Contract
III. Otras disposiciones
XXXXXXXXXX XX XXXXXXXX
00000 RESOLUCIÓN de 3 xx xxxxxx de 2006, de la Subsecretaría, por la que se da publicidad al Acuerdo de encomienda de gestión del Ministerio de Justicia a la Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda, para la prestación de servicios de certificación de firma electró- nica y otros servicios relativos a la administración elec- trónica.
Con fecha 24 de julio de 2006, se ha suscrito el Acuerdo de encomienda de gestión por parte del Ministerio de Justicia a la Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda, para la prestación de servicios de certificación de firma electrónica y otros servicios relativos a la admi- nistración electrónica.
En cumplimiento de lo dispuesto en el artículo 15.3 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públi- cas y del Procedimiento Administrativo Común, procede la publicación en el Boletín Oficial del Estado de dicho Acuerdo, que figura como anexo a esta Resolución.
Lo que se hace público a los efectos oportunos.
Madrid, 3 xx xxxxxx de 2006.–La Subsecretaria de Justicia, Xxx Xxxxx de Xxxxxx Xxxxx.
ANEXO
ACUERDO DE ENCOMIENDA DE GESTIÓN POR PARTE XXX XXXXXXX- RIO DE JUSTICIA A LA FÁBRICA NACIONAL DE LA MONEDA Y XXX- BRE-REAL CASA DE LA MONEDA, PARA LA PRESTACIÓN DE SERVI- CIOS DE CERTIFICACIÓN DE FIRMA ELECTRÓNICA Y OTROS SERVICIOS RELATIVOS A LA ADMINISTRACIÓN ELECTRÓNICA
En Madrid, a 00 xx Xxxxx xx 0000
XXXXXXXX
De una parte, la señora xxxx Xxx Xxxxx de Xxxxxx Xxxxx, Subsecreta- ria de Justicia en virtud de nombramiento efectuado por Real Decreto 601/2004, de 00 xx xxxxx (X.X.X. xx 00 xx xxxxx), en uso de las atribuciones que le confieren los artículos 15 de la Ley 6/1997, de 14 xx xxxxx, de Orga- nización y Funcionamiento de la Administración del Estado, y 7.2.i) del Real Decreto 1475/2004, de 18 xx xxxxx, por el que se desarrolla la estruc- tura orgánica básica del Ministerio de Justicia (B.O.E. núm. 148, del día 19), así como el artículo 15 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, actuando en representación del Ministerio de Justicia.
Y de otra, el Sr. X. Xxxxx Xxxxxxx Xxxxxxx, Director General de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT- RCM), actuando en representación de esta Entidad Pública Empresarial, en virtud de las competencias que le atribuye el artículo 19 del Estatuto aprobado por Real Decreto 1114/1999, de 25 xx xxxxx y de su nombra- miento mediante el Real Decreto 802/2004, de 00 xx xxxxx (XXX xx 00 xx xxxxx).
Reconociéndose ambas partes la capacidad legal necesaria para for- malizar el presente Acuerdo de Encomienda de Gestión,
EXPONEN
Primero.–La Ley 59/2003, de 19 de diciembre, de firma electrónica, establece las bases de regulación de la firma electrónica, su eficacia jurí- dica y la prestación de servicios de certificación, tanto para el sector público como el privado. El artículo 4 de esta Ley, establece el empleo de la firma electrónica en el ámbito de las Administraciones Públicas, para que, con el objetivo básico de salvaguardar las garantías de cada procedi- miento, se puedan establecer condiciones adicionales, como la imposi- ción de fechas electrónicas sobre los documentos de la misma naturaleza, que integren un expediente administrativo.
La Disposición adicional cuarta de la Ley 59/2003, constata la especia- lidad en la regulación que afecta a la actividad de la FNMT-RCM, al referir que, lo dispuesto en esa ley, se entiende sin perjuicio de lo establecido en el artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social.
Segundo.–El citado artículo 81 de la Ley 66/1997, de 30 de diciembre, faculta a la FNMT-RCM para prestar los servicios técnicos y administrati- vos necesarios para garantizar la seguridad, validez y eficacia en la emi- sión y recepción de comunicaciones y documentos a través de técnicas electrónicas, informáticas y telemáticas (EIT), entre otros, entre las per- sonas físicas y jurídicas con la Administración General del Estado y con los organismos públicos vinculados o dependientes de ella. Tal artículo, modificado y ampliado mediante las Leyes 55/1999, 14/2000, 44/2002, 53/2002 y 59/2003, trae causa del mandato para el impulso del empleo y la aplicación de técnicas y medios EIT, en el desarrollo de la actividad y el ejercicio de las competencias de las Administraciones Públicas, según establece el artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Adminis- trativo Común, cuando sea de aplicación.
Asimismo, el mismo artículo 81 –en su apartado dos– habilita la pres-
tación, por la FNMT-RCM de los servicios antes señalados, a las Comuni- dades Autónomas, entidades locales, organismos públicos y entidades de derecho público, vinculadas o dependientes de ellas, siempre que, previa- mente, se hayan formalizado los convenios o acuerdos procedentes.
En relación con las actividades de identificación y registro, la FNMT- RCM, podrá celebrar convenios con personas, entidades y corporaciones que ejerzan funciones públicas en los que se establezcan las condiciones en las que éstas puedan participar en tales actividades.
Tercero.–El Real Decreto 1317/2001, de 30 de noviembre, por el que se desarrolla el artículo 81, antes citado, regula el régimen de prestación de servicios de seguridad por la FNMT-RCM en la emisión y recepción de comunicaciones y escritos a través de medios y técnicas electrónicas, informáticas y telemáticas. Su artículo 6 faculta a la FNMT-RCM a conve- nir con las entidades incluidas en su ámbito de aplicación, entre las que se encuentra el Ministerio de Justicia, los términos que deben regir la presta- ción de sus servicios en relación con las comunicaciones empleando téc- nicas y medios electrónicos, informáticos y telemáticos.
Como desarrollo de los artículos 38.9, 45 y 59.3 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, (según los apartados añadidos –al primer y tercer de los artículos citados por la Ley 24/2001, de 27 de diciembre–) se aprobó el Real Decreto 209/2003, de 21 de febrero, por el que se regulan los regis- tros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos, que establece una regulación específicamente dirigida al desarrollo e implantación de la administración electrónica dentro de la Administración del Estado; que modifica el Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas para la Administración General del Estado, y el Real Decreto 772/1999, de 7 xx xxxx, por el que se regula la presentación de solicitudes, escritos y comunicaciones ante la Administración General del Estado, la expedición de copias de documentos y devolución de origi- nales y el régimen de las oficinas de registro.
La Orden PRE/1551/2003, de 10 xx xxxxx, desarrolla la disposición final primera del antes citado Real Decreto 209/2003, estableciendo los requisi- tos de autenticidad, integridad, disponibilidad y confidencialidad de los dispositivos y aplicaciones de registro y notificación, así como los proto- colos y criterios técnicos a los que deben sujetarse y, las condiciones que ha de reunir el órgano, organismo o entidad habilitada para la prestación del servicio de dirección electrónica única así como las condiciones de su prestación.
Cuarto.–El artículo 2 del Estatuto de la FNMT-RCM, aprobado por Real Decreto 1114/1999, de 25 xx xxxxx, reconoce como fines de la Enti- dad la prestación, en el ámbito de las Administraciones Públicas, o sus Organismos Públicos, vinculados o dependientes, de servicios de seguri- dad, técnicos y administrativos, en las comunicaciones a través de técni- cas y medios electrónicos, informáticos y telemáticos (EIT) así como la expedición, fabricación y suministro de títulos o certificados de usuarios, de acuerdo con lo que establezcan las disposiciones legales correspon- dientes.
La Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda es una entidad pública empresarial dependiente de la Administración Gene- ral del Estado, adscrita al Ministerio de Economía y Hacienda, el cual, a través de la Subsecretaría de Economía y Hacienda ejerce respecto de ella la dirección estratégica y el control de eficacia; y le incumben como funciones más destacadas la acuñación de monedas e impresión xx xxxxx- tes del Banco de España y la prestación, en el ámbito de las Administra- ciones públicas y sus organismos públicos, vinculados o dependientes, de servicios de seguridad, técnicos y administrativos, en las comunicaciones a través de técnicas y medios electrónicos, informáticos y telemáticos (EIT), así como la expedición, fabricación y suministro de títulos o certi- ficados de usuario o soportes en tarjeta necesarios a tal fin. Todo ello de acuerdo con lo establecido en el Real Decreto 1114/1999, de 25 xx xxxxx, por el que se aprueba su Estatuto.
Quinto.–El Ministerio de Justicia es el departamento de la Administra-
ción General del Estado al que corresponde, dentro del ámbito de las competencias que le confieren las disposiciones legales vigentes, la pre- paración y ejecución de la política del Gobierno en materia de derecho penal, civil, mercantil y procesal, derechos y libertades religiosas y de cultos, derechos xx xxxxxx y títulos nobiliarios y grandezas de España, la política de organización y apoyo de la Administración de Justicia, la cooperación jurídica internacional, así como con las comunidades autó- nomas en coordinación con los demás departamentos competentes en la materia, y la asistencia jurídica al Estado, de conformidad con el Real Decreto 1475/2004, por el que se desarrolla su estructura orgánica.
Asimismo, entre las funciones que el artículo 7 del Real Decreto de estructura orgánica atribuye a la Subsecretaría de Justicia, se encuentra la relativa a la elaboración y ejecución de los planes informáticos y de tecnologías de la información y comunicación del departamento, el diseño, programación, implantación y mantenimiento de las aplicaciones informáticas y la prestación de asistencia técnica en la materia a los dis- tintos órganos del ministerio, sin perjuicio de las competencias de otras unidades al respecto y de la debida coordinación con éstas.
Sexto.–Que, en virtud de las razones ahora expuestas, no resulta con- veniente, por razones de seguridad y para facilitar a los ciudadanos las relaciones administrativas, que la colaboración entre el Ministerio de Justicia y la FNMT-RCM (Entidad Pública adscrita al Ministerio de Econo- mía y Hacienda) se instrumente a través de los diferentes tipos contrac- tuales previstos en la legislación de contratos de las administraciones públicas, por tratarse de actuaciones entre instituciones públicas que ejercen sus respectivas competencias y facultades. En este sentido, se considera que esta coactuación administrativa debe formalizarse –en esta fase– a través del instrumento jurídico de la encomienda de gestión, al margen de una relación estrictamente contractual. Todo ello, de acuerdo con lo dispuesto en las siguientes disposiciones: artículo 15, de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administracio- nes Públicas y del Procedimiento Administrativo común; artículo 3.1.l), del R.D. Legislativo 2/2000, de 16 xx xxxxx, por el que se aprueba el Texto Refundido de la Ley de Contratos de las Administraciones Públicas (modificado por el Real Decreto-ley 5/2005, de 11 xx xxxxx, de reformas urgentes para el impulso de la productividad y para la mejora de la contra- tación pública); y, finalmente, artículo 3.4, último párrafo, del Real Decreto 1114/1999, de 25 xx xxxxx, por el que se adapta la Fábrica Nacio- nal de Moneda y Timbre a la ley 6/1997, de 14 xx xxxxx, de Organización y Funcionamiento de la Administración General del Estado, se aprueba su Estatuto y se acuerda su denominación como Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda.
Séptimo.–Estando ambas partes interesadas en procurar la máxima
extensión de la prestación de estos servicios para facilitar a los ciudada- nos las relaciones administrativas a través de las técnicas y medios elec- trónicos, informáticos y telemáticos (EIT), y de conformidad con lo pre- visto en el apartado cinco del artículo 81 de la Ley 66/1997, de 30 de diciembre, en redacción dada por la Disposición adicional vigésima sexta de la Ley 14/2000, de 29 de diciembre, de medidas fiscales, administrativas
y del orden social, se procede a la formalización del presente Acuerdo de Encomienda de Gestión con arreglo a las siguientes
CLÁUSULAS
Primera.–Objeto:
1. Constituye el objeto del presente Acuerdo de Encomienda de Ges- tión, de conformidad con la previsión recogida en el artículo 15 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administracio- nes Públicas y del Procedimiento Administrativo Común, la encomienda de gestión por el Ministerio de Justicia a la Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda, para la prestación de los servicios téc- nicos, administrativos y de seguridad necesarios en orden a garantizar la validez y eficacia de la emisión y recepción de comunicaciones y docu- mentos producidos a través de técnicas y medios EIT en el ámbito de actuación del Ministerio de Justicia con las condiciones técnico-adminis- trativas que en las cláusulas siguientes se estipulan.
2. En particular, la FNMT-RCM prestará los servicios esenciales que al efecto se enumeran en el capítulo I del anexo I de este Acuerdo de Encomienda de Gestión. También prestará a petición del Ministerio de Justicia cualquiera, o la totalidad, de los servicios avanzados que al efecto se enumeran en el capítulo II del mismo anexo I de este Acuerdo.
Segunda.–Ámbito de aplicación: La FNMT-RCM prestará servicios EIT a las personas que tengan la condición de usuarios de acuerdo con la normativa vigente y las cláusulas de este Acuerdo de Encomienda de Gestión, cuando los usuarios se relacionen con el Ministerio de Justicia en el marco de sus respectivas competencias. A tal efecto, el Ministerio de Justicia asume que los certificados (títulos de usuario) que expida la FNMT-RCM son universales y que por tanto servirán para las relaciones jurídicas que al efecto mantengan los usuarios con las diferentes Adminis- traciones públicas y, en su caso, en el ámbito privado que admitan la utili- zación de estos certificados, en sus registros, procedimientos y trámites. De igual forma los certificados que haya expedido o expida la FNMT- RCM, en el ámbito público de actuación, podrán ser utilizados por los usuarios en sus relaciones con el Ministerio de Justicia cuando así lo
admita el ordenamiento jurídico.
Tercera.–Obligaciones de las partes para la prestación efectiva de los servicios objeto del acuerdo de encomienda de gestión:
1. Para la prestación efectiva de los servicios objeto del Acuerdo de Encomienda de Gestión, la FNMT-RCM se compromete a:
Aportar la infraestructura técnica y organizativa que a tal efecto, se requiera.
Aportar los derechos de propiedad industrial e intelectual necesarios, garantizando su pacífico goce.
Prestar la asistencia técnica que se precise con objeto de facilitar al Ministerio de Justicia la información necesaria para el buen funciona- miento de los sistemas.
Actualizar tecnológicamente los sistemas, de acuerdo con el estado de la técnica, sin perjuicio de la aprobación de los requisitos técnicos corres- pondientes por el Consejo Superior de Informática y para el impulso de la Administración Electrónica o, en su caso, por el órgano competente.
Emitir sellos de tiempo en las comunicaciones electrónicas, informáti- cas y telemáticas que tengan lugar al amparo del presente Acuerdo de Encomienda de Gestión a petición del Ministerio de Justicia.
Aportar la tecnología necesaria para que las obligaciones de la otra Parte firmante del Acuerdo de Encomienda de Gestión, puedan ser reali- zadas; en particular las aplicaciones necesarias para la constitución de las oficinas de acreditación y la tramitación de las solicitudes de emisión de certificados electrónicos.
Tener disponible para consulta del Ministerio de Justicia y de los usua- xxxx una Declaración de Prácticas de Certificación (DPC), que contendrá, al menos, las especificaciones establecidas en el artículo 19 de la Ley 59/2003, de 19 de diciembre, de firma electrónica. Tal DPC, estará dispo- nible en la dirección electrónica (URL) siguiente:
xxxx://xxx.xxxx.xxxx.xx/xxxxxxxx/xxx.xxx.
Esta DPC, podrá ser consultada por todos los interesados y podrá ser modificada por la FNMT-RCM, por razones legales o de procedimiento. Las modificaciones serán comunicadas a los usuarios a través de avisos en su dirección electrónica.
En todo caso los medios técnicos y tecnología empleados por la FNMT-RCM permitirán demostrar la fiabilidad del servicio de certifica- ción electrónica, la constatación de la fecha y hora de expedición, suspen- sión o revocación de un certificado, la fiabilidad de los sistemas y produc- tos, los cuáles contarán con la debida protección contra alteraciones, así como con los niveles de seguridad técnica y criptográfica idóneos depen- diendo de los procedimientos donde se utilicen, la comprobación de la identidad del titular del certificado y, en su caso, y exclusivamente frente
a la parte o entidad a través de la cual se ha identificado y registrado al titular del certificado, los atributos pertinentes, así como, en general, los que resulten de aplicación de conformidad con la normativa comunitaria o nacional correspondiente.
2. Por su parte, el Ministerio de Justicia se compromete a:
Emitir, cuando proceda, el recibo de presentación, en su caso firmado electrónicamente, donde se haga constancia expresa de la fecha y hora de recepción de las comunicaciones recibidas, de conformidad con lo dis- puesto en la normativa aplicable.
Conservar las notificaciones, comunicaciones o documentación emi- tida y recibida en las transacciones durante el tiempo pertinente.
Cifrar las comunicaciones emitidas y recibidas.
Realizar las actividades de identificación previa a la obtención del certificado electrónico y, en su caso, de comprobación y suficiencia de los atributos correspondientes, en calidad de Oficina de Acreditación la FNMT-RCM.
A tal efecto, el Ministerio de Justicia dispondrá de una red de oficinas de acreditación que deberán contar con los medios informáticos precisos para conectarse telemáticamente con la FNMT-RCM. En ellas, la acredita- ción e identificación de los solicitantes de los certificados exigirá la com- probación de su identidad y de su voluntad de que sea expedido un certi- ficado electrónico y, en su caso, de las facultades de representación e idoneidad para la obtención del certificado correspondiente, y se verifi- cará de conformidad y con pleno respeto a lo dispuesto en la normativa aplicable.
Las aplicaciones informáticas necesarias para llevar a cabo las activi- dades de acreditación e identificación serán facilitadas por la FNMT- RCM, tales aplicaciones serán tecnológicamente compatibles en función de los avances tecnológicos y el estado de la técnica.
El número y ubicación de las oficinas de acreditación donde se lleva- rán a cabo las actividades de identificación, recepción y tramitación de solicitudes de expedición de certificados electrónicos será la que se recoge en el Anexo II de este Acuerdo de Encomienda de Gestión. Cual- quier modificación o alteración de dicha relación o de la ubicación de las oficinas deberá ser comunicada a la FNMT-RCM, quien dará la oportuna difusión para mantener permanentemente actualizada la relación de la red de oficinas de acreditación para la obtención de certificados electró- nicos en los términos previstos en el Real Decreto 1317/2001, de 30 de noviembre.
Las oficinas de acreditación del Ministerio de Justicia se integrarán en la Red de Oficinas de Acreditación a las que los ciudadanos pueden diri- girse para obtener un certificado electrónico expedido por la FNMT-RCM con observancia de lo dispuesto en la normativa aplicable. Las acredita- ciones realizadas por las personas, entidades y corporaciones a que se refiere el apartado nueve del artículo 81 de la Ley 66/1997, de 30 de diciembre, y por los diferentes órganos y organismos públicos de la Red de Oficinas de Acreditación, surtirán plenos efectos y serán válidas para su aceptación por cualquier administración pública que admita los certifi- cados de emitidos por la FNMT-RCM.
Las solicitudes de emisión y revocación y/o suspensión, en su caso, de certificados se ajustarán a los modelos recogidos en el Anexo III.
Cuarta.–Precio y condiciones de pago: La FNMT-RCM percibirá, por los servicios EIT prestados al Ministerio de Justicia la cantidad de veinti- siete mil euros /año, (27.000,00 €/año) IVA incluido, cantidad que se incre- mentará, en su caso, a partir de la primera anualidad, aplicando la varia- ción del IPC publicado en los doce meses anteriores de acuerdo con el índice aprobado por el I.N.E, tomando como referencia el del año de la firma del Acuerdo de Encomienda de Gestión. La aplicación de este pre- cio se establece en los Capítulos I y II del Anexo IV.
Si hubiera petición expresa de servicios avanzados hecha por el Minis- terio de Justicia la cantidad anterior quedaría incrementada por el importe correspondiente que de la aplicación de las tablas del Capítulo II del Anexo IV de Precios y Plan de Implantación del presente Acuerdo de Encomienda de Gestión se dedujera.
La FNMT-RCM, podrá realizar facturaciones mensuales contra certifica- ciones parciales conformadas por el Ministerio de Justicia, mediante el prorrateo de la cantidad anual a abonar por el Ministerio de Justicia, pudiendo, además, liquidar en tales facturas mensuales aquellos servicios adicionales solicitados. El abono de las facturas se realizará mediante trans- ferencia bancaria a la cuenta de la FNMT (BBVA 0182.7598.19.0201501336) en un plazo no superior a 30 días fecha de factura.
En caso de que se produzcan prórrogas del presente Acuerdo de Enco- mienda de Gestión, y no se acordara la revisión del régimen económico del presente Acuerdo, el precio anual de cada una de las prórrogas será actualizado, mediante la aplicación del Índice de Precios de Consumo, IPC (índice general interanual), publicado y correspondiente al mes en que se produzca la actualización.
Las facturas de la FNMT-RCM se emitirán a nombre del Ministerio de Justicia:
Denominación: Ministerio de Justicia (Subsecretaría). Calle: Xxx Xxxxxxxx, 00.
Xxxxxxxxx: Xxxxxx. Xxxxxxxxx: Madrid. NIF/CIF: S-2813610-I.
Departamento o persona de contacto / Teléfono: División de Informá- tica y Tecnologías de la Información.–Xxxxxxx X. Xxxxxxxxx Xxxxxxx.– Teléfono 000000000.
Quinta.–Régimen de prestación de los servicios: La prestación de los servicios EIT a que se refiere la cláusula primera, se realizará atendiendo a lo establecido en el Anexo I.
A tal efecto, ambas partes se comprometen a asumir las obligaciones necesarias a este fin. Igualmente, el Ministerio de Justicia se obliga a velar frente a los usuarios por el cumplimiento de las obligaciones que le correspondan como encargada de la identificación, acreditación y/o registro de usuarios y de la recepción y tramitación de solicitudes de expedición, revocación y, en su caso, suspensión de certificados electró- nicos.
Sexta.–Plazo de duración: El Acuerdo de Encomienda de Gestión entrará en vigor el día de su firma y se extenderá hasta el 31 de diciembre de 2006. Se producirá la prórroga automática del mismo, por años natura- les, si no mediara denuncia de ninguna de las partes con dos meses de antelación a su vencimiento o al de cualquiera de sus prórrogas.
Las partes podrán proponer la revisión del Acuerdo de Encomienda de Gestión en cualquier momento de su vigencia, a efectos de incluir, de mutuo acuerdo, las modificaciones que resulten pertinentes.
Septima.–Responsabilidad: La FNMT-RCM como prestador de los servicios citados en la cláusula primera, y el Ministerio de Justicia como usuario público del sistema y partícipe en el procedimiento de identifica- ción, acreditación y registro de los usuarios, responderán cada una en el ámbito de sus respectivas funciones de los daños y perjuicios que causara el funcionamiento del sistema de acuerdo con las reglas generales del ordenamiento jurídico que resultaran de aplicación y de conformidad con las obligaciones asumidas a través del presente Acuerdo de Encomienda de Gestión.
La FNMT-RCM, dado el mandato legal de extensión de los servicios, limita su responsabilidad, siempre que su actuación o la de sus empleados no se deba a dolo o negligencia grave, hasta un importe anual del presente Acuerdo de Encomienda de Gestión incrementado en un 10% como máximo.
Octava.–Resolución: El Acuerdo de Encomienda de Gestión podrá resolverse por parte del Ministerio de Justicia cuando existiera manifiesta falta de calidad del servicio por parte de la FNMT-RCM o incumplimiento grave de las obligaciones de ésta en el desarrollo de su actividad.
La FNMT-RCM podrá instar la resolución del Acuerdo de Encomienda de Gestión por falta de pago del precio convenido o por incumplimiento grave de las obligaciones que corresponden al Ministerio de Justicia y que figuran en las cláusulas de este Acuerdo.
Novena.–Protección de datos: El régimen de protección de datos de carácter personal derivados de este Acuerdo de Encomienda de Gestión y de la actuación conjunta de los dos organismos será el previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en su normativa de desarrollo. Los ficheros de la FNMT-RCM serán de titularidad pública y su creación, modificación o supresión se realizará por disposición general publicada en el Boletín Oficial del Estado, (Orden del Ministerio de Economía de 11 de diciembre de 2001, BOE de 28 de diciembre).
Los ficheros del Ministerio de Justicia, serán de titularidad pública y su creación, modificación o supresión se realizará por disposición de carácter general publicada en el BOE.
Décima.–Derecho aplicable y resolución de conflictos: La prestación de los servicios de certificación contemplados en el presente Acuerdo de Encomienda de Gestión se realizará con sujeción a la regulación conte- nida en la Ley 59/2003, de 19 de diciembre, de firma electrónica, el ar- tículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social y su normativa de desarrollo, así como a las disposiciones que sean de aplicación y en su caso, cuantas disposi- ciones se dictaren, durante la vigencia del Acuerdo y que afectaren al objeto del mismo.
El presente Acuerdo de Encomienda de Gestión tiene naturaleza admi- nistrativa. Las partes se comprometen a resolver de mutuo acuerdo las incidencias que pudieran surgir en su interpretación y cumplimiento.
Undécima.–Régimen jurídico: El presente Acuerdo de Encomienda de Gestión se celebra al amparo del artículo 3.1.l) del Texto Refundido de la Ley de Contratos de las Administraciones Públicas, quedando excluido de su regulación; se regirá por sus normas especiales, aplicándose no obstante los principios de aquél para resolver las dudas y lagunas que pudieran presentarse.
Duodécima.–Inicio de la prestación: El presente Acuerdo de Enco- mienda de Gestión surtirá efectos desde el momento de su firma, previa
aprobación o siempre que sea ratificado, según xxxxxxx, por el Consejo de Administración de la FNMT-RCM, iniciándose la prestación del servi- cio el día siguiente a su firma. En caso de ratificación, la FNMT-RCM, comunicará al Ministerio de Justicia tal hecho para su debida constan- cia.
Y, en prueba de conformidad, ambas partes suscriben el presente Acuerdo de Encomienda de Gestión y todos sus Anexos en el lugar y fecha indicados en el encabezamiento.–La Subsecretaria de Justicia, Xxx Xxxxx de Xxxxxx Xxxxx.–El Director General de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, Xxxxx Xxxxxxx Xxxxxxx.
ANEXO I
Servicios a prestar
CAPÍTULO I
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM), como prestador de servicios de certificación, emitirá para todo aquel usuario que lo solicite un conjunto de certificados, denomi- nado «Certificado Básico» o «Título de Usuario», que permite al Titular del mismo comunicarse con otros usuarios, de forma segura.
El formato de los certificados utilizados por la FNMT-RCM se basa en el definido por la Unión Internacional de Telecomunicaciones, sec- tor de normalización de las telecomunicaciones, en la Recomendación UIT-T X.509, de 31 xx Xxxxx de 2000 o superiores (ISO/IEC 9594-8 de 2001). El formato será el correspondiente a la Versión 3 del certificado, especificado en esta norma.
El certificado será valido para el uso con protocolos de comunicación estándares xx xxxxxxx, tipo SSL, TLS, etc.
Como servicios de certificación asociados para el uso de los certifica- dos por parte de sus titulares, la FNMT-RCM ofrecerá los siguientes servi- cios técnicos:
Registro de usuarios.
Emisión, revocación y archivo de certificados de clave pública. Publicación de certificados y del Registro de Certificados.
Registro de eventos significativos.
Generación y gestión de claves.
Generación y gestión de las claves:–En el procedimiento de obtención de certificados, la FNMT-RCM desarrollará los elementos necesarios para activar, en el puesto del solicitante, el software que genere a través de su navegador web, un par de claves, pública y privada, que le permitirá fir- mar e identificarse, así como proteger la seguridad de sus comunicacio- nes a través de mecanismos de cifrado.
Las claves privadas serán utilizadas bajo el control del software de navegación web del que disponga el propio usuario, enviando todas las claves públicas a la FNMT-RCM con el fin de integrarlas en un certifi- cado.
Las claves privadas de firma, permanecerán siempre bajo el control exclusivo de su titular, y guardadas en el soporte correspondiente, no guardándose copia de ellas por la FNMT-RCM.
La FNMT-RCM garantizará que el usuario, Titular del certificado, puede tener el control exclusivo de las claves privadas correspondientes a las claves públicas que se consignan en el certificado, mediante la obtención de las pruebas de posesión oportunas, a través de la adjudica- ción del número de identificación único.
Archivo de las claves públicas.–Las claves públicas de los usuarios permanecerán archivadas, por si fuera necesaria su recuperación, en archivos seguros, tanto física como lógicamente, durante un periodo no menor de 15 años.
Exclusividad de las claves.–Las claves privadas son exclusivas para los Titulares de los certificados y son de uso personal e intransferible.
Las claves públicas son exclusivas para los Titulares de los certifica- dos, independientemente del soporte físico donde estén almacenadas y protegidas.
Renovación de claves.–La FNMT-RCM identifica una relación uno a uno entre la clave pública de un usuario y su certificado de clave pública, no previéndose utilizar distintos certificados para una misma clave. Es por esto que las claves se renovarán con los certificados cuando dicha renovación esté contemplada en la normativa específica aplicable.
Registro de usuarios.
Registro de usuarios:.–El registro de usuarios es el procedimiento a través del cual se identifica al solicitante de un certificado electrónico, se comprueba su personalidad y se constata su efectiva voluntad de que le sea emitido el «Certificado Básico» o «Título de Usuario» por la FNMT-RCM. Este registro podrá ser realizado por la propia FNMT-RCM o cualquier otra Administración pública y, en su caso, por las demás personas, entida-
des o corporaciones habilitadas a tal efecto por las normas que resulten de aplicación. En todo caso el registro se llevará a cabo según lo dis- puesto por la FNMT-RCM, al objeto de que este registro se realice de acuerdo con lo establecido por la normativa específica aplicable y homo- géneo en todos los casos. De igual manera será la FNMT-RCM, quien defina y aporte los medios necesarios para la realización de este regis- tro.
En el caso de que el registro lo realizara una Administración Pública, distinta de la FNMT-RCM, la persona que se encargue de la actividad de registro ha de ser personal al servicio de la Administración Pública. En estos casos la FNMT-RCM, dará soporte a la implantación de las distintas oficinas de registro que se establezcan cuando fuere necesario, en los siguientes términos:
a) Aportación de la aplicación informática de registro.
b) Aportación de la documentación relativa a la instalación y manejo de la aplicación, así como toda aquella referente a los procedimientos y normas sobre el registro.
c) Registro y formación de los encargados del registro, lo que supone la emisión de un certificado emitido por la FNMT-RCM para cada encar- gado del registro, que permita garantizar la seguridad de las comunicacio- nes con la FNMT-RCM, incluyendo la firma electrónica de las solicitudes de registro.
Identificación de los solicitantes de los certificados, comprobación de su personalidad y constatación de su voluntad:
La identificación de los solicitantes de los certificados en las oficinas de registro y la comprobación de su personalidad se hará mediante la exhibición del Documento Nacional de Identidad, Pasaporte u otros medios admitidos en derecho.
En el acto de registro, el personal encargado de las oficinas de acredi- tación constatará que el solicitante tiene la voluntad de solicitar que le sea emitido un certificado electrónico por la FNMT-RCM y que éste reúne los requisitos exigidos por el ordenamiento jurídico.
Necesidad de presentarse en persona:
El procedimiento de registro requiere presencia física del interesado para formalizar el procedimiento de registro en la oficina de acreditación. No obstante, serán válidas y se dará el curso correspondiente a las solici- tudes de emisión de certificados electrónicos cumplimentadas según el modelo trascrito en el anexo III del presente Acuerdo de Encomienda de Gestión siempre que la firma del interesado haya sido legitimada notarial- mente en los términos señalados en el referido modelo.
Necesidad de confirmar la identidad de los componentes por la FNMT-RCM:
Si se trata de solicitudes relativas a certificados electrónicos a descar- gar en un servidor u otro componente, la FNMT-RCM requerirá la aporta- ción de la documentación necesaria que le acredite como responsable de dicho componente y, en su caso, la propiedad del nombre del dominio o dirección IP. (Certificado de componente no es un certificado reconocido ni se recoge en la legislación española).
Incorporación de la dirección de correo electrónico del titular al certi- ficado:
No es preceptiva la incorporación de la dirección de correo electró- nico del titular al certificado si bien se hará constar en él en el caso en que el titular aporte dicha dirección en el momento del registro.
Esta incorporación se realizará a los efectos de que el certificado pueda soportar el protocolo S/MIME en el caso de que la aplicación utili- zada por el usuario así lo requiera.
Cuando la dirección del correo electrónico del titular del certificado conste en una de las extensiones del propio certificado, ni la FNMT-RCM, como firmante y responsable del mismo, ni el Ministerio de Justicia como encargado del registro de usuarios responden de que esta dirección esté vinculada con el titular del certificado.
Obtención del «Certificado Básico» o «Título de usuario»:
Para la obtención de este certificado, así como para su revocación o suspensión, el solicitante deberá observar las normas y procedimientos desarrollados a tal fin por la FNMT-RCM de conformidad con la norma- tiva vigente aplicable.
Emisión, revocación y archivo de certificados de clave pública.
Emisión de los certificados.–La emisión de certificados supone la generación de documentos electrónicos que acreditan la identidad u otras propiedades del usuario y su correspondencia con la clave pública aso- ciada; del mismo modo, la emisión de los certificados implica su posterior envío al directorio de manera que sea accesible por todas las personas interesadas en hacer uso de sus claves públicas.
La emisión de certificados por parte de la FNMT-RCM, sólo puede realizarla ella misma, no existiendo ninguna otra entidad u organismo con capacidad de emisión de estos certificados.
La FNMT-RCM, por medio de su firma electrónica, garantizará los cer- tificados, así como la verificación de la identidad y cualesquiera otras circunstancias personales de sus titulares. Por otro lado, y con el fin de evitar la manipulación de la información contenida en los certificados, la FNMT-RCM utilizará mecanismos criptográficos para asegurar la autenticidad e integridad de dicho certificado.
La FNMT-RCM, una vez emitido el certificado, lo publicará y manten- drá una relación de certificados emitidos durante todo el periodo de vida del mismo en un servicio de acceso telemático, universal, en línea y siem- pre disponible.
La FNMT-RCM garantiza para un certificado emitido:
a) Que el usuario dispone de la clave privada correspondiente a la clave pública del certificado, en el momento de su emisión.
b) Que la información incluida en el certificado se basa en la infor- mación proporcionada por el usuario.
c) Que no omite hechos conocidos que puedan afectar a la fiabilidad del certificado.
Aceptación de certificados:–Para que un certificado sea publicado por la FNMT-RCM, ésta comprobará previamente:
a) Que el signatario es la persona identificada en el certificado.
b) Que el signatario tiene un identificativo único.
c) Que el signatario dispone de la clave privada.
El Ministerio de Justicia garantizará que, al solicitar un certificado electrónico, su titular acepta que:
a) La clave privada con la que se genera la firma electrónica corres- ponde a la clave pública del certificado.
b) Únicamente el titular del certificado tiene acceso a su clave pri- vada.
c) Toda la información entregada durante el registro por parte del titular es exacta.
d) El certificado será usado exclusivamente para fines legales y autorizados y de acuerdo con lo establecido por la FNMT-RCM.
e) El usuario final del certificado no es un Prestador de Servicios de Certificación y no utilizará su clave privada asociada a la clave pública que aparece en el certificado para firmar otros certificados (u otros for- xxxxx de certificados de clave pública), o listados de certificados, como un Prestador de Servicios de Certificación o de otra manera.
El Ministerio de Justicia garantizará que, al solicitar un certificado electrónico, su titular asume las siguientes obligaciones sobre su clave privada:
a) A conservar su control.
b) A tomar las precauciones suficientes para prevenir su pérdida, revelación, modificación o uso no autorizado.
Al solicitar el certificado, el titular deberá prestar su conformidad con los términos y condiciones de su régimen y utilización.
Revocación y suspensión de certificados electrónicos.–La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, dejará sin efecto los certificados electrónicos otorgados a los usuarios cuando concurra alguna de las siguientes circunstancias:
a) Solicitud de revocación del usuario, por la persona física o jurí- dica representada por éste o por un tercero autorizado.
b) Resolución judicial o administrativa que lo ordene.
c) Fallecimiento o extinción de la personalidad del usuario o incapa- cidad sobrevenida.
d) Finalización del plazo de vigencia del certificado.
e) Pérdida o inutilización por daños en el soporte del certificado.
f) Utilización indebida por un tercero.
g) Inexactitudes graves en los datos aportados por el usuario para la obtención del certificado.
h) Cualquier otra prevista en la normativa vigente.
La extinción de la eficacia de un certificado producirá efectos desde la fecha en que la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda tuviera conocimiento cierto de cualquiera de los hechos determi- nantes de la extinción previstos en el apartado anterior y así lo haga
constar en su Registro de certificados. En el supuesto de expiración del período de validez del certificado, la extinción surtirá efectos desde que termine el plazo de validez.
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda podrá suspender temporalmente la eficacia de los certificados si así lo solicita el usuario o lo ordena una autoridad judicial o administrativa, o cuando existan dudas razonables, por parte de cualquier usuario público, sobre la vigencia de los datos declarados y su verificación requiera la presencia física del interesado. En este caso, la FNMT-RCM podrá reque- rir, de forma motivada, su comparecencia ante la oficina de acreditación donde se realizó la actividad de identificación previa a la obtención del certificado o, excepcionalmente, ante otra oficina de acreditación al efecto de la práctica de las comprobaciones que procedan. El incumpli- miento de este requerimiento por un periodo de 10 días podrá dar lugar a la revocación del certificado.
La suspensión de los certificados surtirá efectos en la forma prevista para la extinción de su vigencia.
La extinción de la condición de usuario público se regirá por lo dis- puesto en el presente Acuerdo de Encomienda de Gestión o lo que se determine, en su caso, por la normativa vigente o por resolución judicial o administrativa.
Comunicación y publicación en el Registro de Certificados de circuns- tancias determinantes de la suspensión y extinción de la vigencia de un certificado ya expedido.
La FNMT-RCM suministrará al Ministerio de Justicia los mecanismos de la transmisión segura para el establecimiento de un servicio continuo e ininterrumpido de comunicación entre ambas a fin de que, por medios telemáticos o a través de un centro de atención telefónica a usuarios, se ponga de inmediato en conocimiento de la FNMT-RCM cualquier circuns- tancia de que tenga conocimiento y que sea determinante para la suspen- sión, revocación o extinción de la vigencia de los certificados ya expedi- dos, a fin de que se pueda dar publicidad de este hecho, de manera inmediata, en el directorio actualizado de certificados a que se refiere el artículo 18 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.
La FNMT-RCM pondrá a disposición de los titulares de los certificados un centro de atención de usuarios con disponibilidad de 24 horas durante los 365 días del año para la recepción, y en su caso tramitación de solici- tudes de revocación de certificados vigentes siguiendo un protocolo de identificación telefónica.
Además el citado centro de atención a los usuarios permitirá resolver cualquier duda o incidencia relativa a la validez o utilización de los certi- ficados.
El Ministerio de Justicia y la FNMT-RCM responderán de los daños y perjuicios causados por cualquier dilación que les sea imputable en la comunicación y publicación en el Registro de Certificados, respectiva- mente, de las circunstancias de que tengan conocimiento y que sean determinantes de la suspensión, revocación o extinción de un certificado expedido.
Publicación de certificados de clave pública y registro de certifica- dos.
Publicación de certificados de clave pública.–La FNMT-RCM publicará los certificados emitidos en un directorio seguro.
Cuando el certificado sea revocado, temporal o definitivamente, este será publicado en el Registro de certificados que incluirá una lista de cer- tificados revocados, comprensiva de los certificados expedidos por la FNMT-RCM cuya vigencia se ha extinguido o suspendido al menos hasta un año después de su fecha de caducidad.
Esta publicación puede ser:
a) Publicación directa por parte de la FNMT-RCM.–Esta operación la realiza la FNMT-RCM a través de la publicación en un directorio propio en que ofrece acceso a:
Listas de certificados revocados.
La actualización en el directorio seguro de los certificados se hará de la siguiente forma:
Los certificados revocados, en el momento de producir efectos la revocación.
La actualización en el directorio seguro de las listas de revocación se realizará de forma continuada.
La consulta de este directorio se realizará en línea, por acceso directo del usuario. Este servicio permite la disponibilidad continua y la integri- dad de la información almacenada en el directorio.
Tanto los certificados como las listas de revocación serán firmadas con la clave privada de firma de la FNMT-RCM.
b) Publicación en directorios externos.–La FNMT-RCM podrá publi- car externamente, en directorios públicos ofrecidos por otras entidades u Organismos, mediante replicación periódica o en línea, tanto certificados
como listas de certificados revocados. Estas listas, al igual que las publi- cadas internamente, irán firmadas con la clave privada de firma de la FNMT-RCM.
Frecuencia de la publicación en directorios externos:
La publicación en directorios externos a la FNMT-RCM podrá ser rea- lizada periódicamente o en línea, en función de los requerimientos de la entidad u Organismo que ofrezca el directorio.
Control de acceso:
En la publicación directa por parte de la FNMT-RCM, el acceso al directorio se realizará en función del tipo de usuario, de forma que:
a) Los órganos de la Administración General del Estado, así como los organismos públicos vinculados o dependientes de ella, tendrán acceso a todos los certificados sin ninguna restricción en cuanto a la información contenida en el directorio. El acceso se realizará con auten- ticación previa. Este acceso estará restringido a sólo lectura y búsqueda, pudiendo utilizar como clave de búsqueda cualquier información conte- nida en una entrada de un usuario.
b) Las Comunidades Autónomas, las Entidades Locales, así como los Organismos Públicos vinculados o dependientes de ellas, tendrán igualmente acceso a todos los certificados sin ninguna restricción en cuanto a la información contenida en el directorio. El acceso se realizará con autenticación previa. Este acceso estará restringido a sólo lectura y búsqueda, pudiendo utilizar como clave de búsqueda cualquier informa- ción contenida en una entrada de un usuario.
c) Los operadores y administradores de la infraestructura y los módulos internos, tendrán acceso a toda la información existente en el directorio, pudiendo realizar todo tipo de operaciones en función del perfil definido previamente por el Plan de Seguridad Integral. Este acceso se realizará con autenticación previa.
d) El resto de los usuarios, tendrán el acceso restringido a su propio certificado, y a los de los órganos de la Administración General del Estado, y organismos públicos vinculados o dependientes de ella, y a los de las Comunidades Autónomas, las entidades locales y las entidades de Derecho público vinculadas a ellas. El acceso será solamente de lectura, no pudiendo realizar operaciones para añadir, borrar, modificar o hacer listados de entrada en el directorio.
En cuanto a las listas de revocación, tanto las publicadas interna como externamente, el acceso será público y universal, para verificar este hecho.
Registro de eventos significativos.
Tipos de eventos registrados.–La FNMT-RCM registrará todos aquellos eventos relacionados con sus servicios que puedan ser relevantes con el fin de verificar que todos los procedimientos internos necesarios para el desarrollo de la actividad se desarrollan de acuerdo a la normativa legal aplicable y a lo establecido en el Plan de Seguridad Interna, y permitan detectar las causas de una anomalía detectada.
Todos los eventos registrados son susceptibles de auditarse por medio de una auditoría interna o externa.
Frecuencia y periodo de archivo de un registro de un evento.–La fre- cuencia de realización de las operaciones de registro dependerá de la importancia y características de los eventos registrados (bien sea para salvaguardar la seguridad del sistema o de los procedimientos), garanti- zando siempre la conservación de todos los datos relevantes para la veri- ficación del correcto funcionamiento de los servicios.
El periodo de archivado de los datos correspondientes a cada registro dependerá asimismo de la importancia de los eventos registrados.
Archivo de un registro de eventos.–La FNMT-RCM realizará una graba- ción segura y constante de todos los eventos relevantes desde el punto de vista de la seguridad y auditoría (operaciones realizadas) que vaya reali- zando, con el fin de reducir los riesgos de vulneración, mitigar cualquier daño que se produjera por una violación de la seguridad y detectar posi- bles ataques.
Este archivo está provisto de un alto nivel de integridad, confidencia- lidad y disponibilidad para evitar intentos de manipulación de los certifi- cados y eventos almacenados.
La FNMT-RCM mantendrá archivados todos los eventos registrados más importantes, manteniendo su accesibilidad, durante un periodo nunca inferior a 15 años.
En el caso del archivo histórico de los certificados, éstos permanece- rán archivados durante al menos 15 años.
Datos relevantes que serán registrados.–Serán registrados los siguien- tes eventos relevantes:
a) La emisión y revocación y demás eventos relevantes relacionados con los certificados.
b) Todas las operaciones referentes a la firma de los certificados por la FNMT-RCM.
c) Las firmas y demás eventos relevantes relacionados con las Listas de Certificados Revocados.
d) Todas las operaciones de acceso al archivo de certificados.
e) Eventos relevantes de la generación de claves.
f) Todas las operaciones del servicio de archivo de claves y del acceso al archivo de claves propias expiradas.
g) Todas las operaciones relacionadas con la recuperación de cla- ves.
Las funciones de administración y operación de los sistemas de archi- vado y auditoría de eventos serán siempre encomendadas a personal especializado de la FNMT-RCM.
Protección de un registro de actividad.–Una vez registrada la actividad de los sistemas, los registros no podrán ser modificados, ni borrados, permaneciendo archivados en las condiciones originales durante el periodo señalado.
Este registro tendrá sólo acceso de lectura, estando restringido a las personas autorizadas por la FNMT-RCM.
La grabación del registro, con el fin de que no pueda ser manipulado ningún dato, se realizará automáticamente por un software específico que a tal efecto la FNMT-RCM estime oportuno.
El registro auditado, además de las medidas de seguridad establecidas en su grabación y posterior verificación, estará protegido de cualquier contingencia, modificación, pérdida y revelación de sus datos durante su grabación en soportes externos, cambio de este soporte y almacena- miento de los mismos.
La FNMT-RCM garantiza la existencia de copias de seguridad de todos los registros auditados.
CAPÍTULO II
Servicio de Notificaciones Electrónicas.
La Fábrica Nacional de Moneda y Timbre como prestador de servicios de notificación electrónica dispone de un servicio regulado por la siguiente legislación:
Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social (art. 81).
Real Decreto 209/2003, de 21 de febrero, por el que se regulan los regis- tros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos (que modificó los Reales Decretos 263/1996, y 772/1991).
Orden PRE/1551/2003, de 10 xx xxxxx, por la que se desarrolla la dispo- sición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utili- zación de medios telemáticos para la sustitución de la aportación de cer- tificados por los ciudadanos.
El servicio será conforme con los criterios recogidos en dicha legisla- ción así como en el marco de los criterios de seguridad, normalización y conservación a los que se refiere el Real Decreto 263/1996, de 16 de febrero, a los requisitos de autenticidad, integridad, disponibilidad y con- fidencialidad de los dispositivos y aplicaciones de registro y notificación, así como los protocolos y criterios técnicos a los que deben sujetarse.
Dichos criterios de seguridad, normalización y conservación han sido objeto de informe favorable del Consejo Superior de Informática y para el impulso de la Administración Electrónica.
Descripción del servicio.–El servicio de notificaciones es un servicio de web mail con acuse de recibo, cuyo acceso se realizará mediante iden- tificación por procedimientos de firma electrónica. El servicio provee a los notificadores de un sistema de no repudio en destino.
Las notificaciones practicadas serán selladas y custodiadas electróni- camente. Las especificaciones del servicio de sellado de tiempo son las que se recogen en este mismo anexo y están basadas en las especificacio- nes del estándar RFC3161 –«Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP). Las especificaciones del servicio de custo- dia son las que se recogen en este mismo anexo.
El servicio de notificación electrónica se podrá complementar adicio- nalmente con un servicio de notificación tradicional para completar una solución de correo mixto.
Acceso al servicio.–El servicio será accesible a través de Internet por el cliente siempre que esté dado de alta en el sistema y esté en posesión de un certificado de verificación de firma electrónica emitido por la Fábrica Nacional de Moneda y Timbre, valido y no revocado así como de su correspondiente clave privada, lo que le permitirá identificarse mediante el uso de firma electrónica.
Las especificaciones de los certificados de verificación de firma elec- trónica son las que se recogen en el Capítulo I de este mismo anexo y están basadas en un certificado reconocido según la Recomendación UIT-T X.509, de 00 xx xxxxx xx 0000 x xxxxxxxxxx (ISO/IEC 9594-8
de 2001) de acuerdo con lo previsto en la legislación de firma electró- nica.
El acceso a los servicios contará con las debidas medidas de confiden- cialidad de modo que solo los clientes sean capaces de practicar notifica- ciones a las direcciones electrónicas. Dichas medidas de confidencialidad podrán al menos cifrar la información mediante el uso de alguno de los protocolos de comunicación estándares SSL, TLS, AES o similares, con una clave simétrica de intercambio de datos de al menos 128 bits mediante el uso de los algoritmos de cifrado más habituales.
La solicitud de acceso a los servicios se realizará por medios electró- nicos y mediante firma electrónica. La FNMT guardará la firma generada así como la prueba sellada de tiempo que permita confirmar la identidad del cliente así como su solicitud y el momento de la realización. De igual manera, la solicitud de baja en el servicio se realizará mediante los mis- mos procedimientos de firma y sellado de tiempo.
La FNMT guardará prueba firmada y con sello de tiempo de cada noti- ficación practicada y pondrá dicha información a disposición del notifica- dor, del notificado así como de las autoridades competentes de acuerdo a la legislación aplicable.
La FNMT, como prestador del servicio y a los únicos efectos de dar fe de lo acontecido, tendrá un acceso limitado a las notificaciones practicadas. Dicho acceso limitado no permitirá en ningún caso, a ningún empleado o colaborador externo de la FNMT, a titulo indivi- dual, el acceso a las notificaciones. El procedimiento de acceso se regulará en los procedimientos de seguridad internos y estará basado en un sistema de concurrencia de al menos 4 personas, con carácter ejecutivo dentro de la FNMT. Todo acceso será anotado en un libro de control de accesos donde se hará constar al menos, la fecha, la hora, el motivo justificado del acceso así como los intervinientes y su cualifi- cación.
Práctica de notificaciones.–Una Entidad Cliente podrá solicitar el ser- vicio de Notificación para enviar a los ciudadanos una información deter- minada, la cual quedará depositada en la dirección electrónica única (DEU) de estos. Esta notificación puede ser el envío de un fichero, de un texto o ambos (fichero y texto).
A continuación se presenta el flujo de datos correspondiente a esta operación:
El cliente solicita el servicio de Notificación enviando el mensaje requestNotification.
El servicio de Notificación realiza la autenticación y autorización de la solicitud.
Gestor Transaccional almacena el documento en la base de datos, quedando éste bajo custodia hasta la fecha de expiración de la custodia.
Gestor Transaccional genera y envía al cliente el mensaje de respuesta returnNotification.
Gestor Transaccional genera y envía el mensaje de correo electrónico con la notificación. Adicionalmente y de manera opcional puede mandar un mensaje a diversos destinatarios informando de que la notificación se ha llevado a cabo.
En caso que se informe el teléfono móvil de los ciudadanos y el flag de envío SMS esté marcado, a la vez de enviar el e-mail informando de la notificación, se enviará un SMS al teléfono móvil con la misma informa- ción (sin firmar).
El envío del e-mail informando de la recepción de la notificación, puede ser parametrizable para que se puedan llevar a cabo en periodos de baja actividad del Sistema (por ejemplo por la noche). En este caso, se dejará parametrizable la hora de inicio y fin del proceso de envío de estos e-mails con el aviso de las notificaciones.
También cabe la posibilidad de que este proceso se fuerce cuando se procese el servicio, pasando automáticamente al servidor de correo un lote con los destinatarios.
Descripción de las notificaciones.–Contenido del mensaje de petición de notificación requestNotification:
Identificador de Contrato. Tipo de operación.
Nombre del documento (en caso que contenga documento). Documento.
Lista con los destinatarios de e-recibo (e-mail). Texto para la notificación (cuerpo del mensaje).
Indicador de número de días para considerar rechazada la notifica- ción.
Flag para pedir acuse de recibo de notificación accedida. Flag para envío SMS.
Lista con los NIF’s de los ciudadanos a notificar. E-mail’s de los ciudadanos a notificar.
Teléfono móvil de los ciudadanos a notificar. Certificado digital del cliente.
Firma digital del cliente sobre el mensaje.
Contenido del mensaje de respuesta returnNotification:
Información sobre el resultado de la petición y posibles causas del problema si éste aparece.
Firma digital del servicio de notificación de la FNMT-RCM.
Prestaciones adicionales del sistema:
Los organismos o empresas pueden enviar los mensajes en batch, de tal modo que no tienen que teclearlos, y en un formato que al menos debe tener: NIF destinatario, mensaje firmado en PKCS#7, id organismo o empresa enviante.
Internamente los mensajes se guardan cifrados incluso para el admi- nistrador de la base de datos mediante un sistema de criptografía simé- trica (3DES).
El concepto de dirección electrónica no es el de cuenta de correo, sino que el servicio estará accesible en la URL (xxxx://xxx.xxxx.xxxx.xx/xxxxx0/ notificacionesmain.htm) a través de la opción <Acceso a su buzón de notificaciones>.
La autenticación de los destinatarios que acceden a coger el correo sea mediante SSL con certificado usuario de la FNMT-RCM.
Es parametrizable. Automáticamente a los x días de no recepción se puedan imprimir los mensajes que no se hayan leído.
El sistema de fechado digital que se emplea es el de la FNMT-RCM- CERES.
Dispone de un sistema de aviso mediante ficheros o consulta para que el organismo que envía pueda saber el estado de su envío.
Actualización tecnológica.–La FNMT someterá el servicio a la actuali- zación tecnológica constante que permita que la disponibilidad del servi- cio y el acceso al mismo cumpla en todo momento los criterios técnicos iniciales así como aquellos que fruto de los avances tecnológicos o del desarrollo normativo, le sean de aplicación.
Dicha actualización se realizará, tratando de evitar en la medida de lo posible, el cambio en los procedimientos seguidos hasta la fecha de la actualización por los titulares.
La FNMT notificará a los titulares con 2 meses de antelación las actua- lizaciones que pudieran causar modificaciones en los procedimientos de acceso a la dirección o de consulta del contenido depositado.
Prácticas del servicio.–La declaración detallada de prácticas del servi- cio se publicará en la dirección electrónica de la FNMT y podrá ser variada sin previo aviso. La variación no limitará el servicio.
Servicio de Custodia de documentos electrónicos.
La Fábrica Nacional de Moneda y Timbre como prestador de servicios de custodia de documentos electrónicos dispone de un servicio regulado por la siguiente legislación:
Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Adminis- traciones Públicas y del Procedimiento Administrativo Común.
Real Decreto 263/1996, de 16 de febrero, por el que se regula la utiliza- ción de técnicas electrónicas, informáticas y telemáticas por la Adminis- tración General del Estado.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informa- ción y de comercio electrónico.
El servicio será conforme con los criterios recogidos en dicha legisla- ción así como en el marco de los criterios de seguridad, normalización y conservación a los que se refiere el Real Decreto 263/1996, de 16 de febrero, a los requisitos de autenticidad, integridad, disponibilidad y con- fidencialidad de los dispositivos y aplicaciones de registro y notificación, así como los protocolos y criterios técnicos a los que deben sujetarse.
Dichos criterios de seguridad, normalización y conservación han sido objeto de informe favorable del Consejo Superior de Informática y para el impulso de la Administración Electrónica.
La custodia de las transacciones y documentos electrónicos es un factor importante en el desarrollo de las relaciones electrónicas entre partes ya que permiten dotar a las mismas de seguridad jurídica preven- tiva preconstituyendo tanto una prueba testimonial como documental de la realización de la transacción entre las partes.
Este sistema de custodia facilita la captura de cualquier transacción electrónica que se haya realizado en Internet proporcionando a la misma seguridad jurídica, esto es, garantizando que ninguna de las partes puede alterar a futuro el contenido de lo acordado.
Asimismo, como usuario informático en muchos momentos se hace necesario disponer de un almacenamiento de ficheros, formularios etc. que quede fuera de los avatares a los que nuestro propio PC pueda verse sometido, esto es, contar con un archivo seguro y remoto.
Descripción del servicio.–El servicio de custodia de documentos elec- trónicos es un servicio, cuyo acceso se realizará mediante identificación por procedimientos de firma electrónica. El servicio provee a los clientes de un sistema de depósito de documentos electrónicos realizado por un tercero capaz de dar fe de la existencia y contenido del documento.
Acceso al servicio.–El servicio será accesible a través de Internet por el cliente siempre que esté dado de alta en el sistema y esté en posesión de un certificado de verificación de firma electrónica emitido por la Fábrica Nacional de Moneda y Timbre, válido y no revocado así como de su correspondiente clave privada, lo que le permitirá identificarse mediante el uso de firma electrónica.
Las especificaciones de los certificados de verificación de firma elec- trónica son las que se recogen en el Capítulo I de este mismo anexo y están basadas en un certificado reconocido según la recomendación UIT-T X.509, de 00 xx xxxxx xx 0000 x xxxxxxxxxx (ISO/IEC 9594-8 de 2001) de acuerdo con lo previsto en la legislación de firma electrónica. El acceso a los servicios contará con las debidas medidas de confiden- cialidad de modo que solo los clientes o quienes estos designen sean capaces de almacenar documentos electrónicos y tener acceso a ellos. Dichas medidas de confidencialidad podrán al menos cifrar la informa- ción mediante el uso de alguno de los protocolos de comunicación están- dares SSL, TLS, AES o similares, con una clave simétrica de intercambio de datos de al menos 128 bits mediante el uso de los algoritmos de cifrado
más habituales.
La solicitud de acceso a los servicios se realizará por medios electró- nicos y mediante firma electrónica. La FNMT guardará la firma generada así como la prueba sellada de tiempo que permita confirmar la identidad del cliente así como su solicitud y el momento de la realización. De igual manera, la solicitud de baja en el servicio se realizará mediante los mis- mos procedimientos de firma y sellado de tiempo.
La FNMT custodiará el documento durante el tiempo acordado y dará prueba firmada de su existencia al depositante, a quien el depositante designe así como de las autoridades competentes de acuerdo a la legisla- ción aplicable.
La FNMT, como prestador del servicio y a los únicos efectos de dar fe de lo acontecido, tendrá un acceso limitado a los documentos. Dicho acceso limitado no permitirá en ningún caso, a ningún empleado o cola- borador externo de la FNMT, a titulo individual, el acceso a los documen- tos. El procedimiento de acceso se regulará en los procedimientos de seguridad internos y estará basado en un sistema de concurrencia de al menos 4 personas, con carácter ejecutivo dentro de la FNMT. Todo acceso será anotado en un libro de control de accesos donde se hará constar al menos, la fecha, la hora, el motivo justificado del acceso así como los intervinientes y su cualificación.
Deposito de documentos.–Una Entidad Cliente podrá solicitar el depó- sito de documentos electrónicos que se realizará en las instalaciones al efecto de la FNMT. Dicho servicio podrá ser limitado en función del volu- men de los documentos a depositar.
A continuación se presenta el flujo de datos correspondiente a esta operación.
El cliente solicita la custodia enviando el mensaje requestTime StampWithCustody.
El servicio de Custodia realiza la autenticación y autorización de la solicitud.
El Gestor Transaccional realiza una petición de fechado digital al módulo Servidor de Fechado Digital.
El Servidor de Fechado Digital genera un fechado digital estándar y lo almacena en la base de datos.
El Servidor de Fechado Digital envía el fechado al Gestor Transaccio- nal.
Gestor Transaccional almacena el documento en la base de datos, quedando éste bajo custodia hasta la fecha de expiración de la custodia.
Gestor Transaccional genera y envía al cliente el mensaje de respuesta returnTimeStampWithCustody.
Gestor Transaccional genera y envía el mensaje de correo electrónico informativo sobre la operación realizada a todos los destinatarios especi- ficados en el mensaje de solicitud (opcional).
Cuando se envía una petición de fechado al servidor de TSA, es obliga- xxxxx enviar el hash del documento. En el caso de solicitud de fechado, el servidor no dispone del documento, es por eso que el hash lo tiene que generar el Cliente, pero en el caso de custodia, el Cliente envía el docu- mento a la aplicación por lo tanto se puede generar el hash en los servido- res, quitando de esta forma carga de proceso a la aplicación Cliente.
Es por eso que para el caso de custodia, el mensaje que sale del API Cliente no incluye el hash del documento y será la aplicación de Xxxxxxxx quien al recibir el mensaje generará el hash utilizando el documento con- tenido en el mensaje y construirá el mensaje completo para el servidor de fechado.
De igual forma que en el punto anterior, este fechado digital se tendrá que guardar automáticamente en una ruta de la máquina definida para tal efecto cambiando el nombre del token de manera adecuada para que sea fácil reconocerlo y poderlo asociar al documento original (nombre_del_ documento_origen.fecha_de_la_petición.token.der).
Descripción de los mensajes.–Contenido del mensaje de petición de custodia de un documento requestTimeStampWithCustody:
Identificador de Contrato. Tipo de operación.
Nombre del documento.
Huella digital del documento (hash del documento) calculado en el Cliente.
Campo libre.
Documento cifrado con la clave simétrica. Clave simétrica cifrada con la clave pública. Lista con los destinatarios de e-recibo.
Tipo de identificador para cada destinatario.
Identificación para cada componente de la lista con los destinatarios de e-recibo.
Certificado digital del cliente.
Firma digital del cliente sobre el mensaje.
Contenido del mensaje de respuesta returnTimeStampWithCustody:
Información sobre el resultado de la petición y posibles causas del problema si éste aparece.
Fechado digital. Referencia de custodia. Firma digital del mensaje.
Recuperación de un documento en custodia.–Un documento bajo cus- todia podrá ser consultado o recuperado posteriormente por parte del cliente que lo entregó en custodia.
El cliente solicita la recuperación de un documento en custodia enviando el mensaje getDocument.
El servicio de custodia realiza la autenticación y autorización de la solicitud.
El Gestor Transaccional obtiene de la base de datos el fechado digital y el documento custodiado.
El Gestor Transaccional verifica si el fechado digital recibido en el mensaje de solicitud getDocument corresponde al documento y el fechado digital recuperado de la base de datos de Custodia. Esta verifica- ción consta de las siguientes fases:
Verificación la firma digital del fechado digital recibido.
Validación del fechado digital con el documento recuperado de la base de datos.
Validación que la fecha de expiración de la custodia no haya sido supe- rada.
En caso de una verificación correcta el Gestor Transaccional descifra el documento custodiado.
Gestor Transaccional genera y envía al cliente el mensaje de respuesta returnDocument.
Descripción de los mensajes.–Contenido del mensaje de petición de recuperación de documento bajo custodia getDocument:
Identificador de Contrato. Tipo de operación.
Fechado digital.
Certificado digital del cliente. Firma digital del cliente.
Contenido del mensaje de respuesta de petición de recuperación del documento returnDocument:
Información sobre el resultado de la petición y posibles causas del problema si éste aparece.
Nombre del documento.
El documento bajo custodia cifrado con la clave simétrica. Clave simétrica cifrada con la clave pública del cliente.
Fechado digital.
Firma digital del mensaje.
Actualización tecnológica.–La FNMT someterá el servicio a la actuali- zación tecnológica constante que permita que la disponibilidad del servi- cio y el acceso al mismo cumpla en todo momento los criterios técnicos iniciales así como aquellos que fruto de los avances tecnológicos o del desarrollo normativo, le sean de aplicación.
Dicha actualización se realizará, tratando de evitar en la medida de lo posible, el cambio en los procedimientos seguidos hasta la fecha de la actualización por los titulares.
La FNMT notificará a los titulares con 2 meses de antelación las actua- lizaciones que pudieran causar modificaciones en los procedimientos de acceso a la dirección o de consulta del contenido depositado.
Prácticas del servicio
La declaración detallada de prácticas del servicio se publicará en la dirección electrónica de la FNMT y podrá ser variada sin previo aviso. La variación no limitará el servicio.
Servicio de dirección electrónica.–La Fábrica Nacional de Moneda y Timbre como prestador de servicios de dirección electrónica pondrá a disposición de todo usuario que lo solicite una dirección en Internet que permitirá a su titular recibir las notificaciones reguladas por la siguiente legislación:
Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social.
Real Decreto 209/2003, de 21 de febrero, por el que se regulan los regis- tros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos.
Orden PRE/1551/2003, de 10 xx xxxxx, por la que se desarrolla la dispo- sición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utili- zación de medios telemáticos para la sustitución de la aportación de cer- tificados por los ciudadanos.
El servicio será conforme con los criterios recogidos en dicha legisla- ción así como en el marco de los criterios de seguridad, normalización y conservación a los que se refiere el Real Decreto 263/1996, de 16 de febrero, a los requisitos de autenticidad, integridad, disponibilidad y con- fidencialidad de los dispositivos y aplicaciones de registro y notificación, así como los protocolos y criterios técnicos a los que deben sujetarse.
Dichos criterios de seguridad, normalización y conservación han sido objeto de informe favorable del Consejo Superior de Informática y para el impulso de la Administración Electrónica.
Acceso a la dirección electrónica.–La dirección electrónica será acce- sible a través de Internet por el titular siempre que esté en posesión de un certificado de verificación de firma electrónica emitido por la Fábrica Nacional de Moneda y Timbre, válido y no revocado así como de su correspondiente clave privada, lo que le permitirá identificarse mediante el uso de firma electrónica.
Las especificaciones de los certificados de verificación de firma elec- trónica son las que se recogen en el Capítulo I de este mismo anexo y están basadas en un certificado reconocido según la Recomendación UIT-T X.509, de 00 xx xxxxx xx 0000 x xxxxxxxxxx (ISO/IEC 9594-8 de 2001) de acuerdo con lo previsto en la legislación de firma electró- nica.
El acceso a los servicios contará con las debidas medidas de confiden- cialidad de modo que solo el titular sea capaz de ver la información dispo- nible en su dirección electrónica. Dichas medidas de confidencialidad podrán al menos cifrar la información mediante el uso de alguno de los protocolos de comunicación estándares SSL, TLS, AES o similares, con una clave simétrica de intercambio de datos de al menos 128 bits mediante el uso de los algoritmos de cifrado más habituales.
La solicitud de acceso a los servicios se realizará por medios electró- nicos y mediante firma electrónica. La FNMT guardará la firma generada así como la prueba sellada de tiempo que permita confirmar la identidad del solicitante así como su solicitud y el momento de la realización. De igual manera, la solicitud de baja en el servicio se realizará mediante los mismos procedimientos de firma y sellado de tiempo.
Las especificaciones del servicio de sellado de tiempo son las que se recogen en este mismo anexo y están basadas en las especificaciones del estándar RFC3161 –«Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP).
La FNMT guardará prueba firmada y con sello de tiempo de cada acceso realizado a la dirección electrónica y pondrá dicha información a disposición de su titular así como a disposición de las entidades notifica- doras así como de las autoridades competentes de acuerdo a la legisla- ción aplicable.
La FNMT, como prestador del servicio y a los únicos efectos de dar fe de lo acontecido, tendrá un acceso limitado a los contenidos de la direc- ción electrónica. Dicho acceso limitado no permitirá en ningún caso, a ningún empleado o colaborador externo de la FNMT, a titulo individual, el acceso a la dirección electrónica. El procedimiento de acceso a la direc- ción electrónica se regulará en los procedimientos de seguridad internos y estará basado en un sistema de concurrencia de al menos 4 personas, con carácter ejecutivo dentro de la FNMT. Todo acceso será anotado en un libro de control de accesos donde se hará constar al menos, la fecha, la hora, el motivo justificado del acceso así como los intervinientes y su cualificación.
El titular podrá acceder a su dirección electrónica al menos, median- te el uso de los navegadores web que cumpla la especificación W3C HTML.4.01 o superior u otros medios generalmente aceptados. En el caso de que fuese necesaria la instalación de algún programa de ordena- dor específico, distinto a los mencionados, para el acceso a la dirección electrónica, éste será suministrado gratuitamente por la FNMT mediante descarga desde su dirección en Internet.
Contenido de la dirección electrónica.–La FNMT pondrá las medidas electrónicas, informáticas y telemáticas que permitan salvaguardar el
contenido de la dirección electrónica, así como evitar su eliminación o manipulación por entidades ajenas al servicio.
La FNMT pondrá las medidas de protección generalmente aceptadas para la protección del contenido de la dirección electrónica frente a código dañino, virus, etc. y las mantendrá debidamente actualizadas para evitar, en la medida de lo posible, los daños causados por este tipo de actuaciones.
La FNMT solicitará identificación previa mediante firma electrónica a cualquier entidad que desee depositar información de cualquier tipo en la dirección electrónica. Dicha información permitirá en caso de necesidad, identificar y suspender el acceso a la entidad que haga uso incorrecto de la dirección electrónica.
La FNMT avisará electrónicamente al titular de la dirección electró- nica de que se ha introducido información en la misma. Dicho aviso se realizará mediante el envío de correo electrónico, mensajería SMS u otros medios generalmente aceptados, que el titular haya declarado como váli- dos.
El acceso a los contenidos de la dirección electrónica deberá ser reali- zado previa firma electrónica cuando el depositario del contenido así lo requiera. En este caso, la FNMT guardará prueba del acceso al contenido con las mismas características explicadas para el acceso a la dirección electrónica.
El contenido estará disponible para su titular, al menos, el tiempo que el depositario de la información haya definido. El titular podrá acceder y descargar la información durante ese tiempo sin limite. Pasado ese plazo la FNMT se reserva el derecho a almacenar dicha información en sopor- tes electrónicos que no estén disponibles en línea.
Actualización tecnológica.–La FNMT someterá el servicio a la actuali- zación tecnológica constante que permita que la disponibilidad del servi- cio y el acceso al mismo cumpla en todo momento los criterios técnicos iniciales así como aquellos que fruto de los avances tecnológicos o del desarrollo normativo, le sean de aplicación.
Dicha actualización se realizará, tratando de evitar en la medida de lo posible, el cambio en los procedimientos seguidos hasta la fecha de la actualización por los titulares.
La FNMT notificará a los titulares con 2 meses de antelación las actua- lizaciones que pudieran causar modificaciones en los procedimientos de acceso a la dirección o de consulta del contenido depositado.
Precio del servicio.–El servicio de dirección electrónica será inicial- mente, gratuito para sus titulares, ya sean estos particulares o empresas. La modificación de las presentes condiciones será comunicada a sus titu- lares, al menos con 12 meses de antelación a su entrada en vigor.
Prácticas del servicio.–La declaración detallada de prácticas del servi- cio se publicará en la dirección electrónica de la FNMT y podrá ser variada sin previo aviso. La variación no limitará el servicio.
Servicio de fechado digital.–El fechado digital es un método para pro- bar que un conjunto de datos (datum) existió antes de un momento dado y además que ningún bit de estos datos ha sido modificado desde enton- ces.
Además, el fechado digital proporciona un valor añadido a la utiliza- ción de firma digital ya que ésta por sí sola no proporciona ninguna infor- mación acerca del momento de creación de la firma. Los certificados digitales utilizados por el algoritmo de la firma digital tienen un periodo de validez y por lo tanto, la firma sin el fechado digital, pasada la validez del certificado, siempre puede ser repudiada.
Para asociar los datos con un específico momento de tiempo es nece- sario utilizar una Autoridad de Xxxxxxx (TSA-Time Stamp Authority) como tercera parte de confianza. La definición del servicio del Fechado Digital está basada en las especificaciones del estándar RFC3161 –«Inter- net X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)». X xxxxx- nuación se describen brevemente algunos de los puntos del mencionado estándar que tienen mayor impacto en la definición de la solución final del servicio.
Estándares aplicables:
Se sigue la norma IETF-PKIX RFC-3161 y la correspondiente norma ISO 18014-2, en la cual la FNMT-RCM ha participado como elaboradores de la misma.
El estándar RFC3161 define entre otros, el formato de la solicitud de un fechado digital y de la respuesta generada por la TSA. También esta- blece los diferentes requerimientos de seguridad que debería cumplir una TSA.
Uno de estos requerimientos, es que todos los fechados digitales gene- rados por la TSA deberían estar firmados digitalmente por ella con la clave privada de un certificado digital válido emitido especialmente para este propósito.
Por otro lado el mencionado estándar especifica que los fechados digitales (tokens) generados por la TSA no pueden incluir ninguna identi- ficación del cliente que ha solicitado la operación. Como consecuencia, no es necesario que los mensajes de solicitud de fechado digital que recibe la TSA contengan algún tipo de autenticación del cliente.
En casos especiales, la TSA necesita autentificar la procedencia de las solicitudes, el mencionado estándar recomienda para ello utilizar algún método alternativo, no especificado en RFC3161. El protocolo de fechado digital de la FNMT-RCM hace uso de autenticación basada en firma según Cryptographic Message Sintax (RFC 2630).
El estándar enumera diferentes mecanismos de transporte para men- sajes de TSA. Ninguno de estos métodos es mandatario; todos ellos son opcionales e incluso se contempla la posibilidad de soportar en un futuro nuevos mecanismos. Los mecanismos que se especifican el documen- to RFC3161 son:
Protocolo utilizando correo electrónico. Protocolo basado en la utilización de FTP.
Protocolo basado en sockets utilizando el puerto IP 318. Protocolo vía http.
También hay que recalcar que el estándar solamente define la opera- ción de solicitud de fechado digital y de la respuesta correspondiente, dejando otros tipos de operaciones, como por ejemplo la validación del fechado, sin ninguna especificación, aunque se deba realizar la implemen- tación de este tipo de operaciones.
La aplicación de Notificación y la aplicación de custodia hacen uso del protocolo basado en sockets utilizando el puerto 318. Los mensajes de servicio tienen la siguiente estructura:
Mensaje | Longi- tud – Bytes | Tag | Datos |
Petición. Respuesta. | Xxxx Yyyy | 0x01 0x02 | Codificación DER de la estructura ASN.1 TimeStampReq encapsulada en una estructura ASN.1 CMSSigned Data (ver RFC 2630). Codificación DER de la estructura ASN.1 TimeStampResp. |
El estándar RFC 2630 define el formato usado para la encapsulación de datos firmados, cifrados, resumidos o para la autenticación de mensa- jes arbitrarios. La RFC 2630 deriva del PKCS#7 versión 1.5 (RFC 2315).
Dentro de la iniciativa EESSI se ha recogido la anterior normativa a través de la ETSI TS 101 861, según se ha estractado en el presente texto.
Fuente de tiempo.–Las fuentes de tiempo utilizadas por la Autoridad de Fechado Digital son receptores GPS que reúnen las siguientes caracte- rísticas:
Recibe una referencia temporal con una precisión menor de un (1) microsegundo.
Distribuye la referencia temporal a la Autoridad de Fechado Digital con una precisión de entre uno (1) y diez (10) milisegundos.
La sincronización de la fecha y la hora del servicio se realizará con el Real Instituto y Observatorio de la Armada, de conformidad con lo pre- visto sobre la hora legal en el Real Decreto 1308/1992, de 23 de octubre, por el que se declara el Laboratorio del Real Instituto y Observatorio de la Armada como laboratorio depositario del patrón Nacional de Tiempo y laboratorio asociado al Centro Español de Metrología, y según las condi- ciones técnicas y protocolos que el citado Organismo establezca.
Actualización tecnológica.–La FNMT someterá el servicio a la actuali- zación tecnológica constante que permita que la disponibilidad del servi- cio y el acceso al mismo cumpla en todo momento los criterios técnicos iniciales así como aquellos que fruto de los avances tecnológicos o del desarrollo normativo, le sean de aplicación.
Dicha actualización se realizará, tratando de evitar en la medida de lo posible, el cambio en los procedimientos seguidos hasta la fecha de la actualización por los titulares.
La FNMT notificará a los titulares con 2 meses de antelación las actua- lizaciones que pudieran causar modificaciones en los procedimientos de acceso a la dirección o de consulta del contenido depositado.
Toolkit de fechado digital.–Librerías y documentación paquetizadas puestas a disposición de los clientes para desarrollar un esquema de fechado digital en conjunción con la Autoridad de Fechado Digital de la FNMT-RCM, así como servicios de implantación a través de partners.
Practicas del servicio.–La declaración detallada de prácticas del servi- cio se encuentra publicada en la dirección electrónica de la FNMT y podrá ser variada sin previo aviso. La variación no limitará el servicio.
Servicio de Certificados de Atributos.–Tal como ya ha quedado dicho en el capítulo I del presente anexo, la Fábrica Nacional de Moneda y Xxx- bre-Real Casa de la Moneda (FNMT-RCM), como prestador de servicios de certificación, emitirá para todo aquel usuario que lo solicite un con- junto de certificados, denominado «Certificado Básico» o «Título de
Usuario», que permite al Titular del mismo comunicarse con otros usua- xxxx, de forma segura.
Se trata del certificado tradicional de clave pública que sirve para identificar a la persona física, es decir: nombre, apellidos, DNI, etc. Estos certificados tienen asociada la pareja de claves pública-privada y están firmados por una autoridad de certificación.
El formato de esos certificados se basa en el definido por la Unión Internacional de Telecomunicaciones, sector de normalización de las telecomunicaciones, en la Recomendación UIT-T X.509, de fecha junio del 97 o superiores (ISO/IEC 9594-8 de 1997). El formato será el correspon- diente a la Versión 3 del certificado, especificado en esta norma y serán válidos para el uso con protocolos de comunicación estándares de mer- cado, tipo SSL, TLS, etc.
Por contra, los certificados de atributos no tienen asociada la pareja de claves pública-privada ni tienen que estar firmados por una autoridad de certificación. Es decir, que el emisor de certificados de atributos no tiene que ser necesariamente un prestador de servicios de certificación según se entiende en la Ley de Firma Electrónica o en la Directiva de Firma Electrónica.
Esto hace que sean muy útiles para permitir a las distintas entidades emitir sus propios certificados de atributos, para los usos que requieran, apoyándose en certificados de identidad del titular ya expedidos por una Autoridad de Certificación.
En comparación con lo anterior el certificado de atributos no sirve para acreditar una identidad, y ha de asociarse con un certificado básico o de identidad del titular para tal fin.
El formato de esos certificados se basa en el definido por la Unión Internacional de Telecomunicaciones, sector de normalización de las telecomunicaciones, en la Recomendación UIT-T X.509 v4, del año 2000
«El directorio: Infraestructuras de clave pública y certificado de atribu- tos».
Operativa de obtención de los Certificados de Atributos.–El cliente final, por ejemplo un funcionario, desea obtener un certificado de atribu- tos que le acredite como funcionario. Para ello se seguirían los siguientes pasos:
El cliente final se conectaría con el Departamento correspondiente del Ministerio de Justicia y realizaría una petición firmada con su certificado de identidad (por ejemplo el certificado de usuario de la FNMT-RCM).
El Departamento correspondiente comprobaría la validez de esta peti- ción, es decir:
Comprobación del certificado de identidad mediante CRLs,
y si la persona en cuestión está realmente reconocida como funciona- rio (consulta de la base de datos del Departamento correspondiente).
Una vez hecha las comprobaciones, el Departamento correspondiente del Ministerio de Justicia se conectaría a la Autoridad de Certificación de Atributos, en adelante ACA, (estableciendo un canal SSL con el servidor donde está instalada la ACA) y mandaría una petición firmada de emisión del certificado para esta persona. (La FNMT-RCM además de actuar como infraestructura de clave pública proporciona, en régimen de hosting, las distintas autoridades de certificación de atributos (ACA) y se encarga de mantener la publicación y facilitar el acceso a estos certificados).
La ACA contestaría emitiendo este certificado de atributos, publicán- dolo en un directorio específico y entregándolo al propio funcionario (notificar la disponibilidad para su descarga) y notificando lo ocurrido con este certificado (éxito en la emisión o notificación de la causa de la no emisión).
Todas las operaciones y comunicaciones se establecen vía web mediante la oportuna securización de los distintos procedimientos, según se ha descrito.
Es potestad y responsabilidad de la ACA el desarrollo e implantación de las correspondientes aplicaciones en su servidor que permitan llevar a cabo todos estos procedimientos, tanto la solicitud como posterior des- carga de los atributos, de forma totalmente telemática y sin presencia física presencial del funcionario, en el supuesto inicial de que éste posea un certificado de identidad, con anterioridad a la petición de la inclusión de algún atributo en el mismo.
Operativa de uso y revocación de los certificados con atributos.–Si un ciudadano es suscriptor de un certificado con atributos, a él le compete la custodia y buen uso del mismo en todos los ámbitos administrativos de conformidad con la normativa específica. El certificado de atributos irá ligado al certificado básico o de identidad para poder firmar (el certifi- cado de atributos no contiene datos de creación de firma).
La Autoridad de Certificación de Atributos podrá establecer y publicar unas prácticas de certificación que, en concordancia con su política de certificación, recojan los procedimientos a seguir por sus funcionarios, tanto para la solicitud de la inclusión de atributos en los certificados de identificación como para la revocación de los mismos.
La FNMT-RCM se responsabilizará del alojamiento de la Autoridad Certificadora y de su funcionamiento técnico, y de llevar a cabo las actua- ciones técnicas necesarias que permitan la emisión, almacenamiento de incidencias y revocación en tiempo de los certificados según las prácticas que la propia Autoridad Certificadora de Atributos determine, previo con- senso con la FNMT-RCM para determinar su viabilidad.
OCSP Responder:
El servidor de OCSP (OCSP responder) comprueba la firma de la peti- ción OCSP efectuada por un cliente OCSP registrado en el sistema (base de datos de clientes de los cuales se admiten peticiones) y verifica los certificados incluidos en la misma (el usuario no es el cliente que firma). En caso de que la firma sea inválida (certificado revocado o caducado, por ejemplo), la petición se rechaza y se retorna al cliente una respuesta negativa. En la respuesta de OCSP se informará del estado en el que se encuentran los certificados en ese momento.
Para ilustrar la explicación:
Tenemos una empresa cliente, por ejemplo una gran superficie, que tiene un servidor en la que hay instalada una plataforma de compra de artículos.
Un ciudadano, un cliente, se conecta con el servidor y decide comprar un artículo.
Se le pide al ciudadano que se autentique y firme la petición de compra (con su certificado).
Antes de admitir esta petición de compra, el servidor de la gran super- ficie hace una petición OCSP a la FNMT-RCM.
El servidor de la FNMT-RCM (OCSP responder) responde si este certi- ficado del ciudadano es válido o no (emite un comprobante de esta vali- dación y lo firma en nombre de la FNMT-RCM para que quede constan- cia).
Sin embargo, antes de esto, el servidor OCSP de la FNMT-RCM consul- tará si el servidor de la gran superficie se ha identificado correctamente y esta identificación (certificado de servidor) está dada de alta como
cliente en la base de datos de clientes OCSP autorizados a transaccionar. Si no es así, no se atiende la petición.
En caso de que se admita la petición, se comprobará por parte del servidor de la FNMT-RCM el estado del certificado del ciudadano y se le devolverá a la empresa cliente en la respuesta de OCSP.
OCSP cliente:
Herramienta cliente para hacer peticiones de OCSP. Se pueden utilizar los productos xxx xxxxxxx. La FNMT-RCM facilitará una relación con productos de libre distribución, pero en ningún caso suministrará OCSP cliente, pues se pueden encontrar con facilidad en el mercado de forma estándar.
OCSP toolkit:
Librerías y documentación que permiten al cliente instalar el servicio de OCSP en conjunción con el OCSP responder de la FNMT-RCM y un OCSP cliente, así como servicios de implantación a través de partners.
Nota sobre prestación de los servicios:
Los servicios contemplados en el presente Anexo I, que preste la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, se realiza- rán de conformidad con lo establecido en la legislación aplicable a los mismos y los acuerdos, convenios o contratos que suscriba la FNMT-RCM con las diferentes administraciones públicas o con personas o entidades privadas.
ANEXO II
Con expresión concreta de las Oficinas de Acreditación, su relación, su denominación, la dirección postal correspondiente, la dirección IP.
Se constituirá una oficina central de acreditación, en la siguiente dirección: División de Informática y Tecnologías de la Información. X/ Xxx Xxxxxxxx, 00. 00000 Xxxxxx.
ANEXO IV
Precios y plan de implantación
CAPÍTULO I
1. Precio anual de los servicios
Se establece un precio fijo, de veintisiete mil euros /año, (27.000,00 €/año) IVA incluido, cantidad que se incrementará a partir de la primera anuali- dad, aplicando la variación del IPC publicado en los doce meses anterio- res de acuerdo con el índice aprobado por el I.N.E, tomando como refe- rencia el del año de la firma del contrato.
2. Constitución de las oficinas de acreditación
Podrán implantarse cuantas oficinas de acreditación se estime conve- niente por parte del Ministerio de Justicia que estarán abiertas a los gru- pos de usuarios que el Ministerio de Justicia autorice.
El precio establecido en el punto 1 anterior incluye, sin coste adicio- nal, 3 oficinas de acreditación con 2 registradores autorizados cada una de ellas.
El precio para la constitución de oficinas de acreditación adicionales a la oficina central, se establece en:
32,75 euros por puesto de acreditación. Este precio incluye el software de acreditación.
41,06 euros cada persona encargada de acreditación autorizada. Este precio incluye la emisión de una tarjeta por cada persona y su formación en las instalaciones de la FNMT-RCM.
En el caso en que la formación se preste en las instalaciones del convi- niente, a la tarifa anterior le serán añadidos los gastos derivados de la estancia fijados en 204,38 euros/día por persona, más los derivados del desplazamiento.
En el caso de que fuese personal de la FNMT-RCM quien se encargara del registro, sería necesario valorar los recursos necesarios, en función de los requerimientos del Organismo solicitante.
3. Soporte Técnico
El coste del soporte técnico realizado por parte de personal de la FNMT-RCM será de 122,64 euros/hora.
En el caso en que el soporte técnico se preste en las instalaciones del conviniente, a la tarifa anterior le serán añadidos los gastos derivados de la estancia fijados en 204,59 euros/día por persona, mas los derivados del desplazamiento y pernocta.
4. Réplica de Directorio
Se establece un precio de 20.539,66 €/año por la réplica diaria de las listas de certificados revocados desde la FNMT-RCM a las instalaciones del conviniente por redes públicas.
Este precio incluye la licencia de uso del directorio X.500 InJoin Direc- tory Server de Critical Path en las propias instalaciones del cliente.
Este servicio no incluye la instalación ni el mantenimiento, que serán por cuenta del conviniente.
El directorio y su contenido no podrá ser cedido a terceros bajo nin- gún concepto, y deberá ser protegido contra todo acceso por entidades ajenas al conviniente, incluyendo el acceso de consulta.
5. Condiciones
Todas las cantidades anteriormente expuestas que supongan pagos fijos anuales se incrementarán a partir de la primera anualidad, aplicando la variación del IPC publicado en los doce meses anteriores, de acuerdo con el índice aprobado por el I.N.E., tomando como referencia el del año de la firma del Acuerdo de Encomienda de Gestión.
Todas las cantidades expuestas anteriormente en este capítulo I inclu- yen el IVA legalmente establecido