Bs. As., 8/9/2009

VISTO la Actuación SIGEA Nº 10323-79-2009 del Registro de esta Administración Federal, y

CONSIDERANDO:

Que la Ley Nº 25.506 reconoce la eficacia jurídica del empleo de la firma electrónica y de la firma digital, estableciendo las características de su infraestructura en la República Argentina.

Que mediante la Resolución Nº 88 del 17 de diciembre de 2008, la Secretaría de Gabinete y Gestión Pública de la Jefatura de Gabinete de Ministros aprobó la Política de Certificación para la Autoridad Certificante de la Administración Federal de Ingresos Públicos y otorgó al Organismo la respectiva licencia para operar como Certificador Licenciado.

Que conforme lo establece la Decisión Administrativa Nº 6 del 7 de febrero de 2007, es obligación de este Organismo— como Certificador Licenciado— implementar procedimientos que garanticen la confiabilidad de su plataforma tecnológica.

Que de acuerdo con la política de certificación de la Autoridad Certificante de la Administración Federal de Ingresos Públicos, a los fines de la obtención de los "Certificados Digitales" Clase 4 deberán utilizarse dispositivos criptográficos que cuenten con certificación FIPS 140 (Versión 1 ó 2) Nivel 2 para la generación y almacenamiento de las claves criptográficas.

Que en consecuencia, resulta necesario disponer el procedimiento relacionado con la homologación por parte de este Organismo de los diferentes dispositivos criptográficos que pueden utilizarse, así como crear un registro de empresas proveedoras autorizadas a su comercialización.

Que han tomado la intervención que les compete la Dirección de Legislación, las Subdirecciones Generales de Asuntos Jurídicos, de Sistemas y Telecomunicaciones, de Recaudación, de Fiscalización y de Servicios al Contribuyente y la Dirección General Impositiva.

Que la presente se dicta en ejercicio de las facultades conferidas por el Artículo 7º del Decreto Nº 618 del 10 de julio de 1997, sus modificatorios y sus complementarios.

Por ello,

EL ADMINISTRADOR FEDERAL DE LA ADMINISTRACION FEDERAL DE INGRESOS PUBLICOS

RESUELVE:

Artículo 1º — Créase el "REGISTRO DE EMPRESAS PROVEEDORAS DE DISPOSITIVOS CRIPTOGRAFICOS HOMOLOGADOS", en el marco de la Ley Nº 25.506 y sus normas complementarias, denominado en adelante el "Registro".

Art. 2º — Los sujetos interesados en constituirse en proveedores autorizados para la comercialización de dispositivos criptográficos homologados, a los fines de su inclusión en el "Registro" deberán solicitar la respectiva homologación, en la Subdirección General de Sistemas y Telecomunicaciones, sita en la Avenida Paseo Colón Nº 635 de la Ciudad Autónoma de Buenos Aires, mediante la presentación de una nota, por duplicado —con arreglo a lo previsto por la Resolución General Nº 1128—, en la que se detallarán —como mínimo— los siguientes datos:

a) Denominación o razón social.

b) Clave Unica de Identificación Tributaria (C.U.I.T.).

c) Domicilio fiscal.

d) Descripción técnica de los dispositivos que solicita homologar y de los requisitos que reúne la presentante, de acuerdo con lo indicado en el Anexo I de la presente.

Dicha nota deberá ser suscripta por el presidente, gerente u otra persona debidamente autorizada y consignar, antes de la firma, la fórmula establecida por el Artículo 28, "in fine" del Decreto Nº 1397/79, reglamentario de la Ley Nº 11.683, texto ordenado en 1998 y sus modificaciones.

Art. 3º — A los fines de homologar cada tipo de dispositivo criptográfico y/o lote de un mismo tipo, modelo y versión, se considerarán los parámetros que se encuentran detallados en el Anexo II de esta resolución general.

Art. 4º — La empresa proveedora será autorizada a comercializar cada tipo de dispositivo criptográfico homologado y/o lote mediante el dictado de una resolución general en la que se indicará la marca, modelo y versión de "software", "firmware" y "hardware" de aquéllos.

Art. 5º — La nómina de las empresas proveedoras autorizadas se encontrará disponible en el sitio "web" institucional (http://www.afip.gob.ar).

Asimismo, serán publicados otros datos (vgr. el lugar de presentación de la documentación, períodos de prueba, fechas de evaluación, etc.).

Art. 6º — Los proveedores que comercialicen los dispositivos criptográficos, en caso de incumplimiento de las obligaciones impuestas, serán pasibles de las sanciones que correspondan.

Art. 7º — La autorización a que se refiere el Artículo 4º tendrá una validez de DIEZ (10) años contados a partir del día de la publicación de la respectiva resolución general en el Boletín Oficial.

En consecuencia, a los fines de permanecer en el "Registro" la empresa habilitada deberá solicitar, por cada proceso de homologación, la renovación del mismo antes de la finalización del plazo fijado en el párrafo anterior.

Art. 8º — La Subdirección General de Sistemas y Telecomunicaciones modificará y/o actualizará los procedimientos y protocolos relacionados con la homologación de los dispositivos criptográficos a que se refiere la presente resolución general, la documentación exigible a los interesados en constituirse en proveedores autorizados para la comercialización de los dispositivos criptográficos, los manuales técnicos y demás aspectos previstos en los Anexos I y II —que se encuentran disponibles en el sitio "web" institucional—.

Art. 9º — Apruébanse los Anexos I y II que forman parte de la presente.

Art. 10. — Las disposiciones establecidas en esta resolución general resultarán de aplicación a partir del día siguiente al de su publicación en el Boletín Oficial, inclusive.

Art. 11. — Regístrese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Ricardo Echegaray.

ANEXO I RESOLUCION GENERAL Nº 2674

PROCEDIMIENTO A CUMPLIR POR LAS EMPRESAS COMERCIALIZADORAS

Los sujetos interesados presentarán y/o informarán, según corresponda:

a) Detalle de la marca, modelo, versión de "software", de "firmware" y de "hardware", del dispositivo criptográfico que se pretende homologar.

b) Los certificados que acrediten su validación FIPS 140 (versión 1 ó 2) Nivel 2 como mínimo emitida a favor del dispositivo criptográfico a que se refiere el inciso anterior.

c) Manuales de uso y "drivers" correspondientes a la marca y modelo del dispositivo criptográfico que se pretende homologar para los distintos sistemas operativos requeridos para el producto.

d) Al menos DOS (2) dispositivos del tipo de los que se solicita homologar, para la realización de las pruebas pertinentes, junto con los ítems requeridos en el inciso anterior y las licencias de uso correspondiente a los mismos.

e) Ejemplo de uso de la API PKCS#11 para la obtención del número de serie del dispositivo versión de "firmware", "software" y "hardware".

f) El detalle de los números de serie correspondientes al lote de dispositivos criptográficos reservados e informados por el fabricante en la nota de autorización, incluyendo además de los números de serie, la marca, modelo, versión de "software", de "firmware" y de "hardware", así como el número de certificación FIPS correspondiente.

g) Declaración del proveedor que posee la capacidad de brindar soporte técnico a los usuarios de los dispositivos criptográficos comercializados por un período no inferior a TRES (3) años.

h) Nota original del fabricante de los dispositivos la que, de tratarse de persona extranjera, deberá contar con la pertinente legalización consular o, en su caso con la apostilla, conforme a la Convención de La Haya, según el siguiente texto:

"Por cuanto [indicar apellido y nombre completo del fabricante], en el carácter de fabricante de los Dispositivos Criptográficos marca [indicar marca] modelo [indicar modelo] y sus licencias de "software" correspondientes, con domicilio en [agregar dirección completa del fabricante], por medio de la presente informamos a Uds. Que hemos procedido a reservar inicialmente por la Administración Federal de Ingresos Públicos y/o los usuarios finales ante la Administración Federal de Ingresos Públicos, cuyos números de serie están incluidos en el siguiente rango [ingresar el rango].

Asimismo, por la presente autorizamos a [nombre de la empresa que pretende su incorporación como proveedora], con dirección en [indicar dirección completa de la empresa en la República Argentina] a comercializar en la República Argentina a los usuarios finales ante la Administración Federal de Ingresos Públicos solamente los dispositivos criptográficos Marca…… Modelo……, cuyos números de serie se encuentren comprendidos dentro del rango descripto anteriormente como lote reservado para la Administración Federal de Ingresos Públicos, así como a prestar los servicios de soporte técnico de dichos dispositivos.".

i) El proveedor deberá informar la modalidad mediante la cual brindará soporte técnico a los usuarios de los dispositivos criptográficos comercializados.

j) El proveedor deberá ser una empresa constituida en los términos de la Ley de Sociedades Comerciales Nº 19.550, texto ordenado en 1984 y sus modificaciones, con domicilio legal en la República Argentina, y actividad comercial no inferior a CINCO (5) años, debiéndose presentar a tal efecto copia certificada de los estados contables de la empresa con su correspondiente inscripción en la Inspección General de Justicia o autoridad registral local, según corresponda.

ANEXO II - RESOLUCION GENERAL Nº 2674

CARACTERISTICAS DE LOS DISPOSITIVOS CRIPTOGRAFICOS A HOMOLOGAR

1. Satisfacer los requerimientos técnicos de la ETAP "Elementos de Seguridad – SEG-E" en su última versión.

2. Permitir la obtención del número de serie del dispositivo criptográfico mediante la API PKCS# 11.

3. Contar con certificación FIPS 140 (Versión 1 ó 2) Nivel 2 o superior que incluya todo el conjunto de "Software", "Firmware" y "Hardware".

4. Autenticación interna (on-board).

5. Conexión USB estándar tipo A, versión 1.1 o superior.

6. Soportar los siguientes estándares: PKCS#11 versión 2.01 o superior, CAPI (Microsoft Crypto API), PC/SC.

7. Poseer memoria de almacenamiento de datos mínima de 32 kbytes.

8. Soportar las siguientes funciones criptográficas:

8.1. Generación de números aleatorios (RNG).

8.2. Almacenamiento de certificados X509v3.

8.3. Generación interna, operación, almacenamiento y administración de claves criptográficas asimétricas del tipo RSA (1024 bits o superior).

8.4. Funciones de hash seguro del tipo SHA-1.

8.5. Generación interna, operación de claves criptográficas simétricas del tipo DES y/o Triple DES.

9. Ser un producto vigente, con soporte técnico y no poseer fecha de discontinuidad de fabricación al momento de efectuarse la presentación de solicitud de homologación.

10. Deberá tratarse de dispositivos criptográficos del fabricante cuya marca y modelo coincida con la marca y modelo declarada en las correspondientes Certificaciones FIPS 140, no pudiendo ser dispositivos criptográficos del tipo OEM (Original Equipment Manufacturer).

11. Brindar servicio de soporte a los usuarios poseedores de dispositivos.