SCRPKI - Declaracion de Practicas de Certificacion - v1.0.5

Renovacin de la Solucin PKI del Colegio de Registradores
Declaracin de Prcticas de Certificacin
Versin 1.0.5 31 de Enero de 2009
Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

Versin 1.0.5 Fecha: 31/01/2009 Pgina 2 de 66
CONTROL DOCUMENTAL
DOCUMENTO/ARCHIVO
Ttulo: Declaracin de Prcticas de Certificacin Cdigo: Fecha: 31/01/2009 Versin: Versin 1.0.5 Nombre Archivo/s: Soporte lgico: Ubicacin fsica:
REGISTRO DE CAMBIOS
Versin
1.0 1.0.3 1.0.4 1.0.5
Fecha
19/01/2007 27/11/08 30/12/08 31/01/2009 Versin inicial
Motivo del cambio

Adecuacin de la informacin a guardar en los log de acceso a los sistemas de la PKI Subsanacin Requerimiento Industria Recomendaciones Auditoria
DISTRIBUCIN DEL DOCUMENTO

Nombre rea
CONTROL DEL DOCUMENTO

PREPARADO Jos Antonio Romero REVISADO Arjan Sundardas Mirchandani APROBADO Gonzalo Aguilera Anegn ACEPTADO

ndice
1. INTRODUCCIN........................................................................................................................ 7 1.1. Presentacin............................................................................................................................... 7 1.2. Generalidades de la DPC........................................................................................................... 8 1.3. Nombre del documento e identificacin de la DPC.................................................................... 8 1.4. Participantes en la infraestructura de clave pblica (PKI) del Servicio de Certificacin del Colegio de Registradores .................................................................................................................... 9 1.4.1. 1.4.2. 1.4.3. 1.4.4. 1.4.5. 1.4.6. 1.4.7. 1.5.1. 1.5.2. 1.5.3. 1.5.4. Prestador de Servicios de Certificacin (PSC).................................................................. 9 Autoridad de Certificacin Raz ......................................................................................... 9 Autoridades de Certificacin Subordinadas .................................................................... 10 Autoridades de Registro .................................................................................................. 10 Autoridades de Validacin (VA)....................................................................................... 11 Autoridades de Sellado de Tiempo (TSA) ....................................................................... 11 Entidades finales ............................................................................................................. 11 Certificados Propios de la PKI ......................................................................................... 13 Certificados de Operador de Registro ............................................................................. 14 Certificados para las comunicaciones del Servicio ......................................................... 14 Certificados Personales................................................................................................... 14
1.5. Clases de Certificados digitales y lmites para su uso ............................................................. 12
1.6. Limitacin genrica de uso de los certificados......................................................................... 17 1.7. Administracin de la DPC ........................................................................................................ 17 1.7.1. Entidad Responsable....................................................................................................... 17 1.7.2. Procedimiento de aprobacin y modificacin de la Declaracin de Prcticas de Certificacin.................................................................................................................................... 18 1.8. Datos de Contacto.................................................................................................................... 18 2. CLUSULAS GENERALES.................................................................................................... 19 2.1. Obligaciones de los integrantes de la PKI del CORPME......................................................... 19 2.1.1. 2.1.2. 2.1.3. 2.1.4. 2.1.5. 2.1.6. 2.1.7. 2.2.1. 2.2.2. 2.2.3. Obligaciones de las Autoridades de Certificacin Subordinadas.................................... 19 Obligaciones de las RAs.................................................................................................. 20 Obligaciones de la TSA ................................................................................................... 20 Obligaciones de la VA ..................................................................................................... 21 Obligaciones del Suscriptor ............................................................................................. 21 Obligaciones del Tercero que confa en los certificados de CORPME ........................... 22 Obligaciones de otros participantes ................................................................................ 22 Responsabilidades de la Autoridad de Certificacin del CORPME ................................ 22 Responsabilidad de las RAs............................................................................................ 24 Responsabilidad de la TSA ............................................................................................. 24
2.2. Responsabilidad de los integrantes de la PKI del CORPME ................................................... 22

2.2.4. 2.2.5. 2.3.1. 2.3.2. 2.3.3.
Limitaciones de prdidas ................................................................................................. 24 Responsabilidad financiera.............................................................................................. 25 Legislacin ....................................................................................................................... 25 Nulidad............................................................................................................................. 25 Procedimiento de resolucin de conflictos ...................................................................... 25
2.3. Interpretacin............................................................................................................................ 25
2.4. Tarifas para la expedicin de certificados ................................................................................ 26 2.5. Publicacin y Directorio de Validacin de Certificados ............................................................ 26 2.5.1. 2.5.2. 2.5.3. 2.5.4. 2.5.5. 2.6.1. 2.6.2. 2.6.3. 2.7.1. 2.7.2. 2.7.3. Directorio de Validacin de Certificados.......................................................................... 26 Publicacin....................................................................................................................... 26 Frecuencia de actualizaciones ........................................................................................ 27 Servicio de Validacin de certificados OCSP.................................................................. 27 Servicio de Sellado de Tiempos ...................................................................................... 28 Periodicidad de las Auditoras ......................................................................................... 28 Caractersticas del Auditor............................................................................................... 28 Resultados de la Auditora............................................................................................... 28 mbito de la informacin confidencial ............................................................................. 28 Informacin no confidencial ............................................................................................. 29 Deber de secreto profesional........................................................................................... 29
2.6. Auditora ................................................................................................................................... 28
2.7. Poltica de Confidencialidad ..................................................................................................... 28
2.8. Derechos de Propiedad Intelectual .......................................................................................... 29 3. IDENTIFICACIN DE SOLICITANTES Y COMPROBACIN DE ATRIBUTOS.................... 30 3.1. Registro Inicial .......................................................................................................................... 30 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.1.5. 3.1.6. 3.1.7. 3.1.8. Tipos de nombres ............................................................................................................ 30 Necesidad de que los nombres sean significativos......................................................... 30 Reglas para interpretar formatos de nombres................................................................. 30 Unicidad de los nombres ................................................................................................. 30 Procedimiento de resolucin de conflictos ...................................................................... 30 Reconocimiento, autenticacin y papel de las marcas ................................................... 30 Autenticacin del solicitante cuando sea persona jurdica.............................................. 30 Autenticacin del solicitante cuando sea persona fsica ................................................. 31
3.2. Renovacin de Certificados ..................................................................................................... 32 4. OPERATIVA PARA LA GESTIN DEL CICLO DE VIDA DE LOS CERTIFICADOS DEL CORPME ............................................................................................................................................... 33 4.1. Solicitud de Certificados ........................................................................................................... 33 4.2. Procedimiento de Emisin de Certificados .............................................................................. 34 4.3. Archivo de los Datos de verificacin de Firma ......................................................................... 35 4.4. Aceptacin de Certificados....................................................................................................... 35

4.5. Obligaciones del Prestador de Servicios de Certificacin........................................................ 35 4.6. Caducidad, suspensin y revocacin de los Certificados ........................................................ 36 4.6.1. 4.6.2. 4.6.3. 4.6.4. 4.6.5. 4.7.1. 4.7.2. 4.7.3. 4.7.4. 4.7.5. 4.7.6. 4.7.7. 4.8.1. 4.8.2. 4.8.3. Caducidad de los certificados.......................................................................................... 36 Extincin de los certificados del CORPME...................................................................... 36 Revocacin de Certificados del CORPME ...................................................................... 36 Suspensin de los Certificados ....................................................................................... 39 Obligacin de Verificacin del Estado de los Certificados. ............................................. 39 Tipos de eventos registrados........................................................................................... 40 Frecuencia de procesado de registros de auditora ........................................................ 40 Periodo de conservacin de los registros de auditora ................................................... 40 Proteccin de los registros de auditora .......................................................................... 41 Procedimientos de respaldo de los registros de auditora .............................................. 41 Sistema de recogida de informacin de auditora (interno vs externo) ........................... 41 Notificacin al sujeto causa del evento ........................................................................... 41 Informacin objeto de archivo.......................................................................................... 41 Proteccin del archivo ..................................................................................................... 42 Requerimientos para el sellado de tiempo de los registros............................................. 42
4.7. Procedimiento de Auditora de Seguridad................................................................................ 40
4.8. Poltica de archivo de documentos .......................................................................................... 41
4.9. Cambio de Claves .................................................................................................................... 42 4.10. Recuperacin en caso de compromiso de una clave o catstrofe .......................................... 42 4.10.1. 4.10.2. 4.10.3. 4.10.4. 5. Procedimientos de gestin de incidentes y compromisos .......................................... 42 Alteracin de los recursos hardware, software y/o datos............................................ 42 Procedimiento de actuacin ante el compromiso de la clave privada de la CA ......... 42 Instalacin despus de un desastre natural u otro tipo de catstrofe......................... 43
CONTROLES DE SEGURIDAD .............................................................................................. 44 5.1. Seguridad fsica........................................................................................................................ 44 5.1.1. 5.1.2. 5.1.3. 5.1.4. 5.1.5. 5.1.6. 5.1.7. 5.2.1. 5.3.1. 5.3.2. 5.3.3. 5.3.4. Ubicacin y medidas de seguridad fsica de las instalaciones de CORPME.................. 44 Acceso fsico.................................................................................................................... 44 Suministro elctrico y acondicionamiento ambiental de las instalaciones del CORPME 44 Exposicin al agua........................................................................................................... 45 Medidas contra incendios e inundaciones....................................................................... 45 Poltica de Respaldo de Informacin............................................................................... 45 Eliminacin de residuos................................................................................................... 45 Roles responsables del control y gestin de la PKI ........................................................ 45 Requisitos relativos a la cualificacin, conocimiento y experiencia profesionales.......... 46 Procedimientos de comprobacin de antecedentes ....................................................... 46 Requerimientos de formacin.......................................................................................... 46 Requerimientos y frecuencia de actualizacin de la formacin ...................................... 46
5.2. Controles de procedimiento ..................................................................................................... 45 5.3. Controles de personal .............................................................................................................. 46

5.3.5. 5.3.6. 5.3.7. 5.3.8. 6.
Frecuencia y secuencia de rotacin de tareas ................................................................ 47 Sanciones por actuaciones no autorizadas..................................................................... 47 Requisitos de contratacin de terceros ........................................................................... 48 Documentacin proporcionada al personal ..................................................................... 48
CONTROLES DE SEGURIDAD TCNICA ............................................................................. 49 6.1. Generacin de las claves del Servicio ..................................................................................... 49 6.2. Generacin de las claves de suscriptor ................................................................................... 49 6.3. Distribucin de la clave pblica de la Autoridad de Certificacin............................................. 50 6.4. Distribucin de la clave pblica de suscriptor .......................................................................... 50 6.5. Periodo de utilizacin de la clave privada ................................................................................ 50
7.
POLTICA DEL CORPME EN MATERIA DE PROTECCIN DE DATOS ............................. 51 7.1. Marco Legal Aplicable .............................................................................................................. 51 7.2. Proteccin de Datos aplicable a la actividad del CORPME ..................................................... 51 7.3. Documento de Seguridad......................................................................................................... 53 7.3.1. 7.3.2. 7.3.3. Definicin y alcance del Documento de Seguridad del CORPME .................................. 53 Roles en la ejecucin de las polticas de seguridad y proteccin de datos. ................... 54 Medidas, y procedimientos de seguridad a implantar en ejecucin del RD 994/1999.... 58
8.
ANEXOS .................................................................................................................................. 62 8.1. Glosario de Trminos empleados en la DPC ........................................................................... 62 8.2. Declaracin de Prcticas de Certificacin del CORPME ......................................................... 66

1. INTRODUCCIN
1.1.
PRESENTACIN
El Servicio de Certificacin del Colegio de Registradores (en adelante SCR), rgano del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de Espaa (en adelante CORPME), Corporacin de Derecho Pblico adscrita a la Direccin General de los Registros y el Notariado del Ministerio de Justicia, se constituye como prestador de servicios de certificacin de firma electrnica en virtud del mandato efectuado por el Legislador en la disposicin adicional 26 de la Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social. Nace con la finalidad de ofrecer los mecanismos y sistemas necesarios para garantizar la seguridad de las comunicaciones telemticas en las que intervengan los Registradores, las Administraciones Publicas, los profesionales que se relacionan con los Registros y los ciudadanos en general. El Reglamento del SCR es la norma bsica del Servicio de Certificacin, en la que se establecen su naturaleza, estructura y organizacin, as como los criterios y procedimientos que el Servicio se compromete a seguir en el ejercicio de su actividad, incluyendo desde la solicitud de los certificados y generacin de las claves, hasta la posterior emisin, distribucin, uso, revocacin y renovacin de los mismos. La presente Declaracin de Prcticas de Certificacin (en adelante DPC), emitida de conformidad con el Art.19 de la Ley 59/2003, define y documenta un marco normativo general, conforme al cual se desarrollar la actividad de Prestador del Servicio de Certificacin del CORPME, en relacin con los procesos de solicitud, emisin y gestin del ciclo de vida de los certificados digitales, incluyendo los procedimientos de verificacin de la vigencia, revocacin y renovacin de certificados. Las Polticas de Certificacin (en adelante PCs) aplicables a cada clase de certificado complementan lo dispuesto con carcter general en la presente DPC. En caso de conflicto o contradiccin entre lo dispuesto en la Declaracin de Prcticas de Certificacin y las citadas Polticas, prevalecer lo preceptuado en estas ltimas. Las PCs tambin definen el mbito de potenciales titulares de los certificados, as como los usos previstos de los mismos y el conjunto de derechos y obligaciones que asumen el emisor, el titular de los certificados y los terceros que confan en los certificados emitidos por el CORPME. La actividad del CORPME se desarrollar con plena sujecin a las prescripciones de la Ley 24/2001, de 27 de diciembre, la ley 59/2003 de Firma Electrnica, de 20 de diciembre, y al Reglamento del Servicio publicado en fecha 27 de mayo de 2002. Esta DPC asume que el lector conoce los conceptos de PKI, certificado y firma electrnica; en caso contrario se recomienda al lector que se forme en el conocimiento de los anteriores conceptos antes de continuar con la lectura del presente documento.

1.2.
GENERALIDADES DE LA DPC
La presente DPC se emite teniendo en cuenta las recomendaciones de la (Request for comments) RCF 2527: Internet X. 509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework, de IETF. Todos los certificados que emite el CORPME son conformes con la versin 3 del estndar X.509, permitiendo la inclusin de extensiones para certificacin de atributos. El CORPME no emitir certificados de Persona Jurdica en tanto por mandato legal no se establezca la obligatoriedad, a cargo de los Prestadores de Servicios de Certificacin que emitan Certificados Reconocidos, de expedir tal tipo de certificados. La expedicin de certificados digitales a otras entidades o corporaciones que deseen actuar como Autoridades de Certificacin subordinadas o secundarias, emitiendo certificados digitales bajo la jerarqua del Certificado Raz del CORPME, requerir el acuerdo expreso de la Comisin Rectora del mismo, refrendada por la Junta de Gobierno del CORPME. Cuando no se haya previsto nada en alguna seccin aparecer la frase No estipulado.
1.3.
NOMBRE DEL DOCUMENTO E IDENTIFICACIN DE LA DPC
El presente documento se denomina DECLARACIN DE PRCTICAS DE CERTIFICACIN DEL SERVICIO DE CERTIFICACIN DEL CORPME. Identificacin del Documento:
Nombre del documento Versin del documento Estado del documento Fecha de emisin Fecha de expiracin OID (Object Identifier) Ubicacin de la DPC
Declaracin de Prcticas de Certificacin del Servicio de Certificacin del CORPME 1.0.5 Versin 31/01/2009 No aplicable 1.3.6.1.4.1.17276.0.0.0.1.0 http://pki.registradores.org/normativa/index.htm

1.4. PARTICIPANTES EN LA INFRAESTRUCTURA DE CLAVE PBLICA (PKI) DEL SERVICIO DE CERTIFICACIN DEL COLEGIO DE REGISTRADORES
1.4.1. Prestador de Servicios de Certificacin (PSC)
Es la entidad responsable de la emisin, bajo la jerarqua de su certificado raz, de los certificados digitales destinados a entidades finales, as como de la gestin del ciclo de vida de los certificados digitales. La informacin legal y datos identificativos del Prestador de Servicios de Certificacin del CORPME estarn siempre disponibles en http://pki.registradores.org/normativa/index.htm. Tambin podr solicitarse una copia impresa de dicha documentacin previa solicitud del interesado en la direccin siguiente: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de Espaa. Servicio de Certificacin de los Registradores. C/ DIEGO DE LEON, 21. 28006-MADRID En el CORPME concurre adems de la condicin de prestador (PSC), la de CA (Certification Authority), desarrollando su actividad de conformidad con la legislacin vigente en la materia, sealadamente la ley 59/2003, de 20 de diciembre de Firma Electrnica. La arquitectura general, a nivel jerrquico, de la PKI del CORPME es la siguiente:
NIVEL 0
AC Raz
NIVEL 1
AC Subordinada C. Internos
AC Subordinada C. Externos
1.4.2. Autoridad de Certificacin Raz

El CORPME emite todos los certificados objeto de la presente DPC bajo la jerarqua del Certificado de la clave principal, o certificado raz. El certificado raz es un certificado auto-firmado, en el que se inicia la cadena de confianza. De manera subordinada al Raz, se encuentran los certificados de jerarqua o de clave secundaria, que sern uno para los certificados internos y otro para los externos. El titular del certificado Raz es el propio CORPME, y se emite y revoca por la Unidad de Tramitacin Central, a solicitud de la Comisin Directora, de conformidad con el procedimiento definido en el Reglamento del SCR. La longitud de clave de la CA Raz es de 4096.

La huella digital (SHA1) del certificado Raz del CORPME es la siguiente: 2111 65ca 379f bb5e d801 e31c 430a 62aa c109 bcb4
1.4.3. Autoridades de Certificacin Subordinadas

Bajo la jerarqua de la clave principal o certificado Raz del CORPME, se encuentran los certificados de la Clave Secundaria para Certificados Internos y de la Clave Secundaria para Certificados Externos, bajo cuyas respectivas jerarquas se emiten a su vez todos los certificados que el CORPME emite a entidades finales. Bajo la CA de la Clave Secundaria para Certificados Internos, el CORPME emite los siguientes tipos de certificados: Certificado Reconocido de Registrador Certificado Reconocido para Personal Interno de los Registros La huella digital de esta Autoridad de Certificacin subordinada basada en el algoritmo SHA-1 es: 2673 e885 5f11 d9f3 1ac5 f913 650c 1dd7 448b d307 Bajo la jerarqua de la Clave Secundaria para Certificados Externos, el CORPME emite los siguientes tipos de Certificados: Certificado Reconocido Personal Certificado Reconocido de Representante de Persona Jurdica Certificado Reconocido de Cargo Administrativo Certificado Reconocido de Administracin Local Certificado Reconocido de Profesional La huella digital de esta Autoridad de Certificacin subordinada basada en el algoritmo SHA-1 es: ca2b 66c7 cb2a a1e9 c729 8029 3bb6 6a48 5636 8a94 La longitud de clave de las CA Subordinadas es 2048.
1.4.4. Autoridades de Registro

Las Unidades de Tramitacin, son los Registros Mercantiles Provinciales, y otros puntos de registro que el Colegio de Registradores pueda publicar en www.registradores.org, como puede ser el caso de Registros de la Propiedad y Oficinas Liquidadoras a cargo de los Registradores previo acuerdo de la Junta de Gobierno del Colegio de Registradores (en adelante otros puntos de registro), las cuales redactan el contenido de los certificados tras realizar las comprobaciones precisas y autorizan su emisin o revocacin, actuando en este sentido como Autoridades de Registro delegadas del CORPME. Las Unidades de Tramitacin tambin generarn en un dispositivo seguro los pares de claves criptogrficas para su entrega a los solicitantes. Las Unidades de Tramitacin de los Registros autorizan los certificados internos y externos, y son dirigidas por el Registrador titular o interino o, en caso de haber varios en un mismo Registro, por aquel que se elija por mayora.

Las Unidades de Tramitacin de los Registros funcionan bajo la supervisin y coordinacin de la Comisin Directora del SCR y precisan de la previa habilitacin de la Junta de Gobierno del CORPME, para la emisin de cada una de las clases de certificados. La expedicin de determinados certificados digitales del CORPME se verificar, previa peticin de cita en lnea del solicitante, en la direccin de Internet https://www.registradores.org/scr/agenda, en una nica comparecencia, el da y hora de su eleccin en el Registro Mercantil Provincial o en otros puntos de registro.
1.4.5. Autoridades de Validacin (VA)

La Autoridad de Validacin (VA) tiene como funcin la comprobacin del estado de los certificados emitidos por PKI de CORPME, mediante el protocolo Online Certificate Status Protocol (OCSP), que determina el estado actual de un certificado electrnico a solicitud de un tercero aceptante sin requerir el acceso a listas de certificados revocados por stas. Este mecanismo de validacin es complementario a la publicacin de las listas de certificados revocados (CRL).
1.4.6. Autoridades de Sellado de Tiempo (TSA)

La Autoridad de Sellado de Tiempo (TSA) es la responsable de la prestacin de los servicios recogidos a continuacin, de forma que proporcione confianza a sus usuarios: solicitantes, suscriptores y terceros aceptantes. Los servicios de sellado de tiempo se estructuran en dos partes: Suministro de los sellos de tiempo: los componentes tcnicos y organizativos que emiten los sellos de tiempo (TST). Gestin del sellado de tiempo: los componentes tcnicos y organizativos que supervisan y controlan la operativa del sellado de tiempo, incluyendo la sincronizacin temporal con la fuente de referencia UTC. La TSA tiene la responsabilidad de operar una o varias Unidades de Sellado de Tiempo (TSU) las cuales crearan y firmaran los sellos de tiempo (TST) en nombre de la TSA, cada TSU ha de tener su propia clave privada. La TSA queda identificada en el certificado electrnico de firma que se utilice en el servicio de sellado de tiempo.
1.4.7. Entidades finales

Se definen como entidades finales aquellas personas fsicas sujetos de derechos, con capacidad suficiente para solicitar y obtener un certificado digital del CORPME, a ttulo propio o en su condicin de representante de una persona jurdica. Tambin se consideran entidades finales los Terceros de buena fe que confan en los certificados del CORPME. A los efectos anteriores tendrn la consideracin de Entidades Finales: Solicitante Suscriptor Tercero que confa en los certificados de CORPME.

1.4.7.1.
Solicitante
Cuando un interesado en obtener un certificado emitido por el CORPME, cumplimenta el formulario de peticin de cita de https://www.registradores.org/scr/agenda, adquiere la condicin de Solicitante. La mera solicitud de un certificado no implica la concesin del mismo, la cual queda supeditada al xito de procedimiento de Registro ante la Unidad de Tramitacin, previa verificacin de los atributos cuya certificacin se solicita. Slo las personas mayores de edad podrn solicitar y, en su caso, obtener certificados digitales del CORPME. 1.4.7.2. Suscriptor
Se denomina suscriptor, de conformidad con lo dispuesto en el artculo 6 de la Ley 59/2003, a la persona fsica cuya identidad se vincula a unos Datos de creacin y verificacin de Firma, a travs de una Clave Pblica certificada (firmada digitalmente) por el Prestador de Servicios de Certificacin. Los datos de identificacin del Suscriptor estn contenidos en el campo Subject del certificado definido dentro del estndar X509 de la ITU. En tanto que el CORPME nicamente expide certificados digitales a personas fsicas y no jurdicas, en el caso de los Certificados de Representante de Persona Jurdica, tendr la consideracin de Suscriptor a los efectos de la Ley de Firma Electrnica, la persona fsica que en virtud de apoderamiento inscrito en el Registro Mercantil ostente la representacin de una persona jurdica, incluyndose los datos de sta en el certificado. La identidad del Suscriptor en tanto que titular del certificado figurara en el DN del certificado digital en el campo CN=Common Name, dentro de la extensin subject del certificado. Los datos identificativos del Suscriptor podrn ser as mismo incluidos, dependiendo del tipo de certificado, con formato RFC822 en una extensin de nombre alternativo subjectAltName, de conformidad con lo que se estipule en las polticas particulares aplicables a cada certificado. 1.4.7.3. Tercero que confa en los Certificados de CORPME
A los efectos de esta DPC, Tercero es cualquier usuario que deposita su confianza en los certificados emitidos por el CORPME, y utilizados para la firma de comunicaciones, documentos electrnicos, o en la autenticacin ante sistemas basada en certificados digitales. El CORPME no asume ningn tipo de responsabilidad ante terceros, incluso de buena fe, que no hayan aplicado la diligencia debida para la verificacin de la vigencia de los Certificados.
1.5. CLASES DE CERTIFICADOS DIGITALES Y LMITES PARA SU USO

Los certificados digitales emitidos por CORPME son de varios tipos: Certificados Propios de la PKI: o o o o o Certificado CA Raz Certificado CA Subordinada Externa Certificado CA Subordinada Interna Certificado VA Certificado TSA

Certificados de Operador de Registro Certificados Personales: o Certificado Internos: Certificado Reconocido de Registradores Certificado Reconocido para Personal Interno de los Registros o Certificado Externos: Certificado Reconocido Personal Certificado Reconocido de Representante de Persona Jurdica Certificado Reconocido de Cargo Administrativo Certificado Reconocido de Administracin Local Certificado Reconocido de Profesional
1.5.1. Certificados Propios de la PKI

Son los certificados que respaldan las claves privadas utilizadas por el Servicio para la firma de certificados y son los siguientes: el certificado raz y los de jerarqua. El Certificado de la clave principal o raz es el certificado auto-firmado en el que se inicia la cadena de confianza. Directamente subordinados, se encuentran los certificados de jerarqua, que sern uno para los certificados internos y otro para los externos. Estos certificados tendrn una longitud de clave igual o mayor de 2048 bits y una vigencia de 12 aos, salvo para la CA Raz, que ser de 24 aos. El titular de las Claves del Servicio es el propio CORPME y se emiten y revocan por la Unidad de Tramitacin Central, a solicitud de la Comisin Directora. 1.5.1.1. Certificado VA
Aquel certificado utilizado por la Autoridad de Validacin para firmar las respuestas relativas a la comprobacin del estado de los certificados emitidos por PKI de CORPME. 1.5.1.2. Certificado TSA
Aquel certificado utilizado por la TSA para firmar el sello de tiempo. Los servicios de sellado de tiempo se estructuran en dos partes: Suministro de los sellos de tiempo: los componentes tcnicos y organizativos que emiten los sellos de tiempo (TST). Gestin del sellado de tiempo: los componentes tcnicos y organizativos que supervisan y controlan la operativa del sellado de tiempo, incluyendo la sincronizacin temporal con la fuente de referencia UTC. La TSA tiene la responsabilidad de operar una o varias Unidades de Sellado de Tiempo (TSU) las cuales crearan y firmaran los sellos de tiempo (TST) en nombre de la TSA, cada TSU ha de tener su propia clave privada.

La TSA queda identificada en el certificado electrnico de firma que se utilice en el servicio de sellado de tiempo.
1.5.2. Certificados de Operador de Registro

Los Certificados de Operador de Registro son certificados de uso personal utilizados por los operadores adscritos a las Unidades de Tramitacin para su utilizacin en el ejercicio de la actividad certificadora. Todas y cada una de las acciones realizadas sobre los certificados se autorizan mediante una orden que debe estar firmada con una clave respaldada por un certificado de operador. Se distinguen en esta clase tres categoras de certificados: de operador principal de la Unidad de Tramitacin Central, de operador auxiliar de la Unidad de Tramitacin Central, y de operador de una Unidad de Tramitacin de los Registros, que a su vez se dividen en aquellos destinados a la emisin de certificados externos y los destinados a la de internos. Los Certificados de Operador de Registro contienen el nombre y direccin de correo electrnico del titular, el nombre de la Unidad de destino y su direccin postal. La longitud de las claves certificadas ser como mnimo de 1024 bits y la vigencia de los certificados de dos aos. Su titular es el operador y se emiten y revocan por la Unidad de Tramitacin Central, a peticin de la Comisin Directora en el caso de los operadores de esta misma Unidad y a peticin de los Registradores, en el caso de los operadores de las Unidades de Tramitacin de los Registros.
1.5.3. Certificados para las comunicaciones del Servicio

Son aquellos destinados a su uso por los procesos automatizados que se utilizan en las comunicaciones del Servicio con las Unidades de Tramitacin o con los usuarios. La longitud de las claves certificadas ser como mnimo de 1024 bits y la vigencia de los certificados de dos aos. El titular es el propio Servicio de Certificacin y se emiten y revocan por la Unidad de Tramitacin Central, a peticin de la Comisin Directora.
1.5.4. Certificados Personales

1.5.4.1. Certificados Internos
Los certificados internos tienen carcter profesional y se ponen a disposicin de su titular nicamente para su uso en actividades relacionadas con su funcin dentro de la organizacin registral. 1.5.4.1.1. Certificado Reconocido de Registradores
Los Certificados Reconocidos de Registradores son certificados para uso personal que acreditan la identidad de su titular, as como su condicin de Registrador y en su caso, liquidador de impuestos en ejercicio y el Registro, punto de registro, o en su caso, la Oficina Liquidadora donde desarrolla su actividad. Tambin incluir indicacin del destino administrativo especial en que se encuentre el Registrador. Los Certificados Reconocidos de Registradores se emiten para el exclusivo uso en el mbito de dichas funciones. Las firmas respaldadas por estos certificados acreditan la intervencin personal del Registrador en todos los actos que le son propios de su funcin, incluyendo toda relacin con terceros y estn previstos en las leyes, as como en la elaboracin de todo tipo de documento o certificaciones en formato electrnico. Se emiten para el exclusivo uso en el mbito de dichas funciones y relaciones con las Administraciones Pblicas. Los Certificados Reconocidos de Registradores se utilizan en las comunicaciones internas de los Registros, as como para autorizar las solicitudes que el Registrador deba enviar a la Unidad de Tramitacin Central. Tambin podrn ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso.

Los Certificados Reconocidos de Registradores contienen el nombre del Registrador suscriptor del certificado y su nmero de identificacin fiscal, as como la direccin de correo electrnico del suscriptor, el nombre del Registro de destino y su direccin postal. 1.5.4.1.2. Certificado Reconocido para Personal Interno de los Registros
Los Certificados Reconocidos para Personal Interno de los Registros son certificados para uso personal que acreditan la identidad de su titular, as como su condicin de empleado del Colegio o de los Registros. Se trata de certificados para uso interno y para relaciones con las Administraciones Pblicas. Los Certificados Reconocidos para Personal Interno de los Registros contienen el nombre del empleado suscriptor del certificado y su direccin de correo electrnico, as como el nombre del Registro o Unidad de destino y su direccin postal. 1.5.4.2. Certificados Externos
Salvo que en las PCs particulares se establezca lo contrario, los certificados emitidos bajo la clave secundaria para certificados externos podrn utilizarse nicamente en los actos inscribibles y en las comunicaciones que se efecten entre su titular y los Registros y Administraciones Pblicas, de conformidad con lo dispuesto en sus respectivas polticas de certificacin. El suscriptor habr de abstenerse de emplearlos para otro fin distinto al autorizado y, de no cumplirse esta obligacin, en ningn caso las firmas respaldadas por estos certificados tendrn efectos frente a terceros. Esta circunstancia se har constar expresamente en el propio contenido de los certificados. Los certificados externos sern autorizados y revocados por las Unidades de Tramitacin de los Registros, de acuerdo con el procedimiento establecido para cada una de sus clases. 1.5.4.2.1. Certificado Reconocido Personal
Los Certificados Reconocidos Personales acreditan la identidad de su titular, que ser siempre una persona fsica. nicamente podrn ser utilizados para firmar los documentos que se presenten ante los Registros y Administraciones Pblicas, as como en las comunicaciones que se realicen con los mismos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Tambin pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso y la firma de correos electrnicos. Los Certificados Reconocidos Personales tienen como finalidad principal la firma de documentos, garantizando la autenticidad del emisor de la comunicacin, el no repudio de origen y la integridad del contenido. Los Certificados Personales tambin pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso. Los Certificados Reconocidos Personales identificarn a su titular en el campo CN (common name=nombre comn) que contiene: el nombre, apellidos y nmero de identificacin fiscal (NIF, NIE o pasaporte), sin que se admita el uso de seudnimos. En defecto de NIF, podr incluirse el nmero del documento nacional de identidad o, tratndose de extranjeros, el nmero de identificacin de extranjeros, el de su pasaporte, el de su tarjeta de residencia o el de cualquier otro documento legal de identificacin. Tambin podrn constar en el certificado la direccin, los nmeros de telfono y fax y la direccin de correo electrnico del suscriptor, segn se disponga en las PCs.

1.5.4.2.2.
Certificado Reconocido de Representante de Persona Jurdica
Los Certificados Reconocidos de Representante de Persona Jurdica acreditan la identidad de su titular, que ser siempre una persona fsica, y su condicin de representante orgnico o voluntario de una persona jurdica. Se emiten para su utilizacin, de manera principal y de conformidad con las polticas particulares de certificacin, para la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Representante de Persona Jurdica tambin pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso y la firma de correos electrnicos.. El Certificado Reconocido de Representante de Persona Jurdica adems de la identificacin del Suscriptor y de la Sociedad, contendr informacin sobre la relacin de representacin que ostenta el suscriptor respecto de la Sociedad Representada. Incluyendo un identificador nico electrnico de la persona jurdica, que vincula el certificado al Fichero Localizador de Entidades Inscritas (FLEI). En caso de disconformidad entre los datos de representacin incorporados en el certificado y los obrantes en el Registro Mercantil, prevalecern siempre estos ltimos. 1.5.4.2.3. Certificado Reconocido de Cargo Administrativo
Los Certificados Reconocidos de Cargo Administrativo acreditan la identidad de su titular, as como su condicin de funcionario perteneciente a la Administracin del Estado o autonmica. Se emiten para su exclusivo uso en el mbito de su actividad funcionarial y su relacin con los Registros. Se emiten para la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Cargo Administrativo pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso y la firma de correos electrnicos. Las firmas respaldadas por estos certificados acreditan la intervencin personal del funcionario en todos los actos que son propios de su cargo, incluyendo las comunicaciones y la elaboracin de todo tipo de documentos en formato electrnico. Los Certificados Reconocidos de Cargo Administrativo tienen como finalidad principal la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Cargo Administrativo tambin pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso. 1.5.4.2.4. Certificado Reconocido de Administracin Local
Los Certificados Reconocidos de Administracin Local acreditan la identidad de su titular, as como su condicin de funcionario o cargo perteneciente a la Administracin Local. Se emiten para su exclusivo uso en el mbito de su actividad funcionarial y su relacin con los Registros. Se emiten para la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Administracin Local pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso y la firma de correos electrnicos. Las firmas respaldadas por estos certificados acreditan la intervencin personal del funcionario en todos los actos que son propios de su cargo, incluyendo las comunicaciones y la elaboracin de todo tipo de documentos en formato electrnico. Los Certificados Reconocidos de Administracin Local tienen como finalidad principal la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Administracin Local tambin pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso.

1.5.4.2.5.
Certificado Reconocido de Profesional
Los Certificados Reconocidos de Profesional acreditan la identidad de su titular, y su pertenencia a una profesin regulada y sometida a la disciplina de un Colegio o Asociacin Profesional. Su finalidad principal es la firma de los documentos que se presentan ante los Registros y Administraciones Pblicas, y su uso en todas las comunicaciones que se realicen con stos. Se emiten para la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Profesional pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso y la firma de correos electrnicos. En virtud de convenio especfico entre el CORPME y los Colectivos Profesionales, podr ampliarse el mbito de uso de los certificados digitales del CORPME a fin de permitir su utilizacin en los actos propios de su giro o actividad. Sirviendo en tal caso, adems de su funcin primaria, para garantizar la intervencin del profesional en los negocios y procedimientos telemticos en los que intervenga en dicha condicin, incluyendo las comunicaciones y la elaboracin de todo tipo de documentos en formato electrnico. Los Certificados Reconocidos de Profesional garantizan la identidad del emisor, el no repudio de origen y la integridad de contenido de documentos y comunicaciones. Tambin podrn ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso.
1.6. LIMITACIN GENRICA DE USO DE LOS CERTIFICADOS.

Los certificados digitales emitidos por el CORPME sern utilizados, nica y exclusivamente para la finalidad para que fueran emitidos, de conformidad con lo dispuesto en esta DPC, las polticas particulares y el Reglamento del SCR. Tal y como se ha sealado en el apartado anterior la limitacin genrica de uso podr ser modificada en virtud de los convenios que el CORPME suscriba con un determinado colectivo o asociacin, a fin de amparar otros usos diferentes del primario autorizado. Igualmente, los certificados deben emplearse nicamente de acuerdo con la legislacin que le sea aplicable, especialmente teniendo en cuenta las restricciones de importacin y exportacin en materia de criptografa existentes en cada momento. Los servicios de certificacin que ofrece CORPME, no han sido diseados ni autorizados para ser utilizados en actividades de alto riesgo o que requieran una actividad a prueba de fallos, como las relativas al funcionamiento de instalaciones hospitalarias, nucleares, de control de trfico areo o ferroviario, o cualquier otra donde un fallo pudiera conllevar la muerte, lesiones personales o daos graves al medioambiente.
1.7. ADMINISTRACIN DE LA DPC

1.7.1. Entidad Responsable
El CORPME a travs de su Comisin Directora de Firma Electrnica, establecer los trminos y redaccin de la DPC del CORPME. En aquellos casos en que de conformidad con lo dispuesto en el Reglamento del Servicio sea preceptivo, la Comisin Directora actuar por mandato de la Junta de Gobierno del Colegio de Registradores, o recabar su autorizacin en aquellas materias cuya competencia est reservada al mximo rgano de gobierno de los Registradores.

1.7.2. Procedimiento de aprobacin y modificacin de la Declaracin de Prcticas de Certificacin.

La aprobacin y subsiguientes modificaciones de la DPC, corresponde en exclusiva a la Comisin Directora del SCR, en virtud de las facultades delegadas por la Junta de Gobierno del CORPME, de conformidad con las disposiciones del Reglamento del Servicio de fecha 27-5-2002. Cualquier modificacin en la DPC ser Introducida, y publicada en la pgina Web del SCR (http://www.scregistradores.com). Los suscriptores disconformes con las modificaciones introducidas, podrn solicitar la revocacin de su certificado digital. La revocacin interesada y voluntaria por el usuario disconforme con las disposiciones incorporadas con carcter sobrevenido a esta DPC, no otorgar al suscriptor ningn derecho a ser compensado por tal motivo.
1.8. DATOS DE CONTACTO

Para consultas o comentarios relacionados con al presente DPC el interesado deber dirigirse al CORPME a travs de alguno de los siguientes medios: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de Espaa Servicio de Certificacin de los Registradores C/ DIEGO DE LEON, 21 28006-MADRID Email: scr@registradodres.org Tlf: 902 020 306

2.
CLUSULAS GENERALES
2.1. OBLIGACIONES DE LOS INTEGRANTES DE LA PKI DEL CORPME

2.1.1. Obligaciones de las Autoridades de Certificacin Subordinadas
En particular, son obligaciones del Prestador de Servicios de Certificacin las siguientes: OCA.1. Realizar sus operaciones en conformidad con esta DPC y PCs de aplicacin. OCA.2. Proteger sus claves privadas. OCA.3. Emitir certificados en conformidad con las Polticas de Certificacin que les sean de aplicacin. OCA.4. Tras la recepcin de una solicitud vlida de certificado, emitir certificados conformes con el estndar X.509 v3 y con los requerimientos de la solicitud. OCA.5. Emitir certificados que sean conformes con la informacin conocida en el momento de su emisin, y libres de errores de entrada de datos. OCA.6. No publicar los certificados de usuario salvo que as lo establezca la PC correspondiente. OCA.7. Revocar los certificados en los trminos descritos en la presente DPC y en las PCs y publicar los certificados revocados en la CRL en el servicio de directorio y servicio Web, con la frecuencia estipulada. OCA.8. Publicar esta DPC y las PC aplicables en el sitio Web referido en el presente documento. OCA.9. Comunicar los cambios de esta DPC y de las PCs. OCA.10. Conservar los documentos de Licencias de Uso de los certificados, en papel o electrnicamente, con los solicitantes de certificados en los que estos se dan por enterados de sus obligaciones y derechos, consienten en el tratamiento de sus datos personales por la CA y confirman que la informacin proporcionada es correcta. OCA.11. Garantizar la disponibilidad de las CRLs. OCA.12. En el caso que la CA proceda a la revocacin de un certificado, notificarlo a los usuarios de certificados en conformidad con lo estipulado en la presente DPC y PC que les sea de aplicacin. OCA.13. Colaborar con las auditoras dirigidas por la PKI del CORPME para validar la renovacin de las propias claves. OCA.14. Operar de acuerdo con la legislacin aplicable. En concreto con: OCA.14.1. La Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrnica.

OCA.14.2. La Ley 59/2003, de 19 de diciembre, de Firma Electrnica. OCA.14.3. La L.O. 15/1999, de 13 de diciembre, de Proteccin de los Datos de Carcter Personal. OCA.15. Proteger, en caso de haberlas, las claves bajo su custodia. OCA.16. No almacenar en ningn caso los datos de creacin de firma, clave privada, de los titulares de certificados emitidos con el propsito de utilizarse para firma electrnica (key usage = non repudiation). OCA.17. En el caso de cesar en su actividad, deber comunicarlo con una antelacin mnima de dos meses, a los titulares de los certificados por ellas emitidos. OCA.18. Conservar registrada toda la informacin y documentacin relativa a los certificados durante quince aos contados desde su expedicin.
2.1.2. Obligaciones de las RAs

En particular, son obligaciones de las Unidades de Tramitacin: ORA.1. Facilitar a los solicitantes los dispositivos informticos adecuados para que puedan generar con las mayores garantas una pareja de claves asimtricas. ORA.2. Comprobar la identidad del titular y las dems circunstancias de ste exigidas en las PCs, estableciendo en base a ellas el contenido del certificado. ORA.3. Autorizar o denegar las solicitudes de emisin y revocacin de certificados. ORA.4. Notificar inmediatamente a la Unidad Tcnica la revocacin de cualquier certificado. ORA.5. Formalizar las licencias de uso de los certificados con el titular, archivndolas junto a la documentacin que se indique en las PCs, durante un perodo de quince aos a contar desde la fecha de caducidad o revocacin del certificado. ORA.6. Certificar, cuando le sea solicitado por el CORPME u otra persona con inters legtimo, que el solicitante ha sido convenientemente identificado y que la informacin sobre l aparecida en el certificado se corresponde con los datos obrantes en la Unidad. ORA.7. Aplicar los controles de seguridad fsica y lgica, de procedimiento y personales, establecidos en el Plan de Seguridad. ORA.8. Almacenar de forma segura y por un periodo razonable la documentacin aportada en el proceso de emisin del certificado y en el proceso de suspensin/revocacin del mismo. ORA.9. Llevar a cabo cualesquiera otras funciones que le correspondan, a travs del personal que sea necesario en cada caso, conforme se establece en esta DPC.
2.1.3. Obligaciones de la TSA

En particular, son obligaciones de la TSA las siguientes: OTSA.1. Operar de acuerdo a esta DPC y a las polticas y procedimientos internos que sean de aplicacin.

OTSA.2. Llevar a cabo revisiones internas y externas para asegurar el cumplimiento de la legislacin de aplicacin y las polticas y procedimientos internos. OTSA.3. Proporcionar acceso ininterrumpido a los servicios de sellado de tiempo excepto en caso de interrupciones programadas, prdidas de la sincronizacin temporal o causas de fuerza mayor.
2.1.4. Obligaciones de la VA
En particular, son obligaciones de la VA las siguientes: OVA.1. Operar de acuerdo a esta DPC y a las polticas y procedimientos internos que sean de aplicacin. OVA.2. Llevar a cabo revisiones internas y externas para asegurar el cumplimiento de la legislacin de aplicacin y las polticas y procedimientos internos. OVA.3. Proporcionar acceso ininterrumpido a los servicios de validacin de certificados on-line, excepto en caso de interrupciones programadas, prdidas de la sincronizacin temporal o causas de fuerza mayor.
2.1.5. Obligaciones del Suscriptor

En particular, son obligaciones del Suscriptor las siguientes: OS.1. Suministrar a las Unidades de Tramitacin informacin exacta, completa y veraz con relacin a los datos que estas les soliciten para realizar el proceso de registro. OS.2. Informar a los responsables de PKI de CORPME de cualquier modificacin de esta informacin. OS.3. Conocer, aceptar y firmar la licencia de uso del certificado. OS.4. Usar el certificado para los fines para los que fue emitido, de acuerdo con las Polticas de Certificacin aplicables. OS.5. Custodiar diligentemente el dispositivo de creacin de firma y la contrasea que protege el acceso a la clave privada de firma electrnica. OS.6. Informar al CORPME a la mayor brevedad posible, y por cualquiera de los canales habilitados al efecto, la existencia de alguna causa de revocacin del certificado. OS.7. Abstenerse de utilizar la clave privada del certificado desde el mismo momento en el que se solicita o es advertido por la CA o la RA de la suspensin o revocacin del mismo, o una vez expirado el plazo de validez del certificado. OS.8. Destruir el certificado cuando as lo exija la CA, en virtud del derecho de propiedad que en todo caso conserva sobre el Certificado y cuando el Certificado caduque o sea revocado. OS.9. No monitorizar, manipular o realizar actos de ingeniera inversa sobre la implantacin tcnica (hardware y software) de los servicios de certificacin, sin permiso previo por escrito de la CA. OS.10. No transferir ni delegar sus responsabilidades sobre un certificado que le haya sido asignado a un tercero.

OS.11. Cualquier otra que se derive de la ley, de esta DPC o de las PCs.
2.1.6. Obligaciones del Tercero que confa en los certificados de CORPME

En particular, son obligaciones del Tercero las siguientes: OTC.1. Verificar, antes de depositar su confianza en un certificado, que el mismo est vigente y no ha sido revocado. A tal fin deber comprobar la validez y vigencia del certificado de firma por alguno de los medios disponibles: consulta de las listas de revocacin (CRLs) o Consulta en lnea de estado de certificados mediante protocolo OCSP, antes de aceptar cualquier comunicacin o documento firmado digitalmente con uno de los certificados emitidos por el CORPME. OTC.2. Limitar la fiabilidad de los certificados a los usos permitidos de los mismos, en conformidad con lo expresado en las extensiones de los certificados y la PC pertinente. OTC.3. Asumir su responsabilidad en la correcta verificacin de las firmas electrnicas. OTC.4. Asumir su responsabilidad en la comprobacin de la validez, revocacin o suspensin de los certificados en que confa. OTC.5. Conocer las garantas y responsabilidades derivadas de la aceptacin de los certificados en los que confa y asumir sus obligaciones. OTC.6. Notificar cualquier hecho o situacin anmala relativa al certificado y que pueda ser considerado como causa de revocacin del mismo.
2.1.7. Obligaciones de otros participantes

En particular, son obligaciones de otros participantes las siguientes: OOP.1. El Servicio de Repositorio ha de mantener accesible para los Titulares y Terceros Aceptantes la informacin de los certificados que han sido revocados, en formato CRL.
2.2. RESPONSABILIDAD DE LOS INTEGRANTES DE LA PKI DEL CORPME

2.2.1. Responsabilidades de la Autoridad de Certificacin del CORPME
El CORPME responder por el uso de los certificados que emite en los trminos previstos en la presente DPC, las polticas aplicables a cada clase de certificado, as como en la Ley 59/2003 de Firma Electrnica, en la Ley 24/2001, y en las Instrucciones dictadas en materia de firma electrnica registral por la Direccin General de los Registros y el Notariado y dems normas que la desarrollen. La responsabilidad del CORPME no se extender a las vulnerabilidades inherentes a los algoritmos criptogrficos utilizados en el sistema de firma, definidos como estndares de referencia por los organismos competentes. No obstante lo anterior, el CORPME velar diligentemente por que sus sistemas se adecuen en cada momento al estado de la tcnica. El CORPME no ser responsable por los daos sufridos por el suscriptor o un tercero, como consecuencia del uso de sus certificados, fuera de los supuestos de utilizacin expresamente admitidos. No podr tampoco exigirse ninguna responsabilidad por daos al CORPME, siempre que ste pueda probar que su actividad como Prestador de Servicios de Certificacin se ha desarrollado

de plena conformidad con la Ley 59/2003 y dems leyes aplicables, la presente DPC y las PCs asociadas a cada clase de certificado. El CORPME no responder, en ningn caso, de la utilizacin que los suscriptores hagan de los certificados, ni de los errores de hecho o de interpretacin que puedan cometer quienes validen una firma. El CORPME no asume ningn tipo de responsabilidad ante terceros, incluso de buena fe, que no hayan aplicado la diligencia debida para la verificacin de la vigencia de los Certificados. El CORPME no ser responsable en ningn caso cuando se den las siguientes circunstancias: Cuando concurran circunstancias consideradas de fuerza mayor, como catstrofes naturales, Guerras, y dems calamidades que provoquen una interrupcin prologada de los servicios y suministros necesarios para la prestacin del servicio. Los daos y perjuicios, directos o indirectos, causados por la utilizacin de los certificados y de las claves certificadas para usos no permitidos o fuera de su perodo de vigencia, as como por la prdida o divulgacin de la clave privada del suscriptor. Cuando el uso de los certificados se realice fuera de los casos permitidos, o se trate de certificados revocados o suspendidos y el interesado no verifique el estado del mismo antes de otorgarle su confianza. Compromiso de la clave privada, por revelacin voluntaria del suscriptor o intervencin maliciosa de un tercero, y prdida o sustraccin del soporte con los datos de creacin de firma. Por el uso indebido, errneo o fraudulento de los certificados o de las listas de Certificados Revocados (CRL), emitidas por el CORPME. Por la prdida irrevocable de informacin debida al uso de un certificado digital del CORPME para el Cifrado de Confidencialidad. En caso de aportacin de documentacin falsificada o fraudulenta por parte del solicitante del certificado.
Daos ocasionados por el mal uso de la informacin contenida en el certificado. La CA no ser responsable del contenido de aquellos documentos firmados electrnicamente ni de cualquier otra informacin que se autentiquen mediante un certificado emitido por ella. Los fallos o errores debidos a los equipos informticos, navegadores o aplicaciones utilizados por el titular o por los terceros usuarios de los certificados. Los daos o perjuicios directos o indirectos que sean consecuencia de los procedimientos o productos empleados para generar la pareja de claves asimtricas a certificar cuando sea el propio solicitante quien aporte las claves. El contenido de los documentos firmados con una firma digital basada en un certificado emitido por l, ni por la informacin contenida en un servidor por el certificado El CORPME responder por los daos irrogados al Suscriptor o al tercero de buena fe que deposite su confianza en los certificados del CORPME, cuando medie dolo o culpa del prestador. El rgimen

de responsabilidad aplicable ser el definido en la Ley 59/2003, de Firma Electrnica y en el resto de la legislacin aplicable. Sin perjuicio de lo indicado anteriormente se delimita el mbito de responsabilidad asumido por el CORPME a los extremos siguientes: Garantizar la exacta correspondencia entre la informacin contenida en los certificados y la facilitada por el suscriptor en el momento de la emisin. Entregar al suscriptor un certificado de la misma clase del solicitado. Poner a disposicin del suscritor en el dispositivo seguro de creacin de firma correspondiente, la clave privada correspondiente a la pblica identificada en el certificado entregado, garantizando la plena complementariedad de ambas claves. Mantener las listas de certificados revocados y el servicio de validacin OCSP, permanentemente actualizados y accesibles. Dems supuestos previstos en la legislacin vigente segn los cuales el Prestador de Servicios de Certificacin haya de responder por los daos causados.
2.2.2. Responsabilidad de las RAs

Las Unidades de Tramitacin o puntos de registro autorizados por el CORPME son responsables de comprobar que los datos del certificado solicitado son correctos de acuerdo a la documentacin presentada por el solicitante, siendo en todo caso responsable el prestador de servicios de certificacin, de conformidad con el artculo 13.5 de la Ley de Firma Electrnica. Esta comprobacin, se refiere tanto a los datos personales como a los cargos pblicos o pertenencia a colectivo profesional, mediante el certificado o documento oficial correspondiente. Las Unidades de Tramitacin no son responsables cuando el incumplimiento se deba a un caso fortuito o fuerza mayor o si queda fuera de su control, tales como desastres naturales o de otro tipo, cortes en el suministro elctrico o funcionamiento defectuoso de los sistemas de comunicaciones, siempre que se disponga de las medidas de seguridad estndar. Tampoco son responsables cuando los daos se deban al incumplimiento, por parte de los suscriptores o terceros, de alguna de sus obligaciones, en particular por la no verificacin de las CRLs actualizadas o si el suscriptor del certificado excede el lmite del mismo en cuanto a su posible uso o al importe del valor de las transacciones que pueden realizarse con los mismos.
2.2.3. Responsabilidad de la TSA

La TSA no asumir responsabilidad alguna en relacin al uso de los sellos de tiempo emitidos para cualquier actividad no especificada en la presente DPC y en las PCs. La TSA no se responsabiliza del contenido de los datos a los que se aplique el sello de tiempo que emita y no responde de posibles daos y perjuicios en transacciones a las que se haya aplicado. La TSA no representa en forma alguna a los usuarios ni a terceras partes aceptantes de los certificados que emite.
2.2.4. Limitaciones de prdidas

A excepcin de lo establecido por las disposiciones de la presente DPC, PKI de CORPME no asume ningn otro compromiso ni brinda ninguna otra garanta, as como tampoco asume ninguna otra responsabilidad ante titulares de certificados o terceros aceptantes.

2.2.5. Responsabilidad financiera

El CORPME dispone de la solvencia financiera necesaria para hacer frente a las responsabilidades que la legislacin vigente le obliga a asumir. Dichas responsabilidades se encuentran cubiertas mediante instrumentos de aseguramiento admitidas por la Ley 59/2003, por el importe legalmente establecido de TRES MILLONES DE EUROS (3.000.000 ). Las Polticas de Certificacin aplicables a cada tipo de certificado establecern la cuanta mxima hasta la que se extender la responsabilidad por daos y perjuicios del CORPME frente a suscriptores y terceros de buena fe. 2.2.5.1. Indemnizacin de las CAs y/o RAs
No estipulado. 2.2.5.2. Relaciones fiduciarias entre varias entidades
No estipulado. 2.2.5.3. Procedimientos administrativos
No estipulado.
2.3. INTERPRETACIN
2.3.1. Legislacin
Las operaciones y funcionamiento de PKI de CORPME, as como la presente DPC y las PCs que sean de aplicacin para cada tipo de certificado, estarn sujetas a la normativa que les sea aplicable y en especial a: Directiva 1999/93/CE, del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrnica. Ley 59/2003, de 19 de diciembre, de Firma Electrnica. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se regulan las medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal. Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos
2.3.2. Nulidad
En el caso de que cualquiera de los apartados recogidos en la presente declaracin sea declarado, parcial o totalmente, nula o ilegal no afectar tal circunstancia al resto del documento.
2.3.3. Procedimiento de resolucin de conflictos

Todas reclamaciones entre usuarios y CORPME debern ser comunicadas por la parte en disputa a CORPME, con el fin de intentar resolverlo entre las mismas partes.

Para la resolucin de cualquier conflicto que pudiera surgir con relacin a esta DPC o a las Polticas de Certificacin, las partes, con renuncia a cualquier otro fuero que pudiera corresponderles, se someten a los Juzgados y Tribunales espaoles, con independencia del lugar dnde se hubieran utilizado los certificados emitidos.
2.4. TARIFAS PARA LA EXPEDICIN DE CERTIFICADOS

La expedicin de los certificados de la clave externa se realizar de forma gratuita para todos los particulares que soliciten un certificado personal, al igual que para el resto de solicitantes de certificados de la clave externa. Toda vez que por motivos de seguridad y a los efectos de configurar una firma electrnica reconocida, los certificados digitales son generados directamente dentro de un dispositivo seguro de creacin de firma (DSCF), y en ningn caso se expiden en soporte software, el solicitante deber obtener como requisito previo a la emisin de su certificado, y a sus expensas, un Dispositivo de Creacin de firma homologado por el CORPME. En las unidades de tramitacin situadas en las Unidades de Tramitacin Provinciales existirn a disposicin de los solicitantes interesados Kits de firma electrnica que incluyen un dispositivo seguro de creacin de firma homologado, as como el software licenciado necesario para la utilizacin del certificado. El precio aplicable a los Kits de firma, y las condiciones para el pago del mismo, sern las que en cada momento figuren publicadas en la URL siguiente: https://www.registradores.org/scr/tarifas.htm
2.5. PUBLICACIN Y DIRECTORIO DE VALIDACIN DE CERTIFICADOS

2.5.1. Directorio de Validacin de Certificados
El CORPME mantiene un Directorio de Validacin de Certificados permanentemente disponible y accesible a cualquier interesado, de conformidad con la normativa vigente. Para garantizar un acceso continuado y sin disrupciones al servicio de verificacin de certificados, el Servidor de directorio est duplicado y balanceado, de tal forma que en caso de fallo o cada del servicio, el segundo directorio ser inmediatamente puesto en lnea garantizndose de este modo la disponibilidad del mismo. El Directorio de Validacin de Certificados es un directorio pblico de consulta, en el que se encuentran todas las Listas de Certificados Revocados (CRLs) emitidas por el Servicio, cuyo plazo de caducidad aun no ha vencido, que incluyen la fecha y hora en el que tuvo lugar la revocacin. No se establecern ms limitaciones de acceso al Directorio que las impuestas por razones de seguridad.
2.5.2. Publicacin
El Directorio se publica de acuerdo con el estndar LDAP (Lightweight Directory Access Protocol) y las listas de certificados revocados segn la norma correspondiente (Certificate Revocation List, versin 2) del estndar X.509. Tambin podr utilizarse el estndar OCSP (On line Certificate Status Protocol). Los puntos de publicacin de las CRLs son los siguientes: ARL de la CA Raz:

o o
HTTP: http://pki.registradores.org/crls/arl_scr.crl LDAP: ldap://ldap.registradores.org/CN=CA%20RAIZ, OU=CERTIFICADO%20PROPIO, O=COLEGIO%20DE%20REGISTRADORES, C=ES ?authorityRevocationList ?base ?objectclass=cRLDistributionPoint
CRL de la CA Subodinada para Certificados Internos: o o HTTP: http://pki.registradores.org/crls/crl_int_scr.crl LDAP: ldap://ldap.registradores.org/ CN=CA%20INTERNA, OU=CERTIFICADO%20PROPIO, O=COLEGIO%20DE%20REGISTRADORES, C=ES ?certificateRevocationList?base ?objectclass=cRLDistributionPoint
CRL de la CA Subodinada para Certificados Externos: o o HTTP: http://pki.registradores.org/crls/crl_ext_scr.crl LDAP: ldap://ldap.registradores.org/ CN=CA%20EXTERNA, OU=CERTIFICADO%20PROPIO, O=COLEGIO%20DE%20REGISTRADORES, C=ES ?certificateRevocationList?base ?objectclass=cRLDistributionPoint
Las listas de certificados revocados se actualizarn con la periodicidad indicada en el apartado siguiente denominado Frecuencia de actualizaciones. La causa por la que un certificado es revocado se considera informacin confidencial y no figurar en la lista de certificados revocados.
2.5.3. Frecuencia de actualizaciones

Los certificados revocados son incluidos en una lista de certificados revocados (CRL), la cual es actualizada tan pronto se produce una nueva revocacin, publicndose la nueva lista en menos de un minuto desde la revocacin, en las direcciones URL identificadas en el apartado anterior. Las listas de CRLs guardadas en memoria cach1, aun no estando caducadas, no garantizan que dispongan de informacin de revocacin actualizada. Independientemente de la ocurrencia de nuevas revocaciones, se emitir una nueva lista de revocacin (CRL) firmada digitalmente por el CORPME, cada 12 horas en el caso de las CA Subordinadas, y un ao de la CA Raz, sin perjuicio de la reemisin de una nueva lista con cada revocacin practicada.
2.5.4. Servicio de Validacin de certificados OCSP

Adems de la publicacin de las CRLs, la PKI dispone de un servicio OCSP de validacin de certificados, que implementa la RFC 2560 - X.509 Internet Public Key Infrastructure Online Certificate Status Protocol, en los que se puede consultar el estado de revocacin de un determinado certificado emitido por la PKI. La URL de acceso al servicio OCSP es la siguiente: https://ocsp.registradores.org
Memoria cach: memoria donde se guardan los datos necesarios para que el sistema opere con ms rapidez en lugar de obtenerlos en cada operacin de la fuente de datos. Su uso puede suponer un riesgo de operar con datos no actuales.

Este servicio OCSP est permanentemente actualizado, de forma que todo cambio en el estado de revocacin de un certificado queda inmediatamente reflejado en este servicio.
2.5.5. Servicio de Sellado de Tiempos

La PKI ofrece un servicio de sellado de tiempo que implementa el protocolo TSP (RFC 3161 TimeStamp Protocol), que se encuentra accesible en la URL: https://tsa.registradores.org:9207
2.6. AUDITORA
2.6.1. Periodicidad de las Auditoras
Con carcter peridico y a fin de verificar la efectiva implantacin de las medidas recogidas en el documento de seguridad, el Responsable de Seguridad ordenar y supervisar la realizacin de auditoras internas e independientes.
2.6.2. Caractersticas del Auditor

Las Auditoras Internas sern realizadas por personal propio cualificado, e independientes llevadas a cabo por expertos de reconocido prestigio.
2.6.3. Resultados de la Auditora

Aunque el resultado de la misma tiene el carcter de informacin confidencial, las deficiencias detectadas en el desarrollo de dicha Auditora sern subsanadas en el menor tiempo posible siempre que sean anomalas de CORPME.
2.7. POLTICA DE CONFIDENCIALIDAD

Con independencia de lo establecido en el artculo 6 del Real Decreto-Legislativo 1298/1986, de 26 de junio, sobre el deber de confidencialidad de los datos e informaciones de las que disponga el CORPME en el ejercicio de sus funciones, se establece el siguiente rgimen de confidencialidad de los datos relativos a la PKI de CORPME.
2.7.1. mbito de la informacin confidencial

Toda informacin que no sea considerada por PKI de CORPME como pblica revestir el carcter de confidencial. Se declara expresamente como informacin confidencial: Las claves privadas de las Autoridades que componen PKI de CORPME. Las claves privadas de titulares que PKI de CORPME mantenga en custodia. La informacin relativa a las operaciones que lleve a cabo PKI de CORPME. La informacin referida a los parmetros de seguridad, control y procedimientos de auditora.

La informacin de carcter personal proporcionada por los suscriptores de certificados a PKI de CORPME durante el proceso de registro, de conformidad con lo dispuesto en la normativa sobre proteccin de datos de carcter personal y reglas de desarrollo.
2.7.2. Informacin no confidencial

Se considera informacin pblica y por lo tanto accesible por terceros: La contenida en la presente DPC. La incluida en las PCs que le sean de aplicacin. Los certificados emitidos por PKI de CORPME. La lista de los certificados suspendidos o revocados (CRLs).
2.7.3. Deber de secreto profesional

Los empleados del CORPME que participen en cualesquiera tareas propias o derivadas de la PKI del CORPME estn obligados al deber de secreto profesional. Asimismo, el personal contratado que participe en cualquier actividad u operacin de PKI de CORPME estar sujeto al deber de secreto en el marco de las obligaciones contractuales contradas con el CORPME.
2.8. DERECHOS DE PROPIEDAD INTELECTUAL

De conformidad con la Ley de Propiedad Intelectual aprobada por RDL 1/1996, de 12 de abril, todos los derechos en materia de propiedad intelectual e industrial relacionados con los sistemas, documentos, procedimientos patentables, listas de revocacin y cualesquiera otros, relacionados con su actividad como prestador de servicios de certificacin, correspondern en exclusiva al CORPME. Los documentos y dems elementos de la PKI del CORPME se referenciarn bajo la jerarqua del OID 17276 asignado por IANA al CORPME.

3.
IDENTIFICACIN DE SOLICITANTES Y COMPROBACIN DE ATRIBUTOS
3.1. REGISTRO INICIAL

3.1.1. Tipos de nombres
Todos los suscriptores de certificados requieren un nombre distintivo (Distinguished Name) conforme con el estndar X.500.
3.1.2. Necesidad de que los nombres sean significativos

En todos los casos se recomienda que los nombres distintivos de los suscriptores de los certificados sean significativos. En cualquier supuesto el dotar a los nombres distintivos de significado viene dado por la poltica a tal efecto desarrollada y descrita en el documento de PC correspondiente al certificado en cuestin.
3.1.3. Reglas para interpretar formatos de nombres

La regla utilizada por PKI del CORPME para interpretar los nombres distintivos de los titulares de certificados que emite es ISO/IEC 9595 (X.500) Distinguished Name (DN).
3.1.4. Unicidad de los nombres

El conjunto de nombre distintivo (distinguished name) ms el contenido de la extensin certificatePolicies.policyIdentifier debe ser nico y no ambiguo.
3.1.5. Procedimiento de resolucin de conflictos

Segn lo establecido en el apartado denominado Interpretacin: Procedimiento de Resolucin de Conflictos.
3.1.6. Reconocimiento, autenticacin y papel de las marcas

No estipulado.
3.1.7. Autenticacin del solicitante cuando sea persona jurdica

El CORPME no emitir certificados de Persona Jurdica en tanto por mandato legal no se establezca la obligatoriedad, a cargo de los Prestadores de Servicios de Certificacin que emitan Certificados Reconocidos, de expedir tal tipo de certificados.

3.1.8. Autenticacin del solicitante cuando sea persona fsica

Los solicitantes nacionales de Certificados del CORPME, debern comparecer ante la Unidad de Tramitacin de su eleccin, provistos de su NIF, NIE o pasaporte. Los solicitantes extranjeros de Certificados del CORPME, debern comparecer, provistos de su nmero de identificacin de extranjeros (NIE), o el de su pasaporte, o el de su tarjeta de residencia o el de cualquier otro documento legal de identificacin. Adems de la identificacin del solicitante como persona fsica mediante la comprobacin de la documentacin sealada anteriormente, el Operador de la Unidad de Tramitacin correspondiente solicitar la documentacin acreditativa del atributo certificable de que se trate en virtud del Tipo de Certificado. Cuando los atributos estn basados en una inscripcin, deber solicitarse simultneamente al Registrador una certificacin de los atributos. El certificado digital no podr emitirse hasta el cuarto da hbil a contar desde el siguiente a la solicitud de emisin del certificado. El Registro emitir dicha certificacin, o la solicitar inmediatamente a aquel en el que se encuentren inscritos los atributos, debiendo en todo caso emitirse la Certificacin en este mismo plazo. La Unidad de Tramitacin comprobar la equivalencia de la certificacin con los trminos en los que queda redactado el certificado, as como la exacta correlacin entre los periodos de vigencia del atributo inscrito y del certificado. Si se detecta alguna inexactitud proceder a revocar el certificado dentro de este plazo, notificando este hecho al titular. Si la inscripcin correspondiente a los atributos es accesible a travs de Internet, el Operador de la Unidad de Tramitacin correspondiente deber incluir en el certificado el cdigo que permita el acceso directo a su contenido. En el caso de los dems atributos el Operador de la Unidad de Tramitacin correspondiente deber realizar las comprobaciones documentales previstas en las correspondientes PC, guardando copia de los documentos que estas indiquen. Tambin verificar la equivalencia entre los trminos literales y plazo de los atributos documentados y su expresin en el certificado. La pertenencia a Colectivos profesionales, es decir, Colegios o Asociaciones, se acreditar a los efectos de la expedicin de Certificados Reconocidos de Profesionales, mediante la aportacin de Certificacin suscrita por el Secretario de Colegio o Asociacin al que est adscrito el Solicitante, expedida un mximo de 15 das antes de la comparecencia en la Unidad de Tramitacin correspondiente. En virtud de convenio, el CORPME y el Colectivo Profesional interesado en obtener para sus miembros Certificados Reconocidos de Profesionales, podrn establecer procedimientos de validacin de atributos alternativos a la aportacin de certificacin del secretario del colectivo, sealadamente procedimientos tcnicos de interconexin entre el CORPME y los repositorios del colectivo profesional, para la verificacin en lnea de la pertenencia del solicitante a dicho colectivo. En la interconexin y acceso a los datos de colegiacin del solicitante se adoptarn las medidas tcnicas y de procedimiento, necesarias para la proteccin de los Datos de Carcter Personal de los Colegiados o Asociados incluidos en el Fichero automatizado de verificacin. La PC aplicable a cada tipo de certificado definir en el apartado de emisin del certificado la documentacin acreditativa del atributo certificable de que se trate en virtud del tipo de certificado.

3.2. RENOVACIN DE CERTIFICADOS

Los certificados digitales que emite el CORPME no son susceptibles de renovacin. Caducado o extinguido un certificado digital, por agotarse el periodo de vigencia del mismo o por concurrir alguna de las causas de extincin recogidas en la presente DPC, nicamente cabr solicitar un nuevo certificado digital. La solicitud de renovacin del certificado puede ser: Presencial: Se tratar igual que una emisin inicial. No presencial: Se aplica a usuarios con un certificado activo, dentro del perodo de renovacin definido como 2 meses antes de la fecha de caducidad del certificado. nicamente se permitir realizar la renovacin no presencial una vez, la siguiente el usuario est obligado a renovar presencialmente su certificado, segn dicta la normativa de firma digital.

4. OPERATIVA PARA LA GESTIN DEL CICLO DE VIDA DE LOS CERTIFICADOS DEL CORPME
El proceso de emisin de los certificados digitales comienza con la Peticin de cita y el alta del usuario en la agenda del CORPME: https://www.registradores.org/scr/agenda. La generacin del par de claves asimtricas de firma electrnica (esto es, una clave pblica que contiene los datos de verificacin de firma, y una clave Privada que incorpora los datos de Creacin de firma) se realizar dentro de un dispositivo seguro y con la intervencin personal del solicitante del certificado, quien adems introducir por s mismo las contraseas de acceso a la clave privada.
4.1.
SOLICITUD DE CERTIFICADOS
En relacin con el procedimiento de solicitud de certificados, se distinguen dos casos: 1. Necesidad de solicitud de cita previa En los casos que se solicite una cita previa (Certificado Reconocido de Personal, Certificado Reconocido de Representante de Persona Jurdica y Certificado Reconocido de Profesional) como paso previo a la obtencin del certificado, el solicitante se conecta a la pagina Web https://www.registradores.org/scr/agenda. En caso de no estar dado de alta en el sistema, se debe de registrar como usuario del mismo. Una vez registrado debe cumplimentar un formulario en lnea, con la informacin necesaria (da y hora en la unidad de tramitacin elegida) para la expedicin del certificado, a partir de la cual se rellenarn los campos del mismo y se generar la Licencia de Uso del Certificado. Dado que la Licencia de Uso del Certificado deber ser firmada por el Operador de Registro a cargo de la Unidad de Tramitacin, es imperativo que la comparecencia personal del solicitante coincida con la presencia del Registrador en la Unidad de Tramitacin, por ello el solicitante deber seleccionar da y hora, de entre los disponibles y previamente habilitados por el Operador de la misma, como hbiles para la expedicin de certificados digitales. Una vez fijada fecha y hora para la comparecencia, el solicitante recibir por correo electrnico un justificante de la cita concertada. 2. No necesidad de solicitud de cita previa En los casos que no requieren cita (Certificado Reconocido de Registradores, Certificado Reconocido para Personal Interno de los Registros, Certificado Reconocido de Cargo Administrativo, Certificado Reconocido de Administracin Local), se crear una cita falsa para solicitar y validar los datos del usuario y proceder a la invocacin de la emisin del certificado. Los usuarios se personarn con el DNI y una certificacin que acredite el cargo. En ambos supuestos, el solicitante se persona en la unidad de tramitacin con el identificador de la cita, con el NIF, NIE o pasaporte y la certificacin que acredite el cargo para el caso de solicitud de Certificado Reconocido de cargo Administrativo y de Certificado Reconocido de Administracin Local. Dicho identificador ser entregado al Oficial de Registro quien lo introduce en el sistema (recupera los datos previamente introducidos). De nuevo, se vuelven a hacer las comprobaciones de autenticacin descritas en el apartado Registro Inicial: Autenticacin del solicitante cuando sea persona fsica y que en el caso de ser correctas se pasar al siguiente punto.

Con la comparecencia del usuario, en nica instancia, en la Unidad de Tramitacin correspondiente se da paso, de ser positivo el trmite de verificacin de identidad y atributos certificables, al proceso de emisin del Certificado Digital de suscriptor, el cual ira firmado por la CA a fin de establecer la cadena de confianza en la que se basa la Firma Electrnica Reconocida. Para la autenticacin de la persona fsica, tanto para nacionales como para extranjeros, y de la documentacin acreditativa del atributo certificable de que se trate en virtud del tipo de certificado, se seguir el procedimiento recogido en el apartado denominado Autenticacin del solicitante cuando sea persona fsica. Una vez realizado el trmite de identificacin y, en su caso, el de comprobacin de atributos del solicitante, el operador imprimir dos copias de la licencia de uso, que contendrn la fecha, los datos del certificado, los del Operador de Registro y el nombre del mismo. Ambas copias debern ser firmadas por el solicitante y el operador, quedando una copia en poder de cada uno de ellos. La Unidad de Tramitacin deber conservar la licencia firmada durante un plazo de quince aos, a contar desde la caducidad o revocacin del certificado. Una vez validada la identidad del solicitante y los datos necesarios se procede a emitir el certificado solicitado. Sin perjuicio de lo descrito anteriormente, en cada PC se establecer los documentos necesarios para cada tipo de certificado.
4.2. PROCEDIMIENTO DE EMISIN DE CERTIFICADOS

Superados los trmites anteriores se proceder a la generacin de las claves y, en su caso, a la emisin del certificado solicitado. Para la emisin de los certificados y la generacin del par de claves (pblica y privada, de firma electrnica) se utilizarn dispositivos criptogrficos seguros, dentro de los cuales se realizar de manera directa e inmediata, la generacin del par de claves y las operaciones criptogrficas de firma, de modo tal que todas las funcionalidades previstas en las PCs se efecten sin que, en ningn caso, sea necesario transferir a un equipo externo la clave privada (datos de creacin de firma), garantizndose al suscriptor de este modo su absoluto control sobre los datos de creacin de firma, y por ende, la imposibilidad de suplantacin de su firma electrnica. En todo caso, la orden de generacin de las claves y la introduccin de las contraseas del dispositivo criptogrfico sern realizadas personalmente por el titular del certificado. Tanto los Dispositivos Seguros de Creacin de Firma (DSCF) como los formatos de fichero utilizados en el proceso de emisin del certificado son conformes con los estndares PKCS (Public-Key Cryptography Standards) de RSA Data Security Inc. En el caso de los DSCF, stos debern ser conformes con las normas tcnicas (CWA: CEN WORKSHOP AGREEMENTS) emanadas por el Comit Europeo de Normalizacin (CEN) de conformidad con lo dispuesto en la Directiva 1999/93 por la que se establece un marco comunitario para la firma electrnica. Las homologaciones de seguridad, se detallan a continuacin: Common Criteria EAL4+, FIPS 140-2 y CC EAL4+ PP-SSCD Compatible con especificaciones ISO 7816-1 a 4

4.3. ARCHIVO DE LOS DATOS DE VERIFICACIN DE FIRMA

Los Datos de verificacin de Firma de los Suscriptores permanecern archivados por si fuera necesaria su recuperacin, en archivos y soportes seguros tanto fsica como lgicamente, durante el perodo legalmente establecido de quince (15) aos.
4.4. ACEPTACIN DE CERTIFICADOS

El suscriptor del certificado debe aceptarlo mediante la firma manuscrita de la licencia de uso. En ningn caso se considerar a una persona titular de un certificado antes de que haya firmando la correspondiente licencia y esta se encuentre en poder de la Unidad de Tramitacin. El contenido de la licencia de uso viene especificado en la correspondiente PC. En ella, el firmante debe comprometerse de forma expresa a cumplir las obligaciones enumeradas a lo largo del documento y, adems, aceptar: Que cada firma digital creada usando la clave privada correspondiente a la clave pblica certificada es la firma electrnica del suscriptor. Que cada vez que el suscriptor utiliza su certificado para acceder a cualquier tipo de informacin dicho acceso ha sido realizado por l personalmente. Que el uso de la clave privada certificada es personal e intransferible, por lo que toda utilizacin que se haga de ella por terceras personas ser bajo la responsabilidad y riesgo del suscriptor. El suscriptor declarar disponer del exclusivo control sobre los Datos de creacin de Firma (clave privada) asociados a los Datos de verificacin de Firma (clave pblica) incluidos en el certificado emitido a su nombre por CORPME. Que acepta las limitaciones de uso correspondientes a la clase de certificado de que se trate y, en todo caso, que no usar la clave privada correspondiente a la pblica certificada con el fin de firmar certificados o listas de certificados revocados. Que est de acuerdo con los trminos y condiciones contenidas en este documento y en las PCs correspondientes. Que todos los datos suministrados durante el alta de usuario y solicitud del certificado son enteramente veraces. Que el certificado ser utilizado de estricta conformidad con la legalidad y con las condiciones establecidas en la DPC y en las PCs particulares que resulten aplicables en virtud del tipo de Certificado de que se trate.
4.5.
OBLIGACIONES DEL PRESTADOR DE SERVICIOS DE CERTIFICACIN
Los datos privados de los certificados emitidos no se almacenarn en forma alguna en los sistemas del prestador. Por lo que cualquier prdida del certificado, supondr la posterior revocacin, al no haber manera de recuperar dicha informacin. En el momento de la solicitud de la cita para la obtencin del certificado, el usuario es informado sobre la forma de obtenerlo, as como del uso del mismo y los mecanismos de revocacin, en caso de prdida o robo.

4.6. CADUCIDAD, SUSPENSIN Y REVOCACIN DE LOS CERTIFICADOS

4.6.1. Caducidad de los certificados
Todos los certificados emitidos por el CORPME a entidades finales tendrn una validez de 2 aos desde su emisin. Cuando en el momento de la emisin del certificado se conozca que el periodo de vigencia establecido supera la duracin del cargo, destino o atributo (certificados de representante de persona jurdica, por ejemplo) en virtud del cual se emite, se podr fijar como fecha de caducidad del certificado aquella en la que el suscriptor haya de cesar en dicho cargo o destino, o la de extincin del atributo. Una vez caducado el certificado, ste ser inhbil para cualquier uso y no estar amparado por las garantas, obligaciones y responsabilidades asumidas por el Prestador de Servicios de Certificacin.
4.6.2. Extincin de los certificados del CORPME

Adems de la extincin del certificado por el agotamiento del periodo de validez definida en el punto anterior, los certificados del CORPME quedarn extinguidos en los supuestos siguientes: a) Fallecimiento del titular del Certificado. b) Prdida de su capacidad o Inhabilitacin del suscriptor, decretada judicialmente. c) En el caso de Certificados de Representante de Persona Jurdica: revocacin de la representacin orgnica o voluntaria, desde que sta accede al Registro Mercantil; o prdida de la personalidad jurdica de la Sociedad representada, por alguno de los supuestos legales de disolucin o extincin societaria. d) Disolucin o cese en la actividad de Prestador de Servicios de Certificacin del CORPME. e) Resolucin firme recada en sede judicial o administrativa que ordene la revocacin del certificado del suscriptor. f) Violacin o puesta en peligro del secreto de los datos de creacin de firma del firmante o del prestador de servicios de certificacin o utilizacin indebida de dichos datos por un tercero.
g) Alteracin de los datos aportados para la obtencin del certificado o modificacin de las circunstancias verificadas para la expedicin del certificado de manera que ste ya no fuera conforme a la realidad. h) Cualquier otra causa lcita prevista en esta DPC. El CORPME informar al suscriptor acerca de esta circunstancia de manera previa o simultnea a la extincin o revocacin de la vigencia del certificado electrnico, especificando los motivos y la fecha y la hora en que el certificado quedar sin efecto.
4.6.3. Revocacin de Certificados del CORPME

La revocacin de un certificado supone la prdida de su eficacia, siendo sus consecuencias equivalentes a las de la caducidad. La revocacin del certificado producir efectos frente a terceros inmediatos a travs de OCSP y desde el momento en que sea publicada la CRL que contenga la revocacin.

4.6.3.1.
Causas para la revocacin de certificados
Sern causa de la revocacin de un certificado digital del CORPME: a) Que as lo soliciten el suscriptor del certificado, o la persona legitimada para la solicitud del mismo, o el representado en los Certificados de Representante. b) Que el suscriptor del certificado cese en su destino en el caso de los certificados internos. c) Que se emita un nuevo certificado para el mismo suscriptor que haga referencia a atributos idnticos, en el caso de los certificados externos. d) Que se cancele o modifique una inscripcin a la que se refiera el contenido de un certificado de atributos basado en una inscripcin registral. e) Que se haya perdido o inutilizado el soporte en el que est contenida la clave privada correspondiente a la pblica certificada. f) Que un tercero haya utilizado indebidamente la clave privada correspondiente a la pblica certificada.
g) Que la clave privada correspondiente a la pblica certificada haya sido desvelada o haya podido verse comprometida por cualquier circunstancia. h) Que el suscriptor haya fallecido o haya sido incapacitado legalmente o, en su caso, que haya perdido, definitivamente o por plazo que supere el de vigencia del certificado, la condicin o cargo en virtud del cual se emiti el certificado as como cuando, por cualquier causa, se extinga la persona jurdica a quien el cargo o apoderado suscriptor del certificado represente. i) Que la informacin contenida en el certificado o los datos aportados por el titular durante el trmite de registro, sean inexactos, ya fuere por error o falsedad inicial del suscriptor o por cambios sobrevenidos. Que el suscriptor haya incumplido las disposiciones de la presente DPC o alguna de las PCs.
j)
k) Que as se disponga en una resolucin administrativa o en un auto o sentencia o tambin, en el caso de los certificados internos, en un expediente disciplinario. 4.6.3.2. Legitimacin para solicitar la revocacin de un certificado digital.
Estn legitimados para solicitar la revocacin del certificado: a) El titular del certificado o suscriptor. b) La entidad representada por el suscriptor del Cerificado Reconocido de Representante, a travs de su rgano de gobierno. c) Cuando la solicitud del certificado haya sido realizada por persona distinta del suscriptor, la persona que ostente el cargo que autoriza para realizar dicha solicitud. En este punto se estar a lo dispuesto en las PCs. d) En los certificados de atributos basados en una inscripcin registral, el Operador de Registro que autorice la modificacin o cancelacin de esta. e) El Decano del Colegio del Colegio de Registradores, el Director del Servicio de Certificacin o el Operador de Registro responsable de la Unidad de Tramitacin que autoriz la emisin del

certificado, cuando tuvieran constancia de la existencia de alguna de las causas mencionadas en el punto anterior. f) 4.6.3.3. 4.6.3.3.1. La autoridad judicial o administrativa en virtud de resolucin motivada. Modalidades de Revocacin. Revocacin a instancias del suscriptor del certificado
La revocacin puede hacerse de dos formas: Forma presencial: El titular podr revocar el certificado personndose en la Unidad de Tramitacin que emiti el certificado o, en caso de urgencia, en cualquier otra Unidad de Tramitacin del CORPME. Una vez identificado el titular, el operador imprimir una solicitud de revocacin y, una vez que esta sea firmada por ambos, ordenar inmediatamente la revocacin del certificado. La solicitud de revocacin deber conservarse por plazo de quince aos. Forma remota: Por causa de urgencia mediante una llamada telefnica a su Servicio de Asistencia Telefnica. Igualmente la revocacin se podr realizar firmando una solicitud electrnica de revocacin con certificado reconocido vigente del mismo titular. La revocacin se realizar de forma automtica, bajo la nica responsabilidad del suscriptor. En cada PC se describir el procedimiento de revocacin para cada tipo de certificado. 4.6.3.3.2. Revocacin por persona distinta del suscriptor titular
La persona que ocupe el cargo que, en virtud de las PCs aplicables, legitime para la solicitud de un determinado tipo de certificado, o el representado en los Certificados Reconocidos de Representante de Persona Jurdica, podr ordenar la revocacin de ste. Para ello deber enviar una solicitud firmada a la Unidad de Tramitacin que autoriz la emisin del certificado. La Unidad de Tramitacin proceder inmediatamente a la revocacin del certificado, bajo la nica responsabilidad del solicitante de la revocacin. A continuacin, se notificar al titular del certificado, mediante correo electrnico, de esta circunstancia. 4.6.3.3.3. Revocacin de oficio
Los certificados podrn ser revocados de oficio por la Unidad Central de Tramitacin o por el Registrador a cargo de alguna de las Unidades de Tramitacin, cuando concurra alguna de las causas sealadas en el apartado Causas para la revocacin de certificados de la presente DPC. Las resoluciones administrativas y sentencias judiciales debern ser ejecutadas, en los certificados internos, por la Junta de Gobierno que enviar a la Unidad de Tramitacin Central la orden correspondiente y, en los certificados externos, por el Registrador responsable de la Unidad de Tramitacin que autoriz la emisin del certificado. Recibida la orden de revocacin, la Unidad de tramitacin, central o provincial segn corresponda, revocar inmediatamente el certificado notificando al titular del certificado el hecho y la causa de la revocacin. La Unidad de Tramitacin guardar copia de la resolucin administrativa, auto, sentencia, o documento en que se funde la orden de revocacin de oficio, que deber archivarse por un mnimo de 15 aos.

4.6.3.3.4.
Revocacin por causa de urgencia
La Unidad de Tramitacin Central podr autorizar la revocacin de un certificado por causa de urgencia, cuando sea requerida por alguna de las personas mencionadas en el apartado Causas para la revocacin de certificados de la presente DPC. Una vez comprobada la identidad del solicitante de la revocacin podr requerir a quien solicit la revocacin urgente para que justifique su solicitud, hasta satisfacer los requisitos exigidos por las PCs para la causa de revocacin alegada. Si dicha justificacin no fuera posible o si la revocacin hubiera causado perjuicios a terceros, la responsabilidad recaer nicamente sobre el solicitante de la revocacin. El suscriptor del certificado, ser notificado de tal circunstancia. 4.6.3.4. Efectos de la revocacin
La revocacin de un certificado supone su total prdida de validez y la exencin de responsabilidad del Servicio de Certificacin por cualquier dao producido como consecuencia del uso del certificado revocado con posterioridad a su revocacin. La revocacin de un certificado surtir efectos ante las CAs y frente al solicitante desde el mismo instante de su prctica y frente a terceros desde el momento en que dicha revocacin se publica a travs de OCSP o en las CRLs.
4.6.4. Suspensin de los Certificados

El CORPME slo contempla dos estados posibles para los certificados digitales que emite, pudiendo encontrase stos vigentes o revocados. Aquellos supuestos en los que la vigencia del certificado quede en entredicho por circunstancias sobrevenidas a la emisin, se proceder a una revocacin cautelar de oficio del certificado, de conformidad con lo dispuesto en el apartado correspondiente de la presente DPC. La revocacin de oficio realizada en los casos apuntados, no otorgar al Suscriptor derecho a otra compensacin diferente de la exencin de los costes asociados a la emisin de un nuevo certificado digital de la misma clase que el revocado. En la emisin del nuevo certificado, se observarn en todo caso las mismas formalidades y procedimientos que con el certificado original revocado de oficio.
4.6.5. Obligacin de Verificacin del Estado de los Certificados.

Los terceros de buena fe debern verificar con la debida diligencia, antes de depositar su confianza en un certificado del CORPME, la validez y vigencia de los certificados utilizando el servicio OCSP o accediendo a la ltima lista de certificados revocados (CRL). 4.6.5.1. Frecuencia de emisin de CRL
La frecuencia de emisin de la CRL viene establecida en el punto denominado Frecuencia de Actualizaciones. 4.6.5.2. Disponibilidad de servicios de comprobacin del estado de los certificados
El servicio de comprobacin de estado de certificados se mantendr accesible y a disposicin de usuarios y terceros, de manera permanente, a fin de facilitar la verificacin de la vigencia de los certificados, como presupuesto para la produccin de efectos frente a terceros de las revocaciones realizadas.

Para garantizar la disponibilidad del servidor de Directorio de Validacin de Certificados, as como del servicio OCSP, se han dispuesto sistemas redundantes configurados para minimizar cualquier eventual disrupcin en el servicio. 4.6.5.3. Cese en la actividad de prestador de servicios de certificacin
El CORPME cesar su actividad como Prestador de Servicios de Certificacin, en virtud del acuerdo de disolucin adoptado por la Asamblea de Decanos Territoriales y Autonmicos, por una ley que as lo establezca o por resolucin judicial firme. Antes de cesar en la actividad de PSC, el CORPME notificar con al menos dos meses de antelacin, a todos los titulares de certificados, as como al Ministerio de Industria, Turismo y Comercio, informando de las medidas adoptadas para garantizar la continuidad en la prestacin de los servicios. El CORPME podr transmitir a otro PSC que garantice anlogos niveles de seguridad y fiabilidad en sus procedimientos, la gestin de los certificados que estuvieran vigentes a la fecha del cese en la actividad, as como los derechos y obligaciones que se deriven de los mismos y la informacin y documentacin relativa a todos los certificados emitidos. Dicha cesin se efectuara en todo caso, previo consentimiento expreso y por escrito del titular del certificado, y con estricta observancia de todas las garantas en materia de proteccin de datos personales. Con anterioridad al cese de la actividad, el CORPME, remitir al Ministerio de Industria, Turismo y Comercio los mecanismos necesarios para mantener la comprobacin de la vigencia de los certificados.
4.7.
PROCEDIMIENTO DE AUDITORA DE SEGURIDAD
4.7.1. Tipos de eventos registrados

El CORPME almacenar de manera automtica informacin de seguimiento de eventos (logs) respecto de todas las operaciones relacionadas con los sistemas que dan soporte a su actividad de prestador. Se adoptarn medidas tendentes a asegurar la integridad de los registros de eventos, a fin de impedir que cualquier usuario trate de modificar o eliminar el rastro de las acciones realizadas en el sistema. Para asegurar la deteccin y subsanacin de cualquier incidencia en los sistemas del CORPME, y la depuracin de los errores y, en su caso, responsabilidades derivadas de uso, los logs del servicio sern objeto de una estricta poltica de copia de seguridad y custodia que asegure su conservacin y disponibilidad a los fines indicados.
4.7.2. Frecuencia de procesado de registros de auditora

Los registros se analizarn de manera manual cuando sea necesario, no existiendo una frecuencia definida para dicho proceso.
4.7.3. Periodo de conservacin de los registros de auditora

El CORPME archivar durante el periodo legalmente establecido, es decir, quince (15) aos contados desde el momento de su expedicin, cuantos documentos y datos sean precisos para el desarrollo de su actividad como Prestador de Servicios de Certificacin de manera que puedan verificarse las operaciones efectuadas con los mismos.

Las licencias de uso, solicitudes de revocacin, certificaciones acreditativas de atributos certificables, y en general cualesquiera documentos firmados de los que se deriven derechos y obligaciones para los intervinientes en la PKI del CORPME, se almacenarn durante un periodo mnimo de 15 aos.
4.7.4. Proteccin de los registros de auditora

Para el archivo de los documentos electrnicos se dispondrn todas las medidas necesarias para asegurar la confidencialidad de los datos personales, la proteccin contra accesos no autorizados, y mecanismos que aseguren la integridad y ausencia de alteraciones en la documentacin almacenada. Peridicamente se realizarn copias de respaldo del archivo electrnico en soportes removibles que se almacenarn en instalaciones de seguridad tanto internas como externas al CORPME, a fin de garantizar la recuperacin de los datos del archivo en caso de desastre. Los eventos registrados por la PKI estn protegidos mediante cifrado, de forma que nadie, salvo las propias aplicaciones de visualizacin de eventos, con su debido control de accesos, pueda acceder a ellos.
4.7.5. Procedimientos de respaldo de los registros de auditora

Las copias de respaldo de los registros de auditora se realizan segn las medidas estndar establecidas por el CORPME.
4.7.6. Sistema de recogida de informacin de auditora (interno vs externo)

El sistema de recopilacin de informacin de auditora de la PKI es una combinacin de procesos automticos y manuales ejecutados por las aplicaciones de la PKI.
4.7.7. Notificacin al sujeto causa del evento

No se prev la notificacin automtica de la accin de los ficheros de registro de auditora al causante del evento.
4.8. POLTICA DE ARCHIVO DE DOCUMENTOS

4.8.1. Informacin objeto de archivo
El CORPME mantendr un archivo con los siguientes documentos y ficheros relacionados con su actividad de Prestador de Servicios de Certificacin. Documentacin relativa a los protocolos de generacin y conservacin de las Claves Principales del Servicio: Raz y de Autoridades de Certificacin Interna y Externa. Lista de certificados digitales revocados (CRLs y ARLs). Logs y registros de incidencias de servicio. Solicitudes de emisin, revocacin y licencias de uso de Certificados. Documentacin acreditativa de los atributos certificables.

Histrico de versiones de la DPC y de las polticas de certificacin.
4.8.2. Proteccin del archivo

Los Archivos de registro estn protegidos mediante cifrado, de forma que nadie, salvo las propias aplicaciones de visualizacin, con su debido control de accesos, pueda acceder a ellos.
4.8.3. Requerimientos para el sellado de tiempo de los registros

Los sistemas de informacin empleados por PKI de CORPME garantizan el registro del tiempo en los que se realizan. El instante de tiempo de los sistemas proviene de una fuente segura que constata la fecha y hora. Todos los sistemas se sincronizan con esta fuente.
4.9. CAMBIO DE CLAVES

Los procedimientos para proporcionar, en caso de cambio de claves, una nueva clave pblica de CA a los suscriptores y terceros aceptantes de los certificados de la misma son los mismos que para proporcionar la clave pblica en vigor. En consecuencia, la nueva clave se publicar en el repositorio de PKI de CORPME.
4.10. RECUPERACIN EN CASO DE COMPROMISO DE UNA CLAVE O CATSTROFE

4.10.1. Procedimientos de gestin de incidentes y compromisos
El CORPME tiene establecido un Plan de Seguridad que define las acciones a realizar, recursos a utilizar y personal a emplear en el caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos y los servicios de certificacin prestados por PKI de CORPME. En el caso de que se produjera un compromiso de los datos de verificacin de firma de alguna Autoridad de Certificacin, el CORPME informar a todos los titulares de certificados de PKI de CORPME y terceros aceptantes conocidos que todos los certificados y listas de revocacin firmados con estos datos ya no son vlidos. Tan pronto como sea posible se proceder al restablecimiento del servicio.
4.10.2. Alteracin de los recursos hardware, software y/o datos

Si los recursos hardware, software, y/o datos se alteran o se sospecha que han sido alterados se detendr el funcionamiento de la PKI hasta que se reestablezca la seguridad del entorno con la incorporacin de nuevos componentes cuya adecuacin pueda acreditarse. De forma simultnea se realizar una auditora para identificar la causa de la alteracin y asegurar su no reproduccin. En el caso de verse afectados certificados emitidos, se notificar del hecho a los usuarios de los mismos y se proceder a una nueva certificacin.
4.10.3. Procedimiento de actuacin ante el compromiso de la clave privada de la CA

En el caso de compromiso de la clave privada de la CA se proceder a su revocacin inmediata. Seguidamente, se generar y publicar la correspondiente CRL, cesando el funcionamiento de

actividad de la CA y se proceder a la generacin, certificacin y puesta en marcha de una nueva Autoridad con la misma denominacin que la eliminada y con un nuevo par de claves. En el caso de la CA, el certificado revocado de la misma permanecer accesible en el repositorio de PKI de CORPME con objeto de continuar verificando los certificados emitidos durante su periodo de funcionamiento. Se notificar a todas los afectados que los certificados y la informacin sobre su revocacin, suministrada con la clave comprometida de la CA, deja de ser vlida desde el momento de la notificacin, debiendo utilizar para verificar la validez de la informacin la nueva clave pblica de la CA.
4.10.4. Instalacin despus de un desastre natural u otro tipo de catstrofe

El sistema de Autoridades de Certificacin de PKI de CORPME puede ser reconstruido en caso de desastre. Para llevar a cabo esta reconstruccin es necesario contar con: Un sistema con hardware, software y dispositivo Hardware Criptogrfico de Seguridad similar al existente con anterioridad al desastre. Las tarjetas de administrador de la CA. Una copia de respaldo de los discos del sistema anterior al desastre. Con estos elementos es posible reconstruir el sistema tal y como estaba en el momento de la copia de respaldo realizada y, por lo tanto, recuperar la CA, incluidas sus claves privadas. El almacenado, tanto de las tarjetas de acceso de los administradores de la CA como de las copias de los discos de sistema de la CA, se lleva a cabo en un lugar diferente, lo suficientemente alejado y protegido como para dificultar al mximo la concurrencia de catstrofes simultneas en los sistemas en produccin y en los elementos de recuperacin.

5.
CONTROLES DE SEGURIDAD
A fin de asegurar la confiabilidad y seguridad de sus operaciones como prestador de servicios de certificacin, el CORPME ha dispuesto e implantado controles de seguridad fsica y lgica en todas sus instalaciones, al igual que procedimientos de auditora, tanto interna como independiente para el seguimiento y verificacin del cumplimiento de las polticas, directivas y procedimientos en materia de seguridad.
5.1. SEGURIDAD FSICA

5.1.1. Ubicacin y medidas de seguridad fsica de las instalaciones de CORPME
La infraestructura tcnica del CORPME se ubica en el Centro de Proceso de Datos (CPD) del CORPME, dotado de las ms estrictas medidas de seguridad fsica y de estrictos controles de acceso al edificio. El acceso al CPD est estrictamente restringido y slo el personal autorizado puede acceder a su interior, previa identificacin de doble factor: tarjeta inteligente y nmero de identificacin personal, guardndose registro de todos los accesos a las instalaciones de proceso de datos. Tanto el CPD como el resto de instalaciones y oficinas de la Sede del CORPME estn permanentemente monitorizados desde de un control de seguridad con circuito de video vigilancia, detectores de movimiento y guardias de seguridad que patrullan da y noche las dependencias colegiales. Se han definido zonas con distintos niveles de acceso y seguridad, no siendo posible acceder a determinadas reas sin una autorizacin expresa que quedar reflejada en el correspondiente Log de accesos.
5.1.2. Acceso fsico

Se dispone de un completo sistema de control de acceso fsico de personas que conforman varios niveles de control. Todas las operaciones sensibles se realizan dentro de un recinto fsicamente seguro con diversos niveles de seguridad para acceder a las mquinas y aplicaciones crticas. Los sistemas de PKI de CORPME estarn fsicamente separados de otros sistemas de la entidad de forma que nicamente el personal autorizado pueda acceder a ellos, y se garantice la independencia de los otros sistemas informticos. Las reas de carga y descarga estn aisladas y permanentemente vigiladas por medios humanos y tcnicos.
5.1.3. Suministro elctrico y acondicionamiento ambiental de las instalaciones del CORPME

La infraestructura tcnica del CORPME tiene asegurada la continuidad de sus operaciones en caso de cortes en el suministro, mediante la utilizacin de sistemas de alimentacin ininterrumpida de alta capacidad y una doble acometida elctrica con dos proveedores de energa distintos.

A fin de garantizar el correcto funcionamiento de los equipos de proceso de datos, las dependencias del Centro de proceso de datos cuentan con equipos de aire acondicionado que mantienen la temperatura de operacin de los sistemas siempre dentro de los parmetros ptimos.
5.1.4. Exposicin al agua

Se han tomado las medidas adecuadas para prevenir la exposicin al agua de los equipos y el cableado.
5.1.5. Medidas contra incendios e inundaciones.

Las instalaciones del CORPME disponen de sistemas avanzados de deteccin y extincin de incendios, estando tambin acondicionadas para garantizar la estanqueidad de las salas que contienen el equipamiento de proceso de datos frente a inundaciones accidentales o catastrficas.
5.1.6. Poltica de Respaldo de Informacin.

El CORPME ha definido polticas detalladas y exhaustivas para la realizacin de copias de respaldo, y para la conservacin de los soportes de informacin respaldada. La informacin de respaldo es almacenada en las propias instalaciones del CORPME, y fuera de stas, en una ubicacin segura concertada con una empresa especializada, a fin de garantizar una rpida recuperacin ante desastres. En el almacenamiento interno y externo de la informacin de respaldo, se aplican todas las medidas legales y reglamentarias en materia de proteccin de datos.
5.1.7. Eliminacin de residuos

Se ha adoptado una poltica de gestin de residuos que garantiza la destruccin de cualquier material que pudiera contener informacin, as como una poltica de gestin de los soportes removibles.
5.2. CONTROLES DE PROCEDIMIENTO

Por razones de seguridad, la informacin relativa a los controles de procedimiento se considera materia confidencial y slo se incluye una parte de la misma. PKI de CORPME procura que toda la gestin, tanto la relativa a los procedimientos operacionales como a la de administracin, se lleve a cabo de forma segura, conforme a lo establecido en este documento, realizando auditoras peridicas. Asimismo, se ha diseado una segregacin de funciones para evitar que una sola persona pueda conseguir el control total de la infraestructura.
5.2.1. Roles responsables del control y gestin de la PKI

Se distinguen los siguientes responsables para el control y gestin del sistema: Administrador de Sistemas: responsable del funcionamiento de los sistemas que componen la PKI, del hardware y del software base. La responsabilidad de este perfil incluye, entre otros, la administracin del sistema de base de batos, del repositorio de informacin y de los sistemas operativos.

Administrador del HSM: Asegurar la proteccin de las claves de la PKI y activacin de las mismas cuando los servicios de la PKI lo requieran. Administrador de Seguridad: Responsables de la gestin e implementacin de las Polticas y Prcticas de Seguridad, establecido en la presente DPC y en las PCs asociadas. Operador del Registro: responsable de las tramitaciones de peticiones de los certificados y de la aceptacin por sus suscriptores de las condiciones de uso.
5.3. CONTROLES DE PERSONAL

5.3.1. Requisitos profesionales relativos a la cualificacin, conocimiento y experiencia
Todo el personal que preste sus servicios en el mbito de la PKI del CORPME deber poseer el conocimiento, experiencia y formacin suficientes, para el mejor cometido de las funciones asignadas. Para ello, el CORPME llevar a cabo los procesos de seleccin de personal que estime precisos con objeto de que el perfil profesional del empleado se adecue lo ms posible a las caractersticas propias de las tareas a desarrollar.
5.3.2. Procedimientos de comprobacin de antecedentes

Segn los procedimientos de seleccin de personal establecidos por el CORPME.
5.3.3. Requerimientos de formacin

Segn los procedimientos establecidos por el CORPME. En particular, el personal relacionado con la explotacin de la PKI, recibir la formacin necesaria para asegurar la correcta realizacin de sus funciones. Se incluyen en la formacin los siguientes aspectos: Entrega de una copia de la DPC. Concienciacin sobre la seguridad fsica, lgica y tcnica Operacin del software y hardware para cada papel especfico. Procedimientos de seguridad para cada rol especfico. Procedimientos de operacin y administracin para cada rol especfico. Procedimientos para la recuperacin de la operacin de la PKI en caso de desastres.
5.3.4. Requerimientos y frecuencia de actualizacin de la formacin

Segn los procedimientos establecidos por el CORPME.

5.3.5. Frecuencia y secuencia de rotacin de tareas

No estipulado.
5.3.6. Sanciones por actuaciones no autorizadas

Todos los puestos dentro del CORPME tienen claramente asignadas funciones y responsabilidades, as como requerimientos y controles de seguridad aplicables a cada funcin dentro la organizacin. Los requerimientos de seguridad habrn de ser firmados y aceptados por el trabajador, realizndose controles, tanto peridicos como aleatorios de su cumplimiento por parte del CORPME. El incumplimiento, doloso o culposo, de las obligaciones especficas del empleado en materia de seguridad, dar lugar a las acciones disciplinarias procedentes, incluido el despido, adems de las acciones civiles o penales a las que hubiere lugar atendidas la gravedad y reiteracin de las infracciones. El CORPME dispondr una normativa interna en materia de seguridad, estableciendo mecanismos de control y disciplinarios para asegurar su estricto cumplimiento por parte de los empleados del servicio. Entre otras obligaciones, las normas exigibles al personal contemplarn las siguientes: Prohibicin de cualquier uso de los activos e instalaciones del CORPME para la realizacin de actividades ilegales, ilcitas o que atenten contra la moral y los derechos de terceros. Prohibicin de disponer para usos ajenos a la actividad del empleado, de cualquier clase de informacin o documentacin considerada sensible o confidencial, as como de transmitir hacia el exterior, o introducir dicha informacin en soportes de datos susceptibles de ser extrados clandestinamente de las instalaciones del CORPME. Obligacin de secreto y confidencialidad respecto de las informaciones a las que hubiera tenido acceso el trabajador en el desempeo de sus funciones, incluso despus de finalizada la relacin contractual. Prohibicin absoluta de revelar a un tercero, incluso dentro de la propia organizacin, cualquier contrasea y dems datos de acceso necesarios para acceder a sistemas y aplicaciones del CORPME. El usuario que hiciera cesin de sus datos de acceso ser personalmente responsable del uso que se haga de los mismos. Prohibicin de cualquier intento de vulneracin o ataque contra elementos o sistemas de seguridad, que tienda a la averiguacin de claves de acceso, independientemente del mtodo utilizado, o al copiado, edicin o eliminacin de programas, ficheros o informaciones contenidas en otros equipos situados dentro de la red corporativa, o fuera de sta. Prohibicin del abuso del correo electrnico corporativo en usos no relacionados con la actividad profesional, en particular el envo de correos masivos (SPAM) con finalidad comercial o publicitaria. Prohibicin del uso abusivo de los recursos de red corporativos para finalidades no relacionadas directamente con la actividad laboral. En particular se prohbe expresamente la utilizacin de programas de descarga de ficheros del tipo P2P (peer to peer). Prohibicin de la instalacin de cualquier software que no cuente con la correspondiente licencia de uso, y de la desinstalacin no autorizada de software legal instalado en el equipo del empleado, y configurado por el personal del CORPME.

Prohibicin de acceder sin autorizacin, a cualquier clase de informacin sobre personas fsicas o jurdicas, as como de incorporar datos personales sobre tales personas en ficheros automatizados sin autorizacin por escrito del CORPME. Se prohbe asimismo la realizacin de cualquier tipo de tratamiento sobre los datos incorporados a los ficheros de datos de carcter personal, para elaborar perfiles de usuario que permitan inferir datos sensibles objeto de mayor proteccin que aquellos de los que se infieran. Observancia del procedimiento definido para la eliminacin de residuos, borrado seguro de soportes de datos y destruccin de documentacin obsoleta o incorrecta, cualquiera que sea su clase. Cesin en exclusiva al CORPME de cualesquiera derechos de propiedad intelectual, industrial y patentes, sobre los trabajos, programas, desarrollos, anlisis, metodologas y en general cualquier producto derivado de la actividad del empleado constante la relacin laboral.
5.3.7. Requisitos de contratacin de terceros

Se aplicar la normativa general de las entidades del CORPME para las contrataciones.
5.3.8. Documentacin proporcionada al personal

Se facilitar el acceso a la normativa de seguridad de obligado cumplimiento junto con la presente DPC y las contenidas en las PC que sean de aplicacin.

6.
CONTROLES DE SEGURIDAD TCNICA
Adicionalmente a los controles de seguridad fsica establecidos en las instalaciones del CORPME, y de las medidas de seguridad implantadas para proteccin de los Datos utilizados para la prestacin del Servicio, el CORPME someter su actividad a los ms estrictos controles de seguridad tcnica que aseguren el cumplimiento de los ms elevados estndares de calidad y fiabilidad, de conformidad con la normativa de aplicacin y los estndares tcnicos y de mercado.
6.1. GENERACIN DE LAS CLAVES DEL SERVICIO

Tanto el Certificado Raz como las claves secundarias de las autoridades de certificacin Interna y Externa del CORPME, se han generado siguiendo los procedimientos y formalidades definidos en la Ceremonia de Claves previa al inicio de la actividad de Prestador, con intervencin personal del Director del Servicio, y la presencia de miembros de la Junta de Gobierno en calidad de testigos del acto de generacin. Las Claves del Servicio han sido generadas directamente en el interior de un dispositivo criptogrfico seguro, certificado como FIPS 140-1, de nivel 3, utilizando algoritmos RSA con una longitud de clave de 2048 bits, y de 4096 bits en caso de la CA Raz. La custodia de los datos de creacin de firma de la CA Raz y subordinadas corresponde al Director del Servicio, encontrndose el dispositivo contenedor de las claves en una caja fuerte de alta seguridad. El periodo de vigencia para las claves del servicio se ha restringido por motivos de seguridad a un mximo de 12 aos, aun cuando los estndares permiten una vigencia superior que podr llegar a 20 aos. El CORPME, una vez agotado el periodo de validez de las Claves del Servicio (Raz y Secundarias), almacenar de manera segura las mismas, a fin de impedir su ulterior utilizacin. Procediendo, de conformidad con los protocolos definidos para la Ceremonia de Claves, a la generacin de unas nuevas claves del Servicio.
6.2. GENERACIN DE LAS CLAVES DE SUSCRIPTOR

Las claves de suscriptor, que tendrn una longitud mnima de 1024 bits, son generadas siempre durante la comparecencia del solicitante en la Unidad de Tramitacin y con su intervencin personal en el proceso de asignacin de claves. La generacin se realiza en todo caso dentro de un dispositivo criptogrfico con un nivel de seguridad certificado como: FIPS 140-1 nivel 2, o superior, CC EAL4+ u otro con caractersticas anlogas. Los dispositivos utilizados para la custodia de la clave privada del suscriptor se ajustarn, como mnimo, a los niveles de seguridad definidos por el Comit Europeo de Normalizacin en su acuerdo CWA 14169 (Cen Workshop Agreement) relativo a los requisitos de seguridad aplicables a Dispositivos Seguros de Creacin de Firma. La liberacin de la clave privada para las funciones de firma y autenticacin se realizar mediante la introduccin de una contrasea que el propio suscriptor asignar durante la comparecencia ante la Unidad de Tramitacin.

6.3. DISTRIBUCIN DE LA CLAVE PBLICA DE LA AUTORIDAD DE CERTIFICACIN

Tanto la Clave Principal o Raz del Servicio, como las correspondientes a las autoridades de certificacin subordinadas de la Clave Secundaria de Internos y Externos, estarn permanentemente disponibles para su descarga desde la pgina Web: http://www.scregistradores.com y en el portal del CORPME (http://www.registradores.org).
6.4. DISTRIBUCIN DE LA CLAVE PBLICA DE SUSCRIPTOR

La clave pblica de cualquier suscriptor de certificados digitales emitidos por el CORPME podr descargarse libremente del Directorio de Certificados del CORPME.
6.5. PERIODO DE UTILIZACIN DE LA CLAVE PRIVADA

El periodo de utilizacin de la clave privada ser en general el mismo que el de vigencia del certificado. No obstante lo anterior, y con reflejo en la poltica de certificacin correspondiente, podr establecerse mediante la introduccin de una extensin dentro del estndar X509 v.3, un periodo de uso de la clave privada ms reducido que el de vigencia del certificado, en aquellos casos en que la representacin o atributo certificado ostentado por el suscriptor tenga un vencimiento conocido y anterior a la caducidad del propio certificado. En estos casos, el periodo de vigencia del certificado se limitar al de validez del mismo, es decir, al de la vigencia del atributo representado.

7.
POLTICA DEL CORPME EN MATERIA DE PROTECCIN DE DATOS
7.1. MARCO LEGAL APLICABLE

La poltica del CORPME en materia de Proteccin de datos personales se desarrollar de conformidad con la normativa tanto nacional como comunitaria vigente en la materia: Ley Orgnica 15/1999 de 13 de diciembre, de Proteccin de Datos de Carcter Personal. Real Decreto 1720/2007, de 21 de noviembre, por el que se regulan las medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal. Directiva 95/46/CE, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de los datos personales y a la libre circulacin de esos datos. Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las telecomunicaciones.
7.2. PROTECCIN DE DATOS APLICABLE A LA ACTIVIDAD DEL CORPME

El CORPME, proteger los Ficheros que contengan Datos de Carcter Personal de conformidad con lo dispuesto en la legislacin vigente, en particular la LOPD 15/1999, y el Reglamento de Medidas de Seguridad aprobado mediante RD 994/1999. Salvo en lo relativo a los Certificados Reconocidos de Registrador, y a los Certificados Reconocidos de Representante de Persona Jurdica, en tanto que estos contengan informacin societaria publicable en el Registro Mercantil, los ficheros de datos utilizados en la gestin del servicio de certificacin tendrn carcter privado. Los datos obrantes en los Registros Pblicos y que en virtud de las Polticas de Certificacin se incorporen a los certificados del CORPME, sern tratados de estricta conformidad con la poltica de Proteccin de Datos del Colegio de Registradores de Espaa, titular de los Ficheros de Datos que contienen la informacin relativa a sociedades y sus representantes. El CORPME ser respecto de los datos contenidos en los ficheros pblicos de informacin mercantil, responsable nicamente de su tratamiento, el cual se realizar de conformidad y con las garantas definidas en la legislacin vigente. La creacin, alteracin y destruccin de los ficheros que contengan datos de carcter personal ser oportunamente notificada al Registro General de Proteccin de Datos, puesto a cargo de la Agencia Espaola de Proteccin de Datos. La titularidad de los ficheros de datos de carcter personal recabados con ocasin de la prestacin del Servicio de Certificacin, sern de titularidad del CORPME quien proceder a su inscripcin y mantenimiento de conformidad con el rgimen aplicable. Las Unidades de Registro situadas en los Registros Mercantiles y otros puntos de registro que el Colegio de Registradores pueda autorizar previo acuerdo de la Junta de Gobierno del CORPME, en cuanto tengan acceso a documentos y datos de carcter personal de los solicitantes y suscriptores de

certificados, para la realizacin de sus funciones, ostentarn respecto de dichos datos la consideracin de Responsables de su tratamiento, el cual de conformidad con el artculo 12 de la LOPD, a lo establecido a continuacin. Adems, las Unidades de Tramitacin, en cumplimiento con lo establecido en los artculos 7, 9 y 12 de la LOPD se comprometen a: Acceder a los ficheros y datos de carcter personal cuya titularidad corresponda al CORPME, nicamente en la medida en que dichos datos sean necesarios para su actividad como Autoridad de Registro, y en consecuencia darles el uso que corresponda excluyendo cualquier otro. Realizar el acceso a los datos y su tratamiento, de conformidad con lo dispuesto en esta DPC, el Reglamento del SCR, y las instrucciones recibidas de la Comisin Directora. A no divulgar los datos de carcter personal a los que tuviera acceso durante la realizacin de sus funciones, as como a proteger el derecho al honor y a la intimidad de los afectados. A adoptar y cumplir las medidas tcnicas y organizativas precisas para garantizar la seguridad de los Sistemas, Ficheros, personas y procesos en los que se realice un acceso o tratamiento de Datos de Carcter Personal. Dichas medidas quedarn reflejadas en el documento de seguridad definido en el Real Decreto de Medidas de Seguridad 1720/2007. A utilizar en su comunicacin con el CORPME nicamente canales de comunicacin seguros y protegidos mediante cifrado, as como los mecanismos de autenticacin necesarios para el aseguramiento de la confidencialidad de las transmisiones. A restituir o eliminar, de conformidad con las instrucciones recibidas del responsable del Fichero, los datos personales de los que estuviese en posesin a la finalizacin de la relacin con el CORPME, en caso de que por decisin de la Junta de Gobierno del Colegio de Registradores, ejecutada por la Comisin Directora del SCR de conformidad con el Reglamento del Servicio, alguna Unidad de Tramitacin dejara de serlo. A recabar de Solicitantes y Suscriptores de certificados, en los procesos ante la Unidad de Tramitacin, el consentimiento expreso para el tratamiento de sus datos personales, en cuanto resulte necesario para la prestacin del Servicio de Certificacin. Guardando constancia de dicho consentimiento a los efectos oportunos. En cualquier caso, y sin perjuicio de las autorizaciones expresas que oportunamente se soliciten del afectado en formularios y documentos del Servicio, se presumir, en tanto que imprescindibles para la prestacin del Servicio de Certificacin solicitado, que el solicitante o el suscriptor otorga su consentimiento para el tratamiento de sus datos personales, nicamente en lo que se refiera a la prestacin de dicho servicio. La comunicacin a terceros que confan en certificados digitales emitidos por el CORPME de los datos personales incorporados a dichos certificados, y que se publican en el Directorio de Certificados del CORPME. Se realizar de conformidad con lo dispuesto en el Artculo 11 de la LOPD. En tal sentido, el Suscriptor consiente, como presupuesto de la efectividad jurdica del servicio de certificacin provisto por el CORPME, la publicacin en el Directorio de Certificados de los datos personales asociados a la clave pblica del certificado, la cual constituye para cualquier tercero el medio de verificacin de la firma del suscriptor. El acceso a la informacin contenida en la aplicacin Agenda, que gestiona las citas para la emisin y renovacin de certificados en las Unidades de Tramitacin, y en las Listas de Revocacin podr realizarse por los terceros de buena fe, nicamente a los indicados efectos de verificacin de la firma electrnica del suscriptor, prohibindose cualquier acceso a dichos datos y su recopilacin para su posterior tratamiento y utilizacin para fines distintos a los descritos. Las infracciones consistentes en el volcado de datos, y su posterior tratamiento y uso para fines distintos a los autorizados, sern sancionables con multa de hasta 600.000 euros, y podrn dar lugar a las acciones penales y civiles procedentes.

En cualquier caso se garantiza a los Solicitantes y Suscriptores de Certificados Digitales del CORPME el libre ejercicio de los derechos de Acceso, Rectificacin, Cancelacin y Oposicin, previstos en la LOPD. El afectado deber dirigir su solicitud al CORPME por escrito a la direccin postal del Servicio que figura en el apartado correspondiente de esta DPC.
7.3. DOCUMENTO DE SEGURIDAD

7.3.1. Definicin y alcance del Documento de Seguridad del CORPME
El CORPME y a los nicos efectos de la prestacin del Servicio de Certificacin, recaba durante el proceso de registro de usuario del solicitante en la agenda: (https://www.registradores.org/scr/agenda), o durante el proceso de emisin de certificados en la comparecencia personal del solicitante ante la Unidad de Tramitacin, determinados datos personales de los Solicitantes y Suscriptores. Como consecuencia del acceso y tratamiento que realiza de los referidos datos de carcter personal de los solicitantes y suscriptores, para la prestacin del Servicio de Certificacin el CORPME deber adoptar las medidas de seguridad requeridas de conformidad con lo dispuesto en el Real Decreto 1720/2007, elaborando un documento de seguridad a tal efecto. El documento de seguridad define y regula la aplicacin de las medidas organizativas y de tipo tcnico que garanticen la seguridad de los datos incorporados a los Ficheros de datos de los que el CORPME sea responsable. Disponiendo lo necesario para su conservacin, salvaguarda de su integridad, confidencialidad y utilizacin legtima de acuerdo con el fin para el que fueron recabados. Las medidas aplicables en virtud del Documento de Seguridad, se extendern a las distintas reas de actividad del CORPME como Autoridad de Certificacin que emite Certificados Digitales Reconocidos, as como a las Unidades de Tramitacin que de conformidad con el Reglamento y la presente Declaracin de Prcticas de Certificacin desarrollen funciones de Autoridad de Registro. Todos los empleados del CORPME que tengan por razn de su actividad cualquier contacto directo o indirecto, habitual o incidental, con datos de carcter personal, o que participen de algn modo de su tratamiento, estarn vinculados por las polticas y controles definidos en el Documento de Seguridad. Se notificar por escrito a cada empleado el mbito de sus responsabilidades en materia de proteccin de datos, as como los procedimientos y controles aplicables que le incumben en funcin de su puesto dentro de la organizacin. El empleado firmar a la recepcin de la documentacin de seguridad un documento que acredita su conocimiento y aceptacin de las referidas obligaciones y responsabilidades que asume. El documento de Seguridad del CORPME tiene el siguiente contenido: Directrices Generales de Seguridad, donde se enumeran las directrices generales de seguridad a implantar para las actividades relacionadas con la salvaguardia y seguridad de los Ficheros automatizados con Datos de Carcter Personal. Organizacin de Seguridad, donde se estructura y dimensiona la organizacin de seguridad que el CORPME establece para salvaguardar y asegurar la confidencialidad de todos los datos de carcter personal que maneja. Sistemas de Informacin, donde se identifican y describen los Sistemas de Informacin dependientes del CORPME a travs de los cuales se realiza un tratamiento de Datos de Carcter Personal.

Normativa y Procedimientos, donde se definen y describen un conjunto de Normas y Procedimientos necesarios y obligatorios para salvaguardar la informacin y asegurar la confidencialidad de los Datos de Carcter Personal de los Sistemas de Informacin del CORPME.
7.3.2. Roles en la ejecucin de las polticas de seguridad y proteccin de datos.

El rgano responsable de la definicin y ejecucin de las polticas de seguridad es el Comit de Seguridad del CORPME el cual est constituido por: El Responsable Sistemas de Informacin del CORPME Responsable de Seguridad LOPD del CORPME Los Responsables de Explotacin de las instalaciones del CORPME Los Responsables departamentales de Ficheros con DCP As mismo tendrn participacin en el Comit de Seguridad los Registradores integrantes de las comisiones de trabajo del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de Espaa, en las reas de afinidad a la Proteccin de Datos. Las funciones del Comit de Seguridad sern, entre otras, las siguientes: Estudio y anlisis de las estrategias de seguridad. Designar al Responsable de Seguridad del CORPME para que coordine y controle la ejecucin de las medidas de seguridad, normas y procedimientos definidos en este Documento de Seguridad. El Responsable de Seguridad, una vez nombrado, pasar a ser miembro del Comit de Seguridad. Anlisis de las propuestas de modificacin del Documento de Seguridad que elabore el Responsable de Seguridad. Anlisis de las medidas correctoras a implantar, derivadas de los informes de auditora que se realicen peridicamente en materia de seguridad de Datos de Carcter Personal. Revisin de los informes de verificacin del correcto cumplimiento de lo dispuesto en el Documento de Seguridad LOPD, que emita el Responsable de Seguridad. Anlisis de los informes explicativos de aquellas incidencias que afecten de manera grave a los Sistemas de Informacin, que emita el Responsable de Seguridad. Seguimiento de los diferentes Planes de Seguridad que se definan. Tratar cualquier otro tema que se considere de inters en materia de seguridad informtica. Sin perjuicio de la mxima responsabilidad en materia de proteccin de datos que ostenta el Comit de Seguridad, sern responsables de la implantacin de las medidas objeto del documento de seguridad, en el mbito de sus respectivas funciones, el Responsable del fichero y el Responsable de Seguridad.

7.3.2.1.
Responsable del Fichero
El CORPME ser Responsable de los Ficheros de datos personales a los que con ocasin del desempeo de sus funciones como Prestador de Servicios de Certificacin, tenga acceso. Las funciones que el Reglamento de Medidas de Seguridad pone a Cargo del Responsable del Fichero, sern desempeadas por el responsable de cada departamento en el que se hayan de implantar medidas y controles de seguridad de conformidad con el documento de seguridad. Las funciones del Responsable del Fichero son, entre otras, las que siguen: Elaborar e implantar el Documento de Seguridad de los Ficheros automatizados que contienen DCPs en el mbito de su respectivo departamento. Adoptar las medidas necesarias para que el personal que accede a los Sistemas de Informacin con DCPs, conozca las normas de seguridad que afectan al desarrollo de sus funciones, as como las consecuencias en que puede incurrir en caso de incumplimiento. Esta tarea la realiza en colaboracin con el Responsable de Seguridad. Autorizar por escrito la ejecucin de los procesos de recuperacin de DCPs, segn lo establecido en el Procedimiento de Recuperacin de Datos de Carcter Personal. Establecer los criterios a seguir a la hora de conceder, alterar o anular el acceso autorizado de usuarios a los Sistemas de Informacin que manejan DCPs en el CORPME. Autorizar la salida de soportes informticos que contengan Datos de Carcter Personal fuera de los locales donde se ubica el fichero, segn los Procedimientos de Salida de Soportes Informticos con Datos de Carcter Personal. Autorizar el uso de DCPs reales en las pruebas de las aplicaciones que manejan los ficheros con DCPs. Adoptar las medidas correctoras pertinentes para solventar las deficiencias que en materia de seguridad de DCPs se detecten tras la realizacin de las auditorias peridicas, tanto internas como independientes que habrn de realizarse. Autorizar los accesos, modificacin y supresin de DCPs, solicitadas por los titulares de los datos segn se describe en el Procedimiento de Ejecucin de los Derechos de Acceso, Modificacin y Supresin de DCPs. Si se diera el caso, incluir en los contratos de prestacin de servicios que impliquen acceso a DCPs, las clusulas que establezcan las obligaciones de la empresa que presta el servicio respecto a la seguridad de los DCPs que maneja. 7.3.2.2. Responsable de Seguridad
El Responsable de Seguridad coordina y controla todas las tareas y actividades que en materia de seguridad de DCPs se realicen en el CORPME. Asimismo se responsabiliza de la definicin, implantacin y supervisin de las Normas y Procedimientos que afectan a los Ficheros con DCPs. Las funciones asignadas al Responsable de Seguridad del CORPME son las siguientes: Notificar para su inscripcin en el Registro General de Proteccin de Datos, la creacin, modificacin y cancelacin de los ficheros automatizados que contengan Datos de Carcter Personal. Mantener actualizado el Inventario de Ficheros con datos de carcter personal.

Colaborar con el Responsable de Fichero en la definicin de una coleccin de perfiles de usuario, donde se especifiquen las opciones de acceso permitido y el tipo de acceso requerido (actualizacin o consulta) a las aplicaciones que tratan los ficheros. Concretar los datos tcnicos y administrativos para cumplimentar las peticiones de administracin de usuarios derivadas de las necesidades manifestadas por los Responsables de las reas Usuarias. Autorizar las altas, bajas y modificaciones de acceso de los usuarios a los Sistemas de Informacin que manejan DCPs, siguiendo los criterios que para ello determine el Responsable de Fichero. Procesar la peticin de usuarios mediante el mecanismo habilitado de actualizacin de identificados y contrasea de acceso. En la emisin de Datos de Carcter Personal desde el CORPME, solicitar al Responsable de Ficheros, la preceptiva autorizacin para la salida de soportes que contengan datos de carcter personal. Participar en los procesos de recuperacin de DCPs, segn lo establecido en el Procedimiento de Copias de Respaldo y Recuperacin de Datos: o Verificar la definicin y aplicacin del Procedimiento de realizacin de Copias de Respaldo y Recuperacin de Datos. Comunicar al Responsable de Ficheros la necesidad de recuperacin de datos para obtener la autorizacin a la misma. Participar en la toma de decisiones asociadas a las recuperaciones de datos.
Asesorar, en la definicin de requisitos, sobre las medidas de seguridad que deben adoptarse en el desarrollo de aplicaciones que manejen DCPs. Validar que se han implantado los requisitos de seguridad necesarios. Mantenimiento actualizado del Documento de Seguridad LOPD: o Definir y establecer las Normas y Procedimientos que en materia de seguridad afecten a los Ficheros automatizados con DCPs. Mantener actualizadas las Normas y Procedimientos que en materia de seguridad afecten a los ficheros automatizados con DCPs. Mantener actualizada dentro del mbito del Documento de Seguridad la informacin relativa a los Sistemas de Informacin que contienen DCPs. Estar informado de los cambios que puedan producirse en las disposiciones legales sobre el tratamiento de Datos de Carcter Personal, y proponer medidas de adecuacin a dichos cambios, y en particular a los cambios que alteren el Documento de Seguridad.
Verificacin del cumplimiento de lo dispuesto en el Documento de Seguridad LOPD: o Verificar peridicamente, segn la Normativa para regular los controles peridicos para verificar lo dispuesto en el Reglamento, el correcto cumplimiento de las actuaciones que en materia de seguridad de DCPs se realicen en el CORPME.

Elaborar informes de verificacin del cumplimiento de lo dispuesto en el Documento de Seguridad del CORPME y presentarlos, si lo estima conveniente, a la Comisin de Seguridad. Creacin, modificacin y supresin de ficheros Preparar las disposiciones de publicacin en el BOE de la creacin, modificacin o supresin de ficheros del CORPME que contengan DCPs y sean de titularidad pblica. Comprobar peridicamente la coherencia de la informacin contenida en el Inventario de Ficheros con DCPs con la existente en el Documento de Seguridad LOPD.
o o
Colaboracin en las Auditoras de Seguridad: o Controlar que la Auditora de Seguridad LOPD se realice al menos cada dos aos para los ficheros de nivel MEDIO Y ALTO, en caso de existir alguno. Trasladar los informes de auditora que peridicamente se realicen, al Responsable de Fichero. Analizar los informes de Auditora y si lo considera necesario, elevar las medidas correctoras a implantar a la Comisin de Seguridad para su aprobacin. Confirmar la existencia en el informe de auditora, de una valoracin sobre el nivel de adecuacin de las medidas y controles al Reglamento de Medidas de Seguridad de la LOPD, identificando sus deficiencias y proponiendo las medidas correctoras o complementarias necesarias e incluyendo los hechos y observaciones en que se basen los dictmenes alcanzados y las recomendaciones propuestas.
Gestin de la Seguridad de los Sistemas de Informacin: o Supervisar y mantener actualizados los registros de usuarios con acceso autorizados a los sistemas de informacin. Supervisar y analizar las incidencias de seguridad acaecidas en el CORPME en relacin con la seguridad de los ficheros automatizados con DCPs. Dictaminar medidas cuya aplicacin minimice y/o elimine las incidencias acaecidas. Revisar peridicamente la informacin de control registrada sobre los accesos de los usuarios a los Sistemas de Informacin (trazas de LOG) y elaborar peridicamente (al menos una vez al mes) un informe de las revisiones realizadas y los problemas detectados. Reuniones de la Comisin de Seguridad: Asistir y participar en las reuniones de la Comisin de Seguridad. Presentar las propuestas que estime necesarias de modificacin del Documento de Seguridad LOPD. Presentar los informes correspondientes a: o o Auditoras de seguridad realizadas. Verificacin del cumplimiento de lo dispuesto en el Documento de Seguridad LOPD.
o o

Incidencias de carcter grave ocurridas que afecten a la seguridad de los Datos de Carcter Personal. Presentar cualquier otra propuesta de medidas y actuaciones relativas a la seguridad de los Datos de Carcter Personal.
7.3.3. Medidas, y procedimientos de seguridad a implantar en ejecucin del RD 1720/2007.

A fin de cumplir con lo dispuesto en el art. 8 del Reglamento de Medidas de Seguridad se implantarn las medidas de seguridad siguientes: 7.3.3.1. Medidas de control de acceso a las instalaciones del CORPME.
Como se describi en el apartado correspondiente, el CORPME dispone de controles y medidas de seguridad para restringir el acceso de personas ajenas al servicio a las dependencias del CORPME. Adems de las medidas preventivas, el CORPME llevar un registro de acceso a las salas de equipos de proceso de datos que sirvan de soporte a la actividad de prestador de servicios de certificacin. Dentro de las medidas de seguridad y control de accesos se definir una poltica de control de llaves y Tarjetas de Identificacin, correspondiendo la custodia de las llaves no expresamente asignadas, y la autorizacin para la copia y depsito de las mismas al Responsable de Seguridad. En la poltica se establecern tambin los requisitos de seguridad aplicables en materia de identificacin y custodia de llaves. 7.3.3.2. Medidas de control de acceso a la informacin: Poltica de Permisos
El CORPME elaborar un inventario de puestos con sus correspondientes niveles de autorizacin para el acceso y tratamiento de DCPs. Las autorizaciones de acceso se vincularn adems de a usuarios concretos, a determinados equipos de proceso de datos, cuya ubicacin y configuracin por defecto estar orientada a asegurar la confidencialidad y proteccin de los DCPs. La autorizacin de accesos a los datos contenidos en un fichero corresponde al Responsable del Fichero. Los Responsables de Ficheros o las personas en quien estos deleguen, son los nicos con competencia para conceder, alterar o anular los accesos autorizados a los sistemas. El Responsable de Seguridad, en colaboracin con los Responsables de Fichero y Responsables Operativos, establecer para cada sistema informtico una segmentacin de los accesos mediante la definicin de perfiles de usuarios, donde se especifique las opciones de acceso permitidas y el tipo de acceso requerido (actualizacin o consulta). Cada uno de los usuarios estar asignado a un perfil por cada sistema al que tenga acceso, de manera que exclusivamente tenga acceso autorizado a los recursos que precisa para desempear su funcin. Cada usuario con acceso a los sistemas de la PKI, tendr un llavero criptogrfico con un certificado con las credenciales para acceder a los sistemas permitidos con los permisos correspondientes. Cada acceso autorizado a los SS.II. deber estar identificado unvocamente con el usuario correspondiente. La generacin de altas y bajas de usuario, as como la modificacin de derechos de acceso de los usuarios, se tramitarn exclusivamente a travs del medio establecido y siguiendo el procedimiento de administracin de usuarios.

De cualquier modo, existir un registro actualizado de los usuarios con acceso autorizado para cada sistema de informacin, al que tendr acceso el Responsable de Seguridad en sus labores de verificacin y control. El registro de usuarios de cada sistema deber contemplar al menos la siguiente informacin: Nombre de usuario. Cargo y puesto que desempea en el CORPME. Perfil de usuario. 7.3.3.3. Accesos autorizados y Poltica de Contraseas Todos los usuarios con acceso a un sistema de informacin, dispondrn de una nica autorizacin de acceso compuesta de identificador de usuario y contrasea. En los SS.II. se deber habilitar un mecanismo que exija, como mnimo cada 60 das, el cambio de la contrasea para cada autorizacin de acceso. La longitud de las contraseas ser igual o superior a 8 caracteres. El sistema de informacin, si lo permite, obligar al uso de esta longitud mnima de contrasea. Las contraseas estarn constituidas por combinacin de caracteres alfabticos y numricos y no har referencia a ningn concepto, objeto o idea reconocible. Por tanto, se debe evitar utilizar en las contraseas fechas significativas, das de la semana, meses del ao, nombres de personas, telfonos, etc. El sistema se inhabilitar para aquellos usuarios que intenten conectarse de forma consecutiva mediante identificadores y/o contraseas incorrectas. El nmero mximo de intentos permitidos ser de 3. Cuando un usuario tenga un periodo de inactividad en el acceso a un sistema de informacin mayor de 75 das, siempre que tecnolgicamente sea posible, se bloquear la cuenta correspondiente. El sistema almacenar mediante algoritmos de cifrado las contraseas, con el objeto de garantizar la confidencialidad e integridad de las mismas. 7.3.3.4. Registro de la informacin de acceso
Los SS.II. que manejen DCPs de nivel alto mantendrn automticamente un fichero de registro (LOG) cuyo contenido se conservar al menos durante dos aos y en el que se registrar como mnimo la siguiente informacin: Identificacin de usuario que accede. Fecha y hora en que realiz el acceso. Fichero accedido. Tipo de acceso. Acceso autorizado o denegado. Clave u otra informacin que identifique los registros accedidos por el usuario.

Los mecanismos que permiten el registro de los datos son competencia directa del Responsable de Seguridad, sin que se deba permitir en ningn caso, la desactivacin de los mismos. 7.3.3.5. Medidas de Seguridad para la gestin de soportes de almacenamiento fsico de datos.
El acceso a los soportes que contengan DCPs, deber restringirse quedando nicamente a disposicin de los usuarios autorizados. El almacenamiento deber realizarse en locales adecuados en cuanto a las medidas de control ambiental y control de acceso fsico. La conservacin de los soportes deber realizarse de manera sistemtica, de conformidad con una poltica de identificacin e inventariado llevada a cabo por uno o ms empleados especializados que actuarn como responsables de la gestin de soportes. 7.3.3.6. Medidas de Seguridad aplicables a Sistemas Informticos y redes de comunicaciones.
El Responsable de Seguridad ser el nico autorizado para definir los procedimientos de asignacin de permisos de uso y de accesos a los sistemas y redes de datos que permitan el acceso a los DCPs, de conformidad con los niveles de criticidad de los datos de que se trate, y de la propia estructura organizacional del CORPME. El uso de sistemas y el acceso a travs de una red de datos a los DCPs deber estar condicionado a la posesin legtima e introduccin correcta de los datos de acceso (nombre de usuario y contrasea) asignados al empleado del CORPME en razn a la funcin que desempea y de acuerdo con la presente declaracin de prcticas de certificacin. Los intentos fallidos de acceso fraudulento, los cuales estarn en cualquier caso limitados a un nmero reducido de intentos a fin de evitar los ataques de fuerza bruta, sern objeto de registro a fin de poder ser investigados y perseguidos, guardndose la fecha, hora, cdigo y claves errneas que se han introducido, as cualquier otra informacin que permita identificar al responsable del acceso fallido. 7.3.3.7. Estructura de los Ficheros con datos de carcter personal.
Los ficheros que contengan datos de carcter personal sern comunicados y registrados oportunamente en el Registro de Ficheros de la Agencia Espaola de Proteccin de Datos. La estructura de los mismos as como el nivel de los datos que contienen sern los definidos en la comunicacin y registro inicial, correspondiendo la aprobacin de cualquier modificacin, y su comunicacin a la Agencia Espaola de Proteccin de Datos al Responsable de Seguridad. 7.3.3.8. Gestin de Incidencias.
Se habilitar un registro de incidencias del Servicio bajo la supervisin del Responsable de Seguridad, donde quedarn anotadas todas las incidencias surgidas con ocasin de la prestacin del Servicio. En dicho Registro se anotar tambin la notificacin de la incidencia al departamento que corresponda, para su indagacin sobre la misma, registrndose as mismo el resultado de las gestiones practicadas para la resolucin de la misma. La falta de comunicacin por parte del empleado que tuviera conocimiento de una incidencia en el servicio, al departamento correspondiente, constituir una falta sancionable disciplinariamente. El Registro de incidencias deber incluir, al menos, la informacin siguiente: Fecha y hora de ocurrencia, descripcin detallada de la misma, identidad de quien notifica la incidencia y de quien toma cuenta de ella; gravedad, estimada, de la incidencia; y respuesta ofrecida, una vez sea atendida.

7.3.3.9.
Procedimientos de copias de seguridad y recuperacin de datos
Adems de garantizar la confidencialidad de los datos de carcter personal, es preciso tambin disponer las medidas y controles necesarios para asegurar la integridad y la disponibilidad de dichos datos para los fines a los que sirven. Congruentemente con lo expuesto se articularn procedimientos de copia de seguridad de tipo correctivo que permitan la recuperacin de los datos en caso de eliminacin accidental o maliciosa, corrupcin de los ficheros o cualquier causa que haga imposible el acceso legtimo a los mismos. La definicin de los procedimientos operativos para la realizacin de copias de respaldo estar a cargo del Responsable de Seguridad. As mismo ser el Responsable de Seguridad el encargado, en caso de prdida de ficheros, de gestionar la recuperacin de los soportes con los datos de respaldo y su restauracin en los repositorios en produccin a partir de la informacin respaldada al momento inmediatamente anterior a la prdida de los ficheros. 7.3.3.10. Poltica sobre Pruebas con datos reales
Con carcter general las pruebas de sistemas y aplicativos no se realizarn con datos reales. No obstante lo anterior cuando resulte imprescindible contar con dichos datos para la verificacin del correcto funcionamiento de un sistema o aplicativo el Responsable de Seguridad, con autorizacin del Comit de Seguridad, dispondr lo necesario para que dichas pruebas se realicen con las debidas garantas para la indemnidad e integridad de los datos.

8.
ANEXOS
8.1. GLOSARIO DE TRMINOS EMPLEADOS EN LA DPC

Agencia Espaola de Proteccin de Datos: Ente de Derecho Pblico, con personalidad jurdica propia y plena capacidad pblica y privada cuya finalidad es velar por el cumplimiento de la legislacin sobre proteccin de datos personales. Autoridad de Certificacin: es aquella persona fsica o jurdica que, de conformidad con la legislacin sobre Firma electrnica expide Certificados electrnicos, pudiendo prestar adems otros servicios en relacin con la Firma electrnica. A efectos de la presente Declaracin de Prcticas de Certificacin, son Autoridad de Certificacin todas aquellas que en la misma se definan como tales. Autoridad de Registro: entidad, con la que CORPME ha establecido un convenio, que realiza la comprobacin de la identidad de los Solicitantes y Suscriptores de Certificados, y en su caso de la vigencia de facultades de representantes y subsistencia de la personalidad jurdica o de la representacin voluntaria. Cadena de certificacin: lista de Certificados que contiene al menos un Certificado y el Certificado raz de CORPME. Certificado: documento electrnico firmado electrnicamente por un Prestador de Servicios de Certificacin que vincula al Suscriptor unos Datos de verificacin de Firma y confirma su identidad. En la presente Declaracin de Prcticas de Certificacin, cuando se haga referencia a Certificado se entender realizada a un Certificado emitidos por cualquier Autoridad de Certificacin de CORPME. Certificado raz: Certificado cuyo Suscriptor es una Autoridad de Certificacin perteneciente a la jerarqua de CORPME como Prestador de Servicios de Certificacin, y que contiene los Datos de verificacin de Firma de dicha Autoridad firmado con los Datos de creacin de Firma de la misma como Prestador de Servicios de Certificacin. Certificado reconocido: Certificado expedido por un Prestador de Servicios de Certificacin que cumple los requisitos establecidos en la Ley en cuanto a la comprobacin de la identidad y dems circunstancias de los solicitantes y a la fiabilidad y las garantas de los servicios de certificacin que presten. Clave: secuencia de smbolos. Datos de creacin de Firma (Clave Privada): son datos nicos, como cdigos o claves criptogrficas privadas, que el signatario utiliza para crear la Firma Electrnica. Datos de verificacin de Firma (Clave Pblica): son los datos, como cdigos o claves criptogrficas pblicas, que se utilizan para verificar la Firma electrnica. Declaracin de Prcticas de Certificacin (DPC): declaracin de CORPME puesta a disposicin del pblico por va electrnica y de forma gratuita realizada en calidad de Prestador de Servicios de Certificacin en cumplimiento de lo dispuesto por la Ley. Dispositivo seguro de creacin de Firma: instrumento que sirve para aplicar los Datos de creacin de Firma cumpliendo con los requisitos establecidos en el Anexo III de la Directiva 1999/93/CE del

Parlamento Europeo y del Consejo de 13 de diciembre de 1999, y con lo establecido en las normas especficas de aplicacin en Espaa. Directorio de Certificados: repositorio de informacin que sigue el estndar X.500 del ITU-T. Documento electrnico: conjunto de registros lgicos almacenado en soporte susceptible de ser ledo por equipos electrnicos de procesamiento de datos, que contiene informacin. Documento de seguridad: documento exigido por la LOPD cuyo objetivo es establecer las medidas de seguridad implantadas, a los efectos de este documento, por CORPME como Prestador de Servicios de Certificacin, para la proteccin de los datos de carcter personal contenidos en los Ficheros de la actividad de certificacin que contienen datos personales (en adelante los Ficheros). Encargado del Tratamiento: la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que trate datos personales por cuenta del Responsable del tratamiento de los Ficheros. Firma electrnica reconocida: es aquella Firma electrnica avanzada basada en un Certificado reconocido y generada mediante un Dispositivo seguro de creacin de Firma. Firma electrnica avanzada: es aquella Firma electrnica que permite establecer la identidad personal del Suscriptor respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al Suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que ste puede mantener bajo su exclusivo control. Firma electrnica: es el conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin personal. Funcin hash: es una operacin que se realiza sobre un conjunto de datos de cualquier tamao, de forma que el resultado obtenido es otro conjunto de datos de tamao fijo, independientemente del tamao original, y que tiene la propiedad de estar asociado unvocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Funcin hash. Hash o Huella digital: resultado de tamao fijo que se obtiene tras aplicar una Funcin hash a un mensaje y que cumple la propiedad de estar asociado unvocamente a los datos iniciales. Infraestructura de Claves Pblicas (PKI, public key infrastucture): infraestructura que soporta la gestin de Claves Pblicas para los servicios de autenticacin, cifrado, integridad, o no repudio. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de carcter personal: ley que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal y familiar. Listas de Revocacin de Certificados o Listas de Certificados Revocados (CRL): lista donde figuran exclusivamente las relaciones de Certificados revocados o suspendidos (no los caducados). Mdulo Criptogrfico Hardware de Seguridad (HSM): mdulo hardware utilizado para realizar funciones criptogrficas y almacenar Claves en modo seguro. -Nmero de serie de Certificado: valor entero y nico que est asociado inequvocamente con un Certificado expedido por CORPME. OCSP (Online Certificate Status Protocol): protocolo informtico que permite la comprobacin del estado de un Certificado en el momento en que ste es utilizado. OCSP Responder: servidor informtico que responde, siguiendo el protocolo OCSP, a las Peticiones OCSP con el estado del Certificado por el que se consulta.

OID (Object Identifier): valor, de naturaleza jerrquica y comprensivo de una secuencia de componentes variables aunque siempre constituidos por enteros no negativos separados por un punto, que pueden ser asignados a objetos registrados y que tienen la propiedad de ser nicos entre el resto de OID. Peticin OCSP: peticin de consulta de estado de un Certificado a OCSP Responder siguiendo el protocolo OCSP. PIN: (Personal Identification Number) nmero especfico slo conocido por la persona que tiene que acceder a un recurso que se encuentra protegido por este mecanismo. Prestador de Servicios de Certificacin: es aquella persona fsica o jurdica que, de conformidad con la legislacin sobre Firma electrnica expide Certificados electrnicos, pudiendo prestar adems otros servicios en relacin con la Firma electrnica. En la presente Declaracin de Prcticas de Certificacin, se corresponder con las Autoridades de Certificacin pertenecientes a la jerarqua de CORPME. Poltica de Certificacin (PC): documento que completa la Declaracin de Prcticas de Certificacin, estableciendo las condiciones de uso y los procedimientos seguidos por CORPME para emitir Certificados. Pliza: a efectos de la presente Declaracin de Prcticas de Certificacin se entender por la Pliza el documento notarial que el Notario autoriza ante el Suscriptor de un Certificado que documenta la intervencin notarial como Autoridad de Registro, as como su intervencin en el caso de revocacin del mismo. PKCS#10 (Certification Request Syntax Standard): estndar desarrollado por RSA Labs, y aceptado internacionalmente como estndar, que define la sintaxis de una peticin de Certificado. PUK: (Personal Unblocking Key) nmero o clave especfica slo conocido por la persona que tiene que acceder a un recurso que se utiliza para desbloquear el acceso a dicho recurso. Responsable del Fichero (o del Tratamiento del Fichero): persona que decide sobre la finalidad, contenido y uso del tratamiento de los Ficheros. -Responsable de Seguridad: encargado de coordinar y controlar las medidas que impone el Documento de seguridad en cuanto a los Ficheros. SHA-1: Secure Hash Algorithm (algoritmo seguro de resumen hash-). Desarrollado por el NIST y revisado en 1994 (SHA-1). El algoritmo consiste en tomar mensajes de menos de 264 bits y generar un resumen de 160 bits de longitud. La probabilidad de encontrar dos mensajes distintos que produzcan un mismo resumen es prcticamente nula. Por este motivo se usa para asegurar la Integridad de los documentos durante el proceso de Firma electrnica. Sellado de Tiempo: constatacin de la fecha y hora en un documento electrnico mediante procedimientos criptogrficos indelebles, basndose en las especificaciones Request For Comments: 3161 Internet X.509 Public Key Infrastructure TimeStamp Protocol (TSP), que logra datar el documento de forma objetiva. Solicitante: persona fsica que previa identificacin, solicita la emisin de un Certificado. Suscriptor (o Subject): el titular o firmante del Certificado. La persona cuya identidad personal queda vinculada mediatamente a los datos firmados electrnicamente, a travs de una Clave Pblica certificada por el Prestador de Servicios de Certificacin. El concepto de Suscriptor, ser referido en los Certificados y en las aplicaciones informticas relacionadas con su emisin como Subject, por estrictas razones de estandarizacin internacional. Tarjeta criptogrfica: tarjeta utilizada por el Suscriptor para almacenar claves privadas de firma y descifrado, para generar firmas electrnicas y descifrar mensajes de datos. Tiene la consideracin de

Dispositivo seguro de creacin de Firma de acuerdo con la Ley y permite la generacin de Firma electrnica reconocida. Terceros que confan en Certificados: aquellas personas que depositan su confianza en un Certificado de CORPME, comprobando la validez y vigencia del Certificado segn lo descrito en esta Declaracin de Prcticas de Certificacin UIT (Unin Internacional de Telecomunicaciones): organizacin internacional del sistema de las Naciones Unidas en la cual los gobiernos y el sector privado coordinan los servicios y redes mundiales de telecomunicaciones. X.500: estndar desarrollado por la UIT que define las recomendaciones del directorio. Se corresponde con el estndar ISO/IEC 9594-1: 1993. Da lugar a la serie de recomendaciones siguientes: X.501, X.509, X.511, X.518, X.519, X.520, X.521 y X.525. X.509: estndar desarrollado por la UIT, que define el formato electrnico bsico para Certificados electrnicos.

8.2.
DECLARACIN DE PRCTICAS DE CERTIFICACIN DEL CORPME

[EXTRACTO (para adjuntar a la licencia de uso)]
El presente documento constituye un resumen de los derechos y obligaciones contenidos en la Declaracin de Prcticas de Certificacin (en adelante DPC) del Servicio de Certificacin del Colegio de Registradores (en adelante CORPME). El presente extracto tiene carcter noexhaustivo y no exonera al usuario final de la obligacin de consultar la Declaracin completa para informarse adecuadamente de sus obligaciones como titular de un certificado digital y de sus derechos ante el CORPME. La DPC y las polticas particulares de Certificacin aplicables a cada tipo de certificado, regulan todos los aspectos relativos al ciclo de vida de los certificados, en particular aquellos referidos la solicitud, emisin, aceptacin, renovacin, reemisin y revocacin de los mismos. Las relaciones jurdicas entre el emisor de los certificados, los usuarios de los mismos y los terceros que confan en los certificados del CORPME, se desarrollarn dentro del marco definido por la DPC y las polticas particulares que resulten de aplicacin a cada clase de certificado. El CORPME emite distintos tipos de certificados, todos ellos a personas fsicas, bien en su condicin de particulares como en el ejercicio de una profesin, cargo o representacin, incorporando en tal caso el certificado los atributos y extensiones necesarias para producir plenos efectos jurdicos en el mbito que le es propio. Ser responsabilidad del solicitante de un certificado del CORPME consultar las condiciones de uso aplicables, as como proveer la documentacin justificativa de los atributos a certificar. La utilizacin del certificado de firma electrnica para fines no recogidos en sus polticas de certificacin, y por tanto no amparados en la licencia de uso, se har bajo la entera responsabilidad del suscriptor. Ser responsabilidad del Suscriptor ejercer una custodia diligente del dispositivo seguro de creacin de firma y de la contrasea que protege el acceso a su clave privada. En caso de compromiso de dicha clave, o cualquier otro supuesto, prdida o sustraccin del dispositivo, que entrae un riesgo de uso ilegtimo de la firma electrnica del suscriptor, ste deber notificar de manera inmediata al CORPME para proceder a la Revocacin del certificado. Cualquier variacin en los datos proporcionados al CORPME en el momento de solicitar el certificado, o la modificacin o cese en el cargo o representacin certificada, deber ser comunicada de inmediato al CORPME a fin de revocar el certificado y, en su caso, emitir uno nuevo que recoja fielmente las nuevas circunstancias del suscriptor. La Declaracin de Prcticas de Certificacin en su ltima versin, as como el resto de documentos vinculados con la prestacin del servicio sern accesibles en la URL http://pki.registradores.org/normativa/index.htm, a disposicin de todos los interesados. Para cualquier consulta relacionada con el servicio puede dirigirse a http://www.scregistradores.com, o bien al correo electrnico scr@registradodres.org. Si desea contactar telefnicamente podr hacerlo en el 902 020 306, o alternativamente por va postal en la direccin siguiente: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de Espaa Servicio de Certificacin de los Registradores C/ DIEGO DE LEON, 21 28006-MADRID

SCRPKI - Declaracion de Practicas de Certificacion - v1.0.5

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

SCRPKI - Declaracion de Practicas de Certificacion - v1.0.5

Diunggah oleh

Hak Cipta:

Format Tersedia

Renovacin de la Solucin PKI del Colegio de Registradores

Declaracin de Prcticas de Certificacin

Versin 1.0.5 31 de Enero de 2009

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

Motivo del cambio

DISTRIBUCIN DEL DOCUMENTO

CONTROL DEL DOCUMENTO

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

1.5. Clases de Certificados digitales y lmites para su uso ............................................................. 12

2.2. Responsabilidad de los integrantes de la PKI del CORPME ................................................... 22

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

2.2.4. 2.2.5. 2.3.1. 2.3.2. 2.3.3.

2.6. Auditora ................................................................................................................................... 28

2.7. Poltica de Confidencialidad ..................................................................................................... 28

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

4.7. Procedimiento de Auditora de Seguridad................................................................................ 40

4.8. Poltica de archivo de documentos .......................................................................................... 41

5.2. Controles de procedimiento ..................................................................................................... 45 5.3. Controles de personal .............................................................................................................. 46

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

5.3.5. 5.3.6. 5.3.7. 5.3.8. 6.

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

NOMBRE DEL DOCUMENTO E IDENTIFICACIN DE LA DPC

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

1.4.2. Autoridad de Certificacin Raz

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

1.4.3. Autoridades de Certificacin Subordinadas

1.4.4. Autoridades de Registro

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

1.4.5. Autoridades de Validacin (VA)

1.4.6. Autoridades de Sellado de Tiempo (TSA)

1.4.7. Entidades finales

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

1.5. CLASES DE CERTIFICADOS DIGITALES Y LMITES PARA SU USO

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

1.5.1. Certificados Propios de la PKI

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

1.5.2. Certificados de Operador de Registro

1.5.3. Certificados para las comunicaciones del Servicio

1.5.4. Certificados Personales

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

Certificado Reconocido de Representante de Persona Jurdica

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

Certificado Reconocido de Profesional

1.6. LIMITACIN GENRICA DE USO DE LOS CERTIFICADOS.

1.7. ADMINISTRACIN DE LA DPC

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

1.7.2. Procedimiento de aprobacin y modificacin de la Declaracin de Prcticas de Certificacin.

1.8. DATOS DE CONTACTO

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

2.1. OBLIGACIONES DE LOS INTEGRANTES DE LA PKI DEL CORPME

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

2.1.2. Obligaciones de las RAs

2.1.3. Obligaciones de la TSA

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

2.1.5. Obligaciones del Suscriptor

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

2.1.6. Obligaciones del Tercero que confa en los certificados de CORPME

2.1.7. Obligaciones de otros participantes

2.2. RESPONSABILIDAD DE LOS INTEGRANTES DE LA PKI DEL CORPME

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin

Renovacin de la Solucin PKI del Colegio de Registradores Declaracin de Prcticas de Certificacin