Política de Firma Electrónica

Transcripción

1 Electrónica Esta especificación ha sido preparada por para liberar a terceras partes. Este documento es propiedad de ANF Authority of Certification Ecuador, S.A. Está prohibida su reproducción y difusión sin autorización expresa de ANF Authority of Certification Ecuador, S.A. - Copyright ANF Authority of Certification Ecuador, S.A. NIVEL DE SEGURIDAD DOCUMENTO PÚBLICO

2 ÍNDICE 1. INTRODUCCIÓN Descripción de las Firmas Electrónicas Identificación del documento Identificadores del Formato de Firma Dispositivos de creación de firma electrónica homologados Comunidad de usuarios y ámbito de aplicación Autoridades de Certificación Emisor de la Usuarios Finales Firmante a. Obligaciones Terceros que confían en las firmas electrónicas a. Obligaciones Ámbito de aplicación Usos Permitidos Usos restringidos Usos prohibidos Política de Administración de Especificación de la Organización Administradora Persona de Contacto Competencia para determinar la adecuación de esta Política a la CPS de Referencias técnicas y legales Procedimiento de Publicación Creación de una firma Formatos admitidos de firma electrónica Reglas de uso de los algoritmos y longitudes de clave Servicio se estampación de sellado digital de tiempo de OID: Página 2 de 39

3 2.4. Servicio de validación en origen OCSP Archivo y custodia Verificación de la firma electrónica Difusión de verificadores Firmas Electrónicas de Larga Vigencia Firma electrónica como evidencia legal Obligaciones y Responsabilidades Controles de Seguridad Técnica Responsabilidad Financiera Interpretación y ejecución OID: Página 3 de 39

4 1. INTRODUCCIÓN ANF Authority of Certification Ecuador, S.A., (en adelante, ), es una entidad con personalidad jurídica propia. La resolución que aprueba la constitución de la compañía es la número 09.Q.IJ.TRES MIL SESENTA Y TRES del señor Director Jurídico de Compañías, Encargado de 28 de julio de 2009, inscrita bajo el número 2432 del Registro Mercantil, tomo 140. Se anotó en el repertorio bajo el número , el 31 de julio del Número de RUC es El Consejo Nacional de Telecomunicaciones, mediante resolución Nº CONATEL-2010 de 22 de octubre de 2010, resolvió favorablemente la inscripción de, como entidad acreditada en el Registro Público Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y terceros vinculados. En conformidad con lo dispuesto en la normativa ecuatoriana vigente, fue inscrita el día 21 de diciembre de 2010 en el Registro Público Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y Terceros Vinculados OFICIO Nº DGGST tiene asignado el código privado de empresa (SMI Network Management Private Enterprise Codes) por la organización internacional IANA -Internet Assigned Numbers Authority-, bajo la rama iso.org.dod.internet.private.enterprise ( IANA Registered Private Enterprise-)*1. El prefijo del OID de esta Electrónica es , al cual se le añade una extensión de formato X.Y que recoge su versión. Además de asignar identificadores únicos para distinguir las versiones sucesivas, también se asignan identificadores a los distintos formatos de representación (p.ej. formato legible de PDF, representación en sintaxis XML y representación en sintaxis ASN.1 siguiendo los estándares ). Cuando se firman datos, el firmante asume las condiciones generales y las condiciones particulares aplicables a esa firma electrónica incorporando un campo firmado, dentro de la firma, que específica el OID de esta Electrónica. OID: Página 4 de 39

5 Si el campo correspondiente a la normativa de firma electrónica está ausente y no se identifica ninguna normativa aplicable, entonces se debe de asumir que la firma ha sido generada sin ninguna restricción normativa, y en consecuencia, que no se le ha asignado ningún significado concreto legal o contractual. Se trataría de una firma que no especifica de forma expresa ninguna semántica o significación concreta y, por lo tanto, hará falta derivar el significado de la firma a partir del contexto (y especialmente, de la semántica del documento firmado). El presente documento es la. Esta documentación contiene las directrices y normas técnicas a las que se someten las Firmas Electrónicas asociadas a esta política. Detalla las normas organizadas alrededor de los conceptos de generación, validación y su alcance como evidencia legal. Además especifica el conjunto de criterios comunes de interoperabilidad, definiendo las reglas y obligaciones de todos los actores involucrados en dicho proceso. La política de firma electrónica detalla los formatos asumidos por esta PKI, y especifica lo que deberá incluir el firmante en el proceso de generación de la firma, así como la información que debe de comprobar el tercero que confía en el proceso de validación de la firma. Este documento detalla y complementa lo definido de forma genérica en la Declaración de Prácticas de Certificación de. La presente Electrónica (en adelante, PFE) se ha estructurado conforme a lo dispuesto en normas técnicas de referencia internacional y en normas legales actualmente vigentes, se especifica detalle de todas las contempladas en el apartado Referencias Técnicas y Legales de este documento. Se ha tenido en cuenta la Ley Orgánica de Defensa del Consumidor, Ley Orgánica de Transparencia y Acceso a la Ley de Información Pública y demás normativa ecuatoriana vigente aplicable, así como lo dispuesto en la resolución por la cual se otorgó la acreditación a como Entidad de Certificación y Servicios Relacionados. A tales efectos, este documento contempla aspectos relativos a la seguridad física, protección de datos de carácter personal, e informa detalladamente de los derechos y obligaciones de sus suscriptores y de los terceros que confían. OID: Página 5 de 39

6 es CA intermedia de ANF Autoridad de Certificación de España (en adelante, ESPAÑA). ESPAÑA es una CA oficialmente inscrita como emisor de certificados reconocidos en la CE, y avala los certificados emitidos por, y sus servicios de certificación electrónica. Los servicios de certificación electrónica de en conformidad con lo establecido en la Directiva 1999/93/CE Art. 7 punto 1.b. gozan de la misma equivalencia jurídica que los expedidos por su matriz ESPAÑA, y por lo tanto están reconocidos en todo el ámbito de la CE. con el fin de reforzar la interoperabilidad de sus servicios de certificación con las AA.PP. de la Comunidad Europea, ha tenido en consideración, y se ha inspirado en la Ley de Firma Electrónica 59/2003, en el Esquema nacional de identificación y firma electrónica de las Administraciones Públicas; el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración España; la Decisión 2004/387/CE del Parlamento Europeo y del Consejo, de 21 de abril de 2004, relativa a la prestación interoperable de servicios paneuropeos de administración electrónica al sector público, las empresas y los ciudadanos (IDABC) [Diario Oficial L 144 de ]; y la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Así mismo se ha tenido en consideración la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, con especial atención al Tit. II Prestación de Servicios de la Sociedad de la Información de España, Tit. II Contratación por Vía Electrónica. Para el desarrollo de su contenido, se ha tenido en cuenta la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica (DOUE de 19 de enero de 2000). Esta Electrónica asume que el lector conoce los conceptos de PKI, certificado y firma electrónica; en caso contrario se recomienda al lector que se forme en el conocimiento de los anteriores conceptos antes de continuar con la lectura del presente documento. * 1 Información que puede ser consultada en: OID: Página 6 de 39

7 1.1. Descripción de las Firmas Electrónicas. Firma electrónica general: "La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante." Firma electrónica avanzada: Es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control." Firma electrónica reconocida: Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma Para que una firma electrónica pueda ser considerada firma electrónica avanzada, las normas y estándares internacionales establecen los siguientes requisitos: La identificación posibilita garantizar la identidad del firmante de manera única. Integridad: garantiza que el contenido de un mensaje de datos ha permanecido completo e inalterado, con independencia de los cambios que hubiera podido sufrir el medio que lo contiene como resultado del proceso de comunicación, archivo o presentación. No repudio: es la garantía de que no puedan ser negados los mensajes en una comunicación telemática. OID: Página 7 de 39

8 1.2 Identificación del documento Nombre del documento. Versión 1.1 Estado de la política Referencia del documento / OID APROBADO Fecha de emisión 1 de mayo de 2011 Fecha de expiración CPS relacionada Localización No es aplicable Declaración de Prácticas de Certificación (CPS) de OID: Disponible en OID: Página 8 de 39

9 1.3. Identificadores del Formato de Firma Con el objeto de identificar los formatos de firma sometidos a esta PFE, ha asignado los siguientes identificadores de objeto (OID). FIRMA ELECTRÓNICA Firma electrónica en formato XADES Firma electrónica en formato CADES Firma electrónica en formato PADES Firma electrónica en formato CMS OID 1.4. Dispositivos de creación de firma electrónica homologados. Los dispositivos de creación de firma electrónica homologados por, generan firmas electrónicas que cumplen con los siguientes requerimientos: - permiten identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere, - que ha sido creada por medios que el firmante puede y debe de mantener bajo su exclusivo control y, - su validez es superior al periodo de vigencia del certificado al que se vincula. Y cabe calificarla como: Firma Electrónica Avanzada OID: Página 9 de 39

10 Las normas de referencia internacional en esta materia y la propia legislación determinan la necesidad de utilizar dispositivos de firma electrónica que sean seguros. La Ley 67/2002 de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en su Art. 15 c), determina: c) Que su método de creación y verificación sea confiable, seguro e inalterable para el propósito para el cual el mensaje fue generado o comunicado; La legislación vigente determina que las firmas electrónicas emitidas con certificados reconocidos son equiparables funcionalmente a la firma manuscrita. La citada Ley en su Tit.II Cap.1 Art. 14, determina: Efectos de la firma electrónica. La firma electrónica tendrá igual validez y se le reconocerán los mismos efectos jurídicos que a una firma manuscrita en relación con los datos consignados en documentos escritos, y será admitida como prueba enjuicio. Además el Tit.II Cap.1 Art. 16, determina: La firma electrónica en un mensaje de datos, Se presumirá legalmente que el mensaje de datos firmado electrónicamente conlleva la voluntad del emisor, quien se someterá al cumplimiento de las obligaciones contenidas, en dicho mensaje de datos, de acuerdo a lo determinado en la ley. El Reglamento General a esta Ley 67/2002 especifica: Art Elementos de la infraestructura de firma electrónica.- Los principios y elementos que respaldan a la firma electrónica son: b) Prácticas de certificación basadas en estándares internacionales o compatibles a los empleados internacionalmente; c) El soporte lógico o conjunto de instrucciones para los equipos de cómputo y comunicaciones, los elementos físicos y demás componentes adecuados al uso de las firmas electrónicas, a las prácticas de certificación y a las condiciones de seguridad adicionales, comprendidas en los estándares señalados en el literal b); OID: Página 10 de 39

11 De lo reseñado se infiere que no cualquier dispositivo de firma sirve, sino que el dispositivo empleado debe de ser, en términos conceptuales internacionales, un dispositivo seguro de creación de firma eléctrica. A efectos de esta Electrónica se considera que para calificar la firma electrónica como reconocida, es preciso que se haya generado con un certificado emitido con la calificación de reconocido y se haya utilizado un dispositivo seguro de creación de firma homologado por. Los dispositivos de creación de firma electrónica homologados por, generan firmas electrónicas que identifican con total certeza el dispositivo utilizado. La relación actualizada de dispositivos homologados por, está disponible en la URL: exclusivamente homologa dispositivos que permiten generar firmas que como mínimo atienden lo establecido en el Tit.II Cap.1 Art. 15 Requisitos de la firma electrónica.- Para su validez, la firma electrónica reunirá los siguientes requisitos, sin perjuicio de los que puedan establecerse por acuerdo entre las partes: a) Ser individual y estar vinculada exclusivamente a su titular; b) Que permita verificar inequívocamente la autoría e identidad del signatario, mediante dispositivos técnicos de comprobación establecidos por esta ley y sus reglamentos; c) Que su método de creación y verificación sea confiable, seguro e inalterable para el propósito para el cual el mensaje fue generado o comunicado; d) Que al momento de creación de la firma electrónica, los datos con los que se creare se hallen bajo control exclusivo del signatario, y, e) Que la firma sea controlada por la persona a quien pertenece. Y en concreto se establece que un dispositivo seguro de creación de firma de ANF AC es un dispositivo que ofrece, al menos, las siguientes garantías: a) Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto. OID: Página 11 de 39

12 b) Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma, y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento. c) Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros. d) Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma. Las firmas electrónicas creadas mediante dispositivos homologados por, permiten identificar como mínimo: - el certificado utilizado por el signatario y los certificados pertenecientes a la ruta de certificación. Con identificación de sus titulares. - el certificado empleado por el Servicio de Sellado Digital de Tiempo y los certificados pertenecientes a la ruta de certificación, Con identificación de sus titulares. - las limitaciones de uso del certificado del signatario, - el dispositivo de firma empleado, - la unidad emisora de sellos digitales de tiempo empleada (TSU), - la fuente segura de tiempo sobre la que se sincroniza el servicio de sellado digital de tiempo, - la unidad de servicio de OCSP responder consultada, - la Electrónica a la que se someten la firma electrónica, - los algoritmos criptográficos empleados para la creación de la firma electrónica, - el formato en que se ha creado la firma y el formato de encapsulado, - el nombre del documento y la extensión que identifica el tipo de formato del documento firmado, - el código de transacción único de la firma electrónica vinculado al certificado empleado por el signatario. y contienen: OID: Página 12 de 39

13 - el certificado del signatario, y restantes certificados que componen la ruta de certificación, - la firma electrónica, - la referencia a esta política de firma - el sello digital de tiempo, - el resultado de la consulta OCSP, y - los links a las direcciones URL donde obtener mayor soporte documental e informativo de todos los elementos vinculados a la firma electrónica. Los dispositivos de creación de firma electrónica homologados por, garantizan un entorno de seguridad adecuado a las normas internacionales en esta materia, y a modo meramente enunciativo, no limitativo, cabe destacar: - que el dispositivo de firma permite al usuario seleccionar el certificado electrónico que desea emplear, - que el dispositivo de firma tiene la capacidad de firmar cualquier tipo de documento electrónico, independientemente de su formato o extensión del mismo. - que el dispositivo permite al usuario consultar el documento y los atributos que serán incluidos en la firma antes de su creación, - que se aplican medidas de seguridad para evitar la modificación o sustitución del documento seleccionado por el signatario, y que garantizan que los atributos de firma que fueron mostrados, son los mismos que se van a firmar, - que las medidas de seguridad incorporadas en el dispositivo de firma, imposibilitan la creación de firmas electrónicas que incorporen en los atributos de firma cualquier tipo de código oculto, macro o código activo, y permite detectar cualquier modificación de los atributos firmados, - que el dispositivo de firma crea una firma electrónica que garantiza la integridad y autenticidad de los atributos de firma, - que el dispositivo de firma no altera los datos a firmar, manteniendo en todo momento la integridad de los mismos, OID: Página 13 de 39

14 - que con el fin de garantizar la fiabilidad de la consulta del documento a firmar, se utiliza el mismo componente que emplea el firmante fuera del entorno del dispositivo de firma. El firmante tiene la posibilidad de abortar el proceso de firma en caso de disconformidad con los datos analizados, - que, en caso de solicitar consulta y no exista componente para analizar los datos sobre los que se solicita la firma, el dispositivo de firma apercibe al firmante del posible riesgo de firmar un contenido con potenciales datos falsos, y la responsabilidad que asume continuando con el proceso de creación de firma, - que a fin de informar al firmante del riesgo que presupone firmar documentos que contienen código activo, el dispositivo de firma esta dotado de un sistema que permite identificar documentos electrónicos que pueden contener este tipo de código. El dispositivo en esos casos, le apercibe del riesgo y le recomienda la consulta del documento en un entorno que no permita la activación de un potencial código, - que el dispositivo de firma posibilita que el usuario puede consultar toda la información contenida en el certificado que va a utilizar, - que el dispositivo de firma antes de mostrar el certificado al usuario, o de utilizarlo, comprueba su integridad y autenticidad. - que se emplea un canal de comunicación seguro para acceder a los datos de creación de firma, y a los servidores remotos de certificación, - que los componentes informáticos empleados para la creación de la firma están firmados electrónicamente por, a fin de garantizar la autenticidad e integridad de los mismos, - que el usuario del dispositivo de creación de firma dispone de mecanismos de uso sencillo para comprobar la integridad de los componentes del dispositivo, a fin de detectar cualquier posible corrupción, y en caso de haberse producido, proceder a su actualización automática. - la actualización de los componentes, se realiza automáticamente en un servidor integrado en la red servidores de, identificado de forma segura y empleando comunicaciones protegidas SSL., - los algoritmos de firma utilizados en cada momento por el dispositivo de firma, son los catalogados por como autorizados. Se han incorporado medidas de seguridad que impiden el uso de un dispositivo de firma no actualizado al nivel de seguridad exigible por, OID: Página 14 de 39

15 - que el proceso de creación de firma, solo puede ser activado utilizando certificados electrónicos vigentes, y que han sido emitidos por, - que en el diseño de la interfaz de usuario, se han simplificado los procesos con el fin de imposibilitar cualquier tipo de confusión o error de uso, - que no es posible la activación de la firma de forma accidental, siendo preciso introducir la clave secreta de activación, que el dispositivo de firma, facilita al usuario la capacidad de cambiar la clave secreta de activación del certificado, para ello es preciso activar el cambio mediante la introducción de la clave vigente, e introducir dos veces la nueva clave a fin de confirmar que no se ha producir error alguno por parte de usuario, - que el dispositivo de firma, incorpora medidas de seguridad que impiden el empleo de claves consideradas inseguras, exigiendo además longitudes mínimas de ocho dígitos, - que la clave introducida no es legible, queda custodiada durante su uso en un entorno seguro, y se destruye de forma segura tras concluir con su uso, - que el dispositivo de firma incorpora medidas de seguridad que imposibilitan los ataques de fuerza bruta, estableciendo un máximo de intentos de activación de los datos de creación de firma, superado el número de intentos por introducción de claves falsas, se procede al boqueo de los datos de generación de firma afectados, - que el dispositivo de firma comprueba, antes de acceder a los datos de creación de firma, el periodo de validez del certificado que se pretende utilizar, así como el estado de vigencia del certificado. En caso de caducidad o revocación, no permite finalizar el proceso de creación de firma. - que todo el contexto de creación de firma se realiza en un marco de seguridad inaccesible a terceros, siendo destruido de forma segura una vez que se ha generado la firma o por interrupción del proceso, - que el dispositivo de creación de firma electrónica y el servicio de sellado digital de tiempo incorporan, como medida de seguridad, un plazo de tiempo máximo para la elaboración, el cual en ningún caso es superior a diez segundos, Superado este intervalo de tiempo, el dispositivo de firma procede a la destrucción segura del contexto de firma, y el servidor remoto comunica una denegación de servicio, - que finalizado el proceso de firma, el dispositivo de firma procede automáticamente a verificar la firma electrónica creada. Caso de que el OID: Página 15 de 39

16 fichero de firma construido no quede validado por el verificador, se procede a la destrucción segura del mismo, - que el dispositivo de firma electrónica y los servicios de certificación de AN AC, incorporan un sistema de control que garantice la coherencia de los procesos de certificación solicitados, con la CPS y Políticas que conforman la PKI de, - que en ningún momento los datos a firmar salen del contexto de seguridad y privacidad del firmante, que en la comunicación establecida entre el dispositivo de creación de firma y los servicios de certificación de, garantizan la integridad y confidencialidad de los datos intercambiados en el transaccional electrónico, Los contenedores homologados que contienen los datos de creación de firma, asociados a certificados que han sido emitidos por con la calificación de reconocidos, cuentan con unas definiciones específicas que imposibilitan su uso en otros dispositivos de firma electrónica que no estén homologados por. El certificado reconocido vinculado a este modelo de contenedor, especifica como restricción de uso: Limitado su uso a Dispositivos de Creación de Firma homologados por ANF AC. - La información correspondiente quedará recogida en la extensión propietaria OID del certificado electrónico utilizado. - Todos los dispositivos cuentan con un sistema de actualización a nuevas versiones en línea. Las actualizaciones se realizan utilizando canales de comunicación seguros y verificando la autenticidad de componentes mediante tecnología de firma electrónica. Estas firmas permiten garantizar los atributos de: Identidad del firmante. Integridad del documento y firma. No repudio del firmante. Además incorporan elementos técnicos que garantizan: Verificación en origen. Larga vigencia de la firma electrónica. Legibilidad de la firma electrónica. OID: Página 16 de 39

17 1.5. Comunidad de usuarios y ámbito de aplicación Autoridades de Certificación Esta PFE solo puede ser aplicada a firmas electrónicas que han sido generadas mediante el uso de certificados emitidos por o ESPAÑA, y en las que se ha utilizado para su creación alguno de los dispositivos de firma homologados por Emisor de la es el emisor de esta política de firma electrónica por la cual se deben de regir los usuarios finales en los procesos de generación y validación de una firma electrónica Usuarios Finales Cabe distinguir los siguientes usuarios finales: Firmante Es la persona física que en nombre propio o en representación de tercera persona física o jurídica propietaria del certificado, genera la firma electrónica a. Obligaciones Es obligación del firmante: El firmante se hará responsable de que el fichero que desea firmar no integra contenido dinámico que pudiese modificar el resultado de la firma durante el tiempo. Si el fichero que se quiere firmar no ha sido creado por el firmante, deberá asegurarse que no existe contenido dinámico OID: Página 17 de 39

18 dentro del fichero, como pueden ser macros. Y si lo hubiera, al firmar el fichero, presupondrá una aceptación del mismo. Debe de evitar documentos que tengan enlaces a otros documentos externos, deben de ser autocontenidos. Se considerará como una excepción el caso de los esquemas de validación asociados a formatos XML. A tal efecto se recuerda que la Ley 67/2002 determina en el Art. 3 Incorporación por remisión. Se reconoce validez jurídica a la información no contenida directamente en un mensaje de datos, siempre que figure en el mismo, en forma de remisión o de anexo accesible mediante un enlace electrónico directo y su contenido sea conocido y aceptado expresamente por las partes. Y por lo tanto, la firma de este tipo de documentos, presupone la aceptación del firmante de información no autocontenida. Debido al riesgo de introducción de código malicioso, se debe de tener especial precaución con documentos que contengan código ejecutable, como pueden ser macros. La documentación debe de estar libre de virus informáticos. Cuando el documento firmado no quede embebido en la firma, se debe de tener especial precaución en el procedimiento de almacenaje y custodia del documento original, dado que algunos tipos de documentos se modifican por el mero hecho de consultarlos. Además y de acuerdo con el Art. 17 de la Ley 67/2002 de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, El titular de la firma electrónica deberá: a) Cumplir con las obligaciones derivadas del uso de la firma electrónica; b) Actuar con la debida diligencia y tomar las medidas de seguridad necesarias, para mantener la firma electrónica bajo su estricto control y evitar toda utilización no autorizada; c) Notificar por cualquier medio a las personas vinculadas, cuando exista el riesgo de que su firma sea controlada por terceros no autorizados y utilizada indebidamente; d) Verificar la exactitud de sus declaraciones; OID: Página 18 de 39

19 e) Responder por las obligaciones derivadas del uso no autorizado de su firma, cuando no hubiere obrado con la debida diligencia para impedir su utilización, salvo que el destinatario conociere de la inseguridad de la firma electrónica o no hubiere actuado con la debida diligencia; f) Notificar a la entidad de certificación de información los riesgos sobre su firma y solicitar oportunamente la cancelación de los certificados; y, g) Las demás señaladas en la ley y sus reglamentos Terceros que confían en las firmas electrónicas De forma general son todas aquellas personas físicas o jurídicas, entidades u organizaciones, Administraciones Públicas o Corporativas que de forma voluntaria desean confiar en las firmas electrónicas a. Obligaciones Antes aceptar la firma: Los terceros que confían han de realizar las operaciones de clave pública de manera satisfactoria para confiar en la firma electrónica, utilizando para ellos los verificadores homologados por. Así mismo asumen la responsabilidad de verificar las limitaciones de uso indicadas en el certificado, y su adecuación de acuerdo con lo establecido en la DPC y Políticas de Certificación asociadas al certificado utilizado, y se obligan a las condiciones de uso establecidas en este documento. OID: Página 19 de 39

20 1.6. Ámbito de aplicación Usos Permitidos La firma electrónica de se crea en un marco legal y contractual, en el cual se desea acreditar con fuerza probatoria y plena validez jurídica, que el firmante está de acuerdo con los compromisos y condiciones que implícitamente o explícitamente se reseñan en los datos firmados. Las firmas electrónicas generadas en el ámbito esta Electrónica, pueden utilizarse para suscribir todo tipo de documentos electrónicos, de acuerdo con las limitaciones de uso, declaración del emisor y restricciones derivadas de la Política de Certificación a la que está sometido el certificado electrónico utilizado en su creación Usos restringidos El ámbito de aplicación de esta Electrónica, se circunscribe exclusivamente a firmas electrónicas que han sido generadas mediante un Dispositivo de Creación de Firma Electrónica homologado por, empleando un certificado electrónico emitido por y con el fin de crear la misma evidencia legal que si de una firma manuscrita se tratará Usos prohibidos Está prohibida la creación de firmas electrónicas sometidas a esta Electrónica con el fin de realizar pruebas o test sin valor legal. OID: Página 20 de 39