Términos y Condiciones con Terceros Usuarios

Transcripción

TÉRMINOS Y CONDICIONES CON TERCEROS USUARIOS
de la Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para
Firma Digital de Profesionales y Auxiliares de la Salud Humana
OID 2.16.32.1.3.2.1.1.6
INFRAESTRUCTURA DE LA FIRMA DIGITAL
DE LA PROVINCIA DE SAN LUIS
Política de Certificación del I.F.D.P.S.L. para Firma Digital de Profesionales
y Auxiliares de la Salud Humana - OID 2.16.32.1.3.2.1.1.6.
Versión
1.0
Fecha
26/03/2013
ÍNDICE
1. INTRODUCCIÓN .................................................................................................................................. 3
2.
RESUMEN ......................................................................................................................................... 3
3. DEFINICIONES ..................................................................................................................................... 3
4. RECONOCIMIENTO DE INFORMACIÓN SUFICIENTE ..................................................................................... 6
5. POLÍTICA DE CERTIFICACIÓN .................................................................................................................. 7
5.1. TIPOS DE CERTIFICADOS....................................................................................................................... 7
5.2. APLICABILIDAD .................................................................................................................................. 8
5.3. LIMITACIONES EN EL USO DE LOS CERTIFICADOS ...................................................................................... 8
6.
OBLIGACIONES DEL TERCERO USUARIO ................................................................................................... 8
7. REVOCACIÓN DE LOS CERTIFICADOS DE NIVEL SUPERIOR ............................................................................. 9
8. LIMITACIONES DE RESPONSABILIDAD .................................................................................................... 10
8.1. FUERZA MAYOR................................................................................................................................ 10
8.2. CASOS DE LIMITACIÓN DE LA RESPONSABILIDAD DEL CERTIFICADOR ........................................................... 10
9. LEGISLACIÓN APLICABLE Y PROCEDIMIENTOS DE RESOLUCIÓN DE CONFLICTOS .............................................. 10
9.1. LEGISLACIÓN APLICABLE..................................................................................................................... 10
9.2. PROCEDIMIENTOS DE RESOLUCIÓN DE CONFLICTOS ................................................................................ 10
10. CONTACTOS ..................................................................................................................................... 12
CARÁCTER: PÚBLICO
Firma Digital
Página 2 de 12
Versión
1.0
Fecha
26/03/2013
TÉRMINOS Y CONDICIONES PARA TERCEROS USUARIOS DE LOS CERTIFICADOS DIGITALES
EMITIDOS POR EL INSTITUTO DE FIRMA DIGITAL DE LA PROVINCIA DE SAN LUIS
1.
INTRODUCCIÓN
El presente documento establece los términos y condiciones que rigen la relación entre el Instituto
de Firma Digital de la Provincia de San Luis (en adelante Instituto) y los Terceros Usuarios en lo que
respecta a los derechos y responsabilidades en la verificación de firmas digitales y la aplicabilidad de
los certificados digitales emitidos por la Autoridad Certificante del INSTITUTO (en adelante, AC
INSTITUTO) en el marco de la Política de Certificación del Instituto de Firma Digital de la Provincia de
San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana, O.I.D
2.16.32.1.3.2.1.1.6, (en adelante la Política de Certificación).
2.
RESUMEN
Todo tercero usuario de certificados digitales que verificará los certificados digitales toma
conocimiento y acepta que el Instituto no tiene vínculo contractual alguno con ellos y se limitarán a
utilizar los servicios del repositorio público actualizado por la AC INSTITUTO en el marco de la
“Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital
de Profesionales y Auxiliares de la Salud Humana”.
3.
DEFINICIONES
“Firma Digital”: es el resultado de una transformación de un documento digital empleando una
criptografía asimétrica y un digesto seguro, de forma tal que una persona que posea el documento
digital inicial y la clave pública del firmante pueda determinar con certeza lo siguiente: 1) si la
transformación se llevó a cabo utilizando la clave privada que corresponde a la clave pública del
firmante, lo que impide su repudio; 2) si el documento digital ha sido modificado, desde que se
efectuó la transformación, de manera tal de garantizar con esta comprobación, la integridad del
documento. Todo lo cual conlleva a garantizar las características de “no repudio” y la “integridad” del
documento que son requisitos de la firma digital.Términos y Condiciones con Terceros Usuarios
CARÁCTER: PÚBLICO
Firma Digital
Página 3 de 12
Versión
1.0
Fecha
26/03/2013
“Criptografía Asimétrica”: se entiende por tal al algoritmo que utiliza por un lado, una clave privada,
que es utilizada para firmar digitalmente y por otro su correspondiente clave pública, para verificar
esa firma digital.
“Digesto Seguro”: es una función matemática que transforma un documento digital en una
secuencia de bits de longitud fija, llamada como tal, de forma que se obtiene la misma secuencia de
bits de longitud fija cada vez que se calcula esta función respecto del mismo documento digital.
“Infraestructura de Firma Digital”: se entiende por tal al conjunto integrado por las leyes, decretos
y normativa legal complementaria que regulen la firma digital, las obligaciones y deberes de
todas aquellas instituciones, organismos y personas que formen parte del circuito de la firma
digital tales como la Autoridad de Aplicación, el Ente Licenciante, los Certificadores Licenciados,
las Autoridades de Registro, así como también, a los estándares tecnológicos, los procedimientos
de seguridad, el hardware, el software, las redes, los bancos de datos y la infraestructura física
de alojamiento, que permitan la utilización de la firma digital en condiciones de seguridad e
integridad.
“Certificado Digital”: Se entiende por certificado digital al documento digital firmado digitalmente
por un Certificador, que vincula los datos de verificación de firma a su titular.
“Política de Certificación”: es el documento que regula la emisión de los certificados digitales por un
Certificador Licenciado, su aplicabilidad por los suscriptores de certificados digitales emitidos en el
ámbito de la misma y los terceros usuarios que reciban información firmada digitalmente por dichos
suscriptores.
“Soporte”: Es el medio en el cual se almacena la información de un documento digital, tal como
memoria electrónica, disco magnético, magneto-óptico, cinta magnética, tarjeta inteligente, microchip.
“Técnicamente confiable”: Es la cualidad del conjunto de equipos de computación, software,
protocolos de comunicación y de seguridad y procedimientos administrativos relacionados, que
reúna los siguientes requisitos:

Ser confiable para resguardar contra la posibilidad de intrusión o de uso no autorizado.

Ser apto para el desempeño de sus funciones específicas.
CARÁCTER: PÚBLICO
Firma Digital
Página 4 de 12
Versión
1.0
Fecha
26/03/2013

Brindar disponibilidad, confiabilidad, confidencialidad y correcto funcionamiento.

Cumplir con los requisitos de seguridad apropiados, acordes a estándares internacionales en
la materia.

Cumplir con los estándares tecnológicos que fija la normativa vigente.
“Certificador Licenciado”: El Certificador Licenciado es el ente público, ente privado u organismo de
derecho público no estatal que emite Certificados de Clave Pública, entendiendo por tal al que asocia
una clave pública con el suscriptor, durante el período de vigencia del certificado, haciendo plena
prueba dentro de la Administración del Sector Público Provincial, los Poderes del Estado Provincial y
el Sector Privado de la veracidad de su contenido.
“Autoridad Certificante” (AC): Las Autoridades Certificantes forman parte de la infraestructura
tecnológica de los Certificadores Licenciados. Son terceras partes confiables que dan fe de la
veracidad de la información incluida en los certificados que emiten, vinculando así la clave pública de
una persona a sus datos de identidad.
“Manual de Procedimientos”: Es el conjunto de prácticas operativas utilizadas por el Certificador
Licenciado en la emisión y administración de los certificados.
“Plan de Contingencias”: Es el conjunto de procedimientos a seguir por el Certificador Licenciado
ante la ocurrencia de situaciones no previstas que comprometan la continuidad de sus operaciones.
“Plan de Seguridad”: Es el conjunto de políticas, prácticas y procedimientos destinados a la
protección de los recursos del Certificador Licenciado.
“Repositorio”: Es el sistema de información para el almacenamiento y recuperación de certificados u
otro tipo de información relevante para la expedición y validación de los mismos.
“Lista de certificados revocados”: se trata de la lista de certificados que han sido dejados sin efecto
en forma permanente por el Certificador Licenciado, la cual ha sido firmada digitalmente y publicada
por el mismo.
“Servicio OCSP o Servicio de verificación en línea del estado de los certificados (Online Certificate
Status Protocol)”: es un método para determinar el estado de revocación de un certificado digital
usando otros medios que no sean el uso de Listas de Revocación de Certificados (CRL). El resultado
de una consulta a este servicio está firmado por la clave de un certificado de la autoridad que lo
CARÁCTER: PÚBLICO
Firma Digital
Página 5 de 12
Versión
1.0
Fecha
26/03/2013
brinda.“Suscriptor o Titular de certificado digital”: Es la persona a cuyo nombre se emite un
certificado, que resulta ser el titular de una clave privada correspondiente a la clave pública incluida
en dicho certificado.
“Tercero Usuario”: Persona física o jurídica que recibe un documento firmado digitalmente y que
genera una consulta para verificar la validez del certificado digital correspondiente.
“Autoridad de Registro”: La Autoridad de Registro (RA) es la entidad responsable por la comunicación entre
el Suscriptor y la autoridad certificante (CA). Está vinculada a una CA y tiene por objetivo recibir, validar,
verificar y gestionar las solicitudes de emisión o revocación de los certificados digitales, cumpliendo con lo
establecido en la política de certificación y en concordancia con las políticas y procedimientos definidos por
la CA correspondiente.
“Autoridad de Aplicación”: La Universidad de La Punta.
4.
RECONOCIMIENTO DE INFORMACIÓN SUFICIENTE
El Tercero Usuario acepta su obligación de conocer la Política de Certificación que se aplica a las
relaciones entre el Instituto, los Solicitantes o Suscriptores de certificados y los Terceros Usuarios de
certificados, como así también las características de los certificados digitales emitidos en el marco de
aquella. En tal sentido, toda vez que el Instituto ha publicado desde la fecha de puesta en marcha de
su infraestructura de firma digital en el sitio web http://www.pki.sanluis.gov.ar el conjunto de
documentos normativos que permiten la operatoria de la infraestructura mencionada, en particular
su “Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma Digital
de Profesionales y Auxiliares de la Salud Humana”, se considera que el Tercero Usuario que intenta
validar un Certificado Digital emitido por la infraestructura a su cargo, conoce el contenido total de
dicha documentación y reglamentaciones. En consecuencia, el Tercero Usuario es el único
responsable de la decisión de confiar o no en la información del certificado.
El INSTITUTO pone a disposición de los Terceros Usuarios y los Suscriptores un servicio de consulta
basado en el protocolo de comunicación OSCP, “Online Certificate Status Protocol” para la consulta
en línea del estado de validez de los certificados emitidos bajo la Política de certificación. Dicho
servicio de verificación:
CARÁCTER: PÚBLICO
Firma Digital
Página 6 de 12
Versión
1.0
Fecha
26/03/2013
•
Cumple con lo señalado en el RFC 2560 del registro de estándares para Internet.
•
Utiliza mensajes codificados que son transmitidos sobre el protocolo HTTP.
Este servicio mantiene una disponibilidad de 24x7, durante los 365 días del año.
La verificación del estado de los certificados puede realizarse indistintamente a través del servicio de
consulta basado en el protocolo de comunicación OCSP o de la consulta de la Lista de Certificados
Revocados (CRL) disponibles los SIETE (7) días de la semana durante las VEINTICUATRO (24) horas del
día.
Las Listas de Certificados Revocados están disponibles de manera permanente y gratuita en el sitio
web:
URL=http://fdpsalud.pki.sanluis.gov.ar/crl/firmadigitalpsalud.crl ,
y alternativamente, en: URL=http://fdpsalud1.pki.sanluis.gov.ar/crl/firmadigitalpsalud.crl
La dirección electrónica para llevar a cabo la consulta a través del protocolo OCSP la cual está
incluida en todos los certificados digitales emitidos bajo la presente Política:
http://ocsp.pki.sanluis.gov.ar/ocsp
5.
POLÍTICA DE CERTIFICACIÓN
5.1.
TIPOS DE CERTIFICADOS
Bajo la “Política de Certificación del Instituto de Firma Digital de la Provincia de San Luis para Firma
Digital de Profesionales y Auxiliares de la Salud Humana” la AC Instituto emite dos tipos de
certificados:
a)
Certificados para personas físicas que acrediten ejercer alguna profesión o actividad
vinculada con la salud humana en la Provincia de San Luis tales como medicina, odontología,
bioquímica, farmacia y otras profesiones y actividades de colaboración afines, existentes o que se
creen, así como aquellas que acrediten desempeñar actividades y prácticas preventivas,
asistenciales, rehabilitadoras o de recreación para la salud, que se realicen individual o
colectivamente, comprendidas en la Ley Provincial N° XIV-0361-2004. El Instituto exige a los
CARÁCTER: PÚBLICO
Firma Digital
Página 7 de 12
Versión
1.0
Fecha
26/03/2013
Suscriptores que almacenen su par de claves en un dispositivo criptográfico seguro que cumple con
las características definidas en FIPS 140 Versión 2 para el nivel 2 (ej: tokens, smart cards).
La firma digital, garantizará las siguientes características en su aplicación:
 Autenticidad, permitirá atribuir el documento digital o la comunicación suscripta digitalmente a su
autor de manera fehaciente;
 Integridad del documento, permitirá identificar si el contenido del documento digital o de la
comunicación firmada digitalmente fue alterado con posterioridad a su suscripción;
 No repudio.
b) Para OCSP, cuyo suscriptor es el Instituto de Firma Digital de la Provincia de San Luis, usado
en el servicio de verificación en línea del estado de un certificado.
5.2.
APLICABILIDAD
Los certificados emitidos, en el marco de la Política de Certificación podrán ser utilizados
exclusivamente para suscribir digitalmente todo tipo de documentos, comunicaciones, archivos,
registros, trámites, bases y bancos de datos, que el Suscriptor en función de la competencia que le
otorga su profesión o actividad se encuentre facultado a firmar, en concordancia con lo dispuesto
por la normativa legal vigente. Siempre teniendo en cuenta los límites previstos en el artículo 4º de la
Ley Nacional Nº 25.506 y demás límites que pudieran existir. Ello, toda vez que los certificados de
clave pública emitidos en virtud de la Política de Certificación identificarán al firmante
conjuntamente con la profesión o actividad relacionada con la Salud Humana que ejerzan en el
ámbito de la Provincia de San Luis.
5.3.
LIMITACIONES EN EL USO DE LOS CERTIFICADOS
Los certificados digitales emitidos por la AC- INSTITUTO deben ser utilizados dentro de los límites
establecidos en el punto 1.3.4.- Aplicabilidad de la “Política de Certificación del Instituto de Firma
Digital de la Provincia de San Luis para Firma Digital de Profesionales y Auxiliares de la Salud
Humana”, sin admitirse ninguna excepción al respecto
6.
OBLIGACIONES DEL TERCERO USUARIO
Los Terceros Usuarios tienen las siguientes obligaciones:
CARÁCTER: PÚBLICO
Firma Digital
Página 8 de 12
Versión
1.0
Fecha
26/03/2013
a) Conocer los alcances de la Política de Certificación del Instituto de Firma Digital de la Provincia de
San Luis para Firma Digital de Profesionales y Auxiliares de la Salud Humana;
b) Rechazar la utilización del certificado para fines distintos a los previstos en la Política de
Certificación antes mencionada;
c) Verificar la validez del certificado del Suscriptor mediante el control de la Lista de Certificados
Revocados (CRL), o en su defecto, mediante el servicio de consultas en línea sobre el estado de los
certificados (OCSP), que el INSTITUTO pone a su disposición.
Los Terceros Usuarios están obligados a confirmar la validez de la CRL mediante la verificación de la
firma digital del INSTITUTO y de su período de validez.
7.
REVOCACIÓN DE LOS CERTIFICADOS DE NIVEL SUPERIOR
El Tercero Usuario acepta su responsabilidad en cuanto al control de la validez de toda la cadena de
certificados que intervienen en la firma digital que deba verificar, incluyendo el certificado digital de
la Autoridad Certificante Raíz de la Provincia de San Luis (AC Raíz). En el caso en que alguno de los
certificados hubiera sido revocado o hubiera expirado a la fecha de la firma del documento, la firma
digital carecerá de validez.
En caso de producirse la revocación de los certificados de nivel superior, este estado se hará evidente
para el Tercero Usuario en el momento en que genere una consulta para verificar la validez del
certificado digital de un suscriptor.
La validez del certificado de un suscriptor se comprueba mediante un procedimiento de verificación
de su cadena de confianza, el cual se realiza en el siguiente orden:
a) Contra el certificado digital con que se firmó el documento.
b) Contra el certificado digital correspondiente a la AC que emitió el certificado del suscriptor, es
decir el certificado de la AC del INSTITUTO para la Política de Certificación para Profesionales y
Auxiliares de la Salud Humana.
c) Contra el certificado digital correspondiente a la AC que emitió el certificado de la AC INSTITUTO,
es decir, el certificado de la la Autoridad Certificante Intermedia Provincial.
d) Contra el certificado digital correspondiente a la AC Raíz de la Provincia de San Luis.
Estas verificaciones se realizarán utilizando las CRLs correspondientes a cada Autoridad Certificante
mencionada.
CARÁCTER: PÚBLICO
Firma Digital
Página 9 de 12
8.
Versión
1.0
Fecha
26/03/2013
LIMITACIONES DE RESPONSABILIDAD
8.1.
FUERZA MAYOR
Conforme a lo dispuesto por el artículo 514 del Código Civil de la Nación, no generarán derecho a
indemnización a favor del damnificado aquellas causas que siendo ajenas a la voluntad de las partes,
no se puedan evitar y tampoco se puedan prever. Para ello, la parte que las invocare deberá poner
en conocimiento de la otra parte, de manera fehaciente, las circunstancias del hecho, dentro de los
CINCO (5) días de conocidas y siempre que haya tomado las medidas que resulten razonablemente
necesarias, para mitigar los efectos ocasionados por el hecho de fuerza mayor invocado.
8.2.
CASOS DE LIMITACIÓN DE LA RESPONSABILIDAD DEL CERTIFICADOR
El Instituto no será responsable por ningún concepto en los siguientes casos:
a) Por los supuestos que se excluyan taxativamente en las condiciones de emisión y utilización de sus
certificados y aquellos que no estén expresamente previstos por ley.
b) Por los daños y perjuicios que resultaren del uso no autorizado de un certificado digital, conforme
las restricciones impuestas en las condiciones de emisión y utilización los certificados.
c) En los supuestos donde las inexactitudes contenidas en el certificado resultaran de la información
que hubiera presentado el suscriptor.
d) En cualquier otro caso en que el Instituto demuestre haber actuado con la debida diligencia.
9.
LEGISLACIÓN APLICABLE Y PROCEDIMIENTOS DE RESOLUCIÓN DE CONFLICTOS
9.1.
LEGISLACIÓN APLICABLE
La interpretación, obligatoriedad, diseño y validez de la Política de Certificación, su correspondiente
Manual de Procedimientos y sus documentos asociados se encuentran sometidos a lo establecido
por la Ley Provincial Nº V-0591-2007, el Decreto Reglamentario Nº 0428-MP-2008, la Ley Nacional
Nº 25.506, el Decreto Nº 2628/2002, la Resolución Rectoral Nº 2120004-ULP-2009 y demás normas
complementarias dictadas por autoridad competente.
9.2.
PROCEDIMIENTOS DE RESOLUCIÓN DE CONFLICTOS
A los efectos de la resolución de cualquier controversia y/o conflicto resultante de la aplicación de lo
dispuesto en la Política de Certificación, su Manual de Procedimientos, estos Términos y Condiciones
CARÁCTER: PÚBLICO
Firma Digital
Página 10 de 12
Versión
1.0
Fecha
26/03/2013
con Terceros Usuarios y/o en cualquiera de sus documentos asociados, los suscriptores o terceros
usuarios deberán agotar la vía administrativa con el Certificador Licenciado Provincial. Luego de
cumplida esa instancia podrán accionar ante la Autoridad de Aplicación conforme el procedimiento
previsto en el Decreto N° 0428-MP-2008.
A los efectos del reclamo ante el Instituto, se procederá de la siguiente manera:
Una vez recibido el reclamo en las oficinas del Instituto, este citará al reclamante a una audiencia y
labrará un acta que deje expresa constancia de los hechos que motivan el reclamo y de los
antecedentes que le sirvan de causa.
Una vez que el Certificador emita opinión, se notificará al reclamante y se le otorgará un plazo de
CINCO (5) días hábiles administrativos para ofrecer y producir la prueba de su descargo.
El INSTITUTO resolverá en un plazo de DIEZ (10) días lo que estime corresponder, dictando el acto
administrativo correspondiente.
Los reclamos realizados ante la Autoridad de Aplicación tramitarán de acuerdo a lo dispuesto en el
artículo 19 del Decreto Provincial N° 0428-MP-2008, conforme el cual el procedimiento se ajustará a
las siguientes disposiciones:
1. La Autoridad de Aplicación iniciará actuaciones administrativas en caso de presuntas infracciones a
las disposiciones de la Ley Provincial de Firma Digital, su Decreto Reglamentario y/o a las demás
normas reglamentarias, por denuncia de quien invocare un interés particular, o asociaciones de
consumidores o usuarios.
2. Se procederá a labrar acta en la que se dejará constancia del hecho denunciado o verificado y de la
disposición presuntamente infringida. En la misma acta se dispondrá agregar la documentación
acompañada y citar al Certificador para que, dentro del plazo de CINCO (5) días hábiles, presente su
descargo por escrito o por vía telemática con firma digital.
3. La constancia del acta labrada, así como las comprobaciones técnicas que se dispusieran,
constituirán prueba suficiente de los hechos así comprobados, salvo en los casos en que resultaren
desvirtuados por otras pruebas.
CARÁCTER: PÚBLICO
Firma Digital
Página 11 de 12
Versión
1.0
Fecha
26/03/2013
4. Las pruebas se admitirán solamente en caso de existir hechos controvertidos y siempre que no
resulten manifiestamente inconducentes. Contra la resolución que deniegue medidas de prueba sólo
se concederá recurso de reconsideración. La prueba deberá producirse dentro del término de DIEZ
(10) días hábiles, prorrogables cuando haya causas justificadas, teniéndose por desistidas aquellas no
producidas dentro de dicho plazo por causa imputable al infractor.
5. Concluidas las diligencias sumariales, se dictará la resolución definitiva dentro del término de
VEINTE (20) días hábiles.
Una vez agotada la vía administrativa, podrá interponerse acción judicial, siendo competentes los
Tribunales Ordinarios de la Ciudad de San Luis.
10.
CONTACTOS
Para efectuar consultas y/o sugerencias dirigirse a:
Instituto de Firma Digital de la Provincia de San Luis - Universidad de La Punta
Domicilio: Av. Universitaria S/N, Ciudad de La Punta (5710)
Provincia de San Luis. República Argentina.
Teléfono: (0266) 4452000 int. 6095
Correo electrónico: [email protected]
Sitio Web: http://www.pki.sanluis.gov.ar
Centro de Servicios Tecnológicos San Luis – Datacenter
Domicilio: Av. Universitaria S/N, Ciudad de La Punta (5710)
Provincia de San Luis - República Argentina.
Teléfono: (0266) 4452000 int. 2010
CARÁCTER: PÚBLICO
Firma Digital
Página 12 de 12

Términos y Condiciones con Terceros Usuarios

Transcripción

Documentos relacionados

Untitled - Agencia de Calidad de la Educación

Las personas que resulten ganadoras deberán de

PROCEDIMIENTO DE EMISIÓN DE INFORMES / CERTIFICADOS 1