CONTROL DOCUMENTAL
DOCUMENTO/ARCHIVO
Ttulo: Declaracin de Prcticas de Certificacin Cdigo: Fecha: 31/01/2009 Versin: Versin 1.0.5 Nombre Archivo/s: Soporte lgico: Ubicacin fsica:
REGISTRO DE CAMBIOS
Versin
1.0 1.0.3 1.0.4 1.0.5
Fecha
19/01/2007 27/11/08 30/12/08 31/01/2009 Versin inicial
ndice
1. INTRODUCCIN........................................................................................................................ 7 1.1. Presentacin............................................................................................................................... 7 1.2. Generalidades de la DPC........................................................................................................... 8 1.3. Nombre del documento e identificacin de la DPC.................................................................... 8 1.4. Participantes en la infraestructura de clave pblica (PKI) del Servicio de Certificacin del Colegio de Registradores .................................................................................................................... 9 1.4.1. 1.4.2. 1.4.3. 1.4.4. 1.4.5. 1.4.6. 1.4.7. 1.5.1. 1.5.2. 1.5.3. 1.5.4. Prestador de Servicios de Certificacin (PSC).................................................................. 9 Autoridad de Certificacin Raz ......................................................................................... 9 Autoridades de Certificacin Subordinadas .................................................................... 10 Autoridades de Registro .................................................................................................. 10 Autoridades de Validacin (VA)....................................................................................... 11 Autoridades de Sellado de Tiempo (TSA) ....................................................................... 11 Entidades finales ............................................................................................................. 11 Certificados Propios de la PKI ......................................................................................... 13 Certificados de Operador de Registro ............................................................................. 14 Certificados para las comunicaciones del Servicio ......................................................... 14 Certificados Personales................................................................................................... 14
1.6. Limitacin genrica de uso de los certificados......................................................................... 17 1.7. Administracin de la DPC ........................................................................................................ 17 1.7.1. Entidad Responsable....................................................................................................... 17 1.7.2. Procedimiento de aprobacin y modificacin de la Declaracin de Prcticas de Certificacin.................................................................................................................................... 18 1.8. Datos de Contacto.................................................................................................................... 18 2. CLUSULAS GENERALES.................................................................................................... 19 2.1. Obligaciones de los integrantes de la PKI del CORPME......................................................... 19 2.1.1. 2.1.2. 2.1.3. 2.1.4. 2.1.5. 2.1.6. 2.1.7. 2.2.1. 2.2.2. 2.2.3. Obligaciones de las Autoridades de Certificacin Subordinadas.................................... 19 Obligaciones de las RAs.................................................................................................. 20 Obligaciones de la TSA ................................................................................................... 20 Obligaciones de la VA ..................................................................................................... 21 Obligaciones del Suscriptor ............................................................................................. 21 Obligaciones del Tercero que confa en los certificados de CORPME ........................... 22 Obligaciones de otros participantes ................................................................................ 22 Responsabilidades de la Autoridad de Certificacin del CORPME ................................ 22 Responsabilidad de las RAs............................................................................................ 24 Responsabilidad de la TSA ............................................................................................. 24
Limitaciones de prdidas ................................................................................................. 24 Responsabilidad financiera.............................................................................................. 25 Legislacin ....................................................................................................................... 25 Nulidad............................................................................................................................. 25 Procedimiento de resolucin de conflictos ...................................................................... 25
2.3. Interpretacin............................................................................................................................ 25
2.4. Tarifas para la expedicin de certificados ................................................................................ 26 2.5. Publicacin y Directorio de Validacin de Certificados ............................................................ 26 2.5.1. 2.5.2. 2.5.3. 2.5.4. 2.5.5. 2.6.1. 2.6.2. 2.6.3. 2.7.1. 2.7.2. 2.7.3. Directorio de Validacin de Certificados.......................................................................... 26 Publicacin....................................................................................................................... 26 Frecuencia de actualizaciones ........................................................................................ 27 Servicio de Validacin de certificados OCSP.................................................................. 27 Servicio de Sellado de Tiempos ...................................................................................... 28 Periodicidad de las Auditoras ......................................................................................... 28 Caractersticas del Auditor............................................................................................... 28 Resultados de la Auditora............................................................................................... 28 mbito de la informacin confidencial ............................................................................. 28 Informacin no confidencial ............................................................................................. 29 Deber de secreto profesional........................................................................................... 29
2.8. Derechos de Propiedad Intelectual .......................................................................................... 29 3. IDENTIFICACIN DE SOLICITANTES Y COMPROBACIN DE ATRIBUTOS.................... 30 3.1. Registro Inicial .......................................................................................................................... 30 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.1.5. 3.1.6. 3.1.7. 3.1.8. Tipos de nombres ............................................................................................................ 30 Necesidad de que los nombres sean significativos......................................................... 30 Reglas para interpretar formatos de nombres................................................................. 30 Unicidad de los nombres ................................................................................................. 30 Procedimiento de resolucin de conflictos ...................................................................... 30 Reconocimiento, autenticacin y papel de las marcas ................................................... 30 Autenticacin del solicitante cuando sea persona jurdica.............................................. 30 Autenticacin del solicitante cuando sea persona fsica ................................................. 31
3.2. Renovacin de Certificados ..................................................................................................... 32 4. OPERATIVA PARA LA GESTIN DEL CICLO DE VIDA DE LOS CERTIFICADOS DEL CORPME ............................................................................................................................................... 33 4.1. Solicitud de Certificados ........................................................................................................... 33 4.2. Procedimiento de Emisin de Certificados .............................................................................. 34 4.3. Archivo de los Datos de verificacin de Firma ......................................................................... 35 4.4. Aceptacin de Certificados....................................................................................................... 35
4.5. Obligaciones del Prestador de Servicios de Certificacin........................................................ 35 4.6. Caducidad, suspensin y revocacin de los Certificados ........................................................ 36 4.6.1. 4.6.2. 4.6.3. 4.6.4. 4.6.5. 4.7.1. 4.7.2. 4.7.3. 4.7.4. 4.7.5. 4.7.6. 4.7.7. 4.8.1. 4.8.2. 4.8.3. Caducidad de los certificados.......................................................................................... 36 Extincin de los certificados del CORPME...................................................................... 36 Revocacin de Certificados del CORPME ...................................................................... 36 Suspensin de los Certificados ....................................................................................... 39 Obligacin de Verificacin del Estado de los Certificados. ............................................. 39 Tipos de eventos registrados........................................................................................... 40 Frecuencia de procesado de registros de auditora ........................................................ 40 Periodo de conservacin de los registros de auditora ................................................... 40 Proteccin de los registros de auditora .......................................................................... 41 Procedimientos de respaldo de los registros de auditora .............................................. 41 Sistema de recogida de informacin de auditora (interno vs externo) ........................... 41 Notificacin al sujeto causa del evento ........................................................................... 41 Informacin objeto de archivo.......................................................................................... 41 Proteccin del archivo ..................................................................................................... 42 Requerimientos para el sellado de tiempo de los registros............................................. 42
4.9. Cambio de Claves .................................................................................................................... 42 4.10. Recuperacin en caso de compromiso de una clave o catstrofe .......................................... 42 4.10.1. 4.10.2. 4.10.3. 4.10.4. 5. Procedimientos de gestin de incidentes y compromisos .......................................... 42 Alteracin de los recursos hardware, software y/o datos............................................ 42 Procedimiento de actuacin ante el compromiso de la clave privada de la CA ......... 42 Instalacin despus de un desastre natural u otro tipo de catstrofe......................... 43
CONTROLES DE SEGURIDAD .............................................................................................. 44 5.1. Seguridad fsica........................................................................................................................ 44 5.1.1. 5.1.2. 5.1.3. 5.1.4. 5.1.5. 5.1.6. 5.1.7. 5.2.1. 5.3.1. 5.3.2. 5.3.3. 5.3.4. Ubicacin y medidas de seguridad fsica de las instalaciones de CORPME.................. 44 Acceso fsico.................................................................................................................... 44 Suministro elctrico y acondicionamiento ambiental de las instalaciones del CORPME 44 Exposicin al agua........................................................................................................... 45 Medidas contra incendios e inundaciones....................................................................... 45 Poltica de Respaldo de Informacin............................................................................... 45 Eliminacin de residuos................................................................................................... 45 Roles responsables del control y gestin de la PKI ........................................................ 45 Requisitos relativos a la cualificacin, conocimiento y experiencia profesionales.......... 46 Procedimientos de comprobacin de antecedentes ....................................................... 46 Requerimientos de formacin.......................................................................................... 46 Requerimientos y frecuencia de actualizacin de la formacin ...................................... 46
Frecuencia y secuencia de rotacin de tareas ................................................................ 47 Sanciones por actuaciones no autorizadas..................................................................... 47 Requisitos de contratacin de terceros ........................................................................... 48 Documentacin proporcionada al personal ..................................................................... 48
CONTROLES DE SEGURIDAD TCNICA ............................................................................. 49 6.1. Generacin de las claves del Servicio ..................................................................................... 49 6.2. Generacin de las claves de suscriptor ................................................................................... 49 6.3. Distribucin de la clave pblica de la Autoridad de Certificacin............................................. 50 6.4. Distribucin de la clave pblica de suscriptor .......................................................................... 50 6.5. Periodo de utilizacin de la clave privada ................................................................................ 50
7.
POLTICA DEL CORPME EN MATERIA DE PROTECCIN DE DATOS ............................. 51 7.1. Marco Legal Aplicable .............................................................................................................. 51 7.2. Proteccin de Datos aplicable a la actividad del CORPME ..................................................... 51 7.3. Documento de Seguridad......................................................................................................... 53 7.3.1. 7.3.2. 7.3.3. Definicin y alcance del Documento de Seguridad del CORPME .................................. 53 Roles en la ejecucin de las polticas de seguridad y proteccin de datos. ................... 54 Medidas, y procedimientos de seguridad a implantar en ejecucin del RD 994/1999.... 58
8.
ANEXOS .................................................................................................................................. 62 8.1. Glosario de Trminos empleados en la DPC ........................................................................... 62 8.2. Declaracin de Prcticas de Certificacin del CORPME ......................................................... 66
1. INTRODUCCIN
1.1.
PRESENTACIN
El Servicio de Certificacin del Colegio de Registradores (en adelante SCR), rgano del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de Espaa (en adelante CORPME), Corporacin de Derecho Pblico adscrita a la Direccin General de los Registros y el Notariado del Ministerio de Justicia, se constituye como prestador de servicios de certificacin de firma electrnica en virtud del mandato efectuado por el Legislador en la disposicin adicional 26 de la Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social. Nace con la finalidad de ofrecer los mecanismos y sistemas necesarios para garantizar la seguridad de las comunicaciones telemticas en las que intervengan los Registradores, las Administraciones Publicas, los profesionales que se relacionan con los Registros y los ciudadanos en general. El Reglamento del SCR es la norma bsica del Servicio de Certificacin, en la que se establecen su naturaleza, estructura y organizacin, as como los criterios y procedimientos que el Servicio se compromete a seguir en el ejercicio de su actividad, incluyendo desde la solicitud de los certificados y generacin de las claves, hasta la posterior emisin, distribucin, uso, revocacin y renovacin de los mismos. La presente Declaracin de Prcticas de Certificacin (en adelante DPC), emitida de conformidad con el Art.19 de la Ley 59/2003, define y documenta un marco normativo general, conforme al cual se desarrollar la actividad de Prestador del Servicio de Certificacin del CORPME, en relacin con los procesos de solicitud, emisin y gestin del ciclo de vida de los certificados digitales, incluyendo los procedimientos de verificacin de la vigencia, revocacin y renovacin de certificados. Las Polticas de Certificacin (en adelante PCs) aplicables a cada clase de certificado complementan lo dispuesto con carcter general en la presente DPC. En caso de conflicto o contradiccin entre lo dispuesto en la Declaracin de Prcticas de Certificacin y las citadas Polticas, prevalecer lo preceptuado en estas ltimas. Las PCs tambin definen el mbito de potenciales titulares de los certificados, as como los usos previstos de los mismos y el conjunto de derechos y obligaciones que asumen el emisor, el titular de los certificados y los terceros que confan en los certificados emitidos por el CORPME. La actividad del CORPME se desarrollar con plena sujecin a las prescripciones de la Ley 24/2001, de 27 de diciembre, la ley 59/2003 de Firma Electrnica, de 20 de diciembre, y al Reglamento del Servicio publicado en fecha 27 de mayo de 2002. Esta DPC asume que el lector conoce los conceptos de PKI, certificado y firma electrnica; en caso contrario se recomienda al lector que se forme en el conocimiento de los anteriores conceptos antes de continuar con la lectura del presente documento.
1.2.
GENERALIDADES DE LA DPC
La presente DPC se emite teniendo en cuenta las recomendaciones de la (Request for comments) RCF 2527: Internet X. 509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework, de IETF. Todos los certificados que emite el CORPME son conformes con la versin 3 del estndar X.509, permitiendo la inclusin de extensiones para certificacin de atributos. El CORPME no emitir certificados de Persona Jurdica en tanto por mandato legal no se establezca la obligatoriedad, a cargo de los Prestadores de Servicios de Certificacin que emitan Certificados Reconocidos, de expedir tal tipo de certificados. La expedicin de certificados digitales a otras entidades o corporaciones que deseen actuar como Autoridades de Certificacin subordinadas o secundarias, emitiendo certificados digitales bajo la jerarqua del Certificado Raz del CORPME, requerir el acuerdo expreso de la Comisin Rectora del mismo, refrendada por la Junta de Gobierno del CORPME. Cuando no se haya previsto nada en alguna seccin aparecer la frase No estipulado.
1.3.
El presente documento se denomina DECLARACIN DE PRCTICAS DE CERTIFICACIN DEL SERVICIO DE CERTIFICACIN DEL CORPME. Identificacin del Documento:
Nombre del documento Versin del documento Estado del documento Fecha de emisin Fecha de expiracin OID (Object Identifier) Ubicacin de la DPC
Declaracin de Prcticas de Certificacin del Servicio de Certificacin del CORPME 1.0.5 Versin 31/01/2009 No aplicable 1.3.6.1.4.1.17276.0.0.0.1.0 http://pki.registradores.org/normativa/index.htm
1.4. PARTICIPANTES EN LA INFRAESTRUCTURA DE CLAVE PBLICA (PKI) DEL SERVICIO DE CERTIFICACIN DEL COLEGIO DE REGISTRADORES
1.4.1. Prestador de Servicios de Certificacin (PSC)
Es la entidad responsable de la emisin, bajo la jerarqua de su certificado raz, de los certificados digitales destinados a entidades finales, as como de la gestin del ciclo de vida de los certificados digitales. La informacin legal y datos identificativos del Prestador de Servicios de Certificacin del CORPME estarn siempre disponibles en http://pki.registradores.org/normativa/index.htm. Tambin podr solicitarse una copia impresa de dicha documentacin previa solicitud del interesado en la direccin siguiente: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de Espaa. Servicio de Certificacin de los Registradores. C/ DIEGO DE LEON, 21. 28006-MADRID En el CORPME concurre adems de la condicin de prestador (PSC), la de CA (Certification Authority), desarrollando su actividad de conformidad con la legislacin vigente en la materia, sealadamente la ley 59/2003, de 20 de diciembre de Firma Electrnica. La arquitectura general, a nivel jerrquico, de la PKI del CORPME es la siguiente:
NIVEL 0
AC Raz
NIVEL 1
AC Subordinada C. Internos
AC Subordinada C. Externos
La huella digital (SHA1) del certificado Raz del CORPME es la siguiente: 2111 65ca 379f bb5e d801 e31c 430a 62aa c109 bcb4
Las Unidades de Tramitacin de los Registros funcionan bajo la supervisin y coordinacin de la Comisin Directora del SCR y precisan de la previa habilitacin de la Junta de Gobierno del CORPME, para la emisin de cada una de las clases de certificados. La expedicin de determinados certificados digitales del CORPME se verificar, previa peticin de cita en lnea del solicitante, en la direccin de Internet https://www.registradores.org/scr/agenda, en una nica comparecencia, el da y hora de su eleccin en el Registro Mercantil Provincial o en otros puntos de registro.
1.4.7.1.
Solicitante
Cuando un interesado en obtener un certificado emitido por el CORPME, cumplimenta el formulario de peticin de cita de https://www.registradores.org/scr/agenda, adquiere la condicin de Solicitante. La mera solicitud de un certificado no implica la concesin del mismo, la cual queda supeditada al xito de procedimiento de Registro ante la Unidad de Tramitacin, previa verificacin de los atributos cuya certificacin se solicita. Slo las personas mayores de edad podrn solicitar y, en su caso, obtener certificados digitales del CORPME. 1.4.7.2. Suscriptor
Se denomina suscriptor, de conformidad con lo dispuesto en el artculo 6 de la Ley 59/2003, a la persona fsica cuya identidad se vincula a unos Datos de creacin y verificacin de Firma, a travs de una Clave Pblica certificada (firmada digitalmente) por el Prestador de Servicios de Certificacin. Los datos de identificacin del Suscriptor estn contenidos en el campo Subject del certificado definido dentro del estndar X509 de la ITU. En tanto que el CORPME nicamente expide certificados digitales a personas fsicas y no jurdicas, en el caso de los Certificados de Representante de Persona Jurdica, tendr la consideracin de Suscriptor a los efectos de la Ley de Firma Electrnica, la persona fsica que en virtud de apoderamiento inscrito en el Registro Mercantil ostente la representacin de una persona jurdica, incluyndose los datos de sta en el certificado. La identidad del Suscriptor en tanto que titular del certificado figurara en el DN del certificado digital en el campo CN=Common Name, dentro de la extensin subject del certificado. Los datos identificativos del Suscriptor podrn ser as mismo incluidos, dependiendo del tipo de certificado, con formato RFC822 en una extensin de nombre alternativo subjectAltName, de conformidad con lo que se estipule en las polticas particulares aplicables a cada certificado. 1.4.7.3. Tercero que confa en los Certificados de CORPME
A los efectos de esta DPC, Tercero es cualquier usuario que deposita su confianza en los certificados emitidos por el CORPME, y utilizados para la firma de comunicaciones, documentos electrnicos, o en la autenticacin ante sistemas basada en certificados digitales. El CORPME no asume ningn tipo de responsabilidad ante terceros, incluso de buena fe, que no hayan aplicado la diligencia debida para la verificacin de la vigencia de los Certificados.
Certificados de Operador de Registro Certificados Personales: o Certificado Internos: Certificado Reconocido de Registradores Certificado Reconocido para Personal Interno de los Registros o Certificado Externos: Certificado Reconocido Personal Certificado Reconocido de Representante de Persona Jurdica Certificado Reconocido de Cargo Administrativo Certificado Reconocido de Administracin Local Certificado Reconocido de Profesional
Aquel certificado utilizado por la Autoridad de Validacin para firmar las respuestas relativas a la comprobacin del estado de los certificados emitidos por PKI de CORPME. 1.5.1.2. Certificado TSA
Aquel certificado utilizado por la TSA para firmar el sello de tiempo. Los servicios de sellado de tiempo se estructuran en dos partes: Suministro de los sellos de tiempo: los componentes tcnicos y organizativos que emiten los sellos de tiempo (TST). Gestin del sellado de tiempo: los componentes tcnicos y organizativos que supervisan y controlan la operativa del sellado de tiempo, incluyendo la sincronizacin temporal con la fuente de referencia UTC. La TSA tiene la responsabilidad de operar una o varias Unidades de Sellado de Tiempo (TSU) las cuales crearan y firmaran los sellos de tiempo (TST) en nombre de la TSA, cada TSU ha de tener su propia clave privada.
La TSA queda identificada en el certificado electrnico de firma que se utilice en el servicio de sellado de tiempo.
Los certificados internos tienen carcter profesional y se ponen a disposicin de su titular nicamente para su uso en actividades relacionadas con su funcin dentro de la organizacin registral. 1.5.4.1.1. Certificado Reconocido de Registradores
Los Certificados Reconocidos de Registradores son certificados para uso personal que acreditan la identidad de su titular, as como su condicin de Registrador y en su caso, liquidador de impuestos en ejercicio y el Registro, punto de registro, o en su caso, la Oficina Liquidadora donde desarrolla su actividad. Tambin incluir indicacin del destino administrativo especial en que se encuentre el Registrador. Los Certificados Reconocidos de Registradores se emiten para el exclusivo uso en el mbito de dichas funciones. Las firmas respaldadas por estos certificados acreditan la intervencin personal del Registrador en todos los actos que le son propios de su funcin, incluyendo toda relacin con terceros y estn previstos en las leyes, as como en la elaboracin de todo tipo de documento o certificaciones en formato electrnico. Se emiten para el exclusivo uso en el mbito de dichas funciones y relaciones con las Administraciones Pblicas. Los Certificados Reconocidos de Registradores se utilizan en las comunicaciones internas de los Registros, as como para autorizar las solicitudes que el Registrador deba enviar a la Unidad de Tramitacin Central. Tambin podrn ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso.
Los Certificados Reconocidos de Registradores contienen el nombre del Registrador suscriptor del certificado y su nmero de identificacin fiscal, as como la direccin de correo electrnico del suscriptor, el nombre del Registro de destino y su direccin postal. 1.5.4.1.2. Certificado Reconocido para Personal Interno de los Registros
Los Certificados Reconocidos para Personal Interno de los Registros son certificados para uso personal que acreditan la identidad de su titular, as como su condicin de empleado del Colegio o de los Registros. Se trata de certificados para uso interno y para relaciones con las Administraciones Pblicas. Los Certificados Reconocidos para Personal Interno de los Registros contienen el nombre del empleado suscriptor del certificado y su direccin de correo electrnico, as como el nombre del Registro o Unidad de destino y su direccin postal. 1.5.4.2. Certificados Externos
Salvo que en las PCs particulares se establezca lo contrario, los certificados emitidos bajo la clave secundaria para certificados externos podrn utilizarse nicamente en los actos inscribibles y en las comunicaciones que se efecten entre su titular y los Registros y Administraciones Pblicas, de conformidad con lo dispuesto en sus respectivas polticas de certificacin. El suscriptor habr de abstenerse de emplearlos para otro fin distinto al autorizado y, de no cumplirse esta obligacin, en ningn caso las firmas respaldadas por estos certificados tendrn efectos frente a terceros. Esta circunstancia se har constar expresamente en el propio contenido de los certificados. Los certificados externos sern autorizados y revocados por las Unidades de Tramitacin de los Registros, de acuerdo con el procedimiento establecido para cada una de sus clases. 1.5.4.2.1. Certificado Reconocido Personal
Los Certificados Reconocidos Personales acreditan la identidad de su titular, que ser siempre una persona fsica. nicamente podrn ser utilizados para firmar los documentos que se presenten ante los Registros y Administraciones Pblicas, as como en las comunicaciones que se realicen con los mismos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Tambin pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso y la firma de correos electrnicos. Los Certificados Reconocidos Personales tienen como finalidad principal la firma de documentos, garantizando la autenticidad del emisor de la comunicacin, el no repudio de origen y la integridad del contenido. Los Certificados Personales tambin pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso. Los Certificados Reconocidos Personales identificarn a su titular en el campo CN (common name=nombre comn) que contiene: el nombre, apellidos y nmero de identificacin fiscal (NIF, NIE o pasaporte), sin que se admita el uso de seudnimos. En defecto de NIF, podr incluirse el nmero del documento nacional de identidad o, tratndose de extranjeros, el nmero de identificacin de extranjeros, el de su pasaporte, el de su tarjeta de residencia o el de cualquier otro documento legal de identificacin. Tambin podrn constar en el certificado la direccin, los nmeros de telfono y fax y la direccin de correo electrnico del suscriptor, segn se disponga en las PCs.
1.5.4.2.2.
Los Certificados Reconocidos de Representante de Persona Jurdica acreditan la identidad de su titular, que ser siempre una persona fsica, y su condicin de representante orgnico o voluntario de una persona jurdica. Se emiten para su utilizacin, de manera principal y de conformidad con las polticas particulares de certificacin, para la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Representante de Persona Jurdica tambin pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso y la firma de correos electrnicos.. El Certificado Reconocido de Representante de Persona Jurdica adems de la identificacin del Suscriptor y de la Sociedad, contendr informacin sobre la relacin de representacin que ostenta el suscriptor respecto de la Sociedad Representada. Incluyendo un identificador nico electrnico de la persona jurdica, que vincula el certificado al Fichero Localizador de Entidades Inscritas (FLEI). En caso de disconformidad entre los datos de representacin incorporados en el certificado y los obrantes en el Registro Mercantil, prevalecern siempre estos ltimos. 1.5.4.2.3. Certificado Reconocido de Cargo Administrativo
Los Certificados Reconocidos de Cargo Administrativo acreditan la identidad de su titular, as como su condicin de funcionario perteneciente a la Administracin del Estado o autonmica. Se emiten para su exclusivo uso en el mbito de su actividad funcionarial y su relacin con los Registros. Se emiten para la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Cargo Administrativo pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso y la firma de correos electrnicos. Las firmas respaldadas por estos certificados acreditan la intervencin personal del funcionario en todos los actos que son propios de su cargo, incluyendo las comunicaciones y la elaboracin de todo tipo de documentos en formato electrnico. Los Certificados Reconocidos de Cargo Administrativo tienen como finalidad principal la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Cargo Administrativo tambin pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso. 1.5.4.2.4. Certificado Reconocido de Administracin Local
Los Certificados Reconocidos de Administracin Local acreditan la identidad de su titular, as como su condicin de funcionario o cargo perteneciente a la Administracin Local. Se emiten para su exclusivo uso en el mbito de su actividad funcionarial y su relacin con los Registros. Se emiten para la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Administracin Local pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso y la firma de correos electrnicos. Las firmas respaldadas por estos certificados acreditan la intervencin personal del funcionario en todos los actos que son propios de su cargo, incluyendo las comunicaciones y la elaboracin de todo tipo de documentos en formato electrnico. Los Certificados Reconocidos de Administracin Local tienen como finalidad principal la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Administracin Local tambin pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso.
1.5.4.2.5.
Los Certificados Reconocidos de Profesional acreditan la identidad de su titular, y su pertenencia a una profesin regulada y sometida a la disciplina de un Colegio o Asociacin Profesional. Su finalidad principal es la firma de los documentos que se presentan ante los Registros y Administraciones Pblicas, y su uso en todas las comunicaciones que se realicen con stos. Se emiten para la firma de documentos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Los Certificados Reconocidos de Profesional pueden ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso y la firma de correos electrnicos. En virtud de convenio especfico entre el CORPME y los Colectivos Profesionales, podr ampliarse el mbito de uso de los certificados digitales del CORPME a fin de permitir su utilizacin en los actos propios de su giro o actividad. Sirviendo en tal caso, adems de su funcin primaria, para garantizar la intervencin del profesional en los negocios y procedimientos telemticos en los que intervenga en dicha condicin, incluyendo las comunicaciones y la elaboracin de todo tipo de documentos en formato electrnico. Los Certificados Reconocidos de Profesional garantizan la identidad del emisor, el no repudio de origen y la integridad de contenido de documentos y comunicaciones. Tambin podrn ser utilizados para asegurar la autenticacin de su titular ante sistemas que lo requieran en un control de acceso.
2.
CLUSULAS GENERALES
OCA.14.2. La Ley 59/2003, de 19 de diciembre, de Firma Electrnica. OCA.14.3. La L.O. 15/1999, de 13 de diciembre, de Proteccin de los Datos de Carcter Personal. OCA.15. Proteger, en caso de haberlas, las claves bajo su custodia. OCA.16. No almacenar en ningn caso los datos de creacin de firma, clave privada, de los titulares de certificados emitidos con el propsito de utilizarse para firma electrnica (key usage = non repudiation). OCA.17. En el caso de cesar en su actividad, deber comunicarlo con una antelacin mnima de dos meses, a los titulares de los certificados por ellas emitidos. OCA.18. Conservar registrada toda la informacin y documentacin relativa a los certificados durante quince aos contados desde su expedicin.
OTSA.2. Llevar a cabo revisiones internas y externas para asegurar el cumplimiento de la legislacin de aplicacin y las polticas y procedimientos internos. OTSA.3. Proporcionar acceso ininterrumpido a los servicios de sellado de tiempo excepto en caso de interrupciones programadas, prdidas de la sincronizacin temporal o causas de fuerza mayor.
2.1.4. Obligaciones de la VA
En particular, son obligaciones de la VA las siguientes: OVA.1. Operar de acuerdo a esta DPC y a las polticas y procedimientos internos que sean de aplicacin. OVA.2. Llevar a cabo revisiones internas y externas para asegurar el cumplimiento de la legislacin de aplicacin y las polticas y procedimientos internos. OVA.3. Proporcionar acceso ininterrumpido a los servicios de validacin de certificados on-line, excepto en caso de interrupciones programadas, prdidas de la sincronizacin temporal o causas de fuerza mayor.
OS.11. Cualquier otra que se derive de la ley, de esta DPC o de las PCs.
de plena conformidad con la Ley 59/2003 y dems leyes aplicables, la presente DPC y las PCs asociadas a cada clase de certificado. El CORPME no responder, en ningn caso, de la utilizacin que los suscriptores hagan de los certificados, ni de los errores de hecho o de interpretacin que puedan cometer quienes validen una firma. El CORPME no asume ningn tipo de responsabilidad ante terceros, incluso de buena fe, que no hayan aplicado la diligencia debida para la verificacin de la vigencia de los Certificados. El CORPME no ser responsable en ningn caso cuando se den las siguientes circunstancias: Cuando concurran circunstancias consideradas de fuerza mayor, como catstrofes naturales, Guerras, y dems calamidades que provoquen una interrupcin prologada de los servicios y suministros necesarios para la prestacin del servicio. Los daos y perjuicios, directos o indirectos, causados por la utilizacin de los certificados y de las claves certificadas para usos no permitidos o fuera de su perodo de vigencia, as como por la prdida o divulgacin de la clave privada del suscriptor. Cuando el uso de los certificados se realice fuera de los casos permitidos, o se trate de certificados revocados o suspendidos y el interesado no verifique el estado del mismo antes de otorgarle su confianza. Compromiso de la clave privada, por revelacin voluntaria del suscriptor o intervencin maliciosa de un tercero, y prdida o sustraccin del soporte con los datos de creacin de firma. Por el uso indebido, errneo o fraudulento de los certificados o de las listas de Certificados Revocados (CRL), emitidas por el CORPME. Por la prdida irrevocable de informacin debida al uso de un certificado digital del CORPME para el Cifrado de Confidencialidad. En caso de aportacin de documentacin falsificada o fraudulenta por parte del solicitante del certificado.
Daos ocasionados por el mal uso de la informacin contenida en el certificado. La CA no ser responsable del contenido de aquellos documentos firmados electrnicamente ni de cualquier otra informacin que se autentiquen mediante un certificado emitido por ella. Los fallos o errores debidos a los equipos informticos, navegadores o aplicaciones utilizados por el titular o por los terceros usuarios de los certificados. Los daos o perjuicios directos o indirectos que sean consecuencia de los procedimientos o productos empleados para generar la pareja de claves asimtricas a certificar cuando sea el propio solicitante quien aporte las claves. El contenido de los documentos firmados con una firma digital basada en un certificado emitido por l, ni por la informacin contenida en un servidor por el certificado El CORPME responder por los daos irrogados al Suscriptor o al tercero de buena fe que deposite su confianza en los certificados del CORPME, cuando medie dolo o culpa del prestador. El rgimen
de responsabilidad aplicable ser el definido en la Ley 59/2003, de Firma Electrnica y en el resto de la legislacin aplicable. Sin perjuicio de lo indicado anteriormente se delimita el mbito de responsabilidad asumido por el CORPME a los extremos siguientes: Garantizar la exacta correspondencia entre la informacin contenida en los certificados y la facilitada por el suscriptor en el momento de la emisin. Entregar al suscriptor un certificado de la misma clase del solicitado. Poner a disposicin del suscritor en el dispositivo seguro de creacin de firma correspondiente, la clave privada correspondiente a la pblica identificada en el certificado entregado, garantizando la plena complementariedad de ambas claves. Mantener las listas de certificados revocados y el servicio de validacin OCSP, permanentemente actualizados y accesibles. Dems supuestos previstos en la legislacin vigente segn los cuales el Prestador de Servicios de Certificacin haya de responder por los daos causados.
No estipulado.
2.3. INTERPRETACIN
2.3.1. Legislacin
Las operaciones y funcionamiento de PKI de CORPME, as como la presente DPC y las PCs que sean de aplicacin para cada tipo de certificado, estarn sujetas a la normativa que les sea aplicable y en especial a: Directiva 1999/93/CE, del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrnica. Ley 59/2003, de 19 de diciembre, de Firma Electrnica. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se regulan las medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal. Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos
2.3.2. Nulidad
En el caso de que cualquiera de los apartados recogidos en la presente declaracin sea declarado, parcial o totalmente, nula o ilegal no afectar tal circunstancia al resto del documento.
Para la resolucin de cualquier conflicto que pudiera surgir con relacin a esta DPC o a las Polticas de Certificacin, las partes, con renuncia a cualquier otro fuero que pudiera corresponderles, se someten a los Juzgados y Tribunales espaoles, con independencia del lugar dnde se hubieran utilizado los certificados emitidos.
2.5.2. Publicacin
El Directorio se publica de acuerdo con el estndar LDAP (Lightweight Directory Access Protocol) y las listas de certificados revocados segn la norma correspondiente (Certificate Revocation List, versin 2) del estndar X.509. Tambin podr utilizarse el estndar OCSP (On line Certificate Status Protocol). Los puntos de publicacin de las CRLs son los siguientes: ARL de la CA Raz:
o o
HTTP: http://pki.registradores.org/crls/arl_scr.crl LDAP: ldap://ldap.registradores.org/CN=CA%20RAIZ, OU=CERTIFICADO%20PROPIO, O=COLEGIO%20DE%20REGISTRADORES, C=ES ?authorityRevocationList ?base ?objectclass=cRLDistributionPoint
CRL de la CA Subodinada para Certificados Internos: o o HTTP: http://pki.registradores.org/crls/crl_int_scr.crl LDAP: ldap://ldap.registradores.org/ CN=CA%20INTERNA, OU=CERTIFICADO%20PROPIO, O=COLEGIO%20DE%20REGISTRADORES, C=ES ?certificateRevocationList?base ?objectclass=cRLDistributionPoint
CRL de la CA Subodinada para Certificados Externos: o o HTTP: http://pki.registradores.org/crls/crl_ext_scr.crl LDAP: ldap://ldap.registradores.org/ CN=CA%20EXTERNA, OU=CERTIFICADO%20PROPIO, O=COLEGIO%20DE%20REGISTRADORES, C=ES ?certificateRevocationList?base ?objectclass=cRLDistributionPoint
Las listas de certificados revocados se actualizarn con la periodicidad indicada en el apartado siguiente denominado Frecuencia de actualizaciones. La causa por la que un certificado es revocado se considera informacin confidencial y no figurar en la lista de certificados revocados.
Memoria cach: memoria donde se guardan los datos necesarios para que el sistema opere con ms rapidez en lugar de obtenerlos en cada operacin de la fuente de datos. Su uso puede suponer un riesgo de operar con datos no actuales.
Este servicio OCSP est permanentemente actualizado, de forma que todo cambio en el estado de revocacin de un certificado queda inmediatamente reflejado en este servicio.
2.6. AUDITORA
2.6.1. Periodicidad de las Auditoras
Con carcter peridico y a fin de verificar la efectiva implantacin de las medidas recogidas en el documento de seguridad, el Responsable de Seguridad ordenar y supervisar la realizacin de auditoras internas e independientes.
La informacin de carcter personal proporcionada por los suscriptores de certificados a PKI de CORPME durante el proceso de registro, de conformidad con lo dispuesto en la normativa sobre proteccin de datos de carcter personal y reglas de desarrollo.
3.
4. OPERATIVA PARA LA GESTIN DEL CICLO DE VIDA DE LOS CERTIFICADOS DEL CORPME
El proceso de emisin de los certificados digitales comienza con la Peticin de cita y el alta del usuario en la agenda del CORPME: https://www.registradores.org/scr/agenda. La generacin del par de claves asimtricas de firma electrnica (esto es, una clave pblica que contiene los datos de verificacin de firma, y una clave Privada que incorpora los datos de Creacin de firma) se realizar dentro de un dispositivo seguro y con la intervencin personal del solicitante del certificado, quien adems introducir por s mismo las contraseas de acceso a la clave privada.
4.1.
SOLICITUD DE CERTIFICADOS
En relacin con el procedimiento de solicitud de certificados, se distinguen dos casos: 1. Necesidad de solicitud de cita previa En los casos que se solicite una cita previa (Certificado Reconocido de Personal, Certificado Reconocido de Representante de Persona Jurdica y Certificado Reconocido de Profesional) como paso previo a la obtencin del certificado, el solicitante se conecta a la pagina Web https://www.registradores.org/scr/agenda. En caso de no estar dado de alta en el sistema, se debe de registrar como usuario del mismo. Una vez registrado debe cumplimentar un formulario en lnea, con la informacin necesaria (da y hora en la unidad de tramitacin elegida) para la expedicin del certificado, a partir de la cual se rellenarn los campos del mismo y se generar la Licencia de Uso del Certificado. Dado que la Licencia de Uso del Certificado deber ser firmada por el Operador de Registro a cargo de la Unidad de Tramitacin, es imperativo que la comparecencia personal del solicitante coincida con la presencia del Registrador en la Unidad de Tramitacin, por ello el solicitante deber seleccionar da y hora, de entre los disponibles y previamente habilitados por el Operador de la misma, como hbiles para la expedicin de certificados digitales. Una vez fijada fecha y hora para la comparecencia, el solicitante recibir por correo electrnico un justificante de la cita concertada. 2. No necesidad de solicitud de cita previa En los casos que no requieren cita (Certificado Reconocido de Registradores, Certificado Reconocido para Personal Interno de los Registros, Certificado Reconocido de Cargo Administrativo, Certificado Reconocido de Administracin Local), se crear una cita falsa para solicitar y validar los datos del usuario y proceder a la invocacin de la emisin del certificado. Los usuarios se personarn con el DNI y una certificacin que acredite el cargo. En ambos supuestos, el solicitante se persona en la unidad de tramitacin con el identificador de la cita, con el NIF, NIE o pasaporte y la certificacin que acredite el cargo para el caso de solicitud de Certificado Reconocido de cargo Administrativo y de Certificado Reconocido de Administracin Local. Dicho identificador ser entregado al Oficial de Registro quien lo introduce en el sistema (recupera los datos previamente introducidos). De nuevo, se vuelven a hacer las comprobaciones de autenticacin descritas en el apartado Registro Inicial: Autenticacin del solicitante cuando sea persona fsica y que en el caso de ser correctas se pasar al siguiente punto.
Con la comparecencia del usuario, en nica instancia, en la Unidad de Tramitacin correspondiente se da paso, de ser positivo el trmite de verificacin de identidad y atributos certificables, al proceso de emisin del Certificado Digital de suscriptor, el cual ira firmado por la CA a fin de establecer la cadena de confianza en la que se basa la Firma Electrnica Reconocida. Para la autenticacin de la persona fsica, tanto para nacionales como para extranjeros, y de la documentacin acreditativa del atributo certificable de que se trate en virtud del tipo de certificado, se seguir el procedimiento recogido en el apartado denominado Autenticacin del solicitante cuando sea persona fsica. Una vez realizado el trmite de identificacin y, en su caso, el de comprobacin de atributos del solicitante, el operador imprimir dos copias de la licencia de uso, que contendrn la fecha, los datos del certificado, los del Operador de Registro y el nombre del mismo. Ambas copias debern ser firmadas por el solicitante y el operador, quedando una copia en poder de cada uno de ellos. La Unidad de Tramitacin deber conservar la licencia firmada durante un plazo de quince aos, a contar desde la caducidad o revocacin del certificado. Una vez validada la identidad del solicitante y los datos necesarios se procede a emitir el certificado solicitado. Sin perjuicio de lo descrito anteriormente, en cada PC se establecer los documentos necesarios para cada tipo de certificado.
4.5.
Los datos privados de los certificados emitidos no se almacenarn en forma alguna en los sistemas del prestador. Por lo que cualquier prdida del certificado, supondr la posterior revocacin, al no haber manera de recuperar dicha informacin. En el momento de la solicitud de la cita para la obtencin del certificado, el usuario es informado sobre la forma de obtenerlo, as como del uso del mismo y los mecanismos de revocacin, en caso de prdida o robo.
g) Alteracin de los datos aportados para la obtencin del certificado o modificacin de las circunstancias verificadas para la expedicin del certificado de manera que ste ya no fuera conforme a la realidad. h) Cualquier otra causa lcita prevista en esta DPC. El CORPME informar al suscriptor acerca de esta circunstancia de manera previa o simultnea a la extincin o revocacin de la vigencia del certificado electrnico, especificando los motivos y la fecha y la hora en que el certificado quedar sin efecto.
4.6.3.1.
Sern causa de la revocacin de un certificado digital del CORPME: a) Que as lo soliciten el suscriptor del certificado, o la persona legitimada para la solicitud del mismo, o el representado en los Certificados de Representante. b) Que el suscriptor del certificado cese en su destino en el caso de los certificados internos. c) Que se emita un nuevo certificado para el mismo suscriptor que haga referencia a atributos idnticos, en el caso de los certificados externos. d) Que se cancele o modifique una inscripcin a la que se refiera el contenido de un certificado de atributos basado en una inscripcin registral. e) Que se haya perdido o inutilizado el soporte en el que est contenida la clave privada correspondiente a la pblica certificada. f) Que un tercero haya utilizado indebidamente la clave privada correspondiente a la pblica certificada.
g) Que la clave privada correspondiente a la pblica certificada haya sido desvelada o haya podido verse comprometida por cualquier circunstancia. h) Que el suscriptor haya fallecido o haya sido incapacitado legalmente o, en su caso, que haya perdido, definitivamente o por plazo que supere el de vigencia del certificado, la condicin o cargo en virtud del cual se emiti el certificado as como cuando, por cualquier causa, se extinga la persona jurdica a quien el cargo o apoderado suscriptor del certificado represente. i) Que la informacin contenida en el certificado o los datos aportados por el titular durante el trmite de registro, sean inexactos, ya fuere por error o falsedad inicial del suscriptor o por cambios sobrevenidos. Que el suscriptor haya incumplido las disposiciones de la presente DPC o alguna de las PCs.
j)
k) Que as se disponga en una resolucin administrativa o en un auto o sentencia o tambin, en el caso de los certificados internos, en un expediente disciplinario. 4.6.3.2. Legitimacin para solicitar la revocacin de un certificado digital.
Estn legitimados para solicitar la revocacin del certificado: a) El titular del certificado o suscriptor. b) La entidad representada por el suscriptor del Cerificado Reconocido de Representante, a travs de su rgano de gobierno. c) Cuando la solicitud del certificado haya sido realizada por persona distinta del suscriptor, la persona que ostente el cargo que autoriza para realizar dicha solicitud. En este punto se estar a lo dispuesto en las PCs. d) En los certificados de atributos basados en una inscripcin registral, el Operador de Registro que autorice la modificacin o cancelacin de esta. e) El Decano del Colegio del Colegio de Registradores, el Director del Servicio de Certificacin o el Operador de Registro responsable de la Unidad de Tramitacin que autoriz la emisin del
certificado, cuando tuvieran constancia de la existencia de alguna de las causas mencionadas en el punto anterior. f) 4.6.3.3. 4.6.3.3.1. La autoridad judicial o administrativa en virtud de resolucin motivada. Modalidades de Revocacin. Revocacin a instancias del suscriptor del certificado
La revocacin puede hacerse de dos formas: Forma presencial: El titular podr revocar el certificado personndose en la Unidad de Tramitacin que emiti el certificado o, en caso de urgencia, en cualquier otra Unidad de Tramitacin del CORPME. Una vez identificado el titular, el operador imprimir una solicitud de revocacin y, una vez que esta sea firmada por ambos, ordenar inmediatamente la revocacin del certificado. La solicitud de revocacin deber conservarse por plazo de quince aos. Forma remota: Por causa de urgencia mediante una llamada telefnica a su Servicio de Asistencia Telefnica. Igualmente la revocacin se podr realizar firmando una solicitud electrnica de revocacin con certificado reconocido vigente del mismo titular. La revocacin se realizar de forma automtica, bajo la nica responsabilidad del suscriptor. En cada PC se describir el procedimiento de revocacin para cada tipo de certificado. 4.6.3.3.2. Revocacin por persona distinta del suscriptor titular
La persona que ocupe el cargo que, en virtud de las PCs aplicables, legitime para la solicitud de un determinado tipo de certificado, o el representado en los Certificados Reconocidos de Representante de Persona Jurdica, podr ordenar la revocacin de ste. Para ello deber enviar una solicitud firmada a la Unidad de Tramitacin que autoriz la emisin del certificado. La Unidad de Tramitacin proceder inmediatamente a la revocacin del certificado, bajo la nica responsabilidad del solicitante de la revocacin. A continuacin, se notificar al titular del certificado, mediante correo electrnico, de esta circunstancia. 4.6.3.3.3. Revocacin de oficio
Los certificados podrn ser revocados de oficio por la Unidad Central de Tramitacin o por el Registrador a cargo de alguna de las Unidades de Tramitacin, cuando concurra alguna de las causas sealadas en el apartado Causas para la revocacin de certificados de la presente DPC. Las resoluciones administrativas y sentencias judiciales debern ser ejecutadas, en los certificados internos, por la Junta de Gobierno que enviar a la Unidad de Tramitacin Central la orden correspondiente y, en los certificados externos, por el Registrador responsable de la Unidad de Tramitacin que autoriz la emisin del certificado. Recibida la orden de revocacin, la Unidad de tramitacin, central o provincial segn corresponda, revocar inmediatamente el certificado notificando al titular del certificado el hecho y la causa de la revocacin. La Unidad de Tramitacin guardar copia de la resolucin administrativa, auto, sentencia, o documento en que se funde la orden de revocacin de oficio, que deber archivarse por un mnimo de 15 aos.
4.6.3.3.4.
La Unidad de Tramitacin Central podr autorizar la revocacin de un certificado por causa de urgencia, cuando sea requerida por alguna de las personas mencionadas en el apartado Causas para la revocacin de certificados de la presente DPC. Una vez comprobada la identidad del solicitante de la revocacin podr requerir a quien solicit la revocacin urgente para que justifique su solicitud, hasta satisfacer los requisitos exigidos por las PCs para la causa de revocacin alegada. Si dicha justificacin no fuera posible o si la revocacin hubiera causado perjuicios a terceros, la responsabilidad recaer nicamente sobre el solicitante de la revocacin. El suscriptor del certificado, ser notificado de tal circunstancia. 4.6.3.4. Efectos de la revocacin
La revocacin de un certificado supone su total prdida de validez y la exencin de responsabilidad del Servicio de Certificacin por cualquier dao producido como consecuencia del uso del certificado revocado con posterioridad a su revocacin. La revocacin de un certificado surtir efectos ante las CAs y frente al solicitante desde el mismo instante de su prctica y frente a terceros desde el momento en que dicha revocacin se publica a travs de OCSP o en las CRLs.
La frecuencia de emisin de la CRL viene establecida en el punto denominado Frecuencia de Actualizaciones. 4.6.5.2. Disponibilidad de servicios de comprobacin del estado de los certificados
El servicio de comprobacin de estado de certificados se mantendr accesible y a disposicin de usuarios y terceros, de manera permanente, a fin de facilitar la verificacin de la vigencia de los certificados, como presupuesto para la produccin de efectos frente a terceros de las revocaciones realizadas.
Para garantizar la disponibilidad del servidor de Directorio de Validacin de Certificados, as como del servicio OCSP, se han dispuesto sistemas redundantes configurados para minimizar cualquier eventual disrupcin en el servicio. 4.6.5.3. Cese en la actividad de prestador de servicios de certificacin
El CORPME cesar su actividad como Prestador de Servicios de Certificacin, en virtud del acuerdo de disolucin adoptado por la Asamblea de Decanos Territoriales y Autonmicos, por una ley que as lo establezca o por resolucin judicial firme. Antes de cesar en la actividad de PSC, el CORPME notificar con al menos dos meses de antelacin, a todos los titulares de certificados, as como al Ministerio de Industria, Turismo y Comercio, informando de las medidas adoptadas para garantizar la continuidad en la prestacin de los servicios. El CORPME podr transmitir a otro PSC que garantice anlogos niveles de seguridad y fiabilidad en sus procedimientos, la gestin de los certificados que estuvieran vigentes a la fecha del cese en la actividad, as como los derechos y obligaciones que se deriven de los mismos y la informacin y documentacin relativa a todos los certificados emitidos. Dicha cesin se efectuara en todo caso, previo consentimiento expreso y por escrito del titular del certificado, y con estricta observancia de todas las garantas en materia de proteccin de datos personales. Con anterioridad al cese de la actividad, el CORPME, remitir al Ministerio de Industria, Turismo y Comercio los mecanismos necesarios para mantener la comprobacin de la vigencia de los certificados.
4.7.
Las licencias de uso, solicitudes de revocacin, certificaciones acreditativas de atributos certificables, y en general cualesquiera documentos firmados de los que se deriven derechos y obligaciones para los intervinientes en la PKI del CORPME, se almacenarn durante un periodo mnimo de 15 aos.
actividad de la CA y se proceder a la generacin, certificacin y puesta en marcha de una nueva Autoridad con la misma denominacin que la eliminada y con un nuevo par de claves. En el caso de la CA, el certificado revocado de la misma permanecer accesible en el repositorio de PKI de CORPME con objeto de continuar verificando los certificados emitidos durante su periodo de funcionamiento. Se notificar a todas los afectados que los certificados y la informacin sobre su revocacin, suministrada con la clave comprometida de la CA, deja de ser vlida desde el momento de la notificacin, debiendo utilizar para verificar la validez de la informacin la nueva clave pblica de la CA.
5.
CONTROLES DE SEGURIDAD
A fin de asegurar la confiabilidad y seguridad de sus operaciones como prestador de servicios de certificacin, el CORPME ha dispuesto e implantado controles de seguridad fsica y lgica en todas sus instalaciones, al igual que procedimientos de auditora, tanto interna como independiente para el seguimiento y verificacin del cumplimiento de las polticas, directivas y procedimientos en materia de seguridad.
A fin de garantizar el correcto funcionamiento de los equipos de proceso de datos, las dependencias del Centro de proceso de datos cuentan con equipos de aire acondicionado que mantienen la temperatura de operacin de los sistemas siempre dentro de los parmetros ptimos.
Administrador del HSM: Asegurar la proteccin de las claves de la PKI y activacin de las mismas cuando los servicios de la PKI lo requieran. Administrador de Seguridad: Responsables de la gestin e implementacin de las Polticas y Prcticas de Seguridad, establecido en la presente DPC y en las PCs asociadas. Operador del Registro: responsable de las tramitaciones de peticiones de los certificados y de la aceptacin por sus suscriptores de las condiciones de uso.
Todo el personal que preste sus servicios en el mbito de la PKI del CORPME deber poseer el conocimiento, experiencia y formacin suficientes, para el mejor cometido de las funciones asignadas. Para ello, el CORPME llevar a cabo los procesos de seleccin de personal que estime precisos con objeto de que el perfil profesional del empleado se adecue lo ms posible a las caractersticas propias de las tareas a desarrollar.
Prohibicin de acceder sin autorizacin, a cualquier clase de informacin sobre personas fsicas o jurdicas, as como de incorporar datos personales sobre tales personas en ficheros automatizados sin autorizacin por escrito del CORPME. Se prohbe asimismo la realizacin de cualquier tipo de tratamiento sobre los datos incorporados a los ficheros de datos de carcter personal, para elaborar perfiles de usuario que permitan inferir datos sensibles objeto de mayor proteccin que aquellos de los que se infieran. Observancia del procedimiento definido para la eliminacin de residuos, borrado seguro de soportes de datos y destruccin de documentacin obsoleta o incorrecta, cualquiera que sea su clase. Cesin en exclusiva al CORPME de cualesquiera derechos de propiedad intelectual, industrial y patentes, sobre los trabajos, programas, desarrollos, anlisis, metodologas y en general cualquier producto derivado de la actividad del empleado constante la relacin laboral.
6.
Adicionalmente a los controles de seguridad fsica establecidos en las instalaciones del CORPME, y de las medidas de seguridad implantadas para proteccin de los Datos utilizados para la prestacin del Servicio, el CORPME someter su actividad a los ms estrictos controles de seguridad tcnica que aseguren el cumplimiento de los ms elevados estndares de calidad y fiabilidad, de conformidad con la normativa de aplicacin y los estndares tcnicos y de mercado.
7.
certificados, para la realizacin de sus funciones, ostentarn respecto de dichos datos la consideracin de Responsables de su tratamiento, el cual de conformidad con el artculo 12 de la LOPD, a lo establecido a continuacin. Adems, las Unidades de Tramitacin, en cumplimiento con lo establecido en los artculos 7, 9 y 12 de la LOPD se comprometen a: Acceder a los ficheros y datos de carcter personal cuya titularidad corresponda al CORPME, nicamente en la medida en que dichos datos sean necesarios para su actividad como Autoridad de Registro, y en consecuencia darles el uso que corresponda excluyendo cualquier otro. Realizar el acceso a los datos y su tratamiento, de conformidad con lo dispuesto en esta DPC, el Reglamento del SCR, y las instrucciones recibidas de la Comisin Directora. A no divulgar los datos de carcter personal a los que tuviera acceso durante la realizacin de sus funciones, as como a proteger el derecho al honor y a la intimidad de los afectados. A adoptar y cumplir las medidas tcnicas y organizativas precisas para garantizar la seguridad de los Sistemas, Ficheros, personas y procesos en los que se realice un acceso o tratamiento de Datos de Carcter Personal. Dichas medidas quedarn reflejadas en el documento de seguridad definido en el Real Decreto de Medidas de Seguridad 1720/2007. A utilizar en su comunicacin con el CORPME nicamente canales de comunicacin seguros y protegidos mediante cifrado, as como los mecanismos de autenticacin necesarios para el aseguramiento de la confidencialidad de las transmisiones. A restituir o eliminar, de conformidad con las instrucciones recibidas del responsable del Fichero, los datos personales de los que estuviese en posesin a la finalizacin de la relacin con el CORPME, en caso de que por decisin de la Junta de Gobierno del Colegio de Registradores, ejecutada por la Comisin Directora del SCR de conformidad con el Reglamento del Servicio, alguna Unidad de Tramitacin dejara de serlo. A recabar de Solicitantes y Suscriptores de certificados, en los procesos ante la Unidad de Tramitacin, el consentimiento expreso para el tratamiento de sus datos personales, en cuanto resulte necesario para la prestacin del Servicio de Certificacin. Guardando constancia de dicho consentimiento a los efectos oportunos. En cualquier caso, y sin perjuicio de las autorizaciones expresas que oportunamente se soliciten del afectado en formularios y documentos del Servicio, se presumir, en tanto que imprescindibles para la prestacin del Servicio de Certificacin solicitado, que el solicitante o el suscriptor otorga su consentimiento para el tratamiento de sus datos personales, nicamente en lo que se refiera a la prestacin de dicho servicio. La comunicacin a terceros que confan en certificados digitales emitidos por el CORPME de los datos personales incorporados a dichos certificados, y que se publican en el Directorio de Certificados del CORPME. Se realizar de conformidad con lo dispuesto en el Artculo 11 de la LOPD. En tal sentido, el Suscriptor consiente, como presupuesto de la efectividad jurdica del servicio de certificacin provisto por el CORPME, la publicacin en el Directorio de Certificados de los datos personales asociados a la clave pblica del certificado, la cual constituye para cualquier tercero el medio de verificacin de la firma del suscriptor. El acceso a la informacin contenida en la aplicacin Agenda, que gestiona las citas para la emisin y renovacin de certificados en las Unidades de Tramitacin, y en las Listas de Revocacin podr realizarse por los terceros de buena fe, nicamente a los indicados efectos de verificacin de la firma electrnica del suscriptor, prohibindose cualquier acceso a dichos datos y su recopilacin para su posterior tratamiento y utilizacin para fines distintos a los descritos. Las infracciones consistentes en el volcado de datos, y su posterior tratamiento y uso para fines distintos a los autorizados, sern sancionables con multa de hasta 600.000 euros, y podrn dar lugar a las acciones penales y civiles procedentes.
En cualquier caso se garantiza a los Solicitantes y Suscriptores de Certificados Digitales del CORPME el libre ejercicio de los derechos de Acceso, Rectificacin, Cancelacin y Oposicin, previstos en la LOPD. El afectado deber dirigir su solicitud al CORPME por escrito a la direccin postal del Servicio que figura en el apartado correspondiente de esta DPC.
Normativa y Procedimientos, donde se definen y describen un conjunto de Normas y Procedimientos necesarios y obligatorios para salvaguardar la informacin y asegurar la confidencialidad de los Datos de Carcter Personal de los Sistemas de Informacin del CORPME.
7.3.2.1.
El CORPME ser Responsable de los Ficheros de datos personales a los que con ocasin del desempeo de sus funciones como Prestador de Servicios de Certificacin, tenga acceso. Las funciones que el Reglamento de Medidas de Seguridad pone a Cargo del Responsable del Fichero, sern desempeadas por el responsable de cada departamento en el que se hayan de implantar medidas y controles de seguridad de conformidad con el documento de seguridad. Las funciones del Responsable del Fichero son, entre otras, las que siguen: Elaborar e implantar el Documento de Seguridad de los Ficheros automatizados que contienen DCPs en el mbito de su respectivo departamento. Adoptar las medidas necesarias para que el personal que accede a los Sistemas de Informacin con DCPs, conozca las normas de seguridad que afectan al desarrollo de sus funciones, as como las consecuencias en que puede incurrir en caso de incumplimiento. Esta tarea la realiza en colaboracin con el Responsable de Seguridad. Autorizar por escrito la ejecucin de los procesos de recuperacin de DCPs, segn lo establecido en el Procedimiento de Recuperacin de Datos de Carcter Personal. Establecer los criterios a seguir a la hora de conceder, alterar o anular el acceso autorizado de usuarios a los Sistemas de Informacin que manejan DCPs en el CORPME. Autorizar la salida de soportes informticos que contengan Datos de Carcter Personal fuera de los locales donde se ubica el fichero, segn los Procedimientos de Salida de Soportes Informticos con Datos de Carcter Personal. Autorizar el uso de DCPs reales en las pruebas de las aplicaciones que manejan los ficheros con DCPs. Adoptar las medidas correctoras pertinentes para solventar las deficiencias que en materia de seguridad de DCPs se detecten tras la realizacin de las auditorias peridicas, tanto internas como independientes que habrn de realizarse. Autorizar los accesos, modificacin y supresin de DCPs, solicitadas por los titulares de los datos segn se describe en el Procedimiento de Ejecucin de los Derechos de Acceso, Modificacin y Supresin de DCPs. Si se diera el caso, incluir en los contratos de prestacin de servicios que impliquen acceso a DCPs, las clusulas que establezcan las obligaciones de la empresa que presta el servicio respecto a la seguridad de los DCPs que maneja. 7.3.2.2. Responsable de Seguridad
El Responsable de Seguridad coordina y controla todas las tareas y actividades que en materia de seguridad de DCPs se realicen en el CORPME. Asimismo se responsabiliza de la definicin, implantacin y supervisin de las Normas y Procedimientos que afectan a los Ficheros con DCPs. Las funciones asignadas al Responsable de Seguridad del CORPME son las siguientes: Notificar para su inscripcin en el Registro General de Proteccin de Datos, la creacin, modificacin y cancelacin de los ficheros automatizados que contengan Datos de Carcter Personal. Mantener actualizado el Inventario de Ficheros con datos de carcter personal.
Colaborar con el Responsable de Fichero en la definicin de una coleccin de perfiles de usuario, donde se especifiquen las opciones de acceso permitido y el tipo de acceso requerido (actualizacin o consulta) a las aplicaciones que tratan los ficheros. Concretar los datos tcnicos y administrativos para cumplimentar las peticiones de administracin de usuarios derivadas de las necesidades manifestadas por los Responsables de las reas Usuarias. Autorizar las altas, bajas y modificaciones de acceso de los usuarios a los Sistemas de Informacin que manejan DCPs, siguiendo los criterios que para ello determine el Responsable de Fichero. Procesar la peticin de usuarios mediante el mecanismo habilitado de actualizacin de identificados y contrasea de acceso. En la emisin de Datos de Carcter Personal desde el CORPME, solicitar al Responsable de Ficheros, la preceptiva autorizacin para la salida de soportes que contengan datos de carcter personal. Participar en los procesos de recuperacin de DCPs, segn lo establecido en el Procedimiento de Copias de Respaldo y Recuperacin de Datos: o Verificar la definicin y aplicacin del Procedimiento de realizacin de Copias de Respaldo y Recuperacin de Datos. Comunicar al Responsable de Ficheros la necesidad de recuperacin de datos para obtener la autorizacin a la misma. Participar en la toma de decisiones asociadas a las recuperaciones de datos.
Asesorar, en la definicin de requisitos, sobre las medidas de seguridad que deben adoptarse en el desarrollo de aplicaciones que manejen DCPs. Validar que se han implantado los requisitos de seguridad necesarios. Mantenimiento actualizado del Documento de Seguridad LOPD: o Definir y establecer las Normas y Procedimientos que en materia de seguridad afecten a los Ficheros automatizados con DCPs. Mantener actualizadas las Normas y Procedimientos que en materia de seguridad afecten a los ficheros automatizados con DCPs. Mantener actualizada dentro del mbito del Documento de Seguridad la informacin relativa a los Sistemas de Informacin que contienen DCPs. Estar informado de los cambios que puedan producirse en las disposiciones legales sobre el tratamiento de Datos de Carcter Personal, y proponer medidas de adecuacin a dichos cambios, y en particular a los cambios que alteren el Documento de Seguridad.
Verificacin del cumplimiento de lo dispuesto en el Documento de Seguridad LOPD: o Verificar peridicamente, segn la Normativa para regular los controles peridicos para verificar lo dispuesto en el Reglamento, el correcto cumplimiento de las actuaciones que en materia de seguridad de DCPs se realicen en el CORPME.
Elaborar informes de verificacin del cumplimiento de lo dispuesto en el Documento de Seguridad del CORPME y presentarlos, si lo estima conveniente, a la Comisin de Seguridad. Creacin, modificacin y supresin de ficheros Preparar las disposiciones de publicacin en el BOE de la creacin, modificacin o supresin de ficheros del CORPME que contengan DCPs y sean de titularidad pblica. Comprobar peridicamente la coherencia de la informacin contenida en el Inventario de Ficheros con DCPs con la existente en el Documento de Seguridad LOPD.
o o
Colaboracin en las Auditoras de Seguridad: o Controlar que la Auditora de Seguridad LOPD se realice al menos cada dos aos para los ficheros de nivel MEDIO Y ALTO, en caso de existir alguno. Trasladar los informes de auditora que peridicamente se realicen, al Responsable de Fichero. Analizar los informes de Auditora y si lo considera necesario, elevar las medidas correctoras a implantar a la Comisin de Seguridad para su aprobacin. Confirmar la existencia en el informe de auditora, de una valoracin sobre el nivel de adecuacin de las medidas y controles al Reglamento de Medidas de Seguridad de la LOPD, identificando sus deficiencias y proponiendo las medidas correctoras o complementarias necesarias e incluyendo los hechos y observaciones en que se basen los dictmenes alcanzados y las recomendaciones propuestas.
Gestin de la Seguridad de los Sistemas de Informacin: o Supervisar y mantener actualizados los registros de usuarios con acceso autorizados a los sistemas de informacin. Supervisar y analizar las incidencias de seguridad acaecidas en el CORPME en relacin con la seguridad de los ficheros automatizados con DCPs. Dictaminar medidas cuya aplicacin minimice y/o elimine las incidencias acaecidas. Revisar peridicamente la informacin de control registrada sobre los accesos de los usuarios a los Sistemas de Informacin (trazas de LOG) y elaborar peridicamente (al menos una vez al mes) un informe de las revisiones realizadas y los problemas detectados. Reuniones de la Comisin de Seguridad: Asistir y participar en las reuniones de la Comisin de Seguridad. Presentar las propuestas que estime necesarias de modificacin del Documento de Seguridad LOPD. Presentar los informes correspondientes a: o o Auditoras de seguridad realizadas. Verificacin del cumplimiento de lo dispuesto en el Documento de Seguridad LOPD.
o o
Incidencias de carcter grave ocurridas que afecten a la seguridad de los Datos de Carcter Personal. Presentar cualquier otra propuesta de medidas y actuaciones relativas a la seguridad de los Datos de Carcter Personal.
Como se describi en el apartado correspondiente, el CORPME dispone de controles y medidas de seguridad para restringir el acceso de personas ajenas al servicio a las dependencias del CORPME. Adems de las medidas preventivas, el CORPME llevar un registro de acceso a las salas de equipos de proceso de datos que sirvan de soporte a la actividad de prestador de servicios de certificacin. Dentro de las medidas de seguridad y control de accesos se definir una poltica de control de llaves y Tarjetas de Identificacin, correspondiendo la custodia de las llaves no expresamente asignadas, y la autorizacin para la copia y depsito de las mismas al Responsable de Seguridad. En la poltica se establecern tambin los requisitos de seguridad aplicables en materia de identificacin y custodia de llaves. 7.3.3.2. Medidas de control de acceso a la informacin: Poltica de Permisos
El CORPME elaborar un inventario de puestos con sus correspondientes niveles de autorizacin para el acceso y tratamiento de DCPs. Las autorizaciones de acceso se vincularn adems de a usuarios concretos, a determinados equipos de proceso de datos, cuya ubicacin y configuracin por defecto estar orientada a asegurar la confidencialidad y proteccin de los DCPs. La autorizacin de accesos a los datos contenidos en un fichero corresponde al Responsable del Fichero. Los Responsables de Ficheros o las personas en quien estos deleguen, son los nicos con competencia para conceder, alterar o anular los accesos autorizados a los sistemas. El Responsable de Seguridad, en colaboracin con los Responsables de Fichero y Responsables Operativos, establecer para cada sistema informtico una segmentacin de los accesos mediante la definicin de perfiles de usuarios, donde se especifique las opciones de acceso permitidas y el tipo de acceso requerido (actualizacin o consulta). Cada uno de los usuarios estar asignado a un perfil por cada sistema al que tenga acceso, de manera que exclusivamente tenga acceso autorizado a los recursos que precisa para desempear su funcin. Cada usuario con acceso a los sistemas de la PKI, tendr un llavero criptogrfico con un certificado con las credenciales para acceder a los sistemas permitidos con los permisos correspondientes. Cada acceso autorizado a los SS.II. deber estar identificado unvocamente con el usuario correspondiente. La generacin de altas y bajas de usuario, as como la modificacin de derechos de acceso de los usuarios, se tramitarn exclusivamente a travs del medio establecido y siguiendo el procedimiento de administracin de usuarios.
De cualquier modo, existir un registro actualizado de los usuarios con acceso autorizado para cada sistema de informacin, al que tendr acceso el Responsable de Seguridad en sus labores de verificacin y control. El registro de usuarios de cada sistema deber contemplar al menos la siguiente informacin: Nombre de usuario. Cargo y puesto que desempea en el CORPME. Perfil de usuario. 7.3.3.3. Accesos autorizados y Poltica de Contraseas Todos los usuarios con acceso a un sistema de informacin, dispondrn de una nica autorizacin de acceso compuesta de identificador de usuario y contrasea. En los SS.II. se deber habilitar un mecanismo que exija, como mnimo cada 60 das, el cambio de la contrasea para cada autorizacin de acceso. La longitud de las contraseas ser igual o superior a 8 caracteres. El sistema de informacin, si lo permite, obligar al uso de esta longitud mnima de contrasea. Las contraseas estarn constituidas por combinacin de caracteres alfabticos y numricos y no har referencia a ningn concepto, objeto o idea reconocible. Por tanto, se debe evitar utilizar en las contraseas fechas significativas, das de la semana, meses del ao, nombres de personas, telfonos, etc. El sistema se inhabilitar para aquellos usuarios que intenten conectarse de forma consecutiva mediante identificadores y/o contraseas incorrectas. El nmero mximo de intentos permitidos ser de 3. Cuando un usuario tenga un periodo de inactividad en el acceso a un sistema de informacin mayor de 75 das, siempre que tecnolgicamente sea posible, se bloquear la cuenta correspondiente. El sistema almacenar mediante algoritmos de cifrado las contraseas, con el objeto de garantizar la confidencialidad e integridad de las mismas. 7.3.3.4. Registro de la informacin de acceso
Los SS.II. que manejen DCPs de nivel alto mantendrn automticamente un fichero de registro (LOG) cuyo contenido se conservar al menos durante dos aos y en el que se registrar como mnimo la siguiente informacin: Identificacin de usuario que accede. Fecha y hora en que realiz el acceso. Fichero accedido. Tipo de acceso. Acceso autorizado o denegado. Clave u otra informacin que identifique los registros accedidos por el usuario.
Los mecanismos que permiten el registro de los datos son competencia directa del Responsable de Seguridad, sin que se deba permitir en ningn caso, la desactivacin de los mismos. 7.3.3.5. Medidas de Seguridad para la gestin de soportes de almacenamiento fsico de datos.
El acceso a los soportes que contengan DCPs, deber restringirse quedando nicamente a disposicin de los usuarios autorizados. El almacenamiento deber realizarse en locales adecuados en cuanto a las medidas de control ambiental y control de acceso fsico. La conservacin de los soportes deber realizarse de manera sistemtica, de conformidad con una poltica de identificacin e inventariado llevada a cabo por uno o ms empleados especializados que actuarn como responsables de la gestin de soportes. 7.3.3.6. Medidas de Seguridad aplicables a Sistemas Informticos y redes de comunicaciones.
El Responsable de Seguridad ser el nico autorizado para definir los procedimientos de asignacin de permisos de uso y de accesos a los sistemas y redes de datos que permitan el acceso a los DCPs, de conformidad con los niveles de criticidad de los datos de que se trate, y de la propia estructura organizacional del CORPME. El uso de sistemas y el acceso a travs de una red de datos a los DCPs deber estar condicionado a la posesin legtima e introduccin correcta de los datos de acceso (nombre de usuario y contrasea) asignados al empleado del CORPME en razn a la funcin que desempea y de acuerdo con la presente declaracin de prcticas de certificacin. Los intentos fallidos de acceso fraudulento, los cuales estarn en cualquier caso limitados a un nmero reducido de intentos a fin de evitar los ataques de fuerza bruta, sern objeto de registro a fin de poder ser investigados y perseguidos, guardndose la fecha, hora, cdigo y claves errneas que se han introducido, as cualquier otra informacin que permita identificar al responsable del acceso fallido. 7.3.3.7. Estructura de los Ficheros con datos de carcter personal.
Los ficheros que contengan datos de carcter personal sern comunicados y registrados oportunamente en el Registro de Ficheros de la Agencia Espaola de Proteccin de Datos. La estructura de los mismos as como el nivel de los datos que contienen sern los definidos en la comunicacin y registro inicial, correspondiendo la aprobacin de cualquier modificacin, y su comunicacin a la Agencia Espaola de Proteccin de Datos al Responsable de Seguridad. 7.3.3.8. Gestin de Incidencias.
Se habilitar un registro de incidencias del Servicio bajo la supervisin del Responsable de Seguridad, donde quedarn anotadas todas las incidencias surgidas con ocasin de la prestacin del Servicio. En dicho Registro se anotar tambin la notificacin de la incidencia al departamento que corresponda, para su indagacin sobre la misma, registrndose as mismo el resultado de las gestiones practicadas para la resolucin de la misma. La falta de comunicacin por parte del empleado que tuviera conocimiento de una incidencia en el servicio, al departamento correspondiente, constituir una falta sancionable disciplinariamente. El Registro de incidencias deber incluir, al menos, la informacin siguiente: Fecha y hora de ocurrencia, descripcin detallada de la misma, identidad de quien notifica la incidencia y de quien toma cuenta de ella; gravedad, estimada, de la incidencia; y respuesta ofrecida, una vez sea atendida.
7.3.3.9.
Adems de garantizar la confidencialidad de los datos de carcter personal, es preciso tambin disponer las medidas y controles necesarios para asegurar la integridad y la disponibilidad de dichos datos para los fines a los que sirven. Congruentemente con lo expuesto se articularn procedimientos de copia de seguridad de tipo correctivo que permitan la recuperacin de los datos en caso de eliminacin accidental o maliciosa, corrupcin de los ficheros o cualquier causa que haga imposible el acceso legtimo a los mismos. La definicin de los procedimientos operativos para la realizacin de copias de respaldo estar a cargo del Responsable de Seguridad. As mismo ser el Responsable de Seguridad el encargado, en caso de prdida de ficheros, de gestionar la recuperacin de los soportes con los datos de respaldo y su restauracin en los repositorios en produccin a partir de la informacin respaldada al momento inmediatamente anterior a la prdida de los ficheros. 7.3.3.10. Poltica sobre Pruebas con datos reales
Con carcter general las pruebas de sistemas y aplicativos no se realizarn con datos reales. No obstante lo anterior cuando resulte imprescindible contar con dichos datos para la verificacin del correcto funcionamiento de un sistema o aplicativo el Responsable de Seguridad, con autorizacin del Comit de Seguridad, dispondr lo necesario para que dichas pruebas se realicen con las debidas garantas para la indemnidad e integridad de los datos.
8.
ANEXOS
Parlamento Europeo y del Consejo de 13 de diciembre de 1999, y con lo establecido en las normas especficas de aplicacin en Espaa. Directorio de Certificados: repositorio de informacin que sigue el estndar X.500 del ITU-T. Documento electrnico: conjunto de registros lgicos almacenado en soporte susceptible de ser ledo por equipos electrnicos de procesamiento de datos, que contiene informacin. Documento de seguridad: documento exigido por la LOPD cuyo objetivo es establecer las medidas de seguridad implantadas, a los efectos de este documento, por CORPME como Prestador de Servicios de Certificacin, para la proteccin de los datos de carcter personal contenidos en los Ficheros de la actividad de certificacin que contienen datos personales (en adelante los Ficheros). Encargado del Tratamiento: la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que trate datos personales por cuenta del Responsable del tratamiento de los Ficheros. Firma electrnica reconocida: es aquella Firma electrnica avanzada basada en un Certificado reconocido y generada mediante un Dispositivo seguro de creacin de Firma. Firma electrnica avanzada: es aquella Firma electrnica que permite establecer la identidad personal del Suscriptor respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al Suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que ste puede mantener bajo su exclusivo control. Firma electrnica: es el conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin personal. Funcin hash: es una operacin que se realiza sobre un conjunto de datos de cualquier tamao, de forma que el resultado obtenido es otro conjunto de datos de tamao fijo, independientemente del tamao original, y que tiene la propiedad de estar asociado unvocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Funcin hash. Hash o Huella digital: resultado de tamao fijo que se obtiene tras aplicar una Funcin hash a un mensaje y que cumple la propiedad de estar asociado unvocamente a los datos iniciales. Infraestructura de Claves Pblicas (PKI, public key infrastucture): infraestructura que soporta la gestin de Claves Pblicas para los servicios de autenticacin, cifrado, integridad, o no repudio. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de carcter personal: ley que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal y familiar. Listas de Revocacin de Certificados o Listas de Certificados Revocados (CRL): lista donde figuran exclusivamente las relaciones de Certificados revocados o suspendidos (no los caducados). Mdulo Criptogrfico Hardware de Seguridad (HSM): mdulo hardware utilizado para realizar funciones criptogrficas y almacenar Claves en modo seguro. -Nmero de serie de Certificado: valor entero y nico que est asociado inequvocamente con un Certificado expedido por CORPME. OCSP (Online Certificate Status Protocol): protocolo informtico que permite la comprobacin del estado de un Certificado en el momento en que ste es utilizado. OCSP Responder: servidor informtico que responde, siguiendo el protocolo OCSP, a las Peticiones OCSP con el estado del Certificado por el que se consulta.
OID (Object Identifier): valor, de naturaleza jerrquica y comprensivo de una secuencia de componentes variables aunque siempre constituidos por enteros no negativos separados por un punto, que pueden ser asignados a objetos registrados y que tienen la propiedad de ser nicos entre el resto de OID. Peticin OCSP: peticin de consulta de estado de un Certificado a OCSP Responder siguiendo el protocolo OCSP. PIN: (Personal Identification Number) nmero especfico slo conocido por la persona que tiene que acceder a un recurso que se encuentra protegido por este mecanismo. Prestador de Servicios de Certificacin: es aquella persona fsica o jurdica que, de conformidad con la legislacin sobre Firma electrnica expide Certificados electrnicos, pudiendo prestar adems otros servicios en relacin con la Firma electrnica. En la presente Declaracin de Prcticas de Certificacin, se corresponder con las Autoridades de Certificacin pertenecientes a la jerarqua de CORPME. Poltica de Certificacin (PC): documento que completa la Declaracin de Prcticas de Certificacin, estableciendo las condiciones de uso y los procedimientos seguidos por CORPME para emitir Certificados. Pliza: a efectos de la presente Declaracin de Prcticas de Certificacin se entender por la Pliza el documento notarial que el Notario autoriza ante el Suscriptor de un Certificado que documenta la intervencin notarial como Autoridad de Registro, as como su intervencin en el caso de revocacin del mismo. PKCS#10 (Certification Request Syntax Standard): estndar desarrollado por RSA Labs, y aceptado internacionalmente como estndar, que define la sintaxis de una peticin de Certificado. PUK: (Personal Unblocking Key) nmero o clave especfica slo conocido por la persona que tiene que acceder a un recurso que se utiliza para desbloquear el acceso a dicho recurso. Responsable del Fichero (o del Tratamiento del Fichero): persona que decide sobre la finalidad, contenido y uso del tratamiento de los Ficheros. -Responsable de Seguridad: encargado de coordinar y controlar las medidas que impone el Documento de seguridad en cuanto a los Ficheros. SHA-1: Secure Hash Algorithm (algoritmo seguro de resumen hash-). Desarrollado por el NIST y revisado en 1994 (SHA-1). El algoritmo consiste en tomar mensajes de menos de 264 bits y generar un resumen de 160 bits de longitud. La probabilidad de encontrar dos mensajes distintos que produzcan un mismo resumen es prcticamente nula. Por este motivo se usa para asegurar la Integridad de los documentos durante el proceso de Firma electrnica. Sellado de Tiempo: constatacin de la fecha y hora en un documento electrnico mediante procedimientos criptogrficos indelebles, basndose en las especificaciones Request For Comments: 3161 Internet X.509 Public Key Infrastructure TimeStamp Protocol (TSP), que logra datar el documento de forma objetiva. Solicitante: persona fsica que previa identificacin, solicita la emisin de un Certificado. Suscriptor (o Subject): el titular o firmante del Certificado. La persona cuya identidad personal queda vinculada mediatamente a los datos firmados electrnicamente, a travs de una Clave Pblica certificada por el Prestador de Servicios de Certificacin. El concepto de Suscriptor, ser referido en los Certificados y en las aplicaciones informticas relacionadas con su emisin como Subject, por estrictas razones de estandarizacin internacional. Tarjeta criptogrfica: tarjeta utilizada por el Suscriptor para almacenar claves privadas de firma y descifrado, para generar firmas electrnicas y descifrar mensajes de datos. Tiene la consideracin de
Dispositivo seguro de creacin de Firma de acuerdo con la Ley y permite la generacin de Firma electrnica reconocida. Terceros que confan en Certificados: aquellas personas que depositan su confianza en un Certificado de CORPME, comprobando la validez y vigencia del Certificado segn lo descrito en esta Declaracin de Prcticas de Certificacin UIT (Unin Internacional de Telecomunicaciones): organizacin internacional del sistema de las Naciones Unidas en la cual los gobiernos y el sector privado coordinan los servicios y redes mundiales de telecomunicaciones. X.500: estndar desarrollado por la UIT que define las recomendaciones del directorio. Se corresponde con el estndar ISO/IEC 9594-1: 1993. Da lugar a la serie de recomendaciones siguientes: X.501, X.509, X.511, X.518, X.519, X.520, X.521 y X.525. X.509: estndar desarrollado por la UIT, que define el formato electrnico bsico para Certificados electrnicos.
8.2.
El presente documento constituye un resumen de los derechos y obligaciones contenidos en la Declaracin de Prcticas de Certificacin (en adelante DPC) del Servicio de Certificacin del Colegio de Registradores (en adelante CORPME). El presente extracto tiene carcter noexhaustivo y no exonera al usuario final de la obligacin de consultar la Declaracin completa para informarse adecuadamente de sus obligaciones como titular de un certificado digital y de sus derechos ante el CORPME. La DPC y las polticas particulares de Certificacin aplicables a cada tipo de certificado, regulan todos los aspectos relativos al ciclo de vida de los certificados, en particular aquellos referidos la solicitud, emisin, aceptacin, renovacin, reemisin y revocacin de los mismos. Las relaciones jurdicas entre el emisor de los certificados, los usuarios de los mismos y los terceros que confan en los certificados del CORPME, se desarrollarn dentro del marco definido por la DPC y las polticas particulares que resulten de aplicacin a cada clase de certificado. El CORPME emite distintos tipos de certificados, todos ellos a personas fsicas, bien en su condicin de particulares como en el ejercicio de una profesin, cargo o representacin, incorporando en tal caso el certificado los atributos y extensiones necesarias para producir plenos efectos jurdicos en el mbito que le es propio. Ser responsabilidad del solicitante de un certificado del CORPME consultar las condiciones de uso aplicables, as como proveer la documentacin justificativa de los atributos a certificar. La utilizacin del certificado de firma electrnica para fines no recogidos en sus polticas de certificacin, y por tanto no amparados en la licencia de uso, se har bajo la entera responsabilidad del suscriptor. Ser responsabilidad del Suscriptor ejercer una custodia diligente del dispositivo seguro de creacin de firma y de la contrasea que protege el acceso a su clave privada. En caso de compromiso de dicha clave, o cualquier otro supuesto, prdida o sustraccin del dispositivo, que entrae un riesgo de uso ilegtimo de la firma electrnica del suscriptor, ste deber notificar de manera inmediata al CORPME para proceder a la Revocacin del certificado. Cualquier variacin en los datos proporcionados al CORPME en el momento de solicitar el certificado, o la modificacin o cese en el cargo o representacin certificada, deber ser comunicada de inmediato al CORPME a fin de revocar el certificado y, en su caso, emitir uno nuevo que recoja fielmente las nuevas circunstancias del suscriptor. La Declaracin de Prcticas de Certificacin en su ltima versin, as como el resto de documentos vinculados con la prestacin del servicio sern accesibles en la URL http://pki.registradores.org/normativa/index.htm, a disposicin de todos los interesados. Para cualquier consulta relacionada con el servicio puede dirigirse a http://www.scregistradores.com, o bien al correo electrnico scr@registradodres.org. Si desea contactar telefnicamente podr hacerlo en el 902 020 306, o alternativamente por va postal en la direccin siguiente: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de Espaa Servicio de Certificacin de los Registradores C/ DIEGO DE LEON, 21 28006-MADRID