Porwebmaster
¿QUÉ PASA SI SE EMITE UN CERTIFICADO DE FIRMA DIGITAL EN UN TOKEN QUE NO CUMPLE CON LA POLÍTICA ÚNICA DE CERTIFICACIÓN DE ONTI (OFICINA NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN)?
FIRMA DIGITAL – REGLAMENTACIÓN
Informamos a los colegiados y colegiadas qué, debido a las consultas recibidas en los últimos días, ponemos en vuestro conocimiento un breve resumen del reglamento de la ONTI (Oficina Nacional de Tecnologías de la Información) y las consecuencias de no cumplirlo para la emisión de la firma digital:
Consecuencias y responsabilidades derivadas de la emisión de un certificado de firma digital en un dispositivo criptográfico (token) que no cumple con los requisitos técnicos y de seguridad establecidos en la Política Única de Certificación y el Manual de Procedimientos de la AC-ONTI.
De acuerdo con la Política Única de Certificación de la AC-ONTI y el Manual de Procedimientos, los certificados de firma digital solo pueden emitirse cuando:
- El dispositivo criptográfico utilizado por el solicitante cumple con los estándares de seguridad exigidos:
-FIPS 140-2 nivel 2 o superior
-Soporte claves RSA de 2048 bits.
-Los mismos deberán tener certificación NIST (National Institute of Standards and Technology) en estado ACTIVO o, para suscriptores que no sean Oficial de Registro, en estado HISTÓRICO hasta 3 años del pase a dicha clasificación de acuerdo a lo establecido en la Política Única de Certificación de la AUTORIDAD CERTIFICANTE de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN (AC ONTI)
- Se garantiza que la clave privada es generada y permanece bajo control exclusivo del titular.
- El Responsable de Soporte Técnico de Firma Digital verifica previamente la conformidad del token.
- El Oficial de Registro aprueba la solicitud únicamente si se cumplen todos los requisitos técnicos, legales y procedimentales.
La aprobación de un certificado digital sin que el dispositivo criptográfico del solicitante cumpla con los requisitos técnicos exigidos implica:
*Incumplimiento de los procedimientos obligatorios establecidos para el registro inicial y emisión de certificados.
* Vulneración del principio de seguridad y confianza de la Infraestructura de Firma Digital, al no asegurarse la correcta protección de la clave privada.
*Afectación directa a la validez y confiabilidad del certificado emitido, pudiendo comprometer las firmas digitales realizadas con el mismo.
*Desconocimiento de las funciones y obligaciones propias del rol del Oficial de Registro, quien debe rechazar toda solicitud que no cumpla los requisitos.
* Cabe destacar que todos los trámites realizados por las Autoridades de Registro son firmados digitalmente por los Oficiales intervinientes, quienes asumen plena responsabilidad por el proceso llevado a cabo.
Como consecuencia de lo expuesto:
* El certificado emitido resulta pasible de revocación inmediata, por haberse emitido en contravención a la Política Única de Certificación.
*Las firmas digitales efectuadas con dicho certificado pueden ser cuestionadas en cuanto a su validez legal.
* El Oficial de Registro interviniente podría quedar sujeto a responsabilidades administrativas, sin perjuicio de las medidas que adopte la AC-ONTI en el marco de sus facultades de control y auditoría.
*El incidente debe ser registrado y reportado conforme a los procedimientos de seguridad y auditoría vigentes.
Conclusión
La emisión de certificados de firma digital en dispositivos criptográficos que no cumplen los requisitos establecidos constituye un incumplimiento grave de la normativa vigente, compromete la seguridad del sistema de firma digital y genera responsabilidades directas para el Oficial de Registro interviniente, haciendo necesaria la adopción de medidas correctivas inmediatas.
Podrá obtener más información en los siguientes enlaces:
https://www.argentina.gob.ar/servicio/solicitar-certificado-de-firma-digital-por-hardware-token.
Por último, ante cualquier duda o inquietud puede efectuarla en la sede del Colegio en el sector Sala MEV donde personal capacitado atenderá su tema. Asimismo, para la emisión/renovación de firma digital recuerde sacar turno en https://camdp.org.ar/turnos/index.php/login_abogado
Porwebmaster
FIRMA DIGITAL – REGLAMENTACIÓN
Informamos a los colegiados y colegiadas qué, debido a las consultas recibidas en los últimos días, ponemos en vuestro conocimiento un breve resumen del reglamento de la ONTI (Oficina Nacional de Tecnologías de la Información) y las consecuencias de no cumplirlo para la emisión de la firma digital:
Consecuencias y responsabilidades derivadas de la emisión de un certificado de firma digital en un dispositivo criptográfico (token) que no cumple con los requisitos técnicos y de seguridad establecidos en la Política Única de Certificación y el Manual de Procedimientos de la AC-ONTI.
De acuerdo con la Política Única de Certificación de la AC-ONTI y el Manual de Procedimientos, los certificados de firma digital solo pueden emitirse cuando:
- El dispositivo criptográfico utilizado por el solicitante cumple con los estándares de seguridad exigidos:
-FIPS 140-2 nivel 2 o superior
-Soporte claves RSA de 2048 bits.
-Los mismos deberán tener certificación NIST (National Institute of Standards and Technology) en estado ACTIVO o, para suscriptores que no sean Oficial de Registro, en estado HISTÓRICO hasta 3 años del pase a dicha clasificación de acuerdo a lo establecido en la Política Única de Certificación de la AUTORIDAD CERTIFICANTE de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN (AC ONTI)
- Se garantiza que la clave privada es generada y permanece bajo control exclusivo del titular.
- El Responsable de Soporte Técnico de Firma Digital verifica previamente la conformidad del token.
- El Oficial de Registro aprueba la solicitud únicamente si se cumplen todos los requisitos técnicos, legales y procedimentales.
La aprobación de un certificado digital sin que el dispositivo criptográfico del solicitante cumpla con los requisitos técnicos exigidos implica:
*Incumplimiento de los procedimientos obligatorios establecidos para el registro inicial y emisión de certificados.
* Vulneración del principio de seguridad y confianza de la Infraestructura de Firma Digital, al no asegurarse la correcta protección de la clave privada.
*Afectación directa a la validez y confiabilidad del certificado emitido, pudiendo comprometer las firmas digitales realizadas con el mismo.
*Desconocimiento de las funciones y obligaciones propias del rol del Oficial de Registro, quien debe rechazar toda solicitud que no cumpla los requisitos.
* Cabe destacar que todos los trámites realizados por las Autoridades de Registro son firmados digitalmente por los Oficiales intervinientes, quienes asumen plena responsabilidad por el proceso llevado a cabo.
Como consecuencia de lo expuesto:
* El certificado emitido resulta pasible de revocación inmediata, por haberse emitido en contravención a la Política Única de Certificación.
*Las firmas digitales efectuadas con dicho certificado pueden ser cuestionadas en cuanto a su validez legal.
* El Oficial de Registro interviniente podría quedar sujeto a responsabilidades administrativas, sin perjuicio de las medidas que adopte la AC-ONTI en el marco de sus facultades de control y auditoría.
*El incidente debe ser registrado y reportado conforme a los procedimientos de seguridad y auditoría vigentes.
Conclusión
La emisión de certificados de firma digital en dispositivos criptográficos que no cumplen los requisitos establecidos constituye un incumplimiento grave de la normativa vigente, compromete la seguridad del sistema de firma digital y genera responsabilidades directas para el Oficial de Registro interviniente, haciendo necesaria la adopción de medidas correctivas inmediatas.
Podrá obtener más información en los siguientes enlaces:
https://www.argentina.gob.ar/servicio/solicitar-certificado-de-firma-digital-por-hardware-token.
Por último, ante cualquier duda o inquietud puede efectuarla en la sede del Colegio en el sector Sala MEV donde personal capacitado atenderá su tema. Asimismo, para la emisión/renovación de firma digital recuerde sacar turno en https://camdp.org.ar/turnos/index.php/login_abogado