CONTRATO DE EMISIÓN DE CERTIFICADO ENTRE
CONTRATO DE EMISIÓN DE CERTIFICADO ENTRE
EADTRUST, EUROPEAN AGENCY OF DIGITAL TRUST S.L, EL SUSCRIPTOR Y EL SOLICITANTE
(Certificado cualificado de web “organization validated” (QWAC-OV))
En Madrid, a (…………) de (………) de 20(……)
REUNIDOS
DE UNA PARTE,
De una parte Xx Xxxxx Xxxxx Xxxxxx, representante legal de la Autoridad de Certificación EADTrust, European Agency of Digital Trust, S.L constituida al amparo de la legislación española, con CIF X-00000000, domicilio social físico en Xxxxx Xxxx 00, 00000, Xxxxxx, y domicilio electrónico a efectos de notificaciones: xxxx@xxxxxxxx.xx, en virtud de escritura de poder otorgada ante el xxxxxxx Xxxxxx de la Fuente Xxxxxx, el 29 de enero de 2009, con el número 187 de su protocolo. Dicha empresa se encuentra inscrita debidamente en el Registro Mercantil de Madrid en el Tomo 26.403, Folio 63, Hoja M- 475828, y presta servicios de emisión de Certificados conforme a lo establecido en el Reglamento (UE) 910/2014 eIDAS, (en lo adelante LA AUTORIDAD DE CERTIFICACIÓN O LA AC).
DE OTRA PARTE:
De otra parte, D/ Xx , actuando en este acto a nombre y en representación de las entidad
proveedora de servicios de pago (third party payment service provider-TPP)/gestora de cuenta (ASPSP) denominada:…………………………………………….con domicilio social físico sito en: , y domicilio
electrónico a efectos de notificaciones:………………..con C.I.F , en virtud de escritura de poder otorgada ante
notario con el nº de su protocolo. Dicha entidad se encuentra inscrita debidamente en el Registro Mercantil de
……… en el Libro ……, Tomo……, Folio……., Hoja……, (en adelante EL SUSCRIPTOR).
DE OTRA PARTE:
D/Xx………………………………………,con documento de identificación:………………, domicilio físico sito en:……………………….., y domicilio electrónico a efectos de notificaciones:……………….. actuando en este acto a nombre del SUSCRIPTOR como SOLICITANTE DEL CERTIFICADO.
EADTrust, EL SUSCRIPTOR y EL SOLICITANTE DEL CERTIFICADO recibirán en adelante la denominación de la “Parte” por separado y las “Partes” de forma conjunta.
Las Partes se reconocen con capacidad legal y poder suficiente para llevar a cabo este acto y, a tal efecto:
EXPONEN
I. Que EADTrust S.L, es un prestador de servicios cualificados de confianza electrónica, reconocido en el Censo de Prestadores de Servicios Cualificados de Certificación mantenido por el organismo supervisor (el Ministerio de Energía, Turismo y Agenda Digital) en virtud de lo dispuesto en el Reglamento (UE) n ° 910/2014 del Parlamento Europeo y del Consejo, de 00 xx xxxxx xx 0000 , xxxxxxxx a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. Como Autoridad de Certificación, tiene en su haber, además, varias certificaciones ISO: ISO 9001, ISO 20001 e ISO 27001 que avalan su experiencia en el cumplimiento de estándares técnicos internacionales para estos servicios.
II. EADTrust realiza funciones de registro que pueden ser delegadas a una tercera entidad o persona física, que se constituirá, según sea el caso en la Autoridad de Registro (en lo adelante AR). La AR, tiene entre otras funciones la
de verificar la identidad del SUSCRIPTOR y del SOLICITANTE DEL CERTIFICADO y una vez validada esta, hacerle entrega del Certificado electrónico solicitado.
III. Que EL SUSCRIPTOR es la persona jurídica para la cual se solicita un certificado emitido por EADTrust. La solicitud se llevará a cabo por una persona física actuando en su nombre y representación o mediante nombramiento que acredite la vinculación.
IV. Que el SOLICITANTE DEL CERTIFICADO es la persona física que actuando en nombre del SUSCRIPTOR solicita el certificado. Esta última ostentará el uso del certificado en el marco de los límites definidos por EL SUSCRIPTOR y por la AC en este contrato, la DPC y las políticas especificas de la AC de EADTrust.
Que las partes, acuerdan el siguiente CONTRATO DE PRESTACIÓN DE SERVICIO DE EMISIÓN DE CERTIFICADO CUALIFICADO DE WEB “ORGANIZATION VALIDATED” (QWAC-OV) y manifiestan su libre consentimiento en obligarse de acuerdo a los términos y condiciones establecidos en las siguientes:
CLÁUSULAS
1. OBJETO
En virtud del presente Contrato, LA AC emitirá el CERTIFICADO correspondiente a favor de EL SUSCRIPTOR y del SOLICITANTE DEL CERTIFICADO a cambio de una contraprestación económica.
La emisión del certificado requerirá previamente la identificación y validación de la identidad declarada por el SOLICITANTE DEL CERTIFICADO; así como de la identidad y vinculación a la persona jurídica que representa y que afectos de este contrato funge como EL SUSCRIPTOR. Las partes estarán sujetas al procedimiento definido en la Declaración de Prácticas de Servicios Electrónicos de Confianza de EADTrust, la Política específica del tipo de certificado solicitado y en correspondencia con el Reglamento eIDAS.
A los efectos de este Contrato la modalidad de servicio contratada es la de CERTIFICADO CUALIFICADO DE WEB “ORGANIZATION VALIDATED” (QWAC-OV), generado con una longitud de clave RSA 2048 bits, con mecanismo de identificación y validación de identidad mediante firma avanzada basada en un certificado cualificado; almacenamiento del certificado (P12) generado en archivo.zip con envío por correo electrónico al SOLICITANTE DEL CERTIFICADO.
La emisión por parte de la AC a favor del SUSCRIPTOR de un Certificado de Servidor Seguro de “validación extendida”, en los términos previstos en el presente Contrato acredita que la entidad que figura en el certificado existe y que la comunicación cliente - servidor es seguro, garantizando así mismo la identidad del servidor al cual está vinculada la URL definida en el propio Certificado.
Este Certificado está reconocido por los principales navegadores, siendo indicado por los mismos como Certificado confiable.
2. MARCO LEGAL DE LA PRESTACIÓN DEL SERVICIO
LAS PARTES declaran conocer la Declaración de Prácticas de Servicios Electrónicos de Confianza de EADTrust, (en lo adelante la DPC); así como las políticas y prácticas específicas aplicables al tipo de certificado que consta en el encabezado. Puede obtenerse una información resumida de las políticas y prácticas en la Policy Disclosure Statement (PDS). La información ampliada sobre las políticas específicas de certificación y la Declaración de Prácticas de Certificación vigentes a la fecha de este contrato están disponibles en la página web de EADTrust en el apartado: xxxxx://xxxxxxxx.xx/xxxxxxxxxx-xxxxxxxx/
Sin perjuicio de lo dispuesto en la legislación vigente, los términos y condiciones del presente Contrato, de conjunto con la DPC y las políticas y prácticas específicas de este tipo de certificado, constituyen el marco legal que regulará las relaciones entre LAS PARTES, internamente y frente a terceros.
3. OBLIGACIONES DE LAS PARTES
Obligaciones de la AC:
• Identificar correctamente al SOLICITANTE DEL CERTIFICADO y al SUSCRIPTOR, por medio de la AR, conforme a los procedimientos que se establecen en las políticas y prácticas específicas para cada tipo de certificado;
• Proceder, por medio de la AR, a la emisión del certificado correspondiente al SOLICITANTE DEL CERTIFICADO conforme a las condiciones definidas en las DPC, las políticas y prácticas específicas y este Contrato, luego de comprobar y validar la identidad del SOLICITANTE DEL CERTIFICADO y del SUSCRIPTOR;
• Mantener actualizadas las bases de datos de Certificados en vigor, Certificados suspendidos y
Certificados revocados;
• Tramitar las solicitudes de revocación de certificados en el menor tiempo posible;
• Comunicar al SUSCRIPTOR y al SOLICITANTE DEL CERTIFICADO la revocación de sus certificados cuando esta se produzca;
• Todas las que se deriven de la DPC, las políticas y prácticas específicas para cada tipo de certificado y de la legislación vigente.
Obligaciones del SUSCRIPTOR:
• Abonar las tarifas por los servicios de certificación digital solicitados en los términos y condiciones previstos por la AC;
• Solicitar la revocación del Certificado cuando se cumpla alguno de los supuestos previstos en las políticas y prácticas específicas y en la legislación vigente para estos diferentes status del ciclo de vida de los certificados
• Utilizar el Certificado conforme a la Ley y a los límites de uso definidos en las políticas y prácticas específicas, en este Contrato y en el propio Certificado;
• Todas las que se deriven de la DPC, las políticas y prácticas específicas para cada tipo de certificado y de la legislación vigente.
Obligaciones del SOLICITANTE DEL CERTIFICADO:
• Custodiar el certificado y las claves secretas, incluida la clave privada, passwords o pines de forma diligente, tomando precauciones razonables para evitar su pérdida, revelación, modificación o uso no autorizado;
• Suministrar toda la información y documentación exigida, responsabilizándose de su veracidad y corrección;
• Notificar inmediatamente a la AC en caso de que detecte que se ha incluido cualquier información incorrecta o inexacta o en caso de que, de forma sobrevenida, la información del certificado no se corresponda con la realidad;
• Autorizar a la AC a que, a través de la AR, la utilice los datos personales aportados por el SOLICITANTE DEL CERTIFICADO para validar, comprobar y autenticar la identidad declarada por este;
• Informar inmediatamente a la AC acerca de cualquier situación que pueda afectar la validez del certificado, o a la seguridad de las claves;
• Solicitar la revocación del Certificado cuando se cumpla alguno de los supuestos previstos en las políticas y prácticas específicas y en la legislación vigente para estos diferentes status del ciclo de vida de los certificados;
• Utilizar el Certificado conforme a la Ley y a los límites de uso definidos en las políticas y prácticas específicas, en este Contrato y en el propio Certificado;
• Todas las que se deriven de la DPC, las políticas y prácticas específicas para cada tipo de certificado y de la legislación vigente.
4. DURACIÓN DEL CONTRATO
El presente Contrato entrará en vigor a la fecha de su firma y terminará en la fecha de caducidad indicada en el certificado correspondiente.
5. CONTRAPRESTACIÓN
El precio del Certificado, que incluirá la contraprestación por los servicios de EADTrust asociados al mismo, viene definido en la oferta que suscribió el SOLICITANTE DEL CERTIFICADO en nombre del SUSCRIPTOR al realizar la solicitud del Certificado de manera on site o a través de la plataforma habilitada por EADTrust al efecto.
Dicho precio deberá ser abonado por el SUSCRIPTOR/ SOLICITANTE DEL CERTIFICADO a EADTrust con carácter previo a la emisión del Certificado.
6. ACEPTACIÓN DEL CERTIFICADO
A través de la firma de este documento, el SOLICITANTE DEL CERTIFICADO y EL SUSCRIPTOR aceptan el certificado de forma expresa, confirmando y asumiendo la exactitud de su contenido, con las consiguientes obligaciones que de ello se deriven frente a la AR, la AC o cualquier tercero que de buena fe confíe en el contenido del Certificado, en virtud de la DPC, las políticas y prácticas específicas para cada certificado y/o legislación vigente.
En caso de que existiera alguna diferencia entre los datos suministrados a la AC y el contenido del Certificado, o se detecte el defecto, ello deberá ser comunicado de inmediato a la AC para que proceda a su revocación.
7. LÍMITES DE USO DEL CERTIFICADO: PROHIBICION DE REALIZAR COMERCIO CON EL CERTIFICADO
La contratación del servicio de certificación electrónica de EADTrust admite solamente el uso del certificado en el ámbito de actividad del SUSCRIPTOR, de acuerdo con la finalidad del tipo de certificado solicitado.
Una vez emitido el certificado, el SOLICITANTE DEL CERTIFICADO o el SUSCRIPTOR no podrán, salvo acuerdo específico entre las partes, hacer un uso con fines comerciales del certificado.
Se entiende por uso comercial del certificado, cualquier actuación mediante la cual el SOLICITANTE DEL CERTIFICADO o el SUSCRIPTOR ofrezca a terceras personas ajenas al presente Contrato, a título oneroso o gratuito, servicios que requieran el uso del certificado contratado.
El incumplimiento de la presente cláusula facultará a la AC a revocar el certificado y a reclamar la indemnización de los daños y perjuicios que se le hubieren causado por el incumplimiento, incluyendo lucro cesante y daños indirectos.
8. ENTREGA DEL CERTIFICADO EN DISPOSITIVO
A petición del SUSCRIPTOR/ SOLICITANTE DEL CERTIFICADO, La AC remitirá el certificado cualificado generado (P12) en un archivo comprimido en formato .zip. a la dirección de correo electrónico facilitada por el SOLICITANTE DEL CERTIFICADO. Las claves de acceso al certificado se le remitirán mediante mensaje SMS al teléfono indicado en su solicitud.
El SOLICITANTE DEL CERTIFICADO se asegurará de informar a EADTrust, al momento de la presentación de la solicitud, los datos de mail y teléfono exactos, sin errores. Así como cualquier cambio en ambos datos, a fin de llevar a cabo la entrega del certificado y las claves de acceso. De no informarse los cambios antes de la expedición del certificado, EADTrust no será responsable de la pérdida, deterioro o uso inadecuado del certificado o sus claves de acceso.
9. REVOCACIÓN DEL CERTIFICADO
La revocación puede ser solicitada en cualquier momento, y en especial, cuando EL SUSCRIPTOR/SOLICITANTE DEL CERTIFICADO considere que concurren algunas de las circunstancias de revocación definidas en la política específica y en la Declaración de Prácticas de Certificación.
EL SUSCRIPTOR/ SOLICITANTE DEL CERTIFICADO podrán solicitar a EADTrust la revocación del certificado por cualquiera de los procedimientos descritos en la Declaración de Practicas de Certificación.
10. RESPONSABILIDADES
La AC y la AR responderán de las funciones que les correspondan conforme a la DPC y a las políticas y prácticas específicas para cada tipo de certificado y, en especial, asumirán toda la responsabilidad por la correcta identificación y validación de la identidad declarada por el SOLICITANTE DEL CERTIFICADO.
La AC y la AR no serán responsables de los daños derivados de o relacionados con la no ejecución o ejecución defectuosa de las obligaciones a cargo del Propietario del Certificado, ni de la incorrecta utilización de los Certificados y las claves, ni de cualquier daño indirecto que pueda resultar de la utilización del Certificado o de la información suministrada por la AC, en particular, el lucro cesante, la pérdida de ingresos o pedidos o pérdida de datos, no dando lugar a ningún tipo de derecho indemnizatorio.
Ni la AC ni la AR serán responsables de las eventuales inexactitudes en el Certificado que resulten de la información facilitada por el Propietario del Certificado, a condición de haber actuado siempre con la máxima diligencia exigible.
Cualquiera que sea la causa por la que pudiera reclamarse responsabilidad a la AC o a la AR, la pretensión indemnizatoria no podrá exceder, salvo en el supuesto de culpa grave o dolo, la cifra prevista en la Póliza de Seguro de EADTrust dependiendo del tipo del hecho acaecido.
11. EXIMENTES DE RESPONSABILIDAD
Ni la AC, ni la AR asumirán responsabilidad alguna por la no ejecución o el retraso en la ejecución de cualquiera de las obligaciones en virtud de las DPC y las políticas y prácticas específicas para cada tipo de certificado, si tal falta de ejecución o retraso resultara o fuera consecuencia de un supuesto de fuerza mayor, caso fortuito o, en general, cualquier circunstancia sobre la que la AC no pueda tener un control razonable y entre otros: los desastres naturales, la guerra, el estado de sitio, las alteraciones de orden público, la huelga en los transportes, el corte de suministro eléctrico y/o telefónico, los virus informáticos, deficiencias en los servicios de telecomunicaciones, violaciones de seguridad del sistema de certificación o cualquier perjuicio que se derive de un hecho causado por un avance imprevisible de la técnica.
Ni la AC ni la AR serán responsables del contenido de aquellos documentos firmados o cifrados digitalmente.
La AC y la AR no se responsabilizarán por el correcto funcionamiento con aplicaciones que no estén aprobadas, y por daños generados por la imposibilidad del uso con dichas aplicaciones.
Tampoco serán responsables por deterioros o averías en los equipos informáticos o en los datos por causas no imputables directamente a la utilización de los Certificados o a la instalación del certificado, y siempre que el Propietario del Certificado no actúe con la diligencia necesaria.
12. MODIFICACIONES
La AC podrá modificar el presente Contrato; así como la DPC y las políticas y prácticas especificas o cualquiera de sus cláusulas en los términos previstos en la misma, comunicándolo a los SUSCRIPTORS, cuando el cambio incida
directamente en sus derechos y obligaciones, con 15 días de antelación, debiendo explicar, en todo caso, al SUSCRIPTOR los motivos de tal decisión.
EL SUSCRIPTOR podrá optar entre la resolución del Contrato o la novación del mismo conforme a los nuevos términos. EL SUSCRIPTOR dispondrá de un máximo de 15 días a partir de la fecha de dicha comunicación para comunicar a la AC la aceptación de la subrogación o de las modificaciones efectuadas. No obstante, si pasado ese período la AC no ha recibido por parte de EL SUSCRIPTOR comunicación escrita de lo contrario, se entenderán como aceptadas la subrogación y las modificaciones efectuadas.
13. PROTECCIÓN DE DATOS
En cumplimiento de lo dispuesto en el Reglamento (UE) 679/2016 Reglamento General de Protección de Datos Personales (en lo adelante el RGPD), se le informa que sus datos personales serán tratados por EADTrust (en adelante, AC) en calidad de responsable del tratamiento. Los datos personales son los mínimos necesarios y son recabados con la finalidad de gestionar la prestación del servicio de emisión y revocación de certificados. La base legal para el tratamiento es la ejecución de este contrato de prestación de servicios conforme dispone el artículo 6.1 b) del Reglamento General de Protección de Datos EAD Trust solo usará estos datos para el envío de información o comunicaciones comerciales siempre y cuando el interesado haya dado su consentimiento para ello.
Los datos personales que puedan tratarse durante la prestación de estos servicios, podrán conservarse durante un plazo mínimo de 15 años, tal y como establece el artículo 20 letra f) de la Ley 59/2003, de 19 de diciembre, de firma electrónica y el Reglamento (UE) eIDAS, Artículos 28, 38 y 45 respectivamente.
EADTrust le informa que podrá ceder sus datos personales a entidades colaboradoras en la prestación de este servicio, quienes actuarán como Encargados del Tratamiento y garantizarán la seguridad y privacidad de los datos y la información asociada a estos.
No se realizan perfiles con los datos recabados, ni se toman decisiones automatizadas en base a estos. Tampoco se realizarán transferencias internacionales de datos.
EADTrust le informa igualmente que, en caso de solicitar el servicio de referencia por vía telefónica, su voz podrá ser grabada durante las conversaciones telefónicas que mantenga con la Autoridad de Registro (AR) o la Autoridad de Certificación (AC), con el fin de permitir una tramitación segura de la solicitud de emisión o revocación de certificados. Previo a la grabación se le ofrecerá la información básica de protección de datos estipulada en el RGPD y se le recabará su consentimiento expreso. Los datos personales recabados por esta vía se incorporarán al registro de actividades de tratamiento del que es responsable EADTrust.
Cuando el servicio de emisión o revocación de certificados se provea en la modalidad de verificación y autenticación de identidad mediante video conferencia o videograbación, EADTrust requerirá captar la imagen y la voz del Solicitante. La base legal para este tratamiento es la ejecución del contrato de prestación de servicios en esta modalidad conforme dispone el artículo 6.1 b) del Reglamento General de Protección de Datos. Estos datos son necesarios para la adecuada prestación del servicio y se incorporarán al registro de actividades de tratamiento de EADTrust.
El SOLICITANTE podrá ejercitar los derechos comprendidos en los artículos 12- 22 del RGPD y obtener información adicional sobre cómo tratamos sus datos personales, consultando la información disponible en el sitio web: xxxx://xxxxxxxx.xxxx.xx/.
14. RESOLUCIÓN DEL CONTRATO
El incumplimiento de las estipulaciones contenidas en el presente contrato y/o en la DPC, políticas y prácticas por cualquiera de las partes será causa de resolución del presente Contrato. En tal caso, la parte no incumplidora tendrá derecho a resolver el Contrato con efecto inmediato.
El incumplimiento por parte del SOLICITANTE DEL CERTIFICADO dará derecho a la AC a revocar el Certificado, con independencia de los daños y perjuicios que pudiera reclamar.
La AC tendrá derecho a revocar y no renovar el Certificado con anterioridad al plazo previsto de vigencia. Cuando la revocación sea injustificada, la AC podrá indemnizar a aquellos SUSCRIPTORES que lo soliciten por escrito dentro de los tres meses siguientes a la fecha de revocación. Esta indemnización no podrá ser superior a lo pagado por el propio SUSCRIPTORES por la obtención del referido Certificado.
SOLICITANTE DEL CERTIFICADO podrá resolver libremente el presente contrato en cualquier momento mediante la notificación por escrito con una antelación de 30 días. En ningún caso, dicha resolución dará derecho a la devolución de las cantidades abonadas por la obtención del Certificado. Si el ejercicio de los derechos de oposición, o cancelación de los datos expuestos en la Estipulación Octava del presente documento dificultase la prestación de servicios objeto de este contrato, EADTrust quedará facultada para resolver el presente contrato.
15. LEGISLACIÓN Y JURISDICCIÓN
El presente Contrato, las DPC, políticas y prácticas específicas aplicables al tipo de certificado que consta en el encabezado y la DPC se regirán por la Ley española y europea en materia de firma electrónica (especialmente el Reglamento eIDAS, y en todo lo que no lo contravenga en lo establecido en la Ley 59/2003, de 19 de diciembre, de firma electrónica, con arreglo a los cuales deberá ser interpretado su contenido.
Para la resolución de cualquier conflicto que pudiera surgir en relación con este contrato, la DPC y las Políticas y prácticas específicas, las partes, se someterán a los Tribunales de Madrid.
En caso de que el SUSCRIPTOR del certificado tenga alguna inconformidad respecto al servicio ofrecido por EADTrust, podrá interponer la correspondiente queja, para ello deberá seguir el procedimiento descrito en la DPC.
16. ÚNICO ACUERDO
El presente contrato, y los documentos a los que hace referencia constituyen el total acuerdo entre EADTrust, el SUSCRIPTOR y el SOLICITANTE DEL CERTIFICADO. Sobre el objeto del mismo, y substituye, deroga y deja sin efecto cualquier otro acuerdo verbal o escrito referido al mismo objeto a que hubieren llegado las partes con anterioridad a la fecha de la firma del presente acuerdo.
Las tres partes leen, por sí, la totalidad del presente documento y, aceptan todos y cada uno de los extremos consignados en el mismo.
Lo firman por triplicado en fecha y lugar indicados al inicio del mismo, acreditando además que el dispositivo entregado ha sido verificado previamente por Las Partes y que se encuentra en perfecto estado técnico para su utilización.
RESPONSABLE AUTORIDAD DE CERTIFICACIÓN EADTRUST | Firma y sello de entidad |
SUSCRIPTOR: | Firma y sello de entidad |
SOLICITANTE DEL CERTIFICADO | Firma |