Resolución General AFIP Nº 2674/2009

PROCEDIMIENTO. Ley N° 25.506. Firma Digital. Procedimiento para la homologación de dispositivos criptográficos. Registro de empresas proveedoras. Su creación.

PROCEDIMIENTO TRIBUTARIO-FIRMA DIGITAL

VISTO la Actuación SIGEA N° 10323-79-2009 del Registro de esta Administración Federal, y

Que la Ley N° 25.506 reconoce la eficacia jurídica del empleo de la firma electrónica y de la firma digital, estableciendo las características de su infraestructura en la República Argentina.

Que mediante la Resolución N° 88 del 17 de diciembre de 2008, la Secretaría de Gabinete y Gestión Pública de la Jefatura de Gabinete de Ministros aprobó la Política de Certificación para la Autoridad Certificante de la Administración Federal de Ingresos Públicos y otorgó al Organismo la respectiva licencia para operar como Certificador Licenciado.

Que conforme lo establece la Decisión Administrativa N° 6 del 7 de febrero de 2007, es obligación de este Organismo -como Certificador Licenciado- implementar procedimientos que garanticen la confiabilidad de su plataforma tecnológica.

Que de acuerdo con la política de certificación de la Autoridad Certificante de la Administración Federal de Ingresos Públicos, a los fines de la obtención de los «Certificados Digitales» Clase 4 deberán utilizarse dispositivos criptográficos que cuenten con certificación FIPS 140 (Versión 1 ó 2) Nivel 2 para la generación y almacenamiento de las claves criptográficas.

Que en consecuencia, resulta necesario disponer el procedimiento relacionado con la homologación por parte de este Organismo de los diferentes dispositivos criptográficos que pueden utilizarse, así como crear un registro de empresas proveedoras autorizadas a su comercialización.

Que han tomado la intervención que les compete la Dirección de Legislación, las Subdirecciones Generales de Asuntos Jurídicos, de Sistemas y Telecomunicaciones, de Recaudación, de Fiscalización y de Servicios al Contribuyente y la Dirección General Impositiva.

Que la presente se dicta en ejercicio de las facultades conferidas por el Artículo 7° del Decreto N° 618 del 10 de julio de 1997, sus modificatorios y sus complementarios.

Referencias Normativas:

• Ley Nº 25506
• Decreto Nº 618/1997 Articulo Nº 7

EL ADMINISTRADOR FEDERAL DE LA ADMINISTRACION FEDERAL DE INGRESOS PUBLICOS

RESUELVE:

ARTICULO 1°.- Créase el «REGISTRO DE EMPRESAS PROVEEDORAS DE DISPOSITIVOS CRIPTOGRAFICOS HOMOLOGADOS», en el marco de la Ley N° 25.506 y sus normas complementarias, denominado en adelante el «Registro».

ARTICULO 2°.- Los sujetos interesados en constituirse en proveedores autorizados para la comercialización de dispositivos criptográficos homologados, a los fines de su inclusión en el «Registro» deberán solicitar la respectiva homologación, en la Subdirección General de Sistemas y Telecomunicaciones, sita en la Avenida Paseo Colón N° 635 de la Ciudad Autónoma de Buenos Aires, mediante la presentación de una nota, por duplicado -con arreglo a lo previsto por la Resolución General N° 1.128-, en la que se detallarán -como mínimo- los siguientes datos:

a) Denominación o razón social.

b) Clave Unica de Identificación Tributaria (C.U.I.T.).

c) Domicilio fiscal.

d) Descripción técnica de los dispositivos que solicita homologar y de los requisitos que reúne la presentante, de acuerdo con lo indicado en el Anexo I de la presente.

Dicha nota deberá ser suscripta por el presidente, gerente u otra persona debidamente autorizada y consignar, antes de la firma, la fórmula establecida por el Artículo 28, «in fine» del Decreto N° 1.397/79, reglamentario de la Ley N° 11.683, texto ordenado en 1998 y sus modificaciones.

Referencias Normativas:

• Resolución General Nº 1128/2001
• Decreto Nº 1397/1979 Articulo Nº 28

ARTICULO 3°.- A los fines de homologar cada tipo de dispositivo criptográfico y/o lote de un mismo tipo, modelo y versión, se considerarán los parámetros que se encuentran detallados en el Anexo II de esta resolución general.

ARTICULO 4°.- La empresa proveedora será autorizada a comercializar cada tipo de dispositivo criptográfico homologado y/o lote mediante el dictado de una resolución general en la que se indicará la marca, modelo y versión de «software», «firmware» y «hardware» de aquéllos.

Textos Relacionados:

• Resolución General Nº 2838/2010 Articulo Nº 2 (Incorpora empresas en el registro)

ARTICULO 5°.- La nómina de las empresas proveedoras autorizadas se encontrará disponible en el sitio «web» institucional (http://www.afip.gob.ar).

Asimismo, serán publicados otros datos (vgr. el lugar de presentación de la documentación, períodos de prueba, fechas de evaluación, etc).

ARTICULO 6°.- Los proveedores que comercialicen los dispositivos criptográficos, en caso de incumplimiento de las obligaciones impuestas, serán pasibles de las sanciones que correspondan.

ARTICULO 7°.- La autorización a que se refiere el Artículo 4° tendrá una validez de DIEZ (10) años contados a partir del día de la publicación de la respectiva resolución general en el Boletín Oficial.

En consecuencia, a los fines de permanecer en el «Registro» la empresa habilitada deberá solicitar, por cada proceso de homologación, la renovación del mismo antes de la finalización del plazo fijado en el párrafo anterior.

ARTICULO 8°.- La Subdirección General de Sistemas y Telecomunicaciones modificará y/o actualizará los procedimientos y protocolos relacionados con la homologación de los dispositivos criptográficos a que se refiere la presente resolución general, la documentación exigible a los interesados en constituirse en proveedores autorizados para la comercialización de los dispositivos criptográficos, los manuales técnicos y demás aspectos previstos en los Anexos I y II -que se encuentran disponibles en el sitio «web» institucional-.

ARTICULO 9°.- Apruébanse los Anexos I y II que forman parte de la presente.

ARTICULO 10.- Las disposiciones establecidas en esta resolución general resultarán de aplicación a partir del día siguiente al de su publicación en el Boletín Oficial, inclusive.

ARTICULO 11.- Regístrese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

Los sujetos interesados presentarán y/o informarán, según corresponda:

a) Detalle de la marca, modelo, versión de «software», de «firmware» y de «hardware», del dispositivo criptográfico que se pretende homologar.

b) Los certificados que acrediten su validación FIPS 140 (versión 1 o 2) Nivel 2 como mínimo emitida a favor del dispositivo criptográfico a que se refiere el inciso anterior.

c) Manuales de uso y «drivers» correspondientes a la marca y modelo del dispositivo criptográfico que se pretende homologar para los distintos sistemas operativos requeridos para el producto.

d) Al menos DOS (2) dispositivos del tipo de los que se solicita homologar, para la realización de las pruebas pertinentes, junto con los ítems requeridos en el inciso anterior y las licencias de uso correspondiente a los mismos.

e) Ejemplo de uso de la API PKCS#11 para la obtención del número de serie del dispositivo versión de «firmware», «software» y «hardware».

f) El detalle de los números de serie correspondientes al lote de dispositivos criptográficos reservados e informados por el fabricante en la nota de autorización, incluyendo además de los números de serie, la marca, modelo, versión de «software», de «firmware» y de «hardware», así como el número de certificación FIPS correspondiente.

g) Declaración del proveedor que posee la capacidad de brindar soporte técnico a los usuarios de los dispositivos criptográficos comercializados por un período no inferior a TRES (3) años.

h) Nota original del fabricante de los dispositivos la que, de tratarse de persona extranjera, deberá contar con la pertinente legalización consular o, en su caso con la apostilla, conforme a la Convención de La Haya, según el siguiente texto:

«Por cuanto [indicar apellido y nombre completo del fabricante], en el carácter de fabricante de los Dispositivos Criptográficos marca [indicar marca] modelo [indicar modelo] y sus licencias de «software» correspondientes, con domicilio en [agregar dirección completa del fabricante], por medio de la presente informamos a Uds. que hemos procedido a reservar inicialmente por la Administración Federal de Ingresos Públicos y/o los usuarios finales ante la Administración Federal de Ingresos Públicos, cuyos números de serie están incluidos en el siguiente rango [ingresar el rango].

Asimismo, por la presente autorizamos a [nombre de la empresa que pretende su incorporación como proveedora], con dirección en [indicar dirección completa de la empresa en la República Argentina] a comercializar en la República Argentina a los usuarios finales ante la Administración Federal de Ingresos Públicos solamente los dispositivos criptográficos Marca «……Modelo …..», cuyos números de serie se encuentren comprendidos dentro del rango descripto anteriormente como lote reservado para la Administración Federal de Ingresos Públicos, así como a prestar los servicios de soporte técnico de dichos dispositivos.».

i ) El proveedor deberá informar la modalidad mediante la cual brindará soporte técnico a los usuarios de los dispositivos criptográficos comercializados.

j ) El proveedor deberá ser una empresa constituida en los términos de la Ley de Sociedades Comerciales N° 19.550, texto ordenado en 1984 y sus modificaciones, con domicilio legal en la República Argentina, y actividad comercial no inferior a CINCO (5) años, debiéndose presentar a tal efecto copia certificada de los estados contables de la empresa con su correspondiente inscripción en la Inspección General de Justicia o autoridad registral local, según corresponda.

1. Satisfacer los requerimientos técnicos de la ETAP «Elementos de Seguridad » SEG-E» en su última versión.

2. Permitir la obtención del número de serie del dispositivo criptográfico mediante la API PKCS#11.

3. Contar con certificación FIPS 140 (Versión 1 o 2) Nivel 2 o superior que incluya todo el conjunto de «Software», «Firmware» y «Hardware».

4. Autenticación interna (on-board).

5. Conexión USB estándar tipo A, versión 1.1 o superior.

6. Soportar los siguientes estándares: PKCS#11 versión 2.01 o superior, CAPI (Microsoft Crypto API), PC/SC.

7. Poseer memoria de almacenamiento de datos mínima de 32 kbytes.

8. Soportar las siguientes funciones criptográficas:

8.1. Generación de números aleatorios (RNG).

8.2. Almacenamiento de certificados X509v3.

8.3. Generación interna, operación, almacenamiento y administración de claves criptográficas asimétricas del tipo RSA (1024 bits o superior).

8.4. Funciones de hash seguro del tipo SHA-1.

8.5. Generación interna, operación de claves criptográficas simétricas del tipo DES y/o Triple DES.

9. Ser un producto vigente, con soporte técnico y no poseer fecha de discontinuidad de fabricación al momento de efectuarse la presentación de solicitud de homologación.

10. Deberá tratarse de dispositivos criptográficos del fabricante cuya marca y modelo coincida con la marca y modelo declarada en las correspondientes Certificaciones FIPS 140, no pudiendo ser dispositivos criptográficos del tipo OEM (Original Equipment Manufacturer).

11. Brindar servicio de soporte a los usuarios poseedores de dispositivos.