Consultamos si la reglamentación actual de la SET permite el uso de una simple Firma Electrónica para suplir la Firma Manuscrita en los documentos oficiales de este organismo del Estado.
Consultamos si la reglamentación actual de la SET permite el uso de una simple Firma Electrónica para suplir la Firma Manuscrita en los documentos oficiales de este organismo del Estado.
En el marco del presente proceso, los efectos del empleo de la firma electrónica, su aplicación y su validez jurídica serán de acuerdo a lo establecido en la LEY N° 4.017/2010 DE VALIDEZ JURIDICA DE LA FIRMA ELECTRONICA, LA FIRMA DIGITAL, LOS MENSAJES DE DATOS Y EL EXPEDIENTE ELECTRONICO, sus modificaciones y reglamentaciones.
52
Determinación de documentos
¿Para qué documentos y procesos será utilizado el único Certificado para Firma Digital que es requerido en el Pliego?
El Certificado Digital de persona jurídica será utilizado en los procesos de Crédito Tributario y Certificado de Deuda, tal como ya se indica en el ÍTEM 4. SERVICIOS DE INSTALACIÓN, PUESTA EN MARCHA, INTEGRACIÓN, GARANTÍAS Y SOPORTE, y en documentos comprendidos dentro de dichos procesos.
53
Procesos
Consultamos para qué procesos internos o externos de la SET será utilizada esta infraestructura de Firma Electrónica. Favor detallar documentos que serán firmados.
Consultamos para qué procesos internos o externos de la SET será utilizada esta infraestructura de Firma Electrónica. Favor detallar documentos que serán firmados.
Será utilizada en los procesos de Crédito Tributario y Certificado de Deuda, tal como ya se indica en el ÍTEM 4. SERVICIOS DE INSTALACIÓN, PUESTA EN MARCHA, INTEGRACIÓN, GARANTÍAS Y SOPORTE, y en documentos comprendidos dentro de dichos procesos. Se firmarán documentos del tipo PDF y XML.
54
Certificaciones
Consultamos para qué procesos requieren la certificación ISO 9000, ya que el pliego sólo menciona la venta de equipos informáticos.
El oferente deberá contar con ISO 9001 o similar en los procesos de venta, instalación y post venta en equipos de TICs.
55
Firma electrónica
La Resolución General 109 de la SET, en su art. 5°, establece que la Administración Tributaria implementará gradualmente el uso de la firma digital, en la emisión de Certificados de Deuda. Solicitamos se opte por la adquisición de certificados para Firma Digital (con autenticidad, integridad y no repudio), dejando constancia de que el objetivo del proceso, con dichos certificados, reduciría sustancialmente los gastos de la SET, a un valor de casi el 10% del referencial. La SET podría adquirir Tokens con Certificados para Firma Digital, con un cargo por única vez, y sin las complicaciones de operación, costos de mantenimiento, implementación, capacitación, en virtud a los principios de Economía, Eficiencia y Transparencia establecidos en la ley 2051
La Resolución General 109 de la SET, en su art. 5°, establece que la Administración Tributaria implementará gradualmente el uso de la firma digital, en la emisión de Certificados de Deuda. Solicitamos se opte por la adquisición de certificados para Firma Digital (con autenticidad, integridad y no repudio), dejando constancia de que el objetivo del proceso, con dichos certificados, reduciría sustancialmente los gastos de la SET, a un valor de casi el 10% del referencial. La SET podría adquirir Tokens con Certificados para Firma Digital, con un cargo por única vez, y sin las complicaciones de operación, costos de mantenimiento, implementación, capacitación, en virtud a los principios de Economía, Eficiencia y Transparencia establecidos en la ley 2051
Considerando que entre los objetivos definidos por la Convocante se encuentra el uso de la tecnología como mecanismo de mejora, se aclara que se implementará gradualmente el uso de la firma, incluyendo firma digital, en los procesos indicados en el ÍTEM 4. SERVICIOS DE INSTALACIÓN, PUESTA EN MARCHA, INTEGRACIÓN, GARANTÍAS Y SOPORTE, incluyendo Certificados de deuda. Tal como indica en el PBC, el sistema solicitado debe ser modular, para implantar los servicios necesarios y crecer ordenadamente con módulos funcionales, y permitir a la Convocante un crecimiento funcional incremental para activar algunas funcionalidades como primera fase para luego activar otras características que la SET vaya necesitando.
56
Confusión entre Firma Digital y Firma Electrónica
En ciertas partes del pliego se presentan características para firma electrónica y en otras para firma digital. Teniendo en cuenta que en los Requerimientos Mínimos solicitan Formatos Estándares internacionales de certificación avanzadas aplicables para los formatos y operaciones de firmas, validación y otras vinculadas a la certificación, con soporte a certificados de los Prestadores de Servicios de Certificación homologados de Paraguay, y que en la Especificaciones Técnicas de la misma Adenda solicita:
Se debe proveer un mecanismo de integración a nivel cliente que permita utilizar la interfaz PKCS#11 y CSP El sistema deberá soportar: la realización de firma digital con una credencial PKI
El sistema deberá soportarla realización de firma digital con una credencial PKI de la SET basada en certificado digital de Persona Jurídica emitido por un Prestador de Servicios de Certificación reconocido en Paraguay por el MIC (Ministerio de lndustria y Comercio)
Que son particulares al concepto, al Marco Legal, y a la Tecnología específicas de la Firma Digital tal como se define y se regula por las Leyes 4017/10, 4610/12 y sus reglamentaciones respectivas.
Y, sin embargo, en la página 5 de la misma Adenda, solicitan Firma Electrónica ( El Sistema propuesto debe ofrecer un servicio de identidad digital de firma electrónica ) lo cual es totalmente distinto a la Firma Digital, tanto en los requerimientos técnicos, como Legales, en la infraestructura necesaria y así también los procesos de emisión de Certificados.
Y, atendiendo a que esto implica incoherencia técnica y legal dentro del mismo Pliego, SOLICITAMOS QUE LA CONTRATANTE ACLARE SI EL OBJETO DE LA LICITACIÓN ES OBTENER E IMPLEMENTAR UNA INFRAESTRUCTURA PARA FIRMA DIGITAL, O EN SU DEFECTO, PARA FIRMA ELECTRÓNICA, realizando las modificaciones pertinentes a fin de adecuar el objeto del llamado.
En ciertas partes del pliego se presentan características para firma electrónica y en otras para firma digital. Teniendo en cuenta que en los Requerimientos Mínimos solicitan Formatos Estándares internacionales de certificación avanzadas aplicables para los formatos y operaciones de firmas, validación y otras vinculadas a la certificación, con soporte a certificados de los Prestadores de Servicios de Certificación homologados de Paraguay, y que en la Especificaciones Técnicas de la misma Adenda solicita:
Se debe proveer un mecanismo de integración a nivel cliente que permita utilizar la interfaz PKCS#11 y CSP El sistema deberá soportar: la realización de firma digital con una credencial PKI
El sistema deberá soportarla realización de firma digital con una credencial PKI de la SET basada en certificado digital de Persona Jurídica emitido por un Prestador de Servicios de Certificación reconocido en Paraguay por el MIC (Ministerio de lndustria y Comercio)
Que son particulares al concepto, al Marco Legal, y a la Tecnología específicas de la Firma Digital tal como se define y se regula por las Leyes 4017/10, 4610/12 y sus reglamentaciones respectivas.
Y, sin embargo, en la página 5 de la misma Adenda, solicitan Firma Electrónica ( El Sistema propuesto debe ofrecer un servicio de identidad digital de firma electrónica ) lo cual es totalmente distinto a la Firma Digital, tanto en los requerimientos técnicos, como Legales, en la infraestructura necesaria y así también los procesos de emisión de Certificados.
Y, atendiendo a que esto implica incoherencia técnica y legal dentro del mismo Pliego, SOLICITAMOS QUE LA CONTRATANTE ACLARE SI EL OBJETO DE LA LICITACIÓN ES OBTENER E IMPLEMENTAR UNA INFRAESTRUCTURA PARA FIRMA DIGITAL, O EN SU DEFECTO, PARA FIRMA ELECTRÓNICA, realizando las modificaciones pertinentes a fin de adecuar el objeto del llamado.
No hay ninguna confusión, tal como se indica expresamente en el PBC, la Convocante requiere una solución especializada que pueda brindar toda la funcionalidad completa y necesaria para cubrir todos los tipos de operaciones vinculadas al ecosistema de certificación digital que especifica la Convocante. La solución a implementar es una infraestructura que debe soportar tanto firma digital como firma electrónica, tal como lo expresa el PBC, con los requerimientos técnicos indicados, que permiten utilizar diferentes tipos y dispositivos de firma, utilizando credenciales PKI basadas en certificados del tipo X509v3, manteniendo por completo la coherencia técnica y legal.
57
Control del usuario
En las EETT se lee:
El sistema de gestión de credenciales proporcionado para el proceso de firma remota o centralizada, deberá además garantizar que las credenciales PKI de cada usuario (claves y certificados) quedan bajo el control exclusivo del usuario.
Sobre este punto, cabe destacar que al utilizar dispositivos HSM se pierde el control exclusivo del usuario. Nuevamente se genera una incoherencia técnica, ya que de tal especificación, no surge la forma en que el usuario tenga la posesión física y/o control de su Clave Privada, contenida en el Certificado Digital.
El sistema de gestión de credenciales proporcionado para el proceso de firma remota o centralizada, deberá además garantizar que las credenciales PKI de cada usuario (claves y certificados) quedan bajo el control exclusivo del usuario.
Sobre este punto, cabe destacar que al utilizar dispositivos HSM se pierde el control exclusivo del usuario. Nuevamente se genera una incoherencia técnica, ya que de tal especificación, no surge la forma en que el usuario tenga la posesión física y/o control de su Clave Privada, contenida en el Certificado Digital.
Un dispositivo HSM homologado por el MIC resulta válido para generar firmas digitales creadas en un entorno completamente gestionado por el titular del Certificado Digital, en este caso, la Convocante. Por lo tanto, el mismo resultará valido para generar, almacenar y utilizar la clave privada para firma digital en las condiciones técnicas planteadas en el PBC, siendo las mismas coherentes con la legislación y regulación vigente. A los efectos de garantizar al usuario el control de sus credenciales PKI (claves y Certificados) para firma electrónica, la Convocante solicita el cumplimiento de los requerimientos técnicos indicados en el PBC, entre ellos: flujos de identidad y autenticación que incluyen autenticación fuerte de usuario por múltiples factores, clasificación de los mismos según los estándares indicados, política de gestión de riesgo y gestión de umbrales, resguardo y uso de claves en hardware HSM.
58
Ítem 1
Las características del ITEM 1 (software) aplican a Certificados de Firma Digital. Aclara la Convocante como pretende implementar la firma electrónica, en un software que corresponde a una plataforma para Firma Digital.
Las características del ITEM 1 (software) aplican a Certificados de Firma Digital. Aclara la Convocante como pretende implementar la firma electrónica, en un software que corresponde a una plataforma para Firma Digital.
Las características del ITEM 1 (software) cumplen con los requerimientos necesarios para poder implementar Firma digital y Firma electrónica.
59
Cambio a firma electrónica
La última adenda a la presente Licitación, solo realiza un cambio de denominación, consignando FIRMA ELECTRONICA en algunos de los puntos de la licitación, sin embargo, otros puntos del pliego no fueron modificados, y se sigue mencionando características de FIRMA DIGITAL.
Esta incongruencia dentro del mismo llamado lleva a pensar que no se están teniendo en cuenta las importantes diferencias entre los dos conceptos, así como tampoco las implicancias legales negativas que podría llegar a tener la SET con el uso de la firma electrónica para gestiones tan importantes como las que allí se llevan a cabo.
De mantener los conceptos de firma digital y la centralización de las mismas, se deja constancia que el MIC ya ha dejado claro que la centralización de firmas digitales es ilegal, por lo que se requiere encontrar la alternativa correspondiente.
La última adenda a la presente Licitación, solo realiza un cambio de denominación, consignando FIRMA ELECTRONICA en algunos de los puntos de la licitación, sin embargo, otros puntos del pliego no fueron modificados, y se sigue mencionando características de FIRMA DIGITAL.
Esta incongruencia dentro del mismo llamado lleva a pensar que no se están teniendo en cuenta las importantes diferencias entre los dos conceptos, así como tampoco las implicancias legales negativas que podría llegar a tener la SET con el uso de la firma electrónica para gestiones tan importantes como las que allí se llevan a cabo.
De mantener los conceptos de firma digital y la centralización de las mismas, se deja constancia que el MIC ya ha dejado claro que la centralización de firmas digitales es ilegal, por lo que se requiere encontrar la alternativa correspondiente.
Tal cual se expresa en la respuesta a la consulta 34 del presente documento, la solución a implementar es una infraestructura que debe soportar tanto Firma digital como Firma electrónica, tal como lo expresa el PBC, que con la Adenda número 7 incluye las recomendaciones realizadas por el MIC ajustándose por completo a lo requerido, manteniendo la coherencia técnica y legal.
60
Limitaciones a la participación
En virtud al art. 20 de la Ley 2051/03, se deja constancia de que la experiencia requerida en el Pliego, limita innecesariamente la posibilidad de concurrencia, ya que al exigir instalación en Paraguay de una plataforma PKI, se favorece indebidamente a un único oferente. Solicitamos la modificación de la experiencia, en forma más general, permitiendo de esa manera una mayor concurrencia.
En virtud al art. 20 de la Ley 2051/03, se deja constancia de que la experiencia requerida en el Pliego, limita innecesariamente la posibilidad de concurrencia, ya que al exigir instalación en Paraguay de una plataforma PKI, se favorece indebidamente a un único oferente. Solicitamos la modificación de la experiencia, en forma más general, permitiendo de esa manera una mayor concurrencia.
La SET, de acuerdo al objeto solicitado, tiene como objetivo buscar la mejor solución técnica, implantada por un proveedor con conocimiento especializado y experiencia en este tipo de soluciones. Remitirse al PBC.