| ¿Qué debo Conocer? |
| |
| 1. ¿ Qué es la Firma Digital ? |
| La Firma Digital es el resultado de la transformación
de un documento digital por medio de una función de digesto seguro
de mensaje, este último encriptado con la clave privada del suscriptor,
de forma tal que la persona que posea el documento digital inicial, el digesto
encriptado y la clave pública del suscriptor pueda determinar con
certeza que la transformación fue realizada utilizando la clave privada
correspondiente a dicha clave pública y que el documento digital
no ha sido modificado desde que se efectuó la transformación. |
| |
| 2. ¿ Qué elementos intervienen en el
procedimiento de Firma Digital ? |
| En el procedimiento de Firma Digital intervienen: |
- Una Clave Privada para firmar digitalmente.
- La correspondiente Clave Pública para verificar
dicha Firma Digital.
- El Certificado de Clave Pública que identifica
al titular de dicha clave.
|
| Las firmas digitales sólo pueden ser creadas durante
la vigencia del respectivo Certificado de Clave Pública. |
| |
| 3. ¿ Qué es una Infraestructura de Firma
Digital ? |
| Una Infraestructura de Firma Digital es el conjunto de
Autoridades de Certificación (AC), un Ente Licenciante y un Ente
Auditante. |
| |
| 4. ¿ Cuál es el valor Jurídico
y los efectos de la Firma Digital ? |
| Los efectos de la Firma Digital, con los recaudos y exigencias
que el “estado del arte” propone, satisface el requerimiento
de firma bajo la figura de ‘acuerdo de partes’ que las leyes
establecen y tiene sus mismos efectos, siendo su empleo una alternativa
de la firma manuscrita u hológrafa. |
| |
| 5. ¿ Puede funcionar como Instrumento Privado
la Firma Digital ? |
| Para funcionar como instrumento privado, el documento digital
firmado digitalmente, con los recaudos y exigencias que el “estado
del arte” propone, actúa siempre que su contenido pueda ser
representado como texto inteligible. |
| |
| 6. ¿ Cuál debe ser el contenido de un
Certificado Digital ? |
| El Certificado Digital o Certificado de Clave Pública
debe responder a formatos estándares reconocidos internacionalmente
y contener, como mínimo, los siguientes datos: |
- Nombre de su titular
- Tipo y número de documento del titular
- Clave Pública del titular, identificando
el algoritmo utilizado
- Número de serie del certificado
- Período de vigencia del certificado
- La dirección de Internet de las condiciones
de emisión y utilización del certificado
- La dirección de Internet de la lista de certificados
revocados que mantiene la Autoridad de Certificación (AC)
- La dirección de Internet del manual de Procedimientos,
Políticas de Certificación y Términos y Condiciones
para la obtención de Certificados
- Nombre de la Autoridad de Certificación (AC)
que emitió el certificado
- Firma Digital de la Autoridad de Certificación
(AC) que emitió el certificado, identificando los algoritmos
de cifrado utilizados
|
| La Autoridad de Certificación, puede incluir información
no verificada, debiendo indicar claramente tal circunstancia en las correspondientes
condiciones de emisión y utilización del certificado. |
| |
| 7.- ¿ Cuál es el tiempo de Validez de
un Certificado ? |
| El Certificado de Clave Pública es válido
únicamente dentro del período de vigencia, que comienza en
la fecha de inicio indicada en el certificado y finaliza en su fecha de
vencimiento, o con su revocación si fuere revocado. La fecha de vencimiento
del Certificado de Clave Pública en ningún caso puede ser
posterior a la del vencimiento del Certificado de Clave Pública de
la Autoridad de Certificación (AC). |
| |
| 8.- ¿ Cuáles son las funciones de la
Autoridad de Certificación (AC) ? |
| La Autoridad de Certificación (AC) tiene las siguientes
funciones: |
1. Emitir Certificados de Clave Pública
de acuerdo a lo establecido en las condiciones de emisión y utilización
de sus certificados, para lo cual debe:
a) recibir solicitudes de emisión de Certificado
de Clave Pública;
b) numerar correlativamente los certificados emitidos;
c) mantener copia de todos los certificados emitidos,
consignando su fecha de emisión, y de las correspondientes solicitudes
de emisión
|
2. Revocar los Certificados de Clave Pública
por él emitidos en los siguientes casos:
a) a solicitud del titular del certificado.
b) a solicitud justificada de un tercero.
c) si determinara que un certificado fue emitido
en base a una información falsa, que en el momento de la emisión
hubiera sido objeto de verificación.
d) si determinara que el criptosistema asimétrico
de las claves públicas contenidas en los certificados emitidos
ha dejado de ser seguro o si la función de digesto seguro utilizada
para crear la firma digital del certificado dejara de ser segura.
|
| La solicitud de revocación de un certificado debe
hacerse en forma personal, o por medio de un documento digital firmado digitalmente,
o de acuerdo a lo que establezca el manual de procedimientos. Si la revocación
es solicitada por el titular, ésta debe concretarse de inmediato.
Si la revocación es solicitada por un tercero, debe ser realizada
dentro de los plazos mínimos necesarios para realizar las verificaciones
del caso. |
| La revocación debe indicar el momento desde el cual
se aplica, precisando minutos y segundos, como mínimo, y no puede
ser retroactiva o a futuro. El certificado revocado debe ser incluido inmediatamente
en la lista de certificados revocados y la lista debe estar firmada por
la Autoridad de Certificación (AC). Dicha lista debe publicarse en
forma permanente e ininterrumpida en Internet. |
| La Autoridad de Certificación (AC) emite una constancia
de la revocación para el propietario del Certificado de Clave Pública
revocada. |
| |
| 9. ¿ Qué obligaciones tiene la Autoridad
de Certificación (AC) ? |
| La Autoridad de Certificación (AC) debe: |
- Abstenerse de generar, exigir, o por cualquier otro
medio tomar conocimiento o acceder bajo ninguna circunstancia, a la
clave privada de los titulares de Certificados por él emitidos.
- Mantener el control exclusivo de su propia Clave
Privada e impedir su divulgación.
- Operar utilizando un sistema técnicamente
confiable.
- Notificar al solicitante sobre las medidas necesarias
que está obligado a adoptar para crear firmas digitales seguras
y para su verificación confiable; y de las obligaciones que asume
por el solo hecho de ser titular de un Certificado de Clave Pública.
- Recabar únicamente aquellos datos personales
del titular del Certificado que sean necesarios para su emisión,
quedando el solicitante en libertad de proveer información adicional.
- Mantener la Confidencialidad de toda información
que no figure en el Certificado.
- Poner a disposición del solicitante de un
certificado toda la información relativa a su tramitación.
- Mantener la documentación respaldatoria de
los certificados emitidos por DIEZ (10) años a partir de su fecha
de vencimiento o revocación.
- Incorporar en las condiciones de emisión
y utilización de sus certificados los efectos de la revocación
de su propio Certificado de Clave Pública.
- Publicar en Internet en forma permanente e ininterrumpida
los certificados que ha emitido, la lista de certificados revocados,
las condiciones de emisión y utilización de sus certificados,
su manual de procedimientos, su dirección de atención
al público, de correo electrónico y sus números
telefónicos.
- Registrar las presentaciones que le sean formuladas,
así como el trámite conferido a cada una de ellas.
- Si las condiciones de emisión y utilización
de sus Certificados requieren la verificación de la identidad
del titular, realizar dicha verificación por intermedio de un
Escribano Público u Oficial Público competente.
- Verificar, de acuerdo con lo dispuesto en el manual
de procedimientos de la Autoridad de Certificación, toda otra
información que deba ser objeto de verificación según
lo dispuesto en el citado manual, la que debe figurar en las condiciones
de emisión y utilización de sus certificados y en los
certificados.
- Informar a los usuarios de Certificados de Clave
Pública y aplicar el Plan de Contingencia previsto, cuando tuviera
sospechas fundadas de que la privacidad de su Clave Privada hubiese
sido comprometida o cuando el criptosistema asimétrico de Clave
Pública en él contenida haya dejado de ser seguro.
- Emplear personal idóneo que tenga los conocimientos
específicos, la experiencia necesaria para proveer los servicios
ofrecidos y, en particular, competencia en materia de gestión,
conocimientos técnicos en el ámbito de la firma digital
y experiencia adecuada en los procedimientos de seguridad pertinentes.
- Disponer de recursos económicos suficientes
para operar y afrontar el riesgo de responsabilidad por daños.
|
| 10. ¿ Cuales son las responsabilidades de la
Autoridad de Certificación (AC) ? |
| El alcance de la responsabilidad de la Autoridad de Certificación
se encuentra delimitado por su Política de Certificación,
no siendo responsable en los siguientes casos: |
- Por los casos que se excluyan taxativamente en las condiciones
de emisión y utilización de sus certificados y que no
estén expresamente previstos.
- Por los daños y perjuicios que resulten del uso
no autorizado de un certificado, si en las correspondientes condiciones
de emisión y utilización de sus certificados constan las
restricciones de su utilización.
- Por los daños y perjuicios que excedan el valor
límite por transacción, o por el total de transacciones,
si tales valores límites constan en las correspondientes condiciones
de emisión y utilización de sus certificados.
- Por eventuales inexactitudes en el certificado que resulten
de la información facilitada por el titular que, según
lo dispuesto en su manual de procedimientos, deba ser objeto de verificación,
siempre que la Autoridad de Certificación (AC) pueda demostrar
que ha tomado todas las medidas razonablemente practicables para verificar
tal información, de acuerdo con las circunstancias y el tipo
de certificado de que se trate.
|
| 11. ¿ Qué requisitos debe contemplar
una Autoridad de Certificación (AC) ? |
| La Autoridad de Certificación (AC) debe: |
- Ser persona jurídica.
- Poseer un manual de procedimientos, un plan de seguridad
y un plan de cese de actividades, así como el detalle de los
componentes técnicos a utilizar.
- Emplear personal idóneo que tenga los conocimientos
específicos, la experiencia necesaria para proveer los servicios
ofrecidos y, en particular, competencia en materia de gestión,
conocimientos técnicos en el ámbito de la firma digital
y experiencia adecuada en los procedimientos de seguridad pertinentes.
- Presentar toda otra información relativa al proceso
de otorgamiento de certificados que le sea requerido.
|
| 12. ¿ Puede cesar su actividad la Autoridad
de Certificación (AC) ? |
| La Autoridad de Certificación puede cesar en tal
calidad: |
- Por decisión unilateral.
- Por revocación de su personería jurídica
o por cualquier otra causa legal de disolución.
|
| Los certificados emitidos por una Autoridad de Certificación
(AC) que cesa en sus actividades deben ser revocados a partir del día
y la hora en que cesa su actividad. La Autoridad de Certificación
(AC) notificará a los poseedores de Certificados y hará saber,
mediante publicación en un diario de abundante circulación
por TRES (3) días consecutivos, la fecha y hora de cese de sus actividades,
la que no puede ser anterior a los NOVENTA (90) días corridos contados
desde la fecha de la última publicación. |
| |
| 13. ¿ Quiénes pueden ser titulares de
un Certificado de Clave Pública? |
| Los Titulares de un certificado de clave pública
pueden ser personas físicas o jurídicas. |
| |
| 14.- ¿ Qué obligaciones posee el titular
de un Certificado de Clave Pública? |
| El titular de un Certificado de Clave Pública debe: |
- Manifestar bajo declaración jurada los datos
que provea a la Autoridad de Certificación (AC).
- Mantener el control exclusivo de su Clave Privada, no
compartirla, e impedir su divulgación.
- Informar sin demora a la Autoridad de Certifcación
(AC) sobre cualquier circunstancia que pueda haber comprometido la privacidad
de su Clave Privada.
- Informar sin demora a la Autoridad de Certificación
el cambio de alguno de los datos contenidos en el certificado que hubiera
sido objeto de verificación.
|
| 15.- ¿ Qué garantías tecnológicas
y de seguridad ofrece la Autoridad de Certificación? |
| La Autoridad de Certificación cubre los siguientes
aspectos relativos a la tecnología y seguridad: |
- Tipos de algoritmos que pueden implementar los dispositivos
homologados de creación y verificación de firma digitale,
los que en el ámbito internacional deben tener amplia difusión
y estudio.
- Longitudes mínimas aceptables de Claves Públicas
y de digestos de mensaje y fecha límite de vencimiento de los
certificados que las utilizan.
- Confiabilidad para emitir y revocar certificados.
- Determinación de la identidad de los titulares
de Certificados de Clave Pública.
- Empleo de personal con conocimientos técnicos,
de seguridad y de gestión específicos y experiencia necesaria
para proveer los servicios ofrecidos.
- Utilización de dispositivos de creación
y verificación de firmas digitales que aseguren la protección
contra toda alteración de dichos productos, de manera que éstos
no puedan ser utilizados para llevar a cabo funciones distintas de aquellas
para las cuales fueron diseñados.
- Registro de toda la información relativa
a la emisión de Certificados de Clave Pública.
- Establecer los estándares tecnológicos
y operativos.
- Disponer de los recursos económicos suficientes
y en particular para afrontar el riesgo de responsabilidad por daños.
- Instrumentar acuerdos nacionales, multinacionales
y regionales a fin de otorgar validez jurídica a las firmas digitales
creadas en base a certificados emitidos por Autoridades de Certificación
de otros países.
- Homologar dispositivos de creación y verificación
de firmas digitales.
|