DECLARACIÓN DE PRACTICAS DE CERTIFICACIÓN COLEGIO OFICIAL DE ARQUITECTOS DE SEVILLA

Transcripción

1 DECLARACIÓN DE PRACTICAS DE CERTIFICACIÓN COLEGIO OFICIAL DE ARQUITECTOS DE SEVILLA Versión 1.0 Noviembre, 2006

2 DPC del Colegio Oficial de Arquitectos de Sevilla Fecha de publicación primera versión: noviembre de , Colegio Oficial de Arquitectos de Sevilla Todos los derechos reservados. Queda prohibida la extracción y/o reutilización de la totalidad o de una parte de la DPC del Colegio Oficial de Arquitectos de Sevilla, sin la autorización expresa del mismo. DPC_COAS Página 2 de 45

3 1. INTRODUCCIÓN 1.1. Presentación El Colegio Oficial de Arquitectos de Sevilla (en adelante COAS) se constituye en Prestador de Servicios de Certificación emisor de Certificados no reconocidos de firma electrónica avanzada, mediante un Dispositivo de Creación de Firma, considerándose el presente documento como la preceptiva Declaración de Practicas de Certificación (DPC). Nace con la finalidad de ofrecer los mecanismos y sistemas tecnológicos necesarios para implantar, entre otros, un procedimiento de visado electrónico con las máximas garantías y valido jurídicamente, mediante la utilización de firma digital avanzada, creada para la prestación de servicios colegiales-profesionales. Garantizando la identificación del Arquitecto Colegiado, la seguridad y confidencialidad de la información intercambiada, la identidad del firmante y la autenticidad e integridad del documento electrónico utilizando principalmente técnicas seguras de cifrado adecuadas a la legislación vigente. Todo ello conforme a lo acordado por las partes en el contrato suscrito al efecto Objeto de la DPC Tiene por objeto regular y establecer conforme a la legislación vigente, las obligaciones que COAS se compromete a cumplir en relación con la gestión de los datos de creación y verificación de firma electrónica avanzada y de los Certificados, las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los Certificados, las medidas de seguridad técnicas y organizativas, los perfiles y los mecanismos de información sobre la vigencia de los Certificados. Contiene los controles de seguridad aplicados a sus procedimientos e instalaciones para garantizar el secreto y la confidencialidad y la protección de datos de carácter personal y demás consideraciones que se estime necesario, conforme a la Ley Orgánica 15/1999 de 13 de diciembre de protección de Datos de Carácter Personal y Real Decreto 994/1999 de 11 de junio, de Medidas de Seguridad. La presente Declaración de Practica de Certificación se articula de conformidad con lo establecido en la Ley 59/2003 de 19 de diciembre, de firma electrónica, normas que la que complementan y desarrollan. Las Políticas de Certificación (PC) aplicables a cada clase de Certificado complementan lo dispuesto con carácter general en la presente Declaración de Prácticas de Certificación Identificación Nombre: DPC_COAS O.I.D.: Descripción: Declaración de Prácticas de Certificación del Colegio Oficial de Arquitectos de Sevilla Versión: 1 Fecha de emisión: Versión inicial - Noviembre, 2006 Localización última versión en vigor: DPC_COAS Página 3 de 45

4 1.4. Identificación del Certificado Raíz del COAS El Certificado Raíz del COAS es un Certificado X.509 versión 3 con las siguientes características: Titular del Certificado organizationalunitname (OU) = Autoridad Certificadora COAS - RAIZ [G1] organizationname (O) = Colegio Oficial de Arquitectos de Sevilla (COAS) CIF:Q E countryname (C) = ES Certificado válido desde 26/09/ :04:49 Certificado válido hasta 26/09/ :04:49 Número de serie del Certificado Identificador de la Clave Pública (1) BA A A1 9A 6B 21 C8 6E D 24 D8 1D B9 D5 46 5C CB FC 0B A9 83 FF ED BA E2 3A Identificador del Certificado (2) B 02 9C 25 FE D0 45 4E 4D CD C6 F7 49 9D 2F 4A D0 24 (1) Identificador de la Clave Pública: Es la huella digital SHA-1 de la Clave Pública codificada en ASN.1 DER según el formato estándar RSAPublicKey (definido en RFC 3279). Éste es el formato en el que la Clave Pública aparece en el Certificado. (2) Identificador del Certificado: Es la huella digital SHA-1 del Certificado (codificado en ASN.1 DER) Detalles de contacto Colegio Oficial de Arquitectos de Sevilla (COAS) Plaza de Cristo de Burgos, Sevilla Teléfono Fax coasevilla@coasevilla.org DPC_COAS Página 4 de 45

5 2. COMUNIDAD DE USUARIOS Y APLICABILIDAD 2.1. Prestador de Servicios de Certificación COAS es la entidad responsable, como Autoridad de Certificación, de la emisión bajo la jerarquía de su Certificado raíz de los Certificados electrónicos emitidos, así como de la gestión del ciclo de vida de los mismos. Toda la información relativa a esta actividad de Prestador de Servicios de Certificación de COAS estará siempre disponible en la página Toda persona interesada podrá solicitar a COAS copia de la Declaración de Prácticas de Certificación, a la dirección: Plaza de Cristo de Burgos nº 35, Sevilla. España Solicitante A efectos de esta DPC será la persona física, que actúa en nombre propio o en el de una persona jurídica a la que representa, y que está autorizada, en función de cada una de las Políticas de Certificación de cada Certificado, a solicitar la expedición de un Certificado electrónico al COAS Suscriptor Es el titular del Certificado electrónico emitido por el COAS, quedando su identidad personal vinculada a sus datos de verificación de firma (clave pública) y a otros atributos mediante la firma electrónica del COAS. Deberá cumplir lo señalado en la DPC, en la PC del certificado obtenido y, en todo caso, en lo señalado en el contrato suscrito con el COAS Usuario Es la persona que voluntariamente confía y hace uso de los Certificados emitidos por el COAS. Cuando el Usuario decida voluntariamente confiar y hacer uso del Certificado le será de aplicación la presente DPC, así como la PC del Certificado en el que confía y hace uso. DPC_COAS Página 5 de 45

6 3. CERTIFICADOS EMITIDOS POR EL COAS 3.1. Certificado No Reconocido El COAS emite Certificados No Reconocidos según lo dispuesto en la Ley 59/2003 de 19 de diciembre de Firma Electrónica. En este tipo de Certificados se relaciona la identidad de un suscriptor con su clave pública y permite la firma de documentos electrónicos, conforme, en todo caso, a lo que se establezca en esta DPC y PC correspondiente, dotándolos de los mismos efectos de integridad y autenticidad documental que los producidos por la firma manuscrita respecto de los documentos en papel, en virtud de los establecido en el artículo 3.10 de la Ley 59/2003. La comprobación de la identidad del solicitante/suscriptor será presencial y documental. El solicitante/suscriptor deberá presentarse ante el Prestador de Servicios de Certificación con un documento de identidad válido, comprobándose además otros atributos del solicitante en función del certificado a emitir. Todos los datos contenidos en el certificado se protocolizan de acuerdo con lo establecido en esta DPC y en la PC de cada certificados. Los tipos de certificados que emite el COAS son: - Certificado de arquitecto colegiado - Certificado de arquitecto de visado - Certificado de administración de visado - Certificado de registro de entrada digital 3.2 Información general acerca de la Jerarquía de Certificación del COAS Estructura básica de la Jerarquía de Certificación del COAS: CA Raíz CA Colegio CA Colegiados CA Externos Registro de Entrada Arquitectos de Visado Administración de Visado Colegiados CAs delegadas CA Raíz Certificados de Autoridad Certificadora (CA) Certificados de Entidad Final DPC_COAS Página 6 de 45

7 En el diagrama anterior las flechas tienen el siguiente significado: una flecha de A a B indica que la clave privada correspondiente al certificado A firma el certificado B; es decir, que para validar el certificado B es necesario usar el certificado A. El COAS usa para los certificados digitales el estándar X.509 versión 3. - El certificado Raíz es el origen de las cadenas de confianza (cadenas de certificación) de los certificados del COAS. Delega en las CAs delegadas (también denominadas CAs intermedias ) la responsabilidad de la emisión de certificados de Entidad Final. - La CA de Colegio es la encargada de emitir los certificados de los Empleados del COAS. - La CA de Colegiados es la encargada de emitir los certificados de los Colegiados. - La CA de Externos es la encargada de emitir los certificados de las Entidades asociadas al COAS. Actualmente la CA de Externos no emite certificados. Cada tipo de certificado de Entidad Final tiene asociada su correspondiente Política de Certificación. El COAS usa para las Listas de Certificados Revocados (CRLs) el estándar X.509 versión 2. Cada certificado CA (Raíz, Colegio, Colegiados y Externos) genera una CRL correspondiente a los certificados que emite. Por ejemplo, los certificados de Colegiados que están revocados aparecen en la CRL emitida por la CA de Colegiados, mientras que las CAs delegadas revocadas aparecen en la CRL emitida por la Raíz. La Raíz no puede ser revocada por el método ordinario de inclusión en una CRL debido a que es la cúspide de la jerarquía de certificación. DPC_COAS Página 7 de 45

8 4. ASPECTOS GENERALES 4.1. Interpretación y ejecución Subrogación, novación y notificaciones. En el caso que el COAS vaya a cesar en su actividad de Prestador de Servicios de Certificación, deberá comunicarlo a los suscriptores de los Certificados emitidos así como a los solicitantes de Certificados expedidos a favor de personas jurídicas; y podrá transferir, con su consentimiento expreso, la gestión de los que sigan siendo válidos en la fecha en que el cese se produzca, a otro Prestador de Servicios de Certificación que los asuma o, en caso contrario, extinguir su vigencia. La citada comunicación se llevará a cabo con una antelación mínima de dos meses al cese efectivo de la actividad e informará, en su caso, sobre las características del Prestador al que se propone la transferencia de la gestión de los Certificados. El COAS con la misma antelación indicada anteriormente, comunicará al Ministerio de Industria, Turismo y Comercio el cese de su actividad y el destino que vaya a dar a los certificados, especificando, en su caso, si va a transferir la gestión y a quién o si extinguirá su vigencia. También comunicará al Ministerio cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad y la apertura de un procedimiento concursal. El COAS con la misma antelación indicada anteriormente, comunicará al Ministerio de Industria, Turismo y Comercio, el cese de su actividad y el destino que vaya a dar a los certificados, especificando, en su caso, si va a transferir la gestión y a quien o si extinguirá su vigencia. Asimismo comunicará al Ministerio de Industria, Turismo y Comercio cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad y la apertura de procedimiento concursal El COAS remitirá al Ministerio de Industria, Turismo y Comercio con carácter previo al cese definitivo de su actividad la información relativa a los Certificados electrónicos cuya vigencia haya sido extinguida para que éste se haga cargo de su custodia a efectos de lo previsto en el artículo 20.1.f).de la Ley de Firma electrónica. Este Ministerio mantendrá accesible al público un servicio de consulta específico donde figure una indicación sobre los citados Certificados durante un período que considere suficiente en función de las consultas efectuadas al mismo Tasas de registro por la emisión y renovación de los certificados. El COAS podrá fijar, en cada momento, tasas de registro por la expedición y renovación de los certificados, que deberán estar a disposición de los solicitantes Confidencialidad y protección de datos Confidencialidad de las claves de firma electrónica El COAS garantiza la confidencialidad frente a terceros durante el proceso de generación de las claves de firma criptográfica privadas que proporciona a los solicitantes. Una vez generadas y entregadas las claves privadas, el COAS se abstendrá de almacenar, copiar o conservar cualquier tipo de información que sea suficiente para reconstruir dichas claves Confidencialidad en la prestación de servicios de certificación El COAS mantendrán la más estricta confidencialidad de toda información recibida por los Solicitantes y Suscriptores de Certificados, siempre que la publicación o comunicación a terceros de dicha información no sea necesaria para la correcta prestación de los servicios de certificación, solicitando la correspondiente autorización de Solicitantes y Suscriptores cuando precise utilizar los datos para otros fines. DPC_COAS Página 8 de 45

9 Protección de datos El régimen de protección de datos de carácter personal derivado de la aplicación de la presente DPC será el previsto en la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en su normativa de desarrollo. Los ficheros son de titularidad privada y su creación, modificación o supresión se notificarán al Registro General de Protección de Datos de la Agencia Española de Protección de Datos. El COAS tiene la condición de Responsable del Fichero y por lo tanto decidirá sobre la finalidad, contenido y uso del tratamiento de los datos de carácter personal Sin perjuicio de otras obligaciones, COAS verificará que el Suscriptor es informado y presta su Consentimiento para el tratamiento de sus datos, con las finalidades y comunicaciones previstas en los documentos de consentimiento correspondiente Información al Suscriptor De conformidad con lo establecido en el artículo 5 de la LOPD, se informa al Solicitante/Suscriptor que los datos de carácter personal que se incluyan en los formularios, contratos o documentos que cumplimente durante el proceso de solicitud de la emisión de un Certificado son recogidos con la finalidad de prestar los servicios de certificación en los términos establecidos en la normativa vigente y en la presente Declaración de Prácticas de Certificación y Políticas correspondientes y son los mismos que aparecen en la ficha colegial. Mediante su cumplimentación, el solicitante consiente el tratamiento de sus datos para los usos y finalidades previstas. De conformidad con lo establecido en el artículo 11 de la LOPD el Solicitante/Suscriptor o cualquier usuario de Certificados consiente la comunicación a los Terceros que confían en los Certificados electrónicos emitidos por el COAS de sus datos de carácter personal que constan en el Certificado con la finalidad de consultar el directorio de los Certificados emitidos por COAS y su vigencia, así como las Listas de Certificados Revocados. El Solicitante/Suscriptor titular de los datos podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición, dirigiéndose para ello a COAS personalmente o a través de su página Web, sin perjuicio de las obligaciones de conservación que establezca la Ley. 4.3 Fiabilidad de la firma electrónica a lo largo del tiempo A continuación se detallan los mecanismos aportados por el COAS para garantizar la fiabilidad de la firma electrónica de un documento a lo largo del tiempo: Uso de algoritmos criptográficos fiables para el cálculo de la firma electrónica: - Algoritmo de huella digital: SHA-1. - Algoritmo de criptografía asimétrica: RSA con longitud de clave de 2048 bits para las Entidades Finales y las CAs delegadas, y de 4096 bits para el certificado Raíz. Estas longitudes garantizan la durabilidad de las firmas electrónicas según el estado actual de la tecnología y del criptoanálisis. En el momento de la validación de la firma es necesaria la disponibilidad de la cadena de certificación del firmante: Los programas aportados por el COAS garantizan este hecho ya que almacenan en los documentos firmados las cadenas de certificación de los firmantes. Además, el COAS almacena los certificados al menos durante 15 años contados desde su expedición. Capacidad de determinar de manera fiable el instante en el que se realizó la firma digital, o bien un instante posterior al mismo ( prueba de existencia ): (a) Para los documentos firmados por el COAS, es decir, por alguno de los certificados emitidos por la CA de Colegio, se asume que la fecha de firma es la que aparece en el propio documento firmado (salvo compromiso de las claves del firmante). Además, los DOCUMENTOS VISADOS por el COAS son introducidos en un ARCHIVO ENCADENADO, aportando con esto una gran fiabilidad al sistema (ver NOTA 3). DPC_COAS Página 9 de 45

10 (b) Para los documentos firmados enviados al COAS se asume que la fecha de firma es la que aparece en el correspondiente acuse de recibo. Este acuse de recibo debe estar firmado por el Registro de Entrada Digital del COAS. (c) Para el resto de documentos firmados (en los que no interviene el COAS ni como emisor ni como receptor) se debe aportar un sello de tiempo emitido por una Autoridad de Sellado de Tiempo. El COAS en ningún caso se hará cargo del sellado de tiempo de estos documentos. NOTAS: (1) Por brevedad, se entiende por fecha el valor <Año,Mes,Día,Hora,Minuto,Segundo>. (2) En los casos (a) y (b) se asume que la fecha aportada por el COAS es la correcta. Para garantizar este extremo dentro de lo técnicamente posible, el COAS mantiene sincronizados sus ordenadores a diversos Servidores Oficiales de Tiempo en Internet. La redundancia aportada por las diferentes fuentes de tiempo aumenta la seguridad en la corrección de la fecha. En la inserción de un DOCUMENTO VISADO en el Archivo Encadenado se registra el tiempo de dicha inserción y sus fuentes de tiempo, tomándolas directamente de los Servidores Oficiales en Internet en ese instante. (3) El ARCHIVO ENCADENADO contiene los DOCUMENTOS VISADOS por el COAS. Se trata de una secuencia ordenada cronológicamente (según el orden de inserción en el Archivo), donde el documento (n+1) contiene el valor hash SHA-1 del documento n al completo (incluido el valor hash almacenado en el documento n). Por tanto, el valor hash almacenado en el documento (n+1) ES FUNCIÓN DE TODOS LOS DOCUMENTOS ANTERIORES EN LA CADENA. Esto implica que si se deseara modificar un documento del Archivo Encadenado, entonces sería necesario recalcular todos los valores hash de todos los documentos siguientes para así mantener la coherencia de la cadena. Dado que los documentos visados son distribuidos entre un gran número de receptores, alguien que deseara modificar el documento n del Archivo Encadenado tendría que ponerse en connivencia con los receptores de los documentos (n+1), (n+2), (n+3), etc., ya que una simple comparación de cualquier documento posterior en el Archivo con el almacenado por su receptor haría evidente la manipulación. Ocurriría exactamente lo mismo si se intentara insertar un documento en la posición n, o eliminar el documento n. Esta redundancia distribuida hace que el Archivo Encadenado sea muy robusto y extremadamente difícil de manipular por cualquiera (incluido el COAS). Por tanto, puede ser utilizado para los siguientes propósitos: Determinar una fecha en la que existía un documento visado (prueba de existencia en dicha fecha). Detectar cualquier modificación de cualquier documento visado. Nótese que los 2 puntos anteriores son válidos incluso en el caso de que las claves del COAS estén comprometidas, ya que la robustez del Archivo Encadenado es independiente de la existencia de la firma digital. En el momento de la validación de la firma es necesaria la disponibilidad de las Listas de Certificados Revocados (CRLs) que estaban vigentes en el momento de la firma (o en un instante posterior), para así poder determinar el estado de revocación/suspensión de los certificados en aquel instante: Esto se garantiza debido a que el COAS almacena todas las CRLs emitidas. DPC_COAS Página 10 de 45

11 4.4. Derechos de propiedad intelectual La actividad del COAS como Prestador de Servicios de Certificación, le es aplicable lo establecido en la Ley de Propiedad Intelectual, aprobada por R.D. 1/1996, de 12 de abril. Queda prohibida la extracción y/o reutilización de la totalidad o de una parte de la DPC del Colegio Oficial de Arquitectos de Sevilla, sin la autorización expresa del mismo. No necesitará autorización del COAS la reproducción del Certificado cuando la misma sea necesaria para la utilización del mismo por parte del usuario legítimo y con arreglo a su finalidad, conforme a los términos establecidos en esta DPC, en la PC de cada Certificado y, en su caso, en el contrato de Prestación de Servicios suscrito. Los OID utilizados son propiedad de COAS y han sido registrados, quedando prohibido el uso total o parcial de cualquiera de los OID asignados a COAS, salvo para los fines específicos para los que se incluyen en los certificados y en los distintos documentos. DPC_COAS Página 11 de 45

12 5. OBLIGACIONES 5.1. Obligaciones del COAS Obligaciones previas a la expedición de Certificados Antes de la expedición de un Certificado el COAS se obliga a cumplir lo siguiente: a) Comprobar la identidad y circunstancias personales de los solicitantes de Certificados conforme a lo establecido en la presente DPC. b) Comprobar y verificar que la información que consta en el Certificado es correcta y que se incluye toda la establecida para la emisión el Certificado. c) Comprobar que el firmante está en posesión de los datos de creación de firma correspondientes (clave privada) a los de verificación que constan en el Certificado. d) Garantizar la complementariedad de los datos de creación y verificación de firma. e) Facilitar al Solicitante del Certificado la información que a continuación se detalla y que se ofrecerá de forma gratuita por escrito o por vía electrónica: - Las obligaciones que tiene el Suscriptor, la forma en que han de custodiarse y conservarse los datos de creación de firma, el procedimiento que ha de seguir para notificar y comunicar la pérdida o posible utilización incorrecta, indebida o ilegitima de dichos datos y/o los dispositivos de creación y de verificación de Firma electrónica que sean compatibles con los datos de firma y con el Certificado expedido. - Los mecanismos para garantizar la fiabilidad de la Firma electrónica de un documento a lo largo del tiempo. - El método utilizado por el COAS para comprobar la identidad del Suscriptor u otros datos que figuren en el Certificado. - Las condiciones de utilización del Certificado y sus límites. - El funcionamiento del Servicio de Atención al Cliente derivada de su actividad como Prestador de Servicios de Certificación. - Servicio de consulta sobre la vigencia de los Certificados y Certificaciones que el COAS que haya obtenido - Garantía de la responsabilidad patrimonial derivada de su actividad como Prestador de Servicios de Certificados no reconocidos. - Demás información contenida en la DPC o Políticas correspondientes Obligaciones del COAS simultáneas y posteriores a la expedición de Certificados. Simultánea o posteriormente a la expedición de los Certificados, el COAS se obliga a: a) No almacenar ni copiar los Datos de Creación de Firma de la persona a la que haya prestado sus servicios. b) Tener y conservar un Directorio actualizado de Certificados en el que se indicarán los Certificados expedidos, así como su situación de vigencia, suspensión, revocación o extinción. La integridad del Directorio se protegerá y conservará con la utilización de los mecanismos de seguridad adecuados en cada momento. c) Acreditar la fiabilidad necesaria para los servicios de certificación que realiza. d) Garantizar que puede determinarse con exactitud la fecha y la hora en las que se expidió, suspendió, revocó o se extinguió la vigencia de un Certificado. DPC_COAS Página 12 de 45

13 e) Garantizar que el personal está cualificado académicamente y con la experiencia necesaria para la prestación de los servicios ofrecidos. f) Utilizar sistemas y productos fiables protegidos contra toda alteración y que garanticen la seguridad técnica, y en su caso, criptográfica de los procesos de certificación a los que sirven de soporte. g) Conservar registrada utilizando cualquier medio seguro toda la información y documentación relativa a un Certificado y las DPC vigentes en cada momento, al menos durante 15 años contados desde el momento de su expedición, de manera que puedan verificarse las firmas efectuadas con el mismo. h) Utilizar sistemas seguros para almacenar los Certificados que permitan comprobar su autenticidad e impedir que personas no autorizadas alteren los datos, restrinjan su accesibilidad en los supuestos o a las personas que el Suscriptor haya indicado y permitan detectar cualquier cambio que afecte a estas condiciones de seguridad. i) Revocar el Certificado y publicar el hecho en su Directorio y/o Lista de Revocación de un modo inmediato, una vez recibida la correspondiente solicitud de revocación. La solicitud de revocación deberá ser tramitada conforme a lo previsto en la DPC y en las PC. j) Poner a disposición de los usuarios los medios necesarios para comprobar y verificar la autenticidad de los Certificados emitidos. k) Facilitar el acceso por medios telemáticos a esta DPC, a la PC y a las versiones actualizadas de las mismas. l) Emitir los Certificados solicitados siempre que se soliciten conforme a las normas y procedimientos establecidos en la presente DPC y correspondiente PC. m) Cumplir todas aquellas obligaciones impuestas por la presente DPC, las PC y por la normativa vigente en materia de Firma electrónica y prestación de servicios de certificación Obligaciones del Solicitante a) Solicitar el Certificado conforme a los procedimientos descritos en la presente DPC y en las correspondientes PC y, en su caso, en el contrato para la prestación de servicios de certificación suscrito con el COAS. b) Suministrar la información necesaria para realizar una correcta identificación. c) Confirmar la exactitud y veracidad de la información suministrada. d) Abonar las tasas, establecidas en cada momento, correspondientes a los servicios solicitados Obligaciones del Suscriptor a) Recibir el Certificado conforme a los procedimientos descritos en la presente DPC y en las correspondientes PC y, en su caso, en el contrato para la prestación de servicios de certificación suscrito con el COAS. b) Mantener el compromiso para todo el periodo de vigencia del Certificado, de que toda la información contenida en el Certificado es cierta y se compromete a notificar de forma inmediata cualquier modificación, actualización o inexactitud de la misma. c) Utilizar el Certificado exclusivamente dentro de los límites especificados en el momento de su concesión y conforme a los límites especificados en la presente DPC y PC correspondiente. d) No utilizar el Certificado desde el momento que solicita su revocación o fuera del periodo de validez, para la firma de documentos. DPC_COAS Página 13 de 45

14 e) Utilizar, proteger, custodiar y conservar de forma diligente el Certificado, las claves, el soporte de las mismas, y cualquier otro dato o información referente a la Creación o Verificación de Firma, tomando las precauciones razonables para evitar su perdida, revelación, modificación o uso no autorizado. f) No ceder, ni revelar los datos de creación de Firma, que son intransferibles, pudiendo ser únicamente utilizados por la persona física o jurídica titular del Certificado, incluso después de la finalización de los servicios de Certificación que el COAS le presta. g) Notificar de forma inmediata y diligente al COAS la sospecha, pérdida o divulgación, modificación o uso no autorizado de la Clave Privada, o cualquier situación que pueda afectar a la validez del Certificado, o su confidencialidad, solicitando su revocación en forma inmediata, en cuanto se tenga conocimiento de ello. h) Conocer y cumplir todas aquellas obligaciones impuestas en esta DPC, en las PC y en las modificaciones que se produzcan de éstas, y en particular las limitaciones de uso. i) Verificar con carácter previo a confiar en los Certificados, la Firma electrónica de COAS como Prestador de Servicios de Certificación emisor del Certificado. j) Dar su consentimiento para la publicación en el Directorio de Certificados de sus datos personales contenidos en el Certificado. k) Revisar la información contenida en el Certificado, y notificar al COAS cualquier error o inexactitud. l) Destruir los datos de creación de firma de su certificado cuando sea revocado o haya caducado. En cualquier caso deberá destruir los datos de creación de firma y el certificado cuando así lo determine el COAS Obligaciones del Representado Sin perjuicio de las obligaciones que correspondan en cada caso al suscriptor del Certificado, el Representado deberá solicitar al COAS la revocación del Certificado tan pronto revoque el poder otorgado al representante o resulten extinguidas por cualquier otra causa las facultades de representación Obligaciones del los Terceros que confían en los Certificados a) Verificar, previamente a confiar en Certificados emitidos por el COAS, la Firma electrónica del COAS como Prestador de Servicios de Certificación emisor del Certificado. b) Verificar el estado de los Certificados en la cadena de certificación, mediante consulta a las Listas de Revocación de Certificados. c) Comprobar y conocer las restricciones que figuren en los Certificados en cuanto a los posibles usos y condiciones de utilización. d) Notificar al COAS cualquier anomalía relativa a un Certificado y que pueda ser considerada como causa de revocación del mismo, aportando todos los elementos de que disponga para la acreditación de lo notificado. En el supuesto que no se realicen las verificaciones y comprobaciones establecidas el COAS no se hace responsable del uso y confianza que los terceros hagan de los certificados. DPC_COAS Página 14 de 45

15 6. RESPONSABILIDADES 6.1. Responsabilidad del COAS El COAS será responsable y por tanto responderá en caso del incumplimiento de sus obligaciones recogidas en la presente DPC, en las PC, en la Ley de Firma electrónica y normativa existente en materia de prestación de servicios de certificación de certificados no reconocidos. No será responsable y por tanto no responderá de los daños y perjuicios causados por las siguientes causas: a) El incumplimiento de las obligaciones que correspondan a los suscriptores de los Certificados. b) La utilización de los Certificados emitidos por el COAS y sus correspondientes claves para usos no permitidos o por su utilización fuera del periodo de vigencia del mismo. c) La pérdida, divulgación o compromiso de la clave privada del Suscriptor; o por el uso incorrecto de los soportes que contienen los Certificados y las claves. d) El contenido o idoneidad de la información o exactitud de los documentos firmados digitalmente con una firma basada en un Certificado emitido por el COAS. e) Caso fortuito o fuerza mayor tales como los desastres naturales, las guerras, cortes en el suministro imputables a terceros o en el funcionamiento defectuoso de los equipos informáticos utilizados por el Suscriptor. El COAS no responderá ante personas cuyo comportamiento en la utilización de los Certificados haya sido negligente, debiendo considerarse como negligencia la falta de observancia de lo dispuesto en la DPC y en las PC. El COAS no garantiza los algoritmos criptográficos utilizados ni responderá de los daños causados por ataques externos a los mismos, siempre que haya aplicado la diligencia debida según el estado de la técnica en cada momento y haya actuado conforme a lo dispuesto en la presente DPC como Prestador de Servicios de Certificación y en la Ley 59/2003 de 19 de diciembre, de firma electrónica y conforme al ordenamiento jurídico vigente. El Servicio de Certificación del COAS dispone de la solvencia financiera necesaria para hacer frente a las responsabilidades patrimoniales que la legislación vigente impone. Dichas responsabilidades se encuentran cubiertas mediante instrumentos de aseguramiento admitidos en derecho Responsabilidad del Solicitante El Solicitante responderá de la veracidad o exactitud de la información aportada durante el proceso de solicitud del Certificado y de los daños al COAS como consecuencia de la falsedad de la información suministrada en el mencionado procedimiento de emisión del Certificado, o contra cualquier daño y perjuicio que sufra el COAS como consecuencia de acto u omisión del Solicitante. La custodia de los Datos de Creación de Firma asociados a cada Certificado electrónico emitido por el COAS cuyo Suscriptor sea una persona jurídica, será responsabilidad de la persona física Solicitante/Custodio cuya identificación figure en el Certificado Responsabilidad del Suscriptor El Suscriptor responderá en caso de incumplimiento de sus obligaciones y, en todo caso, del uso indebido del Certificado. El Suscriptor responderá del incumplimiento del deber de informar a COAS sobre cualquier variación de estado o información respecto de lo reflejado en el Certificado, para su revocación y nueva expedición. DPC_COAS Página 15 de 45

16 Asimismo, será el Suscriptor quien deba responder ante terceros del uso indebido del Certificado, o de la falsedad de las manifestaciones en él recogidas, o actos u omisiones que provoquen daños y perjuicios a COAS o a terceros Responsabilidad del Usuario de Certificado Los Usuarios de Certificados emitidos por el COAS son responsables de cumplir la presente DPC y las correspondientes PC. Los Usuarios de Certificados emitidos por el COAS son responsables de actuar de forma diligente, verificando en todo caso las firmas electrónicas de los documentos electrónicos y los Certificados emitidos por el COAS. En ningún caso podrá presumirse la autenticidad de los documentos electrónicos o los Certificados Servicio de atención al usuario El COAS dispone de un Servicio de Atención a todas las personas que utilizan el Servicio de Certificación de Certificados no reconocidos, donde podrán dirigirse personalmente o por escrito, para formular sugerencias, realizar consultas o solicitar la resolución de cualquier conflicto que pueda surgir. DPC_COAS Página 16 de 45

17 7. GESTIÓN DE CLAVES 7.1. Generalidades El COAS sigue los siguientes estándares criptográficos: - El algoritmo de criptografía de clave pública es RSA. La longitud y periodo de validez de las claves RSA depende de los distintos certificados: Raíz: 4096 bits y 50 años de validez. CAs delegadas: 2048 bits y 30 años de validez. Entidades Finales: 2048 bits y 4 años de validez. - El algoritmo de cálculo de huellas digitales es SHA-1. - El algoritmo de criptografía de clave simétrica es Triple DES de 112 bits de longitud de clave. Este algoritmo se usa tanto para cifrar documentos como para cifrar claves privadas RSA. El módulo criptográfico software que implementa los algoritmos RSA, SHA-1 y Triple DES está certificado FIPS Nivel 1. La certificación incluye todos los procesos asociados a dichos algoritmos, tales como: generación de números aleatorios, generación de claves, cifrado, creación de firmas digitales, verificación de firmas digitales, etc. Las claves privadas RSA siempre se almacenan en disco encriptadas mediante Triple DES, garantizándose además su integridad. Las claves Triple DES que encriptan las claves privadas RSA son derivadas de contraseñas mediante la función de derivación de claves PBKDF1, del estándar PKCS #5 v2.0. Se exige que las contraseñas tengan una longitud mínima de 10 caracteres Gestión de las claves de la Autoridad Certificadora La generación de las claves RSA de los certificados CA del COAS (CA Raíz y CAs delegadas) se realizó mediante el módulo criptográfico software FIPS Nivel 1 mencionado en el apartado 7.1. Se tomaron especiales cuidados para asegurar el entorno de ejecución: - Máquina y sistema operativo recién instalados. - Análisis de ausencia de virus, espías, etc. - Durante la generación de claves la máquina estuvo totalmente desconectada de cualquier tipo de red. - Tras la extracción de la clave privada de la Raíz, se realizó sobreescritura del disco varias veces para destruir cualquier resto de datos (que en cualquier caso estaban encriptados mediante Triple DES). La clave privada de la CA Raíz del COAS se mantiene depositada offline, encriptada y custodiada en un sistema de almacenamiento seguro. Las claves privadas de las CAs delegadas se mantienen encriptadas y custodiadas de manera segura. Sólo se permite el acceso a las claves privadas de las CAs a un número determinado de personas debidamente autorizadas por el COAS, haciendo especial énfasis en la seguridad de la clave privada de la CA Raíz. En su caso, si en algún momento se viera en la necesidad de la eliminación de las claves, el procedimiento que se seguirá será el de sobreescritura. DPC_COAS Página 17 de 45

18 8. VIGENCIA DE LOS CERTIFICADOS 8.1. Caducidad Los Certificados emitidos por el COAS tendrán la validez indicada en las correspondientes Políticas de Certificación, sin perjuicio de que durante su vigencia ocurra cualquier causa de extinción. Este periodo se contará desde la fecha de su emisión. La caducidad del Certificado se notificará al Suscriptor por medio telemático con una antelación mínima de 30 días, exclusivamente para su conocimiento, transcurrido este plazo el Certificado caducará. Fuera de este periodo de validez los Certificados se considerarán inválidos para la firma de documentos, cesando de esta manera los servicios de certificación ofrecidos por el COAS. Caducado el certificado emitido por el COAS no podrá solicitarse la renovación del mismo, siendo necesaria la emisión de uno nuevo, conforme al procedimiento establecido en esta DPC, en el caso de que el Suscriptor estime conveniente seguir utilizando los servicios de Certificación de COAS Renovación Un mes antes de la fecha de la caducidad del certificado el suscriptor podrá solicitar su renovación, mediante el procedimiento descrito en la PC correspondiente, en el caso que quiera seguir utilizando un certificado con idénticas características al que tiene en el momento de solicitar la renovación. Sin perjuicio de lo anterior, el COAS comunicará al suscriptor la fecha de caducidad de su certificado, con al menos un mes de antelación a dicha fecha. En los casos de renovación el COAS procederá a emitir un nuevo certificado, generando nuevas claves, y llevando a cabo las medidas de comprobación oportunas, teniendo en consideración que el antiguo certificado tiene plena vigencia al no haber caducado y al no haber comunicado el suscriptor cambio en los datos que contiene Extinción Los Certificados emitidos por COAS, exceptuando el Certificado raíz, se extinguen en los siguientes casos: a) Expiración del período de validez del Certificado recogido expresamente en la PC aplicable. b) Cese en la actividad como Prestador de Servicios de Certificación de COAS salvo que, previo consentimiento expreso del Suscriptor, la gestión de los Certificados expedidos por COAS hayan sido transferidos a otro Prestador de Servicios de Certificación. En los dos casos anteriores, a) y b), la perdida de eficacia de los Certificados tendrá lugar desde que estas circunstancias se produzcan. c) Revocación o Suspensión del Certificado por cualquiera de las causas previstas en la presente DPC. d) Resolución judicial, administrativa o colegial que así lo ordene. e) Fallecimiento o extinción de la personalidad jurídica del firmante; de la personalidad jurídica del representado; incapacidad sobrevenida, total o parcial, del firmante o de su representado; terminación o modificación de la representación; disolución de la persona jurídica representada o alteración de las condiciones de custodia o uso de los Datos de creación de Firma que estén reflejadas en los Certificados expedidos a una persona jurídica. La extinción de la vigencia de un Certificado producirá efectos frente a terceros, en los supuestos de expiración de su período de validez, desde que se produzca esta circunstancia y, en los demás casos, desde que la nota de la extinción se incluya en las Listas de Consulta sobre la vigencia de los Certificados de COAS. DPC_COAS Página 18 de 45

19 8.4. Revocación Se podrá solicitar la revocación de los Certificados durante el período de validez del mismo. La revocación de un Certificado supone la pérdida de su eficacia, siendo sus consecuencias equivalentes a las de caducidad. Estará legitimado para solicitar la revocación de un Certificado el Suscriptor directamente o a través de tercero con poder suficiente conforme a derecho Causas de revocación Los certificados serán revocados cuando se produzca alguna de las siguientes causas: a) La revocación solicitada por el suscriptor, la persona física o jurídica representada por éste, un tercero autorizado o la persona física solicitante de un Certificado electrónico de persona jurídica. Dicha solicitud se deberá efectuar siempre en los siguientes casos: - Cuando se produzca la pérdida del soporte de los Datos de creación de Firma. - Cuando se produzca la utilización indebida por un tercero de los Datos de creación de Firma del Suscriptor. - Cuando se produzca la violación o puesta en peligro del secreto de los Datos de creación de Firma del Suscriptor. b) Resolución judicial, administrativa o colegial que lo ordene. c) El fallecimiento o extinción de la personalidad jurídica del firmante. d) El fallecimiento o extinción de la personalidad jurídica del representado. e) La incapacidad sobrevenida, total o parcial, del firmante o de su representado. f) La terminación de la representación. g) La disolución de la persona jurídica representada. h) La alteración de las condiciones de custodia o utilización de los datos de creación de firma que estén reflejadas en los certificados expedidos a una persona jurídica. i) Cese en la actividad del prestador de servicios de certificación salvo que, previo consentimiento expreso del firmante, la gestión de los certificados electrónicos expedidos por aquél sean transferidos a otro prestador de servicios de certificación. j) Alteración de los datos aportados para la obtención del certificado o modificación de las circunstancias verificadas para la expedición del certificado, como las relativas al cargo o a las facultades de representación, de manera que éste ya no fuera conforme a la realidad. En ningún de estos casos, a) hasta j), el COAS asume obligación alguna de comprobar los extremos citados. k) Utilizar los datos de creación de firma cuando el COAS le notifique la suspensión de su vigencia. l) Incumplir los límites que figuren en el Certificado electrónico en cuanto a sus posibles usos y/o no utilizarlo conforme a las condiciones establecidas en esta DPC o PC correspondiente o contrato suscrito entre las partes y comunicadas al Suscriptor por el COAS. m) No haber proporcionado al COAS información veraz, completa y exacta sobre los datos que deban constar en el Certificado electrónico o que sean necesarios para su expedición o para la extinción o suspensión de su vigencia, cuando su inexactitud no haya podido ser detectada por el prestador de servicios de certificación. n) La falta de comunicación inmediata y sin demora al COAS, de cualquier modificación de las circunstancias reflejadas en el Certificado electrónico. DPC_COAS Página 19 de 45

20 o) Negligencia en la conservación de los Datos de creación de Firma, en la obligación de guardar su confidencialidad y en la protección de todo acceso o revelación. p) No solicitar la suspensión o revocación del Certificado en caso de duda respecto a la obligación de mantenimiento de la confidencialidad de sus datos de creación de firma. q) Contravenir cualquier obligación establecida en la presente DPC o en las correspondientes PC o en el contrato suscrito entre las partes Efectos de la revocación La revocación de un certificado provocará la extinción de su vigencia desde la fecha en que el COAS tenga conocimiento de cualquiera de las causas determinantes de la misma y así lo haga constar en el Directorio de Certificación del COAS y en la Lista de Revocación. La revocación de un Certificado impide el uso legítimo del mismo por parte del Suscriptor Procedimiento para la solicitar la revocación Está legitimado para solicitar la revocación del Certificado el suscriptor personalmente o a través de tercero con poder suficiente conforme a derecho, debiendo seguir el procedimiento específico que corresponda según la Política de Certificación adjunta a la presente Declaración de Practicas de Certificación. Una vez recibida y autenticada la solicitud de revocación, el COAS procederá a tramitar la revocación efectiva del Certificado. En las Listas de Revocación de Certificados se publicará y se hará constar de manera inmediata la revocación efectuada a petición de quien esté legitimado para ello. El COAS mantendrá los Certificados revocados en las Listas de Revocación durante un plazo igual o equivalente a la de validez teórica del Certificado en el momento de su emisión. Al terminar el período teórico de validez del Certificado, éste dejará de estar en las Listas de Revocación Suspensión La solicitud de suspensión de los Certificados podrá realizarse durante el período de validez de los mismos, recogido expresamente en cada PC Causas de la suspensión Son causas de suspensión de la vigencia de los Certificados: a) La solicitud del Suscriptor, la persona física o jurídica representada por éste, un tercero autorizado o la persona física solicitante de un Certificado electrónico de persona jurídica. b) Resolución judicial, administrativa o colegial que lo ordene, el inicio de un procedimiento judicial, administrativo o de investigación que pudiera establecer que el Certificado está afectado por una causa de revocación. En este caso el COAS, suspenderá la vigencia del Certificado por el plazo que dure el procedimiento y transcurrido el mismo se procederá a la reactivación del mismo, siempre que sea procedente y conforme a derecho. c) La existencia de dudas fundadas acerca de la concurrencia de las causas de revocación de la vigencia de los Certificados contempladas en el punto de esta Declaración de Practica de Certificación Efectos de la suspensión Los efectos de la suspensión del Certificado son la extinción de su vigencia, producirá efectos desde la fecha en que el COAS tenga conocimiento de cualquiera de las causas de suspensión, y así lo haga constar en su Directorio de Certificados y en la Lista de Revocación. DPC_COAS Página 20 de 45

21 La suspensión de un certificado impide el uso legitimo del mismo durante el periodo de suspensión. El plazo máximo de suspensión de un Certificado será el correspondiente a su vigencia, transcurrido el cual perderá definitivamente su vigencia, siendo sus consecuencias equivalentes a las de caducidad Procedimiento para solicitar la suspensión Estará legitimado para solicitar la suspensión de un Certificado el suscriptor directamente o a través de tercero con poder suficiente conforme a derecho, debiendo seguir los trámites particulares que se establezcan en la Política de Certificación adjunta a la presente DPC. Una vez recibida en su caso y autenticada la solicitud de suspensión, el COAS procederá a tramitar la suspensión efectiva del Certificado. El COAS mantendrá los Certificados suspendidos en las Listas de Certificados Revocados durante un plazo igual o equivalente a la de validez teórica del Certificado en el momento de su emisión. Al terminar el período teórico de validez del Certificado, éste dejará de estar en las Listas de Certificados Revocados. La publicación y consulta de las Listas de Revocación se realizará conforme a lo establecido en el apartado del presente documento Procedimiento para levantar la suspensión de Certificados Estará legitimado para solicitar el levantamiento de la suspensión de un Certificado el Suscriptor directamente o a través de tercero con poder suficiente conforme a derecho, debiendo seguir los trámites particulares que se establezcan en la correspondiente Política de Certificación, complementaria a la presente DPC Notificación de la revocación, extinción o suspensión de los Certificados El COAS notificará la revocación, extinción o suspensión de los Certificados por correo electrónico o postal. Cuando no sea posible la notificación en alguna de las dos formas anteriormente citadas, se notificará por teléfono. No obstante la notificación se entenderá validamente realizada cuando se efectué por correo electrónico a la dirección notificada al COAS por el suscriptor, por cuanto, ha sido facilitada al COAS y admitida previamente por el Solicitante/Usuario del Certificado. Si el sistema produjera un mensaje de error o rechazara la comunicación, por causa imputable al receptor, se entenderá que el COAS ha realizado correcta y válidamente la notificación cuando conste el mensaje de error o rechazo. A fin de justificar posteriormente el cumplimiento de la debida diligencia en la notificación, COAS conservará durante quince años el comprobante electrónico de haber realizado la comunicación de la revocación, suspensión o extinción Procedimientos de consulta del estado de los Certificados. El Suscriptor del Certificado tendrá acceso a las Listas de Certificados Revocados a través de la Web de COAS conforme se establezca en la correspondiente Política de Certificación, para poder comprobar el estado del certificado. DPC_COAS Página 21 de 45

22 9. CONTROLES DE SEGURIDAD 9.1. Documento de Seguridad Objetivo del Documento de Seguridad Mediante el presente documento el COAS recoge las medidas de seguridad establecidas para la protección de los datos de carácter personal, contenidos en sus Ficheros, de acuerdo con la legislación vigente en materia de Protección de Datos de carácter personal. EL COAS como Prestador de Servicios de Certificación precisa recabar datos de carácter personal de los Solicitantes/Suscriptores, con el fin de identificarlos y prestarles los servicios de certificación interesados. Los datos personales solicitados se corresponden con los que aparecen en la ficha colegial. Dada la naturaleza de este tipo de datos, según indica el Real Decreto 994/1999, el COAS debe adoptar medidas de seguridad de nivel básico. La vigencia del Documento de Seguridad se inicia desde su realización y ordenación de las medidas de seguridad hasta su modificación, en su caso. La presente Normativa de Seguridad tiene por objeto preservar los datos personales procesados dentro del Prestador de Servicios de Certificación de COAS por lo que afectará a todos aquellos recursos (personal, máquinas, aplicativos, métodos) que estén implicados en el procesamiento de estos datos. Desde el Sistema de Información que desempeña las funciones de registro de los usuarios, donde se recaban los datos, hasta el almacenamiento y archivo de los mismos en sistemas de Directorio seguro, para evitar su alteración, pérdida, tratamiento o acceso no autorizado y ser utilizados para una finalidad legítima. La titularidad de los ficheros de datos de carácter personal recabados con ocasión de la prestación del Servicio de Certificación, serán de titularidad del COAS, quien procederá a su inscripción y mantenimiento de conformidad con el régimen aplicable. Todo el personal del COAS que intervenga directa o indirectamente en el tratamiento automatizado de los datos de carácter personal está obligado a cumplir y a respetar las disposiciones establecidas en el RD 994/1999 y, en especial, lo establecido en el presente documento. Todo el personal autorizado para acceder a los datos es informado de sus obligaciones y responsabilidades así como de su contenido Funciones y obligaciones del personal El personal del COAS, como usuarios que tratan los Ficheros, conoce y cumple sus funciones y obligaciones establecidas en el Documento de Seguridad. En el uso y tratamiento de los datos de carácter personal del Fichero determinado personal tiene atribuidas funciones diferenciadas, distinguiéndose: Responsable del Fichero COAS será Responsable de los Ficheros de datos personales a los que con ocasión del desempeño de sus funciones como Prestador de Servicios de Certificación, tenga acceso. Las funciones que el Reglamento de Medidas de Seguridad pone a Cargo del Responsable del Fichero, serán desempeñadas por el responsable de cada departamento en el que se hayan de implantar medidas y controles de seguridad. Las funciones del Responsable del Fichero son, entre otras, las que siguen: - Administrar el Sistema de Protección de Datos personales. - Elaborar e implantar el Documento de Seguridad, manteniendo actualizado. - Establecer las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información. DPC_COAS Página 22 de 45