POLÍTICA DE PRIVACIDAD DEL PCSC CODE100 S.A.
VERSIÓN: 2.0
CLASE: PÚBLICO
CONTROL DOCUMENTAL
DOCUMENTO |
||
TÍTULO: POLÍTICA DE PRIVACIDAD DEL PCSC CODE100 S.A. |
NOMBRE DEL ARCHIVO: CODE100-PP-ICPP-V2.0.PDF |
|
CÓDIGO: CODE100-PP-ICPP-V2.0 |
SOPORTE LÓGICO: https://code100.com.py/repositorio-de-documentos-publicos/ |
|
UBICACIÓN FÍSICA: CODE100 S.A. |
FECHA: 10/08/2022 |
VERSIÓN: 2.0 |
CONTROL DEL DOCUMENTO |
||
PREPARADO POR |
REVISADO POR |
ACEPTADO POR |
CRISTHIAN FERNÁNDEZ |
DIRECTORIO CODE100 S.A. |
DIRECTORIO CODE100 S.A. |
REGISTRO DE CAMBIOS |
||
VERSION |
FECHA |
MOTIVO DE CAMBIO |
1.0 |
04/04/2014 |
Versión inicial |
2.0 |
10/08/2022 |
Segunda versión |
INDICE
1. INTRODUCCIÓN___________________________________________________________________________ 4
1.1. DESCRIPCIÓN GENERAL_____________________________________________________________ 4
1.2. NOMBRE E IDENTIFICACIÓN DE ESTE DOCUMENTO_________________________________ 4
1.3. OBJETO DE ESTE DOCUMENTO_______________________________________________________ 4
2. TRATAMIENTO DE LA INFORMACIÓN______________________________________________________ 4
2.6. Información sobre manejo de los datos recabados__________________________________________ 6
2.7. Medio de contacto para el suscriptor y partes que confían___________________________________ 7
Mediante Resolución N.º 187/2015, por la cual se dispone la habilitación a CODE100 S.A. como Prestador de Servicios de Certificación (PSC) por el Ministerio Industria y Comercio (MIC), en su carácter de Autoridad de Aplicación de la Infraestructura de Clave Pública del Paraguay, autoriza su funcionamiento para la expedición de certificados digitales, de acuerdo con lo establecido por la Ley Nro. 4017/10, Nro. 4610/12, Decreto Reglamentario Nro. 7369/11.
Según el Artículo N.º 17 del decreto reglamentario N.º 7576/22 por el cual se reglamentan artículos de la Ley N.º 6822/2021, los prestadores de servicios reconocidos por leyes anteriores son considerados Prestadores Cualificados de Servicios de Confianza (PCSC).
En su condición de PCSC, CODE100 S.A. está obligado a declarar en qué forma manejará la información que reciba en cumplimiento de los servicios de confianza.
1.2. NOMBRE E IDENTIFICACIÓN DE ESTE DOCUMENTO
Nombre: POLÍTICA DE PRIVACIDAD DEL PCSC CODE100 S.A. |
Versión: 1.0 |
Fecha de Aprobación: 10/08/2022 |
Ubicación: https://code100.com.py/repositorio-de-documentos-publicos/ |
El presente documento describe la Política de Privacidad de CODE100 S.A. por la cual se determina el tratamiento que el certificador proporcionará a los datos recibidos de los suscriptores. Será de alcance tanto para CODE100 S.A. en su carácter de PCSC como para toda AR (Autoridad de Registro) que se desempeñe bajo el marco de la PC (Política de Certificación) de CODE100 S.A. y las partes usuarias, en un todo de acuerdo con la normativa vigente.
Toda información que sea recibida por CODE100 S.A., excepto la información pública determinada por ley y referida a solicitantes y suscriptores, es confidencial y no puede hacerse pública sin el consentimiento previo de aquellos, salvo que sea requerida por la autoridad competente, cumpliendo con las normas y recaudos establecidos para la protección de datos personales. La exigencia se extiende también a toda otra información referida a los suscriptores de certificados a la que tenga acceso el PCSC durante el ciclo de vida del certificado.
2. TRATAMIENTO DE LA INFORMACIÓN
El solicitante de un certificado deberá proveer a CODE100 S.A. la información personal que se requiere en la solicitud de dicho certificado. Los datos requeridos son los necesarios que serán utilizados para su inclusión dentro de este certificado para su emisión.
Toda información remitida por el suscriptor de un certificado al momento de efectuar un requerimiento será considerada confidencial, por lo que se garantiza que los datos personales a los que tenga acceso son protegidos ante su pérdida, destrucción, daño y procesamiento no autorizado y no podrá ser divulgada a terceros sin el previo consentimiento del suscriptor, salvo que sea requerida por autoridad administrativa competente o por Juez competente, excepto los datos incluidos en el certificado los cuales son de acceso público. La exigencia también se extenderá a cualquier otra información referida a los suscriptores de certificados a la que tenga acceso el PCSC durante el ciclo de vida del certificado.
A continuación, se presenta la forma en que será tratada la información:
Finalizado el proceso de solicitud de certificado, el solicitante deberá presentarse personalmente frente a la RA, acompañado de la documentación indicada en la CP de Code100 S.A.
Las normas para el procedimiento de certificación exigen que en ciertas circunstancias CODE100 S.A. publique el contenido de los certificados digitales que emite. En consecuencia, los datos contenidos en ellos serán de carácter público.
La información recabada será utilizada:
a) Para ser incorporada a los certificados digitales emitidos por la AC (Autoridad Certificadora) de CODE100 S.A., con la finalidad de vincular los datos de verificación de firma a su titular.
b) En la emisión y notificación del certificado.
La información, luego de ser verificada, será utilizada por la AR para aprobar la solicitud para la emisión del mencionado certificado y no será usada para ningún otro fin ajeno a lo estipulado en la PC de CODE100 S.A.
Asimismo, se informa al suscriptor sobre el derecho que le asiste a acceder o rectificar sus datos de carácter personal siempre que aporte la documentación necesaria para ello.
La información contenida en el certificado y su correspondiente publicación, requieren el uso de nombres significativos que permitan determinar de manera única la identidad de la persona u organización que posee el certificado al que se refieren, para identificar a los titulares de los certificados emitidos por CODE100 S.A. Este nombre significativo, corresponde al especificado en el documento de identificación presentado por el solicitante en el momento de registro.
No se publicará la lista de certificados emitidos, pero se define un repositorio de consulta de certificados.
Los datos contenidos en un certificado digital son de carácter público.
Todos los datos correspondientes a las personas físicas y jurídicas a las cuales alcance la PC de CODE100 S.A., se aplican a la Ley N.º 1682/2000 y su modificatoria ley N.º 1969/2002 que reglamentan la información de carácter privado.
Durante el ciclo de vida del certificado, tanto el Certificador como las AR, considerarán toda información remitida por el solicitante o suscriptor como confidencial, comprometiéndose CODE100 S.A. a publicar exclusivamente los datos del suscriptor o solicitante que resulten imprescindibles para el reconocimiento de su firma electrónica cualificada.
CODE100 S.A. no divulgará información confidencial a terceros sin el consentimiento previo del solicitante o suscriptor, salvo que sea requerida en el marco de procesos judiciales, administrativos u otros procesos legales, tales como citaciones, interrogatorios o solicitud de pruebas.
El carácter de confidencialidad abarca a la siguiente información:
· Toda la información remitida por el solicitante o suscriptor a la RA.
· Cualquier información almacenada en servidores o bases de datos destinadas a firma digital de CODE100 S.A.
· Cualquier información impresa o transmitida en forma verbal referida a procedimientos y otros, salvo aquellos que en forma expresa fueran declarados como no confidenciales.
La presente enumeración es de carácter enunciativo, resultando confidencial toda información del proceso de firma electrónica cualificada, que expresamente no señale lo contrario.
Se considerará, asimismo, como confidencial la clave privada de la AC, las claves privadas de los suscriptores y de las AR, CODE100 S.A. realizará todas las recomendaciones para la toma de los recaudos necesarios para que la generación de dichas claves privadas en los dispositivos criptográficos se realice de modo seguro. Las AR generan sus claves en ambientes seguros por personal autorizado mediante el algoritmo RSA con un tamaño mínimo de 2048 bits.
En el caso de los solicitantes y suscriptores, las claves son generadas y almacenadas por ellos mismos mediante el algoritmo RSA con un tamaño mínimo de 2048 bits.
Las claves privadas de los suscriptores y del personal de las AR son generadas por ellos mismos durante el proceso de Solicitud de Certificado, absteniéndose CODE100 S.A. de generar, exigir o por cualquier otro medio tomar conocimiento o acceder a los datos de creación de firma.
En lo que respecta a la publicación de información sobre revocación de un certificado es de destacar que este tipo de información no será considerada de carácter confidencial.
De acuerdo con la Ley Nº 1682/2000 y su modificatoria ley N° 1969/2002 que reglamentan la información de carácter privado, el titular de los datos, previa acreditación de su identidad tiene derecho a solicitar y obtener información respecto de los datos que sobre su persona obren en los bancos de datos públicos, y de acuerdo con las condiciones establecidas en esta ley. En este caso se preverá que el acceso a la lectura de información de la base de datos de firma digital esté circunscripto a los datos personales del suscriptor y sólo a ellos.
CODE100 S.A. le informará al suscriptor sobre el derecho que le asiste a acceder o rectificar sus datos de carácter personal, siempre que aporte la documentación necesaria para validar dicha petición.
A fin de garantizar la seguridad y protección integral de los datos personales, la Política de Seguridad de CODE100 S.A. describe la infraestructura de seguridad lógica y física frente al acceso por parte de terceros.
Los sistemas centrales de la AC de CODE100 S.A. se encuentran aislados en un compartimento exclusivo en el interior del Sitio de Máxima Seguridad (SMS).
El SMS cuenta con controles de seguridad física de última generación, que protegen las instalaciones informáticas de CODE100 S.A. y garantizan la continuidad de sus operaciones.
Cada uno de los roles a cumplir en las operaciones de la AC se encuentran definidos siguiendo los siguientes criterios:
• Cada uno de los roles tiene un titular asignado y un sustituto. Toda persona involucrada en el proceso de emisión de certificados de CODE100 S.A. se encuentra obligada, a través de Acuerdos de Confidencialidad, a proceder al resguardo y protección de los datos personales que resultan necesarios para la implementación de ese proceso.
• CODE100 S.A. controla periódicamente a las personas vinculadas con los servicios que presta como PCSC a través de su desempeño y legajo laboral.
Las claves criptográficas de la AC son generadas en ambientes seguros, por personal autorizado, sobre dispositivos criptográficos homologados FIPS 140-2 Nivel 3, utilizando claves generadas mediante el algoritmo RSA con un tamaño mínimo de 4096 bits. Las claves criptográficas de las AR son generadas y almacenadas sobre dispositivos criptográficos diseñados para tal fin, que cumplen con las normas FIPS 140-2 nivel 2, utilizando claves generadas mediante el algoritmo RSA con un tamaño de 2048 bits.
Las claves criptográficas de los suscriptores que sean personas físicas o jurídicas son generadas por software o mediante dispositivos criptográficos diseñados para tal fin.
CODE100 S.A. informa a los suscriptores de certificados digitales que los datos recabados con el fin de emitir su certificado digital no serán objeto de cesión.
Asimismo, CODE100 S.A. adopta las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones intencionales o no de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. Estas medidas técnicas y organizativas se hacen extensivas a las AR delegadas en los puntos que les son atinentes.
Los suscriptores de certificados emitidos por la AC de CODE100 S.A. y las usuarias de esos certificados podrán formular las consultas relacionadas con el presente documento por correo electrónico y vía telefónica:
-Dirección de correo electrónico: info@code100.com.py
-Teléfono: +595 21445601