MINISTERIO DE MODERNIZACIÓN SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA

Bs. As., 11/07/2016

VISTO el Expediente Nº CUDAP: EXP-JGM: 0022284/2014 del Registro de la JEFATURA DE GABINETE DE MINISTROS, las Leyes Nros. 25.506 y 22.520 y modificatorias, los Decretos Nros. 2628 del 19 de diciembre de 2002 y sus modificatorios, 561 del 6 de abril de 2016, la Decisión Administrativa Nº 927 del 30 de octubre de 2014 y la Resolución de la ex SUBSECRETARÍA DE LA GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 63 del 13 de noviembre de 2007, y

CONSIDERANDO:

Que la Ley Nº 25.506 de Firma Digital, reconoce la eficacia jurídica del documento electrónico, la firma electrónica y la firma digital, estableciendo las características de la Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA.

Que el artículo 24 del Decreto Nº 2628/02 y sus modificatorios, reglamentario de la Ley Nº 25.506 de Firma Digital, establece el procedimiento que los certificadores deben observar para la obtención de una licencia y detalla la documentación exigida para el cumplimiento de las condiciones estipuladas en la mencionada Ley, su Decreto reglamentario y normas complementarias.

Que la Decisión Administrativa Nº 927/14 establece las pautas técnicas complementarias del marco normativo de firma digital, aplicables al otorgamiento y revocación de licencias a los certificadores que así lo soliciten, y dispone en su artículo 57 que la documentación exigida durante el proceso de licenciamiento será considerada confidencial, excepto aquella que la normativa vigente establezca como pública.

Que en base a lo dispuesto por el citado artículo 57, se establece la obligación de resguardar la información confidencial obrante en las actuaciones de licenciamiento, disponiendo que sólo procederá a utilizarla a los fines de evaluar la aptitud del certificador para cumplir con sus funciones y obligaciones, inherentes al licenciamiento, absteniéndose de revelarla, utilizarla para otros fines o divulgarla a terceros, aún después de haber finalizado el proceso de licenciamiento, salvo respecto de aquella información que la normativa vigente establezca como pública.

Que conforme lo previsto en el artículo 38 del Reglamento de Procedimientos Administrativos. Decreto Nº 1759/72 T.O. 1991, el carácter reservado o secreto de la documentación contenida en una actuación debe ser declarado tal por decisión fundada y con intervención previa del servicio jurídico correspondiente.

Que, en consecuencia, deviene necesario declarar la reserva de la documentación considerada no pública obrante en el expediente citado en el Visto, dado que la misma contiene información crítica relacionada al funcionamiento y continuidad de las operaciones de la Autoridad Certificante de PRISMA MEDIOS DE PAGO S.A.

Que la Ley de Ministerios Nº 22.520 y modificatorias, en su artículo 23 octies establece las competencias del MINISTERIO DE MODERNIZACIÓN, entre las cuales se encuentra la de actuar como Autoridad de Aplicación del régimen normativo que establece la infraestructura de firma digital para el sector público nacional.

Que el Decreto Nº 561/16, en su artículo 9, otorga a la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN, las funciones establecidas en los incisos b), c), e), f), g), h), j), k), I), m), n), o) y p) del artículo 13 y las obligaciones definidas en el artículo 14, ambas del Decreto N° 2628/02.

Que habiéndose aceptado la documentación en las condiciones establecidas en la normativa vigente, se ha realizado la auditoría previa al licenciamiento establecida en el artículo 53 de la Decisión Administrativa N° 927/14.

Que se emitió el correspondiente dictamen legal y técnico que acredita la aptitud de PRISMA MEDIOS DE PAGO S.A. para desempeñarse como certificador licenciado en el marco de la Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA creada por la Ley N° 25.506.

Que en virtud de las constancias obrantes en el expediente, se han acreditado las condiciones requeridas por la Decisión Administrativa N° 927/14 para que PRISMA MEDIOS DE PAGO S.A. pueda ejercer su actividad como Certificador Licenciado, aprobando su Política Única de Certificación, conforme a lo dispuesto en su artículo 9°.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN ha tomado la intervención que le compete.

Que la presente medida se dicta en virtud de las facultades conferidas por el Decreto Nº 561/16.

Por ello,

EL SECRETARIO DE MODERNIZACIÓN ADMINISTRATIVA
DEL MINISTERIO DE MODERNIZACIÓN
RESUELVE:

ARTÍCULO 1° — Apruébase la “Política Única de Certificación” de la empresa PRISMA MEDIOS DE PAGO S.A., cuyo texto forma parte integrante de la presente Resolución como IF-2016-00068807-APN-SECMA#MM.

ARTÍCULO 2° — Instrúyese a la DIRECCIÓN NACIONAL DE SISTEMAS DE ADMINISTRACIÓN Y FIRMA DIGITAL de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN, para que proceda en el término de VEINTICUATRO (24) horas a asignar el Identificador de Objeto (OID) correspondiente a la Política de Certificación que se aprueba por la presente.

ARTÍCULO 3° — Establécese el carácter de reservado, en los términos del artículo 57 de la Decisión Administrativa Nº 927/14, de la siguiente documentación que obra en los presentes actuados:
“Descripción de la Plataforma Tecnológica”.
“Manual de Políticas de Seguridad de la Información”.
“Manual de Políticas de Seguridad Física y Ambiental”.
“Manual de Procedimientos de Certificación (Privado)”.
“Plan de Cese de Actividades”.
“Plan de Seguridad”.
“Política de Privacidad”.
“Política de Protección de Activos de Información”.
“Políticas de Gestión de Riesgos de Seguridad Informática”.
“Procedimiento de Inicialización del Dispositivo Criptográfico y Claves AC”.
“Procedimiento de Desactivación/Borrado del Dispositivo Criptográfico y Claves AC”
“Seguridad Física de los Ambientes Tecnológicos”.
“Sistema de Gestión de Seguridad de la Información (SGSI)”.

ARTÍCULO 4° — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — EDUARDO NICOLÁS MARTELLI, Secretario, Secretaría de Modernización Administrativa, Ministerio de Modernización.

ANEXO
POLÍTICA ÚNICA DE CERTIFICACIÓN
CERTIFICADOR LICENCIADO PRISMA MEDIOS DE PAGO S.A.
Versión: 1.0
Contenido
1. INTRODUCCIÓN
1.1. Descripción General
1.2. Nombre e identificación del documento
1.3. Participantes
1.3.1. Certificador
1.3.2. Autoridad de registro
1.3.3. Suscriptores de certificados
1.3.4. Terceros Usuarios
1.4. Uso de los certificados
1.5. Administración de la política
1.5.1. Responsable del Documento
1.5.2. Contactos
1.5.3. Procedimiento de aprobación de la Política Única de Certificación
1.6. Definiciones y Acrónimos (a Completar)
1.6.1. Definiciones
1.6.2. Acrónimos
2. RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS
2.1. Repositorios
2.2. Publicación de información del certificador
2.3. Frecuencia de publicación
2.4. Controles de acceso a la información
3. IDENTIFICACIÓN Y AUTENTICACIÓN
3.1. Asignación de nombres de suscriptores
3.1.1. Tipos de Nombres
3.1.2. Necesidad de Nombres Distintivos.
3.1.3. Anonimato o uso de seudónimos
3.1.4. Reglas para la interpretación de nombres
3.1.5. Unicidad de nombres
3.1.6. Reconocimiento, autenticación y rol de las marcas registradas
3.2. Registro Inicial
3.2.1. Métodos para comprobar la posesión de clave privada
3.2.2. Autenticación de la identidad de personas jurídicas públicas o privadas
3.2.3. Autenticación de la identidad de personas físicas
3.2.4. Información no verificada del suscriptor
3.2.5. Validación de autoridad
3.2.6. Criterios de interoperabilidad
3.3. Identificación y autenticación para la generación de un nuevo par de claves
3.3.1. Renovación con generación de nuevo par de claves (Rutina de re-key)
3.3.2. Generación de UN (1) certificado con el mismo par de claves
3.4. Requerimiento de revocación
4. CICLO DEL CERTIFICADO: REQUERIMIENTOS OPERATIVOS
4.1. Solicitud de certificado
4.1.1. Solicitantes de certificado
4.1.2. Solicitud de certificado
4.2. Procesamiento de la solicitud del certificado
4.3. Emisión de certificado
4.3.1. Proceso de emisión del certificado
4.3.2. Notificación de emisión
4.4. Aceptación del certificado
4.5. Uso del par de claves y del certificado
4.5.1. Uso de la clave privada y del certificado por parte del suscriptor
4.5.2. Uso de la clave pública y del certificado por parte de Terceros Usuarios
4.6. Renovación del certificado sin generación de un nuevo par de claves
4.7. Renovación del certificado con generación de un nuevo par de claves
4.8. Modificación del certificado
4.9. Suspensión y Revocación de certificados
4.9.1. Causas de revocación
4.9.2. Autorizados a solicitar la revocación
4.9.3. Procedimientos para la solicitud de revocación
4.9.4. Plazo para la solicitud de revocación
4.9.5. Plazo para el procesamiento de la solicitud de revocación
4.9.6. Requisitos para la verificación de la lista de certificados revocados
4.9.7. Frecuencia de emisión de listas de certificados revocados
4.9.8. Vigencia de la lista de certificados revocados
4.9.9. Disponibilidad del servicio de consulta sobre revocación y estado del certificado
4.9.10. Requisitos para la verificación en línea del estado de revocación
4.9.11. Otras formas disponibles para la divulgación de la revocación
4.9.12. Requisitos específicos para casos de compromiso de claves
4.9.13. Causas de suspensión
4.9.14. Autorizados a solicitar la suspensión
4.9.15. Procedimientos para la solicitud de suspensión
4.9.16. Límites del período de suspensión de un certificado
4.10. Estado del certificado
4.10.1. Características técnicas
4.10.2. Disponibilidad del servicio
4.10.3. Aspectos Operativos
4.11. Desvinculación del suscriptor
4.12. Recuperación y custodia de claves privadas
5. CONTROLES DE SEGURIDAD FÍSICA, OPERATIVOS Y DE GESTIÓN
5.1. Controles de seguridad física
5.2. Controles de gestión
5.3. Controles de seguridad del personal
5.4. Procedimientos de Auditoría de Seguridad
5.5. Conservación de registros de eventos
5.6. Cambio de claves criptográficas
5.7. Plan de Continuidad de las Operaciones
5.8. Plan de Cese de Actividades
6. CONTROLES DE SEGURIDAD TÉCNICA
6.1. Generación e instalación del par de claves criptográficas
6.1.1. Generación del par de claves criptográficas
6.1.2. Entrega de la clave privada
6.1.3. Entrega de la clave pública al emisor del certificado
6.1.4. Disponibilidad de la clave pública del certificador
6.1.5. Tamaño de claves
6.1.6. Generación de parámetros de claves asimétricas
6.1.7. Propósitos de utilización de claves (campo “KeyUsage” en certificados X 509 v3)
6.2. Protección de la clave privada y controles sobre los dispositivos criptográficos
6.2.1. Controles y estándares para dispositivos criptográficos
6.2.2. Control “M de N” de clave privada
6.2.3. Recuperación de clave privada
6.2.4. Copia de seguridad de clave privada
6.2.5. Archivo de clave privada
6.2.6. Transferencia de claves privadas en dispositivos criptográficos
6.2.7. Almacenamiento de claves privadas en dispositivos criptográficos
6.2.8. Método de activación de claves privadas
6.2.9. Método de desactivación de claves privadas
6.2.10. Método de destrucción de claves privadas
6.2.11. Requisitos de los dispositivos criptográficos
6.3. Otros aspectos de administración de claves
6.3.1. Archivo permanente de la clave pública
6.3.2. Período de uso de clave pública y privada
6.4. Datos de activación
6.4.1. Generación e instalación de datos de activación
6.4.2. Protección de los datos de activación
6.4.3. Otros aspectos referidos a los datos de activación
6.5. Controles de seguridad informática
6.5.1. Requisitos técnicos específicos
6.5.2. Requisitos de seguridad computacional
6.6. Controles Técnicos del ciclo de vida de los sistemas
6.6.1. Controles de desarrollo de sistemas
6.6.2. Controles de gestión de seguridad
6.6.3. Controles de seguridad del ciclo de vida del software
6.7. Controles de seguridad de red
6.8. Certificación de fecha y hora
7. PERFILES DE CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS
7.1. Perfil del certificado
7.2. Perfil de la lista de certificados revocados
7.3. Perfil de la consulta en línea del estado del certificado
8. AUDITORÍA DE CUMPLIMIENTO Y OTRAS EVALUACIONES
9. ASPECTOS GENERALES LEGALES Y ADMINISTRATIVOS
9.1. Aranceles
9.2. Responsabilidad Financiera
9.3. Confidencialidad
9.3.1. Información confidencial
9.3.2. Información no confidencial
9.3.3. Responsabilidad de los roles involucrados
9.4. Privacidad
9.5. Derechos de propiedad intelectual
9.6. Responsabilidades y garantías
9.7. Deslinde de la Responsabilidad
9.8. Limitaciones a la responsabilidad frente a terceros
9.9. Compensaciones por daños y perjuicios
9.10. Condiciones de vigencia
9.11. Avisos personales y comunicaciones con los participantes
9.12. Gestión del ciclo de vida del documento
9.12.1. Procedimientos de cambio
9.12.2. Mecanismo y plazo de publicación y notificación
9.12.3. Condiciones de modificación del OID
9.13. Procedimientos de resolución de conflictos
9.14. Legislación Aplicable
9.15. Conformidad con normas aplicables
9.16. Cláusulas adicionales
9.17. Otras cuestiones generales
1. INTRODUCCIÓN
1.1. Descripción General
El presente documento establece las políticas que se aplican a la relación entre un certificador licenciado en el marco de la Infraestructura de Firma Digital de la REPUBLICA ARGENTINA (Ley N° 25.506) y los solicitantes, suscriptores y terceros usuarios de los certificados que éste emita. Un certificado vincula los datos de verificación de firma digital de una persona física o jurídica o con una aplicación a un conjunto de datos que permiten identificar dicha entidad, conocida como suscriptor del certificado.
La autoridad de aplicación de la Infraestructura de firma digital antes mencionada es el MINISTERIO DE MODERNIZACIÓN, siendo dicho organismo y la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA, quienes entienden en las funciones de Ente Licenciante.
1.2. Nombre e identificación del documento
Nombre: Política Única de Certificación de PRISMA MEDIOS DE PAGO S.A.
Versión: 1.0
Fecha:
OID:
Lugar: se publica en el sitio web de la BANELCO AC,
URL: http://ac.banelco.com.ar/firma-digital/docs/
1.3. Participantes
1.3.1. Certificador
PRISMA MEDIOS DE PAGOS S.A. en su carácter de Certificador, prestará servicios de certificación de acuerdo a lo establecido en la presente política.
Domicilio: México 444, (C1097AAJ) - CABA - Buenos Aires - Argentina.
Teléfono: (54 11) 4345-5678
E-mail: banelcoAC@prismamp.com
CUIT: 30-59891004-5
1.3.2. Autoridad de registro
Las Autoridades de Registro de la BANELCO AC tienen por función la identificación y validación de identidad y de los otros datos de los solicitantes y suscriptores de certificados digitales que a su vez lleva implícita la tarea de verificación y guarda de la documentación presentada por los mismos.
La estructura de las Autoridades de Registro estará conformada de la siguiente manera:
a) Autoridad de Registro Central: se encontrará y operará bajo la órbita directa de PRISMA MEDIOS DE PAGOS S.A., habilitándose la modalidad “itinerante” para su funcionamiento y;
b) Autoridades de Registro Descentralizadas: funcionarán en distintas organizaciones previa aprobación de PRISMA MEDIOS DE PAGO S.A. Estas Autoridades de Registro operarán bajo el estricto control y supervisión de PRISMA MEDIOS DE PAGO S.A.
Las Autoridades de Registro habilitadas se publicarán en el sitio http://ac.banelco.com.ar/firma-digital/AutoridadesDeRegistro.pdf bajo el título “Autoridades de Registro”.
1.3.3. Suscriptores de certificados
Los suscriptores de certificados serán personas físicas o aquellas personas jurídicas que tengan por objetivo cualquiera de los usos de certificados digitales y emitidos a nombre de personas físicas, personas jurídicas, aplicaciones, sitio seguro y de autoridad de competencia y de sello de tiempo de acuerdo a lo definido, y en los términos expresados en la presente “Política única de Certificación”.
1.3.4. Terceros Usuarios
Son Terceros Usuarios de los certificados emitidos bajo la presente Política Única de Certificación, toda persona física o jurídica que recibe un documento firmado digitalmente y que genera una consulta para verificar la validez del certificado digital correspondiente, de acuerdo al Anexo I del Decreto N° 2628 del 19 de diciembre de 2002. En el caso de los certificados de sitio seguro, serán Terceros Usuarios quienes verifiquen el certificado del servidor.
1.4. Uso de los certificados
Las claves correspondientes a los certificados digitales que se emitan bajo la presente Política Única de Certificación podrán ser utilizadas en forma interoperable en los procesos de firma digital de cualquier documento o transacción y para la autenticación o el cifrado.
1.5. Administración de la política
1.5.1. Responsable del Documento
Será responsable de la presente Política Única de Certificación quien ejerza las funciones de Responsable de la autoridad certificante BANELCO AC de PRISMA MEDIOS DE PAGOS S.A.
E-mail: banelcoAC@prismamp.com
Teléfono (5411) 4345-5678
1.5.2. Contactos
Datos del responsable del registro, mantenimiento e interpretación de la Política Única de Certificación (Responsable de la Autoridad Certificante BANELCO AC):
Responsable: Gerente de Autenticación
E-mail: banelcoAC@prismamp.com
Teléfono: (5411) 4345-5678
Para consultas, reclamos y sugerencias referidas al proceso de certificación:
Responsable: Gerente de Autenticación
Domicilio: México 444 (C1097AAJ) - CABA - Buenos Aires, Argentina
E-mail: banelcoAC@prismamp.com
Teléfono: (5411) 4345-5678
1.5.3. Procedimiento de aprobación de la Política Única de Certificación
El procedimiento a aplicar en la generación y aprobación de la documentación será el Procedimiento de Aprobación de Políticas, documentos y Procedimientos denominado: P-AprobacionPoliticasNormasProcedimientos.pdf.
Una vez concluida la aprobación interna, se procederá a enviar al Ente Licenciante, y se establecerá una nueva versión de la Política Única de Certificación cuando se haya recibido la aprobación correspondiente.
1.6. Definiciones y Acrónimos (a Completar)
1.6.1. Definiciones
- Autoridad de Aplicación: el MINISTERIO DE MODERNIZACIÓN es la Autoridad de Aplicación de firma digital en la REPÚBLICA ARGENTINA.
- Autoridad de Registro: es la entidad que tiene a su cargo las funciones de:
• Recepción de las solicitudes de emisión de certificados.
• Validación de la identidad y autenticación de los datos de los titulares de certificados.
• Validación de otros datos de los titulares de certificados que se presenten ante ella cuya verificación delegue el Certificador Licenciado.
• Remisión de las solicitudes aprobadas al Certificador Licenciado con la que se encuentre operativamente vinculada.
• Recepción y validación de las solicitudes de revocación de certificados; y su direccionamiento al Certificador Licenciado con el que se vinculen.
• Identificación y autenticación de los solicitantes de revocación de certificados.
• Archivo y la conservación de toda la documentación respaldatoria del proceso de validación de identidad, de acuerdo con los procedimientos establecidos por el certificador licenciado.
• Cumplimiento de las normas y recaudos establecidos para la protección de datos personales.
• Cumplimiento de las disposiciones que establezca la Política de Certificación y el Manual de Procedimientos del Certificador Licenciado con el que se encuentre vinculada, en la parte que resulte aplicable.
Dichas funciones son delegadas por el certificador licenciado. Puede actuar en una instalación fija o en modalidad móvil, siempre que medie autorización del ente licenciante.
- Certificado Digital: Se entiende por certificado digital al documento digital firmado digitalmente por un certificador, que vincula los datos de verificación de firma a su titular (artículo 13 de la Ley N° 25.506).
- Certificador Licenciado: Se entiende por certificador licenciado a toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados, presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el ente licenciante (artículo 17 de la Ley N° 25.506).
- Certificación digital de fecha y hora: indicación de la fecha y hora cierta, asignada a un documento o registro electrónico por una tercera parte confiable y firmada digitalmente por ella. (Anexo al Decreto N° 2628 de fecha 19 de diciembre de 2002).
- Ente licenciante: El MINISTERIO DE MODERNIZACIÓN y la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA constituyen el Ente Licenciante.
- Lista de certificados revocados: Lista de certificados que han sido dejados sin efecto en forma permanente por el Certificador Licenciado, la cual ha sido firmada digitalmente y publicada por el mismo. En ingles: Certificate Revocation List (CRL). (Anexo al Decreto N° 2628/02).
- Manual de Procedimientos: Conjunto de prácticas utilizadas por el certificador licenciado en la emisión y administración de los certificados. En ingles: Certification Practice Statement (CPS). (Anexo al Decreto N° 2628/02).
- Plan de Cese de Actividades: conjunto de actividades a desarrollar por el certificador licenciado en caso de finalizar la prestación de sus servicios. (Anexo al Decreto N° 2628/02).
- Plan de continuidad de las operaciones: Conjunto de procedimientos a seguir por el certificador licenciado ante situaciones de ocurrencia no previstas que comprometan la continuidad de sus operaciones.
- Plan de Seguridad: Conjunto de políticas, prácticas y procedimientos destinados a la protección de los recursos del certificador licenciado. (Anexo al Decreto N° 2628/02).
- Política de Privacidad: conjunto de declaraciones que el Certificador Licenciado se compromete a cumplir de manera de resguardar los datos de los solicitantes y suscriptores de certificados por el emitido.
- Servicio OCSP (Protocolo en línea del estado de un certificado - “Online Certificate Status Protocol”): servicio de verificación en línea del estado de los certificados. El OCSP es un método para determinar el estado de revocación de un certificado digital usando otros medios que no sean el uso de Listas de Revocación de Certificados (CRL). El resultado de una consulta a este servicio está firmado por el certificador que brinda el servicio.
- Suscriptor o Titular de certificado digital: Persona o entidad a cuyo nombre se emite un certificado y que posee una clave privada que se corresponde con la clave pública contenida en el mismo.
- Tercero Usuario: persona física o jurídica que recibe un documento firmado digitalmente y que genera una consulta para verificar la validez del certificado digital correspondiente. (Artículo 3° del Decreto N° 724/06).
1.6.2. Acrónimos AC - Autoridad Certificante CA - Certificate Authority
DRP - Disaster Recovery Plan
PRD - Plan de recupero ante desastres
CRL - Lista de Certificados Revocados
CUIT - Clave Única de Identificación Tributaria
CUIL - Clave Única de Identificación Laboral
DNI - Documento Nacional de Identidad
IEC - International Electrotechnical Commission
IETF - Internet Engineering Task Force
OID - Identificador de Objeto (“Object Identifier”)
ONTI - Oficina Nacional de Tecnologías de Información
RFC - Request for Comments
OCSP - Protocolo en línea del estado de un certificado (“Online Certificate Status Protocol”)
2. RESPONSABILIDADES VINCULADAS A LA PUBLICACIÓN Y A LOS REPOSITORIOS
Se detallan a continuación las responsabilidades del certificador y de todo otro participante respecto al mantenimiento de repositorios, publicación de certificados y de información sobre sus políticas y procedimientos.
2.1. Repositorios
Los repositorios serán administrados por PRISMA MEDIOS DE PAGO S.A. y estarán ubicados en servidores propios.
2.2. Publicación de información del certificador
El Certificador garantizará el acceso a la información actualizada y vigente publicada en su repositorio de los siguientes elementos:
a) Formulario de Adhesión del Anexo I.
b) Política Única de Certificación anteriores y vigente.
c) Acuerdo Tipo con suscriptores.
d) Términos y condiciones Tipo con terceros usuarios (“relying parties”).
e) Política de Privacidad.
f) Manual de Procedimientos (parte pública).
g) Información relevante de los informes de su última auditoría.
h) Repositorio de certificados revocados.
i) Certificados del certificador licenciado y acceso al de la Autoridad Certificante Raíz.
2.3. Frecuencia de publicación
La frecuencia de publicación de las listas de certificados revocados “CRL” será diaria.
En ocasión de revocar un certificado, la CRL será publicada al momento posterior a la revocación.
Se garantiza la actualización inmediata del repositorio cada vez que cualquiera de los documentos publicados sea modificado.
2.4. Controles de acceso a la información
Se garantizan los controles de los accesos al certificado del certificador, a la Lista de Certificados Revocados y a las versiones anteriores y actualizadas de la Política Única de Certificación y a su Manual de Procedimientos (excepto en sus aspectos confidenciales). Solo se revelará información confidencial o privada, si es requerida judicialmente o en el marco de procedimientos administrativos.
En virtud de lo dispuesto por la Ley de Protección de Datos Personales N° 25.326 y por el inciso h) del artículo 21 de la ley N° 25.506, el solicitante o titular de un certificado digital podrá solicitar acceso a toda la información relativa a las tramitaciones realizadas.
3. IDENTIFICACIÓN Y AUTENTICACIÓN
En esta sección se describen los procedimientos para autenticar la identidad de los solicitantes de certificados digitales y utilizados por las autoridades certificantes o sus autoridades de registro como prerrequisito para su emisión. También se describen los pasos para la autenticación de los solicitantes de renovación y revocación de certificados.
3.1. Asignación de nombres de suscriptores
3.1.1. Tipos de Nombres
El nombre a utilizar es el que surge de la documentación presentada por el solicitante, de acuerdo al apartado que sigue.
3.1.2. Necesidad de Nombres Distintivos.
Para los certificados de los proveedores de servicios de firma digital o de aplicación:
- “commonName” (OID 2.5.4.3: Nombre común): DEBE corresponder al nombre de la aplicación, servicio o de la unidad operativa responsable del servicio.
- “organizationalUnitName” (OID 2.5.4.11: Nombre de la suborganización): DEBE contener a las unidades operativas relacionadas con el servicio, en caso de existir, pudiendo utilizarse varias instancias de este atributo de ser necesario.
- “organizationName” (OID 2.5.4.10: Nombre de la organización): DEBE estar presente y DEBE coincidir con el nombre de la Persona Jurídica Pública o Privada responsable del servicio o aplicación.
- “serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBE contener el número de identificación de la Persona Jurídica Pública o Privada responsable del servicio o aplicación, expresado como texto y respetando el siguiente formato y codificación: “[código de identificación]” “[nro. de identificación]”.
El valor para el campo [código de identificación] es:
- “CUIT”: Clave Única de Identificación Tributaria para las Personas Jurídicas argentinas.
- “countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBE representar el país de emisión de los certificados, codificado según el estándar [ISO3166] de DOS (2) caracteres.
Para los certificados de Personas Físicas:
- “commonName” (OID 2.5.4.3: Nombre común): DEBE estar presente y DEBE corresponderse con el nombre que figura en el Documento de Identidad del suscriptor, acorde a lo establecido en el punto 3.2.3.
- “serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBE contener el tipo y número de identificación del titular, expresado como texto y respetando el siguiente formato y codificación: “[tipo de documento]” “[nro. de documento]”.
Los valores posibles para el campo [tipo de documento] son:
- En caso de ciudadanos argentinos o residentes: “CUIT/CUIL”: Clave Única de Identificación Tributaria o Laboral.
- En caso de extranjeros:
• “PA” [país]: Número de Pasaporte y código de país emisor. El atributo [país] DEBE estar codificado según el estándar [ISO3166] de DOS (2) caracteres.
• “EX” [país]: Número y tipo de documento extranjero aceptado en virtud de acuerdos internacionales [país] DEBE estar codificado según el estándar [ISO3166] de DOS (2) caracteres.
- “countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBE representar el país de emisión de los certificados, codificado según el estándar [ISO3166] de DOS (2) caracteres.
Para los certificados de Personas Jurídicas Públicas o Privadas:
- “commonName” (OID 2.5.4.3: Nombre común): DEBE coincidir con la denominación de la Persona Jurídica Pública o Privada o con el nombre de la unidad operativa responsable del servicio (ej. Gerencia de Compras).
- “organizationalUnitName” (OID 2.5.4.11: Nombre de la suborganización): PUEDE contener las unidades operativas relacionadas con el suscriptor, pudiendo utilizarse varias instancias de este atributo de ser necesario.
- “organizationName” (OID 2.5.4.10: Nombre de la organización): DEBE coincidir con la denominación de la Persona Jurídica Pública o Privada.
- “serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBE contener el número de identificación de la Persona Jurídica Pública o Privada, expresado como texto y respetando el siguiente formato y codificación: “[código de identificación]” “[nro. de identificación]”.
Los valores posibles para el campo [código de identificación] son:
- “CUIT”: Clave Única de Identificación Tributaria para las Personas Jurídicas argentinas.
- “ID” [país]: Número de identificación tributario para Personas Jurídicas extranjeras. El atributo [país] DEBE estar codificado según el estándar [ISO3166] de DOS (2) caracteres.
- “countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBE representar el país de emisión de los certificados, codificado según el estándar [ISO3166] de DOS (2) caracteres.
Para los certificados de Sitio Seguro:
- “commonName” (OID 2.5.4.3: Nombre común): DEBE contener la denominación del sitio web de Internet que busca proteger.
- “organizationalUnitName” (OID 2.5.4.11: Nombre de la suborganización): DEBE contener a las unidades operativas de las que depende el sitio web, de corresponder, pudiendo utilizarse varias instancias de este atributo de ser necesario.
- “organizationName” (OID 2.5.4.10: Nombre de la Organización): DEBE estar presente y DEBE coincidir con el nombre de la Persona Jurídica Pública o Privada responsable del sitio web.
- “serialNumber” (OID 2.5.4.5: Nro. de serie): DEBE estar presente y DEBE contener el número de identificación de la Persona Jurídica Pública o Privada responsable del servicio o aplicación, expresado como texto y respetando el siguiente formato y codificación: “[código de identificación]” “[nro. de identificación]”.
- El valor para el campo [código de identificación] es: “CUIT”: Clave Única de Identificación Tributaria para las Personas Jurídicas argentinas.
- “countryName” (OID 2.5.4.6: Código de país): DEBE estar presente y DEBE representar el país de emisión de los certificados, codificado según el estándar [ISO3166] de DOS (2) caracteres.
- Adicionalmente, el certificador licenciado incluirá la información específica correspondiente a esta sección, la cual surge del Anexo I.
3.1.3. Anonimato o uso de seudónimos
No se emitirán certificados anónimos o cuyo nombre distintivo contenga un seudónimo.
3.1.4. Reglas para la interpretación de nombres
Todos los nombres representados dentro de los certificados emitidos bajo la presente Política coinciden con los correspondientes al documento de identidad del suscriptor o con la documentación presentada por la persona jurídica. Las discrepancias o conflictos que puedan generarse si los datos de los solicitantes o suscriptores contienen caracteres especiales, se tratarán de modo de asegurar la precisión de la información contenida en el certificado.
3.1.5. Unicidad de nombres
El nombre distintivo debe ser único para cada suscriptor, pudiendo existir más de un certificado con igual nombre distintivo si corresponde al mismo suscriptor. El procedimiento de resolución de homonimias se basa en la utilización del número de identificación laboral o tributaria, tanto en el caso de personas físicas como jurídicas.
3.1.6. Reconocimiento, autenticación y rol de las marcas registradas
No se admite inclusión de marcas comerciales, marcas de servicios o nombres de fantasía como nombres distintivos en los certificados, excepto en el caso de personas jurídicas o aplicaciones, en los que se aceptará en base a la documentación presentada.
El certificador se reserva el derecho de tomar todas las decisiones referidas a posibles conflictos sobre la utilización y titularidad de cualquier nombre entre sus suscriptores conforme su normativa al respecto. En caso de conflicto, la parte que solicite el certificado debe demostrar su interés legítimo y su derecho a la utilización de un nombre en particular.
3.2. Registro Inicial
1. El solicitante se contactará con el área comercial de Prisma Medios de Pago S.A. solicitando el “Instructivo de solicitud de certificado”, el “Formulario de Suscripción de Certificado” y el “Acuerdo con Suscriptores”. De estar disponibles, también podrá descargarlos desde el sitio Web de Banelco AC. La información de contacto se encuentra publicada en http://ac.banelco.com.ar.
2. El solicitante deberá presentarse ante la autoridad de registro con la documentación solicitada en el “Instructivo de solicitud de certificado” y el “Formulario de Suscripción de Certificado” debidamente completado y firmado.
3. El Oficial de Registro recibirá la documentación solicitada en el “Instructivo de solicitud de certificado” y controlará que se cumplan todos los puntos detallados en el “Checklist para suscripción de certificados”, en caso de faltar uno o más puntos devolverá la documentación al suscriptor informando tal condición para que el mismo lo complete para poder continuar con el proceso.
4. El Oficial de Registro verificará la identidad del solicitante, la documentación de respaldo de su representación y pago de aranceles. Luego, el Oficial de Registro firmará el “Formulario de Suscripción de Certificado” dando la conformidad correspondiente.
5. El Oficial de Registro cargará el pedido de certificado en el sistema de Administración de la CA.
6. El Oficial de Registro armará el legajo del suscriptor, el cual contendrá una copia de toda la documentación presentada en los puntos anteriores.
El certificador DEBE cumplir con lo establecido en:
a) El artículo 21, inciso a) de la Ley de Firma Digital N° 25.506 y el artículo 34, inciso e) de su reglamentario, Decreto N° 2628/02, relativos a la información a brindar a los solicitantes.
b) El artículo 14, inciso b) de la Ley de Firma Digital N° 25.506 relativo a los contenidos mínimos de los certificados.
3.2.1. Métodos para comprobar la posesión de clave privada
El certificador comprueba que el solicitante se encuentre en posesión de la clave privada mediante la verificación de la solicitud del certificado digital en formato PKCS#10, el que no incluye dicha clave. Las claves siempre son generadas por el solicitante. En ningún caso el certificador licenciado ni sus autoridades de registro podrán tomar conocimiento o acceder bajo ninguna circunstancia a las claves de los solicitantes o titulares de los certificados, conforme el inciso b) del artículo 21 de la Ley N° 25.506.
3.2.2. Autenticación de la identidad de personas jurídicas públicas o privadas
Los procedimientos de autenticación de la identidad de los suscriptores de los certificados de personas jurídicas públicas o privadas comprenden los siguientes aspectos:
a) El requerimiento debe efectuarse únicamente por intermedio del responsable autorizado a actuar en nombre del suscriptor para el caso de certificados de personas jurídicas o de quien se encuentre a cargo del servicio, aplicación o sitio web.
b) El certificador o la autoridad del registro, en su caso, verificará la identidad del responsable antes mencionado y su autorización para gestionar el certificado correspondiente.
c) El responsable mencionado en el apartado a) deberá validar su identidad según lo dispuesto en el apartado siguiente.
d) La identidad de la Persona Jurídica titular del certificado o responsable del servicio, aplicación o sitio web deberá ser verificada mediante documentación que acredite su condición de tal.
El certificador DEBE cumplir con las siguientes exigencias reglamentarias impuestas por:
a) El artículo 21, inciso i) de la Ley N° 25.506 relativo a la conservación de la documentación de respaldo de los certificados emitidos.
b) El artículo 21, inciso f) de la Ley N° 25.506 relativo a la recolección de datos personales.
c) El artículo 34, inciso m) del Decreto N° 2628/02 relativo a la protección de datos personales.
Debe conservar la documentación que respalda el proceso de identificación de la persona responsable de la custodia de las claves criptográficas.
El responsable autorizado o a cargo del servicio, aplicación o sitio web debe firmar UN (1) acuerdo que contenga la confirmación de que la información incluida en el certificado es correcta.
La documentación requerida estará especificada en el documento Instructivo de Solicitud de Certificado publicado en http://ac.banelco.com.ar
A continuación se enumera la documentación necesaria a presentar por el solicitante:
a. Comprobante de CUIT expedido a su nombre y vigente.
b. Constancia de Inscripción en la AFIP.
c. Estatuto o Contrato Social.
La documentación respaldatoria del solicitante, a su vez estará dada por el tipo de Persona Jurídica a la cual representa.

9.4. Privacidad
Todos los aspectos vinculados a la privacidad de los datos personales estarán sujetos a la normativa vigente en materia de Protección de Datos Personales (Ley 25.326 y normas reglamentarias, complementarias y aclaratorias). Las consideraciones particulares se incluyen en la Política de Privacidad.
9.5. Derechos de propiedad intelectual
PRISMA MEDIOS DE PAGO S.A. es propietario exclusivo de todos los derechos de propiedad intelectual de la presente Política Única de Certificación, Manuales de Procedimientos y documentos relacionados con su rol de Autoridad Licenciada reservándose todos los derechos de autor.
Todos los contenidos del sitio web “http://ac.banelco.com.ar”, ya sea archivo, material, aplicación, diseño, herramientas, código fuente y/o cualquier tipo de obra y/o idea que se encuentre protegida bajo las leyes de propiedad intelectual aplicables, será de propiedad de PRISMA MEDIOS DE PAGO S.A. Asimismo, quedan incluidas dentro del mismo reconocimiento las publicaciones, o información incorporadas al SITIO.
Queda prohibida cualquier forma de reproducción, descarga, distribución, exhibición, transmisión, retransmisión, emisión en cualquier forma, almacenamiento en cualquier forma, digitalización, puesta a disposición, traducción, adaptación, arreglo, comunicación pública y/o cualquier otro tipo de acto por el cual una persona pueda servirse directa o indirectamente, en su totalidad o en parte de cualquiera de los contenidos de las obras de PRISMA MEDIOS DE PAGO S.A. protegidas por las leyes de propiedad intelectual. Obligaciones.
9.6. Responsabilidades y garantías
Sin perjuicio de las previsiones establecidas en el capítulo IX de la Ley 25.506, y de la demás legislación vigente, la relación entre PRISMA MEDIOS DE PAGO S.A. y el titular de un certificado se regirá por el acuerdo que se celebre entre ellos.
9.7. Deslinde de la Responsabilidad
Los Certificadores licenciados no son responsables en los siguientes casos determinados en el artículo 39 de la Ley 25.506:
• Por los casos que se excluyan taxativamente en las condiciones de emisión y utilización de sus certificados y que no estén expresamente previstas en la ley;
• Por los daños y perjuicios que resulten del uso no autorizado de un certificado digital, si en las correspondientes condiciones de emisión y utilización de sus certificados constan las restricciones de su utilización;
• Por eventuales inexactitudes en el certificado que resulten de la información facilitada por el titular que, según lo dispuesto en las normas y en los manuales de procedimientos respectivos, deba ser objeto de verificación, siempre que el certificador pueda demostrar que ha tomado todas las medidas razonables.
9.8. Limitaciones a la responsabilidad frente a terceros
PRISMA MEDIOS DE PAGO S.A. será responsable por los daños y perjuicios que provoque por los incumplimientos a lo establecido en esta Política Única de Certificación, por los errores u omisiones que presenten los certificados digitales que expide, por no revocarlos, en legal tiempo y forma cuando así correspondiere, y por las consecuencias imputables a la inobservancia de procedimientos de certificación exigibles. Corresponderá a PRISMA MEDIOS DE PAGO S.A. demostrar que actuó con la debida diligencia.
El Certificador que emita un certificado digital, o lo reconozca en los términos del artículo 16 de la Ley 25.506, es responsable de los daños y perjuicios que provoque por los incumplimientos a las previsiones de la ley, por los errores u omisiones que presenten los certificados digitales que expida, por no revocarlos en legal tiempo y forma, cuando así correspondiere, y por las consecuencias imputables a la inobservancia de procedimientos de certificación exigibles. Corresponderá al prestador del servicio demostrar que actuó con la debida diligencia.
9.9. Compensaciones por daños y perjuicios
Las PRISMA MEDIOS DE PAGO S.A. será responsable por los daños y perjuicios que provoque por los incumplimientos a lo establecido en esta Política Única de Certificación, por los errores u omisiones que presenten los certificados digitales que expide, por no revocarlos, en legal tiempo y forma cuando así correspondiere, y por las consecuencias imputables a la inobservancia de procedimientos de certificación exigibles. Corresponderá a PRISMA MEDIOS DE PAGO S.A. demostrar que actuó con la debida diligencia.
El Certificador que emita un certificado digital, o lo reconozca en los términos del artículo 16 de la Ley 25.506, es responsable de los daños y perjuicios que provoque por los incumplimientos a las previsiones de la ley, por los errores u omisiones que presenten los certificados digitales que expida, por no revocarlos en legal tiempo y forma, cuando así correspondiere, y por las consecuencias imputables a la inobservancia de procedimientos de certificación exigibles. Corresponderá al prestador del servicio demostrar que actuó con la debida diligencia.
9.10. Condiciones de vigencia
La Política Única de Certificación se mantendrá vigente hasta tanto no se le realice algún cambio a la misma en pos de mejorar los procesos o se modifique la normativa dispuesta por la Autoridad de Aplicación.
9.11. Avisos personales y comunicaciones con los participantes
Los avisos y comunicaciones con los participantes serán realizados por mail firmados digitalmente y/o por las vías que la ley de firma digital u otras regulaciones impongan.
9.12. Gestión del ciclo de vida del documento
9.12.1. Procedimientos de cambio
La presente Política Única de Certificación y todos los documentos relacionados que le permiten a PRISMA MEDIOS DE PAGO S.A. operar con carácter de Certificador Licenciado son revisados periódicamente con el objetivo de detectar y corregir eventuales faltas de entendimiento y/o cambios en la normativa vigente.
Las nuevas versiones contendrán fecha de revisión y la descripción de los cambios realizados en relación a la versión anterior y se pondrán en vigencia, previa aprobación de la Autoridad de Aplicación.
El procedimiento a aplicar en la generación y aprobación de la documentación será el Procedimiento de Aprobación de Políticas, documentos y Procedimientos de acuerdo a lo definido en 1.5.3.
9.12.2. Mecanismo y plazo de publicación y notificación
La publicación se realizará en http://ac.banelco.com.ar/firma-digital/docs/PoliticaUnicaDeCertificacion.pdf y estará disponible de forma permanente.
Conjuntamente con la publicación, se notificará a los tenedores de certificado vía correo electrónico previa aprobación del documento por la Autoridad de Aplicación.
La presente Política Única de Certificación, sus modificaciones en los datos relativos a su licencia, serán sometidos a aprobación por parte de la Autoridad de Aplicación conforme a lo dispuesto por la Ley 25.506 en su artículo 21 inciso q).
9.12.3. Condiciones de modificación del OID
No Aplicable.
9.13. Procedimientos de resolución de conflictos
De existir algún conflicto por parte de los suscriptores de certificados en referencia a la prestación de servicios de PRISMA MEDIOS DE PAGO S.A., el/los interesado/s deberán realizar el correspondiente reclamo ante PRISMA MEDIOS DE PAGO S.A. De no ser exitoso el resultado, el interesado podrá efectuar el reclamo ante la Autoridad de Aplicación. Para el caso que decidiera optar por la vía judicial, las Partes pactan la jurisdicción de los Tribunales Comerciales con asiento en la Ciudad Autónoma de Buenos Aires, renunciando a cualquier otro fuero o jurisdicción que pudiera corresponderle.
9.14. Legislación Aplicable
La legislación que respalda la interpretación, aplicación y validez de la Política Única de Certificación, es la Ley Nº 25.506, el Decreto Nº 2628/02, y toda otra norma complementaria dictada por la autoridad competente.
9.15. Conformidad con normas aplicables
PRISMA MEDIOS DE PAGOS S.A. en su carácter de Certificador Licenciado deberá:
Conforme artículo 21 de la ley Nº 25.506
a. Informar a quien solicita un certificado con carácter previo a su emisión y utilizando un medio de comunicación las condiciones precisas de utilización del certificado digital, sus características y efectos, la existencia de un sistema de licenciamiento y los procedimientos, forma que garantiza su posible responsabilidad patrimonial y los efectos de la revocación de su propio certificado digital y de la licencia que le otorga el ente licenciante. Esa información deberá estar libremente accesible en lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también disponible para terceros;
b. Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de firma digital de los titulares de certificados digitales por él emitidos;
c. Mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación;
d. Operar utilizando un sistema técnicamente confiable de acuerdo con lo que determine la autoridad de aplicación;
e. Notificar al solicitante las medidas que está obligado a adoptar para crear firmas digitales seguras y para su verificación confiable, y las obligaciones que asume por el solo hecho de ser titular de un certificado digital;
f. Recabar únicamente aquellos datos personales del titular del certificado digital que sean necesarios para su emisión, quedando el solicitante en libertad de proveer información adicional;
g. Mantener la confidencialidad de toda información que no figure en el certificado digital;
h. Poner a disposición del solicitante de un certificado digital toda la información relativa a su tramitación;
i. Mantener la documentación respaldatoria de los certificados digitales emitidos, por diez (10) años a partir de su fecha de vencimiento o revocación;
j. Incorporar en su Política Única de Certificación los efectos de la revocación de su propio certificado digital y/o de la licencia que le otorgara la autoridad de aplicación;
k. Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, la lista de certificados digitales revocados, las políticas de certificación, la información relevante de los informes de la última auditoría de que hubiera sido objeto, su manual de procedimientos y toda información que determine la autoridad de aplicación;
l. Publicar en el Boletín Oficial aquellos datos que la autoridad de aplicación determine;
m. Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas;
n. Informar en las políticas de certificación si los certificados digitales por él emitidos requieren la verificación de la identidad del titular;
o. Verificar, de acuerdo con lo dispuesto en su manual de procedimientos, toda otra información que deba ser objeto de verificación, la que debe figurar en las políticas de certificación y en los certificados digitales;
p. Solicitar inmediatamente al ente licenciante la revocación de su certificado, o informarle la revocación del mismo, cuando existieren indicios de que los datos de creación de firma digital que utiliza hubiesen sido comprometidos o cuando el uso de los procedimientos de aplicación de los datos de verificación de firma digital en él contenidos hayan dejado de ser seguros;
q. Informar inmediatamente al ente licenciante sobre cualquier cambio en los datos relativos a su licencia;
r. Permitir el ingreso de los funcionarios autorizados de la autoridad de aplicación, del ente licenciante o de los auditores a su local operativo, poner a su disposición toda la información necesaria y proveer la asistencia del caso;
s. Emplear personal idóneo que tenga los conocimientos específicos, la experiencia necesaria para proveer los servicios ofrecidos y en particular, competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma digital y experiencia adecuada en los procedimientos de seguridad pertinentes;
t. Someter a aprobación del ente licenciante el manual de procedimientos, el plan de seguridad y el de cese de actividades, así como el detalle de los componentes técnicos a utilizar;
u. Constituir domicilio legal en la REPÚBLICA ARGENTINA;
v. Disponer de recursos humanos y tecnológicos suficientes para operar de acuerdo a las exigencias establecidas en la presente ley y su reglamentación;
w. Cumplir con toda otra obligación emergente de su calidad de titular de la licencia adjudicada por el ente licenciante.
Conforme artículo 34 de Decreto Nº 2628/02:
a. Comprobar por sí o por medio de una Autoridad de Registro que actúe en nombre y por cuenta suya, la identidad y cualquier otro dato de los solicitantes considerado relevante para los procedimientos de verificación de identidad previos a la emisión del certificado digital, según la Política Única de Certificación bajo la cual se solicita.
b. Mantener a disposición permanente del público las Políticas de Certificación y el Manual de Procedimientos correspondiente.
c. Cumplir cabalmente con las políticas de certificación acordadas con el titular y con su Manual de Procedimientos.
d. Garantizar la prestación establecida según los niveles definidos en el acuerdo de servicios pactados con sus usuarios, relativo a los servicios para los cuales solicitó el licenciamiento.
e. Informar al solicitante de un certificado digital, en un lenguaje claro y accesible, en idioma nacional, respecto de las características del certificado solicitado, las limitaciones a la responsabilidad, si las hubiere, los precios de los servicios de certificación, uso, administración y otros asociados, incluyendo cargos adicionales y formas de pago, los niveles de servicio al proveer, las obligaciones que el suscriptor asume como usuario del servicio de certificación, su domicilio en la República Argentina y los medios a los que el suscriptor puede acudir para solicitar aclaraciones, dar cuenta del mal funcionamiento del sistema o presentar sus reclamos.
f. Disponer de un servicio de atención a titulares y terceros, que permita evacuar las consultas y la pronta solicitud de revocación de certificados.
g. Garantizar el acceso permanente, eficiente y gratuito de los titulares y terceros al repositorio de certificados revocados.
h. Mantener actualizados los repositorios de certificados revocados por el período establecido por el Ente Administrador.
i. Abstenerse de generar, exigir, tomar conocimiento o acceder bajo ninguna circunstancia a la clave privada del suscriptor.
j. Informar al Ente Administrador de modo inmediato la ocurrencia de cualquier evento que comprometa la correcta prestación del servicio.
k. Respetar el derecho del titular del certificado digital a no recibir publicidad de ningún tipo por su intermedio, salvo consentimiento expreso de éste.
l. Publicar en el Boletín Oficial durante UN (1) día, el certificado de clave pública correspondiente a la política para la cual obtuvo licenciamiento;
m. Cumplir las normas y recaudos establecidos para la protección de datos personales.
n. En los casos de revocación de certificados contemplados en el apartado 3 del inciso e) del artículo 19 de la Ley N° 25.506, deberá sustituir en forma gratuita aquel certificado digital que ha dejado de ser seguro por otro que sí cumpla con estos requisitos.
o. El Ente Administrador deberá establecer el proceso de reemplazo de certificados en estos casos. En los casos en los que un certificado digital haya dejado de ser seguro por razones atribuibles a su titular, el certificador licenciado no estará obligado a sustituir el certificado digital.
p. Enviar periódicamente al Ente Administrador, informes de estado de operaciones con carácter de declaración jurada.
q. Contar con personal idóneo y confiable, con antecedentes profesionales acordes a la función desempeñada.
r. Responder a los pedidos de informes por parte de un tercero respecto de la validez y alcance de un certificado digital emitido por él.
Conforme artículo 36 del Decreto N° 2628/02:
Responsabilidad del certificador licenciado respecto de la Autoridad de Registro:
Una Autoridad de Registro puede constituirse como una única unidad o con varias unidades dependientes jerárquicamente entre sí, pudiendo, delegar su operatoria en otras autoridades de registro, siempre que medie la aprobación del Certificador Licenciado. El Certificador, Licenciado es responsable con los alcances establecidos en la Ley N° 25.506, aún en el caso de que delegue parte de su operatoria en Autoridades de Registro, sin perjuicio del derecho del certificador de reclamar a la Autoridad de Registro las indemnizaciones por los daños y perjuicios que aquél sufriera como consecuencia de los actos y/u omisiones de ésta.
Otras obligaciones del certificador:
a. Notificar a sus suscriptores sobre cualquier acontecimiento que pudiera ocasionar el compromiso de su clave privada y la generación de un nuevo par de claves.
b. Notificar a sus suscriptores y al Ente Licenciante acerca del cese de sus actividades.
c. Emitir y distribuir los certificados a sus suscriptores, informándolos acerca de dicha emisión.
Cumplir con las obligaciones establecidas en la Decisión Administrativa Nº 927/2014 y sus respectivos Anexos.
9.16 Cláusulas adicionales
No Aplicable.
9.17 Otras cuestiones generales
Complementariamente a las normas aplicables específicas de la Ley de Firma Digital, se aplicará el Código Civil y Comercial de la Nación, la Ley Nº 25.326 de Protección de Datos Personales, y otras normas concordantes dictadas por la autoridad competente.

e. 18/07/2016 N° 49864/16 v. 18/07/2016