando tuviera sospechas fundadas de que su CLAVE PRIVADA ha sido comprometida;
4. Solicitar al ORGANISMO LICENCIANTE la revocación de su CERTIFICADO cuando la CLAVE PÚBLICA en él contenida deje de ser TECNICAMENTE CONFIABLE;
5. Informar inmediatamente al ORGANISMO LICENCIANTE sobre cualquier cambio en los datos contenidos en su CERTIFICADO, o sobre cualquier hecho significativo que pueda afectar la información contenida en el mismo;
6. Operar utilizando un sistema TECNICAMENTE CONFIABLE;
7. Notificar al solicitante sobre las medidas necesarias que éste está obligado a adoptar para crear FIRMAS ELECTRÓNICAS seguras y para su VERIFICACION confiable; y de las obligaciones que éste asume por el sólo hecho de ser SUSCRIPTOR de un CERTIFICADO DE CLAVE PÚBLICA;
8. Recabar únicamente aquellos datos personales del SUSCRIPTOR del CERTIFICADO que sean necesarios y de utilidad para la emisión del mismo, quedando el solicitante en libertad de proveer información adicional. Toda información así recabada, pero que no figure en el CERTIFICADO, será de trato confidencial por parte de la AUTORIDAD CERTIFICANTE LICENCIADA;
9. Poner a disposición del SUSCRIPTOR de un CERTIFICADO emitido por ésta AUTORIDAD CERTIFICANTE LICENCIADA, toda la información relativa a la tramitación del CERTIFICADO;
10. Mantener la documentación respaldatoria de los CERTIFICADOS emitidos por DIEZ (10) años a partir de su fecha de vencimiento o revocación;
11. Permitir el acceso público permanente a los CERTIFICADOS que ha emitido, y a la LISTA DE CERTIFICADOS REVOCADOS, por medio de conexiones de telecomunicaciones públicamente accesibles;
12. Publicar su dirección y sus números telefónicos;
13. Permitir el ingreso de los funcionarios autorizados del ORGANISMO LICENCIANTE o del ORGANISMO AUDITANTE a su local operativo, poner a su disposición toda la información necesaria, y proveer la asistencia del caso;
14. Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas.
Cese de Actividades:
Los CERTIFICADOS emitidos por una AUTORIDAD CERTIFICANTE LICENCIADA que cesa en sus funciones se revocarán a partir del día y la hora en que cesa su actividad, a menos que sean transferidos a otra AUTORIDAD CERTIFICANTE LICENCIADA. La AUTORIDAD CERTIFICANTE LICENCIADA notificará mediante la publicación por TRES (3) días consecutivos en el Boletín Oficial, la fecha y hora de cese de sus actividades, que no podrá ser anterior a los NOVENTA (90) días corridos contados desde la fecha de la última publicación. La notificación también deberá hacerse individualmente al ORGANISMO LICENCIANTE.
Cuando se hayan emitido CERTIFICADOS a entes, entidades o personas ajenas al Sector Público Provincial, la AUTORIDAD CERTIFICANTE LICENCIADA publicará durante TRES (3) días consecutivos en uno o más diarios de difusión nacional, el cese de sus actividades.
La AUTORIDAD
CERTIFICANTE LICENCIADA podrá disponer de medios adicionales de comunicación
del cese de sus actividades a los SUSCRIPTORES de CERTIFICADOS que son ajenos
al Sector Público Provincial.
Si los CERTIFICADOS son transferidos a otra AUTORIDAD CERTIFICANTE LICENCIADA,
toda la documentación pertinente también deberá ser transferida a ella.
Requisitos para obtener la licencia de autoridad certificante:
La autoridad certificante que desee obtener una licencia deberá:
1. Presentar una solicitud;
2. Contar con un dictamen favorable emitido por el ORGANISMO AUDITANTE;
3. Someter a aprobación del ORGANISMO LICENCIANTE el manual de procedimientos, el plan de seguridad y el de cese de actividades, así como el detalle de los componentes técnicos a utilizar;
4. Emplear para el ejercicio de las actividades de certificación, personal técnicamente idóneo y que no se encuentre incurso en los supuestos de inhabilitación para desempeñar funciones dentro del Sector Público Provincial;
5. Presentar toda otra información relevante al proceso de otorgamiento de licencias que sea exigida por el ORGANISMO LICENCIANTE.
SUSCRIPTOR DE CERTIFICADO DE CLAVE PÚBLICA
Obligaciones del SUSCRIPTOR:
El SUSCRIPTOR de un CERTIFICADO DE CLAVE PÚBLICA debe:
1. Proveer todos los datos requeridos por la AUTORIDAD CERTIFICANTE LICENCIADA bajo declaración jurada;
2. Mantener el control de su CLAVE PRIVADA e impedir su divulgación;
3. Informar inmediatamente a la AUTORIDAD CERTIFICANTE LICENCIADA, sobre cualquier circunstancia que pueda haber comprometido su CLAVE PRIVADA;
4. Informar inmediatamente a la AUTORIDAD CERTIFICANTE LICENCIADA cuando cambie alguno de los datos contenidos en el CERTIFICADO que hubieran sido objeto de verificación.
CERTIFICADOS DE CLAVE PÚBLICA:
Contenido del CERTIFICADO DE CLAVE PÚBLICA:
El CERTIFICADO DE CLAVE PÚBLICA contendrá, como mínimo, los siguientes
datos:
1. Nombre del ente SUSCRIPTOR del CERTIFICADO;
2. Una identificación unívoca del SUSCRIPTOR del CERTIFICADO (tipo y número de documento, CUIT ó CUIL, Identificación del Organismo, etc.), o número de licencia, en el caso de CERTIFICADOS emitidos para AUTORIDADES CERTIFICANTES LICENCIADAS;
3. CLAVE PÚBLICA utilizada por el SUSCRIPTOR;
4. Nombre del algoritmo que debe utilizarse con la CLAVE PÚBLICA en él contenida;
5. Número de serie del CERTIFICADO;
6. PERIODO DE VIGENCIA del CERTIFICADO;
7. Nombre de la
AUTORIDAD CERTIFICANTE LICENCIADA emisora del CERTIFICADO;
8. FIRMA ELECTRÓNICA de la AUTORIDAD CERTIFICANTE LICENCIADA que emite el
CERTIFICADO, identificando los algoritmos utilizados.
9. Todo otro dato relevante para la utilización del CERTIFICADO, se explicitará en el manual de procedimientos de la AUTORIDAD CERTIFICANTE LICENCIADA emisora.
Condiciones de Validez del CERTIFICADO DE CLAVE PÚBLICA:
El CERTIFICADO DE CLAVE PÚBLICA es válido únicamente si:
1. ha sido emitido por una AUTORIDAD CERTIFICANTE LICENCIADA O LA AUTORIDAD CERTIFICANTE DE LA PROVINCIA;
2. no ha sido revocado;
3. no ha expirado.
ANEXO II
GLOSARIO
AUTORIDAD CERTIFICANTE LICENCIADA: Órgano administrativo que emite CERTIFICADOS DE CLAVE PÚBLICA.
CERTIFICADO o CERTIFICADO DE CLAVE PÚBLICA: o CERTIFICADOS DOCUMENTO DIGITAL emitido y firmado digitalmente por una AUTORIDAD CERTIFICANTE LICENCIADA O LA AUTORIDAD CERTIFICANTE DE LA PROVINCIA, que asocia una CLAVE PÚBLICA con su SUSCRIPTOR durante el PERIODO DE VIGENCIA del CERTIFICADO, y que asimismo hace plena prueba dentro de la Administración Sector Público Provincial, de la veracidad de su contenido.
CLAVE PRIVADA: En un CRIPTOSISTEMA ASIMÉTRICO, es aquélla que se utiliza para firmar digitalmente; para crear una FIRMA ELECTRÓNICA.
CLAVE PÚBLICA: En un CRIPTOSISTEMA ASIMÉTRICO, es aquélla que se utiliza para verificar una FIRMA ELECTRÓNICA.
COMPUTACIONALMENTE NO FACTIBLE: Dícese de aquellos cálculos matemáticos asistidos por computadora que, para ser llevados a cabo, requieren de tiempo y recursos informáticos que superan ampliamente a los disponibles en la actualidad.
CORRESPONDER: Con referencia a un cierto PAR DE CLAVES, significa pertenecer a dicho par.
CRIPTOSISTEMA
ASIMÉTRICO: Algoritmo que utiliza un PAR DE CLAVES, una CLAVE PRIVADA para
firmar digitalmente y su correspondiente CLAVE PÚBLICA para verificar esa FIRMA
ELECTRÓNICA, cuya CLAVE PRIVADA crea una FIRMA ELECTRÓNICA, y cuya
correspondiente CLAVE PÚBLICA se utiliza para VERIFICAR esa FIRMA ELECTRÓNICA.
A efectos de este Decreto, se entiende que el CRIPTOSISTEMA ASIMÉTRICO deberá
ser TECNICAMENTE CONFIABLE.
DIGESTO SEGURO (Hash Result): La secuencia de bits de
longitud fija resultado producido por una FUNCION DE DIGESTO SEGURO luego de
procesar un DOCUMENTO DIGITAL.
DOCUMENTO DIGITAL: Representación digital de actos, hechos o datos jurídicamente relevantes.
DOCUMENTO DIGITAL FIRMADO: DOCUMENTO DIGITAL al cual se le ha aplicado una FIRMA ELECTRÓNICA.
EMISION DE UN CERTIFICADO: La creación de un CERTIFICADO por parte de una AUTORIDAD CERTIFICANTE LICENCIADA O LA AUTORIDAD CERTIFICANTE DE LA PROVINCIA.
ORGANISMO
AUDITANTE: Órgano administrativo encargado de auditar la actividad del
ORGANISMO LICENCIANTE y de las AUTORIDADES CERTIFICANTES LICENCIADAS.
ORGANISMO LICENCIANTE: Órgano administrativo encargado de otorgar las licencias
a las autoridades certificantes y de supervisar la actividad de las
AUTORIDADES CERTIFICANTES LICENCIADAS.FIRMA ELECTRÓNICA: Resultado de una transformación de un DOCUMENTO DIGITAL empleando un CRIPTOSISTEMA ASIMÉTRICO y un DIGESTO SEGURO, de forma tal que una persona que posea el DOCUMENTO DIGITAL inicial y la CLAVE PÚBLICA del firmante pueda determinar con certeza:
1. Si la
transformación se llevó a cabo utilizando la CLAVE PRIVADA que corresponde a la
CLAVE PÚBLICA del firmante, lo que impide su repudio
2. Si el DOCUMENTO DIGITAL ha sido modificado desde que se efectuó la
transformación, lo que garantiza su integridad. La conjunción de los dos
requisitos anteriores garantiza su NO REPUDIO y su INTEGRIDAD.
FUNCION DE DIGESTO SEGURO: Es una función matemática que transforma un
DOCUMENTO DIGITAL en una secuencia de bits de longitud fija, llamada DIGESTO
SEGURO, de forma tal que:
Se obtiene la misma secuencia de bits de longitud fija cada vez que se calcula esta función respecto del mismo DOCUMENTO DIGITAL;
Es COMPUTACIONALMENTE NO FACTIBLE inferir o reconstituir un DOCUMENTO DIGITAL a partir de su DIGESTO SEGURO;
Es COMPUTACIONALMENTE NO FACTIBLE encontrar dos DOCUMENTOS DIGITALES diferentes que produzcan el mismo DIGESTO SEGURO.
INTEGRIDAD:
Condición de no alteración de un DOCUMENTO DIGITAL.
LISTA DE CERTIFICADOS REVOCADOS: Es la lista publicada por la AUTORIDAD
CERTIFICANTE LICENCIADA, de los CERTIFICADOS DE CLAVE PÚBLICA por ella emitidos
cuya vigencia ha cesado antes de su fecha de vencimiento, por acto revocatorio.
NO REPUDIO: Cualidad de la FIRMA ELECTRÓNICA, por la cual su autor no puede
desconocer un DOCUMENTO DIGITAL que él ha firmado digitalmente.
PAR DE CLAVES: CLAVE PRIVADA y su correspondiente CLAVE PÚBLICA en un
CRIPTOSISTEMA ASIMÉTRICO, tal que la CLAVE PÚBLICA puede
verificar una FIRMA ELECTRÓNICA creada por la CLAVE PRIVADA.
PERIODO DE VIGENCIA (de un CERTIFICADO): Período durante el cual el SUSCRIPTOR
puede firmar DOCUMENTOS DIGITALES utilizando la CLAVE PRIVADA correspondiente a
la CLAVE PÚBLICA contenida en el CERTIFICADO, de modo tal que la FIRMA
ELECTRÓNICA no sea repudiable. El PERIODO DE VIGENCIA de un CERTIFICADO
comienza en la fecha y hora en que fue emitido por la AUTORIDAD CERTIFICANTE
LICENCIADA, o en una fecha y hora posterior si así lo especifica el
CERTIFICADO, y termina en la fecha y hora de su vencimiento o revocación.
PUBLICAR: Dar a conocer, notificar o comunicar por cualquier medio.
REVOCACION DE UN CERTIFICADO: Acción de dejar sin efecto en forma permanente un CERTIFICADO a partir de una fecha cierta, incluyéndolo en la LISTA DE CERTIFICADOS REVOCADOS dándolo a publicidad.
SELLADO DIGITAL DE FECHA Y HORA: Acción mediante la cual una AUTORIDAD CERTIFICANTE LICENCIADA O LA AUTORIDAD CERTIFICANTE DE LA PROVINCIA adiciona la fecha, hora, minutos y segundos (como mínimo) de su intervención, a un DOCUMENTO DIGITAL o a su DIGESTO SEGURO. La información resultante del proceso antes descripto será firmada digitalmente por una AUTORIDAD CERTIFICANTE LICENCIADA O POR LA AUTORIDAD CERTIFICANTE DE LA PROVINCIA.
SISTEMA CONFIABLE (Analizar junto con Técnicamente CONFIABLE): Equipos de computación, software y procedimientos relacionados que:
1. Sean razonablemente confiables para resguardar contra la posibilidad de intrusión o de uso indebido;
2. Brinden un grado razonable de disponibilidad, confiabilidad, confidencialidad y correcto funcionamiento;
3. Sean razonablemente aptos para el desempeño de sus funciones específicas;
4. Cumplan con los requisitos de seguridad generalmente aceptados.
SUSCRIPTOR:
Persona:
A cuyo nombre se emite un CERTIFICADO, y
Que es titular de la CLAVE PRIVADA correspondiente a la CLAVE PÚBLICA incluida en dicho CERTIFICADO.
TECNICAMENTE CONFIABLE: Dícese de los SISTEMAS CONFIABLES que cumplen con los estándares tecnológicos que al efecto dicte la Autoridad de Aplicación de la Provincia.
Respecto de las longitudes de claves a utilizar, se requerirá como mínimo una
cantidad de bits igual o superior al doble de la longitud de las claves que se
puedan quebrar al momento de generar el PAR DE CLAVES o crear la FIRMA ELECTRÓNICA.
Respecto de las longitudes de digestos de DOCUMENTO DIGITAL a utilizar, se
requerirá como mínimo una cantidad de bits igual o superior al doble de la
longitud de digestos de DOCUMENTO DIGITAL que se puedan quebrar al momento de
generar el PAR DE CLAVES o crear la FIRMA ELECTRÓNICA.
TERCERO: El que ostenta un derecho subjetivo o interés legítimo
VERIFICACION DE UNA FIRMA ELECTRÓNICA: En relación a un DOCUMENTO DIGITAL, una FIRMA ELECTRÓNICA, el correspondiente CERTIFICADO DE CLAVE PÚBLICA y una LISTA DE CERTIFICADOS REVOCADOS, es la determinación fehaciente de que:
El DOCUMENTO DIGITAL fue firmado digitalmente con la FIRMA ELECTRÓNICA, fue creada en base a la CLAVE PRIVADA correspondiente a la CLAVE PÚBLICA incluida en el CERTIFICADO;
El DOCUMENTO DIGITAL no fue alterado desde que fue firmado digitalmente.
Para aquel documento cuya naturaleza pudiera exigir la necesidad de certificación de fecha cierta, o bien ésta fuere conveniente dado sus efectos, deberá determinarse adicionalmente que el mismo fue firmado digitalmente durante el PERIODO DE VIGENCIA del correspondiente CERTIFICADO.
Anexo III
Pautas Mínimas para un Convenio Marco entre ORGANISMOS de la PROVINCIA
para el intercambio de información relacionada con...........................................................
utilizando tecnología de firma electrónica.
Entre......................................,
en adelante el Organismo I, representado en este acto
por................................, en su carácter de
....................................., por una parte, y
........................,en adelante el Organismo II, representado en este acto
por.............................................., en su carácter de
........................................ por otra parte, convienen en celebrar
el presente Convenio para el intercambio de información relativa a
................., mediante la utilización de tecnología de Firma electrónica.
El citado Convenio se regirá por las normas legales y reglamentarias que
resulten aplicables, por las disposiciones establecidas en el Decreto N° xxx en lo referido a los derechos, obligaciones y aspectos
técnicos que rigen a la Infraestructura de Firma Electrónica y por sus
cláusulas
1°) El Organismo II remitirá al Organismo I y recibirá del mismo información relativa a.......................................utilizando tecnología de firma Electrónica según el procedimiento que se detalla en el presente, conforme a la infraestructura aprobada por el Decreto N° xxx.
Procedimiento para la Obtención del Certificado de Clave Pública.
Cada uno de los organismos que suscriben la presente utilizará un Certificado de Clave Pública emitido por la Autoridad Certificante de la Provincia, creada por el Decreto xxx, debiendo cumplir con todos los requerimientos de identificación fijados en las normas aplicables. Cada organismo proporcionará al otro el almacén con su Certificado, se imprimirán los certificados y los representantes de los organismos firmarán en forma ológrafa las impresiones de los certificados. Las impresiones firmadas se transformarán en los ANEXOS…......del presente convenio.
Procedimiento de presentación de información.
1. El Organismo emisor remitirá a la dirección de correo electrónico especificada por el Organismo receptor en el Anexo…., la información objeto del presente por medio de un mensaje de correo electrónico firmado digitalmente con su clave Privada.
2. El Organismo receptor verificará la firma Electrónica (organismo emisor, revocación) y autenticará la información recibida con la Clave Pública del remitente.
3. El Organismo receptor emitirá el certificado de recepción que incluirá el resultado de la verificación de firma realizada y lo enviará a la dirección de correo electrónico del Organismo emisor, especificada en el Anexo, firmando con su clave privada
2°) Las partes que suscriben el presente Convenio acuerdan que las firmas electrónicas generadas conforme a lo establecido en la metodología descripta en la cláusula precedente, tendrán a todos los efectos el mismo valor que la firma ológrafa de sus funcionarios responsables.
3°) La información debidamente autenticada mediante firma Electrónica que los organismos intercambien entre sí entre las direcciones de correo electrónico especificadas, tendrá por sí misma el carácter de no repudiable. La constancia de su recepción por parte del Organismo receptor será otorgada a través del envío de un acuse de recibo enviado por correo electrónico y firmado digitalmente según el procedimiento antes descripto.
4°) Los organismos se obligan a requerir en forma inmediata la intervención de la Autoridad Certificante de la Provincia, ante cualquier anormalidad relacionada con la emisión del certificado o con la confidencialidad de su clave privada, tales como sustracción, extravío o accesos no autorizados, que pudiera perjudicar los intereses de cualquiera de las partes involucradas en la operatoria y de resultar necesario, solicitará a la Autoridad Certificante la revocación de su certificado y la generación de un nuevo certificado de Clave Pública comunicándolo de inmediato a la otra parte. En caso contrario recaerá sobre el Organismo la responsabilidad sobre los perjuicios producidos a terceros y a la Administración Pública Provincial
5°) Los Organismos firmantes se obligan a mantener la confidencialidad en el tratamiento de la información y de sus claves privadas y a proteger mediante algoritmos de encripción la información transmitida que tenga el carácter de reservada, confidencial, privilegiada y/o privada. Los algoritmos de encripción a utilizar por las partes se detallan en el Anexo….
6°) Los Organismos se mantendrán indemnes mutuamente por los perjuicios que se deriven de eventuales reclamos de terceros con motivo del intercambio de información por este medio. Las partes se responsabilizan, ante eventuales reclamos de terceros, por la exactitud y veracidad de la información enviada por este procedimiento por cada una de ellas.
7º) A todos los efectos legales, la información transmitida por correo electrónico y firmada electrónicamente gozará de presunción de legitimidad y constituirán prueba suficiente y concluyente de su exactitud.
8º) El incumplimiento a las obligaciones precedentemente mencionadas hará pasible al Organismo que las incumpla de la revocación de su Certificado por parte de la Autoridad certificante, quedando el otro Organismo facultado para efectuar la rescisión automática del presente Convenio.
9º) El presente Convenio tendrá una duración de DOS (2) años a partir de la fecha de su suscripción, renovándose automáticamente a su vencimiento por iguales períodos sucesivos, de no mediar, con una antelación no inferior a los treinta (30) días corridos, la expresa voluntad en contrario de alguna de las partes, comunicada en forma fehaciente a la otra. El presente Convenio puede ser denunciado por cualquiera de las partes comunicándolo en forma fehaciente a la otra con noventa (90) días de antelación.
10°) Las partes convienen en someterse a la jurisdicción de los Tribunales competentes del Departamento Judicial de La Plata, haciendo expresa renuncia de cualquier otro fuero o jurisdicción que les pudiere corresponder, fijando las partes domicilio especial en los siguientes: el Organismo I, en.................; el Organismo II, en.................... .
11º) Las partes
se obligan a verificar la validez del certificado utilizado por la otra ante la
Autoridad de Certificación de la Provincia.
De conformidad se firman...... ejemplares de un mismo tenor y a un solo efecto,
a los.......días del mes de........de.......
Adhesión al régimen de transferencia de información y uso de firma electrónicas. USO interno de un Organismo
Declaración
Jurada
APELLIDO Y NOMBRE, DNI N°……………………………, con domicilio real en…………….……………….,
constituyendo domicilio legal en…………….…..…..………………………..en mi carácter de ……………………………………………………………………....,
adhiero al
régimen de transferencia electrónica de información y uso de firma electrónica, dispuesto por el Decreto xxx/03. Este convenio se regirá por las normas legales y reglamentarias que resulten aplicables, por las disposiciones establecidas en el Decreto N° xxx en lo referido a los derechos, obligaciones y aspectos técnicos que rigen a la Infraestructura de Firma Electrónica y por sus cláusulas
En este acto informo que la identificación de usuario y la casilla de correo electrónico que me han sido asignadas/que utilizaré a los efectos de este convenio son
La clave privada seleccionada es de mi exclusivo conocimiento y me constituyo en custodio de su confidencialidad, privacidad y seguridad y único responsable por su uso. Me comprometo a solicitar de manera inmediata su revocación a la autoridad certificante de la provincia en caso de extravío, sustracción o pérdida de confidencialidad de mi clave
El certificado me fue otorgado por la Autoridad Certificante ………………………..y esta operación se registró bajo el n°
Adjunto al presente la impresión de mi certificado digital firmada en forma ológrafa (Anexo II)
Me comprometo a enviar toda la información relacionada con este Convenio a la casilla de correo electrónico que el organismo indique en el Anexo I y a proteger la información enviada y recibida mediante los algoritmos de encripción que se especifican en el Anexo I
La información debidamente autenticada mediante firma electrónica que remita al organismo tendrá por sí misma el carácter de no repudiable, responsabilizándome por la autenticidad de la firma y de los datos transmitidos conforme a la identificación de usuarios y bajo la clave privada seleccionada.
El presente documento de adhesión se depositará en ………….……………………….., donde exhibiré la documentación respaldatoria para la constatación de mi identidad y de mi función/cargo en el Organismo
En caso de que por cualquier razón mi certificado sea revocado por la Autoridad de la Provincia me comprometo a solicitar un nuevo certificado y a completar nuevamente este documento en un plazo de cinco días
En La Plata, a los ………………………… días del mes de
……………………… del
año 2003.
.....................................................
Firma del funcionario habilitado
………………………………………….
Firma del adherente
Anexo V
Pautas Mínimas para un Convenio Marco de adhesión entre
Terceros y un Organismo de la Provincia
para el intercambio de
información relacionada
con...........................................................
utilizando tecnología de firma Electrónica.
Entre......................................,
en adelante el Organismo, representado en este acto
por................................, en su carácter de
....................................., por una parte, y
........................,en adelante el ADHERENTE, representado en este acto
por.............................................., en su carácter de
........................................ por otra parte, convienen en celebrar
el presente Convenio para el intercambio de información relativa a
................., mediante la utilización de tecnología de Firma Electrónica.
El citado Convenio se regirá por las normas legales y reglamentarias que
resulten aplicables, por las disposiciones establecidas en el Decreto N° xxx en lo referido a los derechos, obligaciones y aspectos
técnicos que rigen a la Infraestructura de Firma Electrónica y por sus
cláusulas.
1°) EL ADHERENTE remitirá al Organismo y recibirá del mismo información relativa a.........................................utilizando tecnología de firma Electrónica según el procedimiento que se detalla en el presente, conforme a la infraestructura aprobada por el Decreto N° xxx.
Procedimiento
para la Presentación del Certificado de Clave Pública.
El ADHERENTE proporcionará al Organismo el almacén con su Certificado, éste
imprimirá el mismo y el ADHERENTE firmará en forma ológrafa la impresión del
certificado. La impresión firmada se incorporará como ANEXO....del presente
convenio.
Procedimiento de presentación de información.
1. El ADHERENTE remitirá a la dirección de correo electrónico definida por el Organismo, especificada en el Anexo ....., la información objeto del presente por medio de correo electrónico firmado digitalmente con su clave Privada.
2. El Organismo verificará la firma Electrónica y autenticará la información recibida con la Clave Pública del remitente.
3. El Organismo emitirá el certificado de recepción que incluirá el resultado de la verificación de firma realizada y lo enviará a la dirección de correo electrónico del Adherente, especificada en el Anexo, firmando con su clave privada según el procedimiento antes descripto.
2°) Las partes que suscriben el presente Convenio acuerdan que las firmas electrónicas generadas conforme a lo establecido en la metodología descripta en la cláusula precedente, tendrán a todos los efectos el mismo valor que la firma ológrafa de sus firmantes autorizados.
3º) El ADHERENTE es responsable de realizar la verificación de la validez (no caducidad) del certificado utilizado por el Organismo, ante la Autoridad de Certificación de la Provincia.
4°) La información debidamente autenticada mediante firma Electrónica que remita el ADHERENTE al Organismo, tendrá por sí misma el carácter de no repudiable.
5°) EL ADHERENTE se obliga a requerir en forma inmediata la intervención de la Autoridad Certificante emisora de su certificado, ante cualquier anormalidad relacionada con la emisión del certificado o con la confidencialidad de su clave privada, tales como extravío, sustracción o accesos no autorizados, que pudiera perjudicar los intereses de cualquiera de las partes involucradas en la operatoria y de resultar necesario, solicitará a la Autoridad Certificante la revocación de su certificado y la generación de un nuevo certificado de Clave Pública, comunicándolo en forma inmediata y fehaciente al Organismo. En caso contrario recaerá sobre el ADHERENTE la responsabilidad sobre los perjuicios producidos a terceros y al Estado de la Provincia de Buenos Aires.
6°) EL ADHERENTE y el Organismo se obligan a mantener la confidencialidad en el tratamiento de la información y de sus claves privadas y a proteger mediante algoritmos de encripción la información transmitida que tenga el carácter de reservada, confidencial, privilegiada y/o privada. El algoritmo de encripción a utilizar será el definido en el ANEXO...
7°) El ADHERENTE mantendrá indemne al Organismo de los perjuicios que se deriven de eventuales reclamos de terceros con motivo de la prestación del servicio.
8º) A todos los efectos legales, las constancias emanadas de registros pertenecientes a....................., gozarán de presunción de legitimidad y constituirán prueba suficiente y concluyente de exactitud de la información autenticada mediante firma Electrónica recibida del Organismo y del ADHERENTE.
9°) El incumplimiento a las obligaciones precedentemente mencionadas hará pasible al ADHERENTE de ser suspendido por el Organismo para la utilización de la tecnología de firma Electrónica en el intercambio de información relativa a...............quedando el Organismo facultado para efectuar la rescisión automática del presente Convenio.
10°) El presente Convenio tendrá una duración de DOS (2) años a partir de la fecha de su suscripción, renovándose automáticamente a su vencimiento por iguales períodos sucesivos, de no mediar, con una antelación no inferior a los treinta (30) días corridos, la expresa voluntad en contrario de alguna de las partes por medio fehaciente. El presente Convenio podrá ser denunciado por cualquiera de las partes comunicándolo a la otra en forma fehaciente con una antelación de noventa (90) días.
11°) Las partes convienen en someterse a la jurisdicción de los Tribunales competentes del Departamento Judicial de La Plata, haciendo expresa renuncia de cualquier otro fuero o jurisdicción que les pudiere corresponder, fijando las partes domicilio especial en los siguientes: el Organismo, en.................el ADHERENTE, en.................... .
De conformidad se firman...... ejemplares de un mismo tenor y a un solo efecto, a los ....... días del mes de ........ de .......