• No se han encontrado resultados

Esquema de identificación y firma electrónica. Política de Certificación. Fichero:

N/A
N/A
Protected

Academic year: 2021

Share "Esquema de identificación y firma electrónica. Política de Certificación. Fichero:"

Copied!
78
0
0

Texto completo

(1)

Autor: MAP

Tipo de documento: Entregable a revisión Grupo de trabajo: certiCA

Versión: V 1.2.1 Fecha: 19/05/08

Fichero: Esquema de Identificación y firma. BI - Política de Certificación

Esquema de identificación y firma electrónica

de las Administraciones públicas

(2)

Historia del documento:

Fecha: Versión: Nombre: Descripción:

20/2/08 V 1.0 MAP Primera versión

25/03/08 V 1.1 MAP Revisión

19/05/08 V 1.2 MAP Finalización y distribución

(3)

ÍNDICE

1 INTRODUCCIÓN ...9

1.1 PRESENTACIÓN...9

1.1.1 Modelo de certificación ...9

1.1.2 Niveles de Aseguramiento ...10

1.1.3 Tipos y clases de certificados ...10

1.1.4 Relación entre la política de certificación y otros documentos ...11

1.2 NOMBRE DEL DOCUMENTO E IDENTIFICACIÓN...11

1.2.1 Identificación de este documento de políticas ...11

1.2.2 Identificación de los tipos de certificado ...12

1.3 PARTICIPANTES EN LOS SERVICIOS DE CERTIFICACIÓN...12

1.3.1 Prestadores de servicios de certificación...13

1.3.2 Usuarios finales...15

1.4 ADMINISTRACIÓN DE LA POLÍTICA...16

1.4.1 Organización que administra el documento...16

1.4.2 Datos de contacto de la organización ...16

1.4.3 Procedimiento de gestión del documento ...17

1.4.4 Procedimiento de Publicación...17

2 PUBLICACIÓN DE INFORMACIÓN Y REPOSITORIO DE CERTIFICADOS...18

2.1 REPOSITORIO(S) DE CERTIFICADOS...18

2.2 PUBLICACIÓN DE INFORMACIÓN DE LA ENTIDAD DE CERTIFICACIÓN...18

2.3 FRECUENCIA DE PUBLICACIÓN...19

2.4 CONTROL DE ACCESO...19

3 IDENTIFICACIÓN Y AUTENTICACIÓN ...20

3.1 GESTIÓN DE NOMBRES...20

3.1.1 Tipos de nombres...20

3.1.2 Normalización e Identidad Administrativa ...20

3.1.3 Significado de los nombres ...22

3.1.4 Uso de anónimos y seudónimos ...22

3.1.5 Interpretación de formatos de nombres ...22

3.1.6 Unicidad de los nombres...22

(4)

3.2.2 Autenticación de la identidad de una organización...24

3.2.3 Autenticación de la identidad de una persona física...24

3.2.4 Información de suscriptor no verificada ...25

3.3 IDENTIFICACIÓN Y AUTENTICACIÓN DE SOLICITUDES DE RENOVACIÓN...25

3.3.1 Validación para la renovación rutinaria de certificados...25

3.3.2 Validación para la renovación de certificados después de la revocación ...25

3.4 IDENTIFICACIÓN Y AUTENTICACIÓN DE LA SOLICITUD DE REVOCACIÓN...26

3.5 AUTENTICACIÓN DE UNA PETICIÓN DE SUSPENSIÓN...26

4 REQUISITOS DE OPERACIÓN DEL CICLO DE VIDA DE LOS CERTIFICADOS...27

4.1 SOLICITUD DE EMISIÓN DE CERTIFICADO...27

4.1.1 Legitimación para solicitar la emisión ...27

4.1.2 Procedimiento de alta; Responsabilidades ...28

4.2 PROCESAMIENTO DE LA SOLICITUD DE CERTIFICACIÓN...28

4.2.1 Especificaciones para los certificados de empleado público ...28

4.2.2 Especificaciones para los certificados de sede electrónica / sello ...29

4.3 EMISIÓN DE CERTIFICADO...29

4.3.1 Acciones de la Entidad de Certificación durante el proceso de emisión ...29

4.3.2 Notificación de la emisión al suscriptor ...30

4.4 ENTREGA Y ACEPTACIÓN DEL CERTIFICADO...30

4.4.1 Responsabilidades de la Entidad de Certificación...30

4.4.2 Conducta que constituye aceptación del certificado...31

4.4.3 Publicación del certificado...31

4.4.4 Notificación de la emisión a terceros ...31

4.5 USO DEL PAR DE CLAVES Y DEL CERTIFICADO...31

4.5.1 Requisitos generales de uso...31

4.5.2 Uso por los suscriptores...32

4.5.3 Uso por un tercero que confía en los certificados...32

4.6 RENOVACIÓN DE CERTIFICADOS SIN RENOVACIÓN DE CLAVES...33

4.7 RENOVACIÓN DE CERTIFICADO CON RENOVACIÓN DE CLAVES...33

4.8 MODIFICACIÓN DE CERTIFICADOS...34

4.9 REVOCACIÓN Y SUSPENSIÓN DE CERTIFICADOS...34

4.9.1 Causas de revocación de certificados ...34

4.9.2 Legitimación para solicitar la revocación ...36

4.9.3 Procedimientos de solicitud de revocación ...36

4.9.4 Plazo temporal de solicitud de revocación...37

(5)

4.9.6 Obligación de consulta de información de revocación de certificados ...37

4.9.7 Frecuencia de emisión de listas de revocación de certificados (CRLs) ...38

4.9.8 Periodo máximo de publicación de CRLs ...38

4.9.9 Disponibilidad de servicios de comprobación de estado de certificados...38

4.9.10 Obligación de consulta de servicios de comprobación de estado de certificados ...38

4.9.11 Otras formas de información de revocación de certificados...39

4.9.12 Requisitos especiales en caso de compromiso de la clave privada ...39

4.9.13 Causas de suspensión de certificados ...39

4.9.14 Legitimación para solicitar la suspensión ...39

4.9.15 Procedimiento de solicitud de suspensión...39

4.9.16 Periodo máximo de suspensión de un certificado ...39

4.10 SERVICIOS DE COMPROBACIÓN DE ESTADO DE CERTIFICADOS...40

4.10.1 Características de operación de los servicios ...40

4.10.2 Disponibilidad de los servicios ...40

4.10.3 Otras características ...40

4.11 FINALIZACIÓN DE LA SUSCRIPCIÓN...40

5 CONTROLES DE SEGURIDAD FÍSICA, DE GESTIÓN Y DE OPERACIONES...41

5.1 CONTROLES DE SEGURIDAD FÍSICA...41

5.1.1 Localización y construcción de las instalaciones...41

5.1.2 Acceso físico ...42

5.1.3 Electricidad y aire acondicionado...42

5.1.4 Exposición al agua ...42

5.1.5 Advertencia y protección de incendios ...43

5.1.6 Almacenaje de soportes...43

5.1.7 Tratamiento de residuos ...43

5.1.8 Backup fuera de las instalaciones...43

5.2 CONTROLES DE PROCEDIMIENTOS...43

5.2.1 Funciones fiables ...44

5.2.2 Número de personas por tarea ...44

5.2.3 Identificación y autenticación para cada función ...44

5.2.4 Roles que requieren separación de tareas ...44

5.3 CONTROLES DE PERSONAL...45

5.3.1 Requisitos de historial, calificaciones, experiencia y autorización...45

(6)

5.3.5 Secuencia y frecuencia de rotación laboral ...46

5.3.6 Sanciones por acciones no autorizadas ...46

5.3.7 Requisitos de contratación de profesionales ...47

5.3.8 Suministro de documentación al personal ...47

5.4 PROCEDIMIENTOS DE AUDITORÍA DE SEGURIDAD...47

5.4.1 Tipos de eventos registrados ...47

5.4.2 Frecuencia de tratamiento de registros de auditoría ...48

5.4.3 Periodo de conservación de registros de auditoría...49

5.4.4 Protección de los registros de auditoría...49

5.4.5 Procedimientos de copia de respaldo ...49

5.4.6 Localización del sistema de acumulación de registros de auditoría...49

5.4.7 Notificación del acontecimiento de auditoría al causante del evento ...49

5.4.8 Análisis de vulnerabilidades...50

5.5 ARCHIVO DE INFORMACIONES...50

5.5.1 Tipos de eventos registrados ...50

5.5.2 Periodo de conservación de registros...51

5.5.3 Protección del archivo ...51

5.5.4 Procedimientos de copia de respaldo ...51

5.5.5 Requisitos de sellado de cautela de fecha y hora ...51

5.5.6 Localización del sistema de archivo...51

5.5.7 Procedimientos de obtención y verificación de información de archivo ...52

5.6 RENOVACIÓN DE CLAVES DE UNA ENTIDAD DE CERTIFICACIÓN...52

5.7 COMPROMISO DE CLAVES Y RECUPERACIÓN DE DESASTRE...52

5.7.1 Corrupción de recursos, aplicaciones o datos ...52

5.7.2 Revocación de la clave pública de la Entidad de Certificación...52

5.7.3 Compromiso de la clave privada de la Entidad de Certificación...53

5.7.4 Desastre sobre las instalaciones. ...53

5.8 FINALIZACIÓN DEL SERVICIO...54

6 CONTROLES DE SEGURIDAD TÉCNICA...55

6.1 GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES...55

6.1.1 Generación del par de claves ...55

6.1.2 Envío de la clave privada al suscriptor...55

6.1.3 Envío de la clave pública al emisor del certificado ...55

6.1.4 Distribución de la clave pública de los Prestadores de Servicios de Certificación...56

6.1.5 Tamaños de claves ...56

(7)

6.1.7 Comprobación de calidad de parámetros de clave pública ...56

6.1.8 Generación de claves en aplicaciones informáticas o en bienes de equipo ...56

6.1.9 Propósitos de uso de claves ...57

6.2 PROTECCIÓN DE LA CLAVE PRIVADA...57

6.2.1 Estándares de módulos criptográficos ...57

6.2.2 Control por más de una persona (n de m) sobre la clave privada...57

6.2.3 Introducción de la clave privada en el módulo criptográfico ...58

6.2.4 Método de activación de la clave privada. ...58

6.2.5 Método de desactivación de la clave privada ...58

6.2.6 Método de destrucción de la clave privada...58

6.3 CUSTODIA, COPIA Y RECUPERACIÓN DE CLAVES...59

6.3.1 Política y prácticas de custodia, copia y recuperación de claves ...59

6.3.2 Archivo de la clave privada ...59

6.4 OTROS ASPECTOS DE GESTIÓN DEL PAR DE CLAVES...60

6.4.1 Archivo de la clave pública...60

6.4.2 Periodos de utilización de las claves pública y privada ...60

6.5 DATOS DE ACTIVACIÓN...60

6.5.1 Generación e instalación de los datos de activación ...60

6.5.2 Protección de datos de activación ...60

6.6 CONTROLES DE SEGURIDAD INFORMÁTICA...60

6.6.1 Requisitos técnicos específicos de seguridad informática ...60

6.6.2 Evaluación del nivel de seguridad informática...61

6.7 CONTROLES TÉCNICOS DEL CICLO DE VIDA...61

6.7.1 Controles de desarrollo de sistemas...61

6.7.2 Controles de gestión de seguridad ...62

6.7.3 Evaluación del nivel de seguridad del ciclo de vida...62

6.8 CONTROLES DE SEGURIDAD DE RED...62

6.9 CONTROLES DE SEGURIDAD DE LOS MÓDULOS CRIPTOGRÁFICOS...62

7 PERFILES DE CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS ...64

7.1 PERFIL DE CERTIFICADO...64

7.2 PERFIL DE LA LISTA DE REVOCACIÓN DE CERTIFICADOS...64

8 ESQUEMA DE ADMISIÓN DE PRESTADORES DE SERVICIO DE CERTIFICACIÓN. ...66

9 AUDITORÍA DE CUMPLIMIENTO...67

(8)

9.4 LISTADO DE ELEMENTOS OBJETO DE AUDITORÍA...67

9.5 ACCIONES A EMPRENDER COMO RESULTADO DE UNA FALTA DE CONFORMIDAD...68

9.6 TRATAMIENTO DE LOS INFORMES DE AUDITORÍA...68

10 REQUISITOS LEGALES ...69

10.1 CONFIDENCIALIDAD...69

10.1.1 Tipo de información que debe protegerse ...69

10.1.2 Información no sensible ...69

10.1.3 Divulgación de información de suspensión y revocación ...70

10.1.4 Divulgación legal de información ...70

10.1.5 Divulgación de información por petición de su titular ...70

10.1.6 Otras circunstancias de divulgación de información ...71

10.2 PROTECCIÓN DE DATOS PERSONALES...71

10.3 DERECHOS DE PROPIEDAD INTELECTUAL...71

10.3.1 Propiedad de los certificados e información de revocación ...71

10.3.2 Propiedad de la política de certificado y Declaración de Prácticas de Certificación ...72

10.3.3 Propiedad de la información relativa a nombres ...72

10.3.4 Propiedad de claves ...72

10.4 OBLIGACIONES Y RESPONSABILIDAD CIVIL...72

10.4.1 Modelo de obligaciones del prestador de servicios de certificación...73

10.4.2 Garantías ofrecidas a suscriptores y terceros que confían en los certificados ...74

10.4.3 Rechazo de otras garantías...75

10.4.4 Limitación de responsabilidades...75

10.4.5 Cláusulas de exención de responsabilidades ...75

10.4.6 Caso fortuito y fuerza mayor...76

10.4.7 Ley aplicable ...76

10.4.8 Cláusulas de divisibilidad, supervivencia, acuerdo íntegro y notificación ...77

10.4.9 Cláusula de jurisdicción competente ...77

(9)

1 Introducción

La Ley para el acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP) establece en el Capítulo Segundo, Título Segundo, los mecanismos de aplicación por las Administraciones Públicas para la identificación y firma electrónica basada en certificados electrónicos.

Dentro de la Ley se establecen diversas soluciones a múltiples problemas existentes actualmente en el ámbito de la identificación y firma electrónica de las Administraciones Públicas, entre ellas, hacia los ciudadanos y empresas, y con sus empleados públicos.

Este documento contiene la política general de certificación de la Administración General del Estado, para aquellos certificados descritos en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP). El objeto principal de esta política es el establecimiento de los requisitos y reglas que deben cumplirse para la emisión, gestión y utilización de los certificados electrónicos, de acuerdo con los diferentes estándares aplicables.

A continuación se presenta un único documento cubriendo todos los requisitos de los certificados, considerando los diferentes niveles de aseguramiento definidos para el uso de cada tipo de certificado.

1.1 Presentación

1.1.1 Modelo de certificación

La Administración General del Estado ha definido un modelo de certificación donde se combina la existencia de prestadores públicos de servicios de certificación con la posibilidad que organismos dependientes de la AGE puedan contratar prestadores privados de servicios de certificación.

Dicho modelo contempla una disposición mixta, tratándose de un modelo de libre mercado regulado, en la que prestadores de servicios de certificación privados podrían ser contratados por algún organismo dependiente de la AGE para prestarle servicios de certificación.

Asimismo se crearán Listas de Estado de Servicios de Confianza (TSLs, de acuerdo con la especificación técnica ETSI TS 102 231), estableciendo de esta forma un mecanismo de confianza con referencia a los diferentes prestadores de certificación públicos y privados.

(10)

1.1.2 Niveles de Aseguramiento

Basado en los dos niveles de aseguramiento establecidos para los perfiles de los diferentes certificados emitidos conforme a la LAECSP, y en las diferentes modalidades de firma electrónica recogidas en la LFE, los prestadores de servicios de certificación podrán emitir sus certificados conforme el siguiente esquema:

• Nivel medio de aseguramiento: Sistemas de firma electrónica avanzada basada en certificado reconocido, de acuerdo con la legislación de firma electrónica.

• Nivel alto de aseguramiento: Sistemas de firma electrónica reconocida, de acuerdo con la legislación de firma electrónica.

Para más información sobre los niveles de aseguramiento ver el documento “Esquema de identificación y firma electrónica de las Administraciones públicas. Definición del Esquema”.

1.1.3 Tipos y clases de certificados

Se ha definido una tipología de servicios de certificación, con la finalidad de expedir certificados electrónicos para diversos usos y con diferentes perfiles, de acuerdo con la Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP).

Los perfiles de los diferentes certificados contemplados son:

• Certificados de sede electrónica, de acuerdo con el artículo 17 de la LAECSP

• Certificados de sello electrónico para procesos automatizados, de acuerdo con el artículo 18 de la LAECSP

• Certificado de personal al servicio de la administración (empleado público), de acuerdo con el artículo 19 de la LAECSP.

De esta forma se dispondrá de los siguientes tipos de certificados:

• Certificados de sede electrónica de nivel medio, con soporte en contenedor software o hardware.

• Certificados de sede electrónica de nivel alto, con soporte en un dispositivo seguro de creación de firma (HSM).

• Certificados de sello electrónico de nivel medio, con soporte en contenedor software o hardware.

• Certificados de sello electrónico de nivel alto, con soporte en dispositivo seguro de creación de firma (HSM).

• Certificados de empleado público de nivel medio, con soporte en contenedor software o hardware.

(11)

• Certificados de empleado público de nivel alto, con soporte en un dispositivo seguro de creación de firma (tarjeta criptográfica o token USB).

1.1.4 Relación entre la política de certificación y otros documentos

Este documento contiene la política general de certificación de la Administración General del Estado.

Una política de certificación es un conjunto de principios y reglas relativos a la emisión, gestión y utilización de certificados electrónicos, con soporte de claves públicas, que pueden utilizarse en diferentes servicios, como la autenticación de la identidad, la integridad y la autenticidad documental o el secreto de los datos, documentos y transmisiones.

La política de certificación establece las reglas mínimas que se tienen que cumplir por parte de las Entidades de Certificación, suscriptores y demás usuarios de certificados.

Todas aquellas Entidades de Certificación que deseen emitir certificados para la Administración General del Estado deben adherirse a ésta política.

Por otro lado, cada Entidad de Certificación debe disponer de una Declaración de Prácticas de Certificación con los procedimientos aplicables a la prestación de sus servicios, en cumplimiento de lo establecido en el artículo 19 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, indicando el grado de aplicación de los requisitos establecidos por las políticas de certificados que gestiona y detallando sus prácticas profesionales en relación con la provisión de los servicios de certificación.

1.2 Nombre del documento e identificación 1.2.1 Identificación de este documento de políticas

Este documento de política de certificación se denomina “Política general de certificación de la Administración General del Estado”, con la siguiente información:

- Versión del documento Versión 1 Revisión 2

- Estado del documento Versión Inicial

- Fecha de emisión - Fecha de caducidad

(12)

1.2.2 Identificación de los tipos de certificado

La Administración General del Estado dispondrá al servicio de las Administraciones Públicas, Organismos y Personal de la Administración los siguientes tipos de certificados:

- Certificado de sede electrónica o Nivel alto.

o Nivel medio.

- Certificado de sello electrónico o Nivel alto.

o Nivel medio.

- Certificado de empleado público o Nivel alto:  Certificado de firma.  Certificado de autenticación.  Certificado de cifrado. o Nivel medio:  Certificado de firma.  Certificado de autenticación.  Certificado de cifrado.

 Combinaciones de los certificados de firma, autenticación y cifrado.

Cada tipo de certificado deberá recibir su propio OID, determinado por el Prestador de servicios de certificación, que se debe incluir dentro del certificado, en el campo Policy Identifier.

1.3 Participantes en los servicios de certificación

Esta política de certificación regula una comunidad de usuarios, que deben obtener certificados, de acuerdo con la Ley 11/2007 (LAECSP), la Ley 59/2003 (LFE) y la normativa administrativa correspondiente.

(13)

1.3.1 Prestadores de servicios de certificación

Un prestador de servicios de certificación es una persona física o jurídica que expide certificados o presta otros servicios en relación con la firma electrónica, de acuerdo con la Ley 59/2003, de 19 de diciembre, de firma electrónica.

El prestador de servicios de certificación genera los certificados electrónicos mediante la operación de entidades de certificación de su titularidad, que firman digitalmente los certificados.

En el sistema de certificación de la Administración General del Estado, podrán ofrecer servicios los prestadores siguientes:

- Entidad de Acreditación, que es un prestador que admite, supervisa y acredita entidades de certificación.

- Entidad de Certificación, que es un prestador que emite certificados. - Entidad de Registro, que es un prestador que registra usuarios.

- Entidad de Validación, que es un prestador que verifica firmas y certificados. - Entidad de Sellado de Tiempo, que es un prestador que emite sellos de tiempo.

1.3.1.1 Entidad de Acreditación

La entidad de acreditación será el órgano gestor correspondiente que se encargará de admitir, acreditar y supervisar las entidades de certificación.

1.3.1.2 Entidades de Certificación

Podrán actuar como Entidades de Certificación todas aquellas entidades u organismos públicos, así como prestadores públicos o privados, que previamente hayan sido admitidos para dicha actividad por el órgano supervisor correspondiente.

1.3.1.3 Entidades de Registro

Las entidades de registro serán las personas jurídicas que asisten a la Administración General del Estado en las funciones de identificación y autenticación de los suscriptores, así como en otras tareas relativas a la gestión de los certificados.

Tendrán como misión principal la de garantizar que la información contenida en la solicitud del certificado sea completa y veraz.

Las tareas que deberán desempeñar las entidades de registro son:

(14)

- Entrega de los dispositivos seguros de creación de firma a los suscriptores o responsables del certificado.

- Aprobar la generación de los certificados.

- Almacenamiento de los documentos relacionados con los servicios de certificación.

1.3.1.4 Entidades de Validación

Las entidades de validación son las encargadas de suministrar información sobre la vigencia de los certificados electrónicos emitidos por una Entidad de Certificación. Para proporcionar esta información, las entidades de validación deberán usar los servicios de la TSL, estructura que mantiene la relación de los servicios de certificación admitidos por todas las Administraciones Públicas

En relación con los servicios avanzados de validación (tanto de certificados como de firma electrónica), existen diversos niveles de servicio a ofrecer:

- Verificación de certificados admitidos.

- Verificación de firma electrónica, así como de los diferentes certificados admitidos en que se basa la firma electrónica.

El modelo de organización determinado para proporcionar estos servicios de validación, independientemente del nivel de aseguramiento de los certificados admitidos, es:

- Validación distribuida a través de una red de Entidades de Validación, que contarán con una entidad primaria de validación y con una entidad secundaria de validación como soporte para contingencias.

1.3.1.5 Entidades de Sellado de Tiempo.

La Entidad de Sellado de Tiempo aporta evidencias criptográficas de existencia en un momento determinado, el del sello de tiempo.

Es responsabilidad del prestador el habilitar las aplicaciones que requieran el uso de sello de tiempo y las condiciones de aplicación del mismo.

Cuando un prestador emita certificados electrónicos, bajo las especificaciones indicadas por esta política, con un nivel de aseguramiento medio podrá prestar voluntariamente los servicios de sellado de fecha y hora, pero regulando las condiciones mínimas para ello, como precisión, fuentes de fecha y hora, políticas y otros aspectos tal y como determinada la ETSI TS 102 023. Esta opción implica, esencialmente, el empleo de sistemas seguros, análogos a los de una entidad de certificación, para emitir sellos de fecha y hora, sincronizados con la hora oficial y con mecanismos que garantizan una precisión de un segundo.

Cuando un prestador emita certificados electrónicos, bajo las especificaciones indicadas por esta política, con un nivel de aseguramiento alto deberá prestar obligatoriamente los servicios de sellado de fecha y hora según determina la ETSI TS 102 023. La AGE podrá imponer

(15)

condiciones específicas o adicionales a dicha norma para adaptarla a la normativa española o mejorar los niveles de calidad exigidos.

1.3.2 Usuarios finales

Los usuarios finales son las entidades/ personas que disponen y utilizan certificados de sede, de sello y de empleado público emitidos por las Entidades de Certificación, y, en concreto, podemos distinguir los siguientes usuarios finales:

a) Los solicitantes de certificados.

b) Los suscriptores o responsables de certificados. c) Los verificadores de firmas y certificados.

1.3.2.1 Solicitantes de certificados

Todo certificado tiene que ser solicitado por una persona, en su propio nombre, en nombre de una institución o en nombre de otra persona física o jurídica.

Pueden ser solicitantes:

a) La persona que será el futuro suscriptor o responsable del certificado.

b) Una persona autorizada por el futuro suscriptor o responsable del certificado. c) Una persona autorizada por la Entidad de Certificación.

La autorización del solicitante podrá realizarse tanto de forma expresa como tácita, y en aquellos casos en los que la entidad de certificación lo considere conveniente podrá formalizarse documentalmente, debiendo detallarse en la Declaración de Prácticas de Certificación correspondiente este procedimiento de autorización.

1.3.2.2 Suscriptores de certificados

Los suscriptores son las AAPP y las personas, físicas o jurídicas, así identificadas en el campo “Subject” del certificado.

En los certificados de sede y de sello, dentro del campo “Subject” (concretamente en el atributo Common Name) también se identifica el dispositivo o servidor.

Para los certificados de empleado público, el suscriptor y el último garante del certificado, salvo en lo que respecta al uso, es la administración u organismo público donde trabaja el empleado, que deberá:

(16)

• Aportar y mantener operativos los medios para poder utilizar el certificado (lectores, controladores, etc.).

1.3.2.3 Responsable de certificados

Los responsables de certificados son las personas físicas así identificadas en el objeto “Identidad Administrativa” dentro de la extensión SubjectAltName. Opcionalmente el responsable del certificado puede estar identificado en los campos “Given Name” y “Surname” del “Subject” del certificado.

Para los certificados de empleado público, el responsable o titular del mismo deberá:

• Mantener operativo el certificado durante el tiempo que se mantenga su condición de empleado público.

• Aportar y utilizar el certificado cuando así se lo exijan los sistemas y aplicaciones informáticas de la Administración.

• Restringir su uso fuera del entorno laboral, tal y como indique la administración u organismo público responsable.

1.3.2.4 Verificadores de certificados

Los verificadores son las personas (incluyendo personas físicas, AAPP, personas jurídicas y otras organizaciones y entidades) que reciben firmas digitales y certificados electrónicos y tienen que verificarlos, como paso previo a confiar en las mismas.

1.4 Administración de la política

1.4.1 Organización que administra el documento

Administración General del Estado Calle

CP – Población

1.4.2 Datos de contacto de la organización

Administración General del Estado Calle

CP – Población

(17)

Teléfono – Fax

1.4.3 Procedimiento de gestión del documento

La Administración General del estado determinará el órgano supervisor responsable de la definición, revisión y publicación de esta Política.

El órgano supervisor correspondiente revisará esta política al menos una vez al año. Errores, actualizaciones o mejoras sobre este documento, deberán comunicarse al contacto identificado en la sección 1.4.2. Toda comunicación deberá incluir una descripción del cambio, su justificación y la información de la persona que solicita la modificación. Todos los cambios aprobados en esta Política, serán difundidos a todas las partes interesadas.

1.4.4 Procedimiento de Publicación

El órgano gestor correspondiente publicará la Política de certificación en un repositorio público accesible a todos los ciudadanos y prestadores.

(18)

2 Publicación de información y repositorio de certificados

2.1 Repositorio(s) de certificados

Las Entidades de Certificación de la Administración General del Estado deberán disponer de un Repositorio de certificados.

El servicio de Repositorio estará disponible durante las 24 horas de los 7 días de la semana y, en caso de fallo del sistema fuera de control del prestador de servicios de certificación, éste realizará sus mejores esfuerzos para que el servicio se encuentre disponible de nuevo en el plazo establecido en la sección 5.7.4 de este documento y en la correspondiente Declaración de Prácticas de Certificación aplicable.

Los prestadores de servicios de certificación deberán mantener, en su repositorio de informaciones, las siguientes:

a) La documentación de servicio exigible, debidamente actualizada.

b) Todas las versiones anteriores de la citada documentación, con indicación de los periodos y certificados en que resultaron aplicables.

Dicha documentación deberá mantenerse publicada durante un período mínimo de quince años desde la emisión del certificado (Apartado 2.6 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

Los prestadores de servicios de certificación deberán cumplir las obligaciones de registro y archivo de informaciones adecuadas a la duración de los diferentes tipos de documentos y expedientes electrónicos empleados por la Administración, que podrá estipular periodos mínimos para cada tipo de documentos y expediente.

En todo caso, los prestadores de servicios de certificación deberán mantener la justificación documental que acredite la aceptación del certificado emitido de forma permanente, sin que dicha acreditación documental pueda ser destruida en ningún momento.

2.2 Publicación de información de la Entidad de Certificación

El prestador de servicios de certificación publicará las siguientes informaciones, en su Repositorio:

• Los certificados emitidos, incluidos los certificados de Entidades de Certificación.

• Las listas de certificados revocados y otras informaciones de estado de revocación de los certificados.

(19)

• La política general de certificación de la Administración General del Estado, así como cualesquiera políticas específicas de certificados dictadas por el prestador de servicios de certificación para desarrollar ulteriores requisitos, dentro del marco de esta política. • Las Declaraciones de Prácticas de Certificación.

• En su caso, los documentos de condiciones generales vinculantes con suscriptores y terceros que confían en los certificados.

2.3 Frecuencia de publicación

La información anteriormente indicada, incluyendo políticas y la Declaración de Prácticas de Certificación, se publicará en cuanto se encuentre disponible.

Los cambios en los documentos de política y en la Declaración de Prácticas de Certificación se regirán por lo establecido en la sección 1.4 del documento de política o Declaración de Prácticas de Certificación.

La información de estado de revocación de certificados se publicará de acuerdo con lo establecido en las secciones 4.9.7 y 4.9.9 de esta política.

2.4 Control de acceso

El prestador de servicios de certificación no limitará el acceso de lectura a las informaciones establecidas en la sección 2.2, pero establecerá controles para impedir que personas no autorizadas puedan añadir, modificar o borrar registros del Repositorio, para proteger la integridad y autenticidad de la información de estado de revocación.

El prestador de servicios de certificación empleará sistemas fiables para el Repositorio, de modo tal que:

• Únicamente personas autorizadas puedan hacer anotaciones y modificaciones. • Pueda comprobarse la autenticidad de la información.

• Los certificados sólo estén disponibles para consulta si el suscriptor o responsable del certificado ha prestado su consentimiento.

(20)

3 Identificación y autenticación

3.1 Gestión de nombres

3.1.1 Tipos de nombres

Todos los certificados contendrán un nombre distintivo (DN) de la persona y/o organización, identificados en el certificado, definido de acuerdo con lo previsto en la Recomendación ITU-T X.501 y contenido en el campo Subject, incluyendo un componente Common Name.

Las circunstancias personales y atributos de las personas y organizaciones identificadas en los certificados deberán incluirse en atributos predefinidos en normas y especificaciones técnicas ampliamente utilizadas en el sector o sectores de actividad donde deban emplearse los certificados.

Se recomienda, cumplir con la normativa RFC 3280 (x.509 Public Key Infraestructure, Certificate and Certificate Revocation List (CRL) Profile)

3.1.2 Normalización e Identidad Administrativa

Los prestadores de servicios de certificación utilizarán el esquema de nombres normalizado propuesto por la AGE para cada tipo y perfil de certificado emitido: la “Identidad Administrativa”. De este modo se utiliza un marco común para facilitar la utilización de los certificados y la identificación del suscriptor del certificado, asignando exactamente el mismo nombre a sellos, sedes, organizaciones, puestos y unidades, etc. para toda la Administración Pública Estatal.

Ver documento “Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque I: Perfiles de certificados electrónicos”.

Esta "Identidad Administrativa " se construirá de forma que se disponga de toda la información de forma homogénea dentro del certificado, especialmente debido a que algunos componentes de los nombres tienen semántica diferente, en función del tipo de certificado. El objeto Identidad Administrativa utilizará el número ISO/IANA del MAP 1.3.6.1.4.1.14862.1.4.x.x como base para identificarlo, de este modo se establecería un identificador unívoco a nivel internacional.

1.3.6.1.4.1.14862.1.4.2.1=SEDE ELECTRONICA ADMINISTRATIVA (Nivel Alto) 1.3.6.1.4.1.14862.1.4.2.2=SEDE ELECTRONICA ADMINISTRATIVA (Nivel Medio)

1.3.6.1.4.1.14862.1.4.3.1=SELLO ELECTRONICO PARA LA ACTUACION AUTOMATIZADA (Nivel Alto)

(21)

1.3.6.1.4.1.14862.1.4.3.2=SELLO ELECTRONICO PARA LA ACTUACION AUTOMATIZADA (Nivel Medio)

1.3.6.1.4.1.14862.1.4.4.1=EMPLEADO PUBLICO (Nivel Alto) 1.3.6.1.4.1.14862.1.4.4.2=EMPLEADO PUBLICO (Nivel Medio)

CERTIFICADO CAMPOS “IDENTIDAD ADMINISTRATIVA” FIJOS

SEDE ELECTRÓNICA ADMINISTRATIVA

• Tipo de certificado

• Nombre de la entidad suscriptora • NIF entidad suscriptora

• Nombre descriptivo de la sede electrónica • Denominación de nombre de dominio IP SELLO

ELECTRÓNICO PARA

LA ACTUACIÓN

AUTOMATIZADA

• Tipo de certificado

• Nombre de la entidad suscriptora • NIF entidad suscriptora

• Denominación de sistema o componente EMPLEADO PÚBLICO • Tipo de certificado

• Nombre de la entidad suscriptora • NIF entidad suscriptora

• DNI/NIE del responsable • Nombre de pila

• Primer apellido • Segundo apellido

CERTIFICADO CAMPOS “IDENTIDAD” ADMINISTRATIVA OPCIONALES

SEDE ELECTRÓNICA ADMINISTRATIVA • Ninguno SELLO ELECTRÓNICO PARA LA ACTUACIÓN AUTOMATIZADA

• DNI/NIE del responsable • Nombre de pila

• Primer apellido • Segundo apellido • Correo electrónico

EMPLEADO PÚBLICO • Número de identificación de personal • Correo electrónico

• Unidad organizativa • Puesto o cargo

(22)

3.1.3 Significado de los nombres

Los nombres de los certificados serán comprensibles e interpretados de acuerdo con la legislación aplicable a los nombres de las personas físicas y jurídicas titulares de los certificados.

Los nombres incluidos en los certificados serán tratados de acuerdo con las siguientes normas:

• Se codificará el nombre tal y como aparece en la documentación acreditativa.

• Se podrán eliminar los acentos, para garantizar la mayor compatibilidad técnica posible.

• Los nombres podrán ser adaptados y reducidos, al objeto de garantizar el cumplimiento de los límites de longitud aplicables a cada campo del certificado.

3.1.4 Uso de anónimos y seudónimos

No se permiten (Apartado 3.3 "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE").

3.1.5 Interpretación de formatos de nombres

Ver documento “Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque I: Perfiles de certificados electrónicos”

3.1.6 Unicidad de los nombres

Los nombres de los suscriptores de certificados serán únicos, para cada servicio de generación de certificados operado por una Entidad de Certificación y para cada tipo de certificado; es decir, una persona podrá tener a su nombre certificados de tipos diferentes expedidos por la misma Entidad de Certificación.

También podrá tener certificados a su nombre del mismo tipo expedidos por diferentes Entidades de Certificación.

No se podrá volver a asignar un nombre de suscriptor que ya haya sido ocupado, a un suscriptor diferente.

(23)

3.1.7 Resolución de conflictos relativos a nombres

Los solicitantes de certificados no incluirán nombres en las solicitudes que puedan suponer infracción, por el suscriptor, de derechos de terceros.

La Entidad de Certificación no deberá determinar que un solicitante de certificados tiene derecho sobre el nombre que aparece en una solicitud de certificado.

Así mismo, no actuará como árbitro o mediador, ni de ninguna otra manera deberá resolver ninguna disputa concerniente a la propiedad de nombres de personas u organizaciones, nombres de dominio, marcas o nombres comerciales.

La Entidad de Certificación se reserva el derecho de rehusar una solicitud de certificado por causa de conflicto de nombre.

Los conflictos de nombres de responsables de certificados que aparezcan identificados en los certificados con su nombre real se solucionan mediante la inclusión, en el nombre distintivo del certificado, del DNI del responsable del certificado o de otro identificador asignado por el suscriptor.

3.2 Validación inicial de la identidad

En esta sección se establecen requisitos relativos a los procedimientos de identificación y autenticación que deben emplearse durante el registro de suscriptores y responsables de certificados, que debe realizarse con anterioridad a la emisión y entrega de certificados.

3.2.1 Prueba de posesión de clave privada

Esta sección describe los métodos a emplear para demostrar que se posee la clave privada correspondiente a la clave pública objeto de certificación.

El método de demostración de posesión de la clave privada será mediante solicitudes basadas en el estándar PKCS #10, otra prueba criptográfica equivalente o cualquier otro método fiable aprobado por el prestador de servicios de certificación.

Este requisito no se aplica cuando el par de claves es generado por la entidad de registro, por delegación del suscriptor, durante el proceso de personalización o de entrega del dispositivo seguro de creación de firma al suscriptor o responsable del certificado.

En este caso, la posesión de la clave privada se demuestra en virtud del procedimiento fiable de entrega y aceptación del dispositivo seguro y del correspondiente certificado y par de claves almacenados en su interior.

(24)

3.2.2 Autenticación de la identidad de una organización

No será necesario autenticar la identidad de las administraciones y otras organizaciones que actúan como entidades de registro, dado que dicha identidad ya ha sido debidamente autenticada previamente con el prestador de servicios de certificación.

3.2.3 Autenticación de la identidad de una persona física

Esta sección contiene requisitos para la comprobación de la identidad de una persona física identificada en un certificado. Cada prestador de servicios de certificación deberá detallar en la Declaración de Prácticas de Certificación correspondiente los procedimientos seguidos para autenticar la identidad de los subscriptores, guardando además un registro que permita la trazabilidad de los certificados emitidos.

3.2.3.1 Elementos de identificación requeridos

El órgano gestor correspondiente establecerá el número y los tipos de documentos que sean necesarios para acreditar la identidad del suscriptor, pudiendo emplear:

• Para la identificación personal del titular del certificado:

- DNI, NIE o Pasaporte para acceder al Nombre de pila, el primer y el segundo apellidos.

- El nombre de la entidad a la que está suscrito el empleado - Número de identificación fiscal de la entidad

• Opcionalmente:

- Unidad de destino a la que está suscrita la persona - Cargo o puesto de trabajo

- Número de identificación de personal (NIP, NRP…) - Dirección de correo electrónico

3.2.3.2 Validación de los elementos de identificación

La información de identificación de titulares de certificados se realiza contrastando la información de la solicitud con la documentación aportada, electrónicamente o en soporte físico, por parte de la entidad de registro correspondiente.

3.2.3.3 Necesidad de presencia personal

Se requerirá, normalmente, presencia física directa del solicitante de certificados y, en su caso, de la persona física a identificar en el mismo, para la obtención de certificados.

(25)

Se pueden emplear, también, métodos basados en la presencia física indirecta, cuando la validación de la identidad se ha producido en forma personal anteriormente y los registros de la AAPP se mantienen permanentemente actualizados.

Se deberá garantizar, en cualquier caso, la entrega y aceptación del certificado por el suscriptor o responsable del certificado.

3.2.3.4 Vinculación de la persona física con una organización

Se deberá identificar y autenticar la vinculación de la persona física con la AAPP mediante los procedimientos adecuados.

3.2.4 Información de suscriptor no verificada

No se podrá incluir información de suscriptor no verificada en los certificados.

3.3 Identificación y autenticación de solicitudes de renovación 3.3.1 Validación para la renovación rutinaria de certificados

Se podrán renovar certificados, durante su periodo de vigencia o en un plazo máximo de tres meses después de su expiración.

Antes de renovar un certificado, el prestador de servicios de certificación o las entidades de registro correspondientes deberán comprobar que la información empleada para verificar la identidad y los restantes datos del suscriptor o responsable del certificado continúan siendo válidos.

Se podrá emplear la firma electrónica basada en un certificado vigente para solicitar la renovación del mismo, siempre antes de su expiración y cuando le conste al prestador de servicios de certificación que el período de tiempo transcurrido desde la anterior identificación con presencia física es menor de cinco años (según indica la Ley 59/2003, de 19 de diciembre, de firma electrónica). Si cualquier información del suscriptor o responsable del certificado hubiere cambiado, se registrará adecuadamente la nueva información, de acuerdo con lo establecido en la sección 3.2.

3.3.2 Validación para la renovación de certificados después de la revocación

No se podrán renovar certificados que hayan sido revocados en ningún caso, debiéndose proceder a una nueva solicitud y validación de la identidad, de acuerdo con lo establecido en

(26)

3.4 Identificación y autenticación de la solicitud de revocación

El prestador de servicios de certificación deberá autenticar las peticiones e informes relativos a la revocación de un certificado, comprobando que provienen de una persona autorizada. Dichas peticiones e informes serán confirmados cumpliendo los procedimientos establecidos en la Declaración de Prácticas de Certificación correspondiente, pudiendo consistir en mecanismos de autenticación basados en conocimiento de información previamente suministrada o acordada con el prestador de servicios de certificación durante el procedimiento de emisión de los certificados.

3.5 Autenticación de una petición de suspensión

Al igual que en la solicitud de revocación, el prestador de servicios de certificación deberá autenticar las peticiones e informes relativos a la suspensión de un certificado, comprobando que provienen de una persona autorizada.

Dichas peticiones e informes serán confirmados cumpliendo los procedimientos establecidos en la Declaración de Prácticas de Certificación correspondiente, pudiendo consistir en mecanismos de autenticación basados en conocimiento de información previamente suministrada o acordada con el prestador de servicios de certificación durante el procedimiento de emisión de los certificados.

(27)

4 Requisitos de operación del ciclo de vida de los certificados

4.1 Solicitud de emisión de certificado 4.1.1 Legitimación para solicitar la emisión

Antes de la emisión y entrega de un certificado, debe existir una solicitud previa, que será a instancia de parte en los certificados de sede electrónica y de sello, y de oficio por el organismo responsable en los certificados de empleado público.

De esta forma, los certificados de empleado público se solicitan de oficio por la Administración u Organismo responsable, sin solicitud previa del titular, cuando éste accede a su puesto de trabajo o cargo. No requiere el consentimiento expreso del empleado, que únicamente deberá firmar un recibí por los certificados o tarjeta criptográfica entregados. 4.1.1.1 Especificaciones para los certificados de empleado público

Para los procedimientos que se cursen con el nivel alto de aseguramiento será necesaria la identificación inicial con presencia física ya sea en la solicitud o en la entrega del certificado. Para los procedimientos que se cursen con el nivel normal de aseguramiento será necesaria la identificación pero no será imprescindible la presencia física. La identificación se basará en los certificados ya vigentes o en bases de datos administrativas.

4.1.1.2 Especificaciones para los certificados de sello electrónico

Será necesaria la identificación de la persona que actúa como responsable del certificado. En los casos en que el certificado de sello incorpore un órgano, éste deberá identificarse mediante la documentación apropiada. Ver documento "Esquema de identificación y firma electrónica de las Administraciones públicas. Bloque III: Propuestas de condiciones generales adicionales en la AGE".

4.1.1.3 Especificaciones para los certificados de sede

Será necesaria la identificación de la persona que actúa como responsable del certificado. Será necesario la comprobación de la existencia y titularidad del servidor y nombre de dominio.

(28)

4.1.2 Procedimiento de alta; Responsabilidades

La entidad que realice el registro debe asegurarse de que las solicitudes de certificado son completas, precisas y están debidamente autorizadas.

Antes de la emisión y entrega del certificado, la entidad que realice el registro informará al suscriptor o responsable del certificado de los términos y condiciones aplicables al certificado. La citada información se comunicará en soporte duradero, en papel o electrónicamente, y en lenguaje fácilmente comprensible.

La solicitud se deberá acompañar con la documentación justificativa de la identidad y otras circunstancias del solicitante y del futuro suscriptor, de acuerdo con lo establecido en las secciones 3.2.2 y 3.2.3 de esta política de certificados.

Podrán ejercer la función de registro, el prestador de servicios de certificación, un colaborador de dicho prestador o se podrá delegar el registro a la entidad a la que se emiten los certificados.

4.2 Procesamiento de la solicitud de certificación

Una vez haya tenido lugar una petición de certificado, la Entidad de Certificación tiene que verificar la información proporcionada, conforme a la sección correspondiente de esta política.

Si la información no es correcta, la Entidad de Certificación denegará la petición. En caso que los datos se verifiquen correctamente, la Entidad de Certificación aprobará el certificado.

4.2.1 Especificaciones para los certificados de empleado público

Adicionalmente a la información contenida en la solicitud, la Entidad de Certificación tendrá que:

• Incluir en el certificado las informaciones establecidas en el artículo 11 de la Ley 59/2003, de acuerdo con lo establecido en la sección 7 de esta política.

• Garantizar la fecha y la hora en que se expidió un certificado

• En caso que la Entidad de Certificación aporte su dispositivo seguro de creación de firma, utilizar un procedimiento de gestión de dispositivos seguros de creación de firma que garantice que dicho dispositivo es entregado de forma confiable al suscriptor o responsable del certificado.

• Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad técnica y, en su caso, criptográfica de los procesos de certificación a los que sirven de soporte.

(29)

• Asegurarse que el certificado es emitido por sistemas que utilicen protección contra falsificación y, en caso que la Entidad de Certificación genere claves privadas, que garanticen el secreto de las claves durante el proceso de generación de dichas claves.

4.2.2 Especificaciones para los certificados de sede electrónica / sello

Una vez aprobada la solicitud de certificado de sede electrónica, la Entidad de Certificación, o la Entidad de Registro autorizada, se pondrá en contacto con el responsable de la instalación del certificado, para determinar el mecanismo de remisión de la clave pública a certificar, de acuerdo con lo establecido en la sección correspondiente.

Después de la recepción, en condiciones de seguridad, de la clave pública, se procederá a la emisión del certificado y a su entrega.

4.3 Emisión de certificado

4.3.1 Acciones de la Entidad de Certificación durante el proceso de emisión

Después de la aprobación de la solicitud de certificación se procederá a la emisión del certificado, de forma segura y se pondrá el certificado a disposición del suscriptor o responsable del certificado, para la aceptación de este, de acuerdo con lo establecido en la sección correspondiente.

Los procedimientos establecidos en esta sección también se aplicarán en caso de renovación de certificados, ya que ésta implica la emisión de un nuevo certificado.

La Entidad de Certificación deberá:

- Utilizar un procedimiento de generación de certificados que vincule de forma segura el certificado con la información de registro, incluyendo la clave pública certificada.

- En caso que la Entidad de Certificación genere el par de claves, utilizar un procedimiento de generación de certificados vinculado de forma segura con el procedimiento de generación de claves y, que la clave privada es entregada de forma segura al suscriptor o responsable del certificado.

- Proteger la confidencialidad e integridad de los datos de registro, especialmente en caso de que sean intercambiados con el suscriptor o responsable del certificado.

- Publicar en el repositorio los certificados emitidos con un usuario de escritura específicamente habilitado a dicho fin, con los permisos granulares de acceso y controles de seguridad regulados y necesarios para ello, garantizando la seguridad de las comunicaciones.

(30)

- Incluir en el certificado las informaciones establecidas en el artículo 11.2 de la Ley 59/2003.

- Indicar la fecha y la hora en las que se expidió un certificado.

- En caso de que la Entidad de Certificación aporte el dispositivo seguro de creación de firma, utilizar un procedimiento de gestión de dispositivos seguros de creación de firma que asegure que este dispositivo es entregado de forma segura al suscriptor o responsable del certificado.

- Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad técnica y, en su caso, criptográfica de los procesos de certificación a los que sirven de soporte.

- Tomar medidas contra la falsificación de certificados y, en caso que la Entidad de Certificación genere claves privadas, que garanticen el secreto de las claves durante el proceso de generación de estas claves.

4.3.2 Notificación de la emisión al suscriptor

La Entidad de Certificación tendrá que notificar al solicitante la aprobación o denegación de la solicitud.

También se notificará al suscriptor que se ha creado el certificado, se encuentra disponible y la forma de obtenerlo.

4.4 Entrega y aceptación del certificado

4.4.1 Responsabilidades de la Entidad de Certificación

La Entidad de Certificación deberá:

- Si no lo ha hecho antes, y cuando resulte necesario, acreditar la identidad del suscriptor o responsable del certificado, de acuerdo con lo establecido en las secciones 3.1 de esta política.

- Proporcionar al suscriptor acceso al certificado.

- Entregar, en su caso, el dispositivo criptográfico de firma, verificación de firma, cifrado o descifrado.

- Entregar, en su caso, una hoja de entrega del certificado con los siguientes contenidos mínimos:

o Información básica sobre la política y uso del certificado, incluyendo especialmente

información sobre la Entidad de Certificación y la Declaración de Prácticas de Certificación aplicable, así como sus obligaciones, facultades y responsabilidades. Información sobre el certificado y el dispositivo criptográfico.

(31)

o Reconocimiento del subscriptor de recibir el certificado y, en su caso, el dispositivo criptográfico, y aceptación de dichos elementos.

o Obligaciones del responsable del certificado.

o Responsabilidad del responsable del certificado.

o Método de imputación exclusiva al responsable de su clave privada y de sus datos

de activación del certificado y, en su caso, del dispositivo criptográfico, de acuerdo con lo establecido en las secciones correspondientes de esta política.

o La fecha del acto de entrega y aceptación.

4.4.2 Conducta que constituye aceptación del certificado

El certificado se podrá aceptar mediante la firma de la hoja de suscriptor y, cuando ocurra, de la hoja del responsable del certificado.

También se podrá aceptar el certificado mediante un mecanismo telemático de activación del certificado.

4.4.3 Publicación del certificado

Los certificados se podrán publicar, en todo caso, sin el consentimiento previo de los responsables de certificado.

4.4.4 Notificación de la emisión a terceros No aplicable.

4.5 Uso del par de claves y del certificado

4.5.1 Requisitos generales de uso

Los certificados se utilizarán de acuerdo con su función propia y finalidad establecida, sin que puedan utilizarse en otras funciones y con otras finalidades. De la misma forma, los certificados tendrán que utilizarse únicamente de acuerdo con la ley aplicable, especialmente teniendo en cuenta las restricciones de importación y exportación existentes en cada momento.

La extensión Key Usage se utilizará para establecer límites técnicos a los usos que puede darse a una clave privada correspondiente a una clave pública listada en un certificado X.509v3.

(32)

Sin embargo, se debe tener en cuenta que la efectividad de las limitaciones basadas en extensiones de certificados depende en ocasiones de la operación de aplicaciones informáticas que no han sido fabricadas, ni pueden estar controladas, por las Entidades de Certificación.

Los certificados podrán utilizarse con un dispositivo seguro de creación de firma electrónica, que cumpla los requisitos establecidos por el artículo 24 de la Ley 59/2003, de 19 de diciembre, con esta política y con las correspondientes condiciones adicionales.

4.5.2 Uso por los suscriptores Las subscriptores deberán:

• Proteger sus claves privadas en todo momento, conforme a lo establecido en esta política, y tal y como se estipule en su acuerdo de aceptación del certificado. En especial, los suscriptores de un certificado deben ser especialmente diligentes en la custodia de su dispositivo seguro de creación de firma, con la finalidad de evitar usos no autorizados.

• Utilizar el par de claves exclusivamente para firmas electrónicas, ateniéndose a todos los términos, condiciones y restricciones exigidos en el uso de sus claves privadas y certificados.

• Notificar en los plazos adecuados, a la Entidad de Certificación que haya proporcionado el certificado, la sospecha de compromiso de clave o su pérdida. Esta notificación deberá realizarse directamente o indirectamente por mecanismos previstos en la Declaración de Prácticas de Certificación de la entidad emisora.

Si el suscriptor genera sus propias claves, se obliga a:

• Generar sus claves de suscriptor utilizando un algoritmo reconocido como aceptable para la firma electrónica reconocida.

• Crear, en su caso, las claves dentro del dispositivo seguro de creación de firma. • Utilizar longitudes y algoritmos de clave reconocidos como aceptables para la firma

electrónica reconocida.

4.5.3 Uso por un tercero que confía en los certificados

Es obligación de aquellas terceras partes que confían en los certificados emitidos por una Entidad de Certificación tal y como se describe en la presente política:

• Utilizar los certificados para los propósitos para los cuales fueron emitidos, tal y como se detalla en la información del certificado (por ejemplo, lo definido en la extensión “key usage”).

(33)

• Controlar que cada certificado que se utilice es válido según lo establecido en los estándares X.509 y RFC 3280.

• Establecer la confianza en la Entidad de Certificación que ha emitido el certificado verificando la cadena de certificación de acuerdo con las recomendaciones del estándar X.509 versión 3 y la RFC 3280.

• Utilizar los certificados emitidos bajo esta política sólo para aquellas transacciones que estén sujetas a lo indicado en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) o la Declaración de Prácticas de Certificación de la entidad emisora.

4.6 Renovación de certificados sin renovación de claves

Cuando se solicite la renovación de un certificado sin renovación del par de claves, la Entidad de Registro tendrá que comprobar que este par de claves aun es criptográficamente confiable.

En caso que así se considere, la Entidad de Registro deberá verificar que los datos de registro continúan siendo válidos y, si algún dato ha cambiado éste deberá ser verificado, guardado y el suscriptor deberá estar de acuerdo con él, tal y como se especifica en la sección correspondiente de esta política.

Si las condiciones jurídicas de prestación del servicio han variado desde la emisión del certificado, será necesario que la Entidad de Certificación o, cuando corresponda, la Entidad de Registro, informen de este hecho al solicitante.

El procedimiento aplicable a la renovación sin renovación de claves requerirá la recuperación segura de los dispositivos criptográficos donde residen las claves, antes de, en su caso, proceder al borrado seguro del dispositivo y a la nueva generación del certificado.

El procedimiento aplicable a la renovación sin renovación de claves de estos certificados podrá basarse en la existencia previa de un certificado vigente, siempre que el par de claves de este certificado sea criptográficamente fiable para el nuevo plazo de vigencia del nuevo certificado, y que no exista la sospecha del compromiso de la clave privada del suscriptor o del responsable del certificado.

4.7 Renovación de certificado con renovación de claves

Cuando se solicite la renovación de un certificado con renovación del par de claves, la Entidad de Registro tendrá que verificar que los datos de registro continúan siendo válidos y, si algún dato ha cambiado éste deberá ser verificada, guardada y el suscriptor deberá estar de acuerdo con ella, tal y como se especifica en la sección correspondiente de esta política. Si las condiciones jurídicas de prestación del servicio han variado desde la emisión del certificado, será necesario que la Entidad de Certificación o bien, la Entidad de Registro

(34)

El procedimiento aplicable a la renovación del certificado será el mismo que para la emisión de un certificado completamente nuevo.

4.8 Modificación de certificados

Se podrá proceder a la modificación de certificados cuando los atributos del suscriptor o del responsable del certificado, que no formen parte del control de unicidad previsto por esta política, hayan variado.

El procedimiento para la modificación será el mismo que el procedimiento de renovación de certificados sin renovación de claves, manteniendo el mismo número de serie del certificado.

4.9 Revocación y suspensión de certificados

La Entidad de Certificación tendrá que detallar en su Declaración de Prácticas de Certificación los siguientes aspectos:

a) Quien puede solicitar la revocación. b) Como se remitirá la solicitud.

c) Los requisitos de confirmación de solicitudes de revocación. d) Si se pueden suspender certificados, y las causas de suspensión.

e) Los mecanismos utilizados para distribuir información de estado de revocación.

f) El máximo retraso entre la recepción de la solicitud y la disponibilidad para verificadores del cambio del estado de revocación, que no podrá superar en ningún caso el plazo de un día.

4.9.1 Causas de revocación de certificados

Una Entidad de Certificación podrá revocar un certificado por la concurrencia de las siguientes causas:

1. Circunstancias que afecten la información contenida en el certificado • Modificación de alguno de los datos contenidos en el certificado.

• Descubrimiento que alguno de los datos aportados en la solicitud de certificado es incorrecto, así como la alteración o modificación de las circunstancias verificadas para la expedición del certificado.

(35)

2. Circunstancias que afectan la seguridad de la clave o del certificado

• Compromiso de la clave privada o de la infraestructura o sistemas de la Entidad de Certificación que emitió el certificado, siempre que afecte a la fiabilidad de los certificados emitidos a partir de este incidente.

• Infracción, por la Entidad de Certificación, de los requisitos previstos en los procedimientos de gestión de certificados, establecidos en la DPC de la Entidad de Certificación.

• Compromiso o sospecha de compromiso de la seguridad de la clave o del certificado del suscriptor o del responsable de certificado.

• Acceso o utilización no autorizada, por un tercero, de la clave privada del suscriptor o del responsable de certificado.

• El uso irregular del certificado por el suscriptor o del responsable de certificado, o falta de diligencia en la custodia de la clave privada.

3. Circunstancias que afectan la seguridad del dispositivo criptográfico

• Compromiso o sospecha de compromiso de la seguridad del dispositivo criptográfico. • Pérdida o inutilización por daños del dispositivo criptográfico.

• Acceso no autorizado, por un tercero, a los datos de activación del suscriptor o del responsable de certificado

4. Circunstancias que afectan el suscriptor o responsable del certificado.

• Finalización de la relación entre Entidad de Certificación Vinculada y suscriptor o responsable del certificado.

• Modificación o extinción de la relación jurídica subyacente o causa que provocó la emisión del certificado al suscriptor o responsable del certificado.

• Infracción por el solicitante del certificado de los requisitos preestablecidos para la solicitud de éste.

• Infracción por el suscriptor o responsable del certificado, de sus obligaciones, responsabilidad y garantías, establecidas en el instrumento jurídico correspondiente o en la Declaración de Prácticas de Certificación de la Entidad de Certificación que le emitió el certificado.

• La incapacidad sobrevenida o la muerte del suscriptor o responsable del certificado. • La extinción de la persona jurídica suscriptora del certificado, así como la finalidad de

la autorización del suscriptor al responsable del certificado o la finalización de la relación entre suscriptor y responsable del certificado.

• Solicitud del suscriptor de revocación del certificado, de acuerdo con lo establecido en la sección 3.4 de esta política.

(36)

• La suspensión del certificado digital por un periodo superior al establecido en la sección 1.1.14.9.16 de esta política.

• La finalización del servicio de la Entidad de Certificación, de acuerdo con lo establecido en la sección 5.8 de esta política.

Si la entidad a la que se dirige la solicitud de revocación no dispone de toda la información necesaria para determinar la revocación de un certificado, pero tiene indicios de su compromiso puede decidir la suspensión.

En este caso se considerará que las actuaciones realizadas durante el periodo de suspensión no son válidas, siempre que el certificado finalmente sea revocado. Serán válidas si se levanta la suspensión y el certificado vuelve a pasar a la situación de válido.

El instrumento jurídico que vincula a la Entidad de Certificación con el suscriptor establecerá que el suscriptor tendrá que solicitar la revocación del certificado en caso de tener conocimiento de alguna de las circunstancias indicadas anteriormente.

4.9.2 Legitimación para solicitar la revocación Podrán solicitar la revocación de un certificado:

• El suscriptor a cuyo nombre fue emitido el certificado (en el caso de los certificados de empleado público las revocaciones – así como las suspensiones y retiradas de tarjeta criptográfica en su caso – podrán ser solicitadas por la Administración u Organismo público que solicitó el certificado para el empleado).

• Un representante autorizado por el suscriptor o el responsable del certificado. • La Entidad de Registro que solicitó la emisión del certificado.

4.9.3 Procedimientos de solicitud de revocación

La Entidad de Certificación deberá tener en cuenta las siguientes reglas:

La entidad que necesite revocar un certificado tiene que solicitarlo a la Entidad de Certificación o, en su caso, a la Entidad de Registro que aprobó la solicitud de certificación. La solicitud de revocación deberá contener la siguiente información:

• Fecha de solicitud de la revocación. • Identidad del suscriptor.

• Razón detallada para la petición de revocación. • Nombre y título de la persona que pide la revocación.

Referencias

Documento similar

Proporcione esta nota de seguridad y las copias de la versión para pacientes junto con el documento Preguntas frecuentes sobre contraindicaciones y

Y tendiendo ellos la vista vieron cuanto en el mundo había y dieron las gracias al Criador diciendo: Repetidas gracias os damos porque nos habéis criado hombres, nos

Entre nosotros anda un escritor de cosas de filología, paisano de Costa, que no deja de tener ingenio y garbo; pero cuyas obras tienen de todo menos de ciencia, y aun

E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi

o Si dispone en su establecimiento de alguna silla de ruedas Jazz S50 o 708D cuyo nº de serie figura en el anexo 1 de esta nota informativa, consulte la nota de aviso de la

Fuente de emisión secundaria que afecta a la estación: Combustión en sector residencial y comercial Distancia a la primera vía de tráfico: 3 metros (15 m de ancho)..

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

Las manifestaciones musicales y su organización institucional a lo largo de los siglos XVI al XVIII son aspectos poco conocidos de la cultura alicantina. Analizar el alcance y