Declaración de Prácticas de Certificación (DPC) Certificate Practice Statement (CPS)

(1)

Declaración de Prácticas de Certificación

(DPC)

Certificate Practice Statement

(CPS)

Este documento es propiedad de ANF Autoridad de Certificación

Está prohibida su reproducción y difusión sin autorización expresa de ANF Autoridad de Certificación

Esta especificación ha sido

preparada por ANF AC para liberar a

terceras partes.

NIVEL DE SEGURIDAD DOCUMENTO PÚBLICO

Digitally signed by FLORENCIO DIAZ VILCHES

Date: 2012.07.30 17:20:41 CEST

(2)

ÍNDICE

1. Introducción ... 12

1.1. Presentación ... 14

1.2. Identificación ... 16

1.2.1. Nombre del Documento ...16

1.2.2. Estructura documental ...17

1.2.3. Identificadores OID ...18

1.2.4. Especificaciones ...19

1.3. Comunidad y Aplicabilidad ... 20

1.3.1. Entidades y personas que intervienen ...20

1.3.1.1. Prestador de Servicios de Certificación (PSC) ...20

1.3.1.2. Autoridad de Certificación (AC) ...21

1.3.1.3. Autoridades de Registro ...31

1.3.1.3.a. Autoridades de Registro Reconocidas ...31

1.3.1.3.b. Autoridades de Registro Colaboradoras ...35

1.3.1.4. Responsables de Dictámenes de Emisión ...35

1.3.1.5. Responsables de Emisión de Certificados ...36

1.3.1.6. Autoridad de Validación ...37

1.3.1.7. Autoridad de Sellado de Tiempo ...37

1.3.1.8. Entidades finales ...38

1.3.1.8.1. Solicitantes ...38

1.3.1.8.2. Suscriptores ...39

1.3.1.8.3. Responsables del certificado ...39

1.3.1.8.4. Terceros que confían ...39

1.4. Uso de los certificados ... 40

1.4.1. Usos prohibidos ...40

1.5. Política de Administración ... 41

1.5.1. Especificación de la Organización Administradora ...41

1.5.2. Persona de Contacto ...41

1.5.3. Competencia para determinar la adecuación de la CPS con las diferentes Políticas de certificación ...41

1.6. Definiciones y Acrónimos ... 42

(3)

1.6.2. Acrónimos ...44

2. Repositorios y publicación de información ... 46

2.1. Repositorios ... 46

2.2. Publicación ... 46

2.3. Frecuencia de actualizaciones ... 47

2.4. Controles de acceso a los repositorios ... 47

3. Identificación y autenticación de los titulares de Certificados .. 48

3.1. Nombres ... 48

3.1.1. Tipos de nombres ...48

3.1.1.1. Issuer - Requisito del Artículo 11.2 letra c) de la Ley 59/2003 de 19 de diciembre 2003 ...48

3.1.1.2. Subject (Requisito del Artículo 11.2 letra c) de la Ley 59/2003 de 19 de diciembre 2003) ...49

3.1.2. Necesidad de que los nombres sean significativos ...49

3.1.3. Interpretación de formatos de nombres ...49

3.1.4. Unicidad de los nombres ...49

3.1.5. Resolución de conflictos relativos a nombres ...50

3.1.6. Reconocimiento, autenticación y función de las marcas registradas. ...50

3.2. Validación Inicial de la Identidad ... 50

3.2.1. Prueba de posesión de clave privada ...50

3.2.2. Autenticación de la identidad de una persona jurídica ...51

3.2.3. Autenticación de la identidad de una persona física ...51

3.2.4. Información no verificada sobre el solicitante ...51

3.2.5. Comprobación de las facultades de representación ...51

3.3. Identificación y autenticación en las peticiones de renovación de claves .. 52

3.3.1. Identificación y autenticación por una renovación de claves de rutina ...52

3.3.2. Identificación y autenticación por una renovación de claves tras una revocación 52

4. Requisitos operacionales para el ciclo de vida de los certificados53

4.1. Solicitud de certificados ... 53

4.1.1. Quién puede efectuar una solicitud ...53

4.1.2. Registro de las solicitudes de certificados y responsabilidades de los solicitantes ...53

(4)

4.1.4. Plazo para la tramitación de las solicitudes de certificados ...54

4.2. Emisión de certificados ... 54

4.2.1. Actuaciones de ANF AC durante la emisión del certificado ...54

4.2.2. Notificación al solicitante de la emisión por la AC del certificado ...55

4.3. Aceptación del certificado ... 55

4.3.1. Forma en la que se acepta el certificado ...55

4.3.2. Publicación del certificado por la ANF AC ...56

4.3.3. Notificación de la emisión del certificado por la AC a terceros. ...56

4.4. Denegación ... 56

4.5. Par de claves y uso del certificado ... 57

4.5.1. Uso de la clave privada y del certificado por el titular ...57

4.5.2. Uso de la clave pública y del certificado por los terceros que confían ...57

4.6. Renovación de certificados sin cambio de claves ... 57

4.7. Renovación de certificados con cambio de clave... 59

4.7.1. Circunstancias para una renovación con cambio claves de un certificado ...59

4.7.2. Tramitación de las peticiones de renovación de certificados con cambio de claves 59 4.8. Modificación de certificados ... 60

4.9. Revocación y suspensión de certificados ... 60

4.9.1. Causas para la revocación ...60

4.9.2. Entidad que puede solicitar la revocación ...62

4.9.3. Procedimiento de solicitud de revocación ...62

4.9.4. Periodo para el procesamiento de la solicitud de revocación ...63

4.9.5. Obligación de consulta de información de revocación de certificados ...63

4.9.6. Frecuencia de emisión de listas de revocación de certificados (CRL) y (ARL) ...64

4.9.7. Periodo máximo de publicación de CRL y ARL ...64

4.9.8. Disponibilidad de servicios de comprobación de estado de certificados ...64

4.9.9. Obligación de consulta de servicios de comprobación de estado de certificados65 4.9.10. Otras formas de información de revocación de certificados ...65

4.9.10.1. Servicio personalizado ...65

4.9.10.2. Servicio SOAP ...66

4.9.11. Requisitos especiales en caso de compromiso de la clave privada de una CA .66 4.9.12. Causas de suspensión de certificados ...66

(5)

4.9.14. Procedimiento de solicitud de suspensión...67

4.9.15. Periodo máximo de suspensión de un certificado ...67

4.10. Recuperación de certificados ... 67

4.11. Custodia y recuperación de claves ... 67

4.11.1. Prácticas y políticas de custodia y recuperación de claves ...67

5. Controles de seguridad física, instalaciones, gestión y

operacionales ... 68

5.1. Controles físicos ... 68

5.1.1. Ubicación y construcción...68

5.1.2. Acceso físico ...71

5.1.3. Alimentación eléctrica y aire acondicionado ...71

5.1.4. Exposición al agua ...72

5.1.5. Protección y prevención de incendios ...72

5.1.6. Sistema de almacenamiento ...72

5.1.7. Eliminación de residuos ...73

5.1.8. Copias de seguridad fuera de las instalaciones ...73

5.1.9. Caja de Seguridad Bancaria ...73

5.1.10. Seguridad contra intrusos ...74

5.1.11. Seguridad en terminales ...75

5.2. Controles de procedimiento ... 75

5.2.1. Roles responsables del control y gestión de la PKI ...75

5.2.1.1. Responsables de emisión de certificados ...76

5.2.1.2. Directores de área ...76

5.2.1.3. Administradores de sistemas ...76

5.2.1.4. Operadores de la Autoridad de Certificación ...77

5.2.1.5. Responsable de selección y formación ...78

5.2.1.6. Responsable de seguridad ...78

5.2.1.7. Auditores ...79

5.2.1.8. Responsable de la elaboración de Dictámenes de emisión y revocación de certificados 79 5.2.1.9. Responsable de documentación...80

5.3. Controles de personal ... 80

5.3.1. Requisitos de historial, calificaciones, experiencia y autenticación ...80

5.3.2. Procedimientos de comprobación de antecedentes ...81

(6)

5.3.4. Requerimientos y frecuencia de actualización de la formación ...82

5.3.5. Frecuencia y secuencia de rotación de tareas ...82

5.3.6. Sanciones por actuaciones no autorizadas ...82

5.3.7. Requisitos de contratación de terceros ...82

5.3.8. Documentación proporcionada al personal ...83

5.3.9. Actividades no permitidas. ...83

5.3.10. Controles periódicos de cumplimiento ...85

5.3.11. Finalización de los contratos...85

5.4. Procedimientos de auditoría de seguridad ... 86

5.4.1. Auditorias e incidentes ...86

5.4.2. Tipos de eventos registrados...87

5.4.3. Tipos de eventos registrados en la gestión de la vida de las claves ...88

5.4.4. Tipos de eventos registrados con el dispositivo criptográfico ...89

5.4.5. Tipos de eventos registrados el uso de la suscripción ...89

5.4.6. Tipos de información a registrar por el RA en la aplicación de certificados ...90

5.4.7. Tipos de información de la gestión de la vida de las claves ...90

5.4.8. Tipos de eventos de seguridad registrados ...91

5.4.9. Frecuencia de tratamiento de registros de auditoría ...91

5.4.10. Periodo de retención para los logs de auditoria ...92

5.4.11. Protección de los registros de auditoria ...92

5.4.12. Procedimientos de back-up de los registros de auditoría ...92

5.4.13. Sistema de recogida de información de auditoría (interno vs externo) ...93

5.4.14. Notificación al sujeto causa del evento ...93

5.4.15. Análisis de vulnerabilidades ...93

5.5. Archivo de informaciones y registros ... 94

5.5.1. Tipo de informaciones y eventos registrados ...94

5.5.2. Periodo de retención para el archivo ...94

5.5.3. Protección del archivo ...95

5.5.4. Procedimientos de backup del archivo ...95

5.5.5. Requerimientos para el sellado de tiempo de los registros ...95

5.5.6. Sistema de archivo de información de auditoría (interno vs externo) ...96

5.5.7. Procedimientos para obtener y verificar información archivada ...96

5.6. Renovación de certificados o claves de una CA ... 96

5.6.1. Renovación de certificados sin cambio de claves ...97

(7)

5.7. Recuperación en caso de compromiso de una clave o de desastre ... 98

5.7.1. Alteración de los recursos hardware, software y/o datos ...98

5.7.2. La clave pública de una entidad se revoca ...98

5.7.3. Compromiso de la clave privada de la CA ...99

5.7.4. Instalación de seguridad después de un desastre natural u otro tipo de desastre .99 5.8. Cese de una CA ... 100

6. Controles de seguridad técnica... 102

6.1. Generación e instalación del par de claves ... 102

6.1.1. Generación del par de claves ... 102

6.1.1.1. Ceremonia de generación de claves de la CA ... 103

6.1.1.2. Procedimiento de generación de datos de creación de firma y creación del certificado de petición ... 106

6.1.2. Entrega de la clave privada a la entidad final ... 107

6.1.3. Entrega de la clave pública al emisor del certificado ... 107

6.1.4. Entrega de la clave pública de la CA a los terceros que confían ... 108

6.1.5. Tamaño de las claves ... 108

6.1.6. Parámetros de generación de la clave pública ... 108

6.1.7. Comprobación de la calidad de los parámetros ... 109

6.1.8. Generación de claves en aplicaciones informáticas o en bienes de equipo ... 109

6.1.9. Fines del uso del par de claves ... 109

6.2. Protección de la Clave Privada ... 109

6.2.1. Estándares para los módulos criptográficos ... 109

6.2.2. Control multipersona*1_{de la clave privada ... 110}

6.2.3. Introducción de la clave privada en el módulo criptográfico ... 110

6.2.4. Método de activación de la clave privada. ... 111

6.2.5. Método de desactivación de la clave privada ... 111

6.2.6. Método de destrucción de la clave privada ... 111

6.3. Custodia, copia y recuperación de claves ... 112

6.3.1. Política y prácticas de custodia, copia y recuperación de claves ... 112

6.3.2. Archivo de la clave privada ... 112

6.3.3. Periodo de uso para las claves públicas y privadas ... 112

6.4. Otros aspectos de gestión del par de claves ... 113

6.4.1. Archivo de la clave pública ... 113

(8)

6.5. Datos de activación ... 113

6.5.1. Generación e instalación de los datos de activación ... 113

6.5.2. Protección de datos de activación ... 113

6.6. Controles de seguridad informática ... 114

6.6.1. Requisitos técnicos específicos de seguridad informática ... 114

6.6.2. Evaluación del nivel de seguridad informática ... 115

6.7. Controles técnicos del ciclo de vida ... 115

6.7.1. Controles de desarrollo de sistemas ... 115

6.7.2. Controles de ciclo de vida ... 116

6.7.3. Controles en entorno pruebas ... 116

6.7.4. Controles de bibliotecas ... 117

6.7.5. Controles de gestión de seguridad ... 118

6.8. Controles de seguridad de red ... 118

6.9. Controles de seguridad de los módulos criptográficos ... 119

7. Perfiles de los Certificados, CRL y OCSP ... 120

7.1. Perfil de certificado ... 120

7.1.1. Número de versión ... 120

7.1.2. Extensiones del certificado... 120

7.1.3. Perfil genérico de los certificados de firma electrónica y usuario identificado ... 122

7.1.4. Perfil genérico de los certificados de firma electrónica y emitidos bajo seudónimo ... 126

7.1.5. Identificadores de objeto (OID) de los algoritmos ... 130

7.1.6. Formatos de nombres ... 130

7.1.7. Restricciones de los nombres ... 130

7.1.8. Identificador de objeto (OID) de la Política de Certificación ... 131

7.1.9. Uso de la extensión “Policy Constraints” ... 131

7.1.10. Sintaxis y semántica de los calificadores de política ... 131

7.1.11. Tratamiento semántico para la extensión crítica “Certificate Policy” ... 131

7.1.12 Extensiones propietarias ANF AC ... 132

7.2. Perfil de la lista de revocación de certificados ... 135

7.2.1. Número de versión ... 135

7.2.2. Lista de revocación de certificados y extensiones de elementos de la lista ... 135

(9)

7.3.1. Número(s) de versión ... 137

7.3.2. Extensiones OCSP ... 137

7.3.2.1. Validación de la Ruta de Certificación ... 137

8. Auditoría de conformidad ... 140

8.1. Frecuencia de los controles de conformidad para cada entidad ... 140

8.2. Identificación del personal encargado de la auditoría ... 141

8.3. Relación entre el auditor y la entidad auditada ... 141

8.4. Listado de elementos objeto de auditoria ... 141

8.5. Acciones a emprender como resultado de una falta de conformidad ... 142

8.6. Tratamiento de los informes de auditoria ... 142

9. Otras cuestiones legales y de actividad ... 143

9.1. Tarifas ... 143

9.1.1. Tarifas de emisión de certificado o renovación... 143

9.1.2. Tarifas de acceso a los certificados ... 143

9.1.3. Tarifas de acceso a la información de estado o revocación ... 143

9.1.4. Tarifas de solicitud de Sellado de Tiempo ... 143

9.1.5. Tarifas de solicitud de Retimbrado ... 143

9.1.6. Tarifas de solicitud de certificado de verificación de firma ... 144

9.1.7. Tarifas de dispositivos de firma ... 144

9.1.8. Tarifas para otros servicios y soluciones de ANF AC ... 144

9.1.9. Política de reembolso ... 144

9.2. Confidencialidad de la información ... 144

9.2.1. Tipos de información confidencial ... 144

9.2.2. Envío a la autoridad judicial y/o policial ... 145

9.2.3. Divulgación a petición del propietario ... 145

9.3. Derechos de propiedad Intelectual ... 145

9.3.1. Propiedad de los certificados e información de revocación... 146

9.3.2. Propiedad de los documentos relativos a la PKI ... 146

9.3.3. Propiedad de la información relativa a nombres... 147

9.3.4. Propiedad de claves ... 147

9.4. Clasificación de los documentos elaborados por ANF AC ... 147

9.5. Responsabilidad Financiera ... 154

(10)

9.5.2. Capacidad financiera ... 154

9.5.3. Relaciones fiduciarias ... 155

9.5.4.Exención de responsabilidades con el suscriptor ... 155

9.5.5. Exención de responsabilidades con el tercero que confía... 155

9.5.6. Responsabilidad de la Autoridad de Registro Reconocida ... 156

9.5.7. Responsabilidad de los Suscriptores y de los Responsables de los Certificados157 9.5.8. Responsabilidad de los Terceros que Confían ... 160

9.6. Ley aplicable ... 161

9.6.1. Procedimientos de resolución de disputas ... 161

9.6.1.1. Procedimiento aplicable para la resolución extrajudicial de los conflictos ... 161

9.6.1.2. Procedimiento judicial ... 161

9.6.1.3 Notificaciones ... 161

9.7. Administración de la DPC y Políticas de Certificación... 162

9.7.1. Periodo de validez ... 162

9.7.2. Efectos de la derogación ... 162

9.7.3. Procedimiento de aprobación ... 163

9.7.4. Notificación de la publicación de una nueva DPC y Políticas ... 163

9.7.5. Divisibilidad y supervivencia ... 163

9.8. Oficina de Atención al Cliente ... 164

9.8.1. Cometido de la Oficina. ... 164

9.8.2. Procedimiento de Consulta. ... 164

9.8.3. Procedimiento de Reclamación. ... 165

9.8.4. Procedimiento de Identificación ... 165

9.9. Enmiendas ... 166

9.9.1. Procedimiento para enmiendas ... 166

9.9.2. Mecanismo de notificación y período de validez tras modificación ... 166

9.9.3. Circunstancias en las que el OID debe ser cambiado ... 166

10. Protección de datos de carácter personal ... 167

10.1. Introducción ... 167

10.2. Régimen jurídico ... 168

10.3. Creación de un fichero y su inscripción oficial en la AEPD ... 169

10.4. Ámbito de aplicación ... 171

(11)

10.4.2. Sistemas de información que soportan el fichero ... 173

10.4.3. Copias de respaldo y recuperación ... 173

10.4.4. Control de accesos ... 174

10.4.5. Utilización de datos reales en pruebas ... 175

10.4.6. Normas asociadas al documento de seguridad ... 175

10.5. Ámbito Material ... 176

10.6. Identificación y autenticación ... 177

10.7. Modificación de datos del Sistema de Información ... 177

10.8. Tratamiento de ficheros temporales ... 178

10.9. Oposición, acceso, rectificación y cancelación de datos ... 178

10.10. Acceso a datos a través de redes de comunicaciones ... 178

10.11. Régimen de trabajo fuera de los locales de la ubicación del fichero ... 178

10.12.Funciones y obligaciones del personal ... 179

10.13.Estructura de los ficheros de la compañía y descripción de los sistemas de información que los tratan ... 180

10.14.Normativa de notificación, gestión y respuesta ante las incidencias ... 180

10.14.1. Notificación ... 181

10.14.2. Gestión ... 181

10.14.3. Respuesta ... 181

10.14.4. Registro ... 181

10.15.Control interno y auditoria ... 182

10.16.Procedimiento de notificación, gestión y respuesta ante las incidencias .. 182

10.17.Medidas adicionales de nivel alto ... 182

10.17.1. Control de acceso y confidencialidad de la información digital ... 183

10.17.2. Gestión de soportes ... 183

10.17.3. Control de los accesos físicos ... 184

10.17.4. Telecomunicaciones ... 184

10.17.5. Modelo de registro de transmisión de datos de carácter personal de nivel alto 184 10.17.6. Procedimiento de realización de copias de respaldo y recuperación de datos185 10.17.7. Modelo de registro mensual sobre “Log de accesos” ... 185

(12)

1. Introducción

ANF Autoridad de Certificación (en adelante ANF AC) es una entidad jurídica, constituida al amparo de la Ley Orgánica 1/2002 del 22 de marzo e inscrita en el Ministerio del Interior con el número nacional 171.443 y CIF G-63287510.

ANF AC tiene asignado el código privado de empresa (SMI Network Management Private Enterprise Code) 18332 por la organización internacional IANA -Internet Assigned Numbers Authority-, bajo la rama iso.org.dod.internet.private.enterprise

(1.3.6.1.4.1 -IANA –Registered Private Enterprise-)*1_.

El presente documento es la Declaración de Prácticas de Certificación (DPC) de ANF AC.

De acuerdo con el artículo 19 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, esta DPC detalla las normas y condiciones generales de los servicios de certificación de ANF AC, en relación con la gestión de los datos de creación y verificación de firma y de los certificados electrónicos; las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados; las medidas de seguridad técnicas y organizativas; los perfiles y los mecanismos de información sobre la vigencia de los certificados; y en especial los procesos de comprobación a los que se someten los datos facilitados por los solicitantes de certificados, a fin de determinar su veracidad.

La propia Ley de Firma Electrónica considera que la DPC es el documento de seguridad a los efectos previstos en la legislación en materia de protección de datos de carácter personal.

Por lo tanto es de aplicación lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal; en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados y su Normativa de Desarrollo; y en el Real Decreto 1720/2007 por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999.

Esta DPC, en conformidad con la legislación vigente, incorpora una sección que atiende los requerimientos de seguridad detallados en dicha normativa.

(13)

Esta DPC constituye un compendio general de normas aplicables a toda la actividad de ANF AC como Prestador de Servicios de Certificación. Sin embargo, ANF AC emite diversos tipos de certificados, para los que existen Políticas de Certificación (PC) específicas. En consecuencia, el solicitante de cualquier tipo de certificado ha de conocer esta DPC y la PC que en cada caso le sea de aplicación para poder solicitar y usar de forma correcta el certificado. Lo estipulado en las Políticas de Certificación específicas prevalecerá sobre lo regulado en esta DPC.

En esta DPC y en las PC relacionadas se establece la delimitación de responsabilidades de las diferentes partes intervinientes, así como las limitaciones de las mismas ante posibles daños y perjuicios.

Esta DPC, con el fin de reforzar su interoperabilidad con las Administraciones Públicas, ha tenido en consideración y se ha inspirado en lo definido en el Esquema Nacional de Identificación y Firma Electrónica de las Administraciones Públicas; el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica; la Decisión 2004/387/CE del Parlamento Europeo y del Consejo, de 21 de abril de 2004, relativa a la prestación interoperable de servicios paneuropeos de administración electrónica al sector público, las empresas y los ciudadanos (IDABC) [Diario Oficial L 144 de 30.4.2004]; y la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Asimismo se ha tenido en consideración la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, con especial atención al Título II Prestación de Servicios de la Sociedad de la Información y al Título IV Contratación por Vía Electrónica.

Además de todo lo anteriormente reseñado, esta DPC se ha estructurado conforme a lo dispuesto por el grupo de trabajo PKIX del IETF (Internet Engineering Task Force), en su documento de referencia RFC 3647 “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework” propuesto por el Network Working Group para este tipo de documentos” y conforme a la ETSI TS 101 456 v1.4.3 (Policy Requirements for certification authorities issuing qualified certificates), así como a la ETSI TS 102 042 v.2.1.1 (Policy Requirements for

certification authorities issuing public key certificates), especificando

pormenorizadamente las normas y estándares internacionales atendidos por esta PKI.

Asimismo, para el desarrollo de su contenido, se ha tenido en cuenta la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica (DOUE de 19 de enero de 2000) y los estándares europeos. Concretamente:

(14)

- RFC 5280, que sustituye la RFC 3280 "Internet X.509 Public Key Infrastructure Certificate and CRL Profile",

- ETSI TS 101 862 v1.3.3 y RFC 3739: Qualified Certificate Profile.

La Ley 59/2003 de 19 de diciembre de Firma Electrónica, en su artículo 6, limita la cualidad de titular de certificados electrónicos a las personas físicas y jurídicas. No obstante ANF AC, como Prestador de Servicios de Certificación, emite certificados de carácter técnico. Por lo tanto, esta DPC de ANF AC se aplica tanto a los certificados asociados a personas físicas y jurídicas, y por tanto sujetos a la mencionada Ley, como a los certificados técnicos, que son los vinculados a componentes informáticos.

ANF AC, en conformidad con lo establecido en la Directiva 1999/93/CE Art. 7 punto 1.b, avala los servicios de certificación electrónica prestados por sus filiales:

- ANF Authority of Certification Ecuador, S.A de Ecuador, - ANF CA Panamá, SA de Panamá, y

- ANF Certification Authority USA CORP

Esta Declaración de Prácticas de Certificación asume que el lector conoce los conceptos de PKI, certificado y firma electrónica. En caso contrario se recomienda al lector que se forme en el conocimiento de los anteriores conceptos antes de continuar con la lectura del presente documento.

1.1. Presentación

Este documento tiene como objeto informar públicamente de las condiciones y características de los servicios de certificación ofrecidos por ANF AC como Prestador de Servicios de Certificación, recogiendo en concreto las obligaciones que se compromete a cumplir en relación con:

- Servicio de Certificación, emisión de certificados reconocidos y certificados ordinarios sin la consideración legal de certificados reconocidos, en conformidad con lo establecido en la Ley 59/2003, de 19 de diciembre, de firma electrónica.

- Servicio de Autoridad de Sellado de Tiempo (en adelante, TSA) que permite a sus usuarios obtener una garantía que determina con plena certeza que la información existía en un momento concreto del tiempo.

(15)

- Servicio de Autoridad de Validación (en adelante, AV) que permite a sus usuarios, y a los terceros que confían, beneficiarse de la verificación en origen y la comprobación del estado de los certificados basándose en el protocolo OCSP (Online Certificate Status Protocol), así como libre acceso a las listas de revocación CRL y ARL.

- Servicios PKI enabled. Se trata de un conjunto de soluciones basadas en certificación electrónica, productos e instrumentos basados en clave pública para el usuario final, así como componentes informáticos y especificaciones técnicas para el desarrollo de aplicaciones que emplean la firma electrónica. - Servicios de Formación. Se trata de cursos y talleres de trabajo

especializados en la transferencia de conocimiento sobre la firma electrónica, sus aplicaciones, beneficios y potenciales riesgos.

- Servicios de AR manager. Se trata de una Red Internacional de Proximidad de Autoridades de Registro Oficiales, que ANF AC pone a disposición de sus usuarios para tramitar las solicitudes de certificados y hacer entrega a los suscriptores, de forma presencial, instrumentos de alta seguridad, como por ejemplo el Dispositivo Criptográfico.

En el desarrollo de su actividad, ANF AC ha implementado un sistema de gestión de seguridad de la información para los procesos de Operación y Mantenimiento de la Infraestructura y Expedición, Validación y Revocación de Certificados Digitales según el estándar ISO 27001. Asimismo sigue especificaciones técnicas (TS) de acuerdo con la norma técnica ETSI TS 101 456 v1.4.3 (Política de requisitos para las Autoridades de Certificación que emiten certificados reconocidos).

Esta norma establece los requisitos básicos para la gestión y prácticas de certificación de entidades certificadoras que emiten certificados reconocidos dentro del marco legal de la directiva 1999/93/EC del Parlamento europeo, incorporada al régimen jurídico español en la ley de firma electrónica 59/2003.

ANF AC atiende las guías de emisión y gestión de certificados SSL de validación extendida (CA/Browser Forum guidelines for the issuance and management of extended validation certificates). Estas guías, definidas por el CA/Browser Forum, especifican los requisitos mínimos a aplicar por las Autoridades de Certificación para emitir certificados SSL‐EV, con el objetivo de proporcionar fiabilidad en la identificación y control de la identidad de los servicios accedidos.

Este documento no recoge los aspectos particulares de las diferentes prácticas y políticas de certificación, de validación o de sellado de tiempo que ANF AC administra. Dichas particularidades se desarrollan en los correspondientes documentos, aunque en todos ellos se contempla como marco general de aplicación la presente DPC.

(16)

1.2. Identificación

1.2.1. Nombre del Documento

Este documento se denomina Declaración de Prácticas de Certificación de ANF AC, e internamente será citado por su acrónimo “DPC”.

(17)

1.2.2. Estructura documental

La estructura documental de las Políticas, Declaración de

Prácticas de Certificación y otros documentos relacionados con los servicios de certificación gestionados por ANF AC, queda descrita en el siguiente esquema:

Declaración Practicas Certificación

DPC Políticas de Certificación PC Política de Validación PVA DPC TSA Autoridad Sellos Tiempo Gestión PKIX  Seguridad Administrativa  Plan de Contingencias  Utilización componentes criptográficos  Creación, almacenamiento y uso certificados Raíz y Subordinados  Procedimiento Auditoría.  Política Certificación AR  Política Privacidad  Documentación técnica PKIX  Análisis de riesgos  Inventario de equipamiento y ciclo de vida útil. Política de Firma Electrónica PFE

(18)

1.2.3. Identificadores OID

En conformidad con los estándares de certificación digital, ANF Autoridad de Certificación utiliza Identificadores de Objetos (OID) definidos en el estándar ITU-T Rec. X.660 (2004) | ISO/IEC 9834-1:2005 “Procedures for the Operation of OSI Registration Authorities: General Procedures and ASN.1 Object Identifier tree top arcs”.

ANF AC tiene registrado en IANA el número “18332” como OID de empresa privada (http://www.iana.org/assignments/enterprise-numbers). El significado de los OID con el arco “1.3.6.1.4.1.18332” es el siguiente:

OID Tipo de objeto Descripción

1.9.1.1 Declaración de Practicas de

Certificación Emisión de certificados

5.1 Declaración de Practicas de

Certificación Autoridad Sellado de Tiempo

3.4.1 Políticas de Certificación Persona Física

2.4.1 Política de Certificación Persona Jurídica

18.1 Política de Certificación OCSP

22.1 Política de Certificación Autoridad de Registro

17.1 Política de Certificación SSL

27.1 Política de Firma Electrónica Firma Electrónica

36.1 Política de Validación de

(19)

1.2.4. Especificaciones

Nombre del documento Declaración de Prácticas de Certificación de _{ANF AC.}

Versión 12.1

Estado de la DPC APROBADO

Referencia del documento /

OID 1.3.6.1.4.1.18332.1.9.1.1.

Fecha de publicación 1 de Junio de 2012

Fecha de expiración No es aplicable

Localización de la última

versión en vigor https://www.anf.es/AC/documentos/

Este documento no trata los aspectos particulares de las diferentes prácticas y políticas de certificación, de validación o de sellado de tiempo que ANF AC implementa para la prestación de servicios de certificación. Dichas particularidades se desarrollan en los correspondientes documentos teniendo como marco general de aplicación la presente DPC.

Las condiciones de uso, limitaciones, responsabilidades, propiedades y cualquier otra información que se considere específica de cada tipo de certificado, viene reflejada en cada una de las Políticas de Certificación a las que se somete su respectiva emisión.

La DPC y las Políticas de Certificación se publicarán cada vez que sean modificadas. La publicación de un nuevo documento conlleva la derogación del anterior. La versión X.Y especifica el número de versión, que secuencialmente identifica las diferentes versiones que han sido publicadas.

(20)

1.3. Comunidad y Aplicabilidad

1.3.1. Entidades y personas que intervienen

- Prestador de Servicios de Certificación. - Autoridad de Certificación.

- Autoridad de Registro.

- Responsables de Dictámenes de Emisión. - Responsables de Emisión de Certificados. - Autoridad de Validación.

- Autoridad de Sellado de Tiempo. - Entidades finales.

1.3.1.1. Prestador de Servicios de Certificación (PSC)

ANF Autoridad de Certificación (ANF AC) es un Prestador de Servicios de Certificación que emite certificados reconocidos conforme a lo establecido en la vigente Ley de Firma Electrónica.

ANF AC dispone de servicios de validación y de sellado digital de tiempo. La prestación de estos servicios está regulada por políticas específicas no incluidas en este documento.

La Junta Rectora de la PKI de ANF AC es el órgano que gestiona de forma ejecutiva la PKI, y es la responsable de la aprobación de la presente Declaración de Prácticas de Certificación, así como de los posibles cambios en la misma.

(21)

1.3.1.2. Autoridad de Certificación (AC)

La PKI de ANF AC está compuesta por diversas Autoridades de Certificación. Las Autoridades de Certificación que componen la PKI de ANF AC son:

Autoridad de Certificación Raíz

Es la entidad raíz cuyo certificado de clave pública ha sido autofirmado, y que dentro de la jerarquía de certificación tiene la capacidad de emitir certificados a otras autoridades de certificación subordinadas, intermedias, e incluso, certificados de entidad final.

ANF Autoridad de Certificación cuenta en la actualidad con las Autoridades de Certificación Raíz que seguidamente se detallan:

CN = ANF Root CA

OU = ANF Public Primary Certification Authority Válido desde el 2005-02-28 hasta el 2015-02-26 Longitud de la clave: 2048

Algoritmo de firma = Sha512RSA

Huella digital: d6 06 de eb 90 05 f5 f0 8c de d2 a9 5e 46 37 24 d6 90 8a b5

CN = ANF Server CA OU = ANF Clase 1 CA

Válido desde el 2005-04-05 hasta el 2015-04-03 Longitud de la clave: 2048

(22)

Huella digital: ce a9 89 0d 85 d8 07 53 a6 26 28 6c da d7 8c b5 66 d7 0c f2

Renovación de la Jerarquía de Certificación

El Certificado Raíz original CN = ANF Server CA caducaba el 01 de febrero 2010. Este certificado fue sustituido por un nuevo Certificado Raíz con fecha de caducidad 2015, con renovación de claves.

Los datos de identificación del Certificado Raíz original con fecha de caducidad 2010 son:

Huella digital: a3 05 94 e9 3c f3 90 49 53 71 37 e2 5d cf 8d c0 c6 90 9d b1

A su vez el Certificado Raíz CN = ANF Server CA que caduca el 03 de abril 2015, será sustituido por el nuevo Certificado Raíz emitido con fecha de caducidad 2021. Este certificado ha sido emitido SIN RENOVACIÓN de claves. Ambos Certificados Raíz son válidos hasta su fecha de caducidad.

(23)

Hay que destacar que ambos certificados utilizan la misma clave privada, la misma clave pública y el mismo nombre de CA. Este modelo de certificación con claves

compartidas recibe el nombre ”Certificación Cruzada*1_”.

Gracias a ello los certificados de usuarios finales emitidos hasta la fecha pueden validarse tanto con la jerarquía basada en la CA que caduca en 2013 como con la jerarquía basada en la CA que caduca en 2021.

Se recomienda utilizar los certificados de la jerarquía 2021 siempre que sea posible, abandonando progresivamente el uso de la jerarquía 2013.

*1_{La “Certificación Cruzada” es un mecanismo que permite crear caminos de certificación}

múltiples. En este caso sirve para que un mismo certificado se pueda validar indistintamente en dos jerarquías de certificación que acaban en CA Raíces distintas. (Ver “RFC4949: Internet Security Glossary, Version 2” : cross-certification).

(24)

Autoridades de Certificación Subordinadas

Son las entidades que dentro de la jerarquía de certificación emiten certificados a autoridades de certificación intermedias o certificados de entidad final, y cuyo certificado de clave pública ha sido firmado digitalmente por la Autoridad de Certificación Raíz.

Las Autoridades de Certificación Subordinadas pueden estar a nombre de ANF Autoridad de Certificación o a nombre de otra entidad. Estas otras entidades se deberán constituir como Prestadores de Servicios de Certificación y, en su caso, definir su propia Declaración de Prácticas de Certificación.

 ANF Root CA cuenta en la actualidad con las siguientes Autoridades de

Certificación Subordinadas: CN = ANF Autoridad de Registro CA OU = ANF Autoridad Intermedia

Huella digital: 26 52 e8 2f 9d cc 7d 1e f1 d3 0f f2 e9 b7 b4 83 1c 5a 7b 85

La Autoridad de Certificación Subordinada ANF Autoridad de Registro CA emite certificados digitales a las Autoridades de Registro Reconocidas y a sus operadores.

CN = ANF Responsable Dictamen de Emisión CA OU = ANF Autoridad Intermedia

(25)

La Autoridad de Certificación Subordinada ANF Responsable Dictamen de Emisión CA emite certificados digitales a los Responsables de Dictámenes de Emisión.

CN = ANF TSA CA

OU = ANF Autoridad Intermedia

Huella digital: 3f 49 a2 cd f4 d9 75 9d b2 c2 0a 73 32 0d 99 b8 3d 83 cb ac

La Autoridad de Certificación Subordinada ANF TSA CA emite certificados digitales a las Unidades de Sellado de Tiempo.

CN = ANF Basic CA

Huella digital: bd 8a 3c 59 2d 0f e4 45 85 45 90 ff f8 95 92 6f 2a b3 51 59

La Autoridad de Certificación Subordinada ANF Basic CA emite certificados digitales para la firma de código.

(26)

CN = ANF Encryption CA

Huella digital: 21 36 fa 9d 1a db 78 83 d7 b4 b8 e4 45 79 5b be 8e 60 70 5e

La Autoridad de Certificación Subordinada ANF Encryption CA emite certificados digitales para cifrado.

CN = ANF SSL CA

Huella digital: f0 f9 b7 d4 a6 23 37 89 c7 b7 dd be a8 b6 c9 1e b3 81 52 77

(27)

CN = ANF Root 1 CA

Huella digital: 02 1e 3f b5 b6 ff 72 fb a2 98 9b 09 ab 93 fa 17 a9 dc 64 c5

La Autoridad de Certificación Subordinada ANF Root 1 CA emite certificados digitales de identidad.

 ANF Server CA con fecha de caducidad 2015 cuenta en la actualidad con

las siguientes Autoridades de Certificación Subordinadas: CN = ANF ES CA1

Huella digital: 61 c6 fe c2 e1 57 9e f7 10 f6 8d 46 46 be 13 63 4f 03 3f 7e

La Autoridad de Certificación Subordinada ANF ES CA1 emite certificados digitales de identidad.

(28)

 ANF Server CA con fecha de caducidad 2021 cuenta en la actualidad con las siguientes Autoridades de Certificación Subordinadas:

CN = ANF Clase SubCA1 OU = CA Intermedia ID SO

Huella digital: ad 83 8c d6 22 7e df 9c 6c cd 8e f8 2e 47 5a f4 57 2c 8f 6c

La Autoridad de Certificación Subordinada ANF Clase SubCA1 emite certificados digitales de identidad y sello de órgano.

CN = ANF EC 1

Huella digital: 8d eb ff fb 15 66 c6 2b e2 e4 46 7b b7 07 10 41 3d d6 b1 bd

La Autoridad de Certificación Subordinada ANF EC 1 emite certificados digitales de CA intermedia y de entidad final para Ecuador.

(29)

CN = ANF Cripto SubCA1 OU = CA Intermedia Cripto

Huella digital: 1d a2 09 b9 6e 3c 86 80 6f df 16 71 9b 51 8b 13 cc 2f 91 59

La Autoridad de Certificación Subordinada ANF Cripto SubCA1 emite certificados digitales para cifrado y firma de código.

CN = ANF SSL Sede CA1 OU = CA Intermedia SSL Sede

Huella digital: 87 c1 72 4a 25 d5 58 25 76 d1 a1 3b 09 e8 6b 05 de 80 bb 00

La Autoridad de Certificación Subordinada ANF SSL Sede CA1 emite certificados digitales para SSL y Sede Electrónica.

(30)

CN = ANF High Assurance EV CA1 OU = CA Intermedia SSL Sede EV

Huella digital: a2 ee 86 d1 88 2c 29 23 10 49 59 8b 19 f5 05 bc 95 35 c7 8b

La Autoridad de Certificación Subordinada ANF High Assurance EV CA1 emite certificados digitales para SSL con Extended Validation.

(31)

1.3.1.3. Autoridades de Registro

1.3.1.3.a. Autoridades de Registro Reconocidas

Son personas físicas o jurídicas a las que, habiendo asumido un proceso de capacitación previo y habiendo suscrito el correspondiente contrato de asunción de responsabilidades y convenio de colaboración, ANF AC ha dotado de la tecnología necesaria para realizar las funciones de entidad de registro.

Las entidades de registro para el desempeño de sus funciones se valdrán de operadores personas físicas, que hayan superado la formación oficial diseñada por ANF AC, preceptiva para el desempeño de las funciones de operador de Autoridad de Registro Reconocida. Los operadores de la Autoridad de Registro persona jurídica estarán bajo la supervisión, control y dirección de ésta.

ANF AC encomienda a estos operadores, oficialmente reconocidos, la identificación y comprobación de las circunstancias personales de los solicitantes de certificados. Con ese objetivo se encargan de garantizar que:

- El trámite se realiza de forma presencial por parte de las personas

implicadas en la solicitud, custodia y uso del certificado solicitado.

- Los documentos aportados para la identificación y acreditación de la

capacidad de representación son originales y suficientes para llevar a cabo este trámite.

- En la medida de sus posibilidades determinan que el solicitante, y cuantas

personas intervienen en el trámite de solicitud, lo realizan por voluntad propia y sin mediar coacción alguna.

personas intervienen en el trámite de solicitud, son mayores de edad y en plena capacidad mental para obrar.

personas intervienen en el trámite de solicitud, tienen la capacidad intelectual suficiente como para asumir la responsabilidad y correcto uso de los certificados e instrumentos asociados que solicitan.

- Atienden consultas y clarifican dudas sobre todas aquellas consultas que al

(32)

- Ponen a disposición del solicitante, y de todas las personas que intervienen en el trámite de solicitud, la DPC, Políticas de Certificación asociadas, Política de Firma Electrónica y tasas de servicio, así como información relacionada con el proceso de renovación y de revocación: causas, obligaciones y procedimiento a seguir.

- Informan a los solicitantes de las condiciones precisas para la utilización del

certificado y sus limitaciones de uso.

- Verifican que el propietario de los datos presta su consentimiento al

tratamiento de sus datos personales, y es informado sobre la finalidad que se les va a dar y su inclusión en el fichero declarado al efecto por ANF AC, así como su derecho de acceso, rectificación, cancelación y oposición, y la forma de ejercerlo.

- Hacen entrega física del Dispositivo Criptográfico que servirá al solicitante,

entre otras utilidades, para la generación del par de claves; generación de los datos de activación; generación del certificado de petición; conexión con los servidores de confianza de ANF AC mediante protocolo de comunicaciones seguro; descarga del certificado una vez emitido, generación firmas electrónicas; firma electrónica y realización de procesos de verificación; procesos de autenticación ante aplicaciones informáticas; y procesos de cifrado. Éste dispositivo permitirá al usuario el acceso, almacenamiento, control y gestión de sus certificados y claves privadas. Por tanto, la destrucción del mismo implicará la destrucción del certificado, así como de sus claves.

- Hacen entrega al solicitante del acta de identificación, firmada

electrónicamente por el operador AR.

- Tramitan toda la documentación original presentada por el solicitante, tras

obtener de la misma una copia certificada que las AR compulsará firmándola y numerándola. Para el proceso de digitalización utilizarán el dispositivo AR Manager de ANF AC. Dicho dispositivo se encarga, entre otras funciones, de empaquetar toda la documentación, así como de la petición del certificado y su envío a ANF AC de forma segura. La transmisión de datos se realiza mediante un canal seguro con SSL. ANF AC al recibir los datos puede comprobar qué AR ha realizado el envío gracias a la firma del AR. El dispositivo AR Manager guarda un histórico de todos los certificados solicitados.

- Hacen entrega de la carta para la activación de la generación del certificado.

En dicha carta aparece la primera mitad de la contraseña para la activación. La segunda mitad de la contraseña para la activación será enviada mediante correo electrónico a la cuenta indicada en la solicitud.

(33)

- En base a los datos acreditados proceder a:

o Cumplimentar los formularios de solicitud y el contrato de prestación de servicios de certificación.

o Imprimir los referidos documentos, los cuales serán firmados de forma manuscrita por el operador de la Autoridad de Registro que realiza el trámite y el usuario solicitante; uno de éstos documentos es el Formulario de Solicitud.

o Remitir a ANF AC toda la documentación correspondiente a la solicitud tramitada.

o Generar el acta de identificación.

ANF AC ha iniciado un plan de renovación tecnológica que comprende la incorporación de nuevos instrumentos de identificación, concretamente:

o Captura de imagen de solicitante.

o Captura de huellas dactilares del solicitante.

o Lector de eDNI que incorpora validador de autenticidad.

Aquellos ARR que ya han sido dotados de estos instrumentos, asumen la obligación de efectuar los correspondientes procesos de captura de datos biométricos y validación del eDNI, siempre previa autorización formal del usuario para procesar informáticamente esta información.

Una vez formalizados los documentos, se debe hacer entrega al solicitante de:

- Dispositivo de Generación de Datos de Creación de Firma.

- Dispositivo de Creación de Firma Electrónica.

- Dispositivo de Verificación.

- Acta de Identificación que le permite generar su “certificado petición”.

- Claves de activación del acta.

El Formulario de Solicitud es un documento en el que el solicitante acepta una declaración expresa de su conocimiento sobre el uso del Dispositivo de Firma Electrónica y del Certificado Digital, así como sus deberes, limitaciones y obligaciones como usuario de los mismos. Las obligaciones contempladas son:

- Generar los datos de creación de firma sin la mediación de terceros y que sólo él conozca la contraseña de activación.

(34)

- Entender sus obligaciones de custodia de los datos de creación de la firma y la contraseña de activación.

- Conocer los medios para la comunicación de la pérdida o posible utilización indebida de datos del certificado y firma electrónica, así como su obligación de revocar el certificado en caso de que eso sucediera.

- Conocer la forma como se utiliza el dispositivo de certificación que se le ha entregado.

Cada Política de Certificación asociada a esta DPC incorpora el modelo de Formulario de Solicitud.

En el caso de entrega de un dispositivo criptográfico que incorpore lector de datos biométricos, la Autoridad de Registro Reconocida deberá asegurarse de que, en su presencia, el solicitante procede a identificarse ante el dispositivo con sus huellas dactilares. Mediante este procedimiento el dispositivo quedará activado y personalizado. Solo el suscriptor podrá, tras someterse a la verificación biométrica correspondiente, activar el sistema de certificación.

Así mismo deberá requerir, previa a la formalización de la solicitud de emisión del certificado, que se efectúe una lectura de sus Derechos y Obligaciones, informándole sobre las dudas que al respecto pueda tener. No se puede formalizar la solicitud de emisión del certificado hasta que el solicitante considere que tiene una compresión plena de los textos. Con la firma de la solicitud del certificado, el solicitante reconoce que comprende y acepta todos los Derechos y Obligaciones establecidos en esta PKI.

En cualquier caso, si el operador de la ARR estima que las consultas realizadas por el solicitante se encuentran fuera del ámbito de sus conocimientos u obligaciones, o bien, no logra resolver las dudas que le plantean, instruirá al solicitante para que contacte con la Oficina de Atención al Cliente de ANF AC y que sea personal especializado de este departamento el que atienda y facilite gratuitamente el asesoramiento requerido.

La ARR asume la obligación de revocar los certificados que haya tramitado o denegar una emisión de certificado en trámite cuando:

- Tenga conocimiento de que las circunstancias del titular o del representante

legal, en su caso, han cambiado.

- Tenga conocimiento de que se ha producido un quebranto que afecte a la

seguridad de los datos de creación de firma.

- En cualquier supuesto en el que considere que su vigencia puede afectar

(35)

enmarcado en la buena fe, se utilice en perjuicio de terceros o en operaciones ilegales.

Los criterios de valoración que seguirá la ARR sobre la documentación aportada por el solicitante para acreditar identidad, u otros datos a incluir en el certificado, serán los normalmente aceptados en Derecho. La Autoridad de Registro Reconocida siempre exigirá la presencia física del solicitante.

Todos los trámites realizados por las ARR son firmados electrónicamente por los operadores que los realizan, asumiendo así su plena responsabilidad en el proceso. Las ARR cuentan con la autorización de cobrar las tasas de identificación, solicitud, activación e inclusión de atributos del certificado solicitado.

La valoración final de la suficiencia o no de la comprobación realizada por la ARR, así como de los documentos aportados, correrá siempre a cargo de personal perteneciente a ANF AC.

Una vez emitido el certificado, la Autoridad de Registro recibe una confirmación de la emisión mediante correo electrónico.

1.3.1.3.b. Autoridades de Registro Colaboradoras

Son personas que de acuerdo con la legislación vigente tienen atribuciones de fedatario público.

1.3.1.4. Responsables de Dictámenes de Emisión

Es personal adscrito al Departamento Jurídico de ANF AC, encargado de comprobar la documentación aportada por las Autoridades de Registro. Determinan la suficiencia o deficiencia de esos documentos, comprueban la fiabilidad de la información aportada por el solicitante, ordenando, si lo consideran, indagaciones complementarias.

Se prestará especial atención en el caso de certificados de personas jurídicas, comprobando, además de la identidad del representante, los datos relativos a la constitución y personalidad jurídica y a la extensión y vigencia de las facultades de representación del solicitante, mediante los documentos públicos que sirvan para acreditar los extremos citados de manera fehaciente y su inscripción en el correspondiente registro público, si así resulta exigible.

(36)

El Responsable de Dictámenes de Emisión determinará en cada caso la necesidad de completar la comprobación, mediante la consulta telemática de los registros directamente o a través de servicios de terceros.

Es responsabilidad del Responsable de Dictámenes de Emisión:

- Verificar que la solicitud del certificado contiene información veraz y

completa del solicitante.

- Determinar que la solicitud se ajusta a los requisitos exigidos en la

correspondiente Política, según el tipo de certificados requerido.

- Comprobar que se han suscrito todos los documentos y se han atendido

todas las formalidades exigidas en esta DPC y sus políticas de certificación correspondientes.

- Verificar que la información contenida en el certificado es exacta, que no se

han cometido errores mecanográficos.

- Verificar que incluye toda la información requerida, y que en caso de incluir

información no exigible, se cuenta con la autorización del suscriptor para incluirla en el certificado.

- Aplicar el correspondiente proceso criptográfico de verificación sobre el

certificado de petición, a fin de comprobar la integridad de los datos contenidos en ese certificado, y que el firmante está en posesión de los datos de creación de firma.

En base a toda la labor realizada, determinan:

- La emisión de los certificados generando y firmando un dictamen de

emisión favorable, o

- denegando la emisión, mediante dictamen desfavorable, o

- solicitando aportación de nuevos documentos acreditativos, o la firma de

actas complementarias.

1.3.1.5. Responsables de Emisión de Certificados

Son un mínimo de tres los operadores que cuentan con la capacidad para acceder y activar los dispositivos de emisión de certificados de ANF AC.

(37)

Para activar las claves, es necesaria la presencia de al menos dos de estos operadores, y un tercero perteneciente al equipo de seguridad del búnker donde se aloja el equipamiento de emisión.

1.3.1.6. Autoridad de Validación

Una Autoridad de Validación es un Prestador de Servicios de Certificación que proporciona certeza sobre la validez de los certificados digitales y sobre los documentos firmados electrónicamente en un momento dado.

ANF AC es una Autoridad de Validación (VA o Validation Authority) que actúa como tercera parte de confianza validando certificados electrónicos.

ANF AC gestiona un sistema informático formado por un conjunto de Servidores de Confianza, que acceden en tiempo real al estado en que se encuentran todos los certificados emitidos por ANF AC.

Estos servidores reciben el nombre de OCSP Responder y atienden peticiones de validación mediante el protocolo Online Certificate Status Protocol (OCSP). Tienen como función determinar el estado actual de un certificado electrónico a solicitud de un tercero que confía, sin requerir el acceso a Listas de Revocación de Certificados (CRL). Los repositorios a los que acceden los servidores OCSP Responder están permanentemente actualizados, y cumplen la IETF RFC 6277, Online Certificate Status Protocol Algorithm Agility.

Las consultas OCSP pueden ser realizadas bajo régimen 24h/365días de manera gratuita. Estas consultas se deben de realizar conforme a la IETF RFC 2560.

Este mecanismo de validación es complementario a la publicación de las listas de revocación de certificados (CRL), y al servicio web de la AEAT.

1.3.1.7. Autoridad de Sellado de Tiempo

Una Autoridad de Sellado de Tiempo es un Prestador de Servicios de Certificación que emite certificados TSU, que permiten proporcionar sellos digitales de tiempo. ANF AC es una Autoridad de Sellado de Tiempo (TSA) que gestiona un sistema informático formado por un conjunto de Servidores de Confianza, cuyo sistema horario se encuentra sincronizado con una fuente segura de tiempo.

(38)

Estos servidores reciben el nombre de Unidades de Sellado de Tiempo TSU, y tienen como función estampar sellos digitales de tiempo sobre peticiones formuladas por los usuarios de ANF AC. Permiten así determinar la existencia de un determinado objeto en el tiempo.

Para ello la consulta se realiza presentando la huella digital de ese objeto y sobre ella se incorpora un número de transacción único, la secuencia de seguridad hash correspondiente al encadenamiento que gestiona ese TSU, el día y la hora, y todo ello es firmado por la Autoridad de Sellado de Tiempo. Cumplen la IETF RFC 3161 actualizada por RFC 5816, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) y RFC 3339 Date and Time on the Internet: Timestamps.

1.3.1.8. Entidades finales

A efectos de la presente Declaración de Prácticas de Certificación, y de las Políticas de Certificación que la desarrollan, son entidades finales del sistema de certificación de la ANF AC las siguientes:

- solicitantes

- responsables de los certificados - suscriptores

- terceros de confianza

1.3.1.8.1. Solicitantes

Son las personas físicas que, en nombre propio o en representación de terceros, solicitan la emisión de un certificado.

En caso de asumir la representación de un tercero, esta representación tiene que estar sustentada con poder con un alcance suficiente a efectos legales, y en caso de tratarse de la representación de una persona jurídica, el poder debe de estar inscrito en el registro correspondiente.

(39)

1.3.1.8.2. Suscriptores

A efectos de esta PKI, el suscriptor del certificado se corresponde con el término firmante previsto en el artículo 6 de la Ley 59/2003 de Firma Electrónica.

Tendrá la condición de suscriptor el titular del certificado, siendo éste el propietario único del par de claves, pública y privada, asociado al mismo.

La identidad personal queda vinculada a los datos de creación y verificación de firma, firmados electrónicamente, a través de una clave pública certificada por ANF AC.

El suscriptor asume la responsabilidad completa del uso de los datos de creación de firma, incluso en el caso de que haya cedido a un tercero la custodia y su gestión de su uso. La cesión de custodia y uso de un certificado a un tercero “responsable del certificado”, solo está autorizada cuando la Política de Certificación reconozca expresamente esta figura. En caso contrario ANF AC prohíbe cualquier cesión de custodia o uso de los datos de creación de firma.

El perfil de usuarios que pueden solicitar la emisión de certificados de ANF AC se encuentra definido y limitado en cada Política de Certificación.

1.3.1.8.3. Responsables del certificado

Son las personas físicas que están expresamente autorizadas por el suscriptor para custodiar y hacer uso de los datos de creación de firma. La figura de responsables del certificado solo está autorizada en aquellos certificados cuya Política de Certificación la reconoce expresamente.

1.3.1.8.4. Terceros que confían

De forma general son todas aquellas personas físicas o jurídicas, entidades u organizaciones, Administraciones Públicas o Corporativas que de forma voluntaria confían en estos certificados, en las firmas electrónicas que se generan, y en los procesos de autenticación que se realizan en el ámbito de aplicación de esta PKI.

Los “Terceros que confían” han de realizar las operaciones de clave pública de manera satisfactoria para confiar en el certificado, así como asumir la

(40)

responsabilidad de verificar el estado del certificado utilizando los medios que se establecen en esta DPC y en la política de certificación correspondiente.

Los terceros deberán guardar la diligencia debida en el empleo de cada tipo de certificado y actuar con base en los principios de buena fe y lealtad, absteniéndose de realizar conductas fraudulentas o negligentes cuyo fin sea repudiar mensajes emitidos dentro del ámbito de confianza asociado a la categoría del certificado.

1.4. Uso de los certificados

Las Políticas de Certificación correspondientes a cada tipo de certificado emitido por la ANF AC constituyen los documentos en los que se determinan los usos y

limitaciones de cada certificado, y que es publicado en

https://www.anf.es/es/politicas/psc-acreditado/declaracion-practicas-certificacion.html.

No se fijan pues, en esta DPC, los usos y limitaciones de los diferentes tipos de certificados que emite ANF AC.

1.4.1. Usos prohibidos

Los Certificados emitidos por ANF AC y los servicios prestados en calidad de VA o TSA, se utilizarán exclusivamente para la función y finalidad que tengan establecida en las correspondientes Políticas, y con arreglo a la normativa vigente, teniendo en cuenta las restricciones de importación y exportación en materia de criptografía existentes en cada momento.

Los certificados, salvo en los casos en que así lo especifique la PC, no pueden utilizarse para actuar ni como Autoridad de Registro ni como Autoridad de Certificación, tampoco firmando certificados de clave pública de ningún tipo, ni listas de revocación de certificados (CRL), ni consultas de validación OCSP, ni emisión de Sellos Digitales de Tiempo, ni para la prestación de servicios de validación o firma delegada.

Las Políticas de Certificación correspondientes a cada tipo de certificado pueden determinar limitaciones y restricciones adicionales en el uso de los certificados. No es objetivo de esta DPC la determinación de dichas limitaciones y restricciones adicionales.

(41)

1.5. Política de Administración

1.5.1. Especificación de la Organización Administradora

Nombre ANF Autoridad de Certificación

Dirección de e-mail [email protected]

Dirección Gran Vía de les Corts Catalanes, 996 –

Barcelona (Spain)

Número de teléfono +34·902 902 172

Número de fax +34·933 031 611

1.5.2. Persona de Contacto

Nombre ANF Autoridad de Certificación

Dirección de e-mail [email protected]

Dirección Gran Vía de les Corts Catalanes, 996 –

Barcelona (Spain)

Número de teléfono +34·902 902 172

Número de fax +34·933 031 611

1.5.3. Competencia para determinar la adecuación de la CPS

con las diferentes Políticas de certificación

La entidad competente para determinar la adecuación de esta DPC a las diferentes Políticas de Certificación de ANF AC es la Junta Rectora de la PKI.

La firma digital de éste documento acredita el consentimiento de la Junta Rectora de la PKI para su publicación, este consentimiento es posterior a una revisión completa del documento y aprobación del mismo.

(42)

1.6. Definiciones y Acrónimos

1.6.1. Definiciones

Autenticación: Procedimiento de comprobación de la identidad de un solicitante o titular de certificados de ANF AC.

Certificado electrónico: Un acta firmada electrónicamente por ANF AC que vincula unos datos de verificación de firma (clave pública) con su propietario y confirma su identidad.

Certificado reconocido: Certificado expedido por ANF AC como Prestador de Servicios de Certificación, que cumple con los requisitos establecidos en la Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten, de conformidad con lo que dispone el capítulo II del Título II de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica.

Clave pública y clave privada: La criptografía en la que se basa la PKI de ANF AC es la criptografía asimétrica. En ella se emplea un par de claves: lo que se cifra con una de ellas sólo se puede descifrar con la otra y viceversa. A una de esas claves se la denomina pública y está incorporada en el certificado electrónico, mientras que a la otra se la denomina privada y está bajo la custodia del titular del certificado. Clave de sesión: Clave que establece para cifrar una comunicación entre dos entidades. La clave se establece de forma específica para cada comunicación, o sesión, terminando su utilidad una vez finalizada ésta.

Componente informático (o componente): Cualquier dispositivo software o hardware susceptible de utilizar certificados electrónicos.

Datos de activación (PIN): Clave secreta que el suscriptor utiliza para activar los datos de creación de firma.

Datos de creación de Firma (Clave Privada): Datos únicos, clave criptográfica privada, que el suscriptor utiliza para crear la Firma electrónica.

Directorio: Repositorio de información que sigue el estándar X.500 de ITU-T. Dispositivo: Instrumento que sirve para aplicar los datos de creación de firma, cumpliendo con los requisitos que establece el artículo 24.3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica.