Ministerio de Trabajo, Empleo y Seguridad Social

https://seguridadinformatica.sgp.gob.ar/?p=716

Consorcio de Universidades Nacionales, área de Auditores Internos

En ambos casos se abrdará el Tema de la Ley de Protección de Datos Personales

A través de la Resolución 2571/09 la AFIP reglamenta bajo el nombre de Token la Firma Digital para sus contribuyentes. Lamentablemente a la fecha de publicación de esta nota no estaba activa la web AFIP http://acn.afpi.gov.ar como certificador digital donde los contribuyentes podríamos verificar las políticas (que transacciones tiene validez con el uso de esa firma) de la Firma que nos otorgan, pero que según los documentos con los que se licenciaron sería exclusivamente para su operaciones con los contribuyentes. Hemos definido la firma digital y sus diferencias con la firma electrónica en nuestra nota de marzo. Teniendo en cuenta eso podemos ver que hasta ahora nuestros trámites en AFIP era bajo firma electrónica con la carga de prueba sobre los hombros del contribuyente ante cualquier repudio o problema que se presentara en una presentación de Declaraciones Juradas y cualquier otro trámite vía web.

La Resolución dispone que los poseedores de cave electrónica de nivel 3 como mínimo dispondrán de su firma digital a través del Token que la misma AFIP entregará a los contribuyentes a medida que lo soliciten

En el link http://www.afip.gov.ar/genericos/guiaDeTramites/categoria_list_detail.aspx?id_padre=731 podemos ver el alcance de la implantación y las instrucciones para solicitar el Token. Por el momento solo podrán solicitarlo los que tengan nivel 4 al finalizar lo obtendrán los de nivel 3.

En nuestra opinión el Token debería entregarse a todo contribuyente desde el nivel 3 que opere via web y no sólo a quién lo pida ya que esto demostraría que AFIP adoptó la firma electrónica en sus operaciones con el contribuyente. Esto además aceleraría la extensión del concepto de firma digital en la sociedad herramienta que las organizaciones que operan en Mercosur están obligadas a cumplir para sus documentos comerciales. Una herramienta que además al dar validez legal a los archivos y documentos permite despapelizar las operaciones

Pero lo importante es que haremos con profesionales y como contribuyentes con la firma digital que se nos otorgue. En primer lugar debemos saber que si el documento o la firma es alterado por cualquier tipo de software sea virus, robot espía, etc. la validez de la firma no se verifica y se informa a quien accede al archivo el error que se produjo. Por eso es muy importante ahora más que cuando operábamos con firma electrónica tener PC, terminales y servidores seguros para trabajar. Aplicar seguridad de la información como usuarios suele ser poco aceptado por la mayoría pero si a partir de ahora cada vez que cargue al documento la firma digital ese documento será idéntico a uno en papel firmado y certificada la firma por escribano público debemos empezar a madurar en nuestra condición de usuarios de tecnologías de la información.

No sólo debemos ocuparnos de que nuestras PC, terminales y servidores sean seguros sino que debemos extremar la seguridad en la conservación y uso del Token ya que en él estará nuestra firma y por lo tanto no podemos alegremente dejarlo en cualquier lugar o cederlo a un tercero para que suba una declaración jurada por nosotros. Hasta hace poco podíamos discutir si el sistema de clave fiscal actual de la AFIP era seguro y de hecho sabemos que fue hackeado y se cambio la situación fiscal de un contribuyente públicamente conocido. Haciendo uso de la firma digital no hubiese ocurrido y no debería ocurrir a menos que el titular de la firma haga un tratamiento inadecuado del mismo.

Comenzar con estos ejercicios simples ya que será en nuestra realidad de contribuyentes donde empezarnos a hacer uso de la herramienta nos permitirá ir escalando en el uso de la firma digital en operaciones más complejas cuando en un futuro cercano con otros certificadores y registrantes con políticas más amplias nos permitan remplazar el fax, el certificación de firma, tal vez como en España nuestro documento de identidad se simplifique y un sin números de transacciones civiles y comerciales hay bajo tramites papelizados, se transformen en electrónicas legalmente validas.

El 21 de mayo a las 18,30 hs en el Consejo Profesional de Ciencias Económicas de la Ciudad de Buenos Aires (CPCECABA) se ofrecerá una conferencia no arancelada, sobre:

La Seguridad de los datos personales: obligación legal y oportunidad competitiva

http://www.consejo.org.ar/Rcyt09/actual/ref_075.htm

Resulta un tema de interés para todos los profesionales ya que abarca tanto a las organizaciones privadas como a los entes públicos.

Requiere inscripción previa llamando al 011-5382-9276 o personalmente en Viamonte 1549 sector Informes

Los profesionales matriculados en el CPCECABA pueden incribirse por internet ingresando en el link de la charla.

Estas notas se distribuyen en el Newsletter Perspectivas Informáticas, pero para aquellos que no acceden podrán tomarlas de este blog

Por la Dra. Silvia Iglesias

Las organizaciones enfrentan la necesidad de ganar mercados cada vez más selectivos a la hora de elegir. Cuando la economía mundial está estable optan por los mercados menos exigentes sacrificando la posibilidad de crecer. En momentos de crisis esos son los primeros mercados en sufrir bajas importantes en el consumo y rápidamente las organizaciones sienten el impacto en sus operaciones económicas. Los mercados más exigentes en periodos de crisis restringen el consumo y se tornan más exigentes en sus requerimientos.

Las normas de Calidad en la última década se tornó una barrera infranqueable para el comercio con los mercados formados por los países más ricos y desde los últimos cinco años comenzó a serlo la Responsabilidad Social.

Las empresas que operan el mercado nacional también enfrentan la necesidad de adherir a estas normas, porque es requisito para ser proveedor de organizaciones internacionales que operan en el país, o bien porque el propio Estado lo exige mediante normas legales , como ocurre con la Responsabilidad Social tanto a nivel nacional (Ley 25.877 Art 25) como a nivel de la ciudad de Buenos Aires (Ley 2.494)

Sin embargo estos requerimientos son para las empresas que saben como implementar correctamente estos sistemas de gestión, una ventaja competitiva frente a las que implantan los sistemas solo para obtener un certificado que mostrar a sus clientes y proveedores, incluyendo los potenciales. Claro esta que el consumidor si bien puede verse muy entusiasmado al ver estas constancias expuestas en las publicidades de las organizaciones, al verificar la gestión rápidamente puede evaluar si el sistema de Calidad o el de Responsabilidad Social cumple con sus expectativas. En este punto cabe aclarar que el elemento que caracteriza cualquier sistema de gestión es la mejora continua y que las expectativas de las partes interesadas (stakeholders) son elementos importantes más en los que tienen implementadas política de Responsabilidad Social que en los que cumplen normas de Calidad. Como ejemplo puedo decir que si una empresa se dice Socialmente Responsable y yo como cliente no logro comunicarme por ninguno de los medios puestos a mi disposición para efectuar un reclamo, más a allá de si la empresa incumple con la Ley del Consumidor vulnera mucho más su imagen como empresa Socialmente Responsable.

Los sistemas antes mencionados pueden tener fallas en su implantación y/o en su diseño pero todos se sustentan en la información. La información por si misma es uno de los bienes más preciados en cualquier organización. Imprescindible a la hora de la toma de decisiones por los responsables de la gestión de las entidades, es además el elemento fundamental para que toda organización pueda desarrollar las tareas que conduzcan a los objetivos de la misma. No importa si esta soportada en sistemas informatizados o no, si se pierde el archivo maestro de clientes o se mojan las fichas Nro.3 con la cuenta corriente del cliente, el desastre es igual: la empresa no podrá gestionar cobranza y tal vez facturar hasta que no recupere la información siniestrada.

Es por eso que la columna vertebral de cualquier sistema de Calidad o de Responsabilidad Social es que la información cuente con atributos de confidencialidad, integridad y disponibilidad.

Decimos que la información es confidencial cuando el acceso a la misma está limitado a las personas autorizadas. Como ejemplo la nómina de sueldos siempre ha sido información restringida dentro de las organizaciones; la pugna de los sindicatos por acceder a los resultados de las compañías es histórico, y al hablar de resultados me refiero no al resultado técnico de la valuación que figura en cualquier balance sino al flujo de ingresos y egresos.

La integridad es el atributo que nos permite confiar en la información que se nos brinda. Si la información no es íntegra tal vez falte la actualización del domicilio del cliente y por lo tanto no pueda gestionar la cobranza o la facturación. Si la información no refleja las operaciones tal como suceden la toma de decisiones puede ser errada. Alguien se imagina tomando decisiones comerciales sobre una cartera de clientes cuya información se corrompió y carece del atributo de antigüedad de deuda, morosidad e incobrabilidad.

La disponibilidad es uno de los atributos que más se traslucen cuando hablamos de Gestión de Calidad. Cuantas veces llamamos a una organización y escuchamos del otro lado una frase del tipo: “en estos momento estamos sin sistemas, porque no nos llama más tarde”. Con o sin sistema de información cualquier Banco debe atender los requerimientos de depósitos, retiros y transferencias de sus clientes y como organización deberá encontrar la forma de operar cuando el sistema informatizado no funciona.

Ante todo lo dicho hasta este punto, esta claro la necesidad de contar con una herramienta que nos permita gestionar la información para que los atributos puedan cumplirse, esa norma es la ISO/IEC 27002 (ex 17799) de Seguridad de la Información.

Esta norma establece que “La seguridad de la información se logra implementando un conjunto adecuado de controles, que incluye políticas, procesos, procedimientos, estructuras organizacionales y funciones del software y del hardware. Estos controles se deben establecer, implementar, supervisar, revisar y mejorar, cuando sea necesario, para garantizar que se alcancen los objetivos específicos de seguridad y los objetivos de negocio de la organización. Esto debe realizarse en conjunto con los otros procesos de la gestión del negocio.”

Con esta definición deja en claro que debe integrarse a todos los sistemas de gestión y no ser un sistema aparte. Esta integración es la que trataremos de explicar en las entregas posteriores

Por la Dra. Silvia Iglesias

A partir del pasado 10 de marzo con el otorgamiento de las Licencias de Emisores de Certificados Digitales a la AFIP y al ANSES comienza la implementación de la firma digital en nuestro país, algo muy demorado ya que la Ley 25.506 data de 2001. En un futuro cercano otras entidades solicitarán ser Entidades Certificantes y el mercado comenzará a ver crecer el uso de esta herramienta: nuestra firma en forma digital y con el mismo valor de una firma manuscrita y certificada por Escribano. Las empresas y los Estados Nacionales, Provinciales y Municipales también tendrán la propia. Antes de comenzar cabe aclarar que la firma digital no es una firma escaneada y en los párrafos siguientes explicaremos que es.

La Decisión Administrativa 6 del 2007 del Jefe de Gabinete de Ministros aprobó las Normas Técnicas y Administrativas que deberán cumplir aquellos que desee ser certificadores licenciados del otorgamiento de certificados de Firma Digital.

Pueden solicitar estas licencias las Personas Jurídicas, las Asociaciones de Profesionales, las Administraciones Nacionales, Provinciales y Municipales. Los requisitos y las condiciones son técnicamente complejos y de un nivel de seguridad acorde al usado internacionalmente según los distintos estándares de normalización. El Estado Nacional es el encargado del otorgamiento de las licencias como Ente Licenciante siendo autoridad certificante raíz y como tal tendrá a su cargo la verificación antes del otorgamiento de la licencia y las posteriores Auditorías Anuales. Cada certificador licenciado fijará que políticas de certificación utilizará, por ejemplo una Asociación lo haría para otorgar la firma digital del profesional matriculado. En Europa, Brasil, Chile, México se opera bajo este sistema desde hace varios años.

La Firma Digital es la forma de identificar inequívocamente la identidad del emisor del documento, proceso, operatoria, etc., realizado en medios digitales y de asegurar si se vulneró la integridad del mismo. Es igual que la firma manuscrita pero por su condición, la seguridad se logra mediante la asignación de dos tipos de claves criptográficas: una privada (del emisor del documento) y otra pública, relacionadas entre si, que se obtienen mediante algoritmos matemáticos de complejidad tal que no puede teniéndose la primera deducir la segunda y viceversa. Quién desea verificar la validez del emisor debe tener la clave pública que al verificarse contra la Firma Digital adjunta al documento indica si el firmante es quien dice ser y si es válido (si el documento fue alterado no se logra la validación)

Resulta importante entender que hoy en el mercado ya estamos operando bajo algo muy parecido que es la Firma Electrónica. La usamos cada vez que realizamos operaciones con medios electrónicos: pago de impuestos, transferencias bancarias, etc. Pero en el aspecto legal en nuestro país hay una diferenciación muy importante entre Firma Electrónica y Firma Digital. La diferencia radica en el valor probatorio atribuido a cada una de ellos. En el caso de la Firma Digital existe presunción de prueba “iuris tantum” en su favor; esto significa que si un documento firmado digitalmente es verificado correctamente, se presume salvo prueba en contrario que proviene del suscriptor del certificado asociado y que no fue modificado. Por el contrario, la Firma Electrónica en caso de ser desconocida por su titular corresponde a quien la invoca acreditar su validez; hoy es el damnificado quien debe presentar la pruebas de que ese documento es válido lo cual es muy engorroso y es el gran motivo en que no todos están dispuestos a usar los medio electrónicos para pagos, reclamos y compras. Resumiendo con la Firma Digital de las transacciones y documentos cualquier pago electrónico de servicios, reclamos vía web, compras en Internet, presentación de Declaraciones Juradas y demás tramites ante a la AFIP y el ANSES, serían tan seguras y válidas desde el punto de vista legal como lo es si lo realizáramos personalmente.

Las implicancias de la Firma Digital son muchas y en todos los ámbitos se verán los efectos. Podremos prescindir del envío de fax, cartas documentos, y formularios firmados en forma manuscrita con lo que podrá ahorrarse tiempo y papel. Las operaciones comerciales, bancarias, jurídicas y con las administraciones nacionales, provinciales y municipales podrán simplificarse. El MERCOSUR en todas sus operaciones tiene aprobada al Firma Digital pudiendo hacerse uso de la que cada País considera Legal. En nuestro caso solo el Estado Nacional tenía hasta ahora posibilidad de firmar Digitalmente las validaciones que quedaban bajo la órbita de sus organismos pero no podían emitirse el resto de al documentación comercial lo cual podrá hacerse a partir de que las Empresas y Organismos que se conviertan en Entes Licenciantes otorguen Certificados de Firma digital aplicables a esas operaciones.

Tomando en consideración la importancia de esta herramienta, más allá de que todo ente Licenciatario para la Emisión de Certificados Digitales ofrecerá el mismo servicio, la calidad no será la misma. Esto se debe a dos puntos estratégicos que la Disposición 6 de 2007 dejó abierta. El primero es que la Disposición exige que el Licenciatario se adecua a una ISO/IEC 27002 (17799) que es un aguia de implementación de la Seguridad de la Información pero no les exige que implemente un Sistema de Gestión de Seguridad de Información ISO/IEC 27001 que es el que permite que sea certificado mediante la Auditoría de una entidad independiente a ambas partes (Estado y entidades Licenciataria), siendo esta entidad Nacional o Internacional. Otro punto importante es la experiencia en el manejo de operaciones firmadas electrónicamente y su nivel de no repudio: esto es un historial que pone ante nuestros ojos el nivel de experiencia del Emisor y esto no es requerido en la Disposición como condición. Quienes operamos con medios electrónicos desde hace más de quince años sabemos que estos historiales no son iguales puesto que el no repudio implica que toda operación procesada fue validada, pero en muchos casos hay organizaciones que muestran vulnerabilidades muchas veces producto de considerar al usuario como experto, otras por sus propios errores internos.

Por eso más allá de quienes hoy están Licenciados (AFIP y ANSES) y quienes obtengan la Licencia en el futuro, seremos nosotros los que deberemos como usuarios, profesionales, miembros o responsables de Asociaciones Sectoriales, Empresariales, Profesionales quienes deberemos analizar estos tópicos a la hora de elegir nuestro proveedor de Firma Digital

Vacantes Limitadas

eventosdnpdp@jus.gov.ar

http://www.lanacion.com.ar/nota.asp?nota_id=1082059&pid=5544701&toi=6269

Nos anoticiamos de que el Senado voto la creacion de un registro No llame para regular la activad de comercilizacion que se hace por medios telefónicos

Consideramos que esta iniciativa no es necesaria si hace cumplir la ley 25326 de Habeas Data ya que si el consetimiento del titular de los datos no pueden hacerse esas llamadas y quien las realiza infringe la Ley. Esta en nosotros proteger nuestros daots y en nuestro post anteriores pueden ver como hacerlo

Lo que si es cierto que la guia telefonica es un registro público y piede ser usado pero el titualr de datos puede pedir no figutrar en guía y eso es sin costo.

Lo que deberían limitar es el hecho de que el ANSES desde la década del 90 por una ley de promoción del consumo de sus datos a Entidades Financieras, Bancos y Coopertativas de Consumo y Crédito, y al tener hasta el Telefono laboral pueden molestarnos auqnue aquí también podemos solictar nos remuevan de la base y que no se repitan estos hechos

Queda en nosotros evitar la mayor burocracia que desean nuestros legisladores aplicarnos entre otras cosas porque el costo de esa burocracia la pagamos todos

Desde ayer por la tarde están disponibles los parches de seguridad de las versiones 5, 6, 7 y 8 Beta del Explorer.

Para los que siguen nuestrso consejos de tener activada las actualizaciones de Windows es muy probable que ya lo tengan instalado.

Los que no en forma urgente actualicen, ya que la vulnerabilidad se centra en el acceso remoto a la PC del usuario.

Recomendamos hacerlo por Windows Update, para el que no le guste esta opción puede hacerlo entrando el sitio de Microsoft

www.itsb.com.ar

Esto es un codigo QR que fotografiado con un celular que tenga el software que lo lee permite almacenar los datos de contacto, en este caso el de nuestra consultora.

Este tipo de codificación se usa en Japón desde 1992 como sustituto de los codigos de barra lo que facilita la toma de inventarios

Uno de los site para bajar el lector es:

http://reader.kaywa.com