REGISTRO DE CAMBIOS LISTA DE DISTRIBUCIÓN

Transcripción

1

2

3 REGISTRO DE CAMBIOS CAMBIO PÁGINAS AFECTADAS FECHA DE MODIFICACIÓN OBSERVACIONES LISTA DE DISTRIBUCIÓN Nº COPIA DESTINATARIO ORGANISMO / EMPRESA

4

5 ÍNDICE 1. INTRODUCCIÓN Objeto Alcance Identificación de la Política Datos de Contacto Gestión de la Política de Firma Interacción con otras Políticas Documentos de Referencias / Aplicables Definiciones y Lista de Acrónimos Definiciones Lista de Acrónimos ÁMBITO DE APLICACIÓN ACTORES INVOLUCRADOS EN LA FIRMA ELECTRÓNICA REGLAS COMUNES Formatos Admitidos de Firma Reglas de Uso de Algoritmos Reglas de Creación de la Firma Electrónica Reglas de Validación de la Firma Electrónica...8 ANEXO A. ANEXO B. ETIQUETAS DE CREACIÓN Y VALIDACIÓN DE FIRMAS ELECTRÓNICAS PARA LOS FORMATOS ADMITIDOS. LISTA DE DOCUMENTOS ADMITIDOS PARA USAR CON FIRMA ELECTRÓNICA. - i -

6 LISTA FIGURAS LISTA TABLAS - ii -

7 1. INTRODUCCIÓN El concepto de firma electrónica se puede definir, según la ley 59/2003, de 19 de diciembre, de las siguientes formas: Firma Electrónica General: "La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.". Firma Electrónica Avanzada: ( ) es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.". Firma Electrónica Reconocida: Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. Para que una firma electrónica pueda ser considerada firma electrónica avanzada es necesario cumplir los siguientes requisitos: La identificación: posibilita garantizar la identidad del firmante de manera única. Integridad: garantiza que el contenido de un mensaje de datos ha permanecido completo e inalterado, con independencia de los cambios que hubiera podido sufrir el medio que lo contiene como resultado del proceso de comunicación, archivo o presentación. No repudio: es la garantía de que no puedan ser negados los mensajes en una comunicación telemática. Cuando se firman datos, el firmante indica la aceptación de unas condiciones generales y unas condiciones particulares aplicables a una firma electrónica mediante la inclusión de un campo firmado, dentro de la firma, que específica una política explícita o implícita. Si el campo correspondiente a la normativa de firma electrónica está ausente y no se identifica ninguna normativa como aplicable, entonces se puede asumir que la firma ha sido generada o verificada sin ninguna restricción normativa, y en consecuencia, que no se le ha asignado ningún significado concreto legal o contractual. Se trataría de una firma que no especifica de forma expresa ninguna semántica o significación concreta y, por lo tanto, hará falta derivar el significado de la firma a partir del contexto (y especialmente, de la semántica del documento firmado). La finalidad de una política de firma es reforzar la confianza en las transacciones electrónicas a través de una serie de condiciones para un contexto dado, el cual puede ser una transacción determinada, un régimen legal, un rol que asuma la parte firmante, etc. Este documento especifica las condiciones generales aplicables a la firma electrónica avanzada y reconocida para su validación en la relación electrónica de Isdefe con sus empleados OBJETO El objeto de la presente Política de Firma Electrónica de Isdefe es establecer el conjunto de normas de seguridad, de organización, técnicas y legales para determinar como se generan, verifican y gestionan las firmas electrónicas en Isdefe, incluyendo las características exigibles a los certificados de firma

8 Esta política de firma electrónica define: Los procesos de creación, validación y conservación de las firmas electrónicas. Las características y requisitos de los sistemas de firma electrónica y certificados. Los actores involucrados en el proceso de firma electrónica así como sus responsabilidades. Los usos de la firma electrónica definiendo las condiciones generales de validación en la relación electrónica de Isdefe con los empleados de la misma. La política de firma electrónica de Isdefe está constituida por el conjunto de directrices y normas técnicas aplicables a la utilización de certificados y firma electrónica dentro del ámbito de Isdefe definiendo criterios en relación con la generación y validación de firmas electrónicas basadas en certificados electrónicos y que afecta, por tanto, a las relaciones o trámites de los empleados de la compañía con las distintas direcciones y departamento. Define, también, las reglas y obligaciones de todos los actores involucrados en el proceso, determinando la validez de la firma para una transacción determinada y especificando la información que se debe incluir, por parte del firmante, en el proceso de generación de la firma y la información que se debe comprobar en el proceso de validación de la misma. Este documento de Política de Firma Electrónica establece el compromiso de la Dirección y el enfoque que la Organización da para la firma electrónica. El término Política de Firma Electrónica hay que entenderlo desde dos puntos de vista: 1. En sentido estricto, la Política Firma Electrónica de Isdefe hace referencia a este documento propiamente dicho, que establece las líneas generales, la estructura orgánica y las responsabilidades necesarias para garantizar la creación, validación y uso de la firma electrónica en Isdefe de forma global siendo, por tanto, la norma de más alto nivel en firma electrónica en Isdefe. 2. En un sentido más amplio la Política de Firma Electrónica de Isdefe significa el conjunto de todas las normas, planes, procedimientos, guías, etc. como marco sobre el cual deben desarrollarse todos los procesos relacionados con la firma electrónica en Isdefe ALCANCE Esta Política de Firma Electrónica de Isdefe es aplicable a: Isdefe y a la PKI de Isdefe. Todos los empleados de Isdefe y personal con otro tipo de relación laboral con la compañía (becarios, asesores, etc.). A las transacciones y procesos internos de la compañía listados en el Anexo

9 1.3. IDENTIFICACIÓN DE LA POLÍTICA Título del Documento: Política de Firma Electrónica de Isdefe Versión: 1.0 Fecha de Emisión: Ver fecha de aprobación del documento Referencia de la Política / OID: Fecha de inicio de uso: Fecha de fin de uso: Localización URL: CPS Relacionada: Ver fecha de aprobación del documento No aplicable Portal Empleado Política de Certificación de Isdefe Campo de Aplicación: Ver Apartado DATOS DE CONTACTO La presente Política de Firma Electrónica es propiedad de Isdefe. La gestión y administración de esta Política de Firma Electrónica es responsabilidad del Responsable de Seguridad de Sistemas que gestiona y administra además la PKI de Isdefe. El responsable de resolver cualquier consulta o información relacionada con la presente Política de Firma Electrónica es el Jefe de Área de Relaciones Laborales que podrá redirigir la consulta al Centro de Atención a Usuarios (CAU) o al responsable de Seguridad de Sistemas. Cualquier duda, consulta, información, etc. relacionado con la firma electrónica y la presente política se tramitará a través del CAU de Isdefe por medio de la Base de Datos de Asistencia Técnica o contactando en la Ext GESTIÓN DE LA POLÍTICA DE FIRMA El mantenimiento, actualización y publicación electrónica de la presente Política de Firma Electrónica corresponde a la Secretaría General de Isdefe. La Gerencia de Tecnología y Sistemas de Información de Isdefe mantendrá en la WEB / Portal de Isdefe tanto la versión actualizada de la política así como las versiones anteriores de forma que se puedan encontrar fácilmente para verificar la norma de aplicación a una firma electrónica anterior a la política vigente. En el momento de la firma se podrá incluir la referencia del identificador único de la versión del documento de política de firma electrónica sobre el que se ha basado su implementación, que determina las condiciones que debe cumplir la firma electrónica en un momento dado INTERACCIÓN CON OTRAS POLÍTICAS Esta Política de Firma Electrónica se engloba dentro de la Política de Seguridad de Isdefe y concretamente tiene relación con las siguientes políticas o normas: Política de Certificación de Isdefe

10 1.7. DOCUMENTOS DE REFERENCIAS / APLICABLES Norma Técnica de Interoperabilidad de Política de Firma Electrónica y Certificados de la Administración. ETSI TS V1.2.2 ( ) Technical Specification XML Advanced Electronic Signatures (XAdES) ETSI TS V1.3.2 ( ) Technical Specification XML Advanced Electronic Signatures (XadES) ETSI TS V2.0.0 Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms. Política de Certificación de Isdefe DEFINICIONES Y LISTA DE ACRÓNIMOS DEFINICIONES Certificado: PKI: Política de Certificación: Política de Firma Electrónica: Documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. Conjunto de entidades, procedimientos, dispositivos, etc. que conforman un sistema de certificación. Definición de los requisitos específicos que deben cumplirse para la emisión y uso de un determinado certificado digital. Conjunto de normas de seguridad, de organización, técnicas y legales para determinar cómo se generan, verifican y gestionan firmas electrónicas, incluyendo las características exigibles a los certificados de firma LISTA DE ACRÓNIMOS CAU CCN-STIC ETSI TS OID: PKI: RSA-SHA XadES XadES-BES XML XML-Dsig Centro de Atención a Usuarios Centro Criptológico Nacional Seguridad de las Tecnologías de la Información y las Comunicaciones European Telecommunications Standards Institute Technical Specification Object Identifier Digital (Identificador Digital de Objetos). Public Key Infrastructure. Rivest, Shamir y Adleman Secure Hash Algorithm XML Advanced Electronic Signatures (Firma electrónica avanzada XML) XadES Basic Electronic Signature extensible Markup Language Firma XML 2. ÁMBITO DE APLICACIÓN Los certificados generados en el ámbito de esta Política de Firma Electrónica pueden utilizarse para: La firma de contenido de todo tipo de documentos electrónicos que se requiera firma (Certificado de Firma) con objeto de garantizar la autenticación, integridad y no repudio del mismo

11 En Isdefe, existen actualmente otros dos tipos de certificados (certificado de autenticación y certificado de cifrado de la información) que no están validados ni se pueden usar para la firma electrónica de ningún tipo de documento electrónico. Este certificado estará de acuerdo con las limitaciones de uso, declaración del emisor y restricciones derivadas de la Política de Certificación a la que esté sometido el certificado electrónico utilizado en su creación. La lista de documentos electrónicos que actualmente se pueden firmar mediante el certificado de firma electrónica será actualizada permanentemente por la Secretaría General de Isdefe y publicada a disposición de todos los empleados de Isdefe. El ámbito de aplicación de la presente Política de Firma Electrónica se circunscribe exclusivamente a las firmas electrónicas que han sido generadas mediante un Dispositivo de Creación de Firma Electrónica definido por el Área de Sistemas de la Gerencia de Tecnología y Sistemas de Información de Isdefe empleando un certificado electrónico personal emitido por Isdefe que acredita la identidad del titular. El uso de los certificados fuera de este ámbito de aplicación definido anteriormente, no están permitidos. 3. ACTORES INVOLUCRADOS EN LA FIRMA ELECTRÓNICA Los actores involucrados en el proceso de creación y validación de firma electrónica son: Firmantes o Usuarios Finales Todas aquellas personas físicas (empleados, becarios, asesores, etc.) titulares de certificados electrónicos vigentes y que emplean dispositivos de creación de firma electrónica de acuerdo con lo establecido en la presente Política de Firma Electrónica. Verificador Persona física (empleados, becarios, asesores, etc.) que valida o verifica una firma electrónica de acuerdo a las condiciones concretas definidas en la presente Política de Firma Electrónica. Prestador de Servicios de Firma Electrónica Entidad que expide los certificados electrónicos o presta otros servicios con relación con la firma electrónica El prestador de los servicios de firma electrónica es Isdefe es el Área de Sistemas de la Gerencia de Tecnología y Sistemas de Información de la Secretaría General. Prestador de Servicios de Certificación Entidad responsable de expedir y revocar los certificados utilizados en la firma electrónica. El prestador de los servicios de certificación en Isdefe es la Gerencia de Tecnología y Sistemas de Información de la Secretaría General. Emisor y Gestor de la Política de Firma Electrónica Entidad que se encarga de generar y gestionar el documento de política de firma, por el cual se deben regir los actores involucrados en el proceso de firma electrónica. En Isdefe es la Secretaría General quien realiza esta función

12 4. REGLAS COMUNES Las reglas comunes permiten establecer las responsabilidades respecto a la firma electrónica de los actores que crea la firma y la que la verifica, definiendo los requisitos mínimos que deben presentarse. Estas reglas se definen en base a los formatos de firma electrónica admitidos en Isdefe, teniendo en cuenta los diferentes usos de la firma electrónica basada en certificados, al uso de algoritmos y a los procesos de creación y validación de la firma FORMATOS ADMITIDOS DE FIRMA Los formatos admitidos por Isdefe para las firmas electrónicas aplicadas mediante los certificados electrónicos se ajustarán a: Estándares abiertos basados en las especificaciones de los estándares europeos relativos a los formatos de firma electrónica y ampliamente utilizados. Seleccionados de entre los definidos por la Comisión Europea para la política de interoperabilidad de firmas electrónicas que será regulada a través de Decisión Comunitaria. Compatibles con la definición de políticas de generación y validación de firmas para facilitar la interoperabilidad deseada y el automatismo en el tratamiento de firmas electrónicas generadas por distintas organizaciones. Formatos que permitan desarrollar funcionalidades avanzadas como la generación de firmas longevas de cara a garantizar su preservación. Formatos interoperables con otras políticas de firma. El Área de Sistemas de la Gerencia de Tecnología y Sistemas de Información de Isdefe será la encargada de publicar y actualizar la relación de las especificaciones relativas a los formatos admitidos en la presente política de firma. Los formatos admitidos en Isdefe para la firma electrónica de contenido son: Formato XAdES (XML Advanced Electronic Signatures), según especificación técnica ETSI TS , versión y versión Para versiones posteriores de cada uno de los formatos se analizarán los cambios en la sintaxis y se aprobará por parte del Área de Sistemas de la Gerencia la adaptación del perfil a la versión estándar. Se tendrá en cuenta la legislación Europea en relación con los formatos de firma admitidos en la Unión Europea, en especial aquellos definidos en los estándares europeos de firma electrónica. Dentro de las distintas clases de los formatos, el Área de Sistemas de la Gerencia de Tecnología y Sistemas de Información deberá adecuar los sistemas para la generación, al menos, de la clase básica de este formato de firma electrónica (clase BES) y la verificación de las especificaciones de la clase básica de todos los formatos. Los campos y etiquetas (obligatorios u opcionales) a usar en la creación y validación de la firma electrónica se identifican en el Anexo A

13 4.2. REGLAS DE USO DE ALGORITMOS Se tomará la referencia a la URN en la que se publican las funciones hash y los algoritmos de firma utilizados por las especificaciones XAdES de acuerdo con las especificaciones técnicas ETSI TS La presente política admite como válidos los algoritmos de generación de hash, codificación en base64, firma, normalización y transformación definidos en los estándares XML-DSig. Para entornos donde se maneje información clasificada, de acuerdo con el criterio del Centro Criptológico Nacional (CCN) serán de aplicación las recomendaciones de la CCN-STIC-405 así como la norma CCN- STIC 807 del Esquema Nacional de Seguridad relativa al uso de criptografía. Se podrán utilizar los siguientes algoritmos: RSA-SHA256 y RSA-SHA REGLAS DE CREACIÓN DE LA FIRMA ELECTRÓNICA Se define las siguientes reglas para la creación de la firma electrónica: 1. Las plataformas que presten el servicio de creación de firma electrónica deberán proporcionarán las funcionalidades necesarias para soportar un proceso de creación de firmas basado en las siguientes características: Selección por parte del usuario firmante del fichero, formulario u otro objeto binario para ser firmado. Los formatos de ficheros que deberán ser admitidos por las distintas plataformas, están recogidos en el Anexo B. El firmante se asegurará de que el fichero que se quiere firmar no contiene contenido dinámico que afecte a su validez y que pudiese modificar el resultado de la firma a lo largo del tiempo. El servicio de firma electrónica ejecutará las siguientes verificaciones previas a la creación de la firma: Existe un certificado de firma electrónica almacenado en la Tarjeta de identificación Personal de Isdefe. Si no fuese posible realizar estas comprobaciones en el momento de la firma, será necesario, en todo caso, que los sistemas correspondientes asuman dicha validación, antes de aceptar el fichero, formulario u otro objeto binario firmado. El servicio creará un fichero en formato XAdES con la firma. El fichero resultante tendrá una extensión única de forma que los visores de documentos firmados puedan asociarse a esa extensión, haciendo más fácil al usuario el manejo de este tipo de fichero. La extensión será.xsig para el formato XAdES. 2. La vinculación del firmante se establecerá a través de las siguientes etiquetas que, incluidas bajo la firma, y definidas según los estándares correspondientes (XAdES), proporcionarán información complementaria a ésta: Fecha y hora de firma, que podrá ser meramente indicativa en función de cómo se haya generado la firma. Certificado del firmante. Formato del objeto original

14 Esta información se recogerá según las etiquetas del Anexo A. 3. Como datos opcionales, la firma electrónica podrá incluir: Rol de la persona firmante en la firma electrónica. Esta información se recogerá según las etiquetas del Anexo A. 4. En caso de creación de firmas electrónicas por distintos firmantes sobre un mismo objeto, donde el segundo firmante ratifica la firma del primero se utilizará la etiqueta correspondiente para contabilizarlas (ver información en Anexo A). 5. En el caso de que las múltiples firmas se realicen al mismo nivel, cada una de ellas se representará como una firma independiente REGLAS DE VALIDACIÓN DE LA FIRMA ELECTRÓNICA El verificador puede utilizar cualquier método para verificar la firma creada de acuerdo a la presente política teniendo en cuenta las siguientes condiciones mínimas: 1. Garantía de que la firma es válida para el fichero específico que está firmado. 2. Validez de los certificados: El instante de tiempo que se tomará como referencia para la validación será el momento de la validación. Se comprobará que los certificados no fueron revocados, suspendidos, y que no han expirado. Se verificará que el certificado ha sido expedido por la PKI de Isdefe. 3. Para validar la firma electrónica se considerará la siguiente información: Fecha y hora de la firma: Ésta tendrá carácter indicativo, por lo que no se utilizará para determinar el momento en que se realizo la firma (no existen mecanismos de sellado de tiempo). Certificado del firmante. Este campo se utilizará para verificar el estado del certificado (y, en su caso, la cadena de certificación) en la fecha de la generación de la firma. 4. Si se han realizado varias firmas sobre un mismo documento, se seguirá el mismo proceso de verificación que con la primera firma. 5. El encargado de la verificación de la firma podrá definir sus procesos de validación y de archivado, siempre en consonancia con los requisitos de esta política de firma particular

15 Anexo A. Etiquetas de Creación y Validación de Firmas Electrónicas para los Formatos Admitidos.

16

17 INFORMACIÓN OBLIGATORIEDAD CAMPO ETIQUETA - ELEMENTO XADES Fecha Hora de la Firma Obligatorio SigningTime (SignedProperties) Certificado del Firmante Obligatorio SigningCertificate (SignedProperties) Formato del Objeto Original (Fichero Firmado) Obligatorio DataObjectFormat (SignedProperties) Rol de la Persona Firmante Obligatorio SignerRole ClaimedRoles (SignedProperties) Contador de firmas Electrónicas Opcional CounterSignature (UnsignedProperties) La tabla no constituye un listado completo de las etiquetas definidas para el estándar XAdES sino una referencia a las etiquetas que reflejarán la información para la creación y validación de la firma. SigningTime: indica la fecha y la hora. En el caso de firma en cliente sin acceder a servidor, será meramente indicativa (pues la fecha en el dispositivo cliente es fácilmente manipulable) y/o será utilizada con fines distintos a conocer la fecha y hora de firma. SigningCertificate: contiene referencias a los certificados y algoritmos de seguridad utilizados para cada certificado. Este elemento deberá ser firmado con objeto de evitar la posibilidad de sustitución del certificado. DataObjectFormat: define el formato del documento original, y es necesario para que el receptor conozca la forma de visualizar el documento. SignerRole: define el rol de la persona en la firma electrónica. En el caso de su utilización, deberá contener uno de los siguientes valores en el campo ClaimedRoles: Autor : cuando la firma la realiza el autor del documento. Creador de Copias Digitalizadas. CounterSignature: refrendo de la firma electrónica y que se puede incluir en el campo UnsignedProperties, será considerada de carácter opcional. Las siguientes firmas, ya sean serie o paralelo, se añadirán según indica el estándar XAdES, según el documento ETSI TS v1.3.2 (admitiéndose implementaciones según v1.2.2 y posteriores). - A.1 -

18

19 Anexo B. Lista de Documentos Admitidos para usar con Firma Electrónica.

20

21 catálogo de documentos a firmar electrónicamente Área de Relaciones Laborales Área Técnica del Servicio de Prevención nº documento Proceso asociado solicitudes / plantillas de plantilla Lactancia acumulada solicitud-permiso de lactancia 1 lactancia INFO maternidad-paternidad parcial solicitud maternidad-paternidad parcial 2 maternidad-paternidad a tiempo parcial INFO excedencia voluntaria solicitud excedencia voluntaria 3 excedencia-voluntaria INFO excedencia por guarda legal solicitud excedencia cuidado hijo o familiar 4 excedencia hijo o familiar -INFO reducción de jornada solicitud reducción de jornada 5 reduccion de jornada por guarda legal Jornada completa / incorporación Solicitud Jornada completa 6 permiso sin sueldo solicitud permiso sin sueldo 7 permiso sin sueldo - INFO protección de datos derechos ARCO (Acceso, rectificación, cancelación, oposición) 8 instrucciones para cada uno baja por enfermedad del trabajador / accidente o enfermedad profesional con baja baja por enfermedad o accidente nacimiento hijo o adopción maternidad/paternidad INFO Kilometraje justificantes médicos sin baja exámenes NOTES matrimonio (permisos) bodas familiares de 1er grado traslado de domicilio permisos retribuidos - INFO enfermedad grave de familiar fallecimiento de familiar Prueba médica prenatal y técnicas de preparación al parto recibos de entrega de documentación o de equipos (EPIs) Control de equipos de protección individual 9 Procedimiento para la selección y control de EPIs Documentos para casos concretos: ej. Hoja control manual de seguridad y salud Subvención para tratamiento antirreflejante de gafas solicitud miopía-gafas 10 subvencion-operacion-miopia-tratamientoantirreflectante Área de servicios Subvención de intervención láser (ojos) solicitud miopía-gafas 10 de RRHH (Área Plan de pensiones Solicitud plan de pensiones 11 adhesión al plan de pensiones solicitud de cheques guardería (descrito en la de Gestión, cheques guardería solicitud cheques guardería 12 propia solicitud) Formación y Solicitud de continuidad con la póliza sanitaria solicitud seguro medico durante Beneficios durante la excedencia por cuidado de menor excedencia 13 Acuerdo seguro médico excedencia Sociales) Fondos de ayuda al empleados: Formularios Fondo de ayuda al personal de Isdefe ;Subvención electrónicos de subvención parcial de formación en idiomas o de estudios oficiales; NOTES obtención titulación universitaria; subvención formación en idioma Otros Documentos que se generan en cada caso concreto Facturas que acompañan a las solicitudes - B.1 -