Esquema de identificación y firma electrónica de las ... · PDF fileEsquema de...

CONSEJO SUPERIOR DE ADMINISTRACIÓN ELECTRÓNICA

Esquema de identificación y firma electrónica

Política de Certificación

GRUPO DE IDENTIFICACIÓN Y AUTENTICACIÓN

24/06/2008 Pág. 1/78 Esquema de Identificación y firma. BI - Política de Certificación v1.2.1.doc

Autor: MAP

Tipo de documento: Entregable a revisión

Grupo de trabajo: certiCA

Versión: V 1.2.1

Fecha: 19/05/08

Fichero: Esquema de Identificación y firma. BI - Política de Certificación v1.2.1.doc

Esquema de identificación y firma electrónica de las Administraciones públicas

Bloque I: Política de Certificación






Historia del documento:

Fecha: Versión: Nombre: Descripción:

20/2/08 V 1.0 MAP Primera versión

25/03/08 V 1.1 MAP Revisión

19/05/08 V 1.2 MAP Finalización y distribución

24/06/08 V 1.2.1 MAP Tiempo de custodia de claves y revisión de enlaces.






ÍNDICE

1 INTRODUCCIÓN .............................................................................................................................................9

1.1 PRESENTACIÓN..........................................................................................................................................9

1.1.1 Modelo de certificación .......................................................................................................................9

1.1.2 Niveles de Aseguramiento ................................................................................................................10

1.1.3 Tipos y clases de certificados ...........................................................................................................10

1.1.4 Relación entre la política de certificación y otros documentos .........................................................11

1.2 NOMBRE DEL DOCUMENTO E IDENTIFICACIÓN ............................................................................................11

1.2.1 Identificación de este documento de políticas ..................................................................................11

1.2.2 Identificación de los tipos de certificado ...........................................................................................12

1.3 PARTICIPANTES EN LOS SERVICIOS DE CERTIFICACIÓN ...............................................................................12

1.3.1 Prestadores de servicios de certificación..........................................................................................13

1.3.2 Usuarios finales.................................................................................................................................15

1.4 ADMINISTRACIÓN DE LA POLÍTICA ..............................................................................................................16

1.4.1 Organización que administra el documento......................................................................................16

1.4.2 Datos de contacto de la organización ...............................................................................................16

1.4.3 Procedimiento de gestión del documento.........................................................................................17

1.4.4 Procedimiento de Publicación...........................................................................................................17

2 PUBLICACIÓN DE INFORMACIÓN Y REPOSITORIO DE CERTIFICADOS..............................................18

2.1 REPOSITORIO(S) DE CERTIFICADOS ..........................................................................................................18

2.2 PUBLICACIÓN DE INFORMACIÓN DE LA ENTIDAD DE CERTIFICACIÓN.............................................................18

2.3 FRECUENCIA DE PUBLICACIÓN ..................................................................................................................19

2.4 CONTROL DE ACCESO ..............................................................................................................................19

3 IDENTIFICACIÓN Y AUTENTICACIÓN ........................................................................................................20

3.1 GESTIÓN DE NOMBRES .............................................................................................................................20

3.1.1 Tipos de nombres..............................................................................................................................20

3.1.2 Normalización e Identidad Administrativa.........................................................................................20

3.1.3 Significado de los nombres ...............................................................................................................22

3.1.4 Uso de anónimos y seudónimos .......................................................................................................22

3.1.5 Interpretación de formatos de nombres ............................................................................................22

3.1.6 Unicidad de los nombres...................................................................................................................22

3.1.7 Resolución de conflictos relativos a nombres...................................................................................23

3.2 VALIDACIÓN INICIAL DE LA IDENTIDAD ........................................................................................................23

3.2.1 Prueba de posesión de clave privada...............................................................................................23






3.2.2 Autenticación de la identidad de una organización...........................................................................24

3.2.3 Autenticación de la identidad de una persona física.........................................................................24

3.2.4 Información de suscriptor no verificada ............................................................................................25

3.3 IDENTIFICACIÓN Y AUTENTICACIÓN DE SOLICITUDES DE RENOVACIÓN ..........................................................25

3.3.1 Validación para la renovación rutinaria de certificados.....................................................................25

3.3.2 Validación para la renovación de certificados después de la revocación ........................................25

3.4 IDENTIFICACIÓN Y AUTENTICACIÓN DE LA SOLICITUD DE REVOCACIÓN..........................................................26

3.5 AUTENTICACIÓN DE UNA PETICIÓN DE SUSPENSIÓN....................................................................................26

4 REQUISITOS DE OPERACIÓN DEL CICLO DE VIDA DE LOS CERTIFICADOS......................................27

4.1 SOLICITUD DE EMISIÓN DE CERTIFICADO....................................................................................................27

4.1.1 Legitimación para solicitar la emisión ...............................................................................................27

4.1.2 Procedimiento de alta; Responsabilidades.......................................................................................28

4.2 PROCESAMIENTO DE LA SOLICITUD DE CERTIFICACIÓN ...............................................................................28

4.2.1 Especificaciones para los certificados de empleado público............................................................28

4.2.2 Especificaciones para los certificados de sede electrónica / sello ...................................................29

4.3 EMISIÓN DE CERTIFICADO.........................................................................................................................29

4.3.1 Acciones de la Entidad de Certificación durante el proceso de emisión ..........................................29

4.3.2 Notificación de la emisión al suscriptor .............................................................................................30

4.4 ENTREGA Y ACEPTACIÓN DEL CERTIFICADO ...............................................................................................30

4.4.1 Responsabilidades de la Entidad de Certificación............................................................................30

4.4.2 Conducta que constituye aceptación del certificado.........................................................................31

4.4.3 Publicación del certificado.................................................................................................................31

4.4.4 Notificación de la emisión a terceros ................................................................................................31

4.5 USO DEL PAR DE CLAVES Y DEL CERTIFICADO ............................................................................................31

4.5.1 Requisitos generales de uso.............................................................................................................31

4.5.2 Uso por los suscriptores....................................................................................................................32

4.5.3 Uso por un tercero que confía en los certificados.............................................................................32

4.6 RENOVACIÓN DE CERTIFICADOS SIN RENOVACIÓN DE CLAVES.....................................................................33

4.7 RENOVACIÓN DE CERTIFICADO CON RENOVACIÓN DE CLAVES .....................................................................33

4.8 MODIFICACIÓN DE CERTIFICADOS..............................................................................................................34

4.9 REVOCACIÓN Y SUSPENSIÓN DE CERTIFICADOS .........................................................................................34

4.9.1 Causas de revocación de certificados ..............................................................................................34

4.9.2 Legitimación para solicitar la revocación ..........................................................................................36

4.9.3 Procedimientos de solicitud de revocación.......................................................................................36

4.9.4 Plazo temporal de solicitud de revocación........................................................................................37

4.9.5 Plazo máximo de procesamiento de la solicitud de revocación .......................................................37






4.9.6 Obligación de consulta de información de revocación de certificados .............................................37

4.9.7 Frecuencia de emisión de listas de revocación de certificados (CRLs) ...........................................38

4.9.8 Periodo máximo de publicación de CRLs .........................................................................................38

4.9.9 Disponibilidad de servicios de comprobación de estado de certificados..........................................38

4.9.10 Obligación de consulta de servicios de comprobación de estado de certificados .......................38

4.9.11 Otras formas de información de revocación de certificados.........................................................39

4.9.12 Requisitos especiales en caso de compromiso de la clave privada ............................................39

4.9.13 Causas de suspensión de certificados .........................................................................................39

4.9.14 Legitimación para solicitar la suspensión .....................................................................................39

4.9.15 Procedimiento de solicitud de suspensión....................................................................................39

4.9.16 Periodo máximo de suspensión de un certificado ........................................................................39

4.10 SERVICIOS DE COMPROBACIÓN DE ESTADO DE CERTIFICADOS ....................................................................40

4.10.1 Características de operación de los servicios ..............................................................................40

4.10.2 Disponibilidad de los servicios......................................................................................................40

4.10.3 Otras características .....................................................................................................................40

4.11 FINALIZACIÓN DE LA SUSCRIPCIÓN ............................................................................................................40

5 CONTROLES DE SEGURIDAD FÍSICA, DE GESTIÓN Y DE OPERACIONES..........................................41

5.1 CONTROLES DE SEGURIDAD FÍSICA ...........................................................................................................41

5.1.1 Localización y construcción de las instalaciones..............................................................................41

5.1.2 Acceso físico .....................................................................................................................................42

5.1.3 Electricidad y aire acondicionado......................................................................................................42

5.1.4 Exposición al agua ............................................................................................................................42

5.1.5 Advertencia y protección de incendios .............................................................................................43

5.1.6 Almacenaje de soportes....................................................................................................................43

5.1.7 Tratamiento de residuos ...................................................................................................................43

5.1.8 Backup fuera de las instalaciones.....................................................................................................43

5.2 CONTROLES DE PROCEDIMIENTOS ............................................................................................................43

5.2.1 Funciones fiables ..............................................................................................................................44

5.2.2 Número de personas por tarea .........................................................................................................44

5.2.3 Identificación y autenticación para cada función ..............................................................................44

5.2.4 Roles que requieren separación de tareas .......................................................................................44

5.3 CONTROLES DE PERSONAL.......................................................................................................................45

5.3.1 Requisitos de historial, calificaciones, experiencia y autorización....................................................45

5.3.2 Procedimientos de investigación de historial ....................................................................................45

5.3.3 Requisitos de formación....................................................................................................................46

5.3.4 Requisitos y frecuencia de actualización formativa ..........................................................................46






5.3.5 Secuencia y frecuencia de rotación laboral ......................................................................................46

5.3.6 Sanciones por acciones no autorizadas ...........................................................................................46

5.3.7 Requisitos de contratación de profesionales ....................................................................................47

5.3.8 Suministro de documentación al personal ........................................................................................47

5.4 PROCEDIMIENTOS DE AUDITORÍA DE SEGURIDAD........................................................................................47

5.4.1 Tipos de eventos registrados ............................................................................................................47

5.4.2 Frecuencia de tratamiento de registros de auditoría ........................................................................48

5.4.3 Periodo de conservación de registros de auditoría...........................................................................49

5.4.4 Protección de los registros de auditoría............................................................................................49

5.4.5 Procedimientos de copia de respaldo ...............................................................................................49

5.4.6 Localización del sistema de acumulación de registros de auditoría.................................................49

5.4.7 Notificación del acontecimiento de auditoría al causante del evento ...............................................49

5.4.8 Análisis de vulnerabilidades..............................................................................................................50

5.5 ARCHIVO DE INFORMACIONES ...................................................................................................................50

5.5.1 Tipos de eventos registrados ............................................................................................................50

5.5.2 Periodo de conservación de registros...............................................................................................51

5.5.3 Protección del archivo.......................................................................................................................51

5.5.4 Procedimientos de copia de respaldo ...............................................................................................51

5.5.5 Requisitos de sellado de cautela de fecha y hora ............................................................................51

5.5.6 Localización del sistema de archivo..................................................................................................51

5.5.7 Procedimientos de obtención y verificación de información de archivo ...........................................52

5.6 RENOVACIÓN DE CLAVES DE UNA ENTIDAD DE CERTIFICACIÓN ...................................................................52

5.7 COMPROMISO DE CLAVES Y RECUPERACIÓN DE DESASTRE.........................................................................52

5.7.1 Corrupción de recursos, aplicaciones o datos ..................................................................................52

5.7.2 Revocación de la clave pública de la Entidad de Certificación.........................................................52

5.7.3 Compromiso de la clave privada de la Entidad de Certificación.......................................................53

5.7.4 Desastre sobre las instalaciones. .....................................................................................................53

5.8 FINALIZACIÓN DEL SERVICIO .....................................................................................................................54

6 CONTROLES DE SEGURIDAD TÉCNICA...................................................................................................55

6.1 GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES......................................................................................55

6.1.1 Generación del par de claves ...........................................................................................................55

6.1.2 Envío de la clave privada al suscriptor..............................................................................................55

6.1.3 Envío de la clave pública al emisor del certificado ...........................................................................55

6.1.4 Distribución de la clave pública de los Prestadores de Servicios de Certificación...........................56

6.1.5 Tamaños de claves ...........................................................................................................................56

6.1.6 Generación de parámetros de clave pública ....................................................................................56






6.1.7 Comprobación de calidad de parámetros de clave pública ..............................................................56

6.1.8 Generación de claves en aplicaciones informáticas o en bienes de equipo ....................................56

6.1.9 Propósitos de uso de claves .............................................................................................................57

6.2 PROTECCIÓN DE LA CLAVE PRIVADA ..........................................................................................................57

6.2.1 Estándares de módulos criptográficos..............................................................................................57

6.2.2 Control por más de una persona (n de m) sobre la clave privada....................................................57

6.2.3 Introducción de la clave privada en el módulo criptográfico .............................................................58

6.2.4 Método de activación de la clave privada. ........................................................................................58

6.2.5 Método de desactivación de la clave privada ...................................................................................58

6.2.6 Método de destrucción de la clave privada.......................................................................................58

6.3 CUSTODIA, COPIA Y RECUPERACIÓN DE CLAVES ........................................................................................59

6.3.1 Política y prácticas de custodia, copia y recuperación de claves .....................................................59

6.3.2 Archivo de la clave privada ...............................................................................................................59

6.4 OTROS ASPECTOS DE GESTIÓN DEL PAR DE CLAVES ..................................................................................60

6.4.1 Archivo de la clave pública................................................................................................................60

6.4.2 Periodos de utilización de las claves pública y privada ....................................................................60

6.5 DATOS DE ACTIVACIÓN .............................................................................................................................60

6.5.1 Generación e instalación de los datos de activación ........................................................................60

6.5.2 Protección de datos de activación ....................................................................................................60

6.6 CONTROLES DE SEGURIDAD INFORMÁTICA.................................................................................................60

6.6.1 Requisitos técnicos específicos de seguridad informática ...............................................................60

6.6.2 Evaluación del nivel de seguridad informática..................................................................................61

6.7 CONTROLES TÉCNICOS DEL CICLO DE VIDA ................................................................................................61

6.7.1 Controles de desarrollo de sistemas.................................................................................................61

6.7.2 Controles de gestión de seguridad ...................................................................................................62

6.7.3 Evaluación del nivel de seguridad del ciclo de vida..........................................................................62

6.8 CONTROLES DE SEGURIDAD DE RED..........................................................................................................62

6.9 CONTROLES DE SEGURIDAD DE LOS MÓDULOS CRIPTOGRÁFICOS................................................................62

7 PERFILES DE CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS ........................................64

7.1 PERFIL DE CERTIFICADO ...........................................................................................................................64

7.2 PERFIL DE LA LISTA DE REVOCACIÓN DE CERTIFICADOS ..............................................................................64

8 ESQUEMA DE ADMISIÓN DE PRESTADORES DE SERVICIO DE CERTIFICACIÓN. .............................66

9 AUDITORÍA DE CUMPLIMIENTO.................................................................................................................67

9.1 FRECUENCIA DE LA AUDITORÍA DE CUMPLIMIENTO ......................................................................................67

9.2 IDENTIFICACIÓN Y CALIFICACIÓN DEL AUDITOR ...........................................................................................67

9.3 RELACIÓN DEL AUDITOR CON LA ENTIDAD AUDITADA...................................................................................67






9.4 LISTADO DE ELEMENTOS OBJETO DE AUDITORÍA.........................................................................................67

9.5 ACCIONES A EMPRENDER COMO RESULTADO DE UNA FALTA DE CONFORMIDAD............................................68

9.6 TRATAMIENTO DE LOS INFORMES DE AUDITORÍA.........................................................................................68

10 REQUISITOS LEGALES ...............................................................................................................................69

10.1 CONFIDENCIALIDAD..................................................................................................................................69

10.1.1 Tipo de información que debe protegerse....................................................................................69

10.1.2 Información no sensible ................................................................................................................69

10.1.3 Divulgación de información de suspensión y revocación .............................................................70

10.1.4 Divulgación legal de información ..................................................................................................70

10.1.5 Divulgación de información por petición de su titular ...................................................................70

10.1.6 Otras circunstancias de divulgación de información ....................................................................71

10.2 PROTECCIÓN DE DATOS PERSONALES .......................................................................................................71

10.3 DERECHOS DE PROPIEDAD INTELECTUAL...................................................................................................71

10.3.1 Propiedad de los certificados e información de revocación .........................................................71

10.3.2 Propiedad de la política de certificado y Declaración de Prácticas de Certificación....................72

10.3.3 Propiedad de la información relativa a nombres ..........................................................................72

10.3.4 Propiedad de claves .....................................................................................................................72

10.4 OBLIGACIONES Y RESPONSABILIDAD CIVIL .................................................................................................72

10.4.1 Modelo de obligaciones del prestador de servicios de certificación.............................................73

10.4.2 Garantías ofrecidas a suscriptores y terceros que confían en los certificados ............................74

10.4.3 Rechazo de otras garantías..........................................................................................................75

10.4.4 Limitación de responsabilidades...................................................................................................75

10.4.5 Cláusulas de exención de responsabilidades ..............................................................................75

10.4.6 Caso fortuito y fuerza mayor.........................................................................................................76

10.4.7 Ley aplicable .................................................................................................................................76

10.4.8 Cláusulas de divisibilidad, supervivencia, acuerdo íntegro y notificación ....................................77

10.4.9 Cláusula de jurisdicción competente ............................................................................................77

10.4.10 Resolución de conflictos ...............................................................................................................78






1 Introducción

La Ley para el acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP) establece en el Capítulo Segundo, Título Segundo, los mecanismos de aplicación por las Administraciones Públicas para la identificación y firma electrónica basada en certificados electrónicos. Dentro de la Ley se establecen diversas soluciones a múltiples problemas existentes actualmente en el ámbito de la identificación y firma electrónica de las Administraciones Públicas, entre ellas, hacia los ciudadanos y empresas, y con sus empleados públicos.

Este documento contiene la política general de certificación de la Administración General del Estado, para aquellos certificados descritos en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP). El objeto principal de esta política es el establecimiento de los requisitos y reglas que deben cumplirse para la emisión, gestión y utilización de los certificados electrónicos, de acuerdo con los diferentes estándares aplicables.

A continuación se presenta un único documento cubriendo todos los requisitos de los certificados, considerando los diferentes niveles de aseguramiento definidos para el uso de cada tipo de certificado.

1.1 Presentación

1.1.1 Modelo de certificación

La Administración General del Estado ha definido un modelo de certificación donde se combina la existencia de prestadores públicos de servicios de certificación con la posibilidad que organismos dependientes de la AGE puedan contratar prestadores privados de servicios de certificación.

Dicho modelo contempla una disposición mixta, tratándose de un modelo de libre mercado regulado, en la que prestadores de servicios de certificación privados podrían ser contratados por algún organismo dependiente de la AGE para prestarle servicios de certificación.

Asimismo se crearán Listas de Estado de Servicios de Confianza (TSLs, de acuerdo con la especificación técnica ETSI TS 102 231), estableciendo de esta forma un mecanismo de confianza con referencia a los diferentes prestadores de certificación públicos y privados.






1.1.2 Niveles de Aseguramiento

Basado en los dos niveles de aseguramiento establecidos para los perfiles de los diferentes certificados emitidos conforme a la LAECSP, y en las diferentes modalidades de firma electrónica recogidas en la LFE, los prestadores de servicios de certificación podrán emitir sus certificados conforme el siguiente esquema:

• Nivel medio de aseguramiento: Sistemas de firma electrónica avanzada basada en certificado reconocido, de acuerdo con la legislación de firma electrónica.

• Nivel alto de aseguramiento: Sistemas de firma electrónica reconocida, de acuerdo con la legislación de firma electrónica.

Para más información sobre los niveles de aseguramiento ver el documento “Esquema de identificación y firma electrónica de las Administraciones públicas. Definición del Esquema”.

1.1.3 Tipos y clases de certificados

Se ha definido una tipología de servicios de certificación, con la finalidad de expedir certificados electrónicos para diversos usos y con diferentes perfiles, de acuerdo con la Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP).

Los perfiles de los diferentes certificados contemplados son:

• Certificados de sede electrónica, de acuerdo con el artículo 17 de la LAECSP

• Certificados de sello electrónico para procesos automatizados, de acuerdo con el artículo 18 de la LAECSP

• Certificado de personal al servicio de la administración (empleado público), de acuerdo con el artículo 19 de la LAECSP.

De esta forma se dispondrá de los siguientes tipos de certificados:

• Certificados de sede electrónica de nivel medio, con soporte en contenedor software o hardware.

• Certificados de sede electrónica de nivel alto, con soporte en un dispositivo seguro de creación de firma (HSM).

• Certificados de sello electrónico de nivel medio, con soporte en contenedor software o hardware.

• Certificados de sello electrónico de nivel alto, con soporte en dispositivo seguro de creación de firma (HSM).

• Certificados de empleado público de nivel medio, con soporte en contenedor software o hardware.






• Certificados de empleado público de nivel alto, con soporte en un dispositivo seguro de creación de firma (tarjeta criptográfica o token USB).

1.1.4 Relación entre la política de certificación y otros documentos

Este documento contiene la política general de certificación de la Administración General del Estado.

Una política de certificación es un conjunto de principios y reglas relativos a la emisión, gestión y utilización de certificados electrónicos, con soporte de claves públicas, que pueden utilizarse en diferentes servicios, como la autenticación de la identidad, la integridad y la autenticidad documental o el secreto de los datos, documentos y transmisiones.

La política de certificación establece las reglas mínimas que se tienen que cumplir por parte de las Entidades de Certificación, suscriptores y demás usuarios de certificados.

Todas aquellas Entidades de Certificación que deseen emitir certificados para la Administración General del Estado deben adherirse a ésta política.

Por otro lado, cada Entidad de Certificación debe disponer de una Declaración de Prácticas de Certificación con los procedimientos aplicables a la prestación de sus servicios, en cumplimiento de lo establecido en el artículo 19 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, indicando el grado de aplicación de los requisitos establecidos por las políticas de certificados que gestiona y detallando sus prácticas profesionales en relación con la provisión de los servicios de certificación.

1.2 Nombre del documento e identificación

1.2.1 Identificación de este documento de políticas

Este documento de política de certificación se denomina “Política general de certificación de la Administración General del Estado”, con la siguiente información:

- Versión del documento Versión 1 Revisión 2

- Estado del documento Versión Inicial

- Fecha de emisión

- Fecha de caducidad

Este documento se identifica con el OID: 1.3.6.1.4.1.14862.1.4.x






1.2.2 Identificación de los tipos de certificado

La Administración General del Estado dispondrá al servicio de las Administraciones Públicas, Organismos y Personal de la Administración los siguientes tipos de certificados:

- Certificado de sede electrónica

o Nivel alto.

o Nivel medio.

- Certificado de sello electrónico

o Nivel alto.

o Nivel medio.

- Certificado de empleado público

o Nivel alto:

� Certificado de firma.

� Certificado de autenticación.

� Certificado de cifrado.

o Nivel medio:

� Certificado de firma.

� Certificado de autenticación.

� Certificado de cifrado.

� Combinaciones de los certificados de firma, autenticación y cifrado.

Cada tipo de certificado deberá recibir su propio OID, determinado por el Prestador de servicios de certificación, que se debe incluir dentro del certificado, en el campo Policy Identifier.

1.3 Participantes en los servicios de certificación

Esta política de certificación regula una comunidad de usuarios, que deben obtener certificados, de acuerdo con la Ley 11/2007 (LAECSP), la Ley 59/2003 (LFE) y la normativa administrativa correspondiente.






1.3.1 Prestadores de servicios de certificación

Un prestador de servicios de certificación es una persona física o jurídica que expide certificados o presta otros servicios en relación con la firma electrónica, de acuerdo con la Ley 59/2003, de 19 de diciembre, de firma electrónica.

El prestador de servicios de certificación genera los certificados electrónicos mediante la operación de entidades de certificación de su titularidad, que firman digitalmente los certificados.

En el sistema de certificación de la Administración General del Estado, podrán ofrecer servicios los prestadores siguientes:

- Entidad de Acreditación, que es un prestador que admite, supervisa y acredita entidades de certificación.

- Entidad de Certificación, que es un prestador que emite certificados.

- Entidad de Registro, que es un prestador que registra usuarios.

- Entidad de Validación, que es un prestador que verifica firmas y certificados.

- Entidad de Sellado de Tiempo, que es un prestador que emite sellos de tiempo.

1.3.1.1 Entidad de Acreditación

La entidad de acreditación será el órgano gestor correspondiente que se encargará de admitir, acreditar y supervisar las entidades de certificación.

1.3.1.2 Entidades de Certificación

Podrán actuar como Entidades de Certificación todas aquellas entidades u organismos públicos, así como prestadores públicos o privados, que previamente hayan sido admitidos para dicha actividad por el órgano supervisor correspondiente.

1.3.1.3 Entidades de Registro

Las entidades de registro serán las personas jurídicas que asisten a la Administración General del Estado en las funciones de identificación y autenticación de los suscriptores, así como en otras tareas relativas a la gestión de los certificados.

Tendrán como misión principal la de garantizar que la información contenida en la solicitud del certificado sea completa y veraz.

Las tareas que deberán desempeñar las entidades de registro son:

- Identificación y autenticación de la identidad de las personas que reciben los certificados.






- Entrega de los dispositivos seguros de creación de firma a los suscriptores o responsables del certificado.

- Aprobar la generación de los certificados.

- Almacenamiento de los documentos relacionados con los servicios de certificación.

1.3.1.4 Entidades de Validación

Las entidades de validación son las encargadas de suministrar información sobre la vigencia de los certificados electrónicos emitidos por una Entidad de Certificación. Para proporcionar esta información, las entidades de validación deberán usar los servicios de la TSL, estructura que mantiene la relación de los servicios de certificación admitidos por todas las Administraciones Públicas

En relación con los servicios avanzados de validación (tanto de certificados como de firma electrónica), existen diversos niveles de servicio a ofrecer:

- Verificación de certificados admitidos.

- Verificación de firma electrónica, así como de los diferentes certificados admitidos en que se basa la firma electrónica.

El modelo de organización determinado para proporcionar estos servicios de validación, independientemente del nivel de aseguramiento de los certificados admitidos, es:

- Validación distribuida a través de una red de Entidades de Validación, que contarán con una entidad primaria de validación y con una entidad secundaria de validación como soporte para contingencias.

1.3.1.5 Entidades de Sellado de Tiempo.

La Entidad de Sellado de Tiempo aporta evidencias criptográficas de existencia en un momento determinado, el del sello de tiempo.

Es responsabilidad del prestador el habilitar las aplicaciones que requieran el uso de sello de tiempo y las condiciones de aplicación del mismo.

Cuando un prestador emita certificados electrónicos, bajo las especificaciones indicadas por esta política, con un nivel de aseguramiento medio podrá prestar voluntariamente los servicios de sellado de fecha y hora, pero regulando las condiciones mínimas para ello, como precisión, fuentes de fecha y hora, políticas y otros aspectos tal y como determinada la ETSI TS 102 023. Esta opción implica, esencialmente, el empleo de sistemas seguros, análogos a los de una entidad de certificación, para emitir sellos de fecha y hora, sincronizados con la hora oficial y con mecanismos que garantizan una precisión de un segundo.

Cuando un prestador emita certificados electrónicos, bajo las especificaciones indicadas por esta política, con un nivel de aseguramiento alto deberá prestar obligatoriamente los servicios de sellado de fecha y hora según determina la ETSI TS 102 023. La AGE podrá imponer






condiciones específicas o adicionales a dicha norma para adaptarla a la normativa española o mejorar los niveles de calidad exigidos.

1.3.2 Usuarios finales

Los usuarios finales son las entidades/ personas que disponen y utilizan certificados de sede, de sello y de empleado público emitidos por las Entidades de Certificación, y, en concreto, podemos distinguir los siguientes usuarios finales:

a) Los solicitantes de certificados.

b) Los suscriptores o responsables de certificados.

c) Los verificadores de firmas y certificados.

1.3.2.1 Solicitantes de certificados

Todo certificado tiene que ser solicitado por una persona, en su propio nombre, en nombre de una institución o en nombre de otra persona física o jurídica.

Pueden ser solicitantes:

a) La persona que será el futuro suscriptor o responsable del certificado.

b) Una persona autorizada por el futuro suscriptor o responsable del certificado.

c) Una persona autorizada por la Entidad de Certificación.

La autorización del solicitante podrá realizarse tanto de forma expresa como tácita, y en aquellos casos en los que la entidad de certificación lo considere conveniente podrá formalizarse documentalmente, debiendo detallarse en la Declaración de Prácticas de Certificación correspondiente este procedimiento de autorización.

1.3.2.2 Suscriptores de certificados

Los suscriptores son las AAPP y las personas, físicas o jurídicas, así identificadas en el campo “Subject” del certificado.

En los certificados de sede y de sello, dentro del campo “Subject” (concretamente en el atributo Common Name) también se identifica el dispositivo o servidor.

Para los certificados de empleado público, el suscriptor y el último garante del certificado, salvo en lo que respecta al uso, es la administración u organismo público donde trabaja el empleado, que deberá:

• Indicar al empleado el ámbito de uso correcto del certificado, mostrando las restricciones de uso fuera del entorno laboral.






• Aportar y mantener operativos los medios para poder utilizar el certificado (lectores, controladores, etc.).

1.3.2.3 Responsable de certificados

Los responsables de certificados son las personas físicas así identificadas en el objeto “Identidad Administrativa” dentro de la extensión SubjectAltName. Opcionalmente el responsable del certificado puede estar identificado en los campos “Given Name” y “Surname” del “Subject” del certificado.

Para los certificados de empleado público, el responsable o titular del mismo deberá:

• Mantener operativo el certificado durante el tiempo que se mantenga su condición de empleado público.

• Aportar y utilizar el certificado cuando así se lo exijan los sistemas y aplicaciones informáticas de la Administración.

• Restringir su uso fuera del entorno laboral, tal y como indique la administración u organismo público responsable.

1.3.2.4 Verificadores de certificados

Los verificadores son las personas (incluyendo personas físicas, AAPP, personas jurídicas y otras organizaciones y entidades) que reciben firmas digitales y certificados electrónicos y tienen que verificarlos, como paso previo a confiar en las mismas.

1.4 Administración de la política

1.4.1 Organización que administra el documento

Administración General del Estado

Calle

CP – Población

1.4.2 Datos de contacto de la organización

Administración General del Estado

Calle

CP – Población

Dirección de correo electrónico






Teléfono – Fax

1.4.3 Procedimiento de gestión del documento

La Administración General del estado determinará el órgano supervisor responsable de la definición, revisión y publicación de esta Política. El órgano supervisor correspondiente revisará esta política al menos una vez al año. Errores, actualizaciones o mejoras sobre este documento, deberán comunicarse al contacto identificado en la sección 1.4.2. Toda comunicación deberá incluir una descripción del cambio, su justificación y la información de la persona que solicita la modificación. Todos los cambios aprobados en esta Política, serán difundidos a todas las partes interesadas.

1.4.4 Procedimiento de Publicación

El órgano gestor correspondiente publicará la Política de certificación en un repositorio público accesible a todos los ciudadanos y prestadores.






2 Publicación de información y repositorio de certificados

2.1 Repositorio(s) de certificados

Las Entidades de Certificación de la Administración General del Estado deberán disponer de un Repositorio de certificados.

El servicio de Repositorio estará disponible durante las 24 horas de los 7 días de la semana y, en caso de fallo del sistema fuera de control del prestador de servicios de certificación, éste realizará sus mejores esfuerzos para que el servicio se encuentre disponible de nuevo en el plazo establecido en la sección 5.7.4 de este documento y en la correspondiente Declaración de Prácticas de Certificación aplicable.

Los prestadores de servicios de certificación deberán mantener, en su repositorio de informaciones, las siguientes:

a) La documentación de servicio exigible, debidamente actualizada.

b) Todas las versiones anteriores de la citada documentación, con indicación de los periodos y certificados en que resultaron aplicables.

Dicha documentación deberá mantenerse publicada durante un período mínimo de quince años desde la emisión del certificado (Apartado 2.6 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

Los prestadores de servicios de certificación deberán cumplir las obligaciones de registro y archivo de informaciones adecuadas a la duración de los diferentes tipos de documentos y expedientes electrónicos empleados por la Administración, que podrá estipular periodos mínimos para cada tipo de documentos y expediente.

En todo caso, los prestadores de servicios de certificación deberán mantener la justificación documental que acredite la aceptación del certificado emitido de forma permanente, sin que dicha acreditación documental pueda ser destruida en ningún momento.

2.2 Publicación de información de la Entidad de Certificación

El prestador de servicios de certificación publicará las siguientes informaciones, en su Repositorio:

• Los certificados emitidos, incluidos los certificados de Entidades de Certificación.

• Las listas de certificados revocados y otras informaciones de estado de revocación de los certificados.






• La política general de certificación de la Administración General del Estado, así como cualesquiera políticas específicas de certificados dictadas por el prestador de servicios de certificación para desarrollar ulteriores requisitos, dentro del marco de esta política.

• Las Declaraciones de Prácticas de Certificación.

• En su caso, los documentos de condiciones generales vinculantes con suscriptores y terceros que confían en los certificados.

2.3 Frecuencia de publicación

La información anteriormente indicada, incluyendo políticas y la Declaración de Prácticas de Certificación, se publicará en cuanto se encuentre disponible.

Los cambios en los documentos de política y en la Declaración de Prácticas de Certificación se regirán por lo establecido en la sección 1.4 del documento de política o Declaración de Prácticas de Certificación.

La información de estado de revocación de certificados se publicará de acuerdo con lo establecido en las secciones 4.9.7 y 4.9.9 de esta política.

2.4 Control de acceso

El prestador de servicios de certificación no limitará el acceso de lectura a las informaciones establecidas en la sección 2.2, pero establecerá controles para impedir que personas no autorizadas puedan añadir, modificar o borrar registros del Repositorio, para proteger la integridad y autenticidad de la información de estado de revocación.

El prestador de servicios de certificación empleará sistemas fiables para el Repositorio, de modo tal que:

• Únicamente personas autorizadas puedan hacer anotaciones y modificaciones.

• Pueda comprobarse la autenticidad de la información.

• Los certificados sólo estén disponibles para consulta si el suscriptor o responsable del certificado ha prestado su consentimiento.

• Pueda detectarse cualquier cambio técnico que afecte a los requisitos de seguridad.






3 Identificación y autenticación

3.1 Gestión de nombres

3.1.1 Tipos de nombres

Todos los certificados contendrán un nombre distintivo (DN) de la persona y/o organización, identificados en el certificado, definido de acuerdo con lo previsto en la Recomendación ITU-T X.501 y contenido en el campo Subject, incluyendo un componente Common Name.

Las circunstancias personales y atributos de las personas y organizaciones identificadas en los certificados deberán incluirse en atributos predefinidos en normas y especificaciones técnicas ampliamente utilizadas en el sector o sectores de actividad donde deban emplearse los certificados.

Se recomienda, cumplir con la normativa RFC 3280 (x.509 Public Key Infraestructure, Certificate and Certificate Revocation List (CRL) Profile)

3.1.2 Normalización e Identidad Administrativa

Los prestadores de servicios de certificación utilizarán el esquema de nombres normalizado propuesto por la AGE para cada tipo y perfil de certificado emitido: la “Identidad Administrativa”. De este modo se utiliza un marco común para facilitar la utilización de los certificados y la identificación del suscriptor del certificado, asignando exactamente el mismo nombre a sellos, sedes, organizaciones, puestos y unidades, etc. para toda la Administración Pública Estatal.

Ver documento “Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque I: Perfiles de certificados electrónicos”.

Esta "Identidad Administrativa " se construirá de forma que se disponga de toda la información de forma homogénea dentro del certificado, especialmente debido a que algunos componentes de los nombres tienen semántica diferente, en función del tipo de certificado.

El objeto Identidad Administrativa utilizará el número ISO/IANA del MAP 1.3.6.1.4.1.14862.1.4.x.x como base para identificarlo, de este modo se establecería un identificador unívoco a nivel internacional.

1.3.6.1.4.1.14862.1.4.2.1=SEDE ELECTRONICA ADMINISTRATIVA (Nivel Alto)

1.3.6.1.4.1.14862.1.4.2.2=SEDE ELECTRONICA ADMINISTRATIVA (Nivel Medio)

1.3.6.1.4.1.14862.1.4.3.1=SELLO ELECTRONICO PARA LA ACTUACION AUTOMATIZADA (Nivel Alto)






1.3.6.1.4.1.14862.1.4.3.2=SELLO ELECTRONICO PARA LA ACTUACION AUTOMATIZADA (Nivel Medio)

1.3.6.1.4.1.14862.1.4.4.1=EMPLEADO PUBLICO (Nivel Alto)

1.3.6.1.4.1.14862.1.4.4.2=EMPLEADO PUBLICO (Nivel Medio)

CERTIFICADO CAMPOS “IDENTIDAD ADMINISTRATIVA” FIJOS

SEDE ELECTRÓNICA ADMINISTRATIVA

• Tipo de certificado • Nombre de la entidad suscriptora • NIF entidad suscriptora • Nombre descriptivo de la sede electrónica • Denominación de nombre de dominio IP

SELLO ELECTRÓNICO PARA LA ACTUACIÓN AUTOMATIZADA

• Tipo de certificado • Nombre de la entidad suscriptora • NIF entidad suscriptora • Denominación de sistema o componente

EMPLEADO PÚBLICO • Tipo de certificado • Nombre de la entidad suscriptora • NIF entidad suscriptora • DNI/NIE del responsable • Nombre de pila • Primer apellido • Segundo apellido

CERTIFICADO CAMPOS “IDENTIDAD” ADMINISTRATIVA OPCIONALES

SEDE ELECTRÓNICA ADMINISTRATIVA

• Ninguno

SELLO ELECTRÓNICO PARA LA ACTUACIÓN AUTOMATIZADA

• DNI/NIE del responsable • Nombre de pila • Primer apellido • Segundo apellido • Correo electrónico

EMPLEADO PÚBLICO • Número de identificación de personal • Correo electrónico • Unidad organizativa • Puesto o cargo






3.1.3 Significado de los nombres

Los nombres de los certificados serán comprensibles e interpretados de acuerdo con la legislación aplicable a los nombres de las personas físicas y jurídicas titulares de los certificados.

Los nombres incluidos en los certificados serán tratados de acuerdo con las siguientes normas:

• Se codificará el nombre tal y como aparece en la documentación acreditativa.

• Se podrán eliminar los acentos, para garantizar la mayor compatibilidad técnica posible.

• Los nombres podrán ser adaptados y reducidos, al objeto de garantizar el cumplimiento de los límites de longitud aplicables a cada campo del certificado.

3.1.4 Uso de anónimos y seudónimos

No se permiten (Apartado 3.3 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

3.1.5 Interpretación de formatos de nombres

Ver documento “Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque I: Perfiles de certificados electrónicos”

3.1.6 Unicidad de los nombres

Los nombres de los suscriptores de certificados serán únicos, para cada servicio de generación de certificados operado por una Entidad de Certificación y para cada tipo de certificado; es decir, una persona podrá tener a su nombre certificados de tipos diferentes expedidos por la misma Entidad de Certificación.

También podrá tener certificados a su nombre del mismo tipo expedidos por diferentes Entidades de Certificación.

No se podrá volver a asignar un nombre de suscriptor que ya haya sido ocupado, a un suscriptor diferente.






3.1.7 Resolución de conflictos relativos a nombres

Los solicitantes de certificados no incluirán nombres en las solicitudes que puedan suponer infracción, por el suscriptor, de derechos de terceros.

La Entidad de Certificación no deberá determinar que un solicitante de certificados tiene derecho sobre el nombre que aparece en una solicitud de certificado.

Así mismo, no actuará como árbitro o mediador, ni de ninguna otra manera deberá resolver ninguna disputa concerniente a la propiedad de nombres de personas u organizaciones, nombres de dominio, marcas o nombres comerciales.

La Entidad de Certificación se reserva el derecho de rehusar una solicitud de certificado por causa de conflicto de nombre.

Los conflictos de nombres de responsables de certificados que aparezcan identificados en los certificados con su nombre real se solucionan mediante la inclusión, en el nombre distintivo del certificado, del DNI del responsable del certificado o de otro identificador asignado por el suscriptor.

3.2 Validación inicial de la identidad

En esta sección se establecen requisitos relativos a los procedimientos de identificación y autenticación que deben emplearse durante el registro de suscriptores y responsables de certificados, que debe realizarse con anterioridad a la emisión y entrega de certificados.

3.2.1 Prueba de posesión de clave privada

Esta sección describe los métodos a emplear para demostrar que se posee la clave privada correspondiente a la clave pública objeto de certificación.

El método de demostración de posesión de la clave privada será mediante solicitudes basadas en el estándar PKCS #10, otra prueba criptográfica equivalente o cualquier otro método fiable aprobado por el prestador de servicios de certificación.

Este requisito no se aplica cuando el par de claves es generado por la entidad de registro, por delegación del suscriptor, durante el proceso de personalización o de entrega del dispositivo seguro de creación de firma al suscriptor o responsable del certificado.

En este caso, la posesión de la clave privada se demuestra en virtud del procedimiento fiable de entrega y aceptación del dispositivo seguro y del correspondiente certificado y par de claves almacenados en su interior.






3.2.2 Autenticación de la identidad de una organización

No será necesario autenticar la identidad de las administraciones y otras organizaciones que actúan como entidades de registro, dado que dicha identidad ya ha sido debidamente autenticada previamente con el prestador de servicios de certificación.

3.2.3 Autenticación de la identidad de una persona física

Esta sección contiene requisitos para la comprobación de la identidad de una persona física identificada en un certificado. Cada prestador de servicios de certificación deberá detallar en la Declaración de Prácticas de Certificación correspondiente los procedimientos seguidos para autenticar la identidad de los subscriptores, guardando además un registro que permita la trazabilidad de los certificados emitidos.

3.2.3.1 Elementos de identificación requeridos

El órgano gestor correspondiente establecerá el número y los tipos de documentos que sean necesarios para acreditar la identidad del suscriptor, pudiendo emplear:

• Para la identificación personal del titular del certificado:

- DNI, NIE o Pasaporte para acceder al Nombre de pila, el primer y el segundo apellidos.

- El nombre de la entidad a la que está suscrito el empleado

- Número de identificación fiscal de la entidad

• Opcionalmente:

- Unidad de destino a la que está suscrita la persona

- Cargo o puesto de trabajo

- Número de identificación de personal (NIP, NRP…)

- Dirección de correo electrónico

3.2.3.2 Validación de los elementos de identificación

La información de identificación de titulares de certificados se realiza contrastando la información de la solicitud con la documentación aportada, electrónicamente o en soporte físico, por parte de la entidad de registro correspondiente.

3.2.3.3 Necesidad de presencia personal

Se requerirá, normalmente, presencia física directa del solicitante de certificados y, en su caso, de la persona física a identificar en el mismo, para la obtención de certificados.






Se pueden emplear, también, métodos basados en la presencia física indirecta, cuando la validación de la identidad se ha producido en forma personal anteriormente y los registros de la AAPP se mantienen permanentemente actualizados.

Se deberá garantizar, en cualquier caso, la entrega y aceptación del certificado por el suscriptor o responsable del certificado.

3.2.3.4 Vinculación de la persona física con una organización

Se deberá identificar y autenticar la vinculación de la persona física con la AAPP mediante los procedimientos adecuados.

3.2.4 Información de suscriptor no verificada

No se podrá incluir información de suscriptor no verificada en los certificados.

3.3 Identificación y autenticación de solicitudes de renovación

3.3.1 Validación para la renovación rutinaria de certificados

Se podrán renovar certificados, durante su periodo de vigencia o en un plazo máximo de tres meses después de su expiración.

Antes de renovar un certificado, el prestador de servicios de certificación o las entidades de registro correspondientes deberán comprobar que la información empleada para verificar la identidad y los restantes datos del suscriptor o responsable del certificado continúan siendo válidos.

Se podrá emplear la firma electrónica basada en un certificado vigente para solicitar la renovación del mismo, siempre antes de su expiración y cuando le conste al prestador de servicios de certificación que el período de tiempo transcurrido desde la anterior identificación con presencia física es menor de cinco años (según indica la Ley 59/2003, de 19 de diciembre, de firma electrónica). Si cualquier información del suscriptor o responsable del certificado hubiere cambiado, se registrará adecuadamente la nueva información, de acuerdo con lo establecido en la sección 3.2.

3.3.2 Validación para la renovación de certificados después de la revocación

No se podrán renovar certificados que hayan sido revocados en ningún caso, debiéndose proceder a una nueva solicitud y validación de la identidad, de acuerdo con lo establecido en la sección 3.2






3.4 Identificación y autenticación de la solicitud de revocación

El prestador de servicios de certificación deberá autenticar las peticiones e informes relativos a la revocación de un certificado, comprobando que provienen de una persona autorizada.

Dichas peticiones e informes serán confirmados cumpliendo los procedimientos establecidos en la Declaración de Prácticas de Certificación correspondiente, pudiendo consistir en mecanismos de autenticación basados en conocimiento de información previamente suministrada o acordada con el prestador de servicios de certificación durante el procedimiento de emisión de los certificados.

3.5 Autenticación de una petición de suspensión

Al igual que en la solicitud de revocación, el prestador de servicios de certificación deberá autenticar las peticiones e informes relativos a la suspensión de un certificado, comprobando que provienen de una persona autorizada.

Dichas peticiones e informes serán confirmados cumpliendo los procedimientos establecidos en la Declaración de Prácticas de Certificación correspondiente, pudiendo consistir en mecanismos de autenticación basados en conocimiento de información previamente suministrada o acordada con el prestador de servicios de certificación durante el procedimiento de emisión de los certificados.






4 Requisitos de operación del ciclo de vida de los certificados

4.1 Solicitud de emisión de certificado

4.1.1 Legitimación para solicitar la emisión

Antes de la emisión y entrega de un certificado, debe existir una solicitud previa, que será a instancia de parte en los certificados de sede electrónica y de sello, y de oficio por el organismo responsable en los certificados de empleado público.

De esta forma, los certificados de empleado público se solicitan de oficio por la Administración u Organismo responsable, sin solicitud previa del titular, cuando éste accede a su puesto de trabajo o cargo. No requiere el consentimiento expreso del empleado, que únicamente deberá firmar un recibí por los certificados o tarjeta criptográfica entregados.

4.1.1.1 Especificaciones para los certificados de empleado público

Para los procedimientos que se cursen con el nivel alto de aseguramiento será necesaria la identificación inicial con presencia física ya sea en la solicitud o en la entrega del certificado.

Para los procedimientos que se cursen con el nivel normal de aseguramiento será necesaria la identificación pero no será imprescindible la presencia física. La identificación se basará en los certificados ya vigentes o en bases de datos administrativas.

4.1.1.2 Especificaciones para los certificados de sello electrónico

Será necesaria la identificación de la persona que actúa como responsable del certificado.

En los casos en que el certificado de sello incorpore un órgano, éste deberá identificarse mediante la documentación apropiada. Ver documento "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE".

4.1.1.3 Especificaciones para los certificados de sede

Será necesaria la identificación de la persona que actúa como responsable del certificado.

Será necesario la comprobación de la existencia y titularidad del servidor y nombre de dominio.






4.1.2 Procedimiento de alta; Responsabilidades

La entidad que realice el registro debe asegurarse de que las solicitudes de certificado son completas, precisas y están debidamente autorizadas.

Antes de la emisión y entrega del certificado, la entidad que realice el registro informará al suscriptor o responsable del certificado de los términos y condiciones aplicables al certificado.

La citada información se comunicará en soporte duradero, en papel o electrónicamente, y en lenguaje fácilmente comprensible.

La solicitud se deberá acompañar con la documentación justificativa de la identidad y otras circunstancias del solicitante y del futuro suscriptor, de acuerdo con lo establecido en las secciones 3.2.2 y 3.2.3 de esta política de certificados.

Podrán ejercer la función de registro, el prestador de servicios de certificación, un colaborador de dicho prestador o se podrá delegar el registro a la entidad a la que se emiten los certificados.

4.2 Procesamiento de la solicitud de certificación

Una vez haya tenido lugar una petición de certificado, la Entidad de Certificación tiene que verificar la información proporcionada, conforme a la sección correspondiente de esta política.

Si la información no es correcta, la Entidad de Certificación denegará la petición. En caso que los datos se verifiquen correctamente, la Entidad de Certificación aprobará el certificado.

4.2.1 Especificaciones para los certificados de empleado público

Adicionalmente a la información contenida en la solicitud, la Entidad de Certificación tendrá que:

• Incluir en el certificado las informaciones establecidas en el artículo 11 de la Ley 59/2003, de acuerdo con lo establecido en la sección 7 de esta política.

• Garantizar la fecha y la hora en que se expidió un certificado

• En caso que la Entidad de Certificación aporte su dispositivo seguro de creación de firma, utilizar un procedimiento de gestión de dispositivos seguros de creación de firma que garantice que dicho dispositivo es entregado de forma confiable al suscriptor o responsable del certificado.

• Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad técnica y, en su caso, criptográfica de los procesos de certificación a los que sirven de soporte.






• Asegurarse que el certificado es emitido por sistemas que utilicen protección contra falsificación y, en caso que la Entidad de Certificación genere claves privadas, que garanticen el secreto de las claves durante el proceso de generación de dichas claves.

4.2.2 Especificaciones para los certificados de sede electrónica / sello

Una vez aprobada la solicitud de certificado de sede electrónica, la Entidad de Certificación, o la Entidad de Registro autorizada, se pondrá en contacto con el responsable de la instalación del certificado, para determinar el mecanismo de remisión de la clave pública a certificar, de acuerdo con lo establecido en la sección correspondiente.

Después de la recepción, en condiciones de seguridad, de la clave pública, se procederá a la emisión del certificado y a su entrega.

4.3 Emisión de certificado

4.3.1 Acciones de la Entidad de Certificación durante el proceso de emisión

Después de la aprobación de la solicitud de certificación se procederá a la emisión del certificado, de forma segura y se pondrá el certificado a disposición del suscriptor o responsable del certificado, para la aceptación de este, de acuerdo con lo establecido en la sección correspondiente.

Los procedimientos establecidos en esta sección también se aplicarán en caso de renovación de certificados, ya que ésta implica la emisión de un nuevo certificado.

La Entidad de Certificación deberá:

- Utilizar un procedimiento de generación de certificados que vincule de forma segura el certificado con la información de registro, incluyendo la clave pública certificada.

- En caso que la Entidad de Certificación genere el par de claves, utilizar un procedimiento de generación de certificados vinculado de forma segura con el procedimiento de generación de claves y, que la clave privada es entregada de forma segura al suscriptor o responsable del certificado.

- Proteger la confidencialidad e integridad de los datos de registro, especialmente en caso de que sean intercambiados con el suscriptor o responsable del certificado.

- Publicar en el repositorio los certificados emitidos con un usuario de escritura específicamente habilitado a dicho fin, con los permisos granulares de acceso y controles de seguridad regulados y necesarios para ello, garantizando la seguridad de las comunicaciones.

Adicionalmente, la Entidad de Certificación tendrá que:






- Incluir en el certificado las informaciones establecidas en el artículo 11.2 de la Ley 59/2003.

- Indicar la fecha y la hora en las que se expidió un certificado.

- En caso de que la Entidad de Certificación aporte el dispositivo seguro de creación de firma, utilizar un procedimiento de gestión de dispositivos seguros de creación de firma que asegure que este dispositivo es entregado de forma segura al suscriptor o responsable del certificado.

- Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad técnica y, en su caso, criptográfica de los procesos de certificación a los que sirven de soporte.

- Tomar medidas contra la falsificación de certificados y, en caso que la Entidad de Certificación genere claves privadas, que garanticen el secreto de las claves durante el proceso de generación de estas claves.

4.3.2 Notificación de la emisión al suscriptor

La Entidad de Certificación tendrá que notificar al solicitante la aprobación o denegación de la solicitud.

También se notificará al suscriptor que se ha creado el certificado, se encuentra disponible y la forma de obtenerlo.

4.4 Entrega y aceptación del certificado

4.4.1 Responsabilidades de la Entidad de Certificación

La Entidad de Certificación deberá:

- Si no lo ha hecho antes, y cuando resulte necesario, acreditar la identidad del suscriptor o responsable del certificado, de acuerdo con lo establecido en las secciones 3.1 de esta política.

- Proporcionar al suscriptor acceso al certificado.

- Entregar, en su caso, el dispositivo criptográfico de firma, verificación de firma, cifrado o descifrado.

- Entregar, en su caso, una hoja de entrega del certificado con los siguientes contenidos mínimos:

o Información básica sobre la política y uso del certificado, incluyendo especialmente información sobre la Entidad de Certificación y la Declaración de Prácticas de Certificación aplicable, así como sus obligaciones, facultades y responsabilidades.

o Información sobre el certificado y el dispositivo criptográfico.






o Reconocimiento del subscriptor de recibir el certificado y, en su caso, el dispositivo criptográfico, y aceptación de dichos elementos.

o Obligaciones del responsable del certificado.

o Responsabilidad del responsable del certificado.

o Método de imputación exclusiva al responsable de su clave privada y de sus datos de activación del certificado y, en su caso, del dispositivo criptográfico, de acuerdo con lo establecido en las secciones correspondientes de esta política.

o La fecha del acto de entrega y aceptación.

4.4.2 Conducta que constituye aceptación del certificado

El certificado se podrá aceptar mediante la firma de la hoja de suscriptor y, cuando ocurra, de la hoja del responsable del certificado.

También se podrá aceptar el certificado mediante un mecanismo telemático de activación del certificado.

4.4.3 Publicación del certificado

Los certificados se podrán publicar, en todo caso, sin el consentimiento previo de los responsables de certificado.

4.4.4 Notificación de la emisión a terceros

No aplicable.

4.5 Uso del par de claves y del certificado

4.5.1 Requisitos generales de uso

Los certificados se utilizarán de acuerdo con su función propia y finalidad establecida, sin que puedan utilizarse en otras funciones y con otras finalidades. De la misma forma, los certificados tendrán que utilizarse únicamente de acuerdo con la ley aplicable, especialmente teniendo en cuenta las restricciones de importación y exportación existentes en cada momento.

La extensión Key Usage se utilizará para establecer límites técnicos a los usos que puede darse a una clave privada correspondiente a una clave pública listada en un certificado X.509v3.






Sin embargo, se debe tener en cuenta que la efectividad de las limitaciones basadas en extensiones de certificados depende en ocasiones de la operación de aplicaciones informáticas que no han sido fabricadas, ni pueden estar controladas, por las Entidades de Certificación.

Los certificados podrán utilizarse con un dispositivo seguro de creación de firma electrónica, que cumpla los requisitos establecidos por el artículo 24 de la Ley 59/2003, de 19 de diciembre, con esta política y con las correspondientes condiciones adicionales.

4.5.2 Uso por los suscriptores

Las subscriptores deberán:

• Proteger sus claves privadas en todo momento, conforme a lo establecido en esta política, y tal y como se estipule en su acuerdo de aceptación del certificado. En especial, los suscriptores de un certificado deben ser especialmente diligentes en la custodia de su dispositivo seguro de creación de firma, con la finalidad de evitar usos no autorizados.

• Utilizar el par de claves exclusivamente para firmas electrónicas, ateniéndose a todos los términos, condiciones y restricciones exigidos en el uso de sus claves privadas y certificados.

• Notificar en los plazos adecuados, a la Entidad de Certificación que haya proporcionado el certificado, la sospecha de compromiso de clave o su pérdida. Esta notificación deberá realizarse directamente o indirectamente por mecanismos previstos en la Declaración de Prácticas de Certificación de la entidad emisora.

Si el suscriptor genera sus propias claves, se obliga a:

• Generar sus claves de suscriptor utilizando un algoritmo reconocido como aceptable para la firma electrónica reconocida.

• Crear, en su caso, las claves dentro del dispositivo seguro de creación de firma.

• Utilizar longitudes y algoritmos de clave reconocidos como aceptables para la firma electrónica reconocida.

4.5.3 Uso por un tercero que confía en los certificados

Es obligación de aquellas terceras partes que confían en los certificados emitidos por una Entidad de Certificación tal y como se describe en la presente política:

• Utilizar los certificados para los propósitos para los cuales fueron emitidos, tal y como se detalla en la información del certificado (por ejemplo, lo definido en la extensión “key usage”).






• Controlar que cada certificado que se utilice es válido según lo establecido en los estándares X.509 y RFC 3280.

• Establecer la confianza en la Entidad de Certificación que ha emitido el certificado verificando la cadena de certificación de acuerdo con las recomendaciones del estándar X.509 versión 3 y la RFC 3280.

• Utilizar los certificados emitidos bajo esta política sólo para aquellas transacciones que estén sujetas a lo indicado en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) o la Declaración de Prácticas de Certificación de la entidad emisora.

4.6 Renovación de certificados sin renovación de claves

Cuando se solicite la renovación de un certificado sin renovación del par de claves, la Entidad de Registro tendrá que comprobar que este par de claves aun es criptográficamente confiable.

En caso que así se considere, la Entidad de Registro deberá verificar que los datos de registro continúan siendo válidos y, si algún dato ha cambiado éste deberá ser verificado, guardado y el suscriptor deberá estar de acuerdo con él, tal y como se especifica en la sección correspondiente de esta política.

Si las condiciones jurídicas de prestación del servicio han variado desde la emisión del certificado, será necesario que la Entidad de Certificación o, cuando corresponda, la Entidad de Registro, informen de este hecho al solicitante.

El procedimiento aplicable a la renovación sin renovación de claves requerirá la recuperación segura de los dispositivos criptográficos donde residen las claves, antes de, en su caso, proceder al borrado seguro del dispositivo y a la nueva generación del certificado.

El procedimiento aplicable a la renovación sin renovación de claves de estos certificados podrá basarse en la existencia previa de un certificado vigente, siempre que el par de claves de este certificado sea criptográficamente fiable para el nuevo plazo de vigencia del nuevo certificado, y que no exista la sospecha del compromiso de la clave privada del suscriptor o del responsable del certificado.

4.7 Renovación de certificado con renovación de claves

Cuando se solicite la renovación de un certificado con renovación del par de claves, la Entidad de Registro tendrá que verificar que los datos de registro continúan siendo válidos y, si algún dato ha cambiado éste deberá ser verificada, guardada y el suscriptor deberá estar de acuerdo con ella, tal y como se especifica en la sección correspondiente de esta política.

Si las condiciones jurídicas de prestación del servicio han variado desde la emisión del certificado, será necesario que la Entidad de Certificación o bien, la Entidad de Registro informen de este hecho al solicitante.






El procedimiento aplicable a la renovación del certificado será el mismo que para la emisión de un certificado completamente nuevo.

4.8 Modificación de certificados

Se podrá proceder a la modificación de certificados cuando los atributos del suscriptor o del responsable del certificado, que no formen parte del control de unicidad previsto por esta política, hayan variado.

El procedimiento para la modificación será el mismo que el procedimiento de renovación de certificados sin renovación de claves, manteniendo el mismo número de serie del certificado.

4.9 Revocación y suspensión de certificados

La Entidad de Certificación tendrá que detallar en su Declaración de Prácticas de Certificación los siguientes aspectos:

a) Quien puede solicitar la revocación.

b) Como se remitirá la solicitud.

c) Los requisitos de confirmación de solicitudes de revocación.

d) Si se pueden suspender certificados, y las causas de suspensión.

e) Los mecanismos utilizados para distribuir información de estado de revocación.

f) El máximo retraso entre la recepción de la solicitud y la disponibilidad para verificadores del cambio del estado de revocación, que no podrá superar en ningún caso el plazo de un día.

4.9.1 Causas de revocación de certificados

Una Entidad de Certificación podrá revocar un certificado por la concurrencia de las siguientes causas:

1. Circunstancias que afecten la información contenida en el certificado

• Modificación de alguno de los datos contenidos en el certificado.

• Descubrimiento que alguno de los datos aportados en la solicitud de certificado es incorrecto, así como la alteración o modificación de las circunstancias verificadas para la expedición del certificado.

• Descubrimiento que alguno de los datos contenidos en el certificado es incorrecto.






2. Circunstancias que afectan la seguridad de la clave o del certificado

• Compromiso de la clave privada o de la infraestructura o sistemas de la Entidad de Certificación que emitió el certificado, siempre que afecte a la fiabilidad de los certificados emitidos a partir de este incidente.

• Infracción, por la Entidad de Certificación, de los requisitos previstos en los procedimientos de gestión de certificados, establecidos en la DPC de la Entidad de Certificación.

• Compromiso o sospecha de compromiso de la seguridad de la clave o del certificado del suscriptor o del responsable de certificado.

• Acceso o utilización no autorizada, por un tercero, de la clave privada del suscriptor o del responsable de certificado.

• El uso irregular del certificado por el suscriptor o del responsable de certificado, o falta de diligencia en la custodia de la clave privada.

3. Circunstancias que afectan la seguridad del dispositivo criptográfico

• Compromiso o sospecha de compromiso de la seguridad del dispositivo criptográfico.

• Pérdida o inutilización por daños del dispositivo criptográfico.

• Acceso no autorizado, por un tercero, a los datos de activación del suscriptor o del responsable de certificado

4. Circunstancias que afectan el suscriptor o responsable del certificado.

• Finalización de la relación entre Entidad de Certificación Vinculada y suscriptor o responsable del certificado.

• Modificación o extinción de la relación jurídica subyacente o causa que provocó la emisión del certificado al suscriptor o responsable del certificado.

• Infracción por el solicitante del certificado de los requisitos preestablecidos para la solicitud de éste.

• Infracción por el suscriptor o responsable del certificado, de sus obligaciones, responsabilidad y garantías, establecidas en el instrumento jurídico correspondiente o en la Declaración de Prácticas de Certificación de la Entidad de Certificación que le emitió el certificado.

• La incapacidad sobrevenida o la muerte del suscriptor o responsable del certificado.

• La extinción de la persona jurídica suscriptora del certificado, así como la finalidad de la autorización del suscriptor al responsable del certificado o la finalización de la relación entre suscriptor y responsable del certificado.

• Solicitud del suscriptor de revocación del certificado, de acuerdo con lo establecido en la sección 3.4 de esta política.

5. Otras circunstancias






• La suspensión del certificado digital por un periodo superior al establecido en la sección 1.1.14.9.16 de esta política.

• La finalización del servicio de la Entidad de Certificación, de acuerdo con lo establecido en la sección 5.8 de esta política.

Si la entidad a la que se dirige la solicitud de revocación no dispone de toda la información necesaria para determinar la revocación de un certificado, pero tiene indicios de su compromiso puede decidir la suspensión.

En este caso se considerará que las actuaciones realizadas durante el periodo de suspensión no son válidas, siempre que el certificado finalmente sea revocado. Serán válidas si se levanta la suspensión y el certificado vuelve a pasar a la situación de válido.

El instrumento jurídico que vincula a la Entidad de Certificación con el suscriptor establecerá que el suscriptor tendrá que solicitar la revocación del certificado en caso de tener conocimiento de alguna de las circunstancias indicadas anteriormente.

4.9.2 Legitimación para solicitar la revocación

Podrán solicitar la revocación de un certificado:

• El suscriptor a cuyo nombre fue emitido el certificado (en el caso de los certificados de empleado público las revocaciones – así como las suspensiones y retiradas de tarjeta criptográfica en su caso – podrán ser solicitadas por la Administración u Organismo público que solicitó el certificado para el empleado).

• Un representante autorizado por el suscriptor o el responsable del certificado.

• La Entidad de Registro que solicitó la emisión del certificado.

4.9.3 Procedimientos de solicitud de revocación

La Entidad de Certificación deberá tener en cuenta las siguientes reglas:

La entidad que necesite revocar un certificado tiene que solicitarlo a la Entidad de Certificación o, en su caso, a la Entidad de Registro que aprobó la solicitud de certificación.

La solicitud de revocación deberá contener la siguiente información:

• Fecha de solicitud de la revocación.

• Identidad del suscriptor.

• Razón detallada para la petición de revocación.

• Nombre y título de la persona que pide la revocación.

• Información de contacto de la persona que pide la revocación.






En aquellos casos en que se requiera revocación inmediata del certificado, se podrá realizar una llamada o enviar un correo electrónico a la Entidad de Certificación o, en su caso, a la Entidad de Registro.

La solicitud tiene que estar autenticada, por su destinatario, de acuerdo con los requisitos establecidos en la sección correspondiente de esta política, antes de proceder a la revocación.

En caso que el destinatario de la solicitud fuera la Entidad de Registro, una vez autenticada la petición, podrá revocar directamente el certificado o remitir una solicitud en este sentido a la Entidad de Certificación.

La solicitud de revocación será procesada a su recepción.

Se tendrá que informar al suscriptor y, en su caso, al responsable del certificado sobre el cambio de estado del certificado revocado.

La Entidad de Certificación no podrá reactivar el certificado, una vez revocado.

Todos los certificados revocados se incluirán en todas las publicaciones de las CRL hasta que el periodo de validez de los certificados haya expirado.

Nota: Un certificado revocado no puede volver a utilizarse; esto quiere decir que no puede levantarse la revocación, ni anularse de ninguna otra forma: es un estado definitivo del certificado.

4.9.4 Plazo temporal de solicitud de revocación

Las solicitudes de revocación se remitirán de forma razonablemente inmediata cuando se tenga conocimiento de la causa de revocación.

4.9.5 Plazo máximo de procesamiento de la solicitud de revocación

La solicitud de revocación será procesada en el mínimo plazo posible, siempre dentro de los horarios de oficina de la Entidad de Certificación.

En caso de encontrarse fuera de horas de oficina, el suscriptor o, en su caso, el responsable del certificado, tendrá que solicitar la suspensión cautelar del certificado.

4.9.6 Obligación de consulta de información de revocación de certificados

Los verificadores deben comprobar el estado de aquellos certificados en los que deseen confiar.

La Entidad de Certificación que emitió el certificado en el que se desea confiar pondrá obligatoriamente a disposición de los verificadores un servicio de información de estado de






los certificados basados en el protocolo OCSP y, al menos, otra forma de acceso y descarga de las listas de certificados revocados (CRL) (Apartado 2.7 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE"). Estos dos métodos deben estar operativos en todas las plataformas existentes sin coste adicional.

La Entidad de Certificación tendrá que suministrar información a los verificadores sobre cómo y dónde encontrar ambos métodos de verificación.

4.9.7 Frecuencia de emisión de listas de revocación de certificados (CRLs)

En cada certificado se especificará la dirección de la CRL que le corresponda, mediante la extensión cRLDistributionPoints.

La Entidad de Certificación deberá emitir una CRL diaria, incluso cuando no haya cambios o actualizaciones, para así asegurar la vigencia de la información publicada (Apartado 2.7 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

Se deberá indicar en la CRL el momento programado de emisión de una nueva CRL.

4.9.8 Periodo máximo de publicación de CRLs

El cambio de estado de la vigencia de un certificado debe indicarse en la CRL transcurridos menos de cinco minutos desde que se produjo dicho cambio (Apartado 2.7 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

4.9.9 Disponibilidad de servicios de comprobación de estado de certificados

Los verificadores podrán consultar los certificados publicados en el Repositorio de la Entidad de Certificación, por medio de un servicio de información de estado de los certificados basado en el protocolo OCSP.

4.9.10 Obligación de consulta de servicios de comprobación de estado de certificados

Los verificadores deberán comprobar el estado de aquellos certificados en los que deseen confiar.

Una forma por la que se puede verificar el estado de los certificados es consultando la CRL más reciente emitida por la Entidad de Certificación que expidió el certificado en el que se desea confiar.






La Entidad de Certificación tendrá que suministrar información a los verificadores referente a cómo y dónde encontrar los servicios de comprobación de estado de certificados basados en OCSP o la CRL correspondiente (Apartado 3.2 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

Si por cualquier circunstancia no fuera factible obtener información del estado de un certificado, el sistema que deba utilizarlo deberá desestimar su uso, o en función del riesgo, del grado de responsabilidad y de las consecuencias que se pudieran producir, utilizarlo sin garantizar su autenticidad en los términos y estándares que se recogen en esta política.

4.9.11 Otras formas de información de revocación de certificados

Se podrán establecer otras formas para informar sobre la revocación de los certificados, que se deberán detallar en la DPC de la Entidad de Certificación.

4.9.12 Requisitos especiales en caso de compromiso de la clave privada

El compromiso de la clave privada de una Entidad de Certificación será notificado, en la medida posible, a todos los participantes.

4.9.13 Causas de suspensión de certificados

Pendiente de definición

4.9.14 Legitimación para solicitar la suspensión


4.9.15 Procedimiento de solicitud de suspensión


4.9.16 Periodo máximo de suspensión de un certificado







4.10 Servicios de comprobación de estado de certificados

4.10.1 Características de operación de los servicios

Las CRL serán descargadas desde el Repositorio de la Entidad de Certificación e instaladas por los verificadores.

De forma alternativa, los verificadores podrán consultar los certificados publicados en el Repositorio de la Entidad de Certificación, a través de una interfaz web.

4.10.2 Disponibilidad de los servicios

Los sistemas de distribución de CRLs y de consulta en línea del estado de los certificados deberán estar disponibles las 24 horas de los 7 días de la semana.

En caso de fallo de los sistemas de comprobación de estado de certificados por causas fuera del control de la Entidad de Certificación, esta deberá realizar sus mejores esfuerzos para asegurar que este servicio se mantiene inactivo el mínimo tiempo posible. La Entidad de Certificación detallará en su DPC el periodo máximo de tiempo en el que el servicio tendrá que volver a operar.

La Entidad de Certificación deberá suministrar información a los verificadores sobre el funcionamiento del servicio de información de estado de certificados.

4.10.3 Otras características

No estipulado.

4.11 Finalización de la suscripción

La extinción de la validez de un certificado se produce en los siguientes casos:

• Revocación anticipada del certificado por cualquiera de las causas recogidas en el presente documento.

• Expiración de la vigencia del certificado.

Si no se solicita la renovación del certificado, la extinción de su validez supondrá la extinción de la relación entre el suscriptor y la Entidad de Certificación.






5 Controles de seguridad física, de gestión y de operaciones

5.1 Controles de seguridad física

El Prestador de Servicios de Certificación dispondrá de instalaciones que protejan físicamente la prestación de los servicios de generación de certificados y de gestión de revocación, del compromiso causado por accesos no autorizados a los sistemas o a los datos. Los módulos criptográficos deberán protegerse de la pérdida y el uso no autorizado.

La protección física se logrará mediante la creación de perímetros de seguridad claramente definidos en torno a los servicios indicados.

En caso de existir instalaciones compartidas con otras entidades, estas deberán encontrarse fuera de los perímetros de seguridad.

El Prestador de Servicios de Certificación establecerá controles de seguridad física y ambiental para proteger los recursos de las instalaciones donde se encuentran los equipamientos empleados para la prestación de los servicios indicados.

La política de seguridad física y ambiental aplicable a la prestación de los servicios indicados deberá establecer prescripciones para las siguientes contingencias, que se documentarán sucintamente en la Declaración de Prácticas de Certificación:

- Controles de acceso físico.

- Allanamiento y entrada no autorizada.

- Protección antirrobos.

- Salida no autorizada de equipamientos, informaciones, soportes y aplicaciones relativos a componentes empleados para los servicios del prestador de servicios de certificación.

- Medidas de protección frente a incendios.

- Inundaciones.

- Derrumbamiento de la estructura.

- Protección frente a desastres naturales.

- Fallo de los sistemas de apoyo (energía electrónica, telecomunicaciones, etc.)

- Recuperación del desastre.

5.1.1 Localización y construcción de las instalaciones

La localización de las instalaciones debe permitir la presencia de fuerzas de seguridad en un plazo de tiempo razonablemente inmediato desde que una incidencia fuera notificada a los






mismos (en el caso de no contar con presencia física permanente de personal de seguridad propio por parte del prestador de servicios de certificación).

La calidad y solidez de los materiales de construcción de las instalaciones deberá garantizar unos adecuados niveles de protección frente a intentos de intrusiones por la fuerza.

5.1.2 Acceso físico

El Prestador de Servicios de Certificación deberá establecer diferentes niveles de seguridad de restricción de acceso a los diferentes perímetros y barreras físicas definidas.

Para el acceso a las dependencias del prestador de servicios de certificación donde se lleven a cabo procesos relacionados con el ciclo de vida del certificado, será necesaria la autorización previa, identificación en el momento del acceso y registro del mismo, incluyendo filmación por circuito cerrado de televisión y su archivo.

Esta identificación, ante el sistema de control de accesos, deberá realizarse mediante reconocimiento de algún parámetro biométrico del individuo, excepto en caso de visitas escoltadas.

La generación de claves criptográficas de las Entidades de Certificación, así como su almacenamiento, deberá realizarse en dependencias específicas para estos fines, y requerirán de acceso y permanencia duales (al menos dos personas simultáneamente).

5.1.3 Electricidad y aire acondicionado

Los equipos informáticos del prestador de servicios de certificación deberán estar convenientemente protegidos ante fluctuaciones o cortes del suministro eléctrico, que pudieran dañarlos o interrumpir el servicio.

Las instalaciones contarán con un sistema de estabilización de la corriente, así como de un sistema de generación propio con autonomía suficiente para mantener el suministro durante el tiempo que requiera el cierre ordenado y completo de todos los sistemas informáticos.

Los equipos informáticos deberán estar ubicados en un entorno donde se garantice una climatización (temperatura y humedad) adecuada para unas condiciones óptimas de trabajo.

5.1.4 Exposición al agua

El prestador de servicios de certificación deberá disponer de sistemas de detección de inundaciones adecuados para proteger los equipos y activos ante tal eventualidad, en el caso de que las condiciones de ubicación de las instalaciones lo hagan necesario.






5.1.5 Advertencia y protección de incendios

Todas las instalaciones y activos del prestador de servicios de certificación deberán contar con sistemas automáticos de detección y extinción de incendios.

En concreto, los dispositivos criptográficos, y soportes que almacenen claves de los prestadores de servicios de certificación, deberán contar con un sistema específico y adicional al resto de la instalación, para la protección frente al fuego.

5.1.6 Almacenaje de soportes

El almacenamiento de soportes de información debe realizarse de forma que se garantice tanto su integridad como su confidencialidad, de acuerdo con la clasificación de la información que se haya establecido.

Deberá contarse para ellos con dependencias o armarios ignífugos.

El acceso a estos soportes, incluso para su eliminación, deberá estar restringido a personas específicamente autorizadas.

5.1.7 Tratamiento de residuos

La eliminación de soportes, tanto papel como magnéticos, se deberá realizar mediante mecanismos que garanticen la imposibilidad de recuperación de la información.

En el caso de soportes magnéticos, se procederá al formateo, borrado permanente, o destrucción física del soporte.

En el caso de documentación en papel, éste deberá someterse a un tratamiento físico de destrucción.

5.1.8 Backup fuera de las instalaciones

Periódicamente, el prestador de servicios de certificación almacenará copias de respaldo de los sistemas de información, en dependencias físicamente separadas de aquellas en las que se encuentran los equipos.

5.2 Controles de procedimientos

Los prestadores de servicios de certificación deben garantizar que sus sistemas se operan de forma segura, para lo cual deberá establecer e implantar procedimientos para las funciones que afecten a la provisión de sus servicios.






El personal al servicio del prestador de servicios de certificación realizará los procedimientos administrativos y de gestión de acuerdo con la política de seguridad del prestador de servicios de certificación.

5.2.1 Funciones fiables

El prestador de servicios de certificación deberá identificar, en su política de seguridad, funciones o roles con la condición de fiables.

Las personas que deban ocupar tales puestos deberán ser formalmente nombrados por la alta dirección del prestador de servicios de certificación.

Las funciones fiables deberán incluir:

- Personal responsable de la seguridad.

- Administradores del sistema.

- Operadores del sistema.

- Auditores del sistema.

5.2.2 Número de personas por tarea

Las funciones fiables identificadas en la política de seguridad del prestador de servicios de certificación, y sus responsabilidades asociadas, serán documentadas en descripciones de puestos de trabajo, y descritas de forma sucinta en la Declaración de Prácticas de Certificación del prestador.

Dichas descripciones deberán realizarse teniendo en cuenta que debe existir una separación de funciones sensibles, así como una concesión de mínimo privilegio, cuando sea posible.

Para determinar la sensibilidad de la función, se tendrán en cuenta los siguientes elementos:

- Deberes asociados a la función.

- Nivel de acceso.

- Monitorización de la función.

- Formación y concienciación.

- Habilidades requeridas.

5.2.3 Identificación y autenticación para cada función

El prestador de servicios de certificación deberá identificar y autenticar al personal antes de acceder a la correspondiente función fiable.

5.2.4 Roles que requieren separación de tareas

Las siguientes tareas deberán ser realizadas, al menos, por dos personas:






- Gestión del acceso físico.

- Gestión de aplicaciones informáticas del prestador.

- Gestión de configuración y control de cambios.

- Gestión del archivo.

- Gestión de bienes de equipo criptográfico.

- Generación de certificados de autoridad de certificación.

5.3 Controles de personal

5.3.1 Requisitos de historial, calificaciones, experiencia y autorización

El prestador de servicios de certificación deberá emplear personal cualificado y con la experiencia necesaria, para la prestación de los servicios ofrecidos, en el ámbito de la firma electrónica y los procedimientos de seguridad y de gestión adecuados.

Este requisito se aplicará al personal de gestión del prestador de servicios de certificación, especialmente en relación con procedimientos de personal de seguridad.

La cualificación y la experiencia podrán suplirse mediante una formación y entrenamiento apropiados.

El personal en puestos fiables deberá encontrarse libre de intereses personales que entren en conflicto con el desarrollo de la función que tenga encomendada.

El prestador de servicios de certificación no podrá asignar a un puesto fiable o de gestión a una persona que no sea idóneo para el puesto, especialmente por haber sido condenada por delito o falta que afecte a su idoneidad para el puesto. Por este motivo, el prestador de servicios de certificación deberá realizar una investigación, de acuerdo con lo establecido en la sección siguiente, relativa a los siguientes aspectos:

- Estudios, incluyendo titulación alegada.

- Trabajos anteriores, hasta cinco años, incluyendo referencias profesionales y comprobación de que realmente se hizo el trabajo alegado.

5.3.2 Procedimientos de investigación de historial

El prestador de servicios de certificación deberá realizar la investigación antes de que la persona sea contratada y acceda al puesto de trabajo.

En la solicitud para el puesto de trabajo se informará acerca de la necesidad de someterse a una investigación previa.

Se deberá advertir de que la negativa a someterse a la investigación implicará el rechazo de la solicitud.






El prestador de servicios de certificación deberá obtener consentimiento inequívoco del afectado por la investigación previa, y procesar y proteger todos sus datos personales de acuerdo con la LOPD y el Reglamento de desarrollo de la LOPD (RD 1720/2007).

La investigación se repetirá cada tres años.

5.3.3 Requisitos de formación

El prestador de servicios de certificación deberá formar al personal en puestos fiables y de gestión, hasta que alcancen la cualificación necesaria, de acuerdo con lo establecido en la sección 5.3.1 de esta política.

La formación deberá incluir los siguientes contenidos:

- Principios y mecanismos de seguridad de la jerarquía de certificación, así como el entorno de usuario de la persona a formar.

- Versiones de maquinaria y aplicaciones en uso.

- Tareas que debe realizar la persona.

- Gestión y tramitación de incidentes y compromisos de seguridad.

- Procedimientos de continuidad de negocio y emergencia.

5.3.4 Requisitos y frecuencia de actualización formativa

El prestador de servicios de certificación deberá realizar una actualización en la formación del personal al menos cada dos años.

5.3.5 Secuencia y frecuencia de rotación laboral

El prestador de servicios de certificación podrá establecer métodos de rotación laboral para la prestación del servicio en turnos, con el objeto de cubrir las necesidades de 24x7 del servicio.

5.3.6 Sanciones por acciones no autorizadas

El prestador de servicios de certificación deberá disponer de un sistema sancionador, para depurar las responsabilidades derivadas de acciones no autorizadas, que deberá encontrarse adecuado a la legislación laboral aplicable y, en especial, coordinado con el sistema sancionador del convenio colectivo que resulte de aplicación al personal.

Las acciones disciplinarias podrán incluir la suspensión y el despido de la persona responsable de la acción dañina.






5.3.7 Requisitos de contratación de profesionales

El prestador de servicios de certificación podrá contratar profesionales para cualquier función, incluso para un puesto fiable, en cuyo caso deberá someterse a los mismos controles que los restantes empleados.

En el caso de que el profesional no deba someterse a tales controles, deberá estar constantemente acompañado por un empleado fiable, cuando se encuentre en las instalaciones del prestador de servicios de certificación.

5.3.8 Suministro de documentación al personal

El prestador de servicios de certificación suministrará la documentación que estrictamente precise su personal en cada momento, al objeto de que sea suficientemente competente a tenor de lo establecido en la sección 5.3.1 de esta política.

5.4 Procedimientos de auditoría de seguridad

5.4.1 Tipos de eventos registrados

El prestador de servicios de certificación debe guardar registro, al menos, de los siguientes eventos relacionados con la seguridad de la entidad:

- Encendido y apagado de los sistemas.

- Inicio y terminación de la aplicación de autoridad de certificación o de autoridad de registro central.

- Intentos de crear, borrar, cambiar contraseñas o permisos de los usuarios dentro del sistema.

- Generación y cambios en las claves del prestador de servicios de certificación.

- Cambios en las políticas de emisión de certificados.

- Intentos de entrada y salida del sistema.

- Intentos no autorizados de entrada en la red del prestador de servicios de certificación.

- Intentos no autorizados de acceso a los ficheros del sistema.

- Intentos fallidos de lectura en un certificado, y de lectura y escritura en el Repositorio de certificados.

- Eventos relacionados con el ciclo de vida del certificado, como solicitud, emisión, revocación y renovación de un certificado.






- Eventos relacionados con el ciclo de vida del módulo criptográfico, como recepción, uso y desinstalación del mismo.

El prestador de servicios de certificación debe también guardar, ya sea manual o electrónicamente, la siguiente información:

- La ceremonia de generación de claves y las bases de datos de gestión de claves.

- Los registros de acceso físico.

- Mantenimientos y cambios de configuración del sistema.

- Cambios en el personal.

- Informes de compromisos y discrepancias.

- Registros de la destrucción de material que contenga información de claves, datos de activación o información personal.

- Posesión de datos de activación, para operaciones con la clave privada del prestador de servicios de certificación.

Para todos los eventos identificados en esta sección, el registro de auditoría deberá contener al menos:

• El tipo de evento registrado.

• La fecha y hora en que se ha producido.

• Identificación del origen del evento

• Para los mensajes de la Entidad de Registro solicitando acciones de la Entidad de Certificación, la identificación del origen del mensaje, el destinatario y el contenido.

• Para las solicitudes de emisión o revocación de los certificados, un indicador de la concesión o la denegación de la petición.

• Para las acciones realizadas directamente por un operador, la identidad del equipo desde el que se realiza la acción.

5.4.2 Frecuencia de tratamiento de registros de auditoría

Los registros de auditoría se examinarán por lo menos una vez a la semana en busca de actividad sospechosa o no habitual.

El procesamiento de los registros de auditoría consistirá en una revisión de los registros, verificando que estos no han sido manipulados, una breve inspección de todas las entradas de registro y una investigación más profunda de cualquier alerta o irregularidad en los registros.

Las acciones llevadas a cabo a partir de la revisión de auditoría también deben ser documentadas.






5.4.3 Periodo de conservación de registros de auditoría

Los registros de auditoría se deben retener en el recinto durante por lo menos dos meses después de procesarlos y a partir de ese momento se archivarán de acuerdo con la sección 5.5.2 de esta política.

5.4.4 Protección de los registros de auditoría

Los ficheros de registros, tanto manuales como electrónicos, deben protegerse de lecturas, modificaciones, borrados o cualquier otro tipo de manipulación no autorizada usando controles de acceso lógico y físico.

No es necesario que la entidad que lleve a cabo el proceso de los registros de auditoría, tenga capacidad de modificación de los registros. Deben implementarse procedimientos de manera que aseguren que no se puedan eliminar o destruir los registros de eventos antes de que haya expirado su periodo de almacenamiento.

5.4.5 Procedimientos de copia de respaldo

Se deberán generar, al menos, copias incrementales de respaldo de registros de auditoría diariamente y copias completas semanalmente.

5.4.6 Localización del sistema de acumulación de registros de auditoría

El sistema de acumulación de registros de auditoría deberá ser, al menos, un sistema interno del prestador de servicios de certificación, compuesto por los registros de la aplicación, por los registros de red y por los registros del sistema operativo, además de por los datos manualmente generados, que serán almacenados por el personal debidamente autorizado.

5.4.7 Notificación del acontecimiento de auditoría al causante del evento

Cuando el sistema de acumulación de registros de auditoría registre un evento, no será preciso enviar una notificación al que causó el evento.

Se podrá comunicar si el resultado de su acción ha tenido éxito o no, pero no que se ha auditado la acción.






5.4.8 Análisis de vulnerabilidades

El prestador de servicios de certificación deberá controlar cualquier intento de violación de la integridad del sistema de gestión de certificados, incluyendo los equipos soportes, las localizaciones físicas y el personal asignado a su operativa.

Los registros de auditoría deberán ser revisados por personal autorizado para controlar los intentos no autorizados de acciones, las peticiones de información confidencial, las tentativas de acceso a los ficheros del sistema y las respuestas no autenticadas, permitiendo de esta forma monitorizar las vulnerabilidades del sistema.

Los análisis de vulnerabilidad deben ser ejecutados, repasados y revisados a través de un examen de esos eventos monitorizados.

Estos análisis deben ser ejecutados diariamente, mensualmente y anualmente de acuerdo con su definición en el plan de auditoría o documento que lo sustituya, del prestador de servicios de certificación.

5.5 Archivo de informaciones

El prestador de servicios de certificación debe garantizar que toda la información relativa a los certificados se guarda durante un período de tiempo apropiado, según lo establecido en la sección 5.5.2 de esta política.

5.5.1 Tipos de eventos registrados

El prestador de servicios de certificación debe guardar todos los eventos que tengan lugar durante el ciclo de vida de un certificado, incluyendo la renovación del mismo.

El prestador de servicios de certificación tiene que guardar un registro de, al menos, la siguiente información:

- Tipo de documento presentado en la solicitud del certificado.

- Número de identificación único proporcionado por el documento anterior.

- Identidad de la entidad que acepta la solicitud de certificado.

- La ubicación de las copias de solicitudes de certificados y del documento firmado por el suscriptor.

- La documentación relativa a la recepción de dispositivos seguros de creación de firma






5.5.2 Periodo de conservación de registros

El prestador de servicios de certificación debe guardar los registros especificados en la sección anterior de esta política sin pérdida, por un periodo de 15 años como mínimo.

5.5.3 Protección del archivo

El prestador de servicios de certificación debe:

- Mantener la integridad y la confidencialidad del archivo que contiene los datos referentes a los certificados emitidos.

- Archivar los datos anteriormente citados de forma completa y confidencial.

- Mantener la privacidad de los datos de registro del suscriptor.

5.5.4 Procedimientos de copia de respaldo

El prestador de servicios de certificación debe realizar copias de respaldo incrementales diarias de todos sus documentos electrónicos, según se indica en la sección 5.5.1 de esta política. Debe, además, realizar copias de respaldo completas semanalmente para casos de recuperación de datos, de acuerdo con la sección 5.7 de esta política.

Además, el prestador de servicios de certificación debe guardar los documentos en papel, según se indica en la sección 5.5.1, en un lugar fuera de las instalaciones de la propia prestador de servicios de certificación para casos de recuperación de datos, de acuerdo con la sección 5.7 de esta política.

5.5.5 Requisitos de sellado de cautela de fecha y hora

El prestador de servicios de certificación debe emitir los certificados y las CRLs con información fiable de fecha y hora.

5.5.6 Localización del sistema de archivo

El prestador de servicios de certificación debe disponer de un sistema de mantenimiento de datos de archivo fuera de sus propias instalaciones, tal y como se especifica en la sección 5.5.4 de esta política.






5.5.7 Procedimientos de obtención y verificación de información de archivo

Sólo personas autorizadas por el prestador de servicios de certificación podrán tener acceso a los datos de archivo, ya sea en las mismas instalaciones del prestador de servicios de certificación o en su ubicación externa.

Los procedimientos detallando como obtener, y verificar la información de archivo deberán estipularse en la DPC.

5.6 Renovación de claves de una Entidad de Certificación

La validez del certificado de una Entidad de Certificación debe ser superior al periodo de validez de los certificados que emita, de tal manera que no pueda expedir certificados cuyo periodo de vigencia superen la validez del propio certificado de la Entidad de Certificación. Este hecho deberá garantizarse mediante la implantación de soluciones técnicas o procedimentales.

Tras la renovación de las claves de una Entidad de Certificación, el proceso de renovación de un par de claves de suscriptor será igual que el realizado anteriormente (con las claves antiguas de la Entidad de Certificación), tal y como se especifica en la sección 4.7 de esta política.

5.7 Compromiso de claves y recuperación de desastre

5.7.1 Corrupción de recursos, aplicaciones o datos

Cuando tenga lugar un evento de corrupción de recursos, aplicaciones o datos el prestador de servicios de certificación debe iniciar las gestiones necesarias, de acuerdo con el plan de seguridad, el plan de emergencia y el plan de auditoría, o los documentos que los sustituyan, para hacer que el sistema vuelva a su estado normal de funcionamiento.

5.7.2 Revocación de la clave pública de la Entidad de Certificación

En caso de que un prestador de servicios de certificación revoque una Entidad de Certificación perteneciente a la Lista de Entidades de Confianza (TSL) de la Administración General del Estado, deberá llevar a cabo lo siguiente:

- Notificar este hecho, cuando se produzca, a la Administración General del Estado.

- Informar del hecho publicando una CRL, según lo establecido en la sección 4.9.7 de esta política.

- Realizar todos los esfuerzos necesarios para informar de la revocación a todos los suscriptores a los cuales el prestador de servicios de certificación emitió certificados, así como a los terceros que deseen confiar en esos certificados.






- Realizar una renovación de claves, en caso de que la revocación no haya sido debida a la terminación del servicio por parte del prestador de servicios de certificación, según lo establecido en la sección 5.6 de esta política.

Las causas de revocación contempladas en el presente apartado pueden ser por compromiso de clave, por causas técnicas, por razones organizativas o por desastre.

5.7.3 Compromiso de la clave privada de la Entidad de Certificación

El plan de continuidad de negocio del prestador de servicios de certificación (o plan de recuperación de desastres) debe considerar el compromiso o la sospecha de compromiso de la clave privada del prestador de servicios de certificación como un desastre.

En caso de compromiso, el prestador de servicios de certificación debe realizar como mínimo las siguientes acciones:

- Informar a todos los suscriptores y verificación del compromiso.

- Indicar que los certificados y la información del estado de revocación que han sido entregados usando la clave de este prestador de servicios de certificación ya no son válidos.

5.7.4 Desastre sobre las instalaciones.

El prestador de servicios de certificación debe desarrollar, mantener, probar y, si es necesario, ejecutar un plan de emergencia para el caso de que ocurra un desastre, ya sea por causas naturales o causado por el hombre, sobre las instalaciones, el cual indique cómo restaurar los servicios de los sistemas de información.

La ubicación de los sistemas de recuperación de desastres debe disponer de las protecciones físicas de seguridad detalladas en el plan de seguridad.

El prestador de servicios de certificación debe ser capaz de restaurar la operación normal de los servicios de revocación y, en su caso, de suspensión, en las 24 horas siguientes al desastre, pudiendo, como mínimo, ejecutarse las siguientes acciones:

- Suspensión de certificados.

- En su caso, revocación de certificados.

- Publicación de información de revocación.

La base de datos de recuperación de desastres utilizada por el prestador de servicios de certificación debe estar sincronizada con la base de datos de producción, dentro de los límites temporales especificados en el plan de seguridad del prestador.

Los equipos de recuperación de desastres del prestador de servicios de certificación deben tener las medidas de seguridad físicas especificadas en el plan de seguridad.






5.8 Finalización del servicio

El prestador de servicios de certificación debe asegurar que las posibles interrupciones a los suscriptores y a terceras partes son mínimas como consecuencia del cese de los servicios del prestador y, en particular, asegurar un mantenimiento continuo de los registros requeridos para proporcionar evidencia de los certificados emitidos y de otros servicios ofrecidos, en caso de investigación civil o criminal.

Antes de terminar sus servicios, el prestador de servicios de certificación debe ejecutar, como mínimo, los siguientes procedimientos:

- Informar a todos los suscriptores y terceros que confían en los certificados que ha emitido.

- Retirar toda autorización de subcontrataciones que actúan en nombre del prestador de servicios de certificación en el proceso de emisión de certificados.

- Ejecutar las tareas necesarias para transferir las obligaciones de mantenimiento de la información de registro y los archivos de registro de eventos durante los períodos de tiempo respectivos indicados al suscriptor y a los terceros que confían en los certificados.

- Destruir las claves privadas del prestador de servicios de certificación o retirarlas del uso.

El prestador de servicios de certificación debe declarar en sus prácticas las previsiones que tiene para el caso de terminación del servicio. Estas deben incluir:

- Notificación a las entidades afectadas.

- Transferencia de las obligaciones del prestador de servicios de certificación a otras personas.

- Cómo se tratará el estado de revocación de los certificados emitidos que aún no han expirado.






6 Controles de seguridad técnica

El prestador de servicios de certificación deberá emplear sistemas y productos fiables, que estén protegidos contra toda alteración y que garanticen la seguridad técnica y criptográfica de los procesos de certificación a los que sirven de soporte.

6.1 Generación e instalación del par de claves

6.1.1 Generación del par de claves

El prestador de servicios de certificación que actúe como raíz de una jerarquía que forme parte de la Lista de entidades de confianza (TSL) procederá a la generación de las claves de prestador de servicios de certificación de acuerdo con la ceremonia de claves, dentro del perímetro de alta seguridad destinado específicamente a esta tarea.

Los pares de claves de los prestadores de servicios de certificación deben ser generados empleando hardware criptográfico que cumplan los criterios de seguridad indicados en las condiciones adicionales.

Los pares de claves de los suscriptores y de los operadores y administradores de las entidades registradoras, deberán generarse siempre en dispositivos criptográficos que cumplan con lo establecido en CEN CWA 14167 partes 1 y 2 o por criterios de seguridad equivalentes.

Dichos dispositivos seguros podrán ser tarjetas criptográficas, tokens USB criptográficos, o cualquier otro tipo de dispositivo, en especial módulos criptográficos de seguridad (HSM), que cumplan con los requisitos de seguridad establecidos por la normativa vigente para los dispositivos seguros y con lo indicado por las condiciones adicionales.

6.1.2 Envío de la clave privada al suscriptor

La clave privada del certificado es entregada debidamente protegida mediante una tarjeta inteligente que cumpla lo establecido en CEN:CWA 14169 o a través de un PKCS#12 en caso de certificados en soporte software (Apartado 2.5 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

6.1.3 Envío de la clave pública al emisor del certificado

El método de remisión de la clave pública al prestador de servicios de certificación se hará mediante el formato estándar PKCS #10, otra prueba criptográfica equivalente o cualquier otro método aprobado por la Administración General del Estado.






6.1.4 Distribución de la clave pública de los Prestadores de Servicios de Certificación

Las claves de los prestadores de servicios de certificación deben ser comunicadas a los terceros que confían en los certificados, asegurando la integridad de la clave y autenticando su origen.

La clave pública del prestador de servicios de certificación raíz se publicará en el Repositorio, en forma de certificado autofirmado, junto a una declaración indicando que la clave autentica al prestador de servicios de certificación.

Se deberán establecer medidas adicionales para confiar en el certificado autofirmado, como la comprobación de la huella digital del certificado.

Los usuarios podrán acceder al Repositorio para obtener las claves públicas del prestador de servicios de certificación.

Adicionalmente, en aplicaciones S/MIME, el mensaje de datos podrá contener una cadena de certificados, siendo de esta forma distribuidos a los usuarios.

6.1.5 Tamaños de claves

La longitud de las claves RSA de las Entidades de Certificación será al menos de 2048 bits, mientras que la de los restantes tipos de certificados será de al menos 1024 bits.

6.1.6 Generación de parámetros de clave pública

Los parámetros de clave pública son generados conforme a PKCS#1, utilizándose como segunda pareja de la clave pública, FERMAT 41.

6.1.7 Comprobación de calidad de parámetros de clave pública

La Administración General del Estado podrá establecer métodos de comprobación de la calidad de los parámetros de las claves públicas.

6.1.8 Generación de claves en aplicaciones informáticas o en bienes de equipo

Las claves de los prestadores de servicios de certificación se generarán en hardware criptográfico que cumpla los niveles de seguridad indicados en el apartado 6.2.1.

1 El n-ésimo número de Fermat es Fn=(2)^(2

n)+1.






Las claves de firma electrónica de los usuarios finales se generarán en dispositivos criptográficos que cumplan los niveles de seguridad indicados en el apartado 6.2.1.

La generación de claves para los restantes tipos de certificados podrá realizarse mediante aplicaciones informáticas.

6.1.9 Propósitos de uso de claves

El prestador de servicios de certificación deberá incluir la extensión KeyUsage en todos los certificados, indicando los usos permitidos de las correspondientes claves privadas (Apartado 3.7 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

6.2 Protección de la clave privada

6.2.1 Estándares de módulos criptográficos

Para los módulos que gestionan claves de los prestadores de servicios de certificación y de los suscriptores de certificados de firma electrónica, se deberá asegurar el nivel de seguridad exigido de acuerdo a estándares reconocidos.

El estándar más relevante para validar los requerimientos de seguridad en módulos criptográficos es la definición FIPS 140, en sus especificaciones 1 y 2. Dependiendo de los módulos criptográficos que se empleen en cada clase del certificado, se determinará el nivel FIPS exigido y se podrán establecer otros estándares para su aceptación.

6.2.2 Control por más de una persona (n de m) sobre la clave privada

En el caso de certificados de sede, sello y empleado público, el acceso a las claves privadas estará protegido mediante PIN. En este caso el acceso se realizará por una única persona: el responsable del certificado.

Adicionalmente, para el nivel de aseguramiento alto, los certificados de sede y sello estarán custodiados en dispositivos criptográficos seguros (HSM). La presente política no establece el control multi-persona a estos dispositivos, dejando la responsabilidad al responsable del certificado.

Las claves privadas de los prestadores de servicios de certificación, serán custodiadas en dispositivos criptográficos seguros (HSM), en los cuales se deberán identificar esquemas de control multi-persona para la activación y acceso (se deberá requerir necesariamente del concurso simultáneo de n dispositivos criptográficos protegidos por una clave de acceso, de entre m posibles dispositivos). Estos mecanismos serán dependientes del modelo de HSM utilizado.






La clave de acceso será conocida únicamente por una persona responsable de ese dispositivo. Ninguna de ellas conocerá más que una de las claves de acceso. Los dispositivos criptográficos quedarán almacenados en las dependencias del prestador de servicios de certificación, y para su acceso será necesaria una persona adicional.

6.2.3 Introducción de la clave privada en el módulo criptográfico

Las claves privadas se podrán generar directamente en los módulos criptográficos o en módulos criptográficos externos, de los que se exportarán las claves cifradas para su introducción en los módulos de producción.

Las claves privadas de los prestadores de servicios de certificación quedarán almacenadas en ficheros cifrados con claves fragmentadas y en tarjetas inteligentes (de las que no podrán ser extraídas)

Dichas tarjetas serán empleadas para introducir la clave privada en el módulo criptográfico.

6.2.4 Método de activación de la clave privada.

La clave privada de cada Entidad de certificación se activará mediante la ejecución del correspondiente procedimiento de inicio seguro del módulo criptográfico, por las personas indicadas en la sección 6.2.2

La clave privada del suscriptor se activará mediante la introducción del PIN en el dispositivo criptográfico o aplicación de firma.

6.2.5 Método de desactivación de la clave privada

Para certificados en tarjeta con la consideración de dispositivo seguro de creación de firma, cuando la misma se retire del dispositivo lector, o la aplicación que la utilice finalice la sesión, será necesaria nuevamente la introducción del PIN.

6.2.6 Método de destrucción de la clave privada

Las claves privadas serán destruidas en una forma que impida su robo, modificación, divulgación no autorizada o uso no autorizado.






6.3 Custodia, copia y recuperación de claves

6.3.1 Política y prácticas de custodia, copia y recuperación de claves

Las claves privadas de los prestadores de servicios de certificación se almacenarán en espacios ignífugos y protegidos por controles de acceso físico dual (al menos dos personas simultáneamente).

La clave privada del prestador de servicios de certificación podrá contar con una copia de respaldo almacenada en una dependencia independiente de aquélla donde se encuentra habitualmente, y ser recuperada en su caso, por personal sujeto a la política de confianza del personal. Este personal debe ser expresamente autorizado para estos fines, debe limitarse a aquel que necesite hacerlo, y debe indicarse expresamente en las prácticas del prestador de servicios de certificación.

Los controles de seguridad a aplicar a las copias de respaldo del prestador de servicios de certificación deberán ser de igual o superior nivel a los que se aplican a las claves habitualmente en uso. Cuando las claves se almacenen en un módulo hardware de proceso dedicado, deberán proveerse los controles oportunos para que éstas nunca puedan abandonar el dispositivo.

En el caso de los suscriptores, bajo ningún concepto las claves privadas utilizadas para los servicios de no-repudio serán guardadas por terceras partes, sólo los subscriptores custodiarán la única copia de esta clave en su módulo criptográfico. Sólo en los supuestos en los que haya que dar servicio de recuperación de claves privadas para propósitos distintos del no-repudio, se podrán almacenar estas claves privadas. Para soportar este servicio, el prestador de servicios proporcionará las capacidades de gestión y recuperación de claves necesarias. El método, procedimientos y controles para realizar el almacenamiento de las claves, su recuperación y entrega al solicitante, la protección y destrucción de copias que se hayan recuperado, serán descritos en la DPC.

La Entidad de Certificación deberá detallar en su DPC los siguientes aspectos:

• Quien puede solicitar la custodia y la recuperación de claves.

• Como se remitirá la solicitud.

• Los requisitos de confirmación de solicitudes.

• Los mecanismos utilizados para custodiar y recuperar claves.

6.3.2 Archivo de la clave privada

Las claves privadas de los prestadores de servicios de certificación serán archivadas al final de su periodo de operación, de forma permanente.

Se archivarán claves privadas de firma electrónica de usuarios finales, al menos por un período de 15 años desde su expedición.






6.4 Otros aspectos de gestión del par de claves

6.4.1 Archivo de la clave pública

El prestador de servicios de certificación podrá archivar sus claves públicas, de acuerdo con lo establecido en la sección 5.5 de esta política.

6.4.2 Periodos de utilización de las claves pública y privada

Los periodos de utilización de las claves serán los determinados por la duración del certificado, transcurrido el cual no podrán continuar utilizándose.

Como excepción, la clave privada podrá continuar empleándose para el descifrado de documentos, incluso tras la expiración del certificado.

6.5 Datos de activación

6.5.1 Generación e instalación de los datos de activación

Cuando el prestador de servicios de certificación facilita al suscriptor un dispositivo seguro de creación de firma, entonces los datos de activación del dispositivo, deberán ser generados de forma segura por el prestador de servicios de certificación.

6.5.2 Protección de datos de activación

Cuando el prestador de servicios de certificación facilite al suscriptor el dispositivo seguro de creación de firma deberá generar y facilitar al suscriptor los datos de activación del dispositivo seguro de creación de firma empleando procedimientos seguros, como la entrega presencial o a distancia, en cuyo caso los datos de activación deberán ser distribuidos separadamente del propio dispositivo de creación de firma (por ejemplo, entregándose en momentos diferentes, o por rutas diferentes).

6.6 Controles de seguridad informática

6.6.1 Requisitos técnicos específicos de seguridad informática

Se deberá garantizar que el acceso los sistemas está limitado a individuos debidamente autorizados. En particular:






- El prestador de servicios de certificación debe garantizar una administración efectiva del nivel de acceso de los usuarios (operadores, administradores, así como cualquier usuario con acceso directo al sistema) para mantener la seguridad del sistema, incluyendo gestión de cuentas de usuarios, auditoría y modificaciones o denegación de acceso oportunas.

- El prestador de servicios de certificación debe garantizar que el acceso a los sistemas de información y aplicaciones se restringe de acuerdo a lo establecido en la política de control de acceso, así como que los sistemas proporcionan los controles de seguridad suficientes para implementar la segregación de funciones identificada en las prácticas del prestador, incluyendo la separación de funciones de administración de los sistemas de seguridad y de los operadores. En concreto, el uso de programas de utilidades del sistema estará restringido y estrechamente controlado.

- El personal del prestador deberá ser identificado y reconocido antes de utilizar aplicaciones críticas relacionadas con el ciclo de vida del certificado.

- El personal del prestador será responsable y deberá poder justificar sus actividades, por ejemplo mediante un archivo de eventos.

- Deberá evitarse la posibilidad de revelación de datos sensibles mediante la reutilización de objetos de almacenamiento (por ejemplo ficheros borrados) que queden accesibles a usuarios no autorizados.

- Los sistemas de seguridad y monitorización deben permitir una rápida detección, registro y actuación ante intentos de acceso irregular o no autorizado a sus recursos (por ejemplo, mediante sistema de detección de intrusiones, monitorización y alarma).

- El acceso a los repositorios públicos de la información del prestador (por ejemplo, certificados o información de estado de revocación) deberá contar con un control de accesos para modificaciones o borrado de datos.

6.6.2 Evaluación del nivel de seguridad informática

Las aplicaciones de autoridad de certificación y de registro empleadas por el prestador de servicios de certificación deberán ser fiables, debiendo acreditarse dicha condición, por ejemplo, mediante una certificación de producto contra un perfil de protección adecuado, conforme a la norma ISO 15408, o equivalente.

6.7 Controles técnicos del ciclo de vida

6.7.1 Controles de desarrollo de sistemas

Se deberá realizar un análisis de requisitos de seguridad durante las fases de diseño y especificación de requisitos de cualquier componente empleado en las aplicaciones de autoridad de certificación y de registro, para garantizar que los sistemas son seguros.






Se emplearán procedimientos de control de cambios para las nuevas versiones, actualizaciones y parches de emergencia, de dichos componentes.

6.7.2 Controles de gestión de seguridad

El prestador de servicios de certificación deberá mantener un inventario de todos los activos de información y realizará una clasificación de los mismos, de acuerdo con sus necesidades de protección, coherente con el análisis de riesgos efectuado.

La configuración de los sistemas se auditará de forma periódica, de acuerdo con lo establecido en la sección 9.1 de esta política.

Se realizará un seguimiento de las necesidades de capacidad, y se planificarán procedimientos para garantizar suficiente disponibilidad electrónica y de almacenamiento para los activos informativos.

6.7.3 Evaluación del nivel de seguridad del ciclo de vida

La Administración General del Estado podrá exigir que el prestador de servicios de certificación se someta a evaluaciones independientes, auditorías y, en su caso, certificaciones de seguridad del ciclo de vida de los productos del prestador.

6.8 Controles de seguridad de red

Se deberá garantizar que el acceso a las diferentes redes del prestador de servicios de certificación está limitado a individuos debidamente autorizados. En particular:

- Deberán implementarse controles para proteger la red interna de dominios externos accesibles por terceras partes. Los cortafuegos deberán configurarse de forma que se impidan accesos y protocolos que no sean necesarios para la operación del prestador de servicios de certificación.

- Los datos sensibles deberán protegerse cuando se intercambien a través de redes no seguras (incluyendo como tales los datos de registro del suscriptor).

- Se deberá garantizar que los componentes locales de red se encuentren ubicados en entornos seguros, así como la auditoría periódica de sus configuraciones.

6.9 Controles de seguridad de los módulos criptográficos

Se deberá garantizar que las claves de los prestadores de servicios de certificación son generadas en dispositivos criptográficos seguros, operados por personal de confianza del






prestador y en un entorno seguro bajo control dual (al menos dos personas simultáneamente).

Estos dispositivos deben cumplir los estándares criptográficos de seguridad, que se han indicado en las secciones anteriores.

Los algoritmos de generación de claves deberán estar aceptados para el uso de la clave a que esté destinado (para los diferentes tipos de certificados que se definen).






7 Perfiles de certificados y listas de certificados revocados

7.1 Perfil de certificado

Los certificados tendrán el contenido y campos descritos en esta sección, incluyendo, como mínimo, los siguientes:

- Número de serie, que será un código único con respecto al nombre distinguido del emisor

- Algoritmo de firma.

- El nombre distinguido del emisor.

- Inicio de validez del certificado, en Tiempo Coordinado Universal, codificado conforme a la RFC 3280

- Fin de validez del certificado, en Tiempo Coordinado Universal, codificado conforme a la RFC 3280

- Nombre distinguido del sujeto.

- Clave pública del sujeto, codificada de acuerdo con RFC 3280

- Firma, generada y codificada de acuerdo con RFC 3280

La descripción exacta de los perfiles de certificados, así como las extensiones soportadas, se definen en el documento “Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque I: Perfiles de certificados electrónicos”. Adicionalmente, los certificados serán conformes con las normas indicadas en las correspondientes condiciones adicionales.

Los certificados reconocidos emitidos por los prestadores de servicios de certificación deberán incluir la indicación expresa de que se expiden como tales dentro de la extensión CertificatePolicies del certificado o mediante el uso de extensiones específicas (Apartado 3.8 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

La Administración General del Estado se reserva el derecho a supervisar el contenido de los perfiles de certificados expedidos por los prestadores de servicios de certificación, proponiendo los cambios que resulten necesarios para garantizar su funcionamiento interoperable con las tarjetas y dispositivos que determine.

7.2 Perfil de la lista de revocación de certificados

La Administración General del Estado publicará sus perfiles de listas de revocación y se reserva el derecho a supervisar el contenido de los perfiles de las listas de revocación de certificados expedidas por los prestadores de servicios de certificación, proponiendo los






cambios que resulten necesarios para garantizar su funcionamiento interoperable con los servicios de información ofrecidos por las entidades que integran la Administración General del Estado.






8 Esquema de admisión de Prestadores de servicio de certificación.

El documento "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE" establece (en su apartado 4 y el Anexo I) los requisitos y condiciones para admitir certificados de un Prestador de Servicios de Certificación para su uso por las Administraciones públicas.

Los Ministerios de Administraciones Públicas e Industria, Turismo y Comercio (MAP-MITyC), serán responsables de controlar el cumplimiento de las condiciones generales adicionales por parte de los prestadores de servicios de certificación admitidos. Este proceso se realizará de forma complementaria a las facultades de inspección y control del Ministerio de Industria, Turismo y Comercio en el ámbito de la Ley 59/2003, de 19 de diciembre, de firma electrónica. (Apartado 4.3 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE")

De esta forma, el establecimiento y actualización de la relación de certificados electrónicos admitidos en el ámbito de las relaciones con o dentro de la Administración Pública Estatal, a efectos de aplicación y verificación de la firma electrónica en los documentos electrónicos emitidos o recibidos en dicho ámbito respectivamente, se efectuará conjuntamente por el MAP y del MITyC de acuerdo con los mecanismos establecidos en el Esquema de Identificación y Firma electrónica. (Apartado 4.1 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE")

Además del proceso de admisión inicial, el prestador de servicios de certificación debe estar preparado para pasar otras revisiones, no periódicas, que demuestren su fiabilidad:

- Antes de acreditar un nuevo prestador de servicios de certificación, debe realizarse una revisión de sus documentos de seguridad y Declaración de Prácticas de Certificación para asegurar que cumple con los requisitos de seguridad y de operación necesarios.

- Si se sospecha que, en cualquier momento, el prestador de servicios de certificación no cumple con alguno de los requisitos de seguridad o si se ha detectado un compromiso de claves, ya sea una sospecha o real, o cualquier evento que pueda suponer un peligro para la seguridad o integridad del prestador de servicios de certificación, se llevará a cabo una auditoría interna.






9 Auditoría de cumplimiento

El prestador de servicios de certificación deberá realizar periódicamente una auditoría de cumplimiento, una vez ha empezado a funcionar, para determinar que está operando conforme a los requisitos de seguridad y de operación especificados en la presente política de certificación de la Administración General del Estado.

9.1 Frecuencia de la auditoría de cumplimiento

El prestador de servicios de certificación deberá llevar a cabo una auditoría de cumplimiento anualmente, además de las auditorías bajo demanda que pueda llevar a cabo bajo su propio criterio, a causa de una sospecha de incumplimiento de alguna medida de seguridad o por un compromiso de claves.

9.2 Identificación y calificación del auditor

Si el prestador de servicios de certificación dispone de un departamento de auditoría interno, éste podrá encargarse de llevar a cabo la auditoría de cumplimiento.

En el caso de no poseer ese departamento, el prestador de servicios de certificación deberá acudir a un auditor independiente, el cual debe demostrar experiencia en seguridad informática, en seguridad de sistemas de información y en auditorías de cumplimiento de servicios de certificación de clave pública.

9.3 Relación del auditor con la entidad auditada

Las auditorías de cumplimiento ejecutadas por terceros deben ser llevadas a cabo por una entidad independiente del prestador de servicios de certificación auditada, la cual no debe tener ningún conflicto de intereses que menoscabe su capacidad de llevar a cabo servicios de auditoría.

9.4 Listado de elementos objeto de auditoría

Los elementos objeto de auditoría serán los siguientes:

- Procesos de certificación de clave pública.

- Sistemas de información.

- Protección del centro de proceso.






- Cumple de todos los requerimientos establecidos en esta Política y en su DPC.

- Documentación del servicio.

Los detalles de cómo llevar a cabo la auditoría de cada uno de estos elementos se detallarán en el plan de auditoría del prestador de servicios de certificación.

9.5 Acciones a emprender como resultado de una falta de conformidad

Una vez recibido el informe de la auditoría de cumplimiento llevada a cabo, el prestador de servicios de certificación debe discutir, con la entidad que ha ejecutado la auditoría y con la Administración General del Estado, las deficiencias encontradas y desarrollar y ejecutar un plan correctivo que solvente dichas deficiencias.

Una vez que las deficiencias sean subsanadas, será necesario realizar una nueva auditoría para confirmar su implantación y la efectividad de las soluciones tomadas.

Si el prestador de servicios de certificación auditado es incapaz de desarrollar y/o ejecutar el mencionado plan o si las deficiencias encontradas suponen una amenaza inmediata para la seguridad o integridad del sistema deberá realizarse una de las siguientes acciones:

- Revocar la clave del prestador de servicios de certificación, tal y como se describe en la sección 5.7.2 de esta política.

- Terminar el servicio del prestador de servicios de certificación, tal y como se describe en la sección 5.8 de esta política.

9.6 Tratamiento de los informes de auditoría

El prestador de servicios de certificación debe entregar los informes de resultados de auditoría, a la Administración General del Estado, en un plazo máximo de 15 días tras la ejecución de la auditoría.






10 Requisitos legales

10.1 Confidencialidad

10.1.1 Tipo de información que debe protegerse

Con el propósito de realizar las tareas adecuadas para la administración de los certificados, un prestador de servicios de certificación puede solicitar información que no esté contenida en los propios certificados, tales como: datos de identificación personal de la seguridad social, direcciones postales o números de teléfono. Toda esa información deberá estar claramente indicada en la DPC.

La siguiente información será considerada como sensible por el prestador de servicios de certificación, y por tanto se deberán implantar las medidas de protección necesarias en cuanto a acceso y tratamiento:

- Solicitudes de certificados, aprobadas o denegadas, así como toda otra información personal obtenida para la expedición y mantenimiento de certificados, excepto las informaciones indicadas en la sección siguiente.

- Claves privadas generadas y/o almacenadas por el prestador de servicios de certificación.

- Registros de transacciones, incluyendo los registros completos y los registros de auditoría de las transacciones.

- Registros de auditoría interna y externa, creados y/o mantenidos por el prestador de servicios de certificación y sus auditores.

- Planes de continuidad de negocio y de emergencia.

- Política y planes de seguridad.

- Documentación de operaciones y restantes planes de operación, como archivo, monitorización y otros análogos.

- Toda otra información identificada como “Sensible”.

10.1.2 Información no sensible

La siguiente información será considerada no sensible, y de esta forma será reconocido por los afectados, en el documento jurídico vinculante con el prestador de servicios de certificación:

- Los certificados emitidos o en trámite de emisión.

- La vinculación del titular a un certificado emitido por el prestador de servicios de certificación.






- El nombre y los apellidos del titular del certificado, así como cualquier otra circunstancia o dato personal del titular, en el supuesto de que sea significativa en función de la finalidad del certificado.

- La dirección de correo electrónico del titular del certificado o la dirección de correo electrónico que corresponda.

- Los usos y límites económicos reseñados en el certificado.

- El periodo de validez del certificado, así como la fecha de emisión del certificado y la fecha de caducidad.

- El número de serie del certificado.

- Los diferentes estados o situaciones del certificado y la fecha del inicio de cada uno de ellos, en concreto: pendiente de generación y/o entrega, válido, revocado, suspendido o caducado y el motivo que provocó el cambio de estado.

- Las listas de revocación de certificados (CRLs), así como las restantes informaciones de estado de revocación.

- La información contenida en los repositorios de certificados.

- Toda otra información que no esté indicada en la sección anterior de esta política.

10.1.3 Divulgación de información de suspensión y revocación

Véase la sección anterior.

10.1.4 Divulgación legal de información

El prestador de servicios de certificación divulgará la información identificada como “Sensible” en los casos legalmente previstos para ello.

En concreto, los registros que avalan la fiabilidad de los datos contenidos en el certificado serán divulgados en caso de ser requerido para ofrecer evidencia de la correcta emisión y gestión del ciclo de vida del certificado en caso de un procedimiento judicial, incluso sin consentimiento del suscriptor del certificado.

El prestador de servicios de certificación indicará estas circunstancias en la política de intimidad prevista en la sección 10.2 de esta política.

10.1.5 Divulgación de información por petición de su titular

El prestador de servicios de certificación incluirá, en la política de intimidad prevista en la sección 10.2 de esta política, prescripciones para permitir la divulgación de la información del






suscriptor y, en su caso, del responsable del certificado, directamente a los mismos o a terceros.

10.1.6 Otras circunstancias de divulgación de información

No estipulado.

10.2 Protección de datos personales

Para la prestación del servicio, el prestador de servicios de certificación precisa recabar y almacenar ciertas informaciones, que incluyen datos personales. Tales informaciones serán recabadas directamente de los afectados, con su consentimiento explícito o en los casos en los que la ley permita recabar la información sin consentimiento del afectado.

Se recabarán los datos exclusivamente necesarios para la expedición y el mantenimiento del certificado.

El prestador de servicios de certificación deberá desarrollar una política de intimidad, de acuerdo con la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal, y documentar en su Declaración de Prácticas de Certificación los aspectos y procedimientos de seguridad correspondientes al documento de seguridad previsto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Dicha Declaración de Prácticas de Certificación tendrá la consideración de documento de seguridad.

El prestador de servicios de certificación no divulgará ni cederá datos personales, excepto en los casos previstos en las secciones 10.1.2 a 10.1.6 de esta política, y en la sección 5.8, en caso de terminación de la Entidad de Certificación.

La información confidencial de acuerdo con la LOPD será protegida de su pérdida, destrucción, daño, falsificación y procesamiento ilícito o no autorizado, de acuerdo con las prescripciones establecidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

10.3 Derechos de propiedad intelectual

10.3.1 Propiedad de los certificados e información de revocación

El prestador de servicios de certificación será la única entidad que gozará de los derechos de propiedad intelectual sobre los certificados que emita.






El prestador de servicios de certificación deberá conceder licencia no exclusiva para reproducir y distribuir certificados, sin coste alguno, siempre y cuando la reproducción sea íntegra y no altere elemento alguno del certificado, y sea necesaria en relación con firmas digitales y/o sistemas de cifrado dentro del ámbito de aplicación de esta política, y de acuerdo con el correspondiente documento jurídico vinculante entre el prestador de servicios de certificación y la parte que reproduzca y/o distribuya el certificado.

Las anteriores reglas figurarán en los documentos jurídicos vinculantes entre el prestador de servicios de certificación y los suscriptores y los terceros que confían en los certificados.

Adicionalmente, los certificados emitidos por el prestador de servicios de certificación deben contener un aviso legal relativo a la propiedad de los mismos.

Las mismas reglas resultarán de aplicación al uso de información de revocación de certificados.

10.3.2 Propiedad de la política de certificado y Declaración de Prácticas de Certificación

La Administración General del Estado será la única entidad que gozará de los derechos de propiedad intelectual sobre las políticas de certificación de la Administración General del Estado.

Cada prestador de servicios de certificación será propietario de su Declaración de Prácticas de Certificación.

10.3.3 Propiedad de la información relativa a nombres

El suscriptor conservará cualquier derecho, de existir éste, relativo a la marca, producto o nombre comercial contenido en el certificado.

El suscriptor será el propietario del nombre distinguido del certificado, formado por las informaciones especificadas en la sección 3.1 de esta política.

10.3.4 Propiedad de claves

Los pares de claves serán propiedad de los suscriptores de los certificados.

Cuando una clave se encuentre fraccionada en partes, todas las partes de la clave serán propiedad del propietario de la clave.

10.4 Obligaciones y responsabilidad civil






10.4.1 Modelo de obligaciones del prestador de servicios de certificación

El prestador de servicios de certificación debe garantizar, bajo su plena responsabilidad, que cumple con todos los requisitos establecidos en cada política de certificación para la que emite certificados.

El prestador de servicios de certificación será la única entidad responsable del cumplimiento de los procedimientos descritos en esta política, incluso cuando una parte o la totalidad de las operaciones sean subcontratadas externamente.

El prestador de servicios de certificación debe prestar sus servicios de certificación conforme con su Declaración de Prácticas de Certificación vigente, en la que se detallarán sus funciones, procedimientos de operación y medidas de seguridad.

Antes de la emisión y entrega del certificado al suscriptor, el prestador de servicios de certificación deberá informarle de los términos y condiciones relativos al uso del certificado, de su precio – cuando se establezca – y de sus limitaciones de uso.

Este requisito se podrá cumplir mediante un “Texto divulgativo de la política de certificado” aplicable, que podrá ser transmitido electrónicamente, empleando un medio de comunicación duradero en el tiempo, y en lenguaje comprensible.

El prestador de servicios de certificación debe vincular a suscriptores y terceros que confían en los certificados mediante documentos jurídicos apropiados, especificados en su Declaración de Prácticas de Certificación.

Estos documentos jurídicos deberán estar en lenguaje escrito y comprensible, y debe tener los siguientes contenidos mínimos:

- Prescripciones para dar cumplimiento a lo establecido en las secciones 4.5.2, 4.5.3, 10.4.7, 10.4.8, 10.4.9 y 10.4.10 de la presente política de certificación.

- Indicación de la política aplicable, con indicación de sí los certificados se expiden al público y de la necesidad de empleo de dispositivo seguro.

- Manifestación de que la información contenida en el certificado es correcta, excepto notificación en contra por el suscriptor.

- Consentimiento para la publicación del certificado en un repositorio y el acceso por terceros al mismo.

- Consentimiento para el almacenamiento de la información empleada para el registro del suscriptor, para la provisión del dispositivo seguro de creación de firma y para la cesión de dicha información a terceros, en caso de terminación de operaciones de la Entidad de Certificación sin revocación de certificados válidos.

- Límites de uso y de valor del certificado (Apartado 3.9 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

- Información sobre cómo validar un certificado, incluyendo el requisito de comprobar el estado del certificado, y las condiciones en las cuales se puede confiar razonablemente






en el certificado, que resulta aplicable cuando el suscriptor actúa como tercero que confía en el certificado.

- Forma en que se garantiza la responsabilidad patrimonial del prestador de servicios de certificación.

- Limitaciones de responsabilidad aplicables, incluyendo los usos por los cuales el prestador de servicios de certificación acepta o excluye su responsabilidad.

- Periodo de archivo de información de solicitud de certificados.

- Periodo de archivo de registros de auditoría.

- Procedimientos aplicables de resolución de disputas.

- Ley aplicable y jurisdicción competente.

- Si la Entidad de Certificación ha sido declarada conforme con la política de certificación y, en su caso, de acuerdo con qué sistema.

El prestador de servicios de certificación debe asumir otras obligaciones incorporadas directamente en el certificado o incorporadas por referencia.

10.4.2 Garantías ofrecidas a suscriptores y terceros que confían en los certificados

El prestador de servicios de certificación, en los documentos jurídicos que le vinculen con suscriptores y terceros que confían en los certificados, establecerá y rechazará garantías, y establecerá las limitaciones de responsabilidad aplicables.

El prestador de servicios de certificación, como mínimo, garantizará al suscriptor:

- Que no hay errores de hecho en las informaciones contenidas en los certificados, conocidos o realizados por el prestador de servicios de certificación y, en su caso, por el registrador.

- Que no hay errores de hecho en las informaciones contenidas en los certificados, debidos a falta de diligencia en la gestión de la solicitud de certificado o en la creación del mismo.

- Que los certificados cumplen con todos los requisitos materiales establecidos de la Declaración de Prácticas de Certificación.

- Que los servicios de revocación y el empleo del Repositorio cumplen con todos los requisitos materiales establecidos en la Declaración de Prácticas de Certificación.

El prestador de servicios de certificación, como mínimo, garantizará al tercero que confía en el certificado:

- Que la información contenida o incorporada por referencia en el certificado es correcta, excepto cuando se indique lo contrario.

- En caso de certificados publicados en el Repositorio, que el certificado ha sido emitido al suscriptor identificado en el mismo y que el certificado ha sido aceptado, de acuerdo con la sección 4.4 de la presente política de certificación.






- Que en la aprobación de la solicitud de certificado y en la emisión del certificado se han cumplido todos los requisitos materiales establecidos en la Declaración de Prácticas de Certificación.

- La rapidez y seguridad en la prestación de los servicios, en especial de los servicios de revocación y de Repositorio.

Adicionalmente, cuando emita un certificado de firma electrónica, el prestador de servicios de certificación garantizará al suscriptor y al tercero que confía en el certificado:

- Que el certificado contiene las informaciones que debe contener un certificado reconocido, de acuerdo con el artículo 11 de la Ley 59/2003, de 19 de diciembre.

- Que, en el caso de que genere las claves privadas del suscriptor, se mantiene su confidencialidad durante el proceso.

- La responsabilidad del prestador de servicios de certificación, con los límites que se establezcan.

10.4.3 Rechazo de otras garantías

El prestador de servicios de certificación podrá rechazar toda otra garantía que no sea legalmente exigible, excepto las contempladas en la sección 10.4.2 .

10.4.4 Limitación de responsabilidades

El prestador de servicios de certificación limitará su responsabilidad a la emisión y gestión de certificados y, en su caso, de pares de claves de suscriptores y dispositivos criptográficos (de firma y verificación de firma, así como de cifrado o descifrado) suministrados por el prestador de servicios de certificación.

El prestador de servicios de certificación podrá limitar su responsabilidad mediante la inclusión de límites de uso del certificado, y límites de valor de las transacciones para las que puede emplearse el certificado (Apartado 3.9 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

10.4.5 Cláusulas de exención de responsabilidades

10.4.5.1 Cláusula de exención de responsabilidades con el suscriptor

El prestador de servicios de certificación podrá incluir, en el documento jurídico que le vincule con el suscriptor, una cláusula por la cual el suscriptor se compromete a mantener indemne al prestador de servicios de certificación de todo daño proveniente de cualquier acción u






omisión que resulte en responsabilidad, daño o pérdida, gasto de cualquier tipo, incluyendo los judiciales y de representación letrada en que pueda incurrir, por la publicación y uso del certificado, cuando concurra alguna de las siguientes causas:

- Falsedad o manifestación errónea realizada por el usuario del certificado.

- Error del usuario del certificado al facilitar los datos de la solicitud, si en la acción u omisión medió dolo o negligencia con respecto al prestador de servicios de certificación, la entidad de registro o cualquier persona que confía en el certificado.

- Negligencia en la protección de la clave privada, en el empleo de un sistema fiable o en el mantenimiento de las precauciones necesarias para evitar el compromiso, la pérdida, la divulgación, la modificación o el uso no autorizado de dicha clave.

- Empleo por el suscriptor de un nombre (incluyendo nombres comunes, dirección de correo electrónico y nombres de domino), u otras informaciones en el certificado, que infrinja derechos de propiedad intelectual o industrial de terceros.

10.4.5.2 Cláusula de exención de responsabilidades con tercero que confía en el certificado

El prestador de servicios de certificación deberá incluir, en el documento jurídico que le vincule con el tercero que confía en el certificado, una cláusula por la cual el tercero que confía en el certificado se compromete a mantener indemne al prestador de servicios de certificación de todo daño proveniente de cualquier acción u omisión que resulte en responsabilidad, daño o pérdida, gasto de cualquier tipo, incluyendo los judiciales y de representación letrada en que pueda incurrir, por la publicación y uso del certificado, cuando concurra alguna de las siguientes causas:

- Incumplimiento de las obligaciones del tercero que confía en el certificado.

- Confianza temeraria en un certificado, a tenor de las circunstancias.

- Falta de comprobación del estado de un certificado, para determinar que no se encuentra suspendido o revocado.

10.4.6 Caso fortuito y fuerza mayor

El prestador de servicios de certificación incluirá cláusulas para limitar su responsabilidad en caso fortuito y en caso de fuerza mayor, en los documentos jurídicos con los que vincule a suscriptores y terceros que confían en los certificados.

10.4.7 Ley aplicable

El prestador de servicios de certificación deberá establecer, en sus documentos jurídicos vinculantes con suscriptores y terceros que confían en los certificados, que la ley aplicable a






la prestación de los servicios, incluyendo la política y prácticas de certificación, es la ley española.

En la presente política de certificación se asumen como textos de referencia los siguientes, pertenecientes al marco legislativo Español:

• Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

• La Ley 59/2003, de 19 de diciembre, de Firma Electrónica.

• La directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica.

• Ley 6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración General del Estado.

10.4.8 Cláusulas de divisibilidad, supervivencia, acuerdo íntegro y notificación

El prestador de servicios de certificación deberá establecer, en las condiciones generales de emisión y uso de certificados, cláusulas de divisibilidad, supervivencia, acuerdo íntegro y notificación:

- En virtud de la cláusula de divisibilidad, la invalidez de una cláusula no afectará al resto del contrato.

- En virtud de la cláusula de supervivencia, ciertas reglas continuarán vigentes tras la finalización de la relación jurídica reguladora del servicio entre las partes. A este efecto, se velará porque, al menos los requisitos contenidos en las secciones 10.4 (Obligaciones y responsabilidad), 8 (Auditoría de cumplimiento) y 10.1 (Confidencialidad), continúen vigentes tras la terminación de los servicios.

- En virtud de la cláusula de acuerdo íntegro se entenderá que el documento jurídico regulador del servicio contiene la voluntad completa y todos los acuerdos entre las partes.

- En virtud de la cláusula de notificación se establecerá el procedimiento por el cual las partes se notifican hechos mutuamente.

10.4.9 Cláusula de jurisdicción competente

El prestador de servicios de certificación deberá establecer, en sus documentos jurídicos vinculantes con suscriptores y terceros que confían en los certificados, una cláusula de jurisdicción competente, indicando que la competencia judicial internacional corresponde a los jueces españoles.

La competencia territorial y funcional se determinará en virtud de las reglas de derecho internacional privado y reglas de derecho procesal que resulten de aplicación.






10.4.10 Resolución de conflictos

El prestador de servicios de certificación deberá establecer, en sus documentos jurídicos vinculantes con suscriptores y terceros que confían en los certificados, los procedimientos de mediación y resolución de conflictos aplicables.

Las situaciones de discrepancia que se deriven de la utilización del empleo de los certificados emitidos por el prestador de servicios de certificación, se resolverán aplicando los mismos criterios de competencia que en los casos de los documentos firmados manuscritamente.

En los supuestos de controversia producidos como consecuencia de la gestión de los certificados entre las diferentes entidades de los prestadores de servicios de certificación acreditados u homologados, se estará a lo establecido en la Declaración de Prácticas de Certificación aplicable.

Esquema de identificación y firma electrónica de las ... · PDF fileEsquema de...

Documents

Transcript of Esquema de identificación y firma electrónica de las ... · PDF fileEsquema de...