El Banco Central de la República de Argentina adopta la firma ológrafa para documento electrónico (firma digital manuscrita) y lo comunica a las Entidades Financieras mediante el siguiente comunicado (descargar PDF)
En esta normativa, destacamos los siguientes puntos:
Se admiten las firmas ológrafas efectuadas originalmente sobre documentos electrónicos u otras tecnologías similares en la medida que puedan efectuarse sobre aquéllas verificaciones periciales que permitan probar su autoría y autenticidad.
Requisitos de seguridad de la información.
Cuando se trate de la instrumentación de documentos en soportes electrónicos o de características similares, las entidades financieras deberán observar lo siguiente:
1. Se denominan “Documentos firmados en soporte electrónico” (DFE) a los archivos de datos en formato electrónico que posean asociada de manera indivisible una firma ológrafa digitalizada verificable, tal que admita efectuar verificaciones periciales que permitan probar su autoría y autenticidad y que resulte equivalente al documento en papel firmado en su versión original, constituyendo un documento firmado original, legítimo, único e inalterable durante su uso y vigencia e irrecuperable después de su descarte o vencimiento.
2. Se deberán satisfacer los siguientes requisitos generales para la protección de los DFE en cada etapa de su ciclo de vida: creación, almacenamiento, uso, distribución, archivo historico (custodia a largo plazo y destrucción)
2.1. Creación. Se trata de la generación de nuevos DFE o la actualización del contenido existente:
La digitalización de la firma ológrafa deberá cumplir con los requisitos biométricos indicados por la ISO IEC 19794-7.
ii) El DFE deberá tener una relación univoca con la firma ológrafa.
iii) Toda actualización de un DFE equivaldrá a la creación de una nueva relación entre documento y firma, generando un nuevo DFE que sustituye e invalida el anterior
X.4.2.2. Almacenamiento. Es la acción de ubicar a los DFE en alguna clase de repositorio de almacenamiento y podrá realizarse en simultáneo con su creación.
i) Los DFE creados deberán ser resguardados, protegiendo la confidencialidad del datagrama biométrico de la firma ológrafa mediante encripción, acorde a la evaluación de riesgos, en línea con lo requerido por las normas sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”.
ii) Deberá garantizarse que el documento no sea eliminable, no pueda ser modificado y tampoco reemplazado una vez creado.
X.4.2.3. Uso. Es el acceso a los DFE para su lectura, procesamiento u otro tipo de actividad, siempre que no incluya su modificación.
i) Deberá garantizarse el acceso a los DFE a los usuarios autorizados acorde al concepto “necesidad de uso/conocimiento”.
ii) Los datagramas de la firma ológrafa deberán ser utilizados para autenticar al individuo firmante.
iii) Toda la actividad de uso de los DFE deberá ser trazable; es decir, deberá quedar registro de quién accedió al documento, cuando, cómo y qué se hizo durante ese acceso.
iv) Las llaves de encripción para acceder a los datagramas deberán ser resguardadas y gestionadas de manera segura.
X.4.2.4. Distribución. El DFE se hace accesible a otros, tales como otros usuarios, clientes y/o colaboradores.
i) El DFE deberá tener identificado un propietario que podrá acceder al documento y será responsable de autorizar cómo y con quien se lo comparte, y que también definirá su archivo o destrucción. Toda la actividad relacionada con su distribución deberá ser trazable.
-4-
ii) El DFE deberá contar con una clasificación (criterio de criticidad) acorde con la política de seguridad de la organización, en línea con lo requerido por las normas sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”.
X.4.2.5. Archivo histórico. Los DFE dejarán de estar disponibles en línea y se albergarán en un almacenamiento electrónico de largo plazo. El almacenamiento de un DFE deberá realizarse en medios que garanticen su confidencialidad, integridad y disponibilidad por el tiempo determinado legalmente según su naturaleza.
X.4.2.6. Destrucción. Los DFE serán destruidos de forma permanente.
i) La acción de destrucción del DFE deberá estar debidamente registrada y formalizada.
ii) Deberá garantizarse la no recuperación parcial o total de los datos mediante técnicas de borrado seguro.
