POLTICAS Y PRCTICAS DE CERTIFICACIN PARTICULARES APLICABLES A LOS SERVICIOS
DE CERTIFICACIN Y FIRMA ELECTRNICA EN EL MBITO DE ORGANIZACIN Y
FUNCIONAMIENTO DE LAS ADMINISTRACIONES PBLICAS, SUS ORGANISMOS Y ENTIDADES VINCULADAS O DEPENDIENTES
NOMBRE FECHA Elaborado por: FNMT-RCM 06/11/2008 Revisado por: FNMT-RCM / v1.1 5/5/2009 Aprobado por: FNMT-RCM / v1.1 5/5/2009
HISTRICO DEL DOCUMENTO Versin Fecha Descripcin Autor 1.0 06/11/2008 Creacin del documento FNMT-RCM 1.1 5/5/2009 Ampliacin de la vigencias de los certificados a cuatro aos. FNMT-RCM
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 2 de 93
NDICES NDICE DE CONTENIDOS ndices .................................................................................................................................................................... 2 ndice de contenidos.............................................................................................................................................. 2 ndice de Tablas .................................................................................................................................................... 5 1. Preliminar ..................................................................................................................................................... 6 2. Introduccin.................................................................................................................................................. 7 3. Organizacin del documento....................................................................................................................... 7 4. Orden de prelacin....................................................................................................................................... 9 5. Gestin del ciclo de vida de las claves del prestador de servicios de certificacin................................ 10 5.1. Gestin del ciclo de vida de las Claves ............................................................................................... 10 5.1.1. Generacin de las Claves del Prestador de Servicios de Certificacin ...................................... 10 5.1.2. Almacenamiento, salvaguarda y recuperacin de las Claves del Prestador de Servicios de Certificacin................................................................................................................................................. 10 5.1.3. Distribucin de los Datos de verificacin de Firma del Prestador de Servicios de Certificacin10 5.1.4. Almacenamiento, salvaguarda y recuperacin de las Claves Privadas de la Administracin, Organismos y Entidades pblicas usuarias.................................................................................................. 20 5.1.5. Uso de los Datos de Creacin de Firma del Prestador de Servicios de Certificacin ................. 21 5.1.6. Fin del ciclo de vida de las Claves del Prestador de Servicios de Certificacin ........................ 21 5.1.7. Ciclo de vida del hardware criptogrfico utilizado para firmar Certificados.............................. 21 6. Operacin y Gestin de la Infraestructura de Clave Pblica; Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad .................................................................................................................... 21 6.1. operacin y gestin de la infraestructura de clave pblica................................................................. 21 6.2. Esquema nacional de interoperabilidad y esquema nacional de seguridad........................................ 22 7. Terminacin de la FNMT-RCM en su actividad como Prestador de Servicios de Certificacin........ 22 8. Difusin de Trminos y Condiciones ........................................................................................................ 22 9. Aspectos organizativos............................................................................................................................... 23 10. Certificados emitidos para el personal al servicio de las Administraciones Pblicas, Organismos y entidades pblicas vinculadas o dependientes (en adelante personal al servicio de la Administracin Pblica) ................................................................................................................................................................ 24 10.1. Poltica de Certificacin de los Certificados emitidos para el personal al servicio de las Administraciones Pblicas, Organismos y entidades pblicas vinculadas o dependientes (en adelante personal al servicio de la Administracin Pblica).......................................................................................... 24 10.2. Identificacin....................................................................................................................................... 24
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 3 de 93
10.2.1. Tipologa del Certificado para personal al servicio de las Administraciones Pblicas: (funcionarios, personal laboral, estatutario a su servicio y personal autorizado, en adelante denominado como personal al servicio de las Administraciones Pblicas). ..................................................................... 24 10.2.2. Gestin de la Poltica de Certificacin........................................................................................ 26 10.2.3. Comunidad y mbito de aplicacin............................................................................................. 27 10.2.4. Responsabilidad y obligaciones de las partes ............................................................................. 28 10.2.5. Lmites de uso de los Certificados para personal al servicio de la Administracin Pblica....... 30 10.3. Prcticas de certificacin particulares para los Certificados emitidos para personal al servicio de la Administracin Pblica .................................................................................................................................... 31 10.3.1. Servicios de Gestin de las Claves de los Titulares.................................................................... 31 10.3.2. Preparacin de los Dispositivos Seguros de Creacin de Firma ................................................ 31 10.3.3. Gestin del ciclo de vida de los Certificados.............................................................................. 32 10.3.3.1. Procedimiento de solicitud del Certificado para personal al servicio de la Administracin Pblica 32 10.3.3.2. Personacin ante las Oficinas de Registro ......................................................................... 34 10.3.3.3. Comparecencia y documentacin....................................................................................... 35 10.3.3.4. Emisin del Certificado para personal al servicio de la Administracin Pblica............... 35 10.3.3.5. Publicacin del Certificado de personal al servicio de la Administracin Pblica ............ 42 10.3.3.6. Descarga e instalacin del Certificado de personal al servicio de la Administracin Pblica 43 10.3.3.7. Perodo de validez del Certificado de personal al servicio de la Administracin Pblica.. 43 10.3.3.8. Revocacin del Certificado de personal al servicio de la Administracin Pblica ............ 43 10.3.3.9. Suspensin del Certificado de personal al servicio de la Administracin Pblica............. 44 10.3.3.10. Comprobacin del estado del Certificado del personal al servicio de la Administracin .. 46 10.3.4. Exclusiones y requisitos adicionales a ETSI TS 101 456........................................................... 46 10.3.5. Modelos de formulario................................................................................................................ 46 11. Certificados emitidos para la identificacin de sedes electrnicas de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes.......................................................................... 47 11.1. Poltica de Certificacin de los Certificados emitidos para la identificacin de sedes electrnicas de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes .............................. 47 11.1.1. Identificacin .............................................................................................................................. 47 11.1.2. Tipologa del Certificado para la identificacin de sedes electrnicas de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes......................................................... 48 11.1.3. Gestin de la Poltica de Certificacin........................................................................................ 50 11.1.4. Comunidad y mbito de aplicacin............................................................................................. 51 11.1.5. Responsabilidad y obligaciones de las partes ............................................................................. 52 11.1.6. Lmites de uso de los Certificados para la identificacin de sedes electrnicas ......................... 54 11.2. Prcticas de certificacin particulares para los Certificados emitidos para la identificacin de sedes electrnicas de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes ..... 55 11.2.1. Servicios de Gestin de las Claves de los Usuarios y Titulares.................................................. 55 11.2.2. Gestin del ciclo de vida de los Certificados.............................................................................. 55 11.2.2.1. Registro de los Titulares de Certificados de sede electrnica mbito pblico ................... 55 11.2.2.2. Procedimiento de solicitud del Certificado para la identificacin de sedes electrnicas ... 56 11.2.2.3. Presolicitud ........................................................................................................................ 56 11.2.2.4. Confirmacin de las identidades y requisitos de las partes ................................................ 57 11.2.2.5. Personacin del Solicitante ante las Oficinas de Registro.................................................. 58 11.2.2.6. Comparecencia y documentacin....................................................................................... 58 11.2.2.7. Envo de informacin a la FNMT-RCM............................................................................ 58 11.2.2.8. Extensin de la funcin de registro e identificacin a otros Certificados emitidos por la FNMT-RCM. ........................................................................................................................................... 59
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 4 de 93
11.2.2.9. Emisin del Certificado para la identificacin de sede electrnica.................................... 59 11.2.2.10. Publicacin del Certificado de identificacin de sede electrnica ..................................... 65 11.2.2.11. Descarga e instalacin del Certificado de identificacin de sede electrnica .................... 65 11.2.2.12. Perodo de validez del Certificado de identificacin de sede electrnica........................... 66 11.2.2.13. Revocacin del Certificado de identificacin de sede electrnica ..................................... 66 11.2.2.14. Procedimiento por el que se obtienen los datos personales del Solicitante de la revocacin, se confirma su identidad y la capacidad para realizar dicha solicitud y la formalizacin de la misma.... 66 11.2.2.15. Suspensin del Certificado de identificacin de sede electrnica...................................... 68 11.2.2.16. Cancelacin de la suspensin del Certificado de identificacin de sede electrnica ......... 68 11.2.2.17. Comprobacin del estado del Certificado de identificacin de sede electrnica ............... 69 11.2.3. Exclusiones y requisitos adicionales a ETSI TS 101 456........................................................... 69 11.2.4. Modelos de formulario................................................................................................................ 70 12. Certificados emitidos para la Actuacin administrativa automatizada de la Administracin Pblica, organismos y entidades pblicas vinculadas o dependientes............................................................ 71 12.1. Poltica de Certificacin de los Certificados emitidos para la actuacin administrativa automatizada de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes.......................... 71 12.1.1. Identificacin .............................................................................................................................. 71 12.1.2. Tipologa del Certificado para la actuacin administrativa automatizada de la Administracin Pblica, organismos y entidades pblicas vinculadas o dependientes.......................................................... 72 12.1.3. Gestin de la Poltica de Certificacin........................................................................................ 73 12.1.4. Comunidad y mbito de aplicacin............................................................................................. 74 12.1.5. Responsabilidad y obligaciones de las partes ............................................................................. 75 12.1.6. Lmites de uso de los Certificados para la actuacin administrativa automatizada mediante sellos electrnicos .................................................................................................................................................. 77 12.2. Prcticas de certificacin particulares para los Certificados emitidos para la actuacin administrativa automatizada de la Administracin Pblica, Organismos y entidades pblicas, vinculadas o dependientes ..................................................................................................................................................... 78 12.2.1. Servicios de Gestin de las Claves de los Usuarios y Titulares.................................................. 79 12.2.2. Gestin del ciclo de vida de los Certificados.............................................................................. 79 12.2.2.1. Registro de los Titulares..................................................................................................... 79 12.2.2.2. Procedimiento de solicitud del Certificado para la actuacin administrativa automatizada de la Administracin Pblica ................................................................................................................... 79 12.2.2.3. Emisin del Certificado para la actuacin administrativa automatizada de la Administracin Pblica............................................................................................................................ 82 12.2.2.4. Publicacin del Certificado para la actuacin administrativa automatizada ...................... 88 12.2.2.5. Descarga e instalacin del Certificado para la actuacin administrativa automatizada ..... 88 12.2.2.6. Perodo de validez del Certificado para la actuacin administrativa automatizada............ 89 12.2.2.7. Revocacin del Certificado para la actuacin administrativa automatizada ...................... 89 12.2.2.8. Procedimiento por el que se obtienen los datos personales del Solicitante de la revocacin, se confirma su identidad y la capacidad para realizar dicha solicitud y la formalizacin de la misma.... 90 12.2.2.9. Suspensin del Certificado para la actuacin administrativa automatizada....................... 91 12.2.2.10. Cancelacin de la suspensin del Certificado para la actuacin administrativa automatizada 91 12.2.2.11. Comprobacin del estado del Certificado para la actuacin administrativa automatizada 92 12.2.3. Exclusiones y requisitos adicionales a ETSI TS 101 456........................................................... 92 12.2.4. Modelos de formulario................................................................................................................ 93
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 5 de 93
NDICE DE TABLAS Tabla 1 Certificado raz...................................................................................................................... 15 Tabla 2 Certificado CA APE.............................................................................................................. 20 Tabla 3 Identificacin Poltica Certificacin Personal APE......................................................... 24 Tabla 4 Composicin de la identidad alternativa del sujeto. Personal APE.................................. 38 Tabla 5 Extensin extKeyUsage. Personal APE............................................................................... 38 Tabla 6 Perfil del Certificado: Personal APE................................................................................... 42 Tabla 7 Identificacin Poltica Certificacin Sede Electrnica APE........................................... 47 Tabla 8 Composicin del subcampos directoryName. Sede electrnica APE................................ 61 Tabla 9 Extensin extKeyUsage. Sede Electrnica APE ................................................................. 61 Tabla 10 Perfil del Certificado de Sede Electrnica - APE............................................................. 65 Tabla 11 Identificacin Poltica Certificacin Actuacin Automatizada APE........................... 71 Tabla 12 Composicin del subcampos directoryName. Actuacin automatizada APE................ 85 Tabla 13 Perfil del Certificado de Actuacin Administrativa Automatizada - APE .................... 88
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 6 de 93
1. PRELIMINAR 1. El Artculo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativas y de Orden Social habilita la prestacin de servicios de seguridad por parte de la Fbrica Nacional de Moneda y Timbre, en las comunicaciones a travs de tcnicas y medios electrnicos, informticos y telemticos, en su apartado Uno, establece que: sin perjuicio de las competencias atribuidas en la Ley a los rganos administrativos en materia de registro de solicitudes, escritos y comunicaciones, se faculta a la Fbrica Nacional de Moneda y Timbre (FNMT) para la prestacin de los servicios tcnicos y administrativos necesarios para garantizar la seguridad, validez y eficacia de la emisin y recepcin de comunicaciones y documentos a travs de tcnicas y medios electrnicos, informticos y telemticos (EIT) en las relaciones que se produzcan entre: a) Los rganos de la Administracin General del Estado entre s o con los organismos pblicos vinculados o dependientes de aqulla, as como las de estos organismos entre s. b) Las personas fsicas y jurdicas con la Administracin General del Estado (AGE) y los organismos pblicos vinculados o dependientes de ella 2. De otro lado, su apartado Dos, establece: Asimismo, se habilita a la FNMT a prestar, en su caso, a las Comunidades Autnomas, las entidades locales y las entidades de Derecho pblico vinculadas o dependientes de ellas, los servicios a que se refiere el apartado anterior, en las relaciones que se produzcan a travs de tcnicas y medios EIT entre s, con la Administracin General del Estado o con personas fsicas y jurdicas; siempre que, previamente, se hayan formalizado los convenios o acuerdos procedentes. 3. El marco jurdico resultante desde la aprobacin de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos (LAECSP), consagra el derecho de los ciudadanos a comunicarse con las diferentes administraciones pblicas El ejercicio de este derecho ha de estar ligado a la implementacin, en el mbito de las Administraciones Pblicas y sus organismos y entidades vinculados o dependientes, de las infraestructuras y nuevos sistemas electrnicos, informticos y telemticos previstos en la referida normativa, todos ellos necesarios para el desarrollo y ejecucin previsto. 4. Dentro de los diferentes sistemas de identificacin y autenticacin electrnica que las Administraciones Pblicas pueden utilizar y a los que se refiere la presente Declaracin, se encuentran: 1) Firma electrnica del personal al servicio de las Administraciones Pblicas. 2) Sistemas de firma electrnica basados en la utilizacin de Certificados en dispositivo seguro o medio equivalente que permita identificar la sede electrnica y el establecimiento con ella de comunicaciones seguras. 3) Sistemas de firma electrnica para la actuacin administrativa automatizada.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 7 de 93
2. INTRODUCCIN 5. El presente documento forma parte integrante de la Declaracin General de Prcticas de Certificacin de la FNMT-RCM y tiene por objeto la informacin pblica de las condiciones y caractersticas de los servicios de certificacin y servicios de emisin de Certificados electrnicos por parte de la FNMT-RCM como Prestador de Servicios de Certificacin, recogiendo, en particular las obligaciones y procedimientos que se compromete a cumplir en relacin con la emisin de Certificados para la identificacin de sedes electrnicas, sistemas de firma electrnica para la actuacin administrativa automatizada y Certificados emitidos para personal al servicio de las Administraciones Pblicas. 6. En especial deber tenerse presente, a efectos interpretativos de estas Polticas y Prcticas de Certificacin Particulares, el apartado Definiciones de la Declaracin General de Prcticas de Certificacin, y, en su caso, la Ley de Emisin (ver apartado 4, siguiente) correspondiente a cada rgano y/u organismo o entidad usuaria de los servicios de certificacin de la FNMT-RCM. 7. Los Certificados emitidos por la FNMT-RCM para el personal al servicio de las administraciones pblicas cuya Poltica de Certificacin y Prcticas de Certificacin Particulares se definen en el presente documento se consideran tcnicamente Certificados Reconocidos, segn lo definido en la Ley 59/2003 de Firma Electrnica y la norma ETSI 101 456, y vlidos para la realizacin de firma electrnica por parte del personal al servicio de las administraciones pblicas y segn lo definido en la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos (LAECSP) 8. Los Certificados emitidos por la FNMT-RCM para la identificacin electrnica de las sedes electrnicas de las administraciones pblicas cuya Poltica de Certificacin y Prcticas de Certificacin Particulares se definen en el presente documento se consideran tcnicamente Certificados Reconocidos segn lo definido en la Ley 59/2003 de firma electrnica y vlidos para la identificacin de las sedes electrnicas segn lo definido en la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos (LAECSP). 9. Los Certificados emitidos por la FNMT-RCM para los sistemas de firma electrnica para la actuacin administrativa automatizada cuya Poltica de Certificacin y Prcticas de Certificacin Particulares se definen en el presente documento se consideran tcnicamente Certificados Reconocidos segn lo definido en la Ley 59/2003 de firma electrnica y vlidos para la actuacin administrativa automatizada segn lo definido en la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos (LAECSP). 3. ORGANIZACIN DEL DOCUMENTO 10. La Declaracin de Prcticas de Certificacin de la FNMT-RCM como Prestador de Servicios de Certificacin est estructurada, de un lado, por la parte comn de la Declaracin General de Prcticas de Certificacin (DGPC) de la FNMT-RCM, pues existen niveles de actuacin anlogos para todos los servicios de certificacin de la Entidad y, de otro lado, por los apartados especficos de los servicios de Certificacin a que se refiere la misma que, estructurado en Anexos, son las Polticas de Certificacin y Prcticas de Certificacin Particulares. No obstante lo anterior, la Ley de Emisin de cada tipo de
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 8 de 93
Certificado o grupo de Certificados podr establecer caractersticas especiales aplicables a los rganos, organismos, entidades y personal usuarios de los servicios de certificacin de la FNMT-RCM. 11. De acuerdo con lo anterior, la estructura de la Declaracin de Prcticas de Certificacin de la FNMT-RCM es la siguiente: 1) Por una parte, la Declaracin General de Prcticas de Certificacin, que debe considerarse cuerpo principal de la Declaracin de Prcticas de Certificacin (apartados 1 al 9) en el que se describe, adems de lo previsto en el artculo 19 de la Ley 59/2003, de 19 de diciembre, de firma electrnica, el rgimen de responsabilidad aplicable a los miembros de la Comunidad Electrnica, los controles de seguridad aplicados a los procedimientos e instalaciones de la FNMT-RCM, en aquello que pueda ser publicado sin perjudicar la eficacia de los mismos, las normas de secreto y confidencialidad, as como cuestiones relativas a la propiedad de sus bienes y activos, a la proteccin de datos de carcter personal y dems cuestiones de tipo informativo general que deben ponerse a disposicin del pblico, independientemente de su papel en la Comunidad Electrnica. 2) Y, por otra parte, estructurado en Anexos para cada conjunto o grupo de Certificados, identificado y diferenciado del resto por su tipologa y rgimen particular o diferenciador, existe una Poltica de Certificacin especfica en la que se describen las obligaciones de las partes, los lmites de uso de los Certificados y responsabilidades y unas Prcticas de Certificacin Particulares que desarrollan los trminos definidos en la poltica correspondiente y otorgan prestaciones adicionales o especficas sobre las generales establecidas en la DGPC principal definida en el apartado 1, anterior. Estas Polticas de Certificacin y Prcticas de Certificacin Particulares concretan lo articulado en el cuerpo principal de la Declaracin General de Prcticas de Certificacin y, por tanto, son parte integrante de ella, conformando, ambos, la Declaracin de Prcticas de Certificacin de la FNMT-RCM. No obstante, slo son de aplicacin para el conjunto de Certificados caracterizado e identificado en las correspondientes Polticas y Prcticas Particulares de Certificacin y pueden revestir, adems, como se ha dicho especialidades plasmadas a travs de la Ley de Emisin del Certificado o grupo de Certificados correspondiente, en caso de que existan caractersticas o funcionalidades especficas. 12. El presente documento representa, por tanto, las Polticas de Certificacin y Prcticas de Certificacin Particulares para los Certificados emitidos para: 1) Personal al servicio de las Administraciones Pblicas, 2) Identificacin de sedes electrnicas, 3) Sistemas de firma electrnica para la actuacin administrativa automatizada.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 9 de 93
4. ORDEN DE PRELACIN 13. El orden de prelacin es el siguiente: Las presentes Polticas de Certificacin y Prcticas de Certificacin Particulares de Certificados emitidos para el personal al servicio de las Administraciones Pblicas espaolas, as como de Certificados para la identificacin de sedes electrnicas y sistemas de firma electrnica para la actuacin administrativa automatizada forman parte de la Declaracin de Prcticas de Certificacin y tendrn prelacin, en lo que corresponda y con carcter particular sobre cada tipo de Certificado, sobre lo dispuesto en el cuerpo principal de la Declaracin General de Prcticas de Certificacin. Por tanto, en caso de que existiera contradiccin entre el presente documento y lo dispuesto en la Declaracin General de Prcticas de Certificacin, tendr preferencia lo aqu articulado. La Ley de Emisin de cada Certificado o grupo de Certificados constituir, en su caso y por su singularidad, norma especial sobre lo dispuesto en las presentes Polticas de Certificacin y Prcticas de Certificacin Particulares para los diferentes rganos y organismos o entidades pblicas usuarias de los servicios de la FNMT-RCM, cuando as lo requiera la naturaleza de sus competencias o funciones. La Ley de Emisin, en caso de que se constituya, quedar recogida en el documento de relacin a formalizar entre la FNMT-RCM y las Administraciones, organismos y entidades pblicas, y/o en las condiciones de utilizacin o contrato de emisin, y/o en el propio Certificado. En los Certificados electrnicos correspondientes a este Anexo y que se refieren a: Personal al servicio de las Administraciones Pblicas, identificacin de Sedes electrnicas, Sistemas de firma electrnica para la actuacin administrativa automatizada a travs de Sello electrnico, la Ley de Emisin (sin perjuicio de lo que pudiera establecerse en los acuerdos o convenios con las Administraciones, organismos y entidades titulares, atendiendo al correspondiente rgimen de competencias), tendr los siguientes campos, los cuales, total o parcialmente, podrn ser incluidos en el propio Certificado o en el documento de condiciones de utilizacin: o Sistema de identificacin electrnica del Titular y de autenticacin de los documentos electrnicos que se produzcan. o mbito de uso, que coincidir con el rgimen de competencias del Titular y deber ser universal en todo el mbito de las Administraciones Pblicas, organismos y entidades. o Limitacin de responsabilidad, con indicacin en su caso, de lmites econmicos para los actos y transacciones pblicas. o Firmante/custodio, que deber coincidir con la persona que tenga la condicin de responsable de la correspondiente Oficina de Registro o, en su caso, con la del representante del rgano administrativo que ejerza estas funciones.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 10 de 93
o Vigencia, caso que no coincida con la duracin general fijada en esta Declaracin. o Sistema de validacin. Plataforma comn. o Protocolo de Proteccin de Datos y de seguridad. 5. GESTIN DEL CICLO DE VIDA DE LAS CLAVES DEL PRESTADOR DE SERVICIOS DE CERTIFICACIN 14. (Queda recogida expresamente en estas Polticas de Certificacin y Prcticas de Certificacin Particulares la gestin del ciclo de vida de las claves del PSC, ya que se utilizar un Certificado Raz diferente al utilizado hasta ahora). 15. La FNMT-RCM en su actividad como Prestador de Servicios de Certificacin, en relacin con las claves criptogrficas empleadas para la emisin de Certificados para los Certificados emitidos para personal al servicio de las Administraciones Pblicas, identificacin de sedes electrnicas, sistemas de firma electrnica para la actuacin administrativa automatizada declara que realizar la siguiente gestin: 5.1. GESTIN DEL CICLO DE VIDA DE LAS CLAVES 5.1.1. Generacin de las Claves del Prestador de Servicios de Certificacin 16. Las Claves de la FNMT-RCM, como Prestador de Servicios de Certificacin, son generadas en circunstancias completamente controladas, en un entorno fsicamente seguro y, al menos, por dos personas autorizadas para ello, utilizando sistemas hardware y software que cumplen con la normativa actual en materia de proteccin criptogrfica, tal y como se muestra en el apartado Gestin del ciclo de vida de las Claves del Prestador de Servicios de Certificacin de la Declaracin General de Prcticas de Certificacin. 5.1.2. Almacenamiento, salvaguarda y recuperacin de las Claves del Prestador de Servicios de Certificacin 17. La FNMT-RCM utiliza los mecanismos necesarios para mantener su Clave privada confidencial y mantener su integridad en la forma que se muestra en el apartado Gestin del ciclo de vida de las Claves del Prestador de Servicios de Certificacin de la Declaracin General de Prcticas de Certificacin. 5.1.3. Distribucin de los Datos de verificacin de Firma del Prestador de Servicios de Certificacin 18. La FNMT-RCM utiliza los mecanismos necesarios para mantener la integridad y autenticidad de su Clave Pblica, as como su distribucin en la forma que se muestra en el apartado Gestin del ciclo de vida de las Claves del Prestador de Servicios de Certificacin de la Declaracin General de Prcticas de Certificacin. 19. Los campos del Certificado Raz correspondiente a la jerarqua de certificacin de los Certificados para personal al servicio de la Administracin Pblica se pueden ver en la siguiente tabla:
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 11 de 93
CAMPO CONTENIDO CRTICA OBSERVACIONES Campos de X509v1 1. Versin V3 2. Serial Number Aleatorio [RFC3280]: the serial number MUST be a positive integer, not longer than 20 octets ( 1 < SN < 2 159 ). Processing components MUST be able to interpret such long numbers. 3. Signature Algorithm Sha1withRsaEncryption Sha256withRsaEncryption Sha512withRsaEncryption OID: 1.2.840.113549.1.1.5 OID: 1.2.840.113549.1.1.11 OID: 1.2.840.113549.1.1.13 Norma PKCS#1 v2.1 y RFC 3447. 4. Issuer Distinguished Name OU=AC RAIZ FNMT -RCM O=FNMT-RCM C=ES Todos los DirectoryString codificados en UTF8. El atributo C (countryName) se codificar de acuerdo a ISO 3166-1-alpha- 2 code elements, en PrintableString. 5. Validez Hasta 01/01/2030 El programa de inclusin de certificados raz de Microsoft requiere que la fecha de validez sea posterior al 1/1/2010. [RFC3280]: Validity dates before and through 2049 MUST be encoded by CAs as UTCTime, dates in 2050 and later as GeneralizedTime. Date values MUST be given in the format YYMMDDhhmmssZ resp. YYYYMMDDhhmmssZ, i.e. always including seconds
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 12 de 93
and expressed as Zulu time (Universal Coordinated Time). 6. Subject OU=AC RAIZ FNMT -RCM O=FNMT-RCM C=ES Todos los DirectoryString codificados en UTF8. El atributo C (countryName) se codificar de acuerdo a ISO 3166-1-alpha- 2 code elements, en PrintableString. Coincidir con el campo emisor del certificado de las AC subordinada. [RFC3280]: The issuer name MUST be a non-empty DName. Processing components MUST be prepared to receive the following attributes: countryName, organizationName, organizationalUnitName, distinguishedNameQualifier, stateOrProvinceName, commonName, serialNumber, and domainComponent. Processing components SHOULD be prepared for attributes: localityName, title, surname, givenName, initials, pseudonym, and generationQualifier [ETSI-QC]: the issuer name MUST contain the countryName attribute. The specified country MUST be the country where the issuer CA is established. [ETSI-CPN]: the issuer name MUST contain the
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 13 de 93
countryName and the organizationName attributes. 7. Subject Public Key Info Algoritmo: RSA Encryption Longitud: 4096 bits
Campos de X509v2 1. issuerUniqueIdentifier No se utilizar 2. subjectUniqueIdentifier No se utilizar Extensiones de X509v3 1. Subject Key Identifier Funcin hash SHA-1 sobre la clave pblica del sujeto (AC raz). NO (RFC 3280) RFC 3280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectPublicKey del sujeto (excluyendo etiqueta, longitud y nmero de bits no usados). 2. Authority Key Identifier No procede 3. KeyUsage Digital Signature 0 Non Repudiation 0 Key Encipherment 0 Data Encipherment 0 Key Agreement 0 Key Certificate Signature 1 CRL Signature 1 SI (RFCs 3280 y 3739)
4.extKeyUsage No se utilizar 5. privateKeyUsagePeriod No se utilizar
Polticas y prcticas de certificacin particulares APE Versin 1.1
URL CPS http://www.cert.fnmt.es/dpcs/ Notice Reference NO para los certificados de AC, segn RFC 5280 (sustituta de RFC 3280). NO [RFC 3739] obliga la existencia de al menos un valor. La Ley de Firma Electrnica dice para los certificados reconocidos: La identificacin del prestador de servicios de certificacin que expide el certificado y su domicilio. Se incluir en la DPC. [RFC3280]: PolicyInformation SHOULD only contain an OID In a CA certificate,these policy information terms limit the set of policies for certification paths which include this certificate. When a CA does not wish to limit the set of policies for certification paths which include this certificate, it MAY assert the special policy anyPolicy, with a value of { 2 5 29 32 0 }. To promote interoperability, this profile RECOMMENDS that policy information terms consist of only an OID. Where an OID alone is insufficient, this profile strongly recommends that use of qualifiers 7. Policy Mappings No se utilizar 8. Subject Alternate Names No se utilizar NO 9. Issuer Alternate Names No se utilizar
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 15 de 93
10. Subject Directory Attributes No se utilizar 11. Basic Constraints Subject Type CA Path Length Constraint Ninguno SI (RFC 3280) RFC 3280. Puede especificarse el nmero mximo de niveles en Path Length Constraint. Para la AC Raz no se establecer ningn lmite de niveles de AC subordinadas. [RFC3280] This extension MUST appear as a critical extension in all CA certificates that contain public keys used to validate digital signatures on certificates. 12. Policy Constraints No utilizado 13. CRLDistributionPoints No utilizado La revocacin del certificado Raz se publicitar por otros mecanismos. 14. Auth. Information Access No procede NO (RFC 3280)
15.netscapeCertType No procede 16. netscapeRevocationURL No procede 17. netscapeCAPolicyURL No procede 18. netscapeComment No procede Tabla 1 Certificado raz
20. Por otra parte, los Certificados emitidos bajo las Polticas de Certificacin identificadas en este documento vendrn firmados electrnicamente con los Datos de Creacin de Firma del Prestador de Servicios de Certificacin y que se corresponden con los campos del siguiente Certificado.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 16 de 93
CAMPO CONTENIDO CRTICA OBSERVACIONES Campos de X509v1 1. Versin V3 2. Serial Number Aleatorio [RFC3280]: the serial number MUST be a positive integer, not longer than 20 octets ( 1 < SN < 2 159 ). Processing components MUSTbe able to interpret such long numbers. 3. Signature Algorithm Sha1withRsaEncryption Sha256withRsaEncryption Sha512withRsaEncryption OID: 1.2.840.113549.1.1.5 OID: 1.2.840.113549.1.1.11 OID: 1.2.840.113549.1.1.13 Norma PKCS#1 v2.1 y RFC 3447. 4. Issuer Distinguished Name OU= AC RAIZ FNMT-RCM O=FNMT-RCM C=ES Coincide con el campo asunto del certificado de la AC Raz. Todos los DirectoryString codificados en UTF8. El atributo C (countryName) se codificar de acuerdo a ISO 3166-1-alpha-2 code elements, en PrintableString. [ETSI-CPN]: the issuer name MUST contain the countryName and the organizationName attributes. 5. Validez Hasta 03/11/2023 15 aos a partir de la constitucin de la AC.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 17 de 93
6. Subject OU=AC APE O=FNMT-RCM C=ES Todos los DirectoryString codificados en UTF8. El atributo C (countryName) se codificar de acuerdo a ISO 3166-1-alpha-2 code elements, en PrintableString.
7. Subject Public Key Info Algoritmo: RSA Encryption Longitud: 2048 bits
Campos de X509v2 1. issuerUniqueIdentifier No se utilizar 2. subjectUniqueIdentifier No se utilizar Extensiones de X509v3 1. Subject Key Identifier Funcin hash SHA-1 sobre la clave pblica del sujeto (AC subordinada). NO (RFC 3280) RFC 3280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectPublicKey del sujeto (excluyendo etiqueta, longitud y nmero de bits no usados). 2. Authority Key Identifier Funcin de hash SHA-1 sobre la clave pblica de la AC emisora (AC Raz). NO SE INCLUYE la identificacin del certificado de la AC emisora (en este caso, DN de la AC Raz, nmero de serie de la AC Raz). NO (RFC 3280) RFC 3280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectPublicKey de la AC emisora (excluyendo etiqueta, longitud y nmero de bits no usados). Coincide con el campo Subject Key Identifier de la AC emisora (AC Raz). 3. KeyUsage SI (RFCs
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 18 de 93
Digital Signature 0 Non Repudiation 0 Key Encipherment 0 Data Encipherment 0 Key Agreement 0 Key Certificate Signature 1 CRL Signature 1 3280 y 3739) 4.extKeyUsage No se utilizar 5. privateKeyUsagePeriod No se utilizar 6. Certificate Policies Policy Identifier anyPolicy 2 5 29 32 0
URL CPS http://www.cert.fnmt.es/dpcs/ Notice Reference NO para los certificados de AC, segn RFC 5280 (sustituta de RFC 3280). NO RFC 3739 obliga la existencia de al menos un valor. La Ley de Firma Electrnica dice para los certificados reconocidos: La identificacin del prestador de servicios de certificacin que expide el certificado y su domicilio. Se incluir en la DPC.
[RFC3280]: PolicyInformation SHOULD only contain an OID. In a CA certificate,these policy information terms limit the set of policies for certification paths which include this certificate. When a CA does not wish
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 19 de 93
to limit the set of policies for certification paths which include this certificate, it MAY assert the special policy anyPolicy, with a value of { 2 5 29 32 0 }. To promote interoperability, this profile RECOMMENDS that policy information terms consist of only an OID. Where an OID alone is insufficient, this profile strongly recommends that use of qualifiers 7. Policy Mappings No se utilizar 8. Subject Alternate Names No se utilizara NO 9. Issuer Alternate Names No se utilizar 10. Subject Directory Attributes No se utilizar 11. Basic Constraints Subject Type CA Path Length Constraint 0 SI (RFC 3280) RFC 3280. Puede especificarse el nmero mximo de niveles en Path Length Constraint. Para la AC subordinada se limita a 0 el nmero de ACs dependiente de esta. [RFC3280] This extension MUST appear as a critical extension in all CA certificates that contain public keys used to validate digital signatures on certificates.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 20 de 93
12. Policy Constraints No utilizado 13. CRLDistributionPoints LDAP: ldap://ldapfnmt.cert.fnmt.es/ CN=CRL,OU= AC RAIZ FNMT-RCM, O=FNMT- RCM, C=ES ?authorityRevocationList;bi nary?base ?objectclass=cRLDistributio nPoint HTTP: http://www.cert.fnmt.es/crls/ ARLFNMTRCM.crl NO El programa de certificados raz de Microsoft obliga a que los certificados emitidos por la AC Raz tengan punto de distribucin de CRL y que sea pblico. Vase tambin extensin Auth. Information Access. 14. Auth. Information Access No Contendr informacin de localizacin del OCSP Responder de la FNMT. 15.netscapeCertType No procede 16. netscapeRevocationURL No procede 17. netscapeCAPolicyURL No procede 18. netscapeComment No procede Tabla 2 Certificado CA APE
5.1.4. Almacenamiento, salvaguarda y recuperacin de las Claves Privadas de la Administracin, Organismos y Entidades pblicas usuarias 21. La FNMT-RCM bajo ningn concepto genera ni almacena las Claves Privadas de sus Titulares, las cuales son generadas bajo su exclusivo control, y cuya custodia est bajo la responsabilidad de los diferentes firmantes, rganos, organismos y entidades a las que se encuentren vinculadas o de las que dependan.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 21 de 93
5.1.5. Uso de los Datos de Creacin de Firma del Prestador de Servicios de Certificacin 22. Los Datos de creacin de Firma de la FNMT-RCM, en su actividad como Prestador de Servicios de Certificacin, sern utilizadas nica y exclusivamente para los propsitos de: 1) Firma de Certificados. 2) Firma de las Listas de Revocacin. 3) Otros usos previstos en esta Declaracin y/o en la legislacin aplicable. 5.1.6. Fin del ciclo de vida de las Claves del Prestador de Servicios de Certificacin 23. La FNMT-RCM dispondr de los medios necesarios para lograr que una vez finalizado el perodo de validez de las Claves del Prestador de Servicios de Certificacin, estas Claves no vuelven a ser utilizadas, bien destruyndolas o almacenndolas de forma apropiada para dicha finalidad. 5.1.7. Ciclo de vida del hardware criptogrfico utilizado para firmar Certificados 24. La FNMT-RCM dispondr de los medios necesarios para posibilitar que el hardware criptogrfico utilizado para la proteccin de sus Claves como Prestador de Servicios de Certificacin, no sufra manipulaciones de acuerdo con el estado de la tcnica a la fecha durante todo su ciclo de vida, estando situado dicho componente en un entorno fsicamente seguro desde su recepcin hasta su destruccin llegado el caso. 6. OPERACIN Y GESTIN DE LA INFRAESTRUCTURA DE CLAVE PBLICA; ESQUEMA NACIONAL DE INTEROPERABILIDAD Y ESQUEMA NACIONAL DE SEGURIDAD 6.1. OPERACIN Y GESTIN DE LA INFRAESTRUCTURA DE CLAVE PBLICA 25. Las operaciones y procedimientos realizados para la puesta en prctica de las Polticas de Certificacin reflejadas en este documento se realizan siguiendo los controles requeridos por los estndares reconocidos para tal efecto, describindose estas actuaciones en los apartados Controles de seguridad fsica, de procedimientos y del personal y Controles de seguridad tcnica de la Declaracin General de Prcticas de Certificacin de la FNMT- RCM. 26. De forma informativa cabe decir que la FNMT-RCM posee un Sistema de Gestin de la Seguridad de la Informacin (en adelante SGSI) para su Departamento CERES con el objetivo final de mantener y garantizar la seguridad de la informacin de los miembros de la Comunidad Electrnica, as como la suya propia, de forma que el servicio prestado por la FNMT-RCM-CERES tenga los niveles suficientes de fiabilidad que exige el Mercado. El SGSI de la FNMT-RCM-CERES es aplicable a los activos de informacin definidos en el Anlisis de Riesgos realizado para todas las reas que componen el departamento, incluyendo como activos los servicios prestados a los miembros de la Comunidad Electrnica.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 22 de 93
27. En el documento Declaracin General de Prcticas de Certificacin, se da respuesta concreta para todos aquellos aspectos referentes a los siguientes apartados de la norma ETSI TS 101 456: 1) Gestin de la Seguridad. 2) Clasificacin y Gestin de Activos. 3) Seguridad de Personal. 4) Seguridad fsica y del entorno. 5) Gestin de las Operaciones. 6) Gestin de Accesos al Sistema. 7) Gestin de incidencias y sistema de continuidad de negocio. 8) Terminacin de la FNMT-RCM como Prestador de Servicios de Certificacin. 9) Almacenamiento de la informacin referente a los Certificados Reconocidos. 6.2. ESQUEMA NACIONAL DE INTEROPERABILIDAD Y ESQUEMA NACIONAL DE SEGURIDAD 28. Hasta que se proceda al desarrollo normativo previsto en el artculo 42, de la Ley 11/2007, de 22 de junio, de Acceso Electrnico de los ciudadanos a los Servicios Pblicos, la FNMT- RCM adoptar los criterios, recomendaciones y polticas de interoperabilidad y seguridad previstas en estas Polticas de Certificacin y Prcticas de Certificacin Particulares, as como los estndares de uso generalizado, procurando en su aplicacin la mxima extensin en el mbito de las diferentes Administraciones pblicas. 7. TERMINACIN DE LA FNMT-RCM EN SU ACTIVIDAD COMO PRESTADOR DE SERVICIOS DE CERTIFICACIN 29. Esta circunstancia y sus consecuencias se describen en el apartado Cese de la actividad del Prestador de Servicios de Certificacin, de la Declaracin General de Prcticas de Certificacin. 8. DIFUSIN DE TRMINOS Y CONDICIONES 30. La FNMT-RCM pone a disposicin de la Comunidad Electrnica y dems interesados, tanto el presente documento como el documento de Declaracin General de Prcticas de Certificacin de la FNMT-RCM en los que se detalla: 1) Los trminos y condiciones que regulan la utilizacin de los Certificados expedidos por la FNMT-RCM, con expresin, en su caso, de la correspondiente Ley de Emisin. 2) La Poltica de Certificacin aplicable a los Certificados expedidos por la FNMT- RCM. 3) Los lmites de uso para los Certificados expedidos bajo esta Poltica de Certificacin. 4) Las obligaciones, garantas y responsabilidades de las partes envueltas en la emisin y uso de los Certificados.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 23 de 93
5) Los perodos de conservacin de la informacin recabada en el proceso de registro y de los eventos producidos en los sistemas del Prestador de Servicios de Certificacin relacionados con la gestin del ciclo de vida de los Certificados emitidos bajo esta Poltica de Certificacin. 6) Resea legal de inters, con referencia a las normas relativas a reclamaciones y resolucin de conflictos. 9. ASPECTOS ORGANIZATIVOS 31. La FNMT-RCM es una entidad pblica empresarial de las previstas en el artculo 43.1.b), de la Ley 6/1997, de 14 de abril, de Organizacin y Funcionamiento de la Administracin General del Estado, que, como organismo pblico, tiene personalidad jurdica pblica diferenciada, patrimonio y tesorera propios, y autonoma de gestin en los trminos de dicha ley. 32. Est adscrita al Ministerio de Economa y Hacienda, el cual, a travs de la Subsecretara de Economa y Hacienda, ejercer la direccin estratgica y el control de eficacia de la Entidad en los trminos previstos en los artculos 43 y 59, de la Ley 6/1997, de 14 de abril, citada. 33. La FNMT-RCM cuenta con una larga trayectoria histrica en la realizacin de sus actividades industriales, as como el respaldo del Estado, y desde la entrada en vigor del artculo 81, de la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social y sus modificaciones, ha contribuido a impulsar la extensin de los servicios a los que ha sido facultada y el reconocimiento del entorno privado en este nuevo sector que representa la certificacin electrnica y las redes telemticas abiertas, alcanzando un destacado puesto en la prestacin de los servicios de certificacin. 34. En el desarrollo de esta actividad la FNMT-RCM ha alcanzado la acreditacin de su sistema de gestin de la calidad de acuerdo a la normativa ISO 9001:2000, otorgado por AENOR e IQNET para la prestacin de servicios de certificacin de firma electrnica, de sellado de tiempo y de desarrollo de sistemas operativos criptogrficos para tarjetas inteligentes. 35. Asimismo ha acreditado sus Polticas de Certificacin para la emisin de Certificados Reconocidos conforme al estndar europeo ETSI TS 101 456, a travs de una entidad independiente.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 24 de 93
10. CERTIFICADOS EMITIDOS PARA EL PERSONAL AL SERVICIO DE LAS ADMINISTRACIONES PBLICAS, ORGANISMOS Y ENTIDADES PBLICAS VINCULADAS O DEPENDIENTES (EN ADELANTE PERSONAL AL SERVICIO DE LA ADMINISTRACIN PBLICA) 10.1. POLTICA DE CERTIFICACIN DE LOS CERTIFICADOS EMITIDOS PARA EL PERSONAL AL SERVICIO DE LAS ADMINISTRACIONES PBLICAS, ORGANISMOS Y ENTIDADES PBLICAS VINCULADAS O DEPENDIENTES (EN ADELANTE PERSONAL AL SERVICIO DE LA ADMINISTRACIN PBLICA) 10.2. IDENTIFICACIN 36. La presente Poltica de Certificacin de la FNMT-RCM para la expedicin de Certificados para personal al servicio de la Administracin Pblica tiene la siguiente identificacin:
Nombre Poltica de Certificacin de Certificados para personal al servicio de la Administracin Pblica de Espaa Referencia/OID 1.3.6.1.4.1.5734.3.14 Versin 1.0 Fecha de Emisin 1 de Agosto de 2007 Localizacin http://www.cert.fnmt.es/dpcs/ DPC relacionada Declaracin General de Prcticas de Certificacin de la FNMT-RCM Localizacin http://www.cert.fnmt.es/dpcs/ Tabla 3 Identificacin Poltica Certificacin Personal APE 10.2.1. Tipologa del Certificado para personal al servicio de las Administraciones Pblicas: (funcionarios, personal laboral, estatutario a su servicio y personal autorizado, en adelante denominado como personal al servicio de las Administraciones Pblicas). 37. El Certificado para el personal al servicio de las Administraciones Pblicas, es la certificacin electrnica emitida por la FNMT-RCM que vincula a su Titular (la Administracin, rgano, organismo o entidad pblica) con unos Datos de verificacin de Firma y confirma, de forma conjunta: la identidad del firmante y custodio de las Claves (personal al servicio de las Administraciones pblicas que realiza firmas electrnicas utilizando el Certificado en
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 25 de 93
nombre de la Administracin actuante), nmero de identificacin personal, cargo, puesto de trabajo y/o condicin de autorizado y, al Titular del Certificado, que es el rgano, organismo o entidad de la Administracin Pblica, bien sea sta General, autonmica, local o institucional, donde ejerce sus competencias, presta sus servicios, o desarrolla su actividad. 38. Este Certificado se emite por la FNMT-RCM por cuenta de la Administracin Pblica correspondiente a la que la FNMT-RCM presta los servicios tcnicos, administrativos y de seguridad necesarios como prestador de servicios de certificacin. 39. El Certificado para personal al servicio de la Administracin Pblica es desarrollado por la FNMT-RCM mediante una infraestructura PKI especfica y ad hoc, basada en actuaciones de identificacin y registro realizadas por la red de Oficinas de Registro designadas por el rgano, organismo o entidad Titular del Certificado. Las Leyes de Emisin podrn establecer, en el mbito de actuacin de las Administraciones Pblicas, Oficinas de Registro comunes para este mbito de actuacin con efectos uniformes para cualesquiera Administraciones, organismos y/o entidades pblicas. 40. La Ley de Emisin suplir, atendiendo a las diferentes funcionalidades del mbito de actuacin de los Certificados, elementos o campos ordinariamente expresados en el propio Certificado, atendiendo a la especialidad de actuacin de las diferentes Administraciones pblicas. 41. Este Certificado, es emitido con el perfil tcnico correspondiente a los Certificados Reconocidos con base en los criterios establecidos para tales Certificados en la Ley 59/2003, de 19 de diciembre, de Firma Electrnica, en la normativa especial de la FNMT-RCM y en la normativa tcnica EESSI, concretamente ETSI TS 101 456 - Policy requirements for certification authorities issuing qualified certificates y ETSI TS 101 862 Qualified Certificate Profile, tanto en lo referente al Prestador de Servicios de Certificacin como a la generacin de los Datos de Verificacin de Firma y al contenido del propio Certificado. 42. Se hace constar expresamente que el Certificado emitido bajo esta poltica, constituye un Certificado distinto al previsto en el Anexo II de la Declaracin General de Prcticas de Certificacin para identidad de persona fsica, con independencia de los aspectos comunes y coincidentes, pues, adicionalmente a su identidad personal en su condicin de personal al servicio de las Administraciones Pblicas (funcionarial, laboral, estatutario, orgnico, etc.), se consigna la relacin, nmero de identificacin, vnculo, cargo o condicin del Titular del Certificado con el rgano, organismo o entidad de la Administracin Pblica a la que pertenece y la propia identidad de la Administracin, bien directamente en el propio Certificado, bien en la Ley de Emisin. 43. El Certificado emitido para el personal al servicio de la Administracin pblica no se regir por lo dispuesto en la Ley de firma electrnica a efectos del Certificado de persona jurdica de acuerdo con lo dispuesto en el artculo 7.6 de la cita Ley, por lo que ser de aplicacin la normativa especfica correspondiente y, en su defecto, las Declaraciones General y Particulares de Certificacin de la FNMT-RCM.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 26 de 93
10.2.2. Gestin de la Poltica de Certificacin 44. La FNMT-RCM dispone, especficamente, de una Poltica de Certificacin efectiva en relacin con los Certificados emitidos para el personal al servicio de la Administracin General del Estado y , en su caso, otras Administraciones Pblicas del mbito de aplicacin de la Ley 11/2007, de 22 de junio, LAECSP y, en particular, declara que: La FNMT-RCM tiene capacidad para especificar, revisar, y aprobar la Poltica de Certificacin de estos Certificados Reconocidos, a travs de su Direccin General y dems rganos directivos de la misma. La FNMT-RCM dispone (apartado 10.2) de unas Prcticas de Certificacin Particulares en las que se detallan las prcticas de certificacin empleadas para la expedicin de Certificados conformes a la Poltica de Certificacin aqu expuesta para este tipo de Certificado. La FNMT-RCM dispone, dentro de las competencias de la Direccin y dems rganos directivos de la misma, de capacidad, para especificar, revisar y aprobar los procedimientos de revisin y mantenimiento, tanto para las Prcticas de Certificacin Particulares, como para la Poltica de Certificacin correspondiente. La FNMT-RCM realiza anlisis de riesgos para evaluar las amenazas del sistema y proponer las medidas de seguridad adecuadas (salvaguardas) para todas las reas implicadas. Las Prcticas de Certificacin Particulares se ponen a disposicin del pblico mediante el URL: http://www.cert.fnmt.es/dpcs/ La Ley de Emisin de cada tipo o grupo de Certificados, en caso de establecerse, podr ser de acceso restringido total o parcialmente por razones de seguridad al tratarse de un sistema de certificacin de uso en el mbito de las Administraciones pblicas y el personal correspondiente. La Poltica de Certificacin de Certificados emitidos para el personal de la Administracin Pblica se pone a disposicin del pblico mediante el URL: http://www.cert.fnmt.es/dpcs/ Esta Poltica de Certificacin recoge las obligaciones y responsabilidades generales de las partes implicadas en la emisin y uso de los Certificados para el personal de la Administracin y emitidos por la FNMT-RCM bajo a esta Poltica de Certificacin, sin perjuicio de las especialidades que pudieran existir en el contrato o convenio correspondiente o si procede en la Ley de Emisin. Se dispone de un OID especfico para identificar la Poltica de Certificacin aqu desarrollada, siendo el OID asignado en el marco de la numeracin de la FNMT- RCM: 1.3.6.1.4.1.5734.3.14. La Poltica de Certificacin de la FNMT-RCM para el presente Certificado Reconocido se define en base al documento ETSI TS 101 456, en concreto en su apartado 8, cumplindose los requisitos expuestos en los apartado 6 y 7 con las
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 27 de 93
exclusiones sealadas en el apartado 8.2 (que se exponen en el apartado Exclusiones y Requisitos Adicionales a ETSI TS 101456 de la presente Poltica de Certificacin). En caso de discrepancia entre este documento y la referida norma, prevalecer este documento. 10.2.3. Comunidad y mbito de aplicacin 45. La presente Poltica de Certificacin es de aplicacin en la expedicin de Certificados electrnicos que tienen las siguientes caractersticas: a) Son expedidos como Certificados Reconocidos con base en los criterios establecidos para tal en la Ley 59/2003, de 19 de diciembre, de Firma Electrnica y en la normativa tcnica EESSI, concretamente ETSI TS 101 862 Qualified Certificate Profile. b) Son expedidos por la FNMT-RCM como Prestador de Servicios de Certificacin cumpliendo con los criterios establecidos en la Ley 59/2003, de 19 de diciembre, citada y en la normativa tcnica EESSI, concretamente ETSI TS 101 456 - Policy requirements for certification authorities issuing qualified certificates. c) La Tarjeta criptogrfica de la FNMT-RCM utilizada como Dispositivo seguro de creacin de Firma, cumple tcnicamente con los criterios establecidos en la Ley 59/2003, de 19 de diciembre, de firma electrnica para tales dispositivos. No obstante, en el mbito de los Certificados de la presente Poltica de Certificacin, existen otros dispositivos que realizan funciones como Dispositivos seguros de creacin de Firma de conformidad con las normas legales y tcnicas sobre tales dispositivos. Los Certificados emitidos bajo esta Poltica de Certificacin son expedidos para las Administraciones Pblicas, del mbito de aplicacin de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos que forman parte de la Comunidad Electrnica, tal y como se define en el apartado Definiciones de la Declaracin General de Prcticas de Certificacin de la FNMT-RCM. En el marco de esta Poltica de Certificacin, los Usuarios destinatarios se corresponden con personal de la Administracin Pblica del Reino de Espaa, bien sea un rgano, organismo, entidad de la Administracin general, Autonmica o Local del Estado d) A los efectos de las Prcticas de Certificacin Particulares aplicable a los servicios de certificacin y firma electrnica, en el mbito de organizacin y funcionamiento de la Administracin General del Estado y del resto de Administraciones pblicas, as como sus organismos y entidades vinculadas o dependientes, el alcance de la definicin Comunidad Electrnica se referir, solamente, a los Titulares y firmantes/custodios de los Certificados emitidos al amparo de una infraestructura PKI (infraestructura de clave pblica) especfica del rgano y/o organismo correspondiente que est encomendada a la FNMT-RCM, para el desarrollo de las diferentes competencias y funciones pblicas propias del cargo, de la relacin funcionarial, de las funciones del empleado pblico, o de la condicin de autorizado en relacin con los rganos y organismos dotados de sede electrnica a los que pertenezcan o con los que se relacionen estos usuarios. e) Los Certificados emitidos bajo est Poltica de Certificacin se consideran vlidos como parte integrante de sistemas de firma electrnica y, por tanto, adecuados para el
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 28 de 93
desarrollo a efectos interadministrativos y de comunicacin con el ciudadano de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos (LAECSP). En especial, se considera que pueden formar parte de sistemas de firma electrnica que sean conformes y/o equivalentes a lo establecido en la Ley 59/2003, de 19 de diciembre, de firma electrnica y resultan adecuados para garantizar la identificacin de los participantes en las relaciones entre administraciones y con los ciudadanos y, en su caso, la autenticidad e integridad de los documentos electrnicos, as como su utilizacin para la generacin de firma electrnica reconocida f) La Ley de Emisin de estos Certificados podr determinar, en defecto de normativa especfica, las condiciones de uso y rgimen de estos Certificados que permitirn la atribucin a las Administraciones, organismos y entidades de los diferentes actos y resoluciones realizados por el personal a su servicio; todo ello, sin modificacin legal o variacin respecto de la actuacin que vienen realizando estas Administraciones Pblicas en los soportes tradicionales. 10.2.4. Responsabilidad y obligaciones de las partes 46. Sern partes a los efectos de este apartado los siguientes sujetos: La Administracin, organismos, entidades pblicas representadas a travs de los diferentes rganos competentes y que dependiendo de la Ley de Emisin (si la hubiere) podrn conformarse como Titulares responsables. Oficinas de Registro, que, a travs del personal designado por la Administracin competente, sern responsables de los requisitos y condiciones que ostenten los Titulares y firmantes/custodios del Certificado. Los firmantes y custodios del Certificado y sus Claves, que ser el personal al servicio de las Administraciones, organismos y entidades pblicas. FNMT-RCM, en cuanto Prestador de Servicios de Certificacin. En su caso, resto de Comunidad Electrnica y terceros. 47. El rgimen de derechos y obligaciones de las Administraciones, organismos, entidades pblicas y la FNMT-RCM se regir mediante el correspondiente acuerdo o convenio regulador de los servicios de certificacin. En estos acuerdos o convenios podr establecerse la Ley de Emisin de estos Certificados. La Ley de Emisin tambin podr establecerse con el contenido y finalidad prevista en esta Declaracin. 48. De forma adicional a las obligaciones y responsabilidades de las partes enumeradas en este documento y en la Declaracin General de Prcticas de Certificacin, la Administracin Titular del Certificado y/o el responsable de la Oficina de Registro tienen la obligacin de: No realizar registros o tramitar solicitudes de personal que preste sus servicios en una entidad diferente a la que representa como Oficina de Registro, sin perjuicio de la creacin de Oficinas de Registro centralizadas o de convenios entre administraciones para efectuar registros.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 29 de 93
Comprobar fehacientemente los datos del personal al servicio de las Administraciones pblicas como usuario del Certificado, que actuar como firmante y custodio del mismo, referidos a su identidad y a la condicin del cargo, puesto de trabajo, empleo o cualquier otro dato que refleje o caracterice la relacin de ste con la Administracin, organismo o entidad a la que presta sus servicios Solicitar la revocacin o suspensin del Certificado del personal al servicio del rgano al que representa la Oficina de Registro cuando alguno de los datos referidos a la condicin del cargo, puesto de trabajo, empleo o cualquier otro que refleje o caracterice la relacin del usuario firmante y custodio del Certificado con el Titular, u rgano, organismo o entidad pblica, en la que presta sus servicios, sea inexacto, incorrecto o haya variado. Solicitar a la FNMT-RCM, a travs de la Oficina de Registro, la revocacin del Certificado cuando alguno de los datos referidos a la condicin del cargo, puesto de trabajo, empleo o cualquier otro dato que refleje o caracterice la relacin del personal al servicio de las Administraciones Pblicas con el rgano, organismo o entidad, Titular del Certificado, donde presta sus servicios, sea inexacto, incorrecto, haya variado o sea de necesaria revocacin por razones de seguridad. Solicitar a la FNMT-RCM, a travs de la Oficina de Registro, la revocacin del Certificado cuando, directamente o a travs de comunicacin del personal al servicio de las Administraciones Pblicas y custodio del Certificado, exista prdida, extravo de la tarjeta o soporte del Certificado, o presuncin de ello. Descargar el Certificado y sus claves directamente en la tarjeta criptogrfica que se proporcione a su personal. No conservar las claves privadas de los Titulares en los equipos de la Oficina de Registro, de conformidad con las directrices de la FNMT- RCM plasmadas en los manuales de procedimiento que se entregan a las Oficinas de Registro, en las presentes Polticas de Certificacin y Prcticas de Certificacin Particulares y en la Declaracin General de Prcticas de Certificacin. 49. Las relaciones de la FNMT-RCM con el Titular y el personal al servicio de las Administraciones pblicas que realizar firmas electrnicas con el Certificado proporcionado por el citado Titular quedarn determinadas principalmente, a los efectos del rgimen de uso de los Certificados, a travs del documento relativo a las condiciones de utilizacin o, en su caso, contrato de emisin del Certificado, y, subsidiariamente, por las presentes Polticas de Certificacin y Prcticas de Certificacin Particulares y por la Declaracin General de Prcticas de Certificacin, atendiendo a los acuerdos, convenios o documento de relacin entre la FNMT-RCM y la Administracin Pblica correspondiente. 50. Las relaciones de la Administracin Pblica Titular del Certificado y de su personal con la FNMT-RCM, se realizarn siempre a travs de la Oficina de Registro y su responsable. La FNMT-RCM no realizar ninguna accin solicitada por el personal al servicio de las Administraciones pblicas, firmante y custodio del Certificado, que no est autorizada por el responsable de la Oficina de Registro o por el Titular del Certificado. 51. De forma adicional a las obligaciones y responsabilidades de las partes enumeradas en la Declaracin General de Prcticas de Certificacin, el personal al servicio de las Administraciones Pblicas, como firmante y custodio del Certificado y sus Claves, tiene la obligacin de:
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 30 de 93
No utilizar el Certificado cuando alguno de los datos referidos al cargo, puesto de trabajo, empleo o cualquier otro sea inexacto o incorrecto o no refleje o caracterice su relacin, con el rgano, organismo o entidad en la que presta sus servicios; o, existan razones de seguridad que as lo aconsejen. Realizar un uso adecuado del Certificado en base a las competencias y facultades atribuidas por el cargo, puesto de trabajo o empleo como personal al servicio de las Administraciones Pblicas. Comunicar al responsable de la Oficina de Registro, la prdida, extravo, o sospecha de ello, de la tarjeta o soporte del Certificado del que es usuario y custodio, con el fin de iniciar, en su caso, los trmites de su revocacin. 52. El resto de la Comunidad Electrnica y los terceros regularn sus relaciones con la FNMT- RCM a travs de la Declaracin General de Prcticas de Certificacin, y; en su caso, a travs de estas Polticas de Certificacin y Prcticas de Certificacin Particulares; todo ello sin perjuicio de lo dispuesto en la normativa sobre firma electrnica y dems normativa que resulte de aplicacin. 10.2.5. Lmites de uso de los Certificados para personal al servicio de la Administracin Pblica 53. Constituyen lmites de uso de este tipo de Certificados las diferentes competencias y funciones propias de las Administraciones Pblicas Titulares (actuando a travs del personal a su servicio en calidad de firmante y custodio de los Certificados), de acuerdo con su cargo, empleo y, en su caso, condiciones de autorizacin. La FNMT-RCM y la Administracin, organismos y entidades pblicas podrn fijar en los acuerdos o convenios, a travs del documento de relacin correspondiente o, si fuera procedente, en la Ley de Emisin de estos Certificados, otros lmites adicionales. 54. FNMT-RCM no tendr control sobre las actuaciones y usos de los Certificados que se realicen por el personal al servicio de las Administraciones pblicas en nombre de stas y por las Oficinas de Registro, por lo que la FNMT-RCM quedar exonerada de responsabilidad a efectos de tales usos, as como de las consecuencias y efectos que pudieran producirse en el marco de reclamaciones o, en su caso, de posibles responsabilidades patrimoniales llevadas a cabo por terceros. 55. Para poder usar los Certificados para personal al servicio de la Administracin Pblica de forma diligente, se deber previamente formar parte de la Comunidad Electrnica y, la Administracin actuante, adquirir la condicin de Titular. 56. En cualquier caso, si un tercero desea confiar en la firma electrnica realizada con uno de estos Certificados sin acceder a los servicios de comprobacin de la vigencia de los Certificados emitidos bajo esta Poltica de Certificacin, no se obtendr cobertura de las presentes Polticas de Certificacin y Prcticas de Certificacin Particulares, y se carecer de legitimidad alguna para reclamar o emprender acciones legales contra la FNMT-RCM por daos, perjuicios o conflictos provenientes del uso o confianza en un Certificado. 57. Adems, incluso dentro del mbito de la Comunidad Electrnica, no se podrn emplear este tipo de Certificados, por persona o entidad distinta a la FNMT-RCM, para:
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 31 de 93
Firmar otro Certificado, salvo supuestos expresamente autorizados previamente. Usos particulares o privados. Firmar software o componentes. Generar sellos de tiempo para procedimientos de Fechado electrnico. Prestar servicios a ttulo gratuito u oneroso, salvo supuestos expresamente autorizados previamente ,como por ejemplo seran a ttulo enunciativo: o Prestar servicios de OCSP. o Generar Listas de Revocacin. o Prestar servicios de notificacin 10.3. PRCTICAS DE CERTIFICACIN PARTICULARES PARA LOS CERTIFICADOS EMITIDOS PARA PERSONAL AL SERVICIO DE LA ADMINISTRACIN PBLICA 58. La FNMT-RCM en su labor como Prestador de Servicios de Certificacin y para demostrar la necesaria fiabilidad para la prestacin de dichos servicios, ha desarrollado una Declaracin de Prcticas de Certificacin cuyo objeto es la informacin pblica sobre las condiciones generales de prestacin de los servicios de certificacin por parte de la FNMT- RCM en su condicin de Prestador de Servicios de Certificacin. 59. En especial deber tenerse presente, a efectos interpretativos del presente anexo el apartado Definiciones de la Declaracin General de Practicas de Certificacin. 60. El Presente documento trae causa y forma parte integrante de la Declaracin de Prcticas de Certificacin de la FNMT-RCM y define el conjunto de prcticas particulares adoptadas por la FNMT-RCM como Prestador de Servicios de Certificacin para la gestin del ciclo de vida de los Certificados para personal al servicio de la Administracin Pblica, expedidos bajo la Poltica de Certificacin de Certificados para personal al servicio de a la Administracin Pblica identificada con el OID 1.3.6.1.4.1.5734.3.14. 10.3.1. Servicios de Gestin de las Claves de los Titulares 61. La FNMT-RCM, bajo ningn concepto, genera ni almacena las Claves Privadas de los Titulares, que son generadas bajo su exclusivo control y con la intervencin de la Oficina de Registro correspondiente y cuya custodia esta bajo responsabilidad del personal al servicio de la Administracin Pblica. 10.3.2. Preparacin de los Dispositivos Seguros de Creacin de Firma 62. La FNMT-RCM proporciona a las Administraciones Pblicas Titulares para su entrega al personal de su dependencia, Tarjetas criptogrficas para la generacin de sus Claves Privadas y el almacenamiento de los Certificados. 63. La Tarjeta criptogrfica es entregada a los Usuarios y Administraciones pblicas Titulares sin ningn tipo de contenido, con las utilidades software necesarias para conseguir una integracin con los Navegadores ms utilizados. As mismo, en ese momento se le proporcionan los cdigos necesarios para el acceso a dicha tarjeta para que, posteriormente,
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 32 de 93
desde su puesto o desde el puesto de la propia Oficina de Registro, generen sus Claves e inserte el Certificado en la Tarjeta Criptogrfica. 64. La FNMT-RCM proporciona este tipo de tarjetas ya que permite a los Titulares y personal a su servicio mantener el exclusivo control sobre los Datos de creacin de Firma. 10.3.3. Gestin del ciclo de vida de los Certificados 65. Se definen aqu aquellos aspectos que, si bien ya han sido apuntados en la Declaracin General de Prcticas de Certificacin de la que este documento forma parte, revisten determinadas especialidades que necesitan un mayor nivel de detalle. 10.3.3.1. Procedimiento de solicitud del Certificado para personal al servicio de la Administracin Pblica 66. A continuacin se describe el procedimiento de solicitud por el que la Oficina de Registro toma los datos del personal al servicio de la Administracin Pblica, confirma su identidad, vigencia del cargo o empleo y se formaliza, entre el citado personal y la FNMT-RCM el documento de condiciones de utilizacin o el contrato de emisin, segn proceda por el cargo del personal, segn lo previsto en el documento de relacin, o convenio o acuerdo de la FNMT-RCM con el rgano, organismo y/o entidad para la posterior emisin de un Certificado para personal al servicio de la Administracin Pblica. 67. Se hace constar que FNMT-RCM, en funcin de la relacin de Titulares y personal usuario dependiente remitida por la Administracin, organismos o entidad pblica, considerar, bajo responsabilidad de los correspondientes rganos, organismos y/o entidades, que actuarn a travs de las Oficinas de Registro, que este personal se encuentra con su cargo vigente, que su nmero de Identificacin Personal, empleo o autorizacin es autntico y est en vigor y, por tanto, habilitados para obtener y usar el Certificado. FNMT-RCM, no tendr, en este tipo de Certificado, la responsabilidad de comprobar el cargo o empleo del citado personal, as como que estos requisitos se mantienen durante toda la vida del Certificado, al no ostentar, la FNMT-RCM, relacin jurdica funcionarial, administrativa o laboral con tal personal, ms all del documento de condiciones de utilizacin o, en su caso, contrato de emisin, cuyo efecto es estrictamente instrumental para el desempeo de las funciones propias del cargo. 68. Las actividades de comprobacin anteriores sern realizadas por los responsables de las Oficinas de Registro implantadas por el rgano, organismo o entidad de la Administracin Pblica en cuestin, y que se corresponde, en cada caso, con el organismo o entidad donde el personal presta sus servicios. Por tanto y a estos efectos las Oficinas de Registro no sern autoridades delegadas o dependientes de la FNMT-RCM. 69. Las actuaciones sern las siguientes, una vez realizadas satisfactoriamente por la Oficina de Registro lo sealado anteriormente: 1) Obtencin de la Tarjeta criptogrfica y del software de generacin o importacin de los Datos de creacin y de verificacin de Firma en la Tarjeta La Tarjeta criptogrfica es un Dispositivo seguro de creacin de Firma que debe ser empleada para generar los Datos de creacin y de verificacin de Firma, en su caso, importar el Certificado correspondiente y realizar firmas electrnicas.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 33 de 93
El Titular deber proceder, con carcter previo a la fase de presolicitud, obtener dicha Tarjeta a travs de la Oficina de Registro correspondiente. Adems de la Tarjeta criptogrfica, la Administracin Pblica Titular deber obtener el software necesario para la generacin de las Claves por la propia Tarjeta, o, en su caso, la importacin del correspondiente Certificado. En el procedimiento de obtencin de Certificados, la FNMT-RCM facilitar los elementos necesarios para activar, en la Oficina de Registro, el software pertinente para generar las Claves criptogrficas que le permitan proteger la seguridad de sus comunicaciones a travs de mecanismos de cifrado, as como autenticarse y firmar electrnicamente de conformidad con la Ley 11/2007, de 22 de junio, LAECSP, constituyndose en este ltimo caso como Datos de creacin y de verificacin de Firma. Se hace constar que, a efectos de los elementos necesarios para la activacin del Certificado, FNMT-RCM los adquirir del mercado buscando la mxima pluralidad de proveedores. FNMT-RCM, exigir a los proveedores las garantas necesarias de idoneidad y titularidad de derechos de propiedad industrial e intelectual necesarios, as como aquellas que sean pertinentes en materia de seguridad informtica. No obstante lo anterior, FNMT-RCM no ser responsable de los daos y perjuicios y/o funcionamiento defectuoso que estos elementos puedan producir en los usos que puedan realizarse, ya sean estos por culpa de los usuarios interesados o por defectos de origen de los elementos, limitndose la FNMT-RCM a transmitir las reclamaciones y quejas a los diferentes proveedores. Los Datos de creacin de Firma que se encuentran en la Tarjeta criptogrfica permanecern siempre bajo el exclusivo control del Titular y del personal al servicio de la Administracin Publica como usuario y custodio de tales Certificados , no guardndose copia de ellos por la FNMT-RCM, ni por la Oficina de Registro. La FNMT-RCM fabricar estas tarjetas para mayor seguridad del proceso, bien directamente o a travs de entidades colaboradoras. FNMT-RCM emitir Certificados para tarjetas criptogrficas que estn debidamente homologadas como Dispositivos Seguros de Creacin de Firma por los organismos correspondientes y/o sean aptas tcnicamente para almacenar los Certificados emitidos por la Entidad. Una vez obtenido este soporte y el software necesario para la operativa que desee realizar, el interesado proceder segn se dispone a continuacin. 2) Presolicitud El interesado se persona en la Oficina de Registro o desde el equipo del puesto donde desempea las funciones, siempre que est autorizado por la Oficina de Registro, y accede al sitio web del Prestador de Servicios de Certificacin, la FNMT-RCM, a travs de la direccin http://ape.cert.fnmt.es/appsUsuario/solicitudmeh/solicitudCertInicio.do donde se mostrarn las instrucciones del proceso completo. Deber introducir su NIF o NIE, en el punto de recogida de datos dispuesto para ello; y/o nmero de identificacin funcionarial o laboral. Posteriormente, se generarn las Claves Pblica y Privada (en Tarjeta criptogrfica) que sern vinculadas al Certificado,
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 34 de 93
convirtindose en datos de verificacin y creacin de firma respectivamente, y se asigna e indica al interesado un cdigo de solicitud. Con carcter previo, el personal al servicio de la Administracin Pblica y el rgano, organismo o entidad pblica Titular debern consultar la Declaracin General de Prcticas de Certificacin, y las presentes Polticas de Certificacin y Prcticas de Certificacin Particulares en la direccin http://www.cert.fnmt.es/dpcs/ con las condiciones de uso y obligaciones propias como usuario y Titular, respectivamente, del Certificado, que se plasmaran en el documento de condiciones de utilizacin o, si procede, el contrato de emisin. Al realizar esta presolicitud se enva a la FNMT-RCM la Clave Pblica generada, junto con las correspondientes pruebas de posesin de la Clave Privada, para la posterior emisin del Certificado. La FNMT-RCM, tras recibir esta informacin, y realizadas las comprobaciones pertinentes por la Oficina de Registro, comprobar mediante la Clave Pblica del peticionario la validez de la informacin de la presolicitud firmada, comprobando, nicamente, la posesin y correspondencia de la pareja de Claves criptogrficas por parte del peticionario. Esta informacin no dar lugar a la generacin de un Certificado por parte de la FNMT-RCM, en tanto que sta no reciba firmada, por la Oficina de Registro, la solicitud del Certificado realizada por la Administracin Titular. Al realizarse la generacin de las claves en el interior de la Tarjeta Criptogrfica, la operacin de presolicitud puede desarrollarse en la Oficina de Registro correspondiente, no perdindose en ningn momento la caracterstica de confidencialidad y control exclusivo, por parte del Titular, de la Clave Privada. 3) Confirmacin de la identidad personal, cargo o empleo 10.3.3.2. Personacin ante las Oficinas de Registro 70. La personacin se realizar ante Oficina de Registro designada a tal efecto por el rgano, organismo o entidad pblica Titular de la que depende el personal a su servicio. 71. A estos efectos FNMT-RCM tendr en cuenta las funcionalidades previstas en la legislacin aplicable en relacin con el DNIe, as como los sistemas de identificacin y comprobacin del cargo, funcin o empleo aplicables en las Administraciones Pblicas, por lo que el requisito de personacin podr ser sustituido por otros procedimientos que permitan la identificacin, siempre que estn amparados por la intervencin de la Oficina de Registro. En estos supuestos de procedimientos especiales de identificacin propios del mbito pblico, no ser necesaria la personacin cuando por el rgano competente de la Administracin se proceda a certificar los requisitos de identidad, vigencia del cargo y dems condiciones a comunicar a la Oficina de Registro, de acuerdo con lo previsto en el artculo 13.1 in fine de la Ley 59/2003 de Firma electrnica y artculo 19 de la Ley 11/2007, LAECSP.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 35 de 93
10.3.3.3. Comparecencia y documentacin 72. En el supuesto que se acte mediante comparecencia ante la Oficina de Registro, el personal al servicio de la Administracin Pblica aportar los datos que se le requieran, acreditar su identidad personal y su condicin de personal al servicio de la Administracin Pblica, sin perjuicio de aplicacin de lo previsto en el prrafo anterior. FNMT-RCM estar y admitir, en todo caso, la funcin e informe que realice la Oficina de Registro designada por la Administracin. 1. Envo de informacin a la FNMT-RCM Una vez confirmada, por la Oficina de Registro, la identidad de su personal, la vigencia del cargo o empleo y suscrito el documento de condiciones de utilizacin o, en su caso, el contrato de solicitud por el citado personal y la Oficina de Registro, sta proceder a validar los datos y a enviarlos, junto con el cdigo de solicitud recogido en la fase de presolicitud. Los datos personales y su tratamiento quedarn sometidos a la legislacin especfica. Esta transmisin de informacin a la FNMT-RCM se realizar mediante comunicaciones seguras establecidas para tal fin entre la Oficina de Registro y la FNMT-RCM. 2. Extensin de la funcin de registro e identificacin a otros Certificados emitidos por la FNMT-RCM. Los miembros de la Comunidad Electrnica podrn recibir la prestacin de servicios de certificacin y firma electrnica de la FNMT-RCM, basada en la emisin de Certificados electrnicos pertenecientes a diferentes Leyes de Emisin y en soportes distintos, mediante la aceptacin de las condiciones que, especficamente, se le exhibirn a instancia de la FNMT-RCM en las diferentes webs y dems soportes de servicios de los miembros de la Comunidad Electrnica, de acuerdo con lo establecido en la legislacin sectorial correspondiente y con las limitaciones establecidas en la legislacin reguladora del tratamiento de datos de carcter personal. En la prestacin de los servicios sealados en el prrafo anterior, se podrn extender los efectos de las actuaciones derivadas del registro e identificacin, con los lmites temporales previstos en la legislacin de firma electrnica, as como la reguladora del DNI-e,; todo ello sin perjuicio de las especialidades que puedan derivarse del mbito de las Administraciones Pblicas. 10.3.3.4. Emisin del Certificado para personal al servicio de la Administracin Pblica 73. Una vez recibidos en la FNMT-RCM los datos personales del personal solicitante, la informacin que describe su relacin con la Administracin Pblica, as como el cdigo de solicitud obtenido en la fase de presolicitud, se proceder a la emisin del Certificado. 74. La emisin de Certificados supone la generacin de documentos electrnicos que confirman la identidad del personal, su relacin, cargo o empleo con la Administracin Pblica as como su correspondencia con la Clave Pblica asociada. La emisin de Certificados de la FNMT-RCM slo puede realizarla ella misma, en su calidad de Prestador de Servicios de
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 36 de 93
Certificacin, no existiendo ninguna otra entidad u organismo con capacidad de emisin de los mismos. 75. La FNMT-RCM, por medio de su Firma electrnica, autentica los Certificados y confirma la identidad de sus Titulares, as como la vigencia del cargo o empleo de su personal, de conformidad con la informacin recibida por la Oficina de Registro. Por otro lado y con el fin de evitar la manipulacin de la informacin contenida en los Certificados, la FNMT- RCM utilizar mecanismos criptogrficos que doten de autenticidad e integridad al Certificado. 76. La FNMT-RCM en ningn caso incluir en un Certificado informacin distinta de la aqu mostrada, ni circunstancias, atributos especficos de los firmantes o lmites distintos a los previstos en los acuerdos, convenios y, en su caso, a los previstos en la Ley de Emisin correspondiente. 77. En cualquier caso, la FNMT-RCM actuar eficazmente para: Comprobar que la Oficina de Registro o, en su caso, el personal firmante y custodio del Certificado utilizan la Clave Privada correspondiente a la Clave Publica vinculada a la identidad del Titular del mismo. Para ello, la FNMT-RCM comprobar la correspondencia entre la Clave privada y la Clave pblica. Lograr que la informacin incluida en el Certificado se base en la informacin proporcionada por la Oficina de Registro correspondiente. No ignorar hechos notorios que puedan afectar a la fiabilidad del Certificado. Lograr que el DN (nombre distintivo) asignado en el Certificado sea nico en toda la Infraestructura de Clave Pblica de la FNMT-RCM. 78. Para la emisin del Certificado se seguirn los siguientes pasos: 1. Composicin del nombre distintivo (DN) del personal al servicio de la Administracin Pblica. Con los datos personales del citado personal recogidos durante el proceso de solicitud del Certificado, se procede a componer el nombre distintivo (DN) conforme al estndar X.500, asegurando que dicho nombre tenga sentido y no de lugar a ambigedades. No se contempla el uso de seudnimos como forma de identificacin. El DN para el personal al servicio de la Administracin Pblica est compuesto de los siguientes elementos: DNCN, OU, OU, OU, O, C El conjunto de atributos OU, OU, OU, O, C representa la rama del directorio en la que se encuentra ubicada la entrada correspondiente al personal al servicio de la Administracin Pblica en cuestin. El atributo CN contiene los datos de identificacin del personal al servicio de la Administracin Pblica que para el caso de los Certificados de Identidad de personal al servicio de la Administracin Pblica, seguir la siguiente sintaxis: CN= NOMBRE a1 a2 n NIF 12345678A Donde:
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 37 de 93
NOMBRE y NIF son etiquetas [1]
n, a1 y a2 son los nombres, primer y segundo apellido del personal al servicio de la Administracin Pblica respectivamente [2]
12345678A es su correspondiente NIF [3] . [1] Las etiquetas siempre van en maysculas y se separan del valor por un espacio en blanco. Las duplas <etiqueta, valor> se separan entre ellas con un espacio en blanco, un guin y otro espacio en blanco ( ) [2] Con todos sus caracteres en maysculas, excepto la letra ee, que ir siempre en minscula. No se incluirn smbolos (comas, guiones, etc.) ni caracteres acentuados. [3] NIF del personal al servicio de la Administracin Pblica = 8 cifras + 1 letra mayscula, sin ningn tipo de separacin entre ellas. En el caso que un NIF ocupe menos de 8 cifras, se incluirn ceros al comienzo del nmero hasta completar las 8 cifras. Una vez compuesto el nombre distintivo (DN) que identificar al personal al servicio de la Administracin Pblica, se crea la correspondiente entrada en el directorio, procurando que el nombre distintivo sea nico en toda la Infraestructura de Clave Pblica del Prestador de Servicios de Certificacin. 2. Composicin de la identidad alternativa del personal al servicio de la Administracin Pblica. La identidad alternativa del personal al servicio de la Administracin Pblica, tal como se contempla en la presente tipologa de Certificados contiene la misma informacin que el CN, as como el cargo, rgano, organismo o entidad pblica en la que presta sus servicios, que ser el Titular del Certificado, empleo y nmero de identificacin, distribuida en una serie de atributos, de forma que sea ms sencilla la obtencin de los datos personales del personal al servicio de la Administracin Pblica. Se utiliza la extensin subjectAltName definida en X.509 versin 3 para ofrecer esta informacin. Dentro de dicha extensin, se utilizar el subcampo directoryName para incluir un conjunto de atributos definidos por la FNMT-RCM, que incorporan informacin sobre el personal al servicio de la Administracin Pblica y la Administracin Titular en cuestin, siguiendo el siguiente criterio:
Tipo Certificado Informacin Atributo FNMT OID (*) Nombre fnmtNombre fnmtoid.1.1 Primer apellido fnmtApellido1 fnmtoid.1.2 Personal al Servicio de la Administracin [1] Segundo apellido fnmtApellido2 fnmtoid.1.3
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 38 de 93
NIF fnmtNif fnmtoid.1.4 Cargo fnmtAPECargo fnmtoid.1.38 Entidad en la que presta servicio fnmtAPEEntidad fnmtoid.1.39 Situacin laboral fnmtAPEsituacion fnmtoid.1.40 Nmero identificacin fnmtAPENIP fnmtoid.1.44 Unidad Organizativa fnmtAPEUnidadOrganizativa fnmtoid.1.45 Tabla 4 Composicin de la identidad alternativa del sujeto. Personal APE [1] Por otra parte, adems del subcampo directoryName de la extensin subjectAltName, en el caso de que se haya aportado una direccin de correo electrnico por el personal al servicio de la Administracin Pblica durante el proceso de solicitud de emisin del Certificado, sta estar incluida en el subcampo rfc822Name. (*) fnmtoid: 1.3.6.1.4.1.5734: Espacio de numeracin asignado a la Fabrica Nacional de Moneda y Timbre Real Casa de la Moneda por el IANA. Adems se incluirn las extensiones necesarias para poder realizar el proceso de login en Sistemas Operativos Windows con Tarjeta Criptogrfica, que se considera son:
4.extKeyUsage Autenticacin de cliente: 1.3.6.1.5.5.7.3.2 Inicio de sesin de tarjeta inteligente: 1.3.6.1.4.1.311.20.2.2 Tabla 5 Extensin extKeyUsage. Personal APE
3. Generacin del Certificado conforme al Perfil del Certificado de personal al servicio de la Administracin Pblica. El formato del Certificado de personal al servicio de la Administracin Pblica, expedido por la FNMT-RCM bajo la Poltica de Certificacin de Certificados emitidos, para el personal al servicio de la Administracin Pblica, por la FNMT- RCM, en consonancia con la norma UIT-T X.509 versin 3 y de acuerdo con la normativa legalmente aplicable en materia de Certificados Reconocidos, contiene los siguientes campos:
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 39 de 93
CAMPO CONTENIDO OBSERVACIONES 1. Versin V3 2. Serial Number Secuencial [RFC3280]: the serial number MUST be a positive integer, not longer than 20 octets ( 1 < SN < 2 159 ). Processing components MUST be able to interpret such long numbers. 3. Signature Algorithm Sha1withRsaEncryption Sha256withRsaEncryption OID: 1.2.840.113549.1.1.5 OID: 1.2.840.113549.1.1.11
Norma PKCS#1 v2.1 y RFC 3447.
4. Issuer Distinguished Name
OU= AC APE O=FNMT-RCM C=ES Todos los DirectoryString codificados en UTF8. El atributo C (countryName) se codificar de acuerdo a ISO 3166-1-alpha- 2 code elements, en PrintableString.
[ETSI-CPN]: the issuer name MUST contain the countryName and the organizationName attributes. 5. Validez 48 meses 48 meses a partir del momento de la emisin. 6. Subject CN= Identidad del Titular del Certificado OU= Organizacion_Entidad OU=AC APE O=FNMT-RCM C=ES
Todos los DirectoryString codificados en UTF8. El atributo C (countryName) se codificar de acuerdo a ISO 3166-1-alpha- 2 code elements, en PrintableString. El atributo SN (serialNumber) se codificar en PrintableString.
La Ley de Firma Electrnica establece para los certificados reconocidos: La identificacin del firmante, en el supuesto de personas fsicas, debe realizar por su nombre y apellidos y su nmero de documento nacional de identidad o a travs de un seudnimo que conste como tal de manera inequvoca y, en el supuesto de personas jurdicas, por su denominacin o razn social y su cdigo de identificacin fiscal. El nmero de serie convierte en nico el nombre del sujeto. Todos los DirectoryString codificados en UTF8.
[ETSI-CPN]: The subject field of EE certificates for natural persons SHALL include at least the commonName or the givenNamen and surname attribute.
7. Subject Public Key Info Algoritmo: RSA Encryption Longitud: 2048 bits
8. issuerUniqueIdentifier No se utilizar 9. subjectUniqueIdentifier No se utilizar 10. Subject Key Identifier Funcin hash SHA-1 sobre la clave pblica del sujeto. RFC 3280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectPublicKey del sujeto (excluyendo etiqueta, longitud y nmero de bits no usados).
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 40 de 93
CAMPO CONTENIDO OBSERVACIONES 11. Authority Key Identifier Funcin de hash SHA-1 sobre la clave pblica de la AC emisora (AC subordinada). NO SE incluye la identificacin del certificado de la AC emisora (en este caso, DN de la AC Raz, nmero de serie de la AC Subordinada). RFC 3280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectPublicKey de la AC emisora (excluyendo etiqueta, longitud y nmero de bits no usados). Coincide con el campo Subject Key Identifier de la AC emisora (AC subordinada). 12. KeyUsage Digital Signature 1 Non Repudiation 1 Key Encipherment 1 Data Encipherment 1 Key Agreement 0 Key Certificate Signature 0
CRL Signature 0
Si es necesario que tenga la misma operatividad que FNMT Clase 2 CA, tendr La Norma ETSI TS 102 280 V1.1.1 (2004- 03) X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons recomienda el uso exclusivo del bit de no repudio para certificados destinados a validar el compromiso con el contenido firmado, tales como firmas electrnicas sobre transacciones o acuerdos.
En el Technical Corrigendum 3 de la ITU-T X509 de 04/2004, el bit de no-repudio es renombrado a contentCommitment. En este documento se recoge lo siguiente:
Note that it is not incorrect to refer to this keyUsage bit using the identifier nonRepudiation. However, the use of this identifier has been deprecated. Regardless of the identifier used, the semantics of this bit are as specified in this Directory Specification. 13.extKeyUsage Autenticacin de cliente: 1.3.6.1.5.5.7.3.2 Proteccin de correo electrnico: 1.3.6.1.5.5.7.3.4 Inicio de sesin de tarjeta inteligente: 1.3.6.1.4.1.311.20.2.2
[RFC3280]: Certificate using applications MAY require that a particular purpose be indicated in order for the certificate to be acceptable to that application. If a CA includes extended key usages to satisfy such applications, but does not wish to restrict usages of the key, the CA can include the special keyPurposeID anyExtendedKeyUsage. If the anyExtendedKeyUsage key purpose is present, the extension SHOULD NOT be critical. 14. privateKeyUsagePeriod No se utilizar 15. Certificate Policies Policy Identifier OID asociado a la DPC o PC de certificado de firma de usuario final. (fnmtPolCertPersonalAdmini stracion) 1.3.6.1.4.1.5734.3.14
URL CPS http://www.cert.fnmt.es/dpc s/ RFC 3739 obliga la existencia de al menos un valor. La Ley de Firma Electrnica dice para los certificados reconocidos: La identificacin del prestador de servicios de certificacin que expide el certificado y su domicilio. Se incluir en la DPC.
In an end entity certificate, these policy information terms indicate the policy under which the certificate has been issued and
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 41 de 93
CAMPO CONTENIDO OBSERVACIONES
Notice Reference Sujeto a las condiciones de uso expuestas en la Declaracin de Prcticas de Certificacin de la FNMT-RCM ( C/Jorge Juan 106-28009-Madrid-Espaa) the purposes for which the certificate may be used. 16. qcStatements id-etsi-qcs-QcCompliance id-etsi-qcs-QcSSCD id-etsi-qcs-QcLimitValue : 0 Id-etsi-qcs- QcRetentionPeriod: 15 aos
ETSI TS 101 862 define la inclusin de las siguientes declaraciones para certificados cualificados: 1.- id-etsi-qcs-QcCompliance Indica que el certificado es qualificado. Solo si no est explicito en las polticas indicadas en la extensin correspondiente. 2.- id-etsi-qcs-QcLimitValue Opcional. Indica el valor lmite para transacciones. (No Aplicable). 3.- id-etsi-qcs-QcRetentionPeriod Opcional. Nmero de aos a partir de la caducidad del certificado que se dispone de los datos de registro y otro informacin relevante. En este caso la Ley obliga: Conservar registrada por cualquier medio seguro toda la informacin y documentacin relativa a un certificado reconocido y las declaraciones de prcticas de certificacin vigentes en cada momento, al menos durante 15 aos contados desde el momento de su expedicin, de manera que puedan verificarse las firmas efectuadas con el mismo.. Dado que la FNMT va a conservar la informacin de manera indefinida, y que la norma no establece un valor para indicar un perodo indefinido, no se incluir este QC y se indicar en la DPC. 4.- id-etsi-qcs-QcSSCD Opcional. Indica que la clave privada correspondiente al certificado est almacenada en un dispositivo seguro de creacin de firma de acuerdo al Anexo III de la Directiva del Parlamento Europeo 1999/93/EC, sobre un framework comunitario para firmas electrnicas. 17. Subject Alternate Names Nombre RFC822= email Direccin del directorio: OID.1.3.6.1.4.1.5734.1.1=Nom OID.1.3.6.1.4.1.5734.1.2=Ape1 OID.1.3.6.1.4.1.5734.1.3=Ape2 OID.1.3.6.1.4.1.5734.1.4=NIF OID.1.3.6.1.4.1.5734.1.38=fnmtA PECargo OID.1.3.6.1.4.1.5734.1.39=fnmtA PEEntidad OID.1.3.6.1.4.1.5734.1.40=fnmtA PESituacion OID.1.3.6.1.4.1.5734.1.44=fnmtA PENIP OID.1.3.6.1.4.1.5734.1.45=fnmtU nidadOrganizativa OID.1.3.6.1.4.1.5734.1.15 =fnmtPropCIF Por interoperatividad con las aplicaciones ya desplegadas que hacen uso del formato de identificacin de los certificados FNMT Clase 2 CA, se mantiene el contenido de SubjectAltName.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 42 de 93
CAMPO CONTENIDO OBSERVACIONES
UPN: OID.1.3.6.1.4.1.311.20.2.3=email (Cadena UTF8 codificada en ASN1)
18. Issuer Alternate Names No se utilizar 19. Basic Constraints Subject Type Entidad Final Path Length Constraint No utilizado [RFC 3280] This extension MAY appear as a critical or non-critical extension in end entity certificates. 20. Policy Constraints No utilizado 21. CRLDistributionPoints LDAP: ldap://ldapape.cert.fnmt.es: puerto/CN=CRLnnn,OU= AC APE, O=FNMT, C=ES ?certificateRevocationList;bin ary?base ?objectclass=cRLDistribution Point HTTP: http://www.cert.fnmt.es/crls ape/CRLnnn.crl
22. Auth. Information Access OCSP: http://ocspape.cert.fnmt.es/ ocspape/OcspResponder CA: http://www.cert.fnmt.es/cert s/ACRAIZFNMT.crt
Contendr informacin de localizacin del OCSP Responder. URL resuelta a diferentes servidores. Ley de Firma Electrnica: Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rpido y seguro. 23. netscapeCertType sSLCLIENT,sMIME Tipo de certificado segn Netscape 24. fnmtTipoCertificado 1.3.6.1.4.1.5734.1.33: Personal adscrito a la Administracin Tipo de certificado para Personal adscrito a la Administracin Tabla 6 Perfil del Certificado: Personal APE 10.3.3.5. Publicacin del Certificado de personal al servicio de la Administracin Pblica 79. Una vez generado el Certificado por parte del Prestador de Servicios de Certificacin, se publicar en el Directorio, concretamente en la entrada correspondiente al nombre distintivo del personal al servicio de la Administracin Pblica, tal como se ha definido en el apartado Emisin del Certificado de este documento 80. Si en el proceso de solicitud el personal al servicio de la Administracin Pblica proporcion una direccin de correo electrnico, se le enviar una comunicacin de la disposicin de su Certificado para su descarga.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 43 de 93
10.3.3.6. Descarga e instalacin del Certificado de personal al servicio de la Administracin Pblica 81. Una vez transcurrido el tiempo establecido desde que el personal al servicio de la Administracin Pblica se persona en la Oficina de Registro para acreditar su identidad, vigencia del cargo o empleo, y una vez que el Certificado haya sido generado, se pone a su disposicin o a la de la Oficina de Registro un mecanismo de descarga de Certificado en la direccin http://ape.cert.fnmt.es/appsUsuario/descargameh/descargaCertInicio.jsp 82. accediendo a la opcin Descarga de su Certificado. 83. En este proceso guiado se le pedir al personal al servicio de la Administracin Pblica o al responsable o encargado de la Oficina de Registro que introduzca el NIF o NIE con el que se realiz el proceso de presolicitud, as como el cdigo de solicitud devuelto por el sistema al finalizar dicho proceso. Si el Certificado no ha sido an generado por cualquier motivo, se le indicar este hecho en el momento que intente su descarga. 84. Si el Certificado ya ha sido puesto a disposicin del personal al servicio de la Administracin Pblica o de la Oficina de Registro, aqul ser introducido en el soporte en el que se generaron las Claves durante el proceso de Presolicitud, es decir, la Tarjeta criptogrfica de la FNMT-RCM. 10.3.3.7. Perodo de validez del Certificado de personal al servicio de la Administracin Pblica 85. El periodo de validez de los Certificados de personal al servicio de la Administracin Pblica emitidos por la FNMT-RCM ser de cuatro (4) aos contados a partir del momento de la emisin del Certificado, siempre y cuando no se extinga su vigencia por las causas y procedimientos expuestos en el apartado Extincin de la vigencia del Certificado de la Declaracin General de Prcticas de Certificacin o lo dispuesto, en su caso, en la Ley de Emisin correspondiente. 10.3.3.8. Revocacin del Certificado de personal al servicio de la Administracin Pblica 86. La revocacin de Certificados implica, adems de su extincin, la finalizacin de la relacin y rgimen de uso del Certificado con la FNMT-RCM. 87. La revocacin de un Certificado para el personal al servicio de la Administracin, dado su carcter instrumental para el desarrollo de las funciones pblicas, solamente podr ser solicitada por el responsable de la Oficina de Registro, correspondiente. El Titular podr plantear a la Oficina de Registro la revocacin y/o suspensin se existen causas que as lo aconsejan, en los trminos recogidos en las presentes Polticas de Certificacin y Prcticas de Certificacin Particulares. 88. No obstante, la FNMT-RCM podr revocar los Certificados para el personal al servicio de la Administracin Pblica en los supuestos recogidos en la Declaracin General de Prcticas de Certificacin. 89. La Ley de Emisin podr, adicionalmente, establecer otras causas de revocacin, suspensin y cancelacin de la suspensin.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 44 de 93
90. A continuacin se describe el procedimiento a observar por la Oficina de Registro por el que se formaliza la solicitud de revocacin de un Certificado. 91. Sern causas admitidas para la revocacin de un Certificado las expuestas en el apartado Causas de revocacin de Certificados de la Declaracin General de Prcticas de Certificacin, si bien, la capacidad para su realizacin solamente se le reconoce al responsable de la Oficina de Registro. Asimismo, se recuerda lo previsto en el apartado Extincin de la vigencia del Certificado de la Declaracin General de Prcticas de Certificacin, en relacin con la solicitud de Certificados existiendo otro en vigor a favor del mismo Titular y mismo personal y perteneciente a la misma Ley de Emisin. 92. Las actuaciones necesarias para solicitar la revocacin sern realizadas por la Oficina de Registro correspondiente a la entidad u organismo Titular y con la que la FNMT-RCM ha suscrito el convenio correspondiente. 93. En todo caso, FNMT-RCM recibir de la Administracin, organismos y/o entidad, aquella informacin relevante a efectos de la revocacin de un Certificado, a travs el modelo de solicitud de revocacin del Certificado que se le presente, en formato papel o electrnico, por la Oficina de Registro. 94. La Oficina de Registro transmitir los registros tramitados a la FNMT-RCM para que sta proceda a la revocacin del Certificado. Los datos personales y su tratamiento quedarn sometidos a la legislacin especfica. 95. FNMT-RCM igualmente considerar que el peticionario de la revocacin de un Certificado de este tipo cuenta con la autorizacin correspondiente si la peticin es realizada a travs de la Oficina de Registro correspondiente. FNMT-RCM no realizar valoracin alguna sobre la conveniencia o no de la revocacin solicitada, cuando sea realizada a travs de la citada Oficina de Registro. 96. Una vez que la FNMT-RCM ha procedido a la revocacin del Certificado, se publicar en el Directorio seguro la Lista de Revocacin indicando el nmero de serie del Certificado revocado, la fecha y hora en que se ha realizado la revocacin y, en su caso, la causa de la misma, 10.3.3.9. Suspensin del Certificado de personal al servicio de la Administracin Pblica 97. La suspensin de Certificados deja sin efecto el Certificado durante un perodo de tiempo y en unas condiciones determinadas. 98. La suspensin de los Certificados, dada la naturaleza de estos Certificados, solamente podr ser realizada por el responsable de la Oficina de Registro correspondiente, aunque el Titular podr solicitarla a la Oficina de Registro en los supuestos pertinentes. 99. A continuacin se describe el procedimiento a seguir por la Oficina de Registro por el que se le toman los datos personales, se confirma su identidad, vigencia del cargo o empleo y en su caso se formaliza la solicitud de suspensin de un Certificado por parte de un legtimo interesado. Sern causas admitidas para la suspensin de un Certificado las expuestas en el apartado Causas de suspensin de Certificados de la Declaracin General de Prcticas de Certificacin.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 45 de 93
100. Estas actividades sern realizadas por la Oficinas de Registro de la entidad u organismo al que pertenece el Titular. La FNMT-RCM proceder a suspender el Certificado durante un plazo de noventa (90) das, plazo tras el cual se extinguir el Certificado mediante su revocacin directa por parte del Prestador de Servicios de Certificacin de la FNMT-RCM, salvo que se hubiera levantado la suspensin por parte de la Oficina de Registro correspondiente. No obstante lo anterior, el plazo previsto para la suspensin del Certificado podr verse alterado en funcin de los procedimientos judiciales o administrativos que lo pudieran afectar. 101. Si durante el plazo de suspensin del Certificado ste caducara o se solicitara su revocacin, se producirn las mismas consecuencias que para los Certificados no suspendidos que se vieran afectados por supuestos de caducidad o de revocacin. 1. La Oficina de Registro del mbito correspondiente al rgano, organismo o entidad pblica Titular podr solicitar la suspensin del Certificado mediante la firma del modelo de solicitud de suspensin del Certificado que se le presente en formato papel o electrnico. Las Oficinas de Registro transmitirn los registros tramitados a la FNMT-RCM para que sta proceda a la suspensin del Certificado. Los datos personales y su tratamiento quedarn sometidos a la legislacin especfica. Una vez que la FNMT-RCM ha procedido a la suspensin del Certificado, se publicar en el Directorio la correspondiente Lista de Revocacin, conteniendo el nmero de serie del Certificado suspendido, la fecha y hora en que se ha realizado la suspensin y como causa de revocacin: suspensin. En todos los supuestos anteriores de estas Prcticas de Certificacin particulares donde sea necesaria la identificacin y sea posible la identificacin telemtica, se tendr en cuenta por el Prestador FNMT-RCM las funcionalidades previstas para el DNI-e, de acuerdo con la legislacin especfica y el uso de otro Certificado emitido por la FNMT-RCM o reconocido por sta. 2. Cancelacin de la suspensin del Certificado de personal al servicio de la Administracin Pblica Podrn solicitar la Cancelacin de la suspensin de los Certificados emitidos por la FNMT-RCM el responsable o encargado de la Oficina de Registro del mbito del Titular, en los trminos y condiciones expresados en la Declaracin General de Prcticas de Certificacin, siempre que dicha solicitud se efecte durante los noventa (90) das siguientes a su suspensin. En este acto la Oficina de Registro aportar los datos que se le requieran y acreditar la identidad del personal a su servicio cuya identidad conste en el Certificado, siguiendo el procedimiento descrito anteriormente para la solicitud de emisin del Certificado del personal al servicio de la Administracin Pblica. FNMT-RCM aceptar el informe de acreditacin que pudiera emitir la Oficina de Registro considerando lo establecido en el artculo 13.1, in fine, de la Ley de Firma Electrnica. Los datos personales del personal al servicio de la Administracin Pblica y de la Administracin Pblica Titular, una vez validados por la Oficina de Registro, se enviarn a la FNMT-RCM mediante comunicaciones seguras establecidas para tal fin
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 46 de 93
entre la Oficina de Registro y la FNMT-RCM. Los datos personales y su tratamiento quedarn sometidos a la legislacin especfica Una vez recibidos los datos validados por la Oficina de Registro de la peticin de levantamiento de suspensin, la FNMT-RCM proceder a retirar este Certificado de la Lista de Revocacin, no efectundose accin tcnica alguna sobre el Certificado en cuestin. Como en supuestos anteriores a efectos de identificacin, se tendr en cuenta las funcionalidades previstas para el DNI-e, de acuerdo con la legislacin especfica y otras previstas en el mbito de las Administraciones Pblicas. 10.3.3.10. Comprobacin del estado del Certificado del personal al servicio de la Administracin 102. El Titular del Certificado y las Administraciones ,organismos y entidades usuarias pertenecientes a la Comunidad Electrnica de este tipo de Certificados podrn realizar la comprobacin del estado de un Certificado, bien, en la forma y condiciones que se expresan en los apartados Procedimientos de consulta del estado de los Certificados y Servicio de validacin de Certificados mediante OCSP de la Declaracin General de Prcticas de Certificacin; bien, mediante el procedimiento especficamente establecido en la Ley de Emisin adoptada por la FNMT-RCM y la Administracin u organismo actuante. 10.3.4. Exclusiones y requisitos adicionales a ETSI TS 101 456 De acuerdo con la norma en el apartado 8.2 b), se excluyen las cuestiones definidas en el apartado 7.5 j), k). De acuerdo con la norma en el apartado 8.2 c), se excluyen las cuestiones definidas en el apartado 7.3.5 f). En este tema se estar a lo sealado en el apartado Publicacin del Certificado de este anexo. De acuerdo con la norma en el apartado 8.2 d), se excluyen las cuestiones definidas en el apartado 7.3.6 k). En este tema se estar a lo sealado en el apartado Comprobacin del estado del Certificado de este anexo. 103. Respecto aquellos Certificados Reconocidos que usen Dispositivos Seguros de creacin de firma, seguirn lo sealado en el apartado Soporte del Certificado de la Declaracin General de Prcticas de Certificacin de la FNMT-RCM, as como a lo expuesto en los apartados sobre Ciclo de vida del certificado del citado documento. 10.3.5. Modelos de formulario 104. Los modelos de formularios que se deben cumplimentar para realizar las operaciones descritas para la gestin del ciclo de vida de los Certificados para personal al servicio de la Administracin Pblica se ponen a disposicin en http://www.ceres.fnmt.es , as como en la web de cada Oficina de Registro correspondiente.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 47 de 93
11. CERTIFICADOS EMITIDOS PARA LA IDENTIFICACIN DE SEDES ELECTRNICAS DE LA ADMINISTRACIN PBLICA, ORGANISMOS Y ENTIDADES PBLICAS VINCULADAS O DEPENDIENTES 11.1. POLTICA DE CERTIFICACIN DE LOS CERTIFICADOS EMITIDOS PARA LA IDENTIFICACIN DE SEDES ELECTRNICAS DE LA ADMINISTRACIN PBLICA, ORGANISMOS Y ENTIDADES PBLICAS VINCULADAS O DEPENDIENTES 11.1.1. Identificacin 105. Las sedes electrnicas en el mbito de actuacin de las Administraciones Pblicas, son direcciones electrnicas disponibles para los ciudadanos. El establecimiento de una sede electrnica conlleva la responsabilidad de la Administracin u organismo actuante en relacin con la integridad, veracidad y actualizacin de la informacin y servicios a los que pueda accederse. Las condiciones de publicidad oficial relativas a las sedes electrnicas, as como los principios aplicables a la sede electrnica ser competencia de cada Administracin Titular de la misma. La FNMT-RCM solamente prestar los servicios de seguridad y certificacin electrnica necesarios atendiendo a las necesidades de cada Administracin. 106. La presente Poltica de Certificacin Particular de la FNMT-RCM para la expedicin de Certificados para la identificacin de sedes electrnicas de la Administracin Pblica, organismos y entidades pblicas vinculadas o dependientes tiene la siguiente identificacin:
Nombre Poltica de Certificacin de Certificados para la identificacin de sedes electrnicas de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes Referencia/OID 1.3.6.1.4.1.5734.3.12 Versin 1.0 Fecha de Emisin 1 de Agosto de 2007 Localizacin http://www.cert.fnmt.es/dpcs DPC relacionada Declaracin General de Prcticas de Certificacin de la FNMT-RCM Localizacin: http://www.cert.fnmt.es/dpcs Tabla 7 Identificacin Poltica Certificacin Sede Electrnica APE
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 48 de 93
11.1.2. Tipologa del Certificado para la identificacin de sedes electrnicas de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes 107. Los Certificados de identificacin de sede electrnica, de conformidad con la definicin de sede electrnica de la Ley 11/2007, LAECSP son aquellos Certificados expedidos por la FNMT-RCM bajo esta poltica de certificacin y que vinculan unos Datos de verificacin de Firma a los datos identificativos de una sede electrnica en la que existe una persona fsica que acta como firmante o custodio de la clave y el Titular del Certificado que es la administracin, organismo o entidad pblica a la que pertenece y que es titular de la direccin electrnica y dominio a travs de la que se accede a la sede electrnica. Esta persona fsica es la que tiene el control sobre dicho Certificado y los Datos de creacin y verificacin de firma y es responsable de su custodia de forma diligente. 108. Corresponder al responsable de la Oficina de Registro la condicin de firmante, custodio y, por tanto, el control de la clave y titularidad del Certificado de sede electrnica. 109. Por tanto, la Clave Privada asociada a la Clave Pblica y los Datos de creacin y verificacin de firma estarn bajo la responsabilidad de dicho firmante o custodio y que actuar como representante de la entidad de la Administracin Pblica (Persona Jurdica) que tiene la titularidad, gestin y administracin de la direccin electrnica correspondiente. 110. FNMT-RCM emitir estos Certificados siempre que sea solicitado por los miembros de la Comunidad Electrnica sujetos a la Ley 11/2007 LAECSP para las diversas relaciones que puedan producirse en el mbito de la sede electrnica y no se encuentre prohibido o limitado su utilizacin por la legislacin aplicable. 111. FNMT-RCM emitir, suspender y/o revocar estos Certificados siempre que sea solicitado por el responsable de la Oficina de Registro correspondiente, el cual se presumir que ostenta capacidad y competencia suficientes a los efectos de este tipo de Certificados. 112. Lo dispuesto anteriormente se entender sin perjuicio de lo ordenado por resolucin administrativa o judicial. 113. FNMT-RCM no ser responsable, al igual que con el resto de Certificados emitidos de las actuaciones realizadas con este tipo de Certificados cuando se produzcan abuso de facultades o insuficiencia de las mismas y/o cuando se produzcan decisiones del miembro de la Comunidad Electrnica Titular del Certificado que afecten a la vigencia de las facultades de ste, produciendo en su caso supuestos de responsabilidad patrimonial, por lo que cualquier modificacin, revocacin o restriccin en el Certificado y su uso no ser oponible a la FNMT-RCM salvo que sea fehacientemente notificada por persona con competencia al efecto o, en su caso, por el responsable de la Oficina de Registro correspondiente. 114. Del mismo modo, FNMT-RCM no ser responsable de las actuaciones realizadas con este tipo de Certificados cuando los datos identificativos de la sede electrnica, consignados en el Certificado y para la cual se ha emitido, sean diferentes de los asociados a la sede electrnica en la que se est empleando, por lo que cualquier modificacin, revocacin o restriccin en el Certificado y su uso no ser oponible a la FNMT-RCM salvo que sea fehacientemente notificada. FNMT-RCM no es competente para acreditar o valorar la
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 49 de 93
titularidad de las sedes electrnicas y/o dominios de las Administraciones, organismos o entidades pblicas a las que pertenezca dicha sede electrnica. 115. La FNMT-RCM, como Prestador de Servicios de Certificacin se reserva el derecho de no expedir o revocar este tipo de Certificados si el firmante/custodio del Certificado de sede electrnica en la que se emplea tal Certificado, no hace un uso adecuado del mismo, conculcando derechos de propiedad industrial o intelectual de terceros sobre las aplicaciones, sitios Web o sedes electrnicas que se desean proteger con tales Certificados, o su uso se presta a engao o confusin sobre la titularidad de tales aplicaciones, sitios Web o sedes electrnicas y, por tanto, de sus contenidos. En especial, tal reserva de derechos se podr ejecutar por la FNMT-RCM cuando en la utilizacin de tales Certificados se atente contra los siguientes principios: a) La salvaguarda del orden pblico, la investigacin penal, la seguridad pblica y la defensa nacional. b) La proteccin de la salud pblica o de las personas fsicas que tengan la condicin de consumidores o usuarios, incluso cuando acten como inversores. c) El respeto a la dignidad de la persona y al principio de no discriminacin por motivos de raza, sexo, religin, opinin, nacionalidad, discapacidad o cualquier otra circunstancia personal o social, y d) La proteccin de la juventud y de la infancia. 116. La FNMTRCM, se mantendr indemne por parte de los titulares o responsables de los equipos, aplicaciones o sedes electrnicas que incumplan lo previsto en este apartado y que tenga relacin con el Certificado, quedando exonerada de cualquier reclamacin o reivindicacin por el uso inadecuado de tales Certificados. 117. Este Certificado se emite por la FNMT-RCM por cuenta de la Administracin Pblica correspondiente a la que la FNMT-RCM presta los servicios tcnicos, administrativos y de seguridad necesarios como Prestador de Servicios de Certificacin. 118. El Certificado para la identificacin de sedes electrnicas de la Administracin Pblica es desarrollado por la FNMT-RCM mediante una infraestructura PKI especfica, basada en actuaciones de identificacin y registro realizadas por las Oficinas de Registro designadas por el rgano, organismo o entidad de la Administracin Pblica que tiene la titularidad, gestin y administracin de la direccin electrnica de la sede electrnica. 119. Las Leyes de Emisin podrn establecer, en el mbito de actuacin de las Administraciones Pblicas, Oficinas de Registro comunes para este mbito de actuacin con efectos uniformes para cualesquiera Administraciones, organismos y/o entidades pblicas. 120. Este Certificado, es emitido con el perfil tcnico correspondiente y/o equivalente a los denominados Certificados Reconocidos, con base en los criterios establecidos para tal en la Ley de Firma Electrnica (Ley 59/2003), en la normativa especial de la FNMT-RCM y en la normativa tcnica EESSI, concretamente ETSI TS 101 456 - Policy requirements for certification authorities issuing qualified certificates y ETSI TS 101 862 Qualified Certificate Profile, tanto en lo referente al Prestador de Servicios de Certificacin como a la generacin de los Datos de Verificacin de Firma y al contenido del propio Certificado; todo ello sin perjuicio de las especialidades propias del mbito de actuacin de las Administraciones pblicas.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 50 de 93
121. Por consiguiente, el Certificado emitido para la identificacin de sedes electrnicas no se regir por lo dispuesto en la Ley 59/2003, de 19 de diciembre, de firma electrnica a efectos del Certificado de persona jurdica de acuerdo con lo dispuesto en el artculo 7.6 de la cita Ley, por lo que ser de aplicacin la normativa especfica correspondiente y, en su defecto, las Declaraciones General y Particular de la FNMT-RCM, en defecto, como se ha dicho, de normativa especfica derivada entre otros supuestos del esquema nacional de interoperabilidad y/o seguridad. 11.1.3. Gestin de la Poltica de Certificacin 122. La FNMT-RCM dispone especficamente de una Poltica de Certificacin efectiva en relacin con los Certificados emitidos para la identificacin de sedes electrnicas de la Administracin General del Estado y, en su caso, otras Administraciones Pblicas del mbito de aplicacin de la Ley 11/2007, de 22 de junio, LAECSP, y, en particular, declara que: La FNMT-RCM tiene capacidad para especificar, revisar, y aprobar la Poltica de Certificacin de estos Certificados a travs de su Direccin General y dems rganos directivos de la misma. La FNMT-RCM dispone (apartado 11.2, siguiente) de una Declaracin Particular de Prcticas de Certificacin en la que se detallan las prcticas de certificacin empleadas para la expedicin de Certificados conformes a la Poltica de Certificacin aqu expuesta para este tipo de Certificado. La FNMT-RCM dispone, dentro de las competencias de la Direccin y dems rganos directivos de la misma, de capacidad, para especificar, revisar y aprobar los procedimientos de revisin y mantenimiento tanto para las Prcticas de Certificacin Particulares como para la Poltica de Certificacin correspondiente. La FNMT-RCM realiza anlisis de riesgos para evaluar las amenazas del sistema y proponer las medidas de seguridad adecuadas (salvaguardas) para todas las reas implicadas. La Declaracin Particular de Prcticas de Certificacin se pone a disposicin del pblico mediante el URL: http://www.cert.fnmt.es/dpcs/ La Ley de Emisin de cada tipo o grupo de Certificados, caso de establecerse, podr ser de acceso restringido total o parcialmente por razones de seguridad al tratarse de un sistema de certificacin de uso en el mbito de las Administraciones pblicas y personal correspondiente. La Poltica de Certificacin de Certificados emitidos para la identificacin de sedes electrnicas se pone a disposicin del pblico mediante el URL: http://www.cert.fnmt.es/dpcs/ Esta Poltica de Certificacin recoge las obligaciones y responsabilidades generales de las partes implicadas en la emisin y uso de los Certificados de sede electrnica en
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 51 de 93
el mbito pblico, los cuales est emitidos por la FNMT-RCM bajo a esta Poltica de Certificacin, sin perjuicio de las especialidades que pudieran existir en el contrato o convenio correspondiente o si procede en la Ley de Emisin. Se dispone de un OID especfico para identificar la Poltica de Certificacin aqu desarrollada, siendo el OID asignado en el marco de la numeracin de la FNMT- RCM: 1.3.6.1.4.1.5734.3.12 123. La Poltica de Certificacin de la FNMT-RCM para el presente Certificado se define en base al documento ETSI TS 101 456, en concreto en su apartado 8, cumplindose los requisitos expuestos en los apartado 6 y 7 con las exclusiones sealadas en el apartado 8.2 (que se exponen en el apartado Exclusiones y Requisitos Adicionales a ETSI TS 101456 de la presente Poltica de Certificacin). En caso de discrepancia entre este documento y la referida norma, prevalecer este documento. 11.1.4. Comunidad y mbito de aplicacin 124. La presente Poltica de Certificacin es de aplicacin en la expedicin de Certificados de sede electrnica mbito pblico. Estos Certificados tendrn las siguientes caractersticas: a) Son expedidos como Certificados Reconocidos o con efecto equivalente a los denominados reconocidos con base en los criterios establecidos para tal en la Ley 59/2003, de 19 de diciembre, de Firma Electrnica y en la normativa tcnica EESSI ETSI TS 101 862 Qualified Certificate Profile. b) Son expedidos por la FNMT-RCM como Prestador de Servicios de Certificacin cumpliendo con los criterios establecidos en la Ley 59/2003, de 19 de diciembre, citada, y en la normativa tcnica EESSI, concretamente ETSI TS 101 456 - Policy requirements for certification authorities issuing qualified certificates. c) Los Certificados emitidos bajo esta Poltica de Certificacin son expedidos para los rganos y entidades encuadrables en el concepto legal de Administracin Pblica, organismos y entidades pblicas vinculadas o dependientes y que forman parte de la Comunidad Electrnica, tal y como se define en el apartado Definiciones de la Declaracin General de Prcticas de Certificacin de la FNMT-RCM, y con objeto exclusivo de identificar una sede electrnica de titularidad de cualesquiera de estos sujetos pblicos. En el marco de esta Poltica de Certificacin, el Solicitante del Certificado se corresponde con personal con competencia suficiente y que presta sus servicios en la Administracin Pblica del Reino de Espaa, bien sea en un rgano, organismo, entidad de la Administracin general, Autonmica o Local del Estado y que tiene la titularidad, gestin y administracin de la direccin electrnica a travs de la que se accede a la sede electrnica. d) Los Certificados emitidos bajo est Poltica de Certificacin se consideran idneos como parte integrante de sistemas de firma electrnica que requieran niveles de seguridad especficos y, en especial, para el establecimiento de comunicaciones seguras entre una direccin electrnica y el usuario que se conecte a ella, adems de ser una herramienta para autenticar e identificar a la direccin electrnica para la cual han sido emitidos. Por tanto, los Certificados emitidos bajo esta poltica se consideran
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 52 de 93
adecuados para el desarrollo de la Ley 11/2007, de 22 de junio, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos (LAECSP), a los efectos de identificacin de las sedes electrnicas en el mbito pblico y para el establecimiento de comunicaciones seguras con ellas, con idoneidad para ser utilizados en la generacin de firma electrnica reconocida en dicho mbito. 125. La Ley de Emisin de estos Certificados podr determinar, en defecto de normativa especfica, las condiciones de uso y rgimen especfico o individualizado de estos Certificados que permitirn la identificacin de las sedes electrnicas y atribucin a las Administraciones, organismos y entidades titulares de tales sedes electrnicas y responsables de sus contenidos de los diferentes actos y resoluciones realizados; todo ello, sin modificacin legal o variacin respecto de la actuacin que vienen realizando las Administraciones, organismos y entidades en los soportes tradicionales en papel y otros. 11.1.5. Responsabilidad y obligaciones de las partes 126. Sern partes a los efectos de este apartado los siguientes sujetos: La Administracin, organismos, entidades pblicas representadas a travs de los diferentes rganos competentes. Salvo indicacin en contrario, corresponder la representacin a las Oficinas de Registro correspondiente a travs de su responsable. Los Titulares, que sern: los rganos, organismos y entidades de la Administracin Pblica que tengan la titularidad, gestin y administracin de la direccin electrnica a travs de la cual se accede a la sede electrnica o, en su caso, rgano en quin se deleguen las atribuciones o facultades. FNMT-RCM considerar como entidades u rgano delegados, salvo indicacin en contrario, a las Oficinas de Registro. Los Firmantes/Custodios, que sern: el personal al servicio de las Administraciones, organismos y entidades pblicas que realiza la solicitud del Certificado y que, por tanto, toma el papel de firmante y custodio de los Datos de Creacin de Firma. FNMT-RCM considerar, salvo indicacin en contrario, que el responsable de la Oficina de Registro es el firmante y custodio del Certificado y de los Datos de Creacin de Firma contenidos en el mismo. FNMT-RCM, en cuanto Prestador de Servicios de Certificacin. En su caso, resto de Comunidad Electrnica y terceros. 127. El rgimen de derechos y obligaciones de las Administraciones, organismos, entidades pblicas y la FNMT-RCM se regir mediante el correspondiente acuerdo o convenio regulador de los servicios de certificacin. En estos acuerdos o convenios podr establecerse la Ley de Emisin de estos Certificados; sin perjuicio, de lo dispuesto en la presente Declaracin en relacin con las caractersticas o requisitos comunes aplicables a la Ley de Emisin de cada tipo de Certificado que se establece, con carcter general y efecto subsidiario, a lo no previsto en los acuerdos o convenios correspondientes. 128. Con carcter general y de forma adicional a las obligaciones y responsabilidades de las partes enumeradas en la Declaracin General de Prcticas de Certificacin, la
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 53 de 93
Administracin, organismos, entidades pblicas Titulares, representadas a travs de los diferentes rganos competentes, actuando a travs del responsable de la Oficina de Registro para la emisin de este tipo de Certificados, tiene la obligacin de: No realizar registros o tramitar solicitudes de Certificados para la identificacin de sedes electrnicas por personal que preste sus servicios en una entidad diferente a la que representa como Oficina de Registro, salvo habilitacin expresa de otra entidad. No realizar registros o tramitar solicitudes de Certificados emitidos bajo esta poltica y cuya titularidad, referida al rgano de la administracin, se corresponda con una entidad de la administracin pblica sobre la que no tenga potestades o no tenga competencias para actuar como Oficina de Registro. No realizar registros o tramitar solicitudes de Certificados emitidos bajo esta poltica y cuya titularidad, referida al rgano u organismo de la administracin, no se corresponda con la titularidad de la direccin electrnica a travs de la que se accede a la sede electrnica que identificar el Certificado objeto de la solicitud. No realizar registros o tramitar solicitudes de Certificados emitidos bajo esta poltica y cuya titularidad, referida al firmante y custodio de los Datos de Creacin de Firma, se corresponda con una persona fsica que no preste sus servicios en la entidad titular del Certificado y/o no coincida con alguno de los contactos establecidos, en las bases de datos correspondientes, para la gestin y administracin de la direccin electrnica a travs de la que se accede a la sede electrnica que identificar el Certificado objeto de la solicitud. Comprobar fehacientemente los datos identificativos y competenciales de los Titulares del Certificado (la Administracin propietaria de la sede electrnica y de la direccin electrnica, dominio o URL, a travs del cual se accede a tal sede) y Solicitantes (la persona fsica con atribucin suficiente para solicitar un Certificado de sede electrnica) del Certificado y verificar su correspondencia con los titulares y contactos establecidos, en las bases de datos correspondientes, para la gestin y administracin de la direccin electrnica a travs de la que se accede a la sede electrnica que identificar el Certificado objeto de la solicitud. Solicitar la revocacin del Certificado de identificacin de sede electrnica emitido bajo esta poltica cuando alguno de los datos referidos a los Titulares o los firmantes/custodios del Certificado o sea incorrecto, inexacto o haya variado respecto a lo consignado en el Certificado o o no se correspondan con el titular, firmante/custodio y contactos establecidos, en las bases de datos correspondientes, para la gestin y administracin de la direccin electrnica consignada en el Certificado objeto de la revocacin. No utilizar el Certificado cuando alguno de los datos referidos al cargo, puesto de trabajo o empleo o cualquier otro relativo al firmante/custodio del Certificado sea inexacto, incorrecto o no refleje o caracterice adecuadamente su relacin con el rgano o la entidad en la que presta sus servicios; o, existan razones de seguridad que as lo aconsejen.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 54 de 93
129. Las relaciones de la FNMT-RCM y el Titular quedarn determinadas principalmente, a los efectos del rgimen de uso de los Certificados a travs del documento relativo a las condiciones de utilizacin o en su caso, contrato de emisin del Certificado y atendiendo a los acuerdos, convenios o documento de relacin entre la FNMT-RCM y la Administracin Pblica correspondiente. 130. El resto de la Comunidad Electrnica y los terceros regularn sus relaciones con la FNMT- RCM a travs de la Declaracin General de Prcticas de Certificacin y; en su caso, a travs de estas Polticas de Certificacin y Prcticas de Certificacin Particulares; todo ello sin perjuicio de lo dispuesto en la normativa sobre firma electrnica y dems normativa que resulte de aplicacin. 131. FNMT-RCM no ser responsable de la comprobacin de la coincidencia entre los Titulares y la direccin electrnica consignados en el Certificado con el titular y contactos administrativos que figuran, para dicha direccin electrnica, en las bases de datos de las entidades reguladoras de la asignacin y gestin de nombres direcciones electrnicas, correspondiendo esta actividad y responsabilidad a la Oficina de Registro. 132. FNMT-RCM no ser responsable de la utilizacin de los Certificados emitidos bajo esta Poltica cuando el Titular del Certificado electrnico a travs de su representante o firmante/custodio realice actuaciones sin facultades o extralimitndose de las mismas o no se corresponda con los titulares y contactos autorizados para la gestin de la direccin electrnica para la cual ha sido emitido el Certificado. 11.1.6. Lmites de uso de los Certificados para la identificacin de sedes electrnicas 133. Constituyen lmites de uso de este tipo de Certificados las competencias administrativas correspondientes a cada Titular identificado al amparo de las sedes electrnicas de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes, de conformidad con la Ley 11/2007, LAECSP, para la identificacin de sedes electrnicas y el establecimiento de comunicaciones seguras con stas. La FNMT-RCM y la Administracin, organismos y entidades podrn fijar en los acuerdos o convenios, o a travs del documento de relacin correspondiente o, si fuera procedente en la Ley de Emisin de estos Certificados, otros lmites adicionales. 134. El Certificado de sede electrnica del mbito pblico, no permitir a sus Titulares emplear este tipo de Certificados, por persona o entidad distinta a la FNMT-RCM, para: Firmar otro Certificado, salvo autorizacin previa y expresa de la FNMT-RCM. Usos particulares o privados. Firmar software o componentes. Generar Listas de Revocacin como prestador de servicios de certificacin. Cualquier uso que exceda de la finalidad de este tipo de Certificados sin la autorizacin previa de la FNMT-RCM
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 55 de 93
11.2. PRCTICAS DE CERTIFICACIN PARTICULARES PARA LOS CERTIFICADOS EMITIDOS PARA LA IDENTIFICACIN DE SEDES ELECTRNICAS DE LA ADMINISTRACIN PBLICA, ORGANISMOS Y ENTIDADES PBLICAS VINCULADAS O DEPENDIENTES 135. La FNMT-RCM en su labor como Prestador de Servicios de Certificacin y para demostrar la necesaria fiabilidad para la prestacin de dichos servicios, ha desarrollado una Declaracin de Prcticas de Certificacin cuyo objeto es la informacin pblica sobre las condiciones generales de prestacin de los servicios de certificacin por parte de la FNMT- RCM en su condicin de Prestador de Servicios de Certificacin. 136. En especial deber tenerse presente, a efectos interpretativos del presente anexo el apartado Definiciones del cuerpo principal de la Declaracin General de Practicas de Certificacin. 137. El Presente documento trae causa y forma parte integrante de la Declaracin General de Prcticas de Certificacin de la FNMT-RCM y define el conjunto de prcticas particulares adoptadas por la FNMT-RCM como Prestador de Servicios de Certificacin para la gestin del ciclo de vida de los Certificados para la identificacin de sedes electrnicas de la Administracin Pblica, expedidos bajo la Poltica de Certificacin de Certificados para la identificacin de sedes electrnicas de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes identificada con el OID 1.3.6.1.4.1.5734.3.12. 11.2.1. Servicios de Gestin de las Claves de los Usuarios y Titulares 138. La FNMT-RCM bajo ningn concepto genera ni almacena las Claves Privadas de los Titulares, que son generadas bajo su exclusivo control y el del responsable de la Oficina de Registro cuya custodia esta bajo su responsabilidad o, en su caso, bajo la responsabilidad de la persona designada por la Oficina de Registro. 11.2.2. Gestin del ciclo de vida de los Certificados 11.2.2.1. Registro de los Titulares de Certificados de sede electrnica mbito pblico 139. Con carcter previo al establecimiento de cualquier relacin institucional con los Titulares, la FNMT-RCM informa a travs de los medios y direcciones web citadas en estas Prcticas y, subsidiariamente, en la Declaracin General de Prcticas de Certificacin, acerca de las condiciones del servicio as como de las obligaciones, garantas y responsabilidades de las partes implicadas en la expedicin y uso de los Certificados por ella emitidos en su labor como Prestador de Servicios de Certificacin. 140. La FNMT-RCM en su actividad como Prestador de Servicios de Certificacin, a travs de las Oficinas de Registro procede a la identificacin de los solicitantes y futuros Titulares que soliciten Certificados para la identificacin de sedes electrnicas mediante aquellos procedimientos que as se dispongan para ello. FNMT-RCM considerar con competencia al efecto cualquier solicitud que venga realizada por el responsable de la Oficina de Registro correspondiente, que se considerar representante del Titular. 141. La FNMT-RCM recabar de los solicitantes solo aquella informacin, recibida de la Oficina de Registro, que sea necesaria para la expedicin de los Certificados y para la comprobacin de la identidad, legitimidad y competencia de los representantes, almacenando la
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 56 de 93
informacin exigida por la legislacin de firma electrnica durante el periodo de quince (15) aos, tratndola con la debida diligencia para el cumplimiento de la legislacin nacional vigente en materia de proteccin de datos de carcter personal. 142. La FNMT-RCM, dado que en su actividad como Prestador de Servicios de Certificacin no genera el par de Claves de los Titulares, pone todos los mecanismos necesarios durante el proceso de Solicitud de Certificados para posibilitar que el responsable de la Oficina de Registro y/o el representante del Titular se encuentra en posesin de la Clave Privada asociada a la Clave Pblica que se certificar. 11.2.2.2. Procedimiento de solicitud del Certificado para la identificacin de sedes electrnicas 143. A continuacin se describe el procedimiento de solicitud del Certificado por el que se toma la denominacin oficial de la Administracin, organismo o entidad pblica, que sern los Titulares de los Certificados, los datos personales de los representantes de los Titulares, se confirma su identidad, vigencia del cargo o empleo y se formaliza, entre el Titular y la FNMT-RCM el documento de condiciones de utilizacin o el contrato tipo de emisin para la posterior emisin de un Certificado para la identificacin de la sede electrnica. 144. Se hace constar que FNMT-RCM, en funcin de la relacin de Titulares remitida por la Administracin, organismo o entidad pblica, considerar, bajo responsabilidad de las correspondientes rganos, organismos y/o entidades que actuarn a travs de las Oficinas de Registro, que estos Titulares cumplen los requisitos establecidos en la presente Declaracin y, por tanto, tienen la legitimidad y competencia necesarias para solicitar y obtener el Certificado de identificacin de sede electrnica. La FNMT-RCM presumir con facultades y competencia suficientes a los representantes de los Titulares que tengan encomendada la responsabilidad de la Oficina de Registro. 145. FNMT-RCM, no tendr, en este tipo de Certificado, la responsabilidad de comprobar: La potestad y competencia de la Oficina de Registro para solicitar un Certificado de identificacin de sede electrnica en nombre del rgano, organismo o entidad de la administracin en cuestin y Titular del Certificado. La titularidad del rgano, organismo o entidad de la administracin sobre la direccin electrnica y/o dominio que se consignar en el Certificado Que el Solicitante del Certificado tenga la condicin de personal al servicio de la Administracin pblica Titular con legitimidad y competencia suficiente para iniciar la solicitud y actuar como firmante y/o custodio del Certificado. 146. Por tanto, todas las actividades de comprobacin sern realizadas por las Oficinas de Registro implantadas por el organismo o entidad de la Administracin Pblica en cuestin que se corresponder, en cada caso, con el organismo o entidad Titular del Certificado y de la direccin electrnica a travs de la que se accede a su sede electrnica. 11.2.2.3. Presolicitud 147. El representante del Titular que, habitualmente, ser el responsable de la Oficina de Registro correspondiente, en el sistema de firma electrnica basado en dispositivo seguro o
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 57 de 93
medio equivalente, genera las Claves Pblica y Privada que sern vinculadas al Certificado, convirtindose posteriormente en datos de verificacin y creacin de firma respectivamente. 148. El representante y/o responsable de la Oficina de Registro compone una solicitud electrnica de Certificado, generalmente en formato PKCS#10, y accede al sitio web del Prestador de Servicios de Certificacin, la FNMT-RCM, a travs de la direccin https://ape.cert.fnmt.es/PrerregistroSolicitudesComponentesAPE/index.html 149. donde se mostrar un formulario en el que dicho representante deber introducir los datos del rgano Titular a cargo de la sede electrnica para la cual se emitir el Certificado, y los datos de la persona fsica propios en su condicin de responsable de la custodia diligente de los datos de creacin de firma. Adicionalmente, el responsable tambin deber introducir la solicitud electrnica generada anteriormente. 150. Como respuesta al envo del formulario la FNMT-RCM asignar e indicar al responsable un cdigo de solicitud para su utilizacin en la Oficina de Registro y en el momento de la solicitud del Certificado 151. Con carcter previo el representante y/o responsable de la Oficina de Registro y la Administracin que ser Titular debern consultar la Declaracin General de Prcticas de Certificacin y las presentes Polticas de Certificacin y Prcticas de Certificacin Particulares en la direccin http://www.cert.fnmt.es/dpcs/ 152. con las condiciones de uso y obligaciones para las partes, pudiendo realizar las consultas que estime oportunas sobre el alcance de esta Declaracin; todo ello, sin perjuicio de que con posterioridad, el representante del Titular responsable de la Oficina de Registro y la FNMT-RCM, deban suscribir el documento de condiciones de utilizacin o si procede el contrato de emisin. En ningn caso la continuacin del procedimiento de presolicitud implicar la conclusin del proceso. 153. Al realizar esta presolicitud se enva a la FNMT-RCM la Clave Pblica generada, junto con la correspondiente prueba de posesin de la Clave Privada, para la posterior emisin del Certificado. 154. La FNMT-RCM, tras recibir esta informacin, comprobar mediante la Clave Pblica del peticionario la validez de la informacin de la presolicitud firmada, comprobando nicamente la posesin y correspondencia de la pareja de Claves criptogrficas por parte del representante y/o responsable de la Oficina de Registro. 155. Esta informacin no dar lugar a la generacin de un Certificado por parte de la FNMT- RCM, en tanto que sta no reciba firmada por el responsable de la Oficina de Registro la solicitud del Certificado. 11.2.2.4. Confirmacin de las identidades y requisitos de las partes 156. El responsable de la Oficina de Registro se identificar a travs de su documento nacional de identidad o documento de identificacin sustitutorio ante la FNMT-RCM, mediante la correspondiente aplicacin de registro y uso de su propio Certificado Reconocido. FNMT- RCM presumir que el responsable de la Oficina de Registro se encuentra en el ejercicio de
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 58 de 93
la competencia y con capacidad suficiente para realizar los trmites para la obtencin de este tipo de Certificados. 11.2.2.5. Personacin del Solicitante ante las Oficinas de Registro 157. En supuestos distintos a la intervencin del responsable de la Oficina de Registro, a efectos de obtencin del Certificado, se considerar Solicitante con legitimacin y competencia suficientes a la persona designada por el Titular del Certificado de sede electrnica. 158. Para obtener el Certificado, el Solicitante se personar ante una Oficina de Registro designada a tal efecto por el organismo o entidad Titular del Certificado. 11.2.2.6. Comparecencia y documentacin 159. En supuestos distintos a la intervencin del responsable de la Oficina de Registro, a efectos de obtencin del Certificado, el representante del Titular Solicitante se personar y aportar los datos que se le requieran y que acrediten, ante la Oficina de Registro: su identidad personal, su condicin de personal al servicio del rgano, organismo o entidad de la Administracin Titular del Certificado y titular de la direccin electrnica a travs de la que se accede a la sede electrnica objeto del Certificado su condicin de persona habilitada o designada para la gestin de la direccin electrnica a travs de la que se accede a la sede electrnica objeto del Certificado 160. FNMT-RCM estar y admitir, en todo caso a la funcin e informe que realice la Oficina de Registro designada por la Administracin. En el caso de que no se acrediten los puntos anteriores, la Oficina de Registro no continuar con la tramitacin de la solicitud del Certificado. 11.2.2.7. Envo de informacin a la FNMT-RCM 161. Una vez confirmada la identidad del Solicitante y vigencia de las condiciones de legitimacin y competencia exigidas a ste, incluida pero no limitada, a la titularidad sobre la direccin electrnica, se suscribir el documento de condiciones de utilizacin o, en su caso, contrato de solicitud por el Solicitante en nombre del Titular y/o el responsable de la Oficina de Registro. La informacin y documentos anteriores sern enviados, junto con el cdigo de solicitud recogido en la fase de presolicitud a la FNMT-RCM. Los datos personales y su tratamiento quedarn sometidos a la legislacin especfica. 162. Dicho envo slo se producir si la Oficina de Registro tiene legitimidad y competencia para actuar como tal en nombre del rgano, organismo o entidad de la Administracin Pblica del Certificado de identificacin de la sede electrnica y si sta administracin es titular de la direccin electrnica a travs de la que se accede a la sede electrnica objeto del Certificado. 163. La transmisin de informacin a la FNMT-RCM se realizar mediante comunicaciones seguras establecidas para tal fin entre la Oficina de Registro y la FNMT-RCM.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 59 de 93
11.2.2.8. Extensin de la funcin de registro e identificacin a otros Certificados emitidos por la FNMT-RCM. 164. Los miembros de la Comunidad Electrnica podrn recibir la prestacin de servicios de certificacin y firma electrnica de la FNMT-RCM, basada en la emisin de Certificados electrnicos pertenecientes a diferentes Leyes de Emisin y en soportes distintos, mediante la aceptacin de las condiciones que, especficamente, se le exhibirn a instancia de la FNMT-RCM en las diferentes webs y dems soportes de servicios de los miembros de la Comunidad Electrnica, de acuerdo con lo establecido en la legislacin sectorial correspondiente y con las limitaciones establecidas en la legislacin reguladora del tratamiento de datos de carcter personal. 165. En la prestacin de los servicios sealados en el prrafo anterior, se podrn extender los efectos de las actuaciones derivadas del registro e identificacin, con los lmites temporales previstos en la legislacin de firma electrnica, as como la reguladora del DNI-e,; todo ello sin perjuicio de las especialidades que puedan derivarse del mbito de las Administraciones Pblicas. 11.2.2.9. Emisin del Certificado para la identificacin de sede electrnica 166. Una vez recibidos en la FNMT-RCM los datos de los Titulares, la informacin que describe la relacin del representante con la Administracin Pblica (sin perjuicio que se remita por el responsable de la Oficina de Registro), as como el cdigo de solicitud obtenido en la fase de presolicitud y, en su caso, la informacin que describe su titularidad y gestin de la direccin electrnica de la sede en cuestin, se proceder a la emisin del Certificado. 167. La emisin de Certificados supone la generacin de documentos electrnicos que confirman la identidad y titularidad de una direccin electrnica a travs de la que se accede a una sede electrnica, as como la gestin de sta por parte de un rgano, organismo o entidad de la Administracin Pblica espaola, as como el vinculo con un firmante/custodio de los datos de creacin de firma y responsable de las operaciones que se realicen con dicho Certificado en el marco de la identificacin de una sede electrnica y el establecimiento de comunicaciones seguras con sta. 168. La emisin de Certificados de la FNMT-RCM slo puede realizarla ella misma, en su calidad de Prestador de Servicios de Certificacin, no existiendo ninguna otra entidad u organismo con capacidad de emisin de los mismos. 169. La FNMTRCM, por medio de su Firma electrnica, autentica los Certificados y confirma la identidad y competencia de sus Titulares, as como la titularidad de la direccin electrnica de la sede y contactos establecidos para la gestin de dicha direccin, de conformidad con la informacin recibida por parte de la Oficina de Registro. Por otro lado y con el fin de evitar la manipulacin de la informacin contenida en los Certificados, la FNMT-RCM utilizar mecanismos criptogrficos que doten de autenticidad e integridad al Certificado. 170. La FNMT-RCM, en ningn caso, incluir en un Certificado informacin distinta de la aqu mostrada, ni circunstancias, atributos especficos de los firmantes o lmites distintos a los previstos en los acuerdos, convenios y, en su caso, a los previstos en la Ley de Emisin correspondiente.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 60 de 93
171. En cualquier caso la FNMT-RCM actuar diligentemente para: Comprobar que el Solicitante del Certificado o el responsable de la Oficina de Registro utilice la Clave Privada correspondiente a la Clave Publica vinculada a la identidad del Titular del mismo. Para ello la FNMT-RCM comprobar la correspondencia entre la Clave privada y la Clave pblica. Lograr que la informacin incluida en el Certificado se base en la informacin proporcionada por el Solicitante y/o por el responsable de la Oficina de Registro correspondiente. No ignorar hechos notorios que puedan afectar a la fiabilidad del Certificado. Lograr que el DN (nombre distintivo) asignado en el Certificado sea nico en toda la Infraestructura de Clave Pblica de la FNMT-RCM. 172. Para la emisin del Certificado se seguirn los siguientes pasos: 1. Composicin del nombre distintivo (DN) del Titular Con los datos de la direccin electrnica de la sede recogidos durante el proceso de solicitud del Certificado, se procede a componer el nombre distintivo (DN) conforme al estndar X.500, asegurando que dicho nombre tenga sentido y no de lugar a ambigedades. No se contempla el uso de seudnimos como forma de identificacin del Titular. El DN est compuesto de los siguientes elementos: DNCN, OU, OU, OU, O, C El conjunto de atributos OU, OU, OU, O, C representa la rama del directorio en la que se encuentra ubicada la entrada correspondiente al Titular y/o firmante/custodio en cuestin. El atributo CN contiene la direccin electrnica a travs de la cual se accede a la sede electrnica objeto del Certificado. Una vez compuesto el nombre distintivo (DN) se crea la correspondiente entrada en el directorio, procurando que el nombre distintivo sea nico en toda la Infraestructura de Clave Pblica del Prestador de Servicios de Certificacin. 2. Composicin de la identidad alternativa del Titular La identidad alternativa del Titular, tal como se contempla en la presente tipologa de Certificados contiene la identidad de los titulares del Certificado distribuida en una serie de atributos. Se utiliza la extensin subjectAltName definida en X.509 versin 3 para ofrecer esta informacin.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 61 de 93
Dentro de dicha extensin, se utilizar el subcampo directoryName para incluir un conjunto de atributos definidos por la FNMT-RCM, que incorporan informacin sobre el Titular en cuestin, siguiendo el siguiente criterio:
Tipo Certificado Informacin Atributo FNMT OID (*) Descripcin del componente
fnmtDescripcion 1.3.6.1.4.1.5734.1.8 Entidad titular del certificado fnmtPropEnt 1.3.6.1.4.1.5734.1.14 CIF de la entidad titular del certificado fnmtCIF 1.3.6.1.4.1.5734.1.15 Nombre custodio de las claves fnmtRespNombre 1.3.6.1.4.1.5734.1.16 Primer apellido custodio de las claves fnmtRespApellido1 1.3.6.1.4.1.5734.1.17 Segundo apellido custodio de las claves fnmtRespApellido2 1.3.6.1.4.1.5734.1.18 NIF custodio de las claves fnmtRespNIF 1.3.6.1.4.1.5734.1.19 Sede electrnica dNSName= Direccin electronica
iPAddress=Direccin electrnica basada en IP
Tabla 8 Composicin del subcampos directoryName. Sede electrnica APE
(*) fnmtoid: 1.3.6.1.4.1.5734: Espacio de numeracin asignado a la Fabrica Nacional de Moneda y Timbre Real Casa de la Moneda por el IANA. Adems se incluirn las extensiones necesarias para poder realizar el proceso de identificacin de la sede a travs de las direcciones electrnicas de acceso consignadas en el Certificado
4.extKeyUsage Autenticacin de servidor: 1.3.6.1.5.5.7.3.1 Tabla 9 Extensin extKeyUsage. Sede Electrnica APE
3. Generacin del Certificado conforme al Perfil del Certificado de identificacin de sede electrnica
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 62 de 93
El formato del Certificado para la identificacin de sedes electrnicas expedido por la FNMT-RCM bajo la presente poltica, en consonancia con la norma UIT-T X.509 versin 3 y de acuerdo con la normativa legalmente aplicable en materia de Certificados Reconocidos, contiene los siguientes campos:
CAMPO CONTENIDO OBSERVACIONES 1. Versin V3 2. Serial Number Secuencial [RFC3280]: the serial number MUST be a positive integer, not longer than 20 octets ( 1 < SN < 2 159 ). Processing components MUST be able to interpret such long numbers. 3. Signature Algorithm Sha1withRsaEncryption Sha256withRsaEncryption OID: 1.2.840.113549.1.1.5 OID: 1.2.840.113549.1.1.11
Norma PKCS#1 v2.1 y RFC 3447.
4. Issuer Distinguished Name OU= AC APE O=FNMT-RCM C=ES Todos los DirectoryString codificados en UTF8. El atributo C (countryName) se codificar de acuerdo a ISO 3166-1-alpha- 2 code elements, en PrintableString. [ETSI-CPN]: the issuer name MUST contain the countryName and the organizationName attributes. 5. Validez 48 meses 48 meses a partir del momento de la emisin. 6. Subject CN= XXXXXX OU= Organizacion_Entidad OU=AC APE O=FNMT-RCM C=ES
Todos los DirectoryString codificados en UTF8. El atributo C (countryName) se codificar de acuerdo a ISO 3166-1-alpha- 2 code elements, en PrintableString.
El atributo CN contiene el nombre del servidor. El nombre podr ser un nombre de host o una direccin IPy debera corresponderse con la forma de invocacin del servicio: CN=www.nombrehost.es
CN=111.222.121.212
7. Subject Public Key Info Algoritmo: RSA Encryption Longitud: 2048 bits
8. Subject Key Identifier Funcin hash SHA-1 sobre la clave pblica del sujeto. RFC 3280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectPublicKey del sujeto (excluyendo etiqueta, longitud y nmero de bits no usados). 9. Authority Key Identifier Funcin hash SHA-1 sobre la clave pblica de la AC emisora (AC subordinada). NO SE incluye la identificacin del certificado de la AC emisora (en este caso, DN de la AC Raz, RFC 3280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectPublicKey de la AC emisora (excluyendo etiqueta, longitud y nmero de bits no usados). Coincide con el campo Subject Key Identifier de la AC emisora (AC subordinada).
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 63 de 93
CAMPO CONTENIDO OBSERVACIONES nmero de serie de la AC Subordinada). 10. KeyUsage Digital Signature 1 Non Repudiation 0 Key Encipherment 1 Data Encipherment 0 Key Agreement 0 Key Certificate Signatura 0
CRL Signature 0
Si es necesario que tenga la misma operatividad que FNMT Clase 2 CA, tendr La Norma ETSI TS 102 280 V1.1.1 (2004- 03) X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons recomienda el uso exclusivo del bit de no repudio para certificados destinados a validar el compromiso con el contenido firmado, tales como firmas electrnicas sobre transacciones o acuerdos.
En el Technical Corrigendum 3 de la ITU-T X509 de 04/2004, el bit de no-repudio es renombrado a contentCommitment. En este documento se recoge lo siguiente:
Note that it is not incorrect to refer to this keyUsage bit using the identifier nonRepudiation. However, the use of this identifier has been deprecated. Regardless of the identifier used, the semantics of this bit are as specified in this Directory Specification. 11. extKeyUsage Autenticacin de servidor: 1.3.6.1.5.5.7.3.1
[RFC3280]: Certificate using applications MAY require that a particular purpose be indicated in order for the certificate to be acceptable to that application. If a CA includes extended key usages to satisfy such applications, but does not wish to restrict usages of the key, the CA can include the special keyPurposeID anyExtendedKeyUsage. If the anyExtendedKeyUsage key purpose is present, the extension SHOULD NOT be critical. 12. Certificate Policies Policy Identifier OID asociado a la DPC o PC de certificado de firma de Sello electrnico. (fnmtPolCertSedeElect) 1.3.6.1.4.1.5734.3.12 URL CPS http://www.cert.fnmt.es/dpc s/
Notice Reference Sujeto a las condiciones de uso expuestas en la Declaracin de Prcticas de Certificacin de la FNMT-RCM ( C/Jorge Juan 106-28009-Madrid-Espaa) RFC 3739 obliga la existencia de al menos un valor. La Ley de Firma Electrnica dice para los certificados reconocidos: La identificacin del prestador de servicios de certificacin que expide el certificado y su domicilio. Se incluir en la DPC.
In an end entity certificate, these policy information terms indicate the policy under which the certificate has been issued and the purposes for which the certificate may be used. 13. qcStatements Id-etsi-qcs-QcCompliance id-etsi-qcs-QcLimitValue : 0 Id-etsi-qcs- QcRetentionPeriod: 15 aos ETSI TS 101 862 define la inclusin de las siguientes declaraciones para certificados cualificados: 1.- id-etsi-qcs-QcCompliance Indica que el certificado es qualificado. Solo si no
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 64 de 93
CAMPO CONTENIDO OBSERVACIONES
est explicito en las polticas indicadas en la extensin correspondiente. 2.- id-etsi-qcs-QcLimitValue Opcional. Indica el valor lmite para transacciones. 3.- id-etsi-qcs-QcRetentionPeriod Opcional. Nmero de aos a partir de la caducidad del certificado que se dispone de los datos de registro y otro informacin relevante. En este caso la Ley obliga: Conservar registrada por cualquier medio seguro toda la informacin y documentacin relativa a un certificado reconocido y las declaraciones de prcticas de certificacin vigentes en cada momento, al menos durante 15 aos contados desde el momento de su expedicin, de manera que puedan verificarse las firmas efectuadas con el mismo.. Dado que la FNMT va a conservar la informacin de manera indefinida, y que la norma no establece un valor para indicar un perodo indefinido, no se incluir este QC y se indicar en la DPC. 4.- id-etsi-qcs-QcSSCD Opcional. Indica que la clave privada correspondiente al certificado est almacenada en un dispositivo seguro de creacin de firma de acuerdo al Anexo III de la Directiva del Parlamento Europeo 1999/93/EC, sobre un framework comunitario para firmas electrnicas. Descripcin fnmtDescripcion Entidad propietaria fnmtPropEnt CIF fnmtCIF Nombre Responsable fnmtRespNombre Apellido1 Responsable fnmtRespApellido1 Apellido2 Responsable fnmtRespApellido2 14. Subject Alternate Names Direccin del directorio: OID.1.3.6.1.4.1.5734.1.8=fnmtDes cripcion OID.1.3.6.1.4.1.5734.1.14=fnmtPr opEnt OID.1.3.6.1.4.1.5734.1.15=fnmtCI F OID.1.3.6.1.4.1.5734.1.16=fnmtR espNombre OID.1.3.6.1.4.1.5734.1.17=fnmtR espApellido1 OID.1.3.6.1.4.1.5734.1.18=fnmtR espApellido2 OID.1.3.6.1.4.1.5734.1.19=fnmtR espNIF
dNSName= Nombre de Host
iPAddress=Direccin IP
NIF Responsable fnmtRespNIF 15. Basic Constraints Subject Type Entidad Final [RFC 3280] This extension MAY appear as a critical or non-critical extension in end entity certificates.
16. CRLDistributionPoints LDAP: ldap://ldapape.cert.fnmt.es: puerto/CN=CRLnnn,OU= AC APE, O=FNMT, C=ES
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 65 de 93
CAMPO CONTENIDO OBSERVACIONES ?certificateRevocationList;bin ary?base ?objectclass=cRLDistribution Point HTTP: http://www.cert.fnmt.es/crls ape/CRLnnn.crl 17. Auth. Information Access OCSP: http://ocspape.cert.fnmt.es/ ocspape/OcspResponder CA: http://www.cert.fnmt.es/cert s/ACRAIZFNMTRCM.crt
Contendr informacin de localizacin del OCSP Responder. URL resuelta a diferentes servidores. Ley de Firma Electrnica: Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rpido y seguro. 18.netscapeCertType sSLSERVER,sMIME Tipo de certificado segn Netscape 19. fnmtTipoCertificado 1.3.6.1.4.1.5734.1.33: Sede Electrnica Tipo de certificado para Sede Electrnica 20. AuthorityKeyIdentifier 2.5.29.35: Identificador de clave del prestador de servicios de certificacin
Tabla 10 Perfil del Certificado de Sede Electrnica - APE
11.2.2.10. Publicacin del Certificado de identificacin de sede electrnica 173. Una vez generado el Certificado por parte de la FNMT-RCM como Prestador de Servicios de Certificacin, se publicar en el Directorio, concretamente en la entrada correspondiente al nombre distintivo de la direccin electrnica, tal como se ha definido en el apartado Emisin del Certificado de este documento. 11.2.2.11. Descarga e instalacin del Certificado de identificacin de sede electrnica 174. Realizados los trmites anteriores y generado el Certificado de sede electrnica, la FNMT- RCM pondr a disposicin del responsable de la Oficina de Registro correspondiente un mecanismo de descarga del Certificado, en la direccin de titularidad de la Administracin u organismo, a travs del siguiente enlace: http://ape.cert.fnmt.es/appsUsuario/descargameh/descargaCertInicio.jsp 175. A tal efecto se acceder a la opcin Descarga de su Certificado. 176. En este proceso guiado se le pedir al responsable de la Oficina de Registro del mbito del Titular que introduzca el CIF del rgano, organismo o entidad pblica con el que realiz el proceso de presolicitud as como el cdigo de solicitud devuelto por el sistema al finalizar dicho proceso. Si el Certificado no ha sido an generado por cualquier motivo, se le indicar este hecho en el momento que intente su descarga. 177. Si el Certificado ya ha sido puesto a disposicin del Titular, aqul ser introducido directamente en el soporte en el que se generaron las Claves durante el proceso de Presolicitud.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 66 de 93
11.2.2.12. Perodo de validez del Certificado de identificacin de sede electrnica 178. El periodo de validez de los Certificados de identificacin de sede electrnica emitidos por la FNMT-RCM ser de cuatro (4) aos contados a partir del momento de la emisin del Certificado, siempre y cuando no se extinga su vigencia por las causas y procedimientos expuestos en el apartado Extincin de la vigencia del Certificado de la Declaracin General de Prcticas de Certificacin o lo dispuesto, en su caso, en la Ley de Emisin correspondiente. 11.2.2.13. Revocacin del Certificado de identificacin de sede electrnica 179. La revocacin de Certificados consiste en la cancelacin de la garanta de identidad, autenticidad u otras propiedades del Titular y sus representantes y su correspondencia con la clave pblica asociada. Implica, adems de su extincin, la finalizacin de la relacin y rgimen de uso del Certificado con la FNMT-RCM. 180. Estarn legitimados para solicitar la revocacin de un Certificado de identificacin de sede electrnica, en base a la inexactitud de datos, variacin de los mismos o cualquier otra causa a valorar por los Titulares: El rgano directivo, organismo o entidad pblica Titular del Certificado o persona en quien delegue, La Oficina de Registro, a travs de su responsable que est designada a tal efecto, por la Administracin, organismo o entidad vinculada o dependiente Titular del Certificado a revocar, cuando detecte que alguno de los datos consignados en el Certificado o es incorrecto, inexacto o haya variado respecto a lo consignado en el Certificado o o la persona fsica, firmante/custodio, del Certificado no se corresponda con el responsable mximo o designado para la gestin y administracin de la direccin electrnica consignada en el Certificado objeto de la revocacin 181. siempre en el marco de los trminos y condiciones acerca de la Revocacin de Certificados en la Declaracin General de Prcticas de Certificacin. 182. La revocacin, tambin podr llevarse a cabo en los supuestos previstos en la Declaracin General de Prcticas de Certificacin, respecto de la persona fsica responsable o designada por el Titular. 11.2.2.14. Procedimiento por el que se obtienen los datos personales del Solicitante de la revocacin, se confirma su identidad y la capacidad para realizar dicha solicitud y la formalizacin de la misma. 183. Sern causas admitidas para la revocacin de un Certificado las expuestas en la Declaracin General de Prcticas de Certificacin de la FNMT-RCM, si bien la Ley de Emisin de aplicacin podr establecer, adicionalmente, otras causas de revocacin o en su caso suspensin y/o su cancelacin.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 67 de 93
184. En todo caso FNMT-RCM, presumir la competencia y capacidad del solicitante cuando se trate del responsable de la Oficina de Registro correspondiente. No obstante, se sealan, para su cumplimiento en su caso, las siguientes actuaciones: 1. Personacin del Solicitante ante las Oficinas de Registro Para revocar el Certificado, el Solicitante con capacidad y competencia suficientes, se personar ante una Oficina de Registro designada a tal efecto por el rgano, organismo o entidad Titular del Certificado a revocar o se realizar directamente por el responsable de la Oficina de Registro. 2. Comparecencia y documentacin El Solicitante aportar los datos que se le requieran y que acrediten: su identidad personal, su condicin de personal al servicio del rgano, organismo o entidad de la Administracin pblica Titular del Certificado y Titular de la direccin electrnica a travs de la que se accede a la sede electrnica objeto del Certificado o su condicin de responsable de la Oficina de Registro. su condicin de persona designada para la gestin de la direccin electrnica a travs de la que se accede a la sede electrnica objeto del Certificado a revocar o de personal adscrito a la Oficina de Registro designada a tal efecto por el organismo o entidad Titular del Certificado a revocar FNMT-RCM estar y admitir, en todo caso, la funcin e informe que realice la Oficina de Registro designada por la Administracin. En el caso de que no se acrediten los puntos anteriores, la Oficina de Registro no proceder con la solicitud de revocacin del Certificado 3. Envo de la solicitud de revocacin a la FNMT-RCM y tramitacin Sin que existan causas notorias de falta de competencia del responsable de la Oficina de Registro y/o una vez confirmada la identidad del Solicitante, vigencia de las condiciones exigidas a ste y suscrito el documento de solicitud de revocacin, la Oficina de Registro proceder a validar los datos y a enviarlos a la FNMT-RCM para la revocacin efectiva del Certificado. Los datos personales y su tratamiento quedarn sometidos a la legislacin especfica Dicho envo slo se producir si la Oficina de Registro tiene potestad para actuar como tal en nombre del rgano, organismo o entidad de la Administracin Pblica Titular del Certificado y si ste es titular de la direccin electrnica a travs de la que se accede a la sede electrnica objeto del Certificado Esta transmisin de informacin a la FNMT-RCM se realizar mediante comunicaciones seguras establecidas para tal fin entre la Oficina de Registro y la FNMT-RCM. Una vez que la FNMT-RCM ha procedido a la revocacin del Certificado, se publicar en el directorio seguro la correspondiente Lista de Certificados Revocados conteniendo el nmero de serie del Certificado revocado, la fecha y hora de revocacin y la causa de revocacin.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 68 de 93
11.2.2.15. Suspensin del Certificado de identificacin de sede electrnica 185. La suspensin de Certificados deja sin efectos el Certificado durante un perodo de tiempo y en unas condiciones determinadas. 186. La suspensin de los Certificados ser considerada una revocacin temporal de la vigencia del Certificado por lo que los procedimientos y entidades habilitadas para la solicitud y tramitacin de la revocacin del Certificado son de aplicacin en el caso de la suspensin. Adicionalmente se tendrn en cuenta para la admisin de las suspensin las causas admitidas expuestas en el apartado Causas de suspensin de Certificados de la Declaracin General de Prcticas de Certificacin. 187. La FNMT-RCM proceder a suspender el Certificado de forma provisional durante un plazo de noventa (90) das, plazo tras el cual se extinguir el Certificado mediante su revocacin directa por parte del Prestador de Servicios de Certificacin de la FNMT-RCM, salvo que se hubiera levantado la suspensin. No obstante lo anterior, el plazo previsto para la suspensin del Certificado podr verse alterado en funcin de los procedimientos judiciales o administrativos que lo pudieran afectar. 188. Si durante el plazo de suspensin del Certificado ste caducara o se solicitara su revocacin, se producirn las mismas consecuencias que para los Certificados no suspendidos que se vieran afectados por supuestos de caducidad o de revocacin. 11.2.2.16. Cancelacin de la suspensin del Certificado de identificacin de sede electrnica 189. Podrn solicitar la Cancelacin de la suspensin de los Certificados emitidos por la FNMT- RCM los Titulares, a travs de sus representantes, siempre que dicha solicitud se efecte durante los noventa (90) das siguientes a su suspensin. 190. La FNMT-RCM considerar que se acta con capacidad bastante, a los efectos de este apartado, cuando la solicitud se realice a travs del responsable de la Oficina de Registro correspondiente. 191. Sin perjuicio de lo sealado en el prrafo anterior, y en el caso de actuacin a travs de otros representantes del Titular del Certificado distintos al responsable de la Oficina de Registro, la comparecencia y/o acto de peticin de cancelacin se llevar a travs y/o ante la Oficina de Registro designada por el organismo o entidad a la que pertenece el Titular y segn el criterio vigente de la FNMT-RCM, al objeto de que sta sea homognea en todos los casos. 192. En este acto, el solicitante representante del Titular del Certificado, con competencia suficiente, objeto de la peticin, aportar los datos que se le requieran y acreditar su identidad personal, siguiendo el procedimiento descrito anteriormente para la solicitud de emisin del Certificado de identificacin de sede electrnica. FNMT-RCM aceptar el informe de acreditacin que pudiera emitir la Oficina de Registro considerando lo establecido en el artculo 13.1, in fine, de la Ley 59/2003, de 19 de diciembre, de firma electrnica. 193. Los datos personales del responsable de la Oficina de Registro o del representante del Titular, una vez validados por la Oficina de Registro, se enviarn a la FNMT-RCM mediante comunicaciones seguras establecidas para tal fin entre la Oficina de Registro y la
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 69 de 93
FNMT-RCM. Los datos personales y su tratamiento quedarn sometidos a la legislacin especfica 194. Una vez recibidos los datos validados por la Oficina de Registro de la peticin de levantamiento de suspensin, la FNMT-RCM proceder a retirar este Certificado de la Lista de Revocacin, no efectundose accin tcnica alguna sobre el Certificado en cuestin. 11.2.2.17. Comprobacin del estado del Certificado de identificacin de sede electrnica 195. El Titular del Certificado y las Administraciones, organismos y entidades usuarias pertenecientes a la Comunidad Electrnica podrn realizar la comprobacin del estado de un Certificado en la forma y condiciones que se expresan en los apartados Procedimientos de consulta del estado de los Certificados y Servicio de validacin de Certificados mediante OCSP de la Declaracin General de Prcticas de Certificacin, sin perjuicio de lo que pueda establecerse mediante acuerdo o convenio de la FNMT-RCM, el Titular del Certificado y, en su caso, los integrantes de la Comunidad Electrnica. 196. FNMT-RCM no proporciona servicio de comprobacin de Certificados de otros Titulares salvo en los casos que as se establezca a travs de convenios y/o contratos con el correspondiente consentimiento de los miembros integrantes de la Comunidad Electrnica o en los trminos previstos en la Ley de Emisin. 197. En particular, para la difusin y confianza en los sistemas que cuenten con estos Certificados, la FNMT-RCM, podr proporcionar la posibilidad de verificar, por el miembro de la Comunidad electrnica o un tercero, que el Certificado de identificacin de sede electrnica es un Certificado vlido emitido por la FNMT-RCM, as como otras caractersticas del mismo. 11.2.3. Exclusiones y requisitos adicionales a ETSI TS 101 456 De acuerdo con la norma en el apartado 8.2 b), se excluyen las cuestiones definidas en el apartado 7.5 j), k). De acuerdo con la norma en el apartado 8.2 c), se excluyen las cuestiones definidas en el apartado 7.3.5 f). En este tema se estar a lo sealado en el apartado Publicacin del Certificado de este anexo. De acuerdo con la norma en el apartado 8.2 d), se excluyen las cuestiones definidas en el apartado 7.3.6 k). En este tema se estar a lo sealado en el apartado Comprobacin del estado del Certificado de este anexo. 198. Respecto aquellos Certificados Reconocidos que usen Dispositivos Seguros de creacin de firma, seguirn lo sealado en el apartado Soporte del Certificado del documento Declaracin General de Prcticas de Certificacin de la FNMT-RCM, as como a lo expuesto en los apartados sobre Ciclo de vida del certificado del citado documento. Todo ello sin perjuicio de la calificacin del dispositivo como medio equivalente de conformidad con la Ley 11/2007, de 22 de junio, LAECSP.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 70 de 93
11.2.4. Modelos de formulario 199. Los modelos de formularios que se deben cumplimentar para realizar las operaciones descritas para la gestin del ciclo de vida de los Certificados para personal al servicio de la Administracin Pblica se ponen a disposicin en http://www.ceres.fnmt.es
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 71 de 93
12. CERTIFICADOS EMITIDOS PARA LA ACTUACIN ADMINISTRATIVA AUTOMATIZADA DE LA ADMINISTRACIN PBLICA, ORGANISMOS Y ENTIDADES PBLICAS VINCULADAS O DEPENDIENTES 12.1. POLTICA DE CERTIFICACIN DE LOS CERTIFICADOS EMITIDOS PARA LA ACTUACIN ADMINISTRATIVA AUTOMATIZADA DE LA ADMINISTRACIN PBLICA, ORGANISMOS Y ENTIDADES PBLICAS VINCULADAS O DEPENDIENTES 12.1.1. Identificacin 200. Para la identificacin y autenticacin del ejercicio de competencias administrativas en procesos automatizados, FNMT-RCM desarrolla este servicio de certificacin electrnica, sobre la base de su consideracin del concepto legal previsto en la Ley 11/2007, de 22 de junio de Acceso Electrnico de los ciudadanos a los Servicios Pblicos correspondiente al art. 18. a): Sello electrnico de la Administracin Pblica, y dems rganos y entidades vinculadas o dependientes, basado en un Certificado electrnico en los trminos previstos en la Ley 59/2003, de 19 de diciembre, de firma electrnica. 201. La presente Poltica de Certificacin Particular de la FNMT-RCM para la expedicin de Certificados para la actuacin administrativa automatizada de la Administracin Pblica, organismos y entidades pblicas vinculadas o dependientes tiene la siguiente identificacin:
Nombre Poltica de Certificacin de Certificados para la actuacin administrativa automatizada de la Administracin Pblica, organismos y entidades pblicas vinculadas o dependientes Referencia/OID 1.3.6.1.4.1.5734.3.13 Versin 1.0 Fecha de Emisin 1 de Agosto de 2007 Localizacin http://www.cert.fnmt.es/dpcs/ DPC relacionada Declaracin General de Prcticas de Certificacin de la FNMT-RCM Localizacin: http://www.cert.fnmt.es/dpcs/ Tabla 11 Identificacin Poltica Certificacin Actuacin Automatizada APE
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 72 de 93
12.1.2. Tipologa del Certificado para la actuacin administrativa automatizada de la Administracin Pblica, organismos y entidades pblicas vinculadas o dependientes 202. Los Certificados para la actuacin administrativa automatizada con el concepto de sello electrnico, son aquellos certificados expedidos por la FNMT-RCM bajo esta poltica de certificacin y que vinculan unos Datos de verificacin de Firma a: los datos identificativos y de autenticacin de determinada Administracin, organismo o entidad y sus respectivas unidades organizativas (unidad que se realiza la actuacin administrativa automatizada: rea, seccin, departamento y la persona fsica responsable de la correspondiente Oficina de Registro y/o representante de la Administracin, organismo o entidad Titular del Certificado y, en su caso, el personal en quien se delegue a efectos de la actuacin administrativa automatizada. 203. La persona fsica acta como firmante de las actuaciones administrativas automatizas y custodio de la clave y, por tanto, es la que tiene el control sobre dicho Certificado y los Datos de creacin y verificacin de firma y es responsable de su custodia de forma diligente, sin perjuicio, de las delegaciones que puedan producirse, de acuerdo con el rgimen legal correspondiente. 204. FNMT-RCM emitir estos Certificados de sello electrnico siempre que sea solicitado por los miembros de la Comunidad Electrnica del mbito de la Ley 11/2007, de 22 de junio, LAECSP para las diversas relaciones que puedan producirse en el mbito de la actuacin administrativa automatizada y no se encuentre prohibido o limitado su utilizacin por la legislacin aplicable. 205. FNMT-RCM no ser responsable de las actuaciones realizadas con este tipo de Certificados cuando se produzcan abuso de facultades o insuficiencia de las mismas y/o cuando se produzcan decisiones del miembro de la Comunidad Electrnica Titular del Certificado que afecten a la vigencia de las facultades de ste, por lo que cualquier modificacin, revocacin o restriccin en el Certificado y su uso no ser oponible a la FNMT-RCM salvo que sea fehacientemente notificada. 206. Del mismo modo, FNMT-RCM no ser responsable de las actuaciones realizadas con este tipo de Certificados cuando los datos identificativos y de autenticacin de la unidad organizativa de la entidad de la administracin consignada en el Certificado no se corresponda con una unidad dependiente de dicha entidad de la administracin. 207. La FNMT-RCM, como Prestador de Servicios de Certificacin se reserva el derecho de no expedir o revocar este tipo de Certificados, con exoneracin de responsabilidad a estos efectos, si el usuario del Certificado y/o el firmante/custodio y/o unidad organizativa (realiza la actuacin administrativa automatizada) en la que se emplea tal Certificado, carece de competencia, no hace un uso adecuado del mismo, conculcando derechos de explotacin, de propiedad industrial o intelectual de terceros sobre las aplicaciones y actuaciones realizadas o cualquier legislacin vigente. 208. La FNMTRCM, se mantendr indemne por parte del Titular y las personas responsables o representantes del mismo, respecto de cuestiones de titularidad de derechos y/o los vicios o
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 73 de 93
defectos de los equipos, aplicaciones o sistemas que incumplan lo previsto en este apartado y que tenga relacin con el Certificado, quedando exonerada de cualquier reclamacin o reivindicacin por el uso inadecuado de tales Certificados. 209. Este Certificado se emite por la FNMT-RCM por cuenta de la Administracin Pblica correspondiente a la que la FNMT-RCM presta los servicios tcnicos, administrativos y de seguridad necesarios como Prestador de Servicios de Certificacin. 210. El Certificado de sello electrnico para la actuacin administrativa automatizada de la Administracin Pblica es desarrollado por la FNMT-RCM mediante una infraestructura PKI especfica, basada en actuaciones de identificacin, autenticacin y registro realizadas por la red de Oficinas de Registro designadas por el rgano, organismo o entidad de la Administracin Pblica de la que depende la unidad organizativa que realiza la actuacin administrativa automatizada consignada en el Certificado. 211. Las Leyes de Emisin podrn establecer, en el mbito de actuacin de las Administraciones Pblicas, Oficinas de Registro comunes para este mbito de actuacin con efectos uniformes para cualesquiera Administraciones, organismos y/o entidades pblicas. 212. Este Certificado, es emitido con el perfil tcnico correspondiente a los Certificados Reconocidos o sistemas de firma electrnica equivalentes segn lo dispuesto en la Ley 59/2003, de 19 de diciembre, de firma electrnica con base en los criterios establecidos en esta ley, as como, en la normativa especial de la FNMT-RCM y en la normativa tcnica EESSI, concretamente ETSI TS 101 456 - Policy requirements for certification authorities issuing qualified certificates y ETSI TS 101 862 Qualified Certificate Profile, tanto en lo referente al Prestador de Servicios de Certificacin como a la generacin de los Datos de Verificacin de Firma y al contenido del propio Certificado. 12.1.3. Gestin de la Poltica de Certificacin 213. La FNMT-RCM dispone especficamente de una Poltica de Certificacin efectiva en relacin con los Certificados emitidos para la actuacin administrativa automatizada de la Administracin General del Estado y, en su caso, otras Administraciones Pblicas del mbito de aplicacin de la Ley 11/2007, de 22 de junio, LAECSP, y, en particular, declara que: La FNMT-RCM tiene capacidad para especificar, revisar, y aprobar la Poltica de Certificacin de estos Certificados Reconocidos, a travs de su Direccin General y dems rganos directivos de la misma. La FNMT-RCM dispone de unas Prcticas de Certificacin Particulares (apartado 12.2, siguiente) en la que se detallan las prcticas de certificacin empleadas para la expedicin de Certificados conformes a la Poltica de Certificacin aqu expuesta para este tipo de Certificado. La FNMT-RCM dispone, dentro de las competencias de la Direccin general y dems rganos directivos de la misma, de capacidad, para especificar, revisar y aprobar los procedimientos de revisin y mantenimiento tanto para las Prcticas de Certificacin Particulares como para la Poltica de Certificacin correspondiente.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 74 de 93
La FNMT-RCM realiza anlisis de riesgos para evaluar las amenazas del sistema y proponer las medidas de seguridad adecuadas (salvaguardas) para todas las reas implicadas. Las de Prcticas de Certificacin Particulares se ponen a disposicin del pblico mediante el URL: http://www.cert.fnmt.es/dpcs/ La Ley de Emisin de cada tipo o grupo de Certificados, caso de establecerse, podr ser de acceso restringido total o parcialmente por razones de seguridad al tratarse de un sistema de certificacin de uso en el mbito de las Administraciones pblicas y personal correspondiente. La Poltica de Certificacin de Certificados emitidos para la actuacin administrativa automatizada se pone a disposicin del pblico mediante el URL: http://www.cert.fnmt.es/dpcs/ Esta Poltica de Certificacin recoge las obligaciones y responsabilidades generales de las partes implicadas en la emisin y uso de los Certificados para la actuacin administrativa automatizada de la Administracin y emitidos por la FNMT-RCM bajo a esta Poltica de Certificacin, sin perjuicio de las especialidades que pudieran existir en el contrato o convenio correspondiente o si procede en la Ley de Emisin. Se dispone de un OID especfico para identificar la Poltica de Certificacin aqu desarrollada, siendo el OID asignado en el marco de la numeracin de la FNMT- RCM: 1.3.6.1.4.1.5734.3.13 214. La Poltica de Certificacin de la FNMT-RCM para el presente tipo de Certificado se define en base al documento ETSI TS 101 456, en concreto en su apartado 8, cumplindose los requisitos expuestos en los apartado 6 y 7 con las exclusiones sealadas en el apartado 8.2 (que se exponen en el apartado Exclusiones y Requisitos Adicionales a ETSI TS 101456 de la presente Poltica de Certificacin). En caso de discrepancia entre este documento y la referida norma, prevalecer este documento. 12.1.4. Comunidad y mbito de aplicacin 215. La presente Poltica de Certificacin es de aplicacin en la expedicin de Certificados electrnicos idneos para operar como sello electrnico, teniendo las siguientes caractersticas: a) Son expedidos como Certificados Reconocidos o de efecto equivalente a los denominados Certificados reconocidos con base en los criterios establecidos para tal en la Ley 59/2003, de 19 de diciembre, de firma electrnica y en la normativa tcnica EESSI ETSI TS 101 862 Qualified Certificate Profile. b) Son expedidos por la FNMT-RCM como Prestador de Servicios de Certificacin cumpliendo con los criterios establecidos en la Ley 59/2003, de 19 de diciembre, de firma electrnica, normativa especial de la FNMT-RCM y en la normativa tcnica
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 75 de 93
EESSI, concretamente ETSI TS 101 456 - Policy requirements for certification authorities issuing qualified certificates. c) Los Certificados emitidos bajo esta Poltica de Certificacin son expedidos para la Administracin Pblica, organismos y entidades pblicas vinculadas o dependientes y que forman parte de la Comunidad Electrnica, tal y como se define en el apartado Definiciones de la Declaracin General de Prcticas de Certificacin de la FNMT- RCM, y con objeto exclusivo de realizar la identificacin y autenticacin del ejercicio de la competencia en la actuacin administrativa automatizada, mediante Sello electrnico. d) En el marco de esta Poltica de Certificacin, el Solicitante del Certificado se corresponde con el responsable de la Oficina de Registro y/o el representante del Titular o persona en quien delegue la unidad organizativa que realiza la actuacin administrativa automatizada y a consignar en el Certificado y que presta sus servicios en una Administracin Pblica del Reino de Espaa, bien sea un rgano, organismo, entidad de la Administracin general, Autonmica o Local del Estado bajo la que se enmarca dicha unidad organizativa. e) Los Certificados emitidos bajo est Poltica de Certificacin incluyen el nmero de identificacin fiscal y la denominacin correspondiente de la entidad, rgano o unidad de la Administracin Pblica Titular del Certificado f) Los Certificados emitidos bajo est Poltica de Certificacin se consideran vlidos como parte integrante de sistemas de firma electrnica para la actuacin administrativa automatizada por parte de la Administracin Pblica. En concreto, estos Certificados renen los requisitos establecidos por la legislacin de firma electrnica y son vlidos para la creacin de sellos electrnicos de Administracin Pblica, rgano, organismo o entidad de derecho pblico. Por tanto, los Certificados emitidos bajo esta poltica se consideran adecuados para el desarrollo de la Ley 11/2007, de 22 de junio, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos (LAECSP), a los efectos de identificacin y autenticacin de la competencia en la actuacin administrativa automatizada de la Administracin Pblica 216. La Ley de Emisin de estos Certificados podr determinar, en defecto de normativa especfica, las condiciones de uso y rgimen de estos Certificados que permitirn la atribucin a las Administraciones, organismos y entidades de los diferentes actos y resoluciones realizados por los Titulares. Todo ello, sin modificacin legal o variacin respecto de la actuacin que vienen realizando estos Titulares en los soportes tradicionales en papel u otros. 12.1.5. Responsabilidad y obligaciones de las partes 217. Sern partes a los efectos de este apartado los siguientes sujetos: Los Titulares: la Administracin, organismos, entidades pblicas representadas a travs de los diferentes rganos competentes. Los firmantes/custodios de los Certificados y de los Datos de Creacin de Firma: el personal al servicio de las Administraciones, organismos y entidades pblicas que realizan la solicitud del Certificado y/o el responsable de la Oficina de Registro
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 76 de 93
correspondiente, consignados en el Certificado y que por tanto toman el papel de firmante/s y custodio/s de los Datos de Creacin de Firma. FNMT-RCM, en cuanto Prestador de Servicios de Certificacin En su caso, resto de Comunidad Electrnica y terceros 218. El rgimen de derechos y obligaciones de las Administraciones, organismos, entidades pblicas y la FNMT-RCM se regir mediante el correspondiente acuerdo o convenio regulador de los servicios de certificacin. En estos acuerdos o convenios podr establecerse la Ley de Emisin de estos Certificados. 219. Con carcter general y de forma adicional a las obligaciones y responsabilidades de las partes enumeradas en la Declaracin General de Prcticas de Certificacin, la Administracin, organismos, entidades pblicas Titulares, representadas a travs de los diferentes rganos competentes y la Oficina de Registro que actan para la solicitud de emisin de este tipo de Certificados a la FNMT-RCM tiene la obligacin de: No realizar registros o tramitar solicitudes de Certificados para la actuacin administrativa automatizada emitidos bajo esta poltica, por parte de personal que preste sus servicios en una entidad diferente a la que representa como Oficina de Registro. No realizar registros o tramitar solicitudes de Certificados emitidos bajo esta poltica y cuya titularidad, referida al rgano de la administracin, se corresponda con una entidad de la administracin pblica sobre la que no tenga potestades o no tenga competencias para actuar como Oficina de Registro. No realizar registros o tramitar solicitudes de Certificados, emitidos bajo esta poltica, para una unidad organizativa que no sea dependiente del rgano de la administracin Titular del Certificado No realizar registros o tramitar solicitudes de Certificados emitidos bajo esta poltica y cuya titularidad, referida al firmante y custodio de los datos de creacin de firma, e identidad de la persona solicitante no se corresponda con la persona fsica que sea el mximo responsable de la unidad organizativa a consignar en el Certificado, salvo que se trate del responsable de la Oficina de Registro. Comprobar fehacientemente los datos identificativos del Solicitante, representante del Titular del Certificado, y verificar su pertenencia a la unidad organizativa como mximo responsable de sta. Revocar el Certificado emitido bajo esta poltica cuando alguno de los datos referidos a los Titulares o firmantes/custodios del Certificado o sea incorrecto o inexacto o o la persona fsica (firmante/custodio) representante del Titular del Certificado, no sea un responsable con capacidad suficiente de la unidad organizativa consignada en l o la denominacin de la unidad organizativa consignada en el Certificado sea inexacta o no se corresponda con una unidad operativa o
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 77 de 93
No utilizar el Certificado cuando sean inexactos o incorrectos: o alguno de los datos referidos a su condicin de responsable con capacidad suficiente de la unidad organizativa consignada en el Certificado o o los datos de pertenencia al rgano administrativo Titular del Certificado o o cualquier otro dato que refleje o caracterice la relacin de ste con la unidad organizativa u rgano de la administracin consignado en el Certificado 220. Las relaciones de la FNMT-RCM y el firmante/custodio quedarn determinadas principalmente a los efectos del rgimen de uso de los Certificados a travs del documento relativo a las condiciones de utilizacin o en su caso, contrato de emisin del Certificado y por como se tipifique en los acuerdos o convenios o documento de relacin entre la FNMT- RCM y el rgano, organismo o entidad pblica. 221. El resto de la Comunidad Electrnica y los terceros regularn sus relaciones con la FNMT- RCM a travs de la Declaracin General de Prcticas de Certificacin, y, en su caso, a travs de estas Polticas de Certificacin y Prcticas de Certificacin Particulares. Todo ello, sin perjuicio de lo dispuesto en la normativa sobre firma electrnica y dems normativa que resulte de aplicacin. 222. FNMT-RCM no ser responsable de la comprobacin de la pertenencia de la unidad organizativa a consignar en el Certificado al rgano de la administracin Titular del Certificado ni de la pertenencia del Solicitante a la unidad organizativa como mximo responsable de sta, correspondiendo esta actividad y responsabilidad de comprobacin a la Oficina de Registro. FNMT-RCM considerar representante del rgano, organismo o entidad de la administracin Titular del Certificado, salvo que sea informada de lo contrario al responsable de la Oficina de Registro correspondiente. 223. FNMT-RCM no ser responsable de la utilizacin de los Certificados emitidos bajo esta poltica cuando los representantes del Titular del Certificado electrnico realicen actuaciones sin facultades o extralimitndose de las mismas. 12.1.6. Lmites de uso de los Certificados para la actuacin administrativa automatizada mediante sellos electrnicos 224. Constituyen lmites de uso de este tipo de Certificados la creacin de sellos electrnicos de Administracin Pblica, organismo o entidad de derecho pblico, de conformidad con la Ley 11/2007, de 22 de junio, LAECSP para la identificacin y autenticacin del ejercicio de la competencia en la actuacin administrativa automatizada de la unidad organizativa perteneciente a una Administracin, organismo o entidad pblica. 225. La FNMT-RCM y la Administracin, organismos y entidades podrn fijar en los acuerdos o convenios, o a travs del documento de relacin correspondiente o, si fuera procedente en la Ley de Emisin de estos Certificados, otros lmites adicionales. 226. Para poder usar los Certificados para la actuacin administrativa automatizada dentro de los lmites sealados y de forma diligente, se deber previamente formar parte de la Comunidad Electrnica, y adquirir la condicin de Entidad Usuaria. 227. En cualquier caso, si un tercero desea confiar en la firma electrnica realizada con uno de estos Certificados (sello para actuaciones automatizadas) sin acceder a los servicios de
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 78 de 93
comprobacin de la vigencia de los Certificados emitidos bajo esta Poltica de Certificacin, no se obtendr cobertura de las presentes Polticas de Certificacin y Prcticas de Certificacin Particulares, y se carecer de legitimidad alguna para reclamar o emprender acciones legales contra la FNMT-RCM por daos, perjuicios o conflictos provenientes del uso o confianza en un Certificado. 228. Adems, incluso dentro del mbito de la Comunidad Electrnica, no se podrn emplear este tipo de Certificados, por persona o entidad distinta a la FNMT-RCM, para: Firmar otro Certificado sin autorizacin previa y expresa de la FNMT-RCM. Usos particulares o privados. Firmar software o componentes. Generar sellos de tiempo para procedimientos de Fechado electrnico sin autorizacin previa y expresa de la FNMT-RCM Prestar servicios, sin autorizacin previa y expresa de la FNMT-RCM a ttulo gratuito u oneroso, como por ejemplo seran a ttulo enunciativo: o Prestar servicios de OCSP. o Generar Listas de Revocacin. Y, con carcter general, cualquier uso que se extralimite de los identificados en este apartado. 12.2. PRCTICAS DE CERTIFICACIN PARTICULARES PARA LOS CERTIFICADOS EMITIDOS PARA LA ACTUACIN ADMINISTRATIVA AUTOMATIZADA DE LA ADMINISTRACIN PBLICA, ORGANISMOS Y ENTIDADES PBLICAS, VINCULADAS O DEPENDIENTES 229. La FNMT-RCM en su labor como Prestador de Servicios de Certificacin y para demostrar la necesaria fiabilidad para la prestacin de dichos servicios, ha desarrollado una Declaracin de Prcticas de Certificacin cuyo objeto es la informacin pblica sobre las condiciones generales de prestacin de los servicios de certificacin por parte de la FNMT- RCM en su condicin de Prestador de Servicios de Certificacin. 230. En especial deber tenerse presente, a efectos interpretativos del presente anexo el apartado Definiciones del cuerpo principal de la Declaracin General de Practicas de Certificacin. 231. El Presente documento trae causa y forma parte integrante de la Declaracin de Prcticas de Certificacin de la FNMT-RCM y define el conjunto de prcticas particulares adoptadas por la FNMT-RCM como Prestador de Servicios de Certificacin para la gestin del ciclo de vida de los Certificados para la actuacin administrativa automatizada de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes, expedidos bajo la Poltica de Certificacin de Certificados para la actuacin administrativa automatizada de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes identificada con el OID 1.3.6.1.4.1.5734.3.13
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 79 de 93
12.2.1. Servicios de Gestin de las Claves de los Usuarios y Titulares 232. La FNMT-RCM bajo ningn concepto genera ni almacena las Claves Privadas de Titulares y/o representantes, que son generadas bajo su exclusivo control y cuya custodia estn bajo su responsabilidad. 12.2.2. Gestin del ciclo de vida de los Certificados 12.2.2.1. Registro de los Titulares 233. Con carcter previo al establecimiento de cualquier relacin institucional con los Titulares, la FNMT-RCM informa, a travs de los medios y direcciones web citadas en estas Prcticas de Certificacin Particulares y, subsidiariamente, en la Declaracin General de Prcticas de Certificacin, acerca de las condiciones del servicio as como de las obligaciones, garantas y responsabilidades de las partes implicadas en la expedicin y uso de los Certificados por ella emitidos en su labor como Prestador de Servicios de Certificacin. 234. La FNMT-RCM, en su actividad como Prestador de Servicios de Certificacin a travs de las Oficinas de Registro procede a la identificacin de los solicitantes y futuros Titulares que soliciten Certificados para la actuacin administrativa automatizada de la Administracin Pblica, Organismos y entidades pblicas vinculadas o dependientes mediante aquellos procedimientos que as se dispongan para ello. FNMT-RCM considerar con competencia al efecto cualquier solicitud que venga realizada por el responsable de la Oficina de Registro correspondiente, que se considerar representante del Titular. 235. La FNMT-RCM recabar de los solicitantes solo aquella informacin recibida de la Oficina de Registro, que sea necesaria para la expedicin de los Certificados y para la comprobacin de la identidad, legitimidad y competencia de los representantes, almacenando la informacin legal exigida durante el periodo de quince (15) aos, tratndola con la debida diligencia para el cumplimiento de la legislacin nacional vigente en materia de proteccin de datos de carcter personal. 236. La FNMT-RCM, dado que en su actividad como Prestador de Servicios de Certificacin no genera el par de Claves de los Titulares, pone todos los mecanismos necesarios durante el proceso de Solicitud de Certificados para posibilitar que el responsable de la Oficina de Registro y/o el representante del Titular se encuentra en posesin de la Clave Privada asociada a la Clave Pblica que se certificar. 12.2.2.2. Procedimiento de solicitud del Certificado para la actuacin administrativa automatizada de la Administracin Pblica 237. A continuacin se describe el procedimiento de solicitud del Certificado por el que se toma la denominacin oficial de las unidades administrativas pertenecientes a la Administracin, organismo o entidad pblica, que sern los Titulares de los Certificados para la actuacin administrativa automatizada, se toman los datos personales de los representantes de los Titulares, que en lo referente a persona fsica coincide con el Solicitante, y tendr legitimacin y competencia suficientes para solicitar y obtener el Certificado, se confirma su identidad, vigencia del cargo o empleo y se formaliza, entre el representante del Titular y
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 80 de 93
la FNMT-RCM el documento de condiciones de utilizacin o el contrato tipo de emisin, para la posterior emisin de un Certificado para la actuacin administrativa automatizada de la Administracin Pblica. 238. Se hace constar que FNMT-RCM, en funcin de la relacin de Titulares remitida por la Administracin, organismo o entidad pblica, considerar, bajo responsabilidad de las correspondientes rganos, organismos y/o entidades que actuarn a travs de las Oficinas de Registro, que estos Titulares cumplen los requisitos establecidos en la presente Declaracin y, por tanto, tienen la legitimidad y competencia necesarias para solicitar y obtener el Certificado para la actuacin administrativa automatizada de la Administracin Pblica. 239. FNMT-RCM considerar con capacidad y competencia suficientes a los responsables de las Oficinas de Registro a efectos de realizar la solicitud del Certificado, as como para realizar los trmites que se describen. 240. FNMT-RCM, no tendr en este tipo de Certificado la responsabilidad de comprobar: La potestad y competencia de la Oficina de Registro para solicitar un Certificado para la actuacin administrativa automatizada en nombre del rgano de la administracin en cuestin y Titular del Certificado La pertenencia y dependencia de la unidad organizativa a consignar en el Certificado al rgano, organismo o entidad de la administracin Titular del Certificado Que el Solicitante del Certificado para la actuacin administrativa automatizada, tenga la condicin de personal al servicio de la unidad administrativa perteneciente a la Administracin, organismo o entidad pblica Titular del Certificado. La condicin del Solicitante de responsable de la unidad organizativa a consignar en el Certificado perteneciente a la Administracin que ser Titular con legitimidad y competencia suficientes para realizar tal solicitud. 241. Dado que la FNMT-RCM no mantiene relacin jurdica funcionarial, administrativa o laboral con los Titulares, ms all del documento de condiciones de utilizacin o en su caso contrato de emisin, todas las actividades de comprobacin sern realizadas por las Oficinas de Registro implantadas por el organismo o entidad de la Administracin Pblica en cuestin y que se corresponde, en cada caso, con el rgano, organismo o entidad Titular del Certificado. 1. Presolicitud El representante del Titular que, habitualmente, ser el responsable de la Oficina de Registro correspondiente, genera las Claves Pblica y Privada que sern vinculadas al Certificado, convirtindose posteriormente en datos de verificacin y creacin de firma respectivamente El representante y/o responsable de la Oficina de Registro compone una solicitud electrnica de Certificado, generalmente en formato PKCS#10, y accede al sitio web del Prestador de Servicios de Certificacin, la FNMT-RCM, a travs de la direccin https://ape.cert.fnmt.es/PrerregistroSolicitudesComponentesAPE/index.html donde se mostrar un formulario en el que el dicho representante deber introducir los datos del rgano Titular para la cual se emitir el Certificado y del que depende la
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 81 de 93
unidad organizativa y los datos de la persona fsica propios en su condicin de responsable de la custodia diligente de los datos de creacin de firma y que por tanto ser el firmante/custodio. Adicionalmente el responsable tambin deber introducir la solicitud electrnica generada anteriormente. Como respuesta al envo del formulario la FNMT-RCM asignar e indicar al responsable cdigo de solicitud para su utilizacin en la Oficina de Registro y en el momento de la solicitud del Certificado Con carcter previo el representante y/o responsable de la Oficina de Registro y la Administracin, que ser Titular, deber consultar la Declaracin General de Prcticas de Certificacin, y la presentes Polticas de Certificacin y Prcticas de Certificacin Particulares en la direccin http://www.cert.fnmt.es/dpcs/ con las condiciones de uso y obligaciones para las partes, pudiendo realizar las consultas que estime oportunas sobre el alcance de esta Declaracin; todo ello, sin perjuicio de que con posterioridad, el representante del, Titular y/o responsable de la Oficina de Registro, y FNMT-RCM, deban suscribir el documento de condiciones de utilizacin o si procede el contrato de emisin. En ningn caso la continuacin del procedimiento de presolicitud implicar la conclusin del proceso. Al realizar esta presolicitud se enva a la FNMT-RCM la Clave Pblica generada, junto con la correspondiente prueba de posesin de la Clave Privada, para la posterior emisin del Certificado. La FNMT-RCM, tras recibir esta informacin, comprobar mediante la Clave Pblica del peticionario la posesin y correspondencia de la pareja de Claves criptogrficas por parte del representante y/o responsable de la Oficina de Registro. Esta informacin no dar lugar a la generacin de un Certificado por parte de la FNMT-RCM, en tanto que sta no reciba firmada por el responsable de la Oficina de Registro la solicitud del Certificado. 2. Confirmacin de las identidades y requisitos de las partes El responsable de la Oficina de Registro se identificar a travs de su documento nacional de identidad o documento de identificacin sustitutorio ante la FNMT-RCM, mediante la correspondiente aplicacin de registro y uso de su propio Certificado personal. FNMT-RCM presumir que el responsable de la Oficina de Registro se encuentra en el ejercicio de la competencia y con capacidad suficiente para realizar los trmites de obtencin de este tipo de Certificados. a) Personacin del Solicitante ante las Oficinas de Registro En supuestos distintos a la intervencin del responsable de la Oficina de Registro, a efectos de obtencin del Certificado, se considerar Solicitante, con legitimacin y competencia suficientes a la persona designada por el Titular del Certificado. Para obtener el Certificado, el solicitante se personar ante una Oficina de Registro designada a tal efecto por el organismo o entidad Titular del Certificado.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 82 de 93
FNMT-RCM considerar al responsable de la Oficina de Registro con capacidad y competencia suficiente por el hecho de su designacin por parte del Titular. b) Comparecencia y documentacin En supuestos distintos a la intervencin del responsable de la Oficina de Registro, a efectos de obtencin del Certificado, el representante del Titular, Solicitante, comparecer y aportar los datos que se le requieran y que acrediten, ante la Oficina de Registro: i. su identidad personal, ii. su condicin de personal al servicio del rgano, organismo o entidad de la Administracin Titular del Certificado para la actuacin administrativa automatizada. iii. su condicin mximo responsable o persona habilitada o designada con legitimacin y competencia suficientes en la unidad organizativa, rgano, organismo o entidad pblica a consignar en el Certificado y desde la que se realiza la actuacin administrativa automatizada. FNMT-RCM estar y admitir, en todo caso, a la funcin e informe que realice la Oficina de Registro designada por la Administracin. En el caso de que no se acrediten los puntos anteriores, la Oficina de Registro no continuar con la tramitacin de la solicitud del Certificado. c) Envo de informacin a la FNMT-RCM Una vez confirmada la identidad del Solicitante y vigencia de las condiciones de legitimacin y competencia exigidas a ste, se suscribir el documento de condiciones de utilizacin o, en su caso, contrato de solicitud por el Solicitante, en nombre del Titular, y/o el responsable de la Oficina de Registro. La informacin y documentos anteriores sern enviados, junto con el cdigo de solicitud recogido en la fase de presolicitud a la FNMT-RCM. Los datos personales y su tratamiento quedarn sometidos a la legislacin especfica Dicho envo slo se producir si la Oficina de Registro tiene potestad para actuar como tal en nombre del rgano, organismo o entidad de la Administracin Pblica Titular del Certificado para la actuacin administrativa automatizada y si sta posee la unidad organizativa a consignar en el Certificado y desde la que se realizar la actuacin administrativa automatizada. Esta transmisin de informacin a la FNMT-RCM se realizar mediante comunicaciones seguras establecidas para tal fin entre la Oficina de Registro y la FNMT-RCM. 12.2.2.3. Emisin del Certificado para la actuacin administrativa automatizada de la Administracin Pblica 242. Una vez recibidos en la FNMT-RCM los datos de los Titulares, de los Solicitantes y firmantes/custodios, la informacin que describe su relacin con la Administracin Pblica, la unidad organizativa desde la que se realizar la actuacin administrativa automatizada
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 83 de 93
objeto del Certificado, as como el cdigo de solicitud obtenido en la fase de presolicitud, se proceder a la emisin del Certificado. 243. La emisin de Certificados supone la generacin de documentos electrnicos que confirman la identificacin y autenticacin del Titular y del personal facultado firmante/custodio de la Oficina de Registro y/o unidad organizativa de la Administracin actuante, organismo o entidad pblica vinculada o dependiente. y al que se vincula los datos de verificacin de firma que se corresponden univoca e inequvocamente con unos datos de creacin de firma bajo la custodia de dicho firmante/custodio. 244. La emisin de Certificados de la FNMT-RCM slo puede realizarla ella misma, en su calidad de Prestador de Servicios de Certificacin, no existiendo ninguna otra entidad u organismo con capacidad de emisin de los mismos. La FNMTRCM, por medio de su Firma electrnica, autentica los Certificados y confirma la identidad y competencia de sus Titulares, as como su condicin de Titular del Certificado para la actuacin administrativa automatizada (sello electrnico) y del personal firmante/custodio encargado de la gestin de dicho Certificado y sello electrnico, de conformidad con la informacin recibida por parte de la Oficina de Registro. Por otro lado y con el fin de evitar la manipulacin de la informacin contenida en los Certificados, la FNMT-RCM utilizar mecanismos criptogrficos que doten de autenticidad e integridad al Certificado. 245. La FNMT-RCM en ningn caso incluir en un Certificado informacin distinta de la aqu mostrada, ni circunstancias, atributos especficos de los firmantes/custodios o lmites distintos a los previstos en los acuerdos, convenios y, en su caso, a los previstos en la Ley de Emisin correspondiente. 246. En cualquier caso la FNMT-RCM actuar diligentemente para: Comprobar que el Solicitante del Certificado o el responsable de la Oficina de Registro utilice la Clave Privada correspondiente a la Clave Publica vinculada a la identidad del Titular del mismo. Para ello la FNMT-RCM comprobar la correspondencia entre la Clave privada y la Clave pblica. Lograr que la informacin incluida en el Certificado se base en la informacin proporcionada por el Solicitante y/o por el responsable de la Oficina de Registro correspondiente. No ignorar hechos notorios que puedan afectar a la fiabilidad del Certificado. Lograr que el DN (nombre distintivo) asignado en el Certificado sea nico en toda la Infraestructura de Clave Pblica de la FNMT-RCM. 247. Para la emisin del Certificado se seguirn los siguientes pasos: 1. Composicin del nombre distintivo (DN) del Titular Con los datos recogidos durante el proceso de solicitud del Certificado, se procede a componer el nombre distintivo (DN) conforme al estndar X.500, asegurando que dicho nombre tenga sentido y no de lugar a ambigedades. No se contempla el uso de seudnimos como forma de identificacin del Titular. El DN est compuesto de los siguientes elementos: DNCN, OU, OU, OU, O, C
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 84 de 93
El conjunto de atributos OU, OU, OU, O, C representa la rama del directorio en la que se encuentra ubicada la entrada correspondiente al Titular y/o firmante/custodio en cuestin. El atributo CN contiene el nombre de la Oficina de Registro y/o unidad organizativa de la Administracin, organismo o entidad pblica que realiza la actuacin administrativa automatizada de la que depende. Una vez compuesto el nombre distintivo (DN) se crea la correspondiente entrada en el directorio, procurando que el nombre distintivo sea nico en toda la Infraestructura de Clave Pblica del Prestador de Servicios de Certificacin. 2. Composicin de la identidad alternativa del Titular La identidad alternativa del Titular y/o firmante/custodio, tal como se contempla en la presente tipologa de Certificados contiene la identidad de los titulares del Certificado y el nombre de la Oficina de Registro y/o unidad organizativa distribuida en una serie de atributos. Se utiliza la extensin subjectAltName definida en X.509 versin 3 para ofrecer esta informacin. Dentro de dicha extensin, se utilizar el subcampo directoryName para incluir un conjunto de atributos definidos por la FNMT-RCM, que incorporan informacin sobre el Titular en cuestin, siguiendo el siguiente criterio:
Tipo Certificado Informacin Atributo FNMT OID (*) Unidad organizativa de la entidad
fnmtDescripcion fnmtoid.1.8 Entidad titular del certificado fnmtPropEnt fnmtoid.1.14 CIF de la entidad titular fnmtCIF fnmtoid.1.15 Nombre del custodio fnmtRespNombre fnmtoid.1.16 Primer apellido del custodio fnmtRespApellido1 fnmtoid.1.17 Segundo apellido del custodio fnmtRespApellido2 fnmtoid.1.18 Actuacin administrativa automatizada NIF del custodio fnmtRespNIF fnmtoid.1.19
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 85 de 93
Tabla 12 Composicin del subcampos directoryName. Actuacin automatizada APE
(*) fnmtoid: 1.3.6.1.4.1.5734: Espacio de numeracin asignado a la Fbrica Nacional de Moneda y Timbre Real Casa de la Moneda por el IANA. 3. Generacin del Certificado conforme al Perfil del Certificado para la actuacin administrativa automatizada El formato del Certificado para la actuacin administrativa automatizada expedido por la FNMT-RCM bajo la presente poltica, en consonancia con la norma UIT-T X.509 versin 3 y de acuerdo con la normativa legalmente aplicable en materia de Certificados Reconocidos, contiene los siguientes campos:
CAMPO CONTENIDO OBSERVACIONES 1. Versin V3 2. Serial Number Secuencial [RFC3280]: the serial number MUST be a positive integer, not longer than 20 octets ( 1 < SN < 2 159 ). Processing components MUST be able to interpret such long numbers. 3. Signature Algorithm Sha1withRsaEncryption Sha256withRsaEncryption OID: 1.2.840.113549.1.1.5 OID: 1.2.840.113549.1.1.11
Norma PKCS#1 v2.1 y RFC 3447.
4. Issuer Distinguished Name OU= AC APE O=FNMT-RCM C=ES Todos los DirectoryString codificados en UTF8. El atributo C (countryName) se codificar de acuerdo a ISO 3166-1-alpha- 2 code elements, en PrintableString. [ETSI-CPN]: the issuer name MUST contain the countryName and the organizationName attributes. 5. Validez 48 meses 48 meses a partir del momento de la emisin. 6. Subject CN= DESCRIPCION d ENTIDAD e CIF 12345678B OU= Organizacion_Entidad OU=AC APE O=FNMT-RCM C=ES
Todos los DirectoryString codificados en UTF8. El atributo C (countryName) se codificar de acuerdo a ISO 3166-1-alpha- 2 code elements, en PrintableString.
7. Subject Public Key Info Algoritmo: RSA Encryption Longitud: 2048 bits
8. Subject Key Identifier Funcin hash SHA-1 sobre la clave pblica del sujeto. RFC 3280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectPublicKey del sujeto (excluyendo etiqueta, longitud y nmero de bits no usados). 9. Authority Key Identifier Funcin hash SHA-1 sobre la clave pblica de la AC emisora (AC subordinada). NO SE incluye la RFC 3280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectPublicKey de la AC emisora (excluyendo etiqueta, longitud y nmero de bits no usados). Coincide con el campo
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 86 de 93
CAMPO CONTENIDO OBSERVACIONES identificacin del certificado de la AC emisora (en este caso, DN de la AC Raz, nmero de serie de la AC Subordinada). Subject Key Identifier de la AC emisora (AC subordinada). 10. KeyUsage Digital Signature 1 Non Repudiation 1 Key Encipherment 1 Data Encipherment 1 Key Agreement 0 Key Certificate Signatura 0
CRL Signature 0
Si es necesario que tenga la misma operatividad que FNMT Clase 2 CA, tendr La Norma ETSI TS 102 280 V1.1.1 (2004- 03) X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons recomienda el uso exclusivo del bit de no repudio para certificados destinados a validar el compromiso con el contenido firmado, tales como firmas electrnicas sobre transacciones o acuerdos.
En el Technical Corrigendum 3 de la ITU-T X509 de 04/2004, el bit de no-repudio es renombrado a contentCommitment. En este documento se recoge lo siguiente:
Note that it is not incorrect to refer to this keyUsage bit using the identifier nonRepudiation. However, the use of this identifier has been deprecated. Regardless of the identifier used, the semantics of this bit are as specified in this Directory Specification. 11. extKeyUsage Autenticacin de cliente: 1.3.6.1.5.5.7.3.2 Proteccin de correo electrnico: 1.3.6.1.5.5.7.3.4
[RFC3280]: Certificate using applications MAY require that a particular purpose be indicated in order for the certificate to be acceptable to that application. If a CA includes extended key usages to satisfy such applications, but does not wish to restrict usages of the key, the CA can include the special keyPurposeID anyExtendedKeyUsage. If the anyExtendedKeyUsage key purpose is present, the extension SHOULD NOT be critical. 12. Certificate Policies Policy Identifier OID asociado a la DPC o PC de certificado de firma de Sello electrnico. (fnmtPolCertSelloElect) 1.3.6.1.4.1.5734.3.13 URL CPS http://www.cert.fnmt.es/dpc s/
Notice Referente Sujeto a las condiciones de uso expuestas en la Declaracin de Prcticas de Certificacin de la FNMT-RCM ( C/Jorge Juan 106-28009-Madrid-Espaa) RFC 3739 obliga la existencia de al menos un valor. La Ley de Firma Electrnica dice para los certificados reconocidos: La identificacin del prestador de servicios de certificacin que expide el certificado y su domicilio. Se incluir en la DPC.
In an end entity certificate, these policy information terms indicate the policy under which the certificate has been issued and the purposes for which the certificate may be used. 13. qcStatements id-etsi-qcs-QcCompliance ETSI TS 101 862 define la inclusin de las siguientes declaraciones para certificados
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 87 de 93
CAMPO CONTENIDO OBSERVACIONES id-etsi-qcs-QcLimitValue : 0 Id-etsi-qcs- QcRetentionPeriod: 15 aos
cualificados: 1.- id-etsi-qcs-QcCompliance Indica que el certificado es qualificado. Solo si no est explicito en las polticas indicadas en la extensin correspondiente. 2.- id-etsi-qcs-QcLimitValue Opcional. Indica el valor lmite para transacciones. 3.- id-etsi-qcs-QcRetentionPeriod Opcional. Nmero de aos a partir de la caducidad del certificado que se dispone de los datos de registro y otro informacin relevante. En este caso la Ley obliga: Conservar registrada por cualquier medio seguro toda la informacin y documentacin relativa a un certificado reconocido y las declaraciones de prcticas de certificacin vigentes en cada momento, al menos durante 15 aos contados desde el momento de su expedicin, de manera que puedan verificarse las firmas efectuadas con el mismo.. Dado que la FNMT va a conservar la informacin de manera indefinida, y que la norma no establece un valor para indicar un perodo indefinido, no se incluir este QC y se indicar en la DPC. 4.- id-etsi-qcs-QcSSCD Opcional. Indica que la clave privada correspondiente al certificado est almacenada en un dispositivo seguro de creacin de firma de acuerdo al Anexo III de la Directiva del Parlamento Europeo 1999/93/EC, sobre un framework comunitario para firmas electrnicas. Descripcin fnmtDescripcion Entidad propietaria fnmtPropEnt CIF fnmtCIF Nombre Responsable fnmtRespNombre Apellido1 Responsable fnmtRespApellido1 Apellido2 Responsable fnmtRespApellido2 14. Subject Alternate Names Direccin del directorio: OID.1.3.6.1.4.1.5734.1.8=fnmtDes cripcion OID.1.3.6.1.4.1.5734.1.14=fnmtPr opEnt OID.1.3.6.1.4.1.5734.1.15=fnmtCI F OID.1.3.6.1.4.1.5734.1.16=fnmtR espNombre (Opcional) OID.1.3.6.1.4.1.5734.1.17=fnmtR espApellido1 (Opcional) OID.1.3.6.1.4.1.5734.1.18=fnmtR espApellido2 (Opcional) OID.1.3.6.1.4.1.5734.1.19=fnmtR espNIF (Opcional)
NIF Responsable fnmtRespNIF 15. Basic Constraints Subject Type Entidad Final [RFC 3280] This extension MAY appear as a critical or non-critical extension in end entity certificates.
16. CRLDistributionPoints LDAP: ldap://ldapape.cert.fnmt.es: puerto/CN=CRLnnn,OU= AC APE, O=FNMT, C=ES ?certificateRevocationList;bin
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 88 de 93
CAMPO CONTENIDO OBSERVACIONES ary?base ?objectclass=cRLDistribution Point HTTP: http://www.cert.fnmt.es/crls ape/CRLnnn.crl 17. Auth. Information Access OCSP: http://ocspape.cert.fnmt.es/ ocspape/OcspResponder CA: http://www.cert.fnmt.es/cert s/ACRAIZFNMTRCM.crt
Contendr informacin de localizacin del OCSP Responder. URL resuelta a diferentes servidores. Ley de Firma Electrnica: Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rpido y seguro. 18.netscapeCertType sSLCLIENT,sMIME Tipo de certificado segn Netscape 19. fnmtTipoCertificado 1.3.6.1.4.1.5734.1.33: Sello Electrnico para Procesos Automatizados Tipo de certificado para Sello Electrnico para Procesos Automatizados 20. AuthorityKeyIdentifier 2.5.29.35: Identificador de clave del prestador de servicios de certificacin
Tabla 13 Perfil del Certificado de Actuacin Administrativa Automatizada - APE
12.2.2.4. Publicacin del Certificado para la actuacin administrativa automatizada 248. Una vez generado el Certificado por parte de la FNMT-RCM como Prestador de Servicios de Certificacin, se publicar en el Directorio, concretamente en la entrada correspondiente al nombre distintivo de la direccin electrnica, tal como se ha definido en el apartado Emisin del Certificado de este documento 12.2.2.5. Descarga e instalacin del Certificado para la actuacin administrativa automatizada 249. Una vez transcurrido el tiempo establecido desde que el solicitante se persona en las Oficinas de Registro para realizar la solicitud y una vez que el Certificado haya sido generado, se pone a disposicin del Titular u Oficina de Registro un mecanismo de descarga de Certificado en la direccin 250. Realizados los trmites anteriores y generado el Certificado para la actuacin administrativa automatizada, la FNMT-RCM pondr a disposicin del responsable de la Oficina de Registro correspondiente un mecanismo de descarga del Certificado en la direccin de titularidad de la Administracin u organismo, a travs del siguiente enlace: http://ape.cert.fnmt.es/appsUsuario/descargameh/descargaCertInicio.jsp 251. A tal efecto, se acceder a la opcin Descarga de su Certificado. 252. En este proceso guiado se le pedir, al responsable de la Oficina de Registro del mbito del Titular, que introduzca el CIF del rgano, organismo o entidad pblica con el que realiz el proceso de presolicitud as como el cdigo de solicitud devuelto por el sistema al finalizar
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 89 de 93
dicho proceso. Si el Certificado no ha sido an generado por cualquier motivo, se le indicar este hecho en el momento que intente su descarga. 253. Si el Certificado ya ha sido puesto a disposicin del Titular, aqul ser introducido directamente en el soporte en el que se generaron las Claves durante el proceso de Presolicitud. 12.2.2.6. Perodo de validez del Certificado para la actuacin administrativa automatizada 254. El periodo de validez de los Certificados de sello electrnico para la actuacin administrativa automatizada emitidos por la FNMT-RCM bajo esta Poltica de Certificacin ser de cuatro (4) aos contados a partir del momento de la emisin del Certificado, siempre y cuando no se extinga su vigencia por las causas y procedimientos expuestos en el apartado Extincin de la vigencia del Certificado de la Declaracin General de Prcticas de Certificacin o lo dispuesto, en su caso, en la Ley de Emisin correspondiente. 12.2.2.7. Revocacin del Certificado para la actuacin administrativa automatizada 255. La revocacin de Certificados consiste en la cancelacin de la garanta de identidad, autenticidad u otras propiedades del Titular y sus representantes y su correspondencia con la clave pblica asociada. Implica, adems de su extincin, la finalizacin de la relacin y rgimen de uso del Certificado con la FNMT-RCM. 256. Estarn legitimados para solicitar la revocacin de un Certificado para la actuacin administrativa automatizada, en base a la inexactitud de los datos consignados en el Certificado, variacin de los mismos o cualquier otra causa a valorar por los Titulares: El rgano directivo de la Administracin, organismos o entidades, vinculadas o dependientes, o personas en quien deleguen. FNMT-RCM considerar a los firmantes/custodios responsables de la unidad organizativa consignada en el Certificado y perteneciente a la entidad de la administracin Titular del Certificado, con capacidad y competencia a efectos de instar la revocacin. la Oficina de Registro, a travs de su responsable que est designada a tal efecto, por la Administracin, organismo o entidad vinculada o dependiente Titular del Certificado a revocar, cuando detecte que alguno de los datos consignados en el Certificado o es incorrecto, inexacto o haya variado o o la persona fsica firmante/custodio del Certificado no se corresponda con el responsable mximo o designado de la unidad organizativa, rgano, organismo o entidad pblica consignada en el Certificado o o la unidad organizativa consignada en el Certificado no depende organizativamente del rgano, organismo o entidad pblica de la que depende el Titular del Certificado. La revocacin se realizar siempre en el marco de los trminos y condiciones del apartado Revocacin de Certificados de la Declaracin General de Prcticas de Certificacin.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 90 de 93
12.2.2.8. Procedimiento por el que se obtienen los datos personales del Solicitante de la revocacin, se confirma su identidad y la capacidad para realizar dicha solicitud y la formalizacin de la misma. 257. Sern causas admitidas para la revocacin de un Certificado las expuestas en el apartado correspondiente de la Declaracin General de Prcticas de Certificacin de la FNMT- RCM, si bien la Ley de Emisin de aplicacin podr establecer adicionalmente otras causas de revocacin o en su caso suspensin y/o cancelacin. 1. Personacin del Solicitante ante las Oficinas de Registro Para revocar el Certificado, el Solicitante con capacidad y competencia suficientes se personar ante una Oficina de Registro designada a tal efecto por el rgano, organismo o entidad Titular del Certificado a revocar, o se realizar directamente por el responsable de la Oficina de Registro. 2. Comparecencia y documentacin El Solicitante aportar los datos que se le requieran y que acrediten: su identidad personal, su condicin de personal al servicio del rgano, organismo o entidad de la Administracin pblica Titular del Certificado o su condicin de responsable de la Oficina de Registro. su condicin de mximo responsable o persona designada de la unidad organizativa consignada en el Certificado y dependiente de la administracin Titular del Certificado o de personal adscrito a la Oficina de Registro designada a tal efecto por el organismo o entidad Titular del Certificado a revocar FNMT-RCM estar y admitir, en todo caso, la funcin e informe que realice la Oficina de Registro designada por la Administracin. En el caso de que no se acrediten los puntos anteriores, la Oficina de Registro no proceder con la solicitud de revocacin del Certificado 3. Envo de la solicitud de revocacin a la FNMT-RCM y tramitacin Sin que existan causas notorias de falta de competencia del responsable de la Oficina de Registro y/o una vez confirmada la identidad del Solicitante, vigencia de las condiciones exigidas a ste y suscrito el documento de solicitud de revocacin, la Oficina de Registro proceder a validar los datos y a enviarlos a la FNMT-RCM para la revocacin efectiva del Certificado. Los datos personales y su tratamiento quedarn sometidos a la legislacin especfica Dicho envo slo se producir si la Oficina de Registro tiene potestad para actuar como tal en nombre del rgano, organismo o entidad de la Administracin Pblica Titular del Certificado y si ste tiene es responsable o tiene competencia suficiente sobre la unidad organizativa consignada en el Certificado
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 91 de 93
Esta transmisin de informacin a la FNMT-RCM se realizar mediante comunicaciones seguras establecidas para tal fin entre la Oficina de Registro y la FNMT-RCM. Una vez que la FNMT-RCM ha procedido a la revocacin del certificado, se publicar en el directorio seguro la correspondiente Lista de Certificados Revocados conteniendo el nmero de serie del Certificado revocado, la fecha y hora de revocacin y la causa de revocacin. 12.2.2.9. Suspensin del Certificado para la actuacin administrativa automatizada 258. La suspensin de Certificados deja sin efectos el Certificado durante un perodo de tiempo y en unas condiciones determinadas. 259. La suspensin de los Certificados ser considerada una revocacin temporal de la vigencia del Certificado por lo que los procedimientos y entidades habilitadas para la solicitud y tramitacin de la revocacin del Certificado son de aplicacin en el caso de la suspensin. Adicionalmente se tendrn en cuenta para la admisin de las suspensin las causas admitidas expuestas en el apartado Causas de suspensin de Certificados de la Declaracin General de Prcticas de Certificacin. 260. La FNMT-RCM proceder a suspender el Certificado de forma provisional durante un plazo de noventa (90) das, plazo tras el cual se extinguir el Certificado mediante su revocacin directa por parte del Prestador de Servicios de Certificacin de la FNMT-RCM, salvo que se hubiera levantado la suspensin. No obstante lo anterior, el plazo previsto para la suspensin del Certificado podr verse alterado en funcin de los procedimientos judiciales o administrativos que lo pudieran afectar. 261. Si durante el plazo de suspensin del Certificado ste caducara o se solicitara su revocacin, se producirn las mismas consecuencias que para los Certificados no suspendidos que se vieran afectados por supuestos de caducidad o de revocacin. 12.2.2.10. Cancelacin de la suspensin del Certificado para la actuacin administrativa automatizada 262. Podrn solicitar la Cancelacin de la suspensin de los Certificados emitidos por la FNMT- RCM los Titulares, a travs de sus representantes, siempre que dicha solicitud se efecte durante los noventa (90) das siguientes a su suspensin. 263. La FNMT-RCM considerar que se acta con capacidad bastante, a los efectos de este apartado, cuando la solicitud se realice a travs del responsable de la Oficina de Registro correspondiente. 264. Sin perjuicio de lo sealado en el prrafo anterior, y en el caso de actuacin a travs de otros representantes del Titular del Certificado distintos al responsable de la Oficina de Registro, la comparecencia y/o acto de peticin de cancelacin se llevar a travs y/o ante la Oficina de Registro designada por el organismo o entidad a la que pertenece el Titular y segn el criterio vigente de la FNMT-RCM, al objeto de que sta sea homognea en todos los casos. 265. En este acto, el solicitante representante del Titular del Certificado con competencia suficiente, objeto de la peticin, aportar los datos que se le requieran y acreditar su
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 92 de 93
identidad personal, siguiendo el procedimiento descrito anteriormente para la solicitud de emisin del Certificado para la actuacin administrativa automatizada. FNMT-RCM aceptar el informe de acreditacin que pudiera emitir la Oficina de Registro considerando lo establecido en el artculo 13.1 in fine de la Ley 59/2003, de 19 de diciembre, de firma electrnica. 266. Los datos personales del responsable de la Oficina de Registro o del representante del Titular, una vez validados por la Oficina de Registro, se enviarn a la FNMT-RCM mediante comunicaciones seguras establecidas para tal fin entre la Oficina de Registro y la FNMT-RCM. Los datos personales y su tratamiento quedarn sometidos a la legislacin especfica 267. Una vez recibidos los datos validados por la Oficina de Registro de la peticin de levantamiento de suspensin, la FNMT-RCM proceder a retirar este Certificado de la Lista de Revocacin, no efectundose accin tcnica alguna sobre el Certificado en cuestin. 12.2.2.11. Comprobacin del estado del Certificado para la actuacin administrativa automatizada 268. El Titular del Certificado y las Administraciones, organismos y entidades usuarias pertenecientes a la Comunidad Electrnica podrn realizar la comprobacin del estado de un Certificado en la forma y condiciones que se expresan en los apartados Procedimientos de consulta del estado de los Certificados y Servicio de validacin de Certificados mediante OCSP de la Declaracin General de Prcticas de Certificacin, sin perjuicio de lo que pueda establecerse mediante acuerdo o convenio de la FNMT-RCM, el Titular del Certificado y, en su caso, los integrantes de la Comunidad Electrnica. 269. FNMT-RCM no proporciona servicio de comprobacin de Certificados de otros Titulares salvo en los casos que as se establezca a travs de convenios y/o contratos con el correspondiente consentimiento de los miembros integrantes de la Comunidad Electrnica o en los trminos previstos en la Ley de Emisin. 270. En particular, para la difusin y confianza en los sistemas que cuenten con estos Certificados, la FNMT-RCM, podr proporcionar la posibilidad de verificar, por el miembro de la Comunidad electrnica o un tercero, que el Certificado para la actuacin administrativa automatizada es un Certificado vlido emitido por la FNMT-RCM, as como otras caractersticas del mismo. 12.2.3. Exclusiones y requisitos adicionales a ETSI TS 101 456 De acuerdo con la norma en el apartado 8.2 b), se excluyen las cuestiones definidas en el apartado 7.5 j), k). De acuerdo con la norma en el apartado 8.2 c), se excluyen las cuestiones definidas en el apartado 7.3.5 f). En este tema se estar a lo sealado en el apartado Publicacin del Certificado de este anexo. De acuerdo con la norma en el apartado 8.2 d), se excluyen las cuestiones definidas en el apartado 7.3.6 k). En este tema se estar a lo sealado en el apartado Comprobacin del estado del Certificado de este anexo.
Polticas y prcticas de certificacin particulares APE Versin 1.1
Pgina 93 de 93
271. Respecto aquellos Certificados Reconocidos que usen Dispositivos Seguros de creacin de firma, seguirn lo sealado en el apartado Soporte del Certificado del documento Declaracin General de Prcticas de Certificacin de la FNMT-RCM, as como a lo expuesto en los apartados sobre Ciclo de vida del certificado del citado documento. Todo ello sin perjuicio de la utilizacin de los sistemas de firma electrnica admitidos por la Ley 11/2007, de 22 de junio, LAECSP. 12.2.4. Modelos de formulario 272. Los modelos de formularios que se deben cumplimentar para realizar las operaciones descritas para la gestin del ciclo de vida de los Certificados para personal al servicio de la Administracin Pblica se ponen a disposicin en http://www.ceres.fnmt.es