eID Declaración de Prácticas de Certificación (DPC)

Electronic IDentification
Declaración de Practicas de Certificación (DPC)
Autor: Grupo/s de Trabajo/s Técnico y Legal
Fecha Creación: 08/02/2014

Ultima Actualización: 1/6/2016

    

Nota Importante: Este documento es propiedad de Electronic IDentification Sociedad Limitada (En adelante eID). Está prohibida su reproducción y difusión y expresa autorización de su propietario.

 

 

 

Contenido del documento

Contenido del documento.. 1

1       Introducción. 4

1.1        Infraestructura Básica de Servicio (IBS) de eID (Saas) 4

1.2        Identificación.. 4

1.3        Objetivos de la Declaración de Prácticas de Certificación (DPC) 5

1.4        Referencias y Estándares. 5

1.5        Definiciones. 5

1.6        Acuerdos con Terceros. 13

2       Controles de seguridad, registro de eventos y auditorias. 13

2.1        Registro de Eventos. 13

2.1.1     Tipos de eventos registrados. 14

2.1.2     Protección de un registro de actividad. 14

2.1.3     Procedimientos de copias de seguridad de los registros auditados. 14

2.1.4     Sistemas de archivo de registros. 14

2.1.5     Datos relevantes que serán registrados. 14

2.1.6     Protección de archivos. 15

2.1.7     Realización de copias e seguridad de los archivos. 15

2.1.8     Obtención y verificación de la información archivada. 15

2.2        Controles de seguridad física, de procedimientos y de personal. 15

2.3        Controles de Seguridad Física.. 15

2.3.1     Situación del Centro de Proceso de Datos. 15

2.4        Controles de procedimiento.. 15

2.5        Controles de seguridad de personal. 16

2.5.1     Procedimiento disciplinario. 16

2.5.2     Conductas inadecuadas. 17

2.5.3     Aplicaciones que comprometen la seguridad. 17

2.5.4     Actividades no permitidas. 17

2.5.5     Denuncia obligatoria. 18

2.6        Controles de seguridad técnica.. 18

2.6.1     Gestión del ciclo de vida de las Claves del Prestador de Servicios de Certificación. 18

2.6.2     Gestión del ciclo de vida de las Claves del Suscriptor. 19

2.6.3     Controles de seguridad de los componentes técnicos. 20

2.6.4     Controles de seguridad de la red. 20

2.6.5     Controles de ingeniería del modulo criptográfico. 20

2.6.6     Niveles de seguridad. 20

2.6.7     Restablecimiento de los servicios en caso de fallo o desastre. 20

2.6.8     Terminación de la actividad de CSL como Prestador de Servicios de Certificación. 21

2.7        Auditorias. 21

2.7.1     Protección de las herramientas de auditoria. 21

2.7.2     Identidad del auditor. 21

2.7.3     Resultados de la auditoria y acciones correctivas. 22

2.7.4     Comunicación de los resultados. 22

2.7.5     Plan de auditorias. 22

3       Soporte del certificado.. 22

4       Tipos de certificados emitidos por CSL. 23

5       Condiciones generales del Servicio.. 23

5.1        Certificados Electrónicos. 24

5.2        Ciclo de vida del Certificado.. 24

5.2.1     Solicitud de Certificado. 24

5.2.2     Emisión de Certificados. 24

5.2.3     Archivo de los Datos de verificación de Firma. 24

5.2.4     Uso y aceptación de los Certificados. 24

5.2.5     Publicación de los Certificados en Directorio Seguro. 25

5.2.6     Renovación de los Datos de creación de Firma y de los Datos de verificación de Firma. 26

5.3        Vigencia de los Certificados. 26

5.3.1     Caducidad. 26

5.3.2     Extinción de la vigencia del Certificado. 26

5.3.3     Revocación de Certificados. 26

5.3.4     Suspensión de Certificados. 28

5.4        Generación y publicación de las Listas de Revocación.. 29

5.5        Procedimientos de consulta del estado de los Certificados. 29

5.6        Servicio de validación de Certificados mediante OCSP. 29

5.7        Renovación de Certificados. 30

5.8        Cese de la actividad del Prestador de Servicios de Certificación: Transferencia de la prestación del servicio. 30

5.9        Cambio de los Datos de creación de Firma de CSL. 30

5.10      Obligaciones y Garantías de las Partes. 30

5.10.1       Obligaciones y garantías del Prestador de Servicio de Certificación. 30

5.10.2       Obligaciones de la Oficina de Registro. 32

5.10.3       Obligaciones del Suscriptor. 33

5.10.4       Obligaciones de la Entidad usuaria. 33

5.11      Responsabilidad de las Partes. 34

5.11.1       Responsabilidad del Prestador de Servicios de Certificación. 34

5.11.2       Responsabilidad de la Oficina de Registro. 34

5.11.3       Responsabilidad del Solicitante. 35

5.11.4       Responsabilidad del Suscriptor. 35

5.11.5       Responsabilidad de la Entidad Usuaria. 35

5.12      Datos de Carácter Personal. 36

5.12.1       Objetivo y presentación del Documento de Seguridad LOPD. 36

5.12.2       Principios y normas de obligado cumplimiento. 36

5.12.3       Funciones y obligaciones del personal 36

5.12.4       Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. 37

5.12.5       Procedimientos de copias de seguridad y recuperación de datos. 38

5.12.6       Control de acceso. 39

5.12.7       Régimen de trabajo fuera de los locales de la ubicación del fichero. 39

5.12.8       Ficheros temporales. 39

5.12.9       Gestión de soportes. 39

5.12.10     Auditoría. 40

5.12.11     Acceso Lógico. 40

5.12.12     Acceso a los sistemas. 41

5.12.13     Pruebas con datos reales. 41

5.12.14     Proceso de revisión. 41

5.13      Propiedad Intelectual e Industrial. 42

6       Orden de Prelación. 42

7       Ley aplicable, interpretación y jurisdicción competente. 42

8       Modificación de la declaración de prácticas de certificación. 42

9       Resolución de conflictos en los supuestos de prestación de servicios de certificación y firma electrónica sobre certificados propios. 43

10     Anexo I. Prácticas de Certificación particulares de los Certificados de identidad de persona física. 45

10.1      tipología del certificado de identidad de persona física.. 45

10.2      Gestión del ciclo de vida del Certificado de Identidad de Persona Física.. 45

10.2.1       Solicitud del Certificado. 45

10.2.2       Confirmación de la identidad personal 45

10.2.3       Envío de información a CSL. 46

10.2.4       Emisión del Certificado de persona física. 46

10.2.5       Período de validez del Certificado de Identidad de persona física. 50

10.2.6       Revocación del Certificado de Identidad de persona física. 50

10.2.7       Suspensión del Certificado de Identidad de persona física. 51

10.2.8       Cancelación de la suspensión del Certificado de Identidad de persona física. 51

10.2.9       Renovación del Certificado de Identidad de persona física. 52

10.2.10     Comprobación del estado del Certificado de Identidad de persona física. 52

10.3      Terminación de CSL en su actividad como Prestador de Servicios de Certificación.. 53

10.4      Obligaciones, garantías y responsabilidad de las partes. 53

10.5      Limites de uso de los certificados de identidad de persona física.. 53

 

 

 

1        Introducción

Electronic IDentification (en adelante eID) , protegido bajo marca denominativa comunitaria (MC),  es un producto propiedad de Electronic IDentification Soliedad Limitada (En adelante eIDSL), inscrita en el Registro Mercantil de Madrid el 13 de Marzo de 2013 con NIF B86681533.

La fecha de este documento es 8 de Febrero de 2014

eIDSL, como prestador de servicios de certificación, ha diseñado y construido la infraestructura técnica necesaria con el fin de proveer servicios electrónicos a sus clientes con las máximas garantías de seguridad. Esta infraestructura técnica, denominada eID (eID)  se ofrece como una plataforma con el modelo de software como servicio o en las instalaciones del cliente, pudiendo ser esta un conjunto de mecanismos, procesos, código y arquitectura de software propio y de terceros y la Infraestructura de Clave Pública cuyo objeto es la provisión de un catálogo de servicios que proteja las transacciones y comunicaciones entre organizaciones y personas, basándose en el uso sencillo de los certificados electrónicos para la firma electrónica y la integridad de los contenidos y para la identificación electrónica.

1.1      Infraestructura Básica de Servicio (IBS) de eID

 

eIDSL proporciona una plataforma eID básica de servicio. Esta plataforma cumple con los requisitos básicos de seguridad en un entorno cerrado para los clientes y por lo tanto privada para su uso. Esta plataforma es básica para la prestación de los servicios de certificación.

 

La IBS eID ha sido diseñada de forma robusta, tolerante a fallos y escalable, gracias a la utilización de un conjunto de servidores balanceados en distintos procesos de datos, a través de los servicios en la nube de Amazon (AWS-Amazon Web Services).

 

Así mismo, la plataforma ha sido diseñada para cumplir con los máximos estándares de calidad en lo referente a la seguridad de los sistemas de información, la privacidad de los datos de carácter personal y la leyes de firma electrónica y sociedad de la información y comercio electrónico, siguiendo los estándares señalados en la tabla de abajo en las distintas vertientes de seguridad y privacidad.

 

Ámbito Leyes / Normativas / Estándares Responsable Notas Enlace
Privacidad Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal Electronic IDentification SL Política de Privacidad
Privacidad LOPD, Safe Harbour Amazon Web Services AWS Customer AgreementAWS Amendment to Customer Agreement about privacy spanish laws
Seguridad Física y Lógica SOC, PCI DSS, CSA, ISO 27001 Amazon Web Services AWS Compliance
Seguridad Código Open Web Application Security Project Methodology OWASP Electronic IDentification SL Penetration Testing Security Audit

 

1.2      Identificación

El presente documento se denomina Declaración de Prácticas de Certificación (en adelante DPC).

Este documento estará disponible en su última versión en vigor y  de forma pública en el siguiente enlace:

http://www.electronicid.eu/?p=379

1.3      Objetivos de la Declaración de Prácticas de Certificación (DPC)

El objetivo de este documento de Declaración de Prácticas de Certificación (DPC) es el de describir las políticas y buenas prácticas utilizadas para la provisión de servicios de la Plataforma eID en la emisión de certificados electrónicos, tomando como referencia la legislación vigente en materia de firma e identificación electrónica, de comercio electrónico y de protección de datos de carácter personal.

eIDSL se compromete y obliga, como Prestador de Servicios de Certificación a cumplir en relación con la gestión de los Datos de Creación y verificación de Firma y de los Certificados digitales las condiciones aplicables a la solicitud, expedición uso suspensión y extinción de la vigencia de los Certificados.

El documento recoge los detalles del régimen de responsabilidad aplicable a los miembros de la Comunidad Electrónica los controles de seguridad aplicados a sus procedimientos y a las normas de secreto y confidencialidad, así como cuestiones relativas a la propiedad de sus bienes y activos, a la protección de datos de carácter personal y demás cuestiones de tipo informativo que considere interesante poner a deposición del público.

 

1.4       Referencias y Estándares.

Para la elaboración de de este documento se han tenido en cuenta las siguientes referencias:

El esquema de firma electrónica adoptado, coherente con la Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999, que establece un marco común para la Firma Electrónica.

RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework y ETSI 101 456 Policy requirements for certification authorities issuing certificates.

1.5      Definiciones

Este apartado describe los conceptos básicos relacionados con la Infraestructura de Clave Pública (PKI-Public Key Infrastructure):

Agentes de Fechado: Prestador del Servicio de Fechado Electrónico

Agentes de OCSP: Prestador del servicio OCSP.

APD: Agencia Española de Protección de Datos. Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Su finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personas y controlar su aplicación.

BOE: Diario Oficial impreso y distribuido por el Boletín Oficial del Estado. Organismo público adscrito al Ministerio de la Presidencia, encargado además de imprimir y distribuir el Boletín Oficial del Registro Mercantil de publicar repertorios, compilaciones de texto jurídicos, y de la ejecución de los trabajos de imprenta de carácter oficial solicitados por el Ministerios organismos y otras entidades públicas.

C: En el ámbito del presente documento, es una abreviatura del vocablo inglés “Country” cuyo significado en español es “país”. El “País” es un atributo que forma parte del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500 utilizado para nombrar la entrada correspondiente del objeto.

Cadena de certificación: Una lista ordenada de Certificados que contiene al menos un Certificado y el Certificado Raíz de eIDSL, sirviendo los Datos de Verificación de Firma contenidos en este ultimo para posibilitar la autenticación del Certificado.

Certificado: Por defecto deberá entenderse toda certificación electrónica para la que el Solicitante haya acreditado necesariamente la identidad del Suscriptor, ya sea de manera física o por medios telemáticos a través de los procedimientos establecidos al efecto por eID, que vincula a este unos Datos de verificación de Firma y confirma por lo menos su identidad.

Certificado electrónico de persona física: La certificación electrónica expedida por eIDSL a través de su plataforma eID que vincula a su Suscriptor unos Datos de verificación de Firma, y confirma su identidad en los parámetros establecidos por eID y que podrán quedar reflejados en el propio certificado. eIDSL expide Certificados de Identidad de persona física (no reconocidos)  bajo la Política de Certificación de Certificados de eIDSL.

Certificado Raíz: Certificado cuyo Suscriptor es eIDSL, y que, estando auto firmado es decir emitido haciendo uso de los Datos de Creación de Firma vinculados a los Datos de verificación de Firma de contenidos en el propio Certificado, se conforma como el último Certificado de la cadena de confianza de todos los Certificados emitidos por eIDSL.

Cifrado Asimétrico: Transcripción en símbolos, de acuerdo con una Clave de cifrado, de un mensaje cuyo contenido se quiere ocultar conforme a un algoritmo tal que, el conocimiento de la Clave de cifrado no es suficiente para descifrar la transcripción, siendo necesario el conocimiento de la correspondiente Clave de descifrado. El conocimiento de la Clave de cifrado no implica el conocimiento de la Clave de descifrado, ni viceversa.

Clave: Secuencia de símbolos que controlan las operaciones de cifrado y descifrado.

Clave Privada: Del par de Claves criptográficas correspondientes a un Cifrado asimétrico, aquella destinada a permanecer en secreto. Las Claves Privadas pueden constituir en función de su generación y utilización Datos de creación de Firma.

Clave Pública: del par de Claves criptográficas correspondientes a un Cifrado asimétrico, aquella destinada a ser divulgada. Las Claves Publicas pueden constituir, en función de su generación y utilización, Datos de verificación de Firma.

Cliente OCSP: Herramienta necesaria para que las Entidades usuarias de Derecho Privado, y , en su caso, de Derecho público, puedan hacer peticiones OCSP. CSL facilitará una relación de productos de libre distribución, pero no suministrará Cliente OCSP dada su amplia disponibilidad en el Mercado.

CN: Contracción de los vocablos ingleses “Common Name” cuyo significado en español es “Nombre Común”. El “Nombre Común” es un atributo que forma parte del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500 utilizado para nombrar la entrada correspondiente al objeto.

Comunidad Electrónica (en adelante Comunidad Electrónica o personas y/o entidades usuarias): Conjunto de personas y entidades usuarias que se relacionan con Certificados entre si, bajo el marco general de la presente Declaración de Prácticas de Certificación, y particular de los correspondientes convenios y/o contratos que hayan suscrito, directamente o a través de representantes, con eIDSL.

Tendrán también la consideración de miembros de la Comunidad Electrónica las personas y entidades que utilizaran certificados electrónicos de prestadores distintos a eIDSL cuando se relacionaran con otros miembros de la Comunidad electrónica, siempre que se hubieran declarados reconocidos y/o equivalentes estos certificados por eIDSL a través de los correspondientes acuerdos.

eIDSL informará a través de las direcciones web establecidas en esta Declaración de los miembros integrantes de la Comunidad Electrónica cuando se trate de Administraciones públicas y Organismos y/o entidades y organizaciones empresariales si no existiera pacto o disposición legal que lo impida.

Confidencialidad: Cualidad que supone que la información no es accesible o no ha sido revelada a personas, entidades o procesos no autorizados.

Contrato o convenio: Instrumentos jurídicos previstos en la legislación correspondiente y/o de acuerdo con la autonomía de la voluntad, en los que se formaliza la relación para la prestación de servicios por eIDSL. Queda incluido en la categoría los contratos de emisión (formularios) revocación, renovación de certificados correspondientes así como la aceptación de las condiciones de uso y limitaciones de las que sean informados los miembros de la Comunidad Electrónica a través de sistemas electrónicos, informáticos y telemáticos con tal carácter.

CPD: Centro de Proceso de Datos

Criptografía: Disciplina que abarca los principios, significados y métodos para la transformación de datos para de este manera, ocultar el contenido, impidiendo su modificación no detectada y/o prevenir su uso no autorizado.

Datos de creación de firma: Son los datos únicos, como código o claves criptográficas privadas, que el signatario utiliza para crear firmas electrónicas. A efectos prácticos de esta Declaración de Prácticas de Certificación siempre coincidirá, desde un punto de vista técnico, con una Clave criptográfica asimétrica Privada.

Datos de verificación de Firma: Son los datos como códigos o claves criptográficas públicas que se utilizan para verificar firmas electrónicas. A efectos prácticos de esta declaración de Prácticas de Certificación siempre coincidirán, desde un punto de vista técnico con una Clave criptográfica asimétrica Pública.

Declaración de Prácticas de Certificación: Declaración puesta a disposición del público por vía electrónica y de forma gratuita, que eIDSL realiza en calidad de Prestador de Servicios de Certificación y en cumplimiento de lo dispuesto por la Ley, detallando: las obligaciones que se compromete a cumplir en relación con la gestión de los Datos de creación y verificación de Firma y de los Certificados: las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los Certificados y, en su caso, la existencia de procedimientos de coordinación con los Registros públicos correspondientes que permitan el intercambio de información de manera inmediata sobre la vigencia de los poderes indicados en los Certificados y que deban figurar preceptivamente inscritos en dichos registros. Además en el presente documento se recogen: los detalles del régimen de responsabilidad aplicable a eIDSL como Prestador de Servicios de Certificación, a las Oficinas de Registro, a los Solicitantes a los Suscriptores, y a las Entidades usuarias, los controles de seguridad aplicados a sus procedimientos e instalaciones en aquello que pueda ser publicado sin perjudicar la eficacia de los mismos y las normas de secreto y confidencialidad así como condiciones relativas a la propiedad de bienes y activos, a la protección de datos de carácter personal y demás cuestiones de tipo informativo que eIDSL considere interesante poner a disposición del público.

Directorio: Repositorio de información que sigue el estándar X.500 del ITU-T.

Disponibilidad: Cualidad de los datos o de la información que implica su condición de disponible, esto es: la posibilidad de disponer de ella o la posibilidad de utilizarla o usarla.

Dispositivo de creación de Firma: es un programa o sistema informático que sirve para aplicar los Datos de Creación de Firma, que cumple con los requisitos establecidos en las normas especificas de aplicación en España. Este dispositivo de creación de firmas se encuentra ubicado en la nube, está a disposición del usuario desde cualquier dispositivo y garantiza, de acuerdo con lo previsto en la Ley53/2009, de firma electrónica que:

a) los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.

b) existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.

c) los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.

d) el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.

DN: Contracción de los vocablos ingleses “Distinguished Name” cuyo significado en español es “nombre Distintivo”. El “Nombre Distintivo” es la identificación univoca de una entrada dentro de la estructura de directorio X.500. El DN está compuesto por el nombre común (CN) de la entrada más una serie de atributos que identifican la ruta seguida dentro de la estructura del directorio X500 para llegar a dicha entrada.

Documento Electrónico: Conjunto de registros lógicos almacenado en soporte susceptible de ser leído por equipos electrónicos de procesamiento de datos, que contiene información que ilustra sobre algún hecho.

Documento Nacional de Identidad Electrónico (DNI-e): Documento oficial expedido por los órganos competentes del Estado que permite la identificación y firma electrónica, caso  que se activada por los interesados. El DNI-e tendrá el régimen legal y efectos previstos en la legislación específica.

Documento de Seguridad LOPC: Documento cuyo objetivo es establecer las medidas de seguridad a implantar por eIDSL en el entorno del Prestador de Servicios de Certificación, para la protección de los datos de carácter personal contenidos en el Fichero de Usuarios de Sistemas Electrónicos, Informáticos y Telemáticos (EIT), regulado por la Orden del Ministerio de Economía de 11 de diciembre de 2001 (BOE de 28 de diciembre).

Conceptos relacionados:

Administrador de la aplicación: Personal encargado de implementar las políticas definidas por el Responsable del Fichero en la aplicación que contiene el Fichero de Usuarios de Sistemas EIT. Tendrá los accesos necesarios para conceder, alterar o anular el acceso autorizado sobre los datos o recursos, previa autorización de los mismos por el Responsable de Seguridad. Se encargará de comunicar las incidencias de seguridad que ocurran al Responsable de Seguridad.

Auditor de Seguridad: Personal encargado de revisar y evaluar los controles propuestos en este documento o cualquier otro referenciado. Elabora informes con el grado de cumplimiento y las discrepancias encontradas.

Cesión (de datos): toda obtención de datos resultante de la consulta de un fichero, la publicación de toda o parte de la información contenida en un fichero, su interconexión con otros ficheros, y toda comunicación de datos realizada por una persona distinta del afectado.

Consentimiento (del interesado): toda manifestación de voluntad libre inequívoca, especifica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen.

Encargado del Tratamiento: la persona física, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Personal de Seguridad Informática: Personal encargado de coordinar y controlar las medidas definidas en este manual de seguridad en cuanto a LOPD. También se encarga tanto de mantener y revisar las incidencias que ocurran y realizar los informes sobre estas incidencias para remitirlos al Responsable del Fichero, a través del Responsable de Seguridad. Además por instrucción del Responsable del Fichero, facilitan las autorizaciones para que se lleven a cabo las solicitudes de altas, modificaciones o bajas de accesos a la aplicación donde están los datos del Fichero de Usuarios de Sistemas EIT y en caso de no estar de acuerdo con la solicitud la contrasta con el Responsable de Seguridad y el Responsable del Fichero.

Operador de backup: Personal responsable de la realización de las copias de seguridad y su posterior etiquetado y almacenamiento de forma segura que depende del Área de Explotación, del Prestador de Servicios de Certificación de eIDSL.

Responsable del Fichero (o del tratamiento): Persona que decide sobre la finalidad, contenido y uso del tratamiento. Es el encargado de autorizar los accesos necesarios y definir la política que crea conveniente para la seguridad de los datos. También se encarga de revisar los informes periódicos de incidencias. Todo ello sin perjuicio de la consideración de eIDSL como responsable del fichero a los efectos de lo dispuesto en la normativa vigente en materia de protección de datos de carácter personal.

Responsable de Seguridad. Encargado de coordinar y controlar las medidas que impone el Documento de Seguridad LOPD en cuanto al Fichero de Usuario EIT según LOPD.

Usuarios de la Aplicación: Personal que requiere los datos del Fichero de Usuarios de Sistemas EIT para desarrollar sus funciones. Los tipo sde acceso serán diferentes en relación con el trabajo que se lleva a cabo. Los usuarios son empleados del Prestador de Servicios de Certificación de eIDSL y tienen acceso a la información dependiendo del nivel de autorización otorgado por el Responsable del Fichero.

EIT: Técnicas y medios electrónicos, informáticos y telemáticos.

Entidad usuaria: Aquella entidad pública o privada que ha firmado un contrato o convenio con eIDSL para actuar en la Comunidad Electrónica.

Fechado electrónico: Consignación de la fecha y hora en un documento electrónico mediante procedimientos criptográficos indelebles basándose en las especificaciones Request form Comments: 3161 – “Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)”, que logra fechar el documento de forma objetiva. También se refiere como sellado de tiempo.

Firma electrónica avanzada: Es aquella Firma electrónica que permite establecer la identidad personal del Suscriptor respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto el Suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que éste puede mantener bajo su exclusivo control.

Firma electrónica: Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos que pueden ser utilizados como medio de identificación personal.

Función hash: Una Función hash es una operación que se realiza sobre un conjunto de datos de cualquier tamaño de tal forma que se obtiene como resultado otro conjunto de datos, en ocasiones denominado “resumen” o “hash” de los datos originales de tamaño fijo e independiente del tamaño original que, además, tiene la propiedad de estar asociado unívocamente a los datos iniciales, es decir, es prácticamente imposible encontrar dos mensajes distintos que tengan un resumen Hash idéntico.

Hash: Resultado de tamaño fijo que se obtiene tras aplicar una Función hash a un mensaje, con independencia del tamaño de este, y que cumple la propiedad de estar asociado unívocamente a los datos iniciales.

Hashing: Aplicación de una Función hash a un conjunto de datos.

Hoster informático: Prestador de servicios informáticos de alojamiento de aplicaciones y/o de datos de terceros que permite la conectividad del destinatario del servicio con los mismo y el acceso a ellos por los usuarios.

Infraestructura de Claves Públicas (PKI-Public Key Infrastructure): Infraestructura capaz de soportar la gestión del Claves Públicas para los servicios de autenticación cifrado, integridad y no repudio.

Integridad: Cualidad que implica que el conjunto de datos que configura el mensaje no carece de ninguna de sus partes. Desde el punto de vista de la información que esos datos pudieran implicar, supone una inalterabilidad tanto de contenido como estructural.

Ley de Emisión: Conjunto de características y jurídicas de un determinado tipo de Certificado electrónico, de acuerdo con las Políticas y Prácticas de Certificación expresadas en esta Declaración de Practicas de Certificación y en los correspondientes contratos y/o convenios con los miembros de la Comunidad Electrónica, sobre la base de la autonomía de la voluntad.

Listas de Revocación (CRLCertification Revocation List): Lista de acceso restringido donde figuran exclusivamente las relaciones de Certificados revocados, suspendidos y, por seguridad los caducados.

LOPD: Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal, que tienen por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales las libertados públicas y los derechos fundamentales de las personas físicas y especialmente su honor e intimidad personal y familiar.

MD5. Message Digest (algoritmo de resumen de mensajes) en su versión 5. Desarrollado por el R.Rivest en 1991 y publicada su descripción en la RFC 1321. El algoritmo consiste en tomar mensajes de longitud arbitraria y generar un resumen de 128 bits de longitud. La probabilidad de encontrar dos mensajes distintos que produzcan un mismo resumen es prácticamente nula Por este motivo se usa para dotar de Integridad los documentos durante el proceso de firma electrónica.

Malware (Malicious software o Software malicioso): Véase Software malicioso.

Navegador (navegador Web, browser): Programa que permite visualizar los contenidos de las paginas web en internet. También se conoce con el nombre de Browser. Algunos ejemplos de navegadores Web o browser son: Internet Explorer, Chrome, Firefox o Safari.

Numero de serie de certificado: Valor entero, único dentro de la Plataforma eID, que está asociado inequívocamente con un Certificado expedido por ella. En presencia de dos certificados distintos pero asociados  la misma entidad, y sin confirmación de revocación para ninguno, permite identificar lel mas reciente gracias al número de serie y revocar de oficio el anterior.

OCSP (Online Certificate Statuss Protocol): Protocolo informático que permite comprobar de forma rápida y sencilla la vigencia de un certificado electrónico.

Oficinas de Registro: oficinas instaladas por eIDSL, o por otra entidad siempre que medie convenio con eIDSL suscrito por dicha entidad o por su superior jerárquico administrativo, que se constituyen a fin de facilitar, tanto en el ámbito nacional como internacional, la presentación de solicitudes relativas a los Certificados, con la finalidad de realizar la confirmación de sus identidad y la entrega de los correspondientes títulos acreditativos de las cualidad personales, facultades de representación y demás requisitos exigidos por el tipo de Certificado que se solicite.

Operación Manual a Explotación: secuencia de operaciones que encontrándose documentadas son realizadas de forma manual por un operador de eIDSL.

OU: Contracción de los vocablos ingleses “Organizational Unit” cuyo significado en español es “Unidad Organizativa”. La unidad organizativa es un atributo que forma parte del Nombre Distintivo de un objeto dentro de la estructura de directorio X.500

O: En el ámbito del presente documento, es una abreviatura del vocablo inglés “Organization” cuyo significado en español es “Organización”. La “Organización es un atributo que forma parte del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500 utilizado para nombrar la entrada correspondiente al objeto.

PC/SC: Contracción de los vocablos ingleses “Personal Computer/Smart Card” cuyo significado en español es “Computadores Personales/Tarjetas Inteligentes”. Es una especificación desarrollada por el Grupo de Trabajo PC/SC para facilitar la interoperabilidad necesaria para permitir que la tecnología de Tarjetas de Circuitos Integrados también conocida como Tarjetas Inteligentes puedan ser eficientemente utilizadas en entornos de computadores personales.

PIN: Contracción de los vocablos ingleses “personal Identification Number” cuyo significado en español es “Número de Identificación Personal”. Es un número especifico para ser únicamente conocido por la persona que tiene que acceder a un recurso que se encuentra protegido por este mecanismo.

PKCS (Public-Key Cryptography Standards): Estándares criptográficos de Clave Pública producida por RSA Laboratorios, y aceptados internacionalmente como estándares.

PKCS#7 (Cryptographic Message Syntax Standard): Estándar criptográfico de Clave Pública producido por RSA Laboratorios, y aceptado internacionalmente como estándar, que define una sintaxis genérica para mensajes que incluyan mejoras criptográficas, tales como firma digital y/o cifrado.

PKCS#10 (Certification Request Syntax Standard): Estándar criptográfico de Clave Publica producido por RSA Laboratorios y aceptado internacionalmente como estándar, que define la sintaxis de una petición de certificado.

PKCS#11 (Certification Request Syntax Standard): Estándar criptográfico de Clave Publica producido por RSA Laboratorios y aceptado internacionalmente como estándar, que define la sintaxis de una petición de certificado.

Política de Certificación. Documento integrante de la Declaración de Prácticas de Certificación, que establece el conjunto de reglas que indica la aplicabilidad de un Certificado a la Comunidad Electrónica y/o clase de aplicación con requisitos de seguridad comunes. Las políticas bajo las que cSL emite Certificados, se exponen en el Anexo I.

Práctica de Certificación: Documento integrante de la Declaración de Prácticas de Certificación en el que se recogen los procedimientos específicos seguidos por eIDSL para la gestión del ciclo de vida de un Certificado.

Prestador de Servicios de Certificación: Es aquella persona física o jurídica que, de conformidad con la legislación sobre firma electrónica expide Certificados electrónicos, pudiendo prestar además otros servicios en relación con la Firma Electrónica.

RSA: Acrónimo de Ronald Rivest, Adi Shamir y Leonard Shamir y Leonard Adleman inventores del sistema criptográfico de clave asimétrica referido (1977). Criptosistema de clave pública que permite el cifrado y la firma digital.

Servicio de Sellado de Tiempo electrónico: Servicio prestado bajo demanda por eIDSL a los interesados que lo soliciten que basándose en las especificaciones RFC 3161 y ETSI 101861, data los documentos de forma objetivo logrando que, de forma indubitada se pueda atribuir un momento temporal a la existencia de un documento electrónico.

SHA-1: Secure Hash Algorithm (Algoritmo seguro de resumen –hash-). Desarrollado por el NIST y revisado en 1994 (SHA-1). El algoritmo consiste en tomar mensajes de menos de 264 bits y generar un resumen de 160 bits de longitud. La probabilidad de encontrar dos mensajes distintos que produzcan un mismo resumen es prácticamente nula. Por este motivo se usa para dotar de Integridad a los documentos durante  el proceso de firma electrónica.

Sistema Criptográfico: Colección de transformaciones de texto claro en texto cifrado y viceversa, en la que la transformación o transformación que se han de utilizar son seleccionadas por Claves. Las transformaciones son definidas normalmente por un algoritmo matemático.

Software malicioso (del inglés Malware: Malicious software): Cualquier programa, documento, mensaje o elemento del mismo susceptible de causar daños y/o perjuicios a los usuarios.

Solicitante: Persona física mayor de 18 años o que ostente la cualidad de emancipado, que previa identificación solicita la emisión de un Certificado.

Suscriptor (o subject): En el caso de Certificados de Identidad de Personas Físicas, es la persona cuya identidad personal queda vinculada a los datos firmados electrónicamente, a través de una Clave Publica certificada por el Prestador de Servicios de Certificación.. El concepto de Suscriptor, será referido en los Certificados y en las aplicaciones informáticas relacionadas con su emisión como “Subject”, por estrictas razones de estandarización internacional.

Taxonomía Certificado: La taxonomía del certificado es un atributo del certificado ligado a los parámetros y métodos utilizados por eID para la acreditación de la identidad del suscriptor.

Texto en cifra (“texto cifrado”): Conjunto de signos, guarismos o letras convencionales y que solo puede comprenderse conociendo la Claves es decir la secuencia de símbolos que controlan las operaciones de cifrado y descifrado.

Titular (de un Certificado): Véase Suscriptor.

Triple-DES: Sistema de cifrado simétrico que surge como una evolución del DES (Data Encription Standard- estándar de cifrado de datos) descrito en el FIPS 46-3 (Federal Information Processing Standard) que desarrolla el DEA (data encription algorithm – algoritmo de cifrado de datos) también definido en el estándar ANSI X9.32

UIT (Unión Internacional de Telecomunicaciones): Organización internacional del sistema de las Naciones Unidas en la cual los gobiernos y el sector privado coordinan los servicios y redes mundiales de telecomunicaciones.

X.500: Estándar desarrollado por la UIT que define las recomendaciones del Directorio. Se corresponde con el estándar ISO/IEC 9594-1: 1993. Da lugar a la serie de recomendaciones siguientes: X.501 x.509, X.518, X.520,X.521 y X.525.

X.509: Estándar desarrollado por la UIT para las Infraestructuras de Clave Pública y los llamados “certificados de atributos”.

1.6      Acuerdos con Terceros

Los entornos de desarrollo y producción de eID pueden estar albergados en la nube, bajo el conjunto de servicios provisto por Amazon denominados Amazon Web Services (AWS). Con el objetivo de que la información de carácter de datos personales cedida por eIDSL y albergada por AWS cumpla con la legislación esté último se hace responsable a través de un acuerdo adenda del documento de prestación de servicios estándar, a través de las clausulas contenidas en el siguiente documento:  Electronic IDentification SL – Amendment # 1 to AWS Customer Agmt_EXE – 2014-02-28,.

Para la provisión del servicio de Sello de Tiempo Electrónico, eIDSL ha suscrito un acuerdo con la ACCV-Agencia de Comunicaciones de la Comunidad Valencia, que es una Entidad de Sello de Tiempo (TSA) reconocida y que presta sus servicios bajo la legislación española bajo el reconocimiento del Ministerio de Industria. Revisar con cosas más específicas.

 

2        Controles de seguridad, registro de eventos y auditorias

eIDSL dispone de procedimientos de control físico, lógico, de personal, y de operación, destinados a garantizar la seguridad necesaria en la gestión de los Certificados. Asimismo eIDSL registrara todos aquellos eventos relacionados con sus servicios que puedan ser relevantes con el fin de verificar que todos los procedimientos internos necesarios para el desarrollo de la actividad se desarrollan de conformidad con la normativa aplicable para poder determinar las causas de una anomalía detectada.

A continuación y tomando como modelo de trabajo los documentos RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework se muestran todos los controles implementados por eIDSL como Prestador de Servicios de Certificación, sin perjuicio de los de carácter confidencial y secreto de los que no se informa por razones de seguridad.

2.1      Registro de Eventos

2.1.1       Tipos de eventos registrados

eIDSL registrará todos aquellos eventos significativos, con el fin de verificar que todos los procedimientos internos necesarios para el desarrollo de la actividad, se ejecutan de acuerdo a este documento, a la normativa legal aplicable, que permitan detectar las causas de una anomalía detectada.

Los eventos registrados serán todas aquellas operaciones que se realicen en la gestión de claves, gestión de certificados, publicación archivo, recuperación, directorio, registro de eventos, registro de usuarios. eIDSL mantendrá archivados todos los eventos registrados más importantes, manteniendo su accesibilidad, durante un periodo nunca inferior a 15 años.

Todos los eventos registrados son susceptibles de auditarse.

2.1.2       Protección de un registro de actividad

Una vez registrada la actividad de los sistemas los registros no podrán ser modificados, ni borrados, permaneciendo archivados en las condiciones originales.

Este registro tendrá sólo acceso de lectura estando restringido a las personas autorizadas por eIDSL.

La grabación del registro con el fin de que no pueda ser manipulado ningún dato por nadie, se realizara automáticamente por un software específico que a tal efecto eIDSL estime oportuno.

El registro auditado, además de las medidas de seguridad establecidas en su grabación y posterior verificación, estará protegido de cualquier contingencia, modificación, perdida y revelación de sus datos, durante su grabación en soportes externos, cambio de este soporte y almacenamiento de los mismos.

2.1.3       Procedimientos de copias de seguridad de los registros auditados

eIDSL, en su actividad de Prestador de Servicios de Certificación, posee un sistema de alta seguridad, garantiza la existencia de copias e seguridad de todos los registros auditados.

2.1.4       Sistemas de archivo de registros

Los sistemas de archivos utilizados por eIDSL para conservar estos registros auditados, serán los internos propios de la infraestructura, y además se utilizarán soportes externos con capacidad de almacenamiento durante largos periodos de tiempo. Estos soportes tendrán las garantías suficientes para impedir que los registros sufran cualquier tipo de alteración.

eIDSL realizará varias copias que se almacenarán en diferentes lugares, que dispondrán de todas las medidas de seguridad física y lógica que eviten, en lo que razonablemente sea posible, una alteración del soporte almacenado y de los datos que contenga estos soportes.

Este archivo está provisto de un alto nivel de integridad, confidencialidad y disponibilidad para evitar intentos de manipulación de los certificados y eventos almacenados.

2.1.5       Datos relevantes que serán registrados

Serán registrados:

  1. La emisión y revocación, y demás eventos relevantes relacionados con los certificados.
  2. Las firmas, y demás eventos relevantes relacionados con las Listas de Revocación (CRL´s).
  3. Todas las operaciones de acceso al archivo de Certificados.
  4. Eventos relevantes de la generación de pares de números aleatorios y pseudo-aleatorios para la generación de Claves.
  5. Eventos relevantes de la generación de pares de Claves propias o de soporte de autenticidad. En ningún caso de incluirán los propios números ni ningún dato que facilite su predicción.
  6. Todas las operaciones relacionadas con la actividad como tercera parte confiable.

2.1.6       Protección de archivos

eIDSL garantiza que el archivo de eventos registrados cumple los siguientes requisitos:

  • No podrá ser modificado por medios no autorizados.
  • Ha de disponer un alto grado de disponibilidad y fiabilidad.
  • Se guardará traza de los accesos realizados.

2.1.7       Realización de copias e seguridad de los archivos

En todo momento existirá una copia de seguridad de todos los archivos existentes en eIDSL, en su actividad como Prestador de Servicios de Certificación.

2.1.8       Obtención y verificación de la información archivada

El acceso al registro de archivos estará limitado al personal autorizado por eIDSL.

El acceso a datos cifrados por parte de terceras partes mediante el servicio de recuperación de datos sin autorización del usuario, deberá realizarse siempre bajo las condiciones que establezca la Ley y, en su caso, los contratos y convenios correspondientes.

2.2      Controles de seguridad física, de procedimientos y de personal

En este apartado se describirán los controles no técnicos utilizados por eIDSL como Prestador de Servicios de Certificación para ejecutar de forma segura las funciones asociadas a la gestión de Certificados.

2.3      Controles de Seguridad Física

eIDSL garantiza que cumple la normativa aplicable en todos los aspectos de seguridad física y las describe a lo largo del presente capitulo.

Se han establecido diferentes perímetros de seguridad, donde se llevan a cabo las actividades críticas o sensibles, siempre teniendo en cuenta que los Centro de Proceso de Datos y la totalidad de los sistemas de la plataforma eID se albergan físicamente en un tercero.

2.3.1       Situación del Centro de Proceso de Datos.

La aplicación eID del Prestador de Servicios de Certificación, por flexibilidad del negocio y versatilidad en la provisión de servicios, se podría encontrar en las dependencias Amazon Inc, conforme con la prestación de sus servicios AWS-Amazon Web Services en Irlanda o en las instalaciones de sus clientes.

El acceso físico, así como sus controles de entrada, áreas seguras de trabajo se hayan conforme estándares internacionales de primer nivel que pueden consultarse a través de https://aws.amazon.com/Compliance y solicitar detalle a través de eIDSL. En el caso de la aplicación estar en las instalaciones de sus clientes, el acceso físico y los controles de entrada serán responsabilidad del cliente.

Así mismo, la electricidad, aire acondicionado de las máquinas de la infraestructura, la seguridad del cableado, la prevención y protección contra incendios, el almacenamiento de soportes, cumplen con buenas prácticas y siguen el criterio de marcos de trabajo y estándares internacionales de primer nivel y pueden consultarse a través de https://aws.amazon.com/compliance y solicitar detalle a través de eIDSL.

2.4      Controles de procedimiento

eIDSL procura que toda la gestión, tanto de procedimientos de operación, como administrativa, se lleve a cabo de forma confiable y conforme a lo establecido en este documento, realizando auditorias para evitar cualquier defecto que pueda conllevar pérdidas de confianza.

Se realizan revisiones, con el fin de comprobar el cumplimiento de las medidas de seguridad y de los requisitos técnicos ya administrativos.

Se realiza una segregación de funciones para evitar que una sola persona pueda conseguir el control total de la infraestructura. Para lograr que sea imposible evitar el conjunto de medidas de salvaguarda existentes, se definen múltiples perfiles asignados al personal de la infraestructura, entre los que se distribuyen las distintas tareas y responsabilidades.

2.5      Controles de seguridad de personal

Los procedimientos para la gestión del personal de la infraestructura promoverán la competencia y el saber hacer de sus empleados, así como el cumplimiento de sus obligaciones.

Serán considerados puestos de confianza dentro del ámbito de este documento, aquellos que implican el acceso o el control de componentes que pueda afectar directamente a la emisión, uso o revocación de los certificados.

Todos los empleados, propios o contratados, que tienen acceso o control sobre estas operaciones criptográficas, incluyendo el acceso restringido al Directorio, son considerados como empleados de confianza. Este personal incluye, pero no está limitado, a personal de servicio al cliente, personal administrador del sistema, personal de ingeniería, y ejecutivos que fueron nombrados para verificar la infraestructura de los sistemas de seguridad del Prestador de Servicios de Certificación.

El personal designado permanentemente o de forma temporal para estos puestos, será debidamente acreditado e identificado por eIDSL. Periódicamente se realizara un aseguramiento de que estas personas siguen teniendo la confianza de eIDSL para la realización de estos trabajos de confidencialidad.

Las relaciones entre terceras partes y eIDSL están protegidas por el correspondiente acuerdo de confidencialidad si en el transcurso de esta relación fuera necesario el intercambio de información sensible.

El personal de eIDSL requiere la existencia expresa de un acuerdo de confidencialidad personal.

Las incidencias son puestas en conocimiento de la Dirección con independencia de que se activen las oportunas acciones correctivas a través de un sistema de incidencias establecido en eIDSL para conducir a su solución de la forma más rápida posible.

Las debilidades de seguridad son clasificadas como incidencias, y como tales se resuelven, dando lugar a las oportunas acciones correctivas, según se describe en los procedimientos anteriormente mencionados.

Así mismo, los fallos del software son clasificados como incidencias y como tales, se resuelven dando lugar a las oportunas acciones correctivas.

2.5.1       Procedimiento disciplinario

En el desarrollo de su actividad laboral para eIDSL, o siempre que usen medios y/o materiales de eIDSL, sus empleados ceden exclusivamente, en toda su extensión, por toda la duración máxima prevista en la Ley y para el ámbito mundial a eIDSL todos los derechos de explotación que pudieran corresponderles y en especial, y sin que esta enumeración se entienda con carácter limitativo, los derechos de reproducción, distribución, transformación y comunicación pública relativas a propiedad intelectual, así como demás derechos de propiedad industrial, o relativos a topografía de semiconductores, sobre los trabajos, obras, invenciones y creaciones que originen y/o desarrollen. El trabajador, como consecuencia de la cesión en exclusiva de los mencionados derechos sobre los trabajos, obras, invenciones y creaciones elaboradas o creadas como consecuencia de la relación laboral que les une con eIDSL o como consecuencia del uso de los medios materiales y/o técnicos de eIDSL, no gozará del derecho de explotar las citadas obras y/o creaciones de forma algunas, aunque ello no perjudicara a la explotación o uso de las mimas por aparte de eIDSL.

Con el fin de lograr cumplir la normativa interna de eIDSL, las leyes y regulaciones aplicables y la seguridad de sus empleados, eIDSL se reserva el derecho a inspeccionar en cualquier momento y llevar un seguimiento de todos los sistemas informáticas de eIDSL y de su plataforma eID.

Los sistemas informáticos sujetos a inspección incluyen, pero no se limitan, a los archivos de sistema de correo electrónico, archivos del disco duro de ordenadores personales, archivos de buzón de voz, colas de impresión, documentación obtenida del fax, cajones del escritorio y áreas de almacenado. Estas inspecciones se llevarán a cabo tras haber sido aprobadas por el departamento de asesoría legal, con los procedimientos establecidos en la normativa legal aplicable e intervención de los representantes sindicales, si procede eIDSL además se reserva el derecho de eliminar de sus sistemas informáticos cualquier material que considere ofensivo o potencialmente ilegal o fraudulento.

2.5.2       Conductas inadecuadas

La dirección de eIDSL se reserva el derecho a revocar los privilegios de los sistemas de cualquier usuario en cualquier momento. No se permitirá conducta alguna que interfiera con el ritmo habitual y adecuado de los sistemas informáticos de eIDSL, que impida a otros utilizar estos sistemas o bien que sea peligros u ofensivo.

eIDSL no será responsable de las opiniones, actos, transacciones y/o negocios de fondo que los miembros de la Comunidad Electrónica realizaran utilizando los servicios de certificación de eIDSL; todo ello sin perjuicio de la obligación de eIDSL de informar, si así lo conociera, a la autoridad competente.

2.5.3       Aplicaciones que comprometen la seguridad

Salvo concesión de la correspondiente autorización por aparte de la Dirección de eIDSL, los empleados de eIDSL no deberán adquirir, poseer, negociar o utilizar herramientas de hardware o software que pudieran ser empleadas para evaluar o comprometer los sistemas de seguridad informática. Algunos ejemplos de estas herramientas son: aquellas que ignoren la protección software contra copia no autorizada, detecten contraseñas secretas identifiquen puntos de seguridad vulnerables y descifren archivos. Asimismo, sin el permiso adecuado, se prohíbe a los empleados utilizar rastreadores u otro tipo de hardware o aquellos casos que su uso sea necesario apara la realización de pruebas del sistema y previa comunicación al responsable del área.

2.5.4       Actividades no permitidas

Los usuarios no deben comprobar o intentar comprometer las medidas de seguridad de un ordenador o sistema de comunicación a no ser que tal acción haya sido previamente aprobada por escrito por la Dirección de eIDSL. Los incidentes relacionados con la “piratería informática” descubrimiento de contraseñas, descifrado de archivos, copia no autorizada de software, protección de datos de carácter personal y otras actividades que supongan una amenaza para las medidas de seguridad, o sean ilegales, se consideraran violaciones graves de la normativa interna de eIDSL. También está terminantemente prohibido el uso de sistemas de bypass, cuyo objetivo es evitar las medidas de protección, y otros archivos que puedan comprometer los sistemas de protección o los recursos.

2.5.5       Denuncia obligatoria

Todas las supuestas violaciones de la normativa, intrusiones en el sistema, afecciones por software malicioso y otras condiciones que supongan un riesgo para la información o los sistemas informáticas de eIDSL, deberán ser inmediatamente notificadas a la dirección de eIDSL.

2.6      Controles de seguridad técnica

2.6.1       Gestión del ciclo de vida de las Claves del Prestador de Servicios de Certificación

2.6.1.1    Generación e instalación de las Calves

Por motivos de seguridad y calidad las Claves que eIDSL necesita para el desarrollo de su actividad como Prestador de Servicios de Certificación, serán generadas por ella misma dentro de su propia infraestructura en un entorno físico seguro y al menos por dos personas autorizadas para ello.

La generación de las Claves y la protección de la Clave Privada, se realiza guardando las necesarias medidas de confidencialidad, usando sistemas de hardware y software seguros y de confianza conforme a las normas EESSI CWA14167-1 y CWA14167-2, además de tomar las precauciones necesarias para prevenir su pérdida, revelación, modificación o su uso sin autorización, de acuerdo con los requisitos de seguridad especificados en las normas EESSI (en particular ETSI TS 101 456) aplicables a los Prestadores de Servicios de Certificación.

Los algoritmos y longitudes de Clave utilizados están basados en estándares ampliamente reconocidos para el propósito para el que son generadas.

Los componentes técnicos necesario para la creación de Claves están diseñados para que una Clave sólo se genera una vez, y para que una Clave Privada no pueda ser calculada de su Clave pública

2.6.1.2    Distribución de la clave PÚBLICA de la Autoridad de Certificación

Los Datos de verificación de Firma del Prestador de Servicios de Certificación se distribuyen en forma de “certificado electrónico autofirmado”, pudiéndose consultar en la dirección www.electronicid.eu.

2.6.1.3    Periodo de uso de los Datos de creación y de verificación de Firma

Los datos de creación y de verificación de Firma del Prestador de Servicios de Certificación y de los Suscriptores, podrán utilizarse durante toda la vigencia del Certificado (sobre la vigencia de los Certificados, puede consultarse en el apartado de Vigencia de los Certificados de la presente DPC.

2.6.1.4    Uso de los Datos de creación y de verificación de Firma

Los datos de creación y de verificación de Firma de eIDSL, en su actividad como Prestador de Servicios de Certificación serán utilizados única y exclusivamente para los propósitos de:

  1. Firma de Certificados
  2. Firma de las Listas de Revocación
  3. Firma de documentos electrónicos distintos de los Certificados previstos en el giro y tráfico de eIDSL, en los supuestos previsto en esta Declaración. Y en la normativa correspondiente.

Los algoritmos y parámetros de firma utilizados por la Autoridad de Certificación de eIDSL para la firma de certificados electrónicos y listas de certificados revocados son los siguientes:

  • Algoritmo de firma: RSA
  • Parámetros del algoritmo de firma: Longitud del Módulo=1024
  • Algoritmo de generación de claves: rsagen1
  • Método de relleno: emsa-pkcs1-v1_5
  • Función criptográfica de Resumen: SHA-1

Este conjunto de algoritmos y parámetros se corresponden con la entrada 001 en la tabla de “suites de firma aprobadas en ETSI SR 002 176 “Electronic Signatures and Infrastructures (ESI): Algorithms and Parameters for Secure Electronic Signatures”.

La identificación del algoritmo de firma utilizado por eIDSL tanto para los certificados expedidos como para las listas de revocación viene indicado en el campo básico “signature” del certificado y de las listas de certificados revocados con la siguiente estructura ASN-1:

Signature             AlgorithmIdentifier

AlgorithIdentifier::= SEQUENCE {

Algortihm            OBJECT IDENTIFIER,

Paremeters          ANY DEFINED BY algorithm OPTIONAL}

Algorithm = sha-1 WithRSAEncryption OBJECT IDENTIFIER ::= {

Iso(1) member-body (2) us (840) rsadsi(113549) pkcs(1) pkcs-1(1) 5}

Paremeters= NULL

2.6.1.5    Cambio de los Datos de creación y de verificación de Firma

eIDSL, en función de los avances ocurridos en materia criptográfica, estudiará el cambio de sus Datos de verificación de Firma, cuando las circunstancias lo aconsejen y minimizando el impacto en su Comunidad Electrónica. En caso de optar por dicho cambio,  eIDSL comunicará a los miembros de su Comunidad Electrónica, el cambio de sus propios datos de creación y de verificación de firma y pondrá a su disposición los nuevos Datos de verificación de firma en el sitio www.electronicid.eu

2.6.1.6    Fin del ciclo de vida de las Claves criptográficas

eIDSL destruirá o almacenara de forma apropiada las Claves del Prestador de Servicios de Certificación una vez finalizado el periodo de validez de las mismas, con la finalidad de evitar su uso inapropiado.

2.6.2       Gestión del ciclo de vida de las Claves del Suscriptor

2.6.2.1    Generación y almacenamiento

Las Claves Privadas de los Suscriptores son de uso y control exclusivo del propio Suscriptor y generadas bajo procedimientos que garantizan el cumplimiento del Prestador de Servicios de Certificación según la legislación vigente.

eIDSL conserva la información relevante para garantizar la disponibilidad del estado de los certificados según el ordenamiento legal vigente, durante un periodo no menor a 15 años.

2.6.2.2    Usos de las claves de usuario

El uso de las Claves de los usuarios se detalla en cada una las diferentes Prácticas de Certificación Particulares cubiertas por eIDSL como Prestador de Servicios de Certificación.

2.6.2.3    Periodo de utilización de las claves de usuario

Los Datos de creación de Firma y los Datos de verificación de Firma de los miembros de la Comunidad Electrónica, podrán utilizarse durante todo el periodo de vida del Certificado. Vease Vigencia de los Certificados de la presente DPC.

2.6.3       Controles de seguridad de los componentes técnicos

La seguridad de todos los componentes técnicos que eIDSL utiliza en el desarrollo de su actividad como Prestador de Servicios de Certificación, así como en su estructura y procedimientos, se tienen presente en todo lo relativo a la certificación de la seguridad de los Sistemas de Información, de acuerdo al Esquema Nacional de Certificación de la Seguridad de los Sistemas de Información, que se aprueben en España, en particular los relativos a EESSI que sean publicados en el Diario Oficial de las Comunidades Europeas o en los correspondientes Diarios Oficiales españoles. Además se tendrán en cuenta los criterios de evaluación de la seguridad de tecnologías de la información ISO 15408 (Common Criteria), en el diseño, desarrollo, evaluación y adquisición de productos y sistemas de las Tecnologías de la Información, que vayan a formar parte del Prestador de Servicios de Certificación, así como la normativa EESSI.

Los procesos de gestión de la seguridad de la infraestructura serán evaluados periódicamente.

2.6.4       Controles de seguridad de la red

Los medios de comunicación mediante redes públicas, que eIDSL utiliza en el desarrollo de sus actividades, utilizan suficientes mecanismos de seguridad, para evitar o controlar adecuadamente cualquier agresión externa a través de estas redes. Este sistema es auditado periódicamente con el fin de verificar su buen funcionamiento.

Del mismo modo, la infraestructura de la red que presta los servicios de certificación está dotada de los mecanismos de seguridad necesarios conocidos a la fecha para garantizar un servicio fiable e integro. Esta red también es auditada periódicamente.

2.6.5       Controles de ingeniería del modulo criptográfico

Entre los componentes técnicos suministrados a sus usuarios, y con objeto de incrementar la confianza de la opinión pública en sus métodos criptográficos, eIDSL realiza evaluaciones de la seguridad de los productos y servicios que ofrece, utilizando para ello criterios abiertos y aceptados por el mercado.

2.6.6       Niveles de seguridad

Los niveles de seguridad que tienen los distintos componentes de la Infraestructura, así como los procedimientos y componentes que integran la actividad del Prestador de Servicios de Certificación, serán evaluados según “Criterios de Evaluación de la Seguridad de los Productos y Sistemas de las Tecnologías de la Información” (ITSEC/ITSEM) y/o Criterios Comunes (ISO15408) y, en particular, según la iniciativa EESSI.

Asimismo, respecto de la gestión de la seguridad de la información, se sigue el esquema previsto en UNE-ISO 17799 Código de Buenas Prácticas para la Seguridad de la Información.

Respecto de los datos personales se estará a lo especificado la normativa legal vigente y en concreto a lo dispuesto por la LOPD y por el Real Decreto 994/1999, de 11 de Junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal.

2.6.7       Restablecimiento de los servicios en caso de fallo o desastre

El Prestador de Servicios de Certificación, apoyado en los servicios de terceros en la provisión de infraestructura y sistemas, pondrá en marcha un diseño de la plataforma eID, que minimice los fallos y/o restablezcan los servicios ante cualquier desastre, teniendo en cuenta lo siguiente:

  • La redundancia de los componentes más críticos.
  • La puesta en marcha de un centro de respaldo alternativo.
  • El chequeo completo y periódico de los servicios de copia de respaldo.
  • Compromiso de los Datos de creación de Firma del Prestador de Servicios de Certificación. En este caso eIDSL informará a todos los miembros de la Comunidad Electrónica indicando que todos los Certificados y Listas de Revocación firmadas con estos datos ya no son validos, y procederá al restablecimiento del servicio, tan pronto como sea posible y en las nuevas condiciones aplicables.

eIDSL no será responsable de la falta de servicio o anomalías en el mismo, así como de los daños y perjuicios que pudieran producirse directa o indirectamente, cuando el fallo de la plataforma eID tuviera su origen en causas de fuerza mayor, atentado terrorista, sabotajes o huelgas salvajes; todo ello, sin perjuicio de realizar las actuaciones necesarias para la subsanación y /o reanudación del servicio lo antes posible.

2.6.8       Terminación de la actividad de eIDSL como Prestador de Servicios de Certificación

Esta contingencia y sus consecuencias se describen en esta DPC en el apartado “Cese de la Actividad del Prestador de Servicios de Certificación: Transferencia de la prestación del Servicio”.

2.7      Auditorias

eIDSL mantendrá un sistema específico con el fin de realizar un registro de eventos para todas aquellas operaciones como: la emisión, validación y revocación de los Certificados.

Con el objetivo de minimizar el impacto sobre los sistemas en producción, las auditorías sobre los sistemas en producción afectados se planifican en las franjas horarias de baja actividad.

2.7.1       Protección de las herramientas de auditoria

Todas las herramientas, informes, registros, ficheros y fuentes relacionados con la elaboración o registro de una auditoría, son considerados como información sensible y, como tal, son tratados en todos los aspectos, estando su acceso restringido a personas autorizadas.

2.7.2       Identidad del auditor

El auditor que verifique y compruebe la correcta operativa del Prestador de Servicios de Certificación de eIDSL, deberá ser una persona o profesional con la suficiente acreditación y experiencia profesional sobre la materia a auditar de acuerdo con la legislación que se encuentre en vigor en cada momento.

La realización de estas auditorías podrá ser encargada a Empresas Auditoras externas, a personal interno cualificado, para ello (según la legislación vigente al respecto), o ambas cosas. En el caso de personal interno y dependiendo del grado de criticidad del área a auditar, el grado de independencia del personal implicado y su nivel de experiencia será objeto de concreción caso a caso, atendiendo a parámetros de independencia funcional.

En los casos en los que las auditorias se elaboran por personal externo a eIDSL, se establecen las medidas y controles necesarios para regular los requisitos de auditoría, el alcance, el acceso a información sensible y demás acuerdos de Confidencialidad y responsabilidad sobre los activos.

En las auditorías externas, el auditor y la empresa auditora no tendrán nunca ningún tipo de vinculación laboral, comercial o de cualquier otra índole con eIDSL, ni con la parte que solicite la auditoria, siendo siempre un profesional independiente quien realiza la auditoria solicitada.

Junto con el informe obtenido de la auditoria, figurará la identificación de los auditores. El informe resultado de la auditoria estará firmado por los auditores y por el responsable de eIDSL.

2.7.3       Resultados de la auditoria y acciones correctivas

Todas las disconformidades detectadas en la auditoria serán tratadas con las correspondientes acciones correctivas. El plan de acción de puesta en marcha de las acciones correctivas será elaborado en el plazo más breve posible y será conservado junto con el informe de la auditoria para su inspección y seguimiento en posteriores auditorias.

En el caso de que la deficiencia encontrada supusiera un grave riesgo para la seguridad del Sistema, de los Certificados, de los Datos de creación o verificación de Firma, o de cualquier documento o dato considerado Confidencial en este documento, bien de los Suscriptores, o del propio Prestador de Servicios de Certificación,  eIDSL actuará con la máxima diligencia, con el fin de salvaguardar la seguridad de toda la infraestructura.

De igual manera eIDsL actuará diligentemente para subsanar el error o defecto detectado en el menor espacio de tiempo posible.

2.7.4       Comunicación de los resultados

Las Autoridades Administrativas o Judiciales competentes podrán solicitar los informes de auditorías para verificar el buen funcionamiento de Prestadores de Servicios de Certificación.

2.7.5       Plan de auditorias

Se realizaran las siguientes auditorias:

  • Seguridad Código Plataforma eID. Auditoria de seguridad y pruebas de penetración, según metodología OWASP. Una total cada tres (3) años y una parcial cada año. (A concretar cuando se establezca el esquema de certificación correspondiente).
  • Protección de datos. Una cada dos (2) años interna a realizar por el departamento de sistemas de información.
  • Prestadores de servicio de certificación: ETSI TS 101456: Una parcial anual y una total cada tres (3) años. (A concretar cuando se establezca el esquema de certificación correspondiente).

Se realizaran los siguientes controles:

  • Controles internos de seguridad de red.
  • Controles y pruebas internas de plan de contingencia
  • Controles Internos de Calidad y Seguridad
  • Controles internos de desarrollo de software según metodología OWASP.
  • Extraordinarios: Cuando así lo exijan las circunstancias, a criterio de eIDSL.

 

3        Soporte del certificado

eIDSL expedirá el Certificado Electrónico siguiendo los procedimientos que garanticen el cumplimiento como Prestador de Servicios de Certificación según la legislación vigente, garantizando su único uso por parte del Suscriptor.

eIDSL expedirá el Certificado en un soporte idóneo y seguro. Sin que la siguiente descripción tenga carácter limitativo.

La generación de los Datos de creación de Firma y de los Datos de verificación de Firma se realizará siguiendo procedimientos y utilizando medios seguros bajo el exclusivo control del Suscriptor. La información relevante para el cumplimiento del marco legal vigente sobre el estado de los Certificados será custodiada de forma segura por eIDSL.

4        Tipos de certificados emitidos por eIDSL

eIDSL trasmite todos los derechos necesarios para el USO típico del Certificado a Suscriptores y personas usuarias, para el ámbito de la Comunidad Electrónica a la que se han incorporado mediante la formalización de los contratos y/o acuerdos correspondientes, de los que forma parte integrante la presente Declaración de Prácticas de Certificación

Los Certificados nunca podrán utilizarse fuera de la Comunidad Electrónica, ni para usos distintos de los comprendidos en esta Declaración de Prácticas de Certificación y en el contrato o convenio particular correspondiente.

eIDSL emite los siguientes Certificados con las limitaciones de uso específicas que se recogen en su correspondientes Prácticas de Certificación Particulares que a continuación se referencian:

Certificado de Identidad de Persona Física. También denominado Certificado de Usuario de la Plataforma eID, es la certificación electrónica expedida por eIDSL que vincula a su Suscriptor unos Datos de verificación de Firma y confirma su identidad. En estos Certificados, el Suscriptor solamente puede ser una persona física. Las prácticas de Certificación Particulares se detallan en Anexo correspondiente.

5        Condiciones generales del Servicio

eIDSL se constituye como Prestador de Servicios de Certificación raíz, independiente, que no forma parte de estructuras de confianza externas.

El registro inicial para la solicitud de expedición del certificado que requiera de acreditación, será realizada a través de una Oficina de Registro por via telemática o presencial. A partir de ahí, las operaciones telemáticas cuando se disponga del Certificado, por ejemplo la solicitud telemática de revocación de Certificados, el cambio de datos personales del Suscriptor podrán realizarse por vía telemática a través de los servicios de las Oficinas de Registro o en su defecto, a través de los servicios de la Plataforma eID.

eIDSL, como Prestador de Servicios de Certificación, emitirá Certificados para todo aquel interesado que lo solicite en las condiciones previstas en esta Declaración de Prácticas de Certificación. Estos Certificados permitirán al Suscriptor del mismo comunicarse e identificarse con sus interlocutores de forma segura.

El formato de los Certificados utilizados por eIDSL se basa en el definido por la Unión Internacional de Telecomunicaciones, sector de normalización de las telecomunicaciones, en la Recomendación UIT-T X.509, de fecha Junio de 1997 o superiores (ISO/IEC 9594-8 de 1997). El formato será el especificado en la Versión 3 del mencionado formato X.509 y será válido para el uso con protocolos de comunicación estándares tipo SSL, TLS, etc.

Asimismo, el formato de las Listas de Revocación publicadas por eIDSL sigue el perfil propuesto en la recomendación UIT-T x.509, en su Versión 2 en lo que se refiere a Listas de Revocación

5.1      Certificados Electrónicos

La emisión de Certificados supone la generación de Documentos Electrónicos que acrediten la identidad y, en su caso, otras cualidades o facultades del Suscriptor.

Todos los Certificados, para ser tales, y con el fin de evitar su alteración o falsificación, deberán estar firmados por el Certificado Raíz de eIDSL en su calidad de Prestador de Servicios de Certificación.

La facultad de emitir Certificados de eIDSL reside únicamente en esta entidad, no siendo en ningún caso delegable.

No obstante, para un mayor abundamiento en las prácticas y procedimientos seguidos en la emisión por eIDSL de los distintos tipos de Certificados específicos, nos remitimos en cada caso al procedimiento particular descrito en los anexos.

5.2      Ciclo de vida del Certificado

Se describen con carácter genera las distintas fases del ciclo, que se complementarán según cada caso, con las Prácticas de Certificación que correspondan de las adjuntadas en los anexos.

5.2.1       Solicitud de Certificado

La fase de solicitud del Certificado comprende, con carácter general, la confirmación de la identidad personal del Solicitante.

5.2.2        Emisión de Certificados

Los trámites comprendidos en el procedimiento de emisión del Certificado pueden ser distintos en función del Certificado solicitado. Cada uno de estos procedimientos se especifica en las Practicas de Certificación Particulares adjuntas en los anexos.

5.2.3       Archivo de los Datos de verificación de Firma

Los Datos de verificación de Firma de los Suscriptores permanecerán archivados por si fuera necesaria su recuperación, en archivos y soportes seguros tanto física como lógicamente, durante el periodo legalmente establecido de quince (15) años.

5.2.4       Uso y aceptación de los Certificados

Para poder usar los Certificados o confiar en documentos firmados electrónicamente con base en los mismos, se deberá previamente formar parte de la Comunidad Electrónica, y adquirir la condición de Entidad usuaria. Fuera de la Comunidad Electrónica no se debe confiar en un Certificado o en una firma electrónica que se base en un certificado emitido bajo la Política de Certificación de Certificados de eIDSL a través de la plataforma eID. En cualquier caso, de producirse esta confianza por parte de un tercero, no se obtendrá cobertura de la presente Declaración de Prácticas de Certificación, y se carecerá de legitimidad alguna para reclamar o emprender acciones judiciales contra eIDSL por daños, perjuicios, o conflictos provenientes del uso o confianza en un Certificado.

Además, incluso dentro del ámbito de la Comunidad Electrónica, no se podrá emplear este tipo de Certificado para:

  • Firmar otro certificado.
  • Firmar software o componentes
  • Generar sellos de tiempo para procedimientos de Fechado electrónico
  • Prestar servicios a título gratuito u oneroso, como por ejemplo serían, a titulo enunciativo:
    • Prestar servicios de OCSP
    • Generar Listas de Revocación
    • Prestar servicios de notificación
  • Realizar transacciones económicas superiores a 100€, salvo autorización expresa y escrita de eIDSL para hacerlo.

En las Prácticas de certificación particulares, también incluidas en esta Declaración de Prácticas de Certificación, se expresan de forma más detallada las limitaciones específicas para el uso de cada uno de los certificados de que se trate, que en caso de discrepancia con las aquí expuestas, serán de aplicación las citadas condiciones particulares.

La aceptación de los Certificados por parte del Suscriptor se entenderá tácitamente producida si tras haber generado el Certificado el Suscriptor lo usa o pone a disposición de terceros y no solicita su revocación.

Al aceptar el Certificado el Suscriptor también acepta además: las normas de uso y las condiciones contenidas en la presente Declaración de Prácticas de Certificación, entendiendo por tal no solo el cuerpo principal de la misma sino también sus anexos.

En todo caso, al aceptar un Certificado emitido por eIDSL, el Suscriptor y, en su caso, el Solicitante del mismo declara:

  1. Que toda la información entregada durante el procedimiento de solicitud del Certificado es verdadera.
  2. Que el Certificado será usado exclusivamente para fines legales y autorizados por eIDSL, de acuerdo a la presente Declaración de Prácticas de Certificación y siempre dentro del ámbito de la Comunidad Electrónica.
  3. Que asegura con una alta fiabilidad su exclusivo control sobre los Datos de creación de Firma que se correspondan con los Datos de verificación de Firma incluidos en su Certificado emitido por eIDSL y vinculados a su identidad personal, lo que, en todo caso y a titulo meramente enunciativo, incluirá las acciones y medidas necesarias para prevenir su pérdida, revelación, modificación o uso por tercero distinto del Suscriptor.
  4. Que comunicará inmediatamente a eIDSL cualquier circunstancia que considere pueda comprometer el exclusivo control, integridad o seguridad de la información relacionada con el Certificado o el procdimiento vinculado.

eIDSL considerará válido todo Certificado aceptado por el Suscriptor y publicado en su Directorio seguro correspondiente, siempre que no haya caducado y que no conozca ninguna causa de revocación que le afecte.

5.2.5       Publicación de los Certificados en Directorio Seguro

eIDSL publicará en un Directorio seguro propio y restringido, tanto los Certificados, como las Listas de Revocación.

Los operadores y administradores de la infraestructura y los módulos internos tendrán acceso, previa autenticación, a toda la información existente en el Directorio, pudiendo realizar todo tipo de operaciones en función del perfil definido con los límites de la legislación sobre tratamiento automatizado de datos de carácter personal y en función de los contratos y convenios correspondientes.

Las personas y Entidades usuarias de Derecho Privado, no tendrán acceso a las Listas de Revocación, dados los limites derivados de la legislación sobre tratamiento automatizado de datos de carácter personal y los contratos y acuerdos correspondientes, realizándose la validación a través del servicio OCSP descrito en el apartado “Servicio de validación de Certificados mediante OCSP”

5.2.6       Renovación de los Datos de creación de Firma y de los Datos de verificación de Firma

La solicitud de la emisión de unos nuevos Datos de creación de Firma, llevará aparejada la emisión de un nuevo Certificado. De igual forma, cada vez que se renueve un Certificado, se generarán nuevos Datos de creación y de verificación de Firma.

5.3      Vigencia de los Certificados

5.3.1       Caducidad

Todos los Certificados emitidos por el Prestador de Servicios de Certificación tendrán validez durante un periodo nunca superior a cinco (5) años, con la excepción de los Certificados raíz.

Este periodo se contará a partir de la fecha de emisión del Certificado. Transcurrido este periodo y si el Certificado sigue activo, caducará, siendo necesaria la emisión de uno nuevo en caso de que el Suscriptor desee seguir utilizando los servicios del Prestador de Servicios de Certificación.

Cada Certificado, según su tipología, dispondrá de una duración específica, según las Prácticas de Certificación Particulares aplicables.

5.3.2       Extinción de la vigencia del Certificado

Los Certificados emitidos por eIDSL exceptuando los Certificados raíz, quedarán sin efecto en los siguientes casos:

  1. Terminación del periodo de validez del Certificado dependiendo de la Práctica de Certificación Particular aplicable.
  2. Cese en la actividad como Prestador de Servicios de Certificación de eIDSL, salvo que, previo consentimiento expreso del Suscriptor, los Certificados expedidos por eIDSL hayan sido transferidos a otro Prestador de Servicios de Certificación.

En estos casos (a) y (b), la pérdida de eficacia de los Certificados tendrá lugar desde que estas circunstancias se produzcan.

  1. Revocación o Suspensión del Certificado por cualquier de las causas recogidas en la presente Declaración de Prácticas de Certificación.

A los efectos enumerados anteriormente, se hace constar que la solicitud de emisión de un certificado cuando exista otro vigente a favor del mismo titular y perteneciente a la misma Ley de Emisión conllevará la revocación del primero obtenido.

Los efectos de la revocación o suspensión del Certificado, esto es, la extinción de su vigencia, surtirán desde la fecha en que eIDSL tenga conocimiento cierto de cualquiera de los hechos determinantes, y así lo haga constar en la Lista de Revocación de su servicio de consulta sobre la vigencia de los Certificados.

5.3.3       Revocación de Certificados

La solicitud de revocación de los Certificados podrá efectuarse durante el periodo de validez que consta en el Certificado. Cada tipo de Certificado tiene una duración especifica según se recoge en las Prácticas de Certificación Particulares adjuntas como anexos.

Estarán legitimados para solicitar la revocación de un Certificado directamente o a través de un tercero con poder suficiente.

5.3.3.1    Causas de revocación de Certificado

eIDSL únicamente será responsable de las consecuencias que se desprendan de no haber revocado un Certificado en los siguientes supuestos:

  • Que la revocación se debiera haber efectuado por haberse extinguido el contrato suscrito con el Suscriptor.
  • Que la revocación le haya sido solicitada por el Suscriptor siguiendo el procedimiento referido en el apartado “Procedimiento para la revocación de Certificados”.
  • Que la solicitud de revocación o la causa que la motiva, le haya sido notificada mediante resolución judicial o administrativa.
  • Que en las causas c) a h) del presente apartado le sean acreditados dichos extremos fehacientemente, previa identificación del solicitante de la revocación.

Teniendo en cuenta lo anterior, serán causas de revocación de un Certificado:

La solicitud de revocación por el Suscriptor, su representante.

En todo caso deberá dar lugar a esta solicitud:

  1. La utilización por un tercero de los Datos de creación de Firma del suscriptor, correspondientes a los Datos de verificación de Firma contenidos en el Certificado y vinculados a la identidad personal del Suscriptor.
  2. La violación o puesta en peligro del secreto de los Datos de creación de Firma del Suscriptor o de los del responsable de la custodia de los Datos de creación de Firma.
  3. La no aceptación de las nuevas condiciones que puedan suponer la emisión de nuevas Declaraciones de Prácticas de Certificación, durante el periodo de un mes tras su publicación.
  4. Resolución judicial o administrativa que así lo ordene.
  5. Incapacidad sobrevenida, total o parcial, del Suscriptor o de su representado.
  6. Terminación de la representación.
  7. Disolución de la persona jurídica representada.
  8. Inexactitudes en los datos aportados por el Solicitante para la obtención del Certificado, o alteración de los datos aportados para la obtención del Certificado o modificación de las circunstancias verificadas para la expedición del Certificado, como las relativas al cargo o a las facultades de representación, de manera que éste ya no fuera conforme a la realidad.
  9. Contravención de una obligación sustancial de esta Declaración de Practicas de Certificación por parte del Suscriptor del Certificado o por parte de una Oficina de Registro si, en este último caso, hubieses podido afectar al procedimiento de emisión del Certificado.
  10. Resolución del contrato suscrito entre el Suscriptor del Certificado o su representante, y la eIDSL.
  11. Terminación del servicio asociado al uso del Certificado.
  12. Violación o puesta en peligro del secreto de los Datos de creación de Firma de eIDSL, con los que firma los Certificados que mite.

En ningún caso se debe entender que eIDSL asume obligación alguna de comprobar los extremos mencionados en las letras a) a h) del presente apartado.

Las actuaciones constitutivas de delito o falta de las que no tenga conocimiento eIDSL que se realicen sobre los datos y/o certificado, las inexactitudes sobre los datos o falta de diligencia en su comunicación a eIDSL, producirán la exoneración de responsabilidad de eIDSL.

5.3.3.2    Efectos de la revocación

Los efectos de la revocación del Certificado, esto es, la extinción de su vigencia, surtirán desde la fecha en que eIDSL tenga conocimiento cierto de cualquiera de los hechos determinantes, y así lo haga constar en la Lista de Revocación.

5.3.3.3    Procedimiento para la revocación de Certificados

El legítimo solicitante de la revocación deberá efectuar las actuaciones pertinentes de conformidad con el procedimiento que le corresponda, según las Prácticas de Certificación Particulares adjuntas como anexos de la presente Declaración de Prácticas de Certificación.

Este servicio estará disponible las veinticuatro (24) horas del día, todos los días del año, salvo por circunstancias ajenas a eIDSL u operaciones de mantenimiento.

5.3.4       Suspensión de Certificados

La solicitud de suspensión de los Certificados podrá realizarse durante el perido de validez de los mismos.

Estarán legitimados para solicitar la suspensión de un Certificado directamente o a través de tercero con poder suficiente el Certificado de identidad de personas físicas: El suscriptor.

5.3.4.1    Causas de suspensión

eIDSL podrá suspender la vigencia de los Certificados a solicitud del legitimo interesado particular, o de Autoridad judicial o ante la existencia de dudas fundadas acerca de la concurrencia de las causas de extinción de la vigencia de los Certificados contempladas en el apartado “Causas de Revocación de Certificados”. Asimismo, la solicitud de suspensión puede deberse a la existencia de una investigación o procedimiento judicial o administrativo en curso, cuya conclusión pueda determinar que el Certificado efectivamente está afectado por una causa de revocación. En estos casos eIDSL, a solicitud del legitimo interesado mediante el procedimiento establecido en la dirección http://www.electronicid.eu, suspenderá la vigencia del Certificado por el plazo requerido, y transcurrido este plazo, procederá a la revocación del Certificado salvo que a eIDSL se le solicite de forma fehaciente por el legitimo interesado la reactivación del mismo.

5.3.4.2    Efectos de la suspensión

Los efectos de la suspensión del Certificado, esto es, la extinción de su vigencia, surtirán desde la fecha en que eIDSL tenga conocimiento cierto de cualquiera de los hechos determinantes, y así lo haga constar en la Lista de Revocación.

5.3.4.3    Procedimiento para la suspensión de Certificados

El legítimo solicitante de la suspensión deberá efectuar las actuaciones pertinentes de conformidad con el procedimiento que le corresponda, según las Prácticas de Certificación Particulares adjuntas como anexos de la presente Declaración de Prácticas de certificación.

5.3.4.4    Procedimiento para cancelar la suspensión de Certificados

El legítimo solicitante de la suspensión podrá proceder a cancelar la suspensión de los certificados, según las Prácticas de Certificación Particulares adjuntas como anexos de la presente Declaración de Prácticas de Certificación.

5.4      Generación y publicación de las Listas de Revocación

eIDSL mantendrá en Listas de Revocación los Certificados revocados y suspendidos, por un plazo equivalente al de validez teórica del Certificado en el momento de su emisión. Al expirar el período originario de validez de un Certificado, éste dejará de estar listado en las Listas de Revocación. No bastante, eIDSL, por razones de seguridad, podrá mantener listas de certificados cuyo período originario de validez haya expirado.

Estas Listas de Revocación se publican con una periodicidad máxima de (24) veinticuatro horas y tienen una validez asimismo de (24) veinticuatro horas. Podrán emitirse nuevas Listas de Revocación cada vez que un Certificado sea revocado o suspendido.

Las Listas de Revocación irán en todo caso autenticadas por eIDSL, mediante la generación de Firma electrónica utilizando sus Datos de creación de Firma.

eIDSL podrá publicar la información anteriormente mencionada no sólo directamente por sus propios medios, sino a través de directorios públicos ofrecidos por otras entidades u organismos con los que tenga suscritos acuerdos de réplica, siempre que se mantenga igual garantía y seguridad.

El perfil de las Listas de Revocación emitidas por eIDSL son conformes a la recomendación UTI-T x.509 versión 2.

5.5      Procedimientos de consulta del estado de los Certificados

El Suscriptor del Certificado no tendrá acceso a las Listas de Revocación. No obstante, dispondrá de una aplicación en una dirección a confirmar, a través de la cual y previa autenticación con sus Datos de creación de Firma, se le informará acerca del estado de su Certificado.

Este servicio estará disponible las veinticuatro (24) horas del día, todos los días del año, salvo por circunstancias ajenas a eIDSL u operaciones de mantenimiento.

Únicamente las Entidades usuarias de Derecho Público tendrán acceso a las Listas de Revocación (originario o replicada), y en las condiciones establecidas en el correspondiente convenio de incorporación a la Comunidad Electrónica.

Las Entidades usuarias de Derecho Privado, dispondrán de un cliente OCSP para comprobar el estado de los Certificados mediante consultas vía OCSP, según se refiere en el apartado “Servicio de validación de Certificados mediantes OCSP” de la presente Declaración de Prácticas de Certificación.

Lo anterior se entiendo con el alcance y límites de la legislación sobre tratamiento automatizado de datos de carácter personal y de conformidad con los correspondientes contratos o convenios por los que se regula el servicio de certificación electrónica de eIDSL.

5.6      Servicio de validación de Certificados mediante OCSP

eIDSL dispone de un servicio de respuesta OCSP (“OCSP responder”) para ofrecer servicio de OCSP a las Entidades usuarias de Derecho privado, en los términos de esta Declaración de Practicas de Certificación y bajo los términos suscritos en el correspondiente convenio o contrato de incorporación a la Comunidad Electrónica que se firme con la Entidad usuaria. Este Servicio es el único servicio de comprobación del estado del Certificado que se pone a disposición de este tipo de Entidades usuarias, con carácter general.

Este servicio estará disponible las veinticuatro (24) horas del día, todos los días del año, salvo por circunstancias ajenas a eIDSL u operaciones de mantenimiento.

El servicio funciona de la siguiente manera: El servidor OCSP verifica la firma de la petición OCSP efectuada por un Cliente OCSP registrado en el sistema, y comprueba el estado de los Certificados incluidos en la misma. En caso de que la Firma Electrónica de la solicitud sea inválida, la petición se rechaza y se retorna al cliente una respuesta denegatoria del servicio. En caso de que se encuentran en ese momento los Certificados incluidos en la petición.

Será responsabilidad de la entidad usuaria solicitante del servicio OCSP obtener, en su caso, el consentimiento del titular del certificado sobre el que se solicita el servicio OCSP, así como informar a este titular de las condiciones y limitaciones correspondientes.

5.7      Renovación de Certificados

Podrán solicitar la renovación de los Certificados emitidos por eIDSL, los Suscriptores y sus representantes. El procedimiento para la renovación y  los efectos de dicha operación son descritos en las Prácticas de Certificación Particulares adjuntas como anexos de la presente Declaración de Prácticas de Certificación, si bien, como se recoge en el apartado “Identificación del suscriptor” se indica que la renovación telemática del Certificado sólo se podrá realizar cuando no se haya superado el plazo máximo de 5 años desde la personación e identificación física del Suscriptor.

5.8      Cese de la actividad del Prestador de Servicios de Certificación: Transferencia de la prestación del servicio.

En caso de terminación de la actividad del Prestador de Servicios de Certificación, eIDSL se regirá por lo dispuesto en la normativa vigente sobre firma electrónica.

En todo caso, eIDSL:

  1. Informará a los Suscriptores de los certificados sobre sus intenciones de terminar su actividad como Prestador de Servicios de Certificación al menos con dos (2) meses de antelación al cese de esta actividad.
  2. Transferirá, con el consentimiento expreso de los Suscriptores, aquellos Certificados que sigan siendo válidos en la fecha efectiva de cese de actividad a otro Prestador de Servicios de Certificación que los asuma. De no ser posible esta transferencia los Certificados se extinguirán.

 

5.9      Cambio de los Datos de creación de Firma de eIDSL

Esta contingencia y sus consecuencias, se describen en el apartado “gestión del ciclo de vida de las Claves del Prestador de Servicios de Certificación” de esta Declaración de Prácticas de Certificación.

5.10  Obligaciones y Garantías de las Partes

5.10.1    Obligaciones y garantías del Prestador de Servicio de Certificación.

eIDSL no estará sujeta a otras garantías ni otras obligaciones que las establecidas en la normativa sectorial de aplicación y en la presente Declaración de Prácticas de Certificación.

Sin perjuicio de lo dispuesto en la legislación sobre firma electrónica, y su normativa de desarrollo, así como en su normativa específica, el Prestador de Servicios de Certificación se obliga a:

5.10.1.1 Con carácter previo a la emisión del Certificado

Comprobar la identidad y circunstancias personales de los Suscriptores de Certificados con arreglo a lo dispuesto en la presente Declaración de Prácticas de Certificación (a este respecto puede consultarse el correspondiente procedimiento de registro de los adjuntos como anexos). En ningún caso se emitirán Certificados para menores de edad salvo que ostenten la cualidad de emancipados.

Verificar que toda la información contenida en la solicitud del Certificado se corresponde con la aportada por el Solicitante.

5.10.1.2 Identificación del Suscriptor

Identificar a la persona física que solicite un Certificado a través de su número de Documento Nacional de Identidad o Número de Identificación de Extranjeros.

En los procesos de comprobación de los extremos antes señalados anteriormente eIDSL podrá realizar estas comprobaciones mediante la intervención de terceros que ostente facultades fedatarias, siendo los costes, en caso de estas intervenciones, por cuenta de los interesados.

Igualmente, se podrá llevar a cabo la identificación de los suscriptores a través del servicio de identificación electrónica, al que hacen referencia las Políticas del Servicio de Identificación electrónica al que hace referencia el Anexo II del presente documento.

5.10.1.3 Generación y entrega de Datos de creación de Firma e información adicional:

  1. Garantizar que los procedimientos seguidos aseguran que las Claves privadas que constituyan los Datos de creación de Firma son generadas sin que se realicen copias ni se produzca el almacenamiento de los mismo por parte de eIDSL
  2. Realizar la comunicación de información al interesado o Solicitante de tal forma que se procure su Confidencialidad.
  3. Poner a disposición del Solicitante la siguiente información:
  4. Instrucciones para el Suscriptor, en especial:
  • La forma en que han de custodiarse los Datos de creación de Firma.
  • Los mecanismos generales que garanticen la fiabilidad de la Firma electrónica de un documento a lo largo del tiempo.
  • El procedimiento para comunicar la pérdida o utilización indebida de dichos Datos.
  1. Una descripción del método utilizado por eIDSL para comprobar la identidad del Suscriptor y aquellos otros datos que figuren en el Certificado.
  2. Las certificaciones que haya obtenido eIDSL.
  3. El procedimiento aplicable para la resolución de conflictos.
  4. Un ejemplar de las presentes Declaración de Prácticas de Certificación.

5.10.1.4 Conservación de la información por eIDSL

  1. Conservar toda la información y documentación relativa a cada Certificado, en las debidas condiciones de seguridad, durante quince (15) años contados desde el momento de su expedición, de manera que puedan verificarse las firmas efectuadas con el mismo.
  2. Mantener un Directorio seguro y actualizado de Certificados en el que se identifican los Certificados expedidos, así como su vigencia, incluyendo en forma de Listas de Revocación la identificación de los Certificados que hayan sido revocados o suspendidos. La integridad de este Directorio se protegerá mediante la utilización de sistemas conformes con las disposiciones reglamentarias específicas que al respecto se dicten en España y, en su caso, de la UE, y su acceso, podrá efectuarse según se dispone en el apartado correspondiente.
  3. Mantener un servicio de consulta sobre la vigencia de los Certificados. Este servicio se describe en el apartado “Procedimiento de consulta del estado de los Certificados” del presente documento.
  4. Conservar las DPC´s durante 15 años desde su derogación por publicación de una nueva DPC, en las debidas condiciones de seguridad.

5.10.1.5 Protección de los Datos de Carácter Personal:

eIDSL se compromete a conocer y cumplir la legislación vigente en materia de Protección de Datos Personales, fundamentalmente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. A tal efecto y con carácter enunciativo, se compromete a cumplir con las obligaciones que tal normativa establece en materia de información a los afectados, declaración de ficheros ante la Agencia Española de Protección de Datos, conservación y acceso a la información, así como con las medidas de seguridad establecidas en el Real Decreto 994/1999. Asimismo, garantiza que la utilización de los datos personales recabados se limitará a aquellas finalidades para las cuales éstos fueron recogidos.

Para informarse sobre la política de protección de datos seguida por eIDSL y acuerda del uso que de los datos se realiza, se puede consultar el apartado “Documento de seguridad LOPD” de la presente Declaración de Prácticas de Certificación y anexo relativo a políticas de protección de datos.

5.10.1.6 Suspensión y revocación de Certificados:

Acerca de la suspensión y revocación de Certificados y de las obligaciones que eIDSL se compromete a asumir al respecto, se pueden consultar además de los anexos, los apartados correspondientes a la suspensión y revocación de Certificados de la presente Declaración de Prácticas de Certificación.

5.10.1.7 Cese de la actividad de eIDSL como Prestador de Servicios de Certificación:

A este respecto se puede consultar el apartado “Cese de la actividad del Prestador de Servicios de Certificación”: Transferencia de la prestación del servicio de la presente Declaración de Prácticas de Certificación.

5.10.2    Obligaciones de la Oficina de Registro

  1. Con carácter general, seguir los procedimientos establecidos por eIDSL en la Declaración de Practicas de Certificación y en las Políticas de Certificación, en el desempeño de sus funciones de gestión, emisión, renovación y revocación de Certificados y no salirse de dicho marco de actuación.
  2. En particular, comprobar la identidad y cualesquiera circunstancias personales de los Solicitantes de los Certificados relevantes para el fin propio de estos, utilizando cualquiera de los medios admitidos en Derechos, y conforme a lo previsto con carácter general en la Declaración de Practicas de Certificación y con carácter particular en las correspondientes Prácticas de Certificación Particulares adjuntas como anexo a la misma
  • Conservar toda la información y documentación relativa a los Certificados, cuya solicitud, renovación, suspensión o revocación gestiona durante quince (15) años.
  1. Permitir a eIDSL el acceso a los archivos y a la auditoría de sus procedimientos en relación con los datos obtenidos en calidad de Oficina de Registro.
  2. Informar a eIDSL de cualquier aspecto que afecte a los Certificados emitidos por eIDSL
  3. Tramitar la formalización de los contratos de emisión de Certificados con el Suscriptor de los mismos, en los términos y condiciones que establezca eIDSL.
  • Comunicar a eIDSL de forma diligente las solicitudes de emisión de Certificados.
  • Respecto de la extinción de validez de los certificados.
    1. Comprobar diligentemente las causas de revocación y suspensión que pudieran afectar a la vigencia de los Certificados.
    2. Comunicar a eIDSL de forma diligente las solicitudes de revocación y suspensión de los Certificados.
  1. Respecto de la Protección de Datos de Carácter Personal, será de aplicación lo dispuesto en el apartado “Datos de carácter personal”

5.10.3    Obligaciones del Suscriptor

  1. No usar el Certificado fuera de la Comunidad Electrónica, ni de los límites especificados en las Prácticas de certificación particulares contenidas en los correspondientes anexos de esta Declaración de Practicas de Certificación.
  2. No usar el certificado en caso de que el Prestador de Servicios de Certificación haya cesado su actividad como Entidad emisora de Certificados que emitió el certificado en cuestión, especialmente en los casos en los que los Datos de Creación de Firma del prestador puedan estar comprometidos, y así se haya comunicado.
  • Aportar información verdadera en la solicitud de los Certificados, y mantenerla actualizada.
  1. Actuar con diligencia respecto de la custodia y conservación de los Datos de creación de Firma o cualquier otra información sensible como Claves, códigos de activación del Certificado, palabras de acceso, números de identificación personal, etc.…, así como de los soporte s de los Certificados, lo que comprende en todo caso, la no revelación de ninguno de los datos mencionados.
  2. Conocer y cumplir las condiciones de utilización de los Certificados previstos en la Declaración de Practicas de Certificación y en particular, las limitaciones de uso de los Certificados.
  3. Conocer y cumplir las modificaciones que se produzcan en la Declaración de Practicas de Certificación.
  • Solicitar la revocación del correspondiente Certificado, según el procedimiento descrito en el apartado correspondiente, notificando diligentemente a eIDSL o a cualquier Oficina de Registro, las circunstancias o sospecha de pérdida de la Confidencialidad la divulgación, modificación o uso no autorizado de los Datos de creación de Firma.
  • Revisar la información contenida en el Certificado, y notificar a la Oficina de Registro cualquier error o inexactitud.
  1. Verificar con carácter previo a confiar en los Certificados, la Firma electrónica del Prestador de Servicios de Certificación emisor del Certificado.
  2. Notificar diligentemente a eIDSL o a cualquier Oficina de Registro cualquier modificación de los datos aportados en la solicitud del Certificado, solicitando cuando consecuentemente fuere pertinente la revocación del mismo.

5.10.4    Obligaciones de la Entidad usuaria

  1. Verificar con carácter previo a confiar en los Certificados, la Firma electrónica del Prestador de Servicios de Certificación emisor del Certificado.
  2. Verificar que el certificado del Suscriptor recibido continúa vigente.
  • Verificar el estado de los certificados en la cadena de certificación, mediante consulta a las Listas de Revocación.
  1. Comprobar las limitaciones de uso del Certificado que se verifica
  2. Conocer las condiciones de utilización del Certificado conforme a la presente Declaración de Practicas de Certificación.
  3. Notificar a CSL cualquier anomalía o información relativa al Certificado y que pueda ser considerada como causa de renovación del mismo, aportando todos los elementos probatorios de los que disponga.

5.11  Responsabilidad de las Partes

Para poder usar Certificados emitidos por eIDSL se deberá previamente formar parte de la Comunidad Electrónica, y adquirir la condición de Entidad usuaria. Fuera de la Comunidad Electrónica no se debe confiar en un certificado o en una firma electrónica que se base en un Certificado. En cualquier caso, de producirse esta confianza por parte de un tercero, no se obtendrá cobertura de la presente Declaración de Practicas de Certificación, y se carecerá de legitimidad alguna para reclamar o emprender acciones judiciales contra eIDSL por daños, perjuicios o conflictos provenientes del uso o confianza en un Certificado.

5.11.1    Responsabilidad del Prestador de Servicios de Certificación

eIDSL únicamente responde de la correcta identificación personal del Solicitante, más no de sus cualidades o cualquier otra información contenida en el Certificado. Respecto de esta información, eIDSL se limita únicamente a expresarla en un Certificado para el que se le ha acreditado la identidad de su Suscriptor mediante documento público.

Es condición sine qua non para la aplicación de las garantías, obligaciones y responsabilidades, que el daño o el hecho se haya producido en el ámbito de la Comunidad Electrónica según se define dicho concepto en esta Declaración de Prácticas de Certificación.

eIDSL únicamente responderá por deficiencias en los procedimientos propios de su actividad como Prestador de Servicios de Certificación, y conforme a los procedimientos propios de su actividad como Prestador de Servicios de Certificación y conforme a lo dispuesto en estás Políticas de Certificación o en la Ley, mas en ningún otro caso será responsable de las acciones o de las perdidas en las que incurran los Suscriptores, Entidades usuarias, o terceros involucrados, que no se deban a errores imputable a eIDSL en los mencionados procedimientos de expedición y/o de gestión de los Certificados.

eIDSL no responderá en los casos de fuerza mayor atentado terrorista, huelga salvaje, así como en los supuestos que se trate de acciones constitutivas de delito o falta que afecten a su infraestructura prestadora, salvo que hubiera mediado culpa grave de la entidad. En todo caso, en los correspondientes contratos y/o convenios eIDSL podrá establecer clausulas de limitación de responsabilidad.

eIDSL no responderá ante personas cuyo comportamiento en la utilización de los Certificados haya sido negligente, debiendo considerarse a estos efectos y en todo caso como negligencia la falta de observancia de lo dispuesto en la Declaración de Practicas de Certificación, y en especial lo dispuesto en los apartado referidos a las obligaciones y a la responsabilidad de las partes.

eIDSL no responderá por ningún software que no haya proporcionado directamente.

eIDSL no garantiza los algoritmos criptográficos ni responderá de los daños causados por ataques exitosos externos a los algoritmos criptográficos usados, si guardó la diligencia debida de acuerdo al estado actual de la técnica, y procedió conforme a lo dispuesto en esta Declaración de Practicas de Certificación y en la Ley.

Para todo caso, las cuantías que en concepto de daños y perjuicios debiera satisfacer por imperativo judicial eIDSL a terceros perjudicados, y/o miembros de la Comunidad electrónica en defecto de regulación específica en los contratos o convenios, se limitan a un máximo de SEIS MIL EUROS (6.000 €) euros

5.11.2    Responsabilidad de la Oficina de Registro

En todo caso eIDSL podrá repetir contra Oficina de Registro que hubiera realizado el procedimiento de identificación, si la causa del daño tuviera su origen en la actuación doloso o culposa de esta.

5.11.3    Responsabilidad del Solicitante

El Solicitante responderá que la información presentada durante la solicitud del Certificado, es verdadera.

El Solicitante mantendrá a salvo y defenderá a su coste a eIDSL contra cualquier acción que pudiese emprender contra esta Entidad como consecuencia de la falsedad de la información suministrada en el mencionado procedimiento de emisión del Certificado, o contra cualquier daño y perjuicio que sufra eIDSL como consecuencia de un acto u omisión del Solicitante

5.11.4    Responsabilidad del Suscriptor

Será en todo caso obligación del Suscriptor y consecuentemente responsabilidad suya, el informar a eIDSL acerca de cualquier variación de estado o información respecto de lo reflejado en el Certificado, para su revocación y nueva expedición.

Asimismo, será el Suscriptor quien deba responder ante las Entidades usuarias o, en su caso, ante terceros del uso indebido del Certificado, o de la falsedad de las manifestaciones en el recogidas, o actos u omisiones que provoquen daños y perjuicios a eIDSL o a terceros.

Será responsabilidad y, por tanto, obligación del Suscriptor no usar el certificado en caso de que el Prestador de Servicios de Certificación haya cesado en la actividad Entidad emisora de Certificados que originó la emisión del certificado en cuestión y no se hubiera producido la subrogación prevista en la ley. En todo caso, el Suscriptor no usará el certificado en los casos en los que los datos de creación de firma del Prestador puedan estar amenazados y/o comprometido, y así se haya comunicado por el Prestador o, en su caso, hubiera tenido noticia de estas circunstancias el Suscriptor.

5.11.5    Responsabilidad de la Entidad Usuaria

Será responsabilidad de la Entidad usuaria, salvo contratación de esta obligación con eIDSL la verificación de las Firmas electrónicas reconocidas de los documentos, así como de los certificados, no cabiendo en ningún caso presumir la autenticidad de los documentos o Certificados sin dicha verificación.

No se podrá considerarse que la Entidad usuaria ha actuado con la mínima diligencia debida si confía en una firma electrónica basada en un Certificado emitido por eIDSL sin haber observado lo dispuesto en la presente Declaración de Practicas de Certificación y comprobado que dicha firma electrónica puede ser verificada por referencia a una Cadena de certificación válida.

Si las circunstancias indican necesidad de garantías adicionales, la Entidad usuaria deberá obtener garantías adicionales para que dicha confianza resulte razonable.

Asimismo, será responsabilidad de la Entidad usuaria observar lo dispuesto en la presente Declaración de Practicas de Certificación y sus posibles modificaciones futuras, con especial atención al los limites de uso establecidos para los Certificados en sus correspondientes Políticas de Certificación.

 

 

5.12  Datos de Carácter Personal

El régimen de protección de datos de carácter personal derivado de la aplicación de la presente Declaración de Practicas de Certificación será el previsto en la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en su normativa de desarrollo. Los ficheros serán de titularidad pública y su creación, modificación o supresión se realizará conforme a la ley.

5.12.1    Objetivo y presentación del Documento de Seguridad LOPD.

El objetivo de este documento es establecer las medidas de seguridad a implantar por eIDSL  en el entorno del Prestador de Servicios de Certificación, para la protección de los datos de carácter personal, contenidos en el Fichero de Usuarios de Sistemas Electrónicos, Informáticos y Telemáticos (EIT), registrado en la APD.

eIDSL, como Prestador de Servicios de Certificación, precisa disponer de datos de carácter personal de sus usuarios registrados, con el fin de poder identificarlos y proporcionar los Datos de creación y verificación de Firma indispensables para relacionarse a través de medios electrónicos, informáticos y telemáticos. Dada la naturaleza de este tipo de datos, según indica el Real Decreto 994/1999 del Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, se deben adoptar medidas de seguridad de nivel medio.

La presente Normativa de Seguridad tiene por objeto preservar los datos personales procesados dentro del Prestador de Servicios de Certificación de eIDSL , por lo que afectará a todos aquellos recursos (personal, máquinas, aplicativos, métodos) que estén implicados en el procesamiento de estos datos. Desde el Sistema de Información que desempeña las funciones de registro de los usuarios, donde se recaban los datos, hasta el almacenamiento y archivo de los mismos en sistemas de Directorio Seguro, incluyendo los interfaces y medios de comunicación entre los diferentes sistemas, ya sean redes telemáticas privadas o públicas.

Este documento es de obligado cumplimiento para todo el personal perteneciente al Prestador de Servicios de Certificación de eIDSL, así como para todas las personas relacionadas con la misma, que requieran acceso a los datos de carácter personal.

Dentro del ámbito se incluyen las Oficinas de Registro como entidades colaboradoras de eIDSL  como Prestador de Servicios de Certificación, que tienen la misión de llevar a cabo la identificación y autenticación de las personas, registrando sus datos personales con destino al Prestador de Servicios de Certificación de eIDSL.

5.12.2    Principios y normas de obligado cumplimiento

Este apartado recoge todos aquellos aspectos necesarios de obligado cumplimiento que dan respuesta a los apartados establecidos en el artículo 8 del Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

5.12.3    Funciones y obligaciones del personal

Este Documento así como cualquier nueva versión del mismo, es conocido por todas las personas pertenecientes al Prestador de Servicios de Certificación eIDSL  o que tienen obligación de tratar con dichos datos de carácter personal.

Existen una serie de funciones claramente diferenciadas en lo que respecta al personal implicado en el uso y tratamiento de los datos de carácter personal del Fichero de Usuarios de Sistemas EIT, como son: El Responsable del Fichero, el Responsable de Seguridad, el Personal de Seguridad Informática, Administrador de la Aplicación, Usuarios de la Aplicación, Operador de backup, Auditor de Seguridad. Estas funciones y, en su caso las personas que las asumen, se definen en el punto “Documento de Seguridad LOPD” del apartado Introducción/ Definiciones” de la presente Declaración de Prácticas de Certificación.

5.12.4    Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan

La estructura de los ficheros de carácter personal utilizados por el Prestador de Servicios de Certificación de eIDSL , es la que se recoge en el Fichero de Usuarios de Sistemas EIT, que será declarado a la Agencia Española de Protección de Datos. Esta estructura  es  la siguiente:

Datos de carácter identificativo:

  • N.I./N.I.F.
  • Nombre y apellidos
  • Teléfono,
  • Dirección,
  • Dirección de correo electrónico,
  • Datos de características personales:
    • Datos de verificación de firma y número de serie del Certificado,
    • Datos de información comercial,
    • Dirección electrónica (URL).

En la Política de backup del Prestador de Servicios de Certificación se han definido tres tipos diferentes de datos, atendiendo a sus requerimientos de copia y respaldo. Todos los datos tratados por la Infraestructura de Clave Pública han sido clasificados en alguno de estos “Tipos”.

Los Tipos que se refieren a datos personales son los siguientes:

TIPO 1. Información de auditoría: Muestran el funcionamiento de los sistemas y entornos de aplicación a lo largo del tiempo, y constituyen evidencias y rastros de las acciones que se están realizando y las aplicaciones que se ejecutan. Por lo tanto puede contener información relativa a datos personales de sus clientes.

TIPO 2. Datos personales: Datos asociados a personas físicas identificadas o identificables, ya sean considerados privados o públicos.

TIPO 3. Claves: Básicamente, se engloban en esta categoría  las  claves  maestras  de acceso a los sistemas y entornos de aplicación, claves críticas de los sistemas, claves de administración y usuarios de emergencia. Su uso es ocasional.

Los subsistemas que tiene algún tipo de implicación en el tratamiento de los datos de carácter personal, se relacionan y describen de forma resumida a continuación:

5.12.4.1 Subsistema de Gestión de Certificados

Cuya misión es la creación de los Certificados de acuerdo al estándar X.509, donde se introducen las Claves creadas por el subsistema de generación de Claves y otros datos identificativos.

5.12.4.2 Subsistema de Oficina de Registro

Tiene como objetivo la identificación y autenticación del Suscriptor, donde son registrados sus datos personales para proceder a su envío, de forma cifrada, al Prestador de Servicios de Certificación eIDSL

5.12.4.3 Subsistema de Publicación

Tiene como misión la gestión de la publicación del Directorio del Prestador de Servicios de Certificación de eIDSL  y las Listas de Revocación.

5.12.4.4 Procedimiento de notificación, gestión y respuesta ante las incidencias

Los datos de carácter personal subyacen en Certificados, estructurados de acuerdo al estándar

En caso de que la incidencia conlleve modificaciones se abre una acción correctiva que es ejecutada por el personal al que compete la acción.

Los principales campos de una incidencia son:

  • Nombre de la incidencia (breve descripción)
  • Persona que abre la incidencia, fecha de apertura
  • Área a la que, en principio, compete la incidencia
  • Prioridad
  • Tipo (en general se corresponde con el Hardware/Software afectado)
  • Descripción (descripción detallada de la incidencia)
  • Acciones (acciones realizadas para solucionar la incidencia
  • Registro de personas que manejan la incidencia

5.12.5    Procedimientos de copias de seguridad y recuperación de datos

Las características que se han definido para la realización de copias de seguridad, tienen en cuenta los siguientes factores:

  • Periodicidad de la copia de seguridad (frecuencia con la que deben realizarse)
  • Duración de las copias de seguridad (tiempo que deberán mantenerse las copias)
  • Tipo de copia de seguridad (total o incremental)
  • Almacenamiento (destino de las copias de seguridad)
  • Cifrado (dota de Confidencialidad)
  • Firmado (dota de Integridad y autenticidad)

Concretamente para los datos de Tipo 2, es decir,  datos de carácter personal, se han definido las siguientes características:

  • Periodicidad de la copia de seguridad: Se realizará como mínimo, una copia diaria de seguridad y respaldo de estos datos.
  • Duración de las copias de seguridad: Las copias de seguridad se almacenarán un período de siete días laborables.
  • Tipo de copia de seguridad: Las copias de backup se realizarán siempre completas.
  • Almacenamiento: Las copias de seguridad y respaldo se almacenarán en el archivo ignífugo de alta seguridad del Prestador de Servicios de Certificación eIDSL.
  • Cifrado: La información no irá cifrada
  • Firmado: La información no irá firmada.

La información detallada sobre estas clasificaciones se encuentra en el Plan de Seguridad del Prestador de Servicios de Certificación de eIDSL. En el Manual de Seguridad se definen los responsables de las copias, quienes pueden acceder a ellas y a quién deben comunicárselo en caso de incidencia.

Mayor nivel de detalle sobre este proceso se encuentra descrito en el documento sobre la política de copias seguridad, respaldo y recuperación de la infraestructura denominado “Política de backup / recuperación”.

5.12.6    Control de acceso

Sólo se tiene acceso a los datos de acuerdo al perfil asignado y siempre que dicho acceso sea necesario para el desempeño de las distintas funciones. Por ejemplo, la Oficina de Registro debe proporcionar los requerimientos de control de acceso al sistema de información del Prestador de Servicios de Certificación de eIDSL a los registradores, proporcionándoles el nivel de acceso  para llevar a cabo la función de registro.

  • Control de acceso basado en perfiles: usando la identidad o el perfil del usuario del sistema, que solicita un acceso, junto con el modo de acceso solicitado.
  • Se permitirá el acceso siempre que el usuario identificado solicite un modo de acceso que haya sido autorizado previamente; de lo contrario, se denegará.

El Responsable del Fichero ha establecido mecanismos para evitar que un usuario pueda acceder a datos de carácter personal con derechos distintos al permitido y para impedir el intento reiterado de acceso no autorizado al sistema de información.

5.12.7    Régimen de trabajo fuera de los locales de la ubicación del fichero

Todos los trabajos sobre los datos personales se llevan a cabo en el centro de trabajo de eIDSL como Prestador de Servicios de Certificación.

Tal como se ha comentado en el apartado anterior la función de registro se lleva a cabo en las

Oficinas de Registro por personas debidamente autorizadas.

5.12.8    Ficheros temporales

El software disponible para el tratamiento de datos de carácter de personal necesarios para crear un certificado electrónico de acuerdo al estándar X.509 genera ficheros temporales (ficheros de logs) que son debidamente custodiados ante la necesidad de trazabilidad de la instalación por la actividad de prestador de servicios de certificación en cumplimiento de la Ley de firma electrónica 59/2003, de 19 de diciembre.

En cualquier caso, estos ficheros tienen el mismo nivel de seguridad que el fichero declarado y por tanto se les aplica los mismos controles de seguridad.

5.12.9    Gestión de soportes

Los soportes informáticos que contienen datos de carácter personal están diligentemente identificados, pudiéndose identificar el tipo de información que contienen. Asimismo son almacenados en un lugar de acceso restringido al personal autorizado y custodiado por el personal de seguridad.

En el caso de que se produjese una salida de un soporte informático que contenga datos de carácter personal fuera del centro de trabajo del Prestador de Servicios de Certificación de eIDSL, únicamente podrá ser autorizada por el Responsable del Fichero.

La destrucción de soportes se realiza previa baja de dicho soporte de la “aplicación de backup” (aplicación de copia de seguridad y respaldo) (que actúa como inventario de soportes) y consiste en la destrucción física del soporte (extracción de la cinta magnética de su contenedor y triturado de la misma).

Existe un sistema de registro de entrada de soportes, que permite directa o indirectamente conocer:

  • El tipo de soporte.
  • La fecha y hora de entrada.
  • El emisor.
  • El número de soportes.
  • El tipo de información que contiene.
  • La forma de envío.
  • La persona responsable de recibir la información, que en todo caso está debidamente autorizada por el Responsable del Fichero

Asimismo,  existe  un  sistema  de  registro  de  salida  de  soportes,  que  permite  directa  o indirectamente conocer:

  • El tipo de soporte.
  • La fecha y hora de salida.
  • El destinatario.
  • El número de soportes.
  • El tipo de información que contiene.
  • La forma de envío.

La persona responsable de la entrega, que en todo caso está debidamente autorizada por Responsable del Fichero.

Cuando un soporte vaya a ser desechado o reutilizado se seguirá el procedimiento previsto para impedir cualquier recuperación posterior de la información almacenada en él. Este procedimiento se seguirá previamente a que se proceda a la baja del soporte en el Inventario.

Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.

5.12.10Auditoría

Para el cumplimiento de todos los aspectos señalado en la LOPD se llevará a cabo una auditoría que verifique el cumplimiento de las normas e instrucciones indicadas en este documento. Esta auditoría se llevará a cabo al menos una vez cada dos (2) años.

Este informe de auditoría, hace referencia a la adecuación de las normas e instrucciones indicadas en este documento, identificando las debilidades y proponiendo las acciones correctoras pertinentes. Asimismo, en el informe, se incluyen los datos, hechos y observaciones en que se base el informe realizado, así como las recomendaciones propuestas.

5.12.11Acceso Lógico

Existen varios tipos de acceso lógico al fichero:

  • Acceso con usuario y contraseñas (paswords): acceso en el que un usuario de la aplicación busca la Clave Pública de un Suscriptor partiendo de los datos de identificación del mismo (“serial number” del Certificado, “common name”, etc.).
  • Acceso privilegiado al Directorio o base de datos, donde se encuentran almacenados todos los datos de carácter personal. Para realizar este tipo de acceso, es necesario realizar un alta en la aplicación, de acuerdo a lo dispuesto en la normativa de seguridad del Prestador de Servicios de Certificación de

Los parámetros que están configurados y que incluyen lo exigido por el Reglamento de la LOPD son los que ha continuación se describen:

  • Cada usuario se identifica ante la aplicación con un nombre de usuario, que es único para cada persona.
  • Todo usuario para autenticarse debe introducir una contraseña, que únicamente debe conocer el usuario que pretende autenticarse. Cada usuario es responsable de su contraseña y no debe compartirla con ningún otro.
  • No se han creado grupos de personas que puedan acceder con un mismo usuario y contraseña, y tampoco existen usuarios genéricos. Las cuentas genéricas que se creen para pruebas o similares se eliminan inmediatamente después de realizar dichas pruebas.
  • Cada usuario es libre de cambiar su contraseña si cree que esta puede estar comprometida, pero para ello debe haberla utilizado al menos durante un día. Sin perjuicio de lo anterior, el usuario tiene la obligación de no usar la misma contraseña durante un periodo superior a tres (3) años.
  • Cuando un usuario se identifica y auténtica más de tres veces de forma errónea el sistema bloquea la cuenta de dicho usuario.
  • Existe un mecanismo de control: el Registro de Eventos, encargado de almacenar, entre otra información, todos los accesos a los distintos componentes de la infraestructura

5.12.12Acceso a los sistemas

Solo el personal debidamente autorizado tiene acceso a los sistemas eID  donde se encuentran ubicados los sistemas de información con datos de carácter personal, esto es, el cuadro de mando de los entornos de producción y desarrollo del Prestador de Servicios de Certificación eIDSL.

Para acceder a estos cuadros de mando se dispone de un sistema de autenticación por certificados y un sistema perimetral de seguridad con firewalls y zonas desmilitarizadas (DMZs) de primer nivel.

5.12.13Pruebas con datos reales

Las pruebas en el desarrollo de las aplicaciones que tratan el Fichero EIT, no se hacen con datos reales.

Los distintos aplicativos que requieren acceso a dicho fichero se realizan con carga de datos de prueba.

5.12.14 Proceso de revisión

El apartado “Documento de Seguridad LOPD” ha sido confeccionado para cumplir con el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

El Documento se mantendrá actualizado. Todas las modificaciones que se produzcan como consecuencia de mejoras o adaptación por normativa legal se incorporarán al Documento.

 

 

5.13  Propiedad Intelectual e Industrial

eIDSL es titular en exclusiva de todos los derechos, incluidos los derechos de explotación, sobre el Directorio seguro de Certificados y Listas de Revocación en los términos señalados en el Texto Refundido de la Ley de Propiedad Intelectual aprobado mediante Real Decreto Legislativo 1/1996, de 12 de abril (Ley de Propiedad Intelectual), incluido el derecho sui generis reconocido en el artículo 133 de la citada Ley. En consecuencia, el acceso a los Directorios seguros de Certificados queda permitido a los miembros de la Comunidad Electrónica legitimados para ello, quedando prohibida cualquier reproducción, comunicación pública, distribución, transformación o reordenación salvo cuando esté expresamente autorizada por eIDSL o por la Ley. Queda asimismo prohibida la extracción y/o reutilización de la totalidad o de una parte sustancial del contenido, ya sea considerada como tal desde una perspectiva cuantitativa o cualitativa, así como su realización de forma repetida o sistemática.

eIDSL mantiene todo derecho, título y participación sobre todos los derechos de propiedad intelectual e industrial y Know How relativos a la presente Declaración de Prácticas de Certificación, los servicios que preste, y los programas de ordenador o hardware que utilice en dicha prestación de servicios.

Queda prohibida la reproducción o copia incluso para uso privado de la información que pueda ser considerada como Software o Base de Datos de conformidad con la legislación vigente en materia de Propiedad intelectual, así como su comunicación pública o puesta a disposición de terceros.

Queda prohibida cualquier extracción y/o reutilización de la totalidad o de una parte sustancial de los contenidos o de las bases de datos que eIDSL ponga a disposición de los Suscriptores o Entidades usuarias.

 

6        Orden de Prelación

Las distintas Prácticas de Certificación Particulares que forman parte de los anexos de la presente Declaración de Prácticas de Certificación, tendrán prevalencia en lo que corresponda con carácter particular y referido a sus tipos de Certificados, sobre lo dispuesto en el cuerpo principal de la presente Declaración de Prácticas de Certificación.

7        Ley aplicable, interpretación y jurisdicción competente

La Declaración de Prácticas de Certificación, se regirá por lo dispuesto por las Leyes del Reino de España.

Los miembros de La Comunidad Electrónica aceptan que todo litigio, discrepancia, cuestión o reclamación resultante de la ejecución o interpretación de la presente Declaración de Prácticas de Certificación o relacionada con él, directa o indirectamente, se resolverá de conformidad con lo establecido en los correspondientes contratos y/o convenios, en los términos previstos en los estatutos de la Entidad. Asimismo, podrán pactarse, previa aprobación de los órganos competentes de la eIDSL , cláusulas de arbitraje, de acuerdo con lo establecido en la Legislación aplicable.

8        Modificación de la declaración de prácticas de certificación

Toda la información, sistemas, procedimientos, tanto en sus aspectos cualitativos como cuantitativamente, plazos, importes, formularios y, en general, cualesquiera cuestiones manifestadas en la presente Declaración, podrán ser modificados o suprimidos por eIDSL , sin necesidad de conformidad de los miembros de la Comunidad Electrónica. eIDSL  asume el compromiso de informar de los cambios producidos a través de los sistemas establecidos en la legislación aplicable y dirección web de la entidad.

Los miembros de la Comunidad Electrónica tienen la obligación de comprobar regularmente la Declaración de Prácticas de Certificación, solicitando cuanta información consideren oportuna a la eIDSL .

9        Resolución de conflictos en los supuestos de prestación de servicios de certificación y firma electrónica sobre certificados propios

eIDSL, si no existiera prohibición legal, podrá realizar su actividad como prestador sobre certificados electrónicos propios cuando en el desarrollo de otros fines distintos a los servicios de certificación fuera necesario actuaciones de validación y/o otros servicios con los diferentes miembros de la Comunidad Electrónica.

En caso de conflicto de intereses declarado entre eIDSL  y otros miembros de la Comunidad Electrónica, por la actividad antes señalada, eIDSL  remitirá los elementos y protocolos técnicos necesarios a otro prestador de servicios para la validación y resto de servicios que sea necesario realizar.

 

 

 

 

 

 

 

 

 

 

 

 

ANEXO I. PRÁCTICAS DE CERTIFICACIÓN PARTICULARES DE LOS CERTIFICADOS DE IDENTIDAD DE PERSONA FÍSICA

 

 

10   Anexo I. Prácticas de Certificación particulares de los Certificados de identidad de persona física

El Presente anexo trae causa y forma parte integrante de la Declaración de Prácticas de Certificación de eIDSL .

En especial deberá tenerse presente, a efectos interpretativos del presente anexo el apartado “Definiciones” de la Introducción del cuerpo principal de la Declaración de Practicas de Certificación.

Estas Prácticas de Certificación particulares definen el conjunto de prácticas adoptadas por eIDSL  como Prestador de Servicios de Certificación para la gestión del ciclo de vida de los Certificados de Identidad de Persona Física, expedidos bajo la Política de Certificación de Certificados de eIDSL .

10.1  tipología del certificado de identidad de persona física

El Certificado de identidad de persona física, también conocido como Certificado de usuario de eIDSL , es la certificación electrónica expedida por eIDSL  que vincula a su Suscriptor unos Datos de verificación de Firma y confirma su identidad. Este Certificado, es emitido como Certificado con base en los criterios establecidos para tal en la Ley de Firma Electrónica (Ley 59/2003), tanto en lo referente al Prestador de Servicios de Certificación como a la generación de los Datos de creación de Firma y al contenido del propio Certificado.

10.2  Gestión del ciclo de vida del Certificado de Identidad de Persona Física

Se definen aquí aquellos aspectos que, si bien ya han sido apuntados en el cuerpo principal de la Declaración de Prácticas de Certificación de la que este anexo forma parte, revisten determinadas especialidades que necesitan un mayor nivel de detalle.

10.2.1    Solicitud del Certificado

A continuación se describe el procedimiento de solicitud por el que se toman los datos personales de un Solicitante, se verifica su identidad y se formaliza su contrato para la posterior emisión de un Certificado de identidad de persona física una vez realizadas las validaciones pertinentes.

Estas actividades serán realizadas por las Oficinas de Registro implantadas por las Entidades usuarias con las que eIDSL haya suscrito el acuerdo correspondiente y demás Oficinas que colaboran en la identificación de acuerdo con la normativa aplicable.

10.2.2    Confirmación de la identidad personal

La confirmación se podrá realizar de la siguiente forma:

10.2.2.1 Verificación presencial

La verificación presencial podrá realizarse ante eIDSL o ante cualquier Oficina de Registro con la que ésta tenga suscrito un acuerdo. En ambos casos la comparecencia se llevará a cabo según el criterio vigente de eIDSL, al objeto de que ésta sea homogénea en todos los casos.

En este acto el Solicitante aportará los datos que se le requieran y acreditará su identidad personal.

La Oficina de Registro verificará que los documentos aportados cumplen todos los requisitos para confirmar la identidad del Solicitante.

La personación del Solicitante no será indispensable si la firma en la solicitud de expedición de un  Certificado  ha  sido  legitimada  en  presencia  notarial,  o  si  se  solicita  una  renovación  de Certificado, de conformidad con lo dispuesto en el apartado “Renovación de certificados” de la presente Declaración de Prácticas de Certificación.

10.2.2.2 Verificación telemática

Se podrá llevar a cabo la identificación de los suscriptores a través del servicio de identificación electrónica telemática, al que hacen referencia las Políticas del Servicio de Identificación electrónica al que hace referencia el Anexo II del presente documento.

10.2.3    Envío de información a eIDSL

Una vez confirmada la identidad del Solicitante y suscrito el contrato de solicitud por el Solicitante y la Oficina de Registro, ésta procederá a validar los datos y a enviarlos. Esta transmisión de información a eIDSL se realizará mediante comunicaciones seguras establecidas para tal fin entre la Oficina de Registro y eIDSL.

10.2.4    Emisión del Certificado de persona física

Una vez recibidos en eIDSL los datos personales del Suscriptor se procederá a la emisión del Certificado.

La emisión de Certificados supone la generación de documentos electrónicos que confirman la identidad del Solicitante, a través de los medios adoptados por eID o por las Oficinas de Registro, así como su correspondencia con la Clave Pública asociada. La emisión de Certificados de eIDSL sólo puede realizarla ella misma, en su calidad de Prestador de Servicios de Certificación, no existiendo ninguna otra entidad u organismo con capacidad de emisión de los mismos.

eIDSL, por medio de su Firma electrónica, autentica los Certificados y confirma la identidad de sus Suscriptores.

Por otro lado y con el fin de evitar la manipulación de la información contenida en los Certificados, eIDSL utilizará mecanismos criptográficos que doten de autenticidad e integridad al Certificado.

eIDSL en ningún caso incluirá en un Certificado información distinta de la aquí mostrada, ni circunstancias, atributos específicos de los firmantes o limites económicos diferentes a los expuestas en los siguientes apartados.

En cualquier caso eIDSL actuará diligentemente para:

  • Comprobar que el Solicitante del Certificado utilice la Clave Privada correspondiente a la Clave Publica vinculada a la identidad del Suscriptor del mismo. Para ello eIDSL comprobará la correspondencia entre la Clave privada y la Clave pública.
  • Lograr que la información incluida en el Certificado se base en la información proporcionada por el Solicitante.
  • No ignorar hechos notorios que puedan afectar a la fiabilidad del Certificado.
  • Lograr que el DN (nombre distintivo) asignado en el Certificado sea único en toda la Infraestructura de Clave Pública de eIDSL.

10.2.4.1 Composición del nombre distintivo (DN) del Suscriptor

Con los datos personales del Solicitante recogidos durante el proceso de solicitud del Certificado, se procede a componer el nombre distintivo (DN) del Solicitante conforme al estándar X.500, asegurando que dicho nombre tenga sentido y no de lugar a ambigüedades. No se contempla el uso de seudónimos como forma de identificación del Suscriptor.

El DN para un Suscriptor está compuesto de los siguientes elementos: DNºCN, OU, OU, OU, O, C

El conjunto de atributos OU, OU, OU, O, C representa la rama del directorio en la que se encuentra ubicada la entrada correspondiente al Suscriptor en cuestión.

El atributo CN contiene los datos de identificación del Suscriptor que para el caso de los

Certificados de Identidad de Persona Física seguirá la siguiente sintaxis:

CN= NOMBRE a1 a2 n – NIF 12345678A

Donde:

NOMBRE y NIF son etiquetas [1]

n, a1 y a2 son los nombres, primer y segundo apellido del Suscriptor respectivamente[2] 12345678A es su correspondiente NIF [3].

[1] Las etiquetas siempre van en mayúsculas y se separan del valor por un espacio en blanco. Las duplas

<etiqueta, valor> se separan entre ellas con un espacio en blanco, un guión y otro espacio en blanco (“

– ”)

[2] Con todos sus caracteres en mayúsculas, excepto la letra eñe, que irá siempre en minúscula. No se incluirán símbolos (comas, guiones, etc.) ni caracteres acentuados.

[3] NIF del Suscriptor = 8 cifras + 1 letra mayúscula, sin ningún tipo de separación entre ellas. En el caso de un NIF de Suscriptor ocupe menos de 8 cifras, se incluirán ceros al comienzo del número hasta completar las 8 cifras.

Una vez compuesto el nombre distintivo (DN) que identificará al Suscriptor, se crea la correspondiente entrada en el directorio, procurando que el nombre distintivo sea único en toda la Infraestructura de Clave Pública del Prestador de Servicios de Certificación.

10.2.4.2 Composición de la identidad alternativa del Suscriptor

La identidad alternativa del Suscriptor, tal como se contempla en la presente tipología de Certificados contiene la misma información que el CN, distribuida en una serie de atributos, de forma que sea más sencilla la obtención de los datos personales del Suscriptor del Certificado. Se utiliza la extensión subjectAltName definida en X.509 versión 3 para ofrecer esta información.

Dentro de dicha extensión, se utilizará el subcampo directoryName para incluir un conjunto de atributos definidos por CSL, que incorporan información sobre el Suscriptor en cuestión, siguiendo el siguiente criterio:

 

Tipo Certificado Información Atributo eIDSL OID (*)
Persona Física (1) Nombre eIDSLNombre eIDSLoid.1.1
Primer apellido eIDSLApellido1 eIDSLoid.1.2
Segundo apellido eIDSLApellido2 eIDSLoid.1.3
NIF eIDSLNif eIDSLoid.1.4

[1] Por otra parte, además del subcampo directoryName de la extensión subjectAltName, en el caso de que se haya aportado una dirección de correo electrónico por el Suscriptor durante el proceso de solicitud de emisión del Certificado, ésta estará incluida en el subcampo rfc822Name.

10.2.4.3 Perfil del Certificado de identidad de Persona Física

El formato del Certificado de Identidad de Persona Física expedido por eIDSL bajo la Política de Certificación de Certificados de eIDSL, en consonancia con la norma UIT-T X.509 versión 3 y de acuerdo con la normativa legalmente aplicable en materia de Certificados, contiene los siguientes campos:

Campo O.I.D Valor
Campos Básicos
Version 2 (X.509 v3)
SerialNumber Número de serie del Certificado. [1]
Issuer C=ES,O=CSL,OU=eIDSL CA
Validity [2]
Subject Nombre distintivo del Suscriptor. [3]
SubjectPublicKeyInfo RsaEncryption, Clave Pública. [4]
SignatureAlgIdentifier Identificador   de   Algoritmo   de   Firma electrónica utilizado. [5]
 TaxCert Taxonomía del Certificado [6]
Extensiones Estándar
KeyUsage 2.5.29.15 [7]
PrivateKeyUsageperiod 2.5.29.16 El mismo que Validity
SubjectAltName 2.5.29.17 [8]
CertificatePolicies 2.5.29.32 Política de Certificación [9]
CRLDistributionPoints 2.5.29.31 Cn=CRLnnn,c=ES, o=eIDSL,OU=eIDSL Usuario [10]
AuthorityKeyIdentifier 2.5.29.35 Identificador de Clave del Prestador de Servicios de Certificación
SubjectKeyIdentifier 2.5.29.14 Identificador de Clave del Suscriptor
BasicConstraints 2.5.29.19 Restricciones básicas. Entidad Final
Extensiones Privadas
NetscapeCertType 2.16.840.1.113730.1 [11]
QCStatement 1.3.6.1.5.5.7.1.3 [12]
eIDSLTipoCertificado 1.3.6.1.4.1.5734.1.33 [13]

 

Donde:

[1]  SerialNumber:  Número  de  identificación  para  el  Certificado  único  dentro  de  la infraestructura del Prestador de Servicios de Certificación.

[2] Validity: Período de validez del Certificado tal y como se muestra en el apartado “II.2.5 Periodo de validez del Certificado” del presente anexo.

[3] Subject: Identificación del Suscriptor del Certificado. Su composición ha sido detallada con anterioridad en este apartado.

[4]  SubjectPublicKeyInfo:  Es la  Clave  Pública  que  el  Suscriptor  generó en  la fase de presolicitud de emisión del Certificado.

[5] TaxCert: Identificación de la Taxonomía del Certificado según los atributos y métodos utilizados para la identificación del suscriptor

[6] SignatureAlgIdentifier: Identificación del algoritmo utilizado para realizar la Firma electrónica del Certificado. El algoritmo utilizado es SHA1WithRSAEncryption siendo la longitud de la Clave utilizada de 2048 bits.

[6] KeyUsage: Valores admitidos para el uso de la Clave. No está marcada como crítica.

Toma los valores {digitalSignature, keyEncipherment}.

[7] SubjectAltName: Identidad Alternativa del Suscriptor. No está marcada como crítica.

Su concreta composición ha sido detallada con anterioridad en este apartado.

[8] Políticas de Certificación aplicables al Certificado:  No está marcada como crítica.

Su contenido es el mostrado a

Texto de aviso=   Certificado  expedido  según  legislación  vigente.  Uso

limitado a la Comunidad Electrónica por valor máximo de 100 € salvo excepciones en DPC.

Contacto Electronic IDentification SL Avenida Monte Igueldo,2, Tercera Planta 28053, Madrid-España.

Localización de Política:

http://www.electronicid.eu/?p=379

 

[9] CRLDistributionPoint: El punto concreto de distribución de las Listas de Revocación, es generado por el Prestador de Servicios de Certificación en el mismo momento en que procede a la generación de Certificado. No está marcada como crítica.

[10] NetscapeCertType: Tipo de certificado según Netscape. No está marcada como crítica.

Toma los valores  {sSLCLIENT, sMIME}.

[11] QCStatement: No está marcada como crítica. Contiene indicación expresa de que el Certificado ha sido emitido como Certificado Reconocido y el límite de uso monetario (100€) utilizando para ello los OIDs estipulados en la normativa vigente. Su contenido es el mostrado a continuación:

QcEuLimitValue ( : 100 €

[12] CSLTipoCertificado : No está marcada como crítica.

Se incluye un indicativo textual del tipo de Certificado, que para el Certificado de Identidad de Persona Física es:

“PERSONA FISICA”

10.2.4.4 Publicación del Certificado de Identidad de persona física

Una vez generado el Certificado por parte del Prestador de Servicios de Certificación, se publicará en el Directorio, concretamente en la entrada correspondiente al nombre distintivo del Suscriptor, tal como se ha definido en el apartado “Emisión del Certificado” de este anexo.

Si en el proceso de solicitud el Solicitante proporcionó una dirección de correo electrónico, se le enviará una comunicación de la disposición de su Certificado para su uso.

10.2.5    Período de validez del Certificado de Identidad de persona física

El periodo de validez de los Certificados de Identidad de Persona Física emitidos por eIDSL será de cinco (5) años contados a partir del momento de la emisión del Certificado, siempre y cuando no se extinga su vigencia por las causas y procedimientos expuestos en el apartado “Extinción de la vigencia del Certificado” de la Declaración de Prácticas de Certificación.

10.2.6    Revocación del Certificado de Identidad de persona física

La revocación de Certificados implica, además de su extinción, la finalización de la relación jurídica con eIDSL que se mantuviese al respecto.

La revocación de un Certificado de Identidad de Persona Física podrá ser solicitada por los entes descritos en el apartado “Revocación de Certificados” de la Declaración de Prácticas de Certificación en los términos y condiciones allí expresadas. Ver también el apartado “Extinción vigencia de los certificados”.

A continuación se describe el procedimiento por el que se toman los datos personales de un Solicitante, se confirma su identidad y se formaliza la solicitud de revocación de un Certificado por parte de un legítimo interesado. Serán causas admitidas para la revocación de un Certificado las expuestas en el apartado “Causas de revocación de Certificados“ de la Declaración de Prácticas de Certificación. Asimismo, se recuerda lo previsto en el último párrafo) del apartado, en relación con la solicitud de certificados existiendo otro en vigor a favor del mismo titular y perteneciente a la misma Ley de Emisión.

Estas actividades serán realizadas por las Oficinas de Registro implantadas por las Entidades usuarias con las que eIDSL haya suscrito el convenio correspondiente o bien de forma telemática, caso de estar en posesión del Certificado y de sus correspondientes Datos de creación de Firma.

10.2.6.1 Si el peticionario no está en posesión del Certificado, o no dispone del resto de herramientas necesarias para solicitar la revocación telemáticamente

En este caso podrá solicitar la revocación del Certificado personándose en una Oficina de Registro para identificarse. Una vez acreditada su identidad, el peticionario deberá firmar el modelo de solicitud de revocación del Certificado que se le presente. Este modelo se corresponderá con el mostrado en el apartado “II.5  Modelos de formulario” del presente anexo. Posteriormente las Oficinas de Registro transmitirán los registros tramitados a eIDSL para que ésta proceda a la revocación del Certificado.

Una vez que eIDSL ha procedido a la revocación del Certificado, se publicará en el Directorio seguro la correspondiente Lista de Revocación indicando el número de serie del Certificado revocado, la fecha y hora en que se ha realizado la revocación y la causa de revocación.

10.2.7    Suspensión del Certificado de Identidad de persona física

La suspensión de Certificados deja sin efectos el Certificado durante un período de tiempo y en unas condiciones determinadas.

La suspensión de los Certificados, podrá ser solicitada por las entidades descritas en  el apartado “ Suspensión de Certificados” de la Declaración de Prácticas de Certificación en los términos y condiciones allí expresados.

A continuación se describe el procedimiento por el que se le toman los datos personales, se confirma su identidad, y en su caso se formaliza la solicitud de suspensión de un Certificado por parte de un legítimo interesado. Serán causas admitidas para la suspensión de un Certificado las expuestas en el apartado “ Causas de suspensión de Certificados” de la Declaración de Prácticas de Certificación.

Estas actividades serán realizadas por las Oficinas de Registro, implantadas por las Entidades usuarias con las que eIDSL haya suscrito el convenio correspondiente, o bien de forma telemática, caso de estar en posesión del Certificado y de sus correspondientes Datos de creación de Firma.

eIDSL procederá a suspender el Certificado de forma provisional durante un plazo de noventa (90) días, plazo tras el cual se extinguirá el Certificado mediante su revocación directa por parte del Prestador de Servicios de Certificación de eIDSL, salvo que se hubiera levantado la suspensión por parte del Suscriptor. No obstante lo anterior, el plazo previsto para la suspensión del Certificado podrá verse alterado en función de los procedimientos judiciales o administrativos que lo pudieran afectar.

Si durante el plazo de suspensión del Certificado éste caducara o se solicitara su revocación, se producirán las mismas consecuencias que para los Certificados no suspendidos, que se vieran afectados por supuestos de caducidad o de revocación.

10.2.8    Cancelación de la suspensión del Certificado de Identidad de persona física

Podrán solicitar el Cancelación de la suspensión de los Certificados emitidos por eIDSL  los Suscriptores, siempre que, con anterioridad a esta solicitud de Cancelación de la suspensión, conserven el Certificado y su Clave Privada, y dicha solicitud se efectúe durante los noventa (90) días siguientes a su suspensión.

La comparecencia se llevará ante la Oficina de Registro según el criterio vigente de eIDSL, al objeto de que ésta sea homogénea en todos los casos.

En este acto el Solicitante aportará los datos que se le requieran y acreditará su identidad personal, siguiendo el procedimiento descrito anteriormente para la solicitud de emisión del Certificado de Identidad de persona física.

La personación del Solicitante no será indispensable si la firma en la solicitud de levantamiento de suspensión del Certificado ha sido legitimada en presencia notarial.

Los datos personales del Solicitante, una vez validados por la Oficina de Registro, se enviarán a eIDSL mediante comunicaciones seguras establecidas para tal fin entre la Oficina de Registro y la eIDSL.

Una vez recibidos los datos validados por la Oficina de Registro de la petición de levantamiento de suspensión, eIDSL procederá a retirar este Certificado de la Lista de Revocación, no efectuándose acción técnica alguna sobre el Certificado en cuestión.

10.2.9    Renovación del Certificado de Identidad de persona física

Podrán solicitar la renovación de los Certificados emitidos por eIDSL los Suscriptores, siempre que en el momento de la solicitud tengan un Certificado en vigor y sus Datos de creación de Firma asociados y, dicha solicitud, se efectúe durante los sesenta (60) días anteriores a su caducidad (en este sentido véase el apartado “Caducidad” del cuerpo principal de la presente Declaración de Prácticas de Certificación).

Efectuada la renovación de los Certificados, su validez será la misma que la expresada en el apartado “Período de validez  del Certificado” del presente anexo.

El antiguo Certificado que se haya procedido a renovar seguirá siendo válido hasta  que caduque. En caso de solicitarse la revocación del Certificado, eIDSL procederá a revocar ambos Certificados. El procedimiento de renovación lleva asociado la generación de una nueva pareja de Claves criptográficas.

El peticionario deberá conectarse a la dirección correspondiente con acceso a la plataforma eID y seguir los pasos “Renovar Certificado”.

El procedimiento establecido no requiere la personación del peticionario, ya que se le identificará telemáticamente mediante la utilización de sus Datos de creación de Firma. Tanto el proceso de la solicitud como la obtención del Certificado, se realizará de forma telemática, requiriéndose en todo caso la generación por parte del peticionario, de una Firma electrónica Reconocida del documento de solicitud de renovación, si bien se indica que la renovación telemática del Certificado sólo se podrá realizar cuando no se haya superado el plazo máximo de 5 años desde la personación e identificación física del Suscriptor que establece la Ley de firma electrónica 59/2003, de 19 de diciembre, en su artículo 13.4.

La utilización de los Certificados renovados se sujeta a las mismas condiciones generales y particulares vigentes en cada momento y establecidas para el tipo de Certificado renovado. A este respecto se deberá tener presente por ser de aplicación, lo establecido en el apartado “Modificación de la Declaración de Practicas de Certificación”.

10.2.10Comprobación del estado del Certificado de Identidad de persona física

El Suscriptor del Certificado y las Entidades usuarias pertenecientes a la Comunidad Electrónica podrán realizar la comprobación del estado de un Certificado en la forma y condiciones que se expresan en los apartados “Procedimientos de consulta del estado de los Certificados” y “ Servicio de validación de Certificados mediante OCSP” de la Declaración de Prácticas de Certificación.

10.3  Terminación de eIDSL en su actividad como Prestador de Servicios de Certificación

Esta circunstancia y sus consecuencias se describen en el apartado “Cese de la actividad del Prestador de Servicios de Certificación”, de la Declaración de Prácticas de Certificación.

10.4  Obligaciones, garantías y responsabilidad de las partes

Las obligaciones, garantías y responsabilidades de las partes implicadas en la emisión y uso de los Certificados expedidos por eIDSL en su labor como Prestador de Servicios de Certificación quedan reflejadas en los apartados “Obligaciones y Garantías de las Partes” y “Responsabilidad de las Partes” de la Declaración de Prácticas de Certificación de la que el presente anexo forma parte.

Las obligaciones, garantías y responsabilidad de las partes, podrán ser objeto de regulación particular en los convenios y contratos correspondientes.

10.5  Limites de uso de los certificados de identidad de persona física

Para poder usar los Certificados de forma diligente a la hora de confiar  en documentos firmados electrónicamente con base en los mismos, se deberá previamente formar parte de la Comunidad Electrónica, y adquirir la condición de Entidad usuaria, con la finalidad que puedan ser prestados por eIDSL los servicios de comprobación de vigencia de los diferentes certificados. Fuera de la Comunidad Electrónica no se debe confiar en un Certificado o en una Firma electrónica que se base en un Certificado no emitido bajo la Política de Certificación de Certificados de eIDSL. En cualquier caso, de producirse esta confianza por parte de un tercero, no se obtendrá cobertura de la presente Declaración de Prácticas de Certificación, y se carecerá de legitimidad alguna para reclamar o emprender acciones judiciales contra eIDSL por daños, perjuicios o conflictos provenientes del uso o confianza en un Certificado.

Además, incluso dentro del ámbito de la Comunidad Electrónica, no se podrán emplear este tipo de Certificados,  por persona o entidad distinta a eIDSL, para:

  • Firmar otro certificado.
  • Firmar software o componentes.
  • Generar sellos de tiempo para procedimientos de Fechado electrónico.
  • Prestar servicios a título gratuito u oneroso, como por ejemplo serían a título enunciativo:
  • Prestar servicios de OCSP.
  • Generar Listas de Revocación.
  • Prestar servicios de notificación.
  • Realizar transacciones económicas superiores a 100€, salvo que:
    • Uno de los intervinientes sea una Entidad usuaria de Derecho Público; o
    • Medie autorización expresa y escrita de eIDSL para hacerlo y, en ese caso, en las condiciones que se establezcan en dicha autorización y/o contrato correspondiente.

11   Anexo II. Prácticas del servicio de identificación electrónica

Las Prácticas del servicio de identificación electrónica se encuentran accesibles a través de http://www.electronicid.eu/?p=2577

 

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies