Política de Firma Electrónica

Transcripción

1 CUMPLIMIENTO CON EL ESQUEMA NACIONAL DE SEGURIDAD (REAL DECRETO 3/2010) Y ESQUEMA NACIONAL DE INTEROPERABILIDAD (REAL DECRETO 4/2010) Ayuntamiento de UTIEL

2 CONTROL DE EDICIÓN FECHA EDICIÓN REVISIÓN RESPONSABLE DESCRIPCIÓN DE CAMBIOS 16/02/ RAFAEL MURGUI CASTILLO Edición inicial.

3 ÍNDICE 1 INTRODUCCIÓN4 1.1 NORMATIVA4 1.2 OBJETO DEL DOCUMENTO4 1.3 ÁMBITO DE APLICACIÓN5 2 POLÍTICA DE FIRMA ELECTRÓNICA6 2.1 DEFINICIÓN Y CONTENIDO6 2.2 DATOS IDENTIFICATIVOS DE LA POLÍTICA6 2.3 ACTORES INVOLUCRADOS EN LA FIRMA ELECTRÓNICA7 2.4 USOS DE LA FIRMA ELECTRÓNICA7 2.5 INTERACCIÓN CON OTRAS POLÍTICAS8 2.6 ARCHIVADO Y CUSTODIA8 3 REGLAS COMUNES9 3.1 REGLAS DEL FIRMANTE9 3.2 REGLAS DEL VERIFICADOR9 3.3 RELACIÓN ENTRE LA FIRMA ELECTRÓNICA Y EL DOCUMENTO FIRMADO FORMATOS ADMITIDOS DE FIRMA ELECTRÓNICA PERFIL DE LA FIRMA ELECTRÓNICA FIRMA ELECTRÓNICA DE TRANSMISIONES DE DATOS REGLAS DE USO DE ALGORITMOS REGLAS DE CREACIÓN Y VALIDACIÓN DE FIRMA ELECTRÓNICA13 4 REGLAS DE CONFIANZA REGLAS DE CONFIANZA PARA LOS CERTIFICADOS ELECTRÓNICOS REGLAS DE CONFIANZA PARA SELLOS ELECTRÓNICOS DE TIEMPO REGLAS DE CONFIANZA PARA FIRMAS LONGEVAS15 5 DOCUMENTACIÓN RELACIONADA17

4 1 INTRODUCCIÓN 1.1 NORMATIVA Este documento contiene las normas de firma electrónica en relación con los documentos de procedimientos administrativos electrónicos del (el Ayuntamiento, en adelante). Este documento resulta conforme con los requisitos de seguridad y proporcionalidad correspondientes a los sistemas electrónicos de soporte a procedimientos administrativos, establecidos por las siguientes normas: - Ley 59/2003, de 19 de diciembre, de firma electrónica (LFE). - Ley 11/2007, de 11 de junio, de acceso electrónico de los ciudadanos a los servicios públicos (LAECSP). - Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. - Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS). - Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica (ENI). Asimismo, los contenidos de esta política de firma electrónica se han estructurado para cubrir los controles que prevé la norma española UNE-ISO/IEC 27002:2015 Código de prácticas para los controles de seguridad de la información; en especial la sección : Los registros deberían estar protegidos contra la pérdida, destrucción, falsificación, revelación o acceso no autorizados de acuerdo con los requisitos legales, regulatorios, contractuales y de negocio. Este documento es una POLÍTICA DE FIRMA ELECTRÓNICA de acuerdo con: Artículo 33 del RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica. Artículo 18.2 del RD 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración electrónica. Resolución de 19 de julio de 2011, BOE del 30 de julio, de la Secretaría de Estado para la Función Pública, por la que se aprueba la Norma Técnica de Interoperabilidad de Política de Firma Electrónica y de certificados de la Administración. 1.2 OBJETO DEL DOCUMENTO El objeto del documento de Política de Firma electrónica del es fijar, en su ámbito de competencias, las condiciones generales aplicables a la firma electrónica para su validación y su uso en la relación electrónica entre la entidad, las Administraciones Públicas y los ciudadanos. Establece, por tanto, el conjunto de criterios comunes asumidos por el Ayuntamiento en relación con la autenticación y el reconocimiento mutuo de firmas electrónicas basadas en certificados.

5 1.3 ÁMBITO DE APLICACIÓN Esta política resulta aplicable a todos los sistemas de información de soporte a procedimientos administrativos electrónicos ofrecidos y utilizados por el Ayuntamiento sujetos a la Ley 11/2007, de 11 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos. Esta política también resulta aplicable a la firma de manifestaciones de documentos y expedientes en el momento de su intercambio con entidades diferentes del, en particular de acuerdo con lo establecido por el RD 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

6 2 POLÍTICA DE FIRMA ELECTRÓNICA 2.1 DEFINICIÓN Y CONTENIDO Según la definición del ENI, una política de firma electrónica es el conjunto de normas de seguridad, de organización, técnicas y legales para determinar cómo se generan, verifican y gestionan firmas electrónicas, incluyendo las características exigibles a los certificados de firma. En general, una política de firma electrónica es un documento legal que contiene una serie de normas relativas a la firma electrónica, organizadas alrededor de los conceptos de generación y validación de firma, en un contexto particular (contractual, jurídico, legal, ), definiendo las reglas y obligaciones de todos los actores involucrados en dicho proceso. El objetivo de este proceso es determinar la validez de la firma electrónica para una transacción en particular, especificando la información que debiera incluir el firmante en el proceso de generación de la firma, y la información que debiera comprobar el verificador en el proceso de validación de la misma. Este documento define, por tanto, los procesos de creación, validación y conservación de firmas electrónicas y las características y requisitos de los sistemas de firma electrónica, certificados y sellos de tiempo usados en el ámbito de actuación del Ayuntamiento. El documento de Política de Firma electrónica del incluye en los siguientes apartados: a) Datos para la identificación del Documento de Política de Firma electrónica y del responsable de su gestión. b) Reglas comunes para el firmante y verificador de la firma electrónica que incluirán: Formatos admitidos de firma electrónica y reglas de uso de algoritmos. Reglas de creación de firma. Reglas de validación de firma. c) Reglas de confianza, que incluirán los requisitos establecidos para certificados y sellos de tiempo. 2.2 DATOS IDENTIFICATIVOS DE LA POLÍTICA Se incluye en este apartado la información relativa a la identificación del documento y su periodo de validez, así como la información asociada al órgano responsable de su gestión y actualización. A. Identificación del documento Nombre del documento Versión 1.0 Identificación del documento en el Esta política de firma electrónica se identifica con el siguiente identificador de objeto: Expediente 501/2016 URL de referencia Portal de Transparencia Fecha de emisión Esta política de firma electrónica ha sido emitida en fecha 16/02/2016

7 Identificación del emisor Esta política de firma electrónica ha sido emitida por Rafael Murgui Castillo del Servicio de Organización e Informática. Ámbito de aplicación B. Periodo de validez La presente Política de Firma electrónica es válida desde la fecha de emisión indicada en el apartado anterior hasta la publicación de una nueva versión actualizada. Cada vez que se publique una nueva versión del documento, se indicará su fecha de expedición y su periodo de validez. C. Identificación del gestor El mantenimiento, actualización y publicación electrónica de los criterios sobre firma electrónica corresponderá al Servicio de Organización e Informática del Ayuntamiento de Utiel, en coordinación con la Concejalía competente en materia de administración electrónica, en aplicación de sus respectivas competencias. El Ayuntamiento mantendrá en su Sede Electrónica( la versión actualizada del documento de Política de Firma electrónica, con los criterios sobre firma electrónica. En el caso de actualización del presente documento, se identificará el lugar donde un validador puede encontrar las versiones anteriores para verificar una firma electrónica anterior a la política vigente. 2.3 ACTORES INVOLUCRADOS EN LA FIRMA ELECTRÓNICA Los actores involucrados en el proceso de creación y validación de una firma electrónica son: Firmante: persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa. Verificador: entidad, ya sea persona física o jurídica, que valida o verifica una firma electrónica apoyándose en las condiciones exigidas por la política de firma concreta por la que se rige la plataforma de relación electrónica o el servicio concreto al que se esté invocando. Podrá ser una entidad de validación de confianza o una tercera parte que esté interesada en la validez de una firma electrónica. Prestador de Servicios de Certificación (PSC): Persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Emisor y gestor de la política de firma: entidad que se encarga de generar y gestionar el documento de política de firma, por el cual se deben regir el firmante, el verificador y los prestadores de servicios en los procesos de generación y validación de firma electrónica. 2.4 USOS DE LA FIRMA ELECTRÓNICA Los objetivos en el uso de certificados de firma electrónica son:

8 En la firma de documentos y contenidos electrónicos, como herramienta para garantizar la autenticidad, integridad y no repudio de los mismos, con independencia de que forme parte de una transmisión de datos. En la firma electrónica de transmisión de datos, como herramienta para proporcionar seguridad al intercambio, garantizando la autenticación de los actores involucrados en el proceso, la integridad del contenido del mensaje de datos enviado y el no repudio de los mensajes en una comunicación telemática. Los certificados electrónicos de firma podrán ser utilizados, por parte de los ciudadanos y empleados públicos, como medio de autenticación de la identidad, como medio de firma electrónica de documentos, Y como medio de certificación de la integridad de un documento. 2.5 INTERACCIÓN CON OTRAS POLÍTICAS El adopta una política de firma propia según lo establecido en el presente documento. Los criterios técnicos y organizativos de la política de firma electrónica del Ayuntamiento se ajustarán a las Normas Técnicas de Interoperabilidad, como desarrollo del Esquema Nacional de Interoperabilidad, y a los criterios técnicos de los formatos y tipos de certificados admitidos, que serán en todo caso publicados y actualizados en la Sede Electrónica. 2.6 ARCHIVADO Y CUSTODIA Para garantizar la fiabilidad de una firma electrónica a lo largo del tiempo, ésta deberá ser complementada con la información del estado del certificado asociado en el momento en que la misma se produjo y/o la información no repudiable incorporando un sello de tiempo, así como los certificados que conforman la cadena de confianza. En relación con la custodia de las firmas de los documentos, el Ayuntamiento puede utilizar los siguientes métodos: Completado de las evidencias electrónicas mediante el empleo de formato XAdES-A. Técnicas de gestión segura de registros para garantizar la longevidad de los documentos internos, excepto en caso de remisión de documentos para su intercambio en entornos de interoperabilidad, en cuyo caso se pueden emplear formatos superiores a XAdES-C. Para el archivado y gestión de documentos electrónicos se siguen las recomendaciones de las Normas Técnicas de desarrollo del ENI, y se dispone de Política de gestión de documentos electrónicos. Mediante la plataforma GESTIONA, los documentos se incorporan a expediente electrónicos que permiten su archivado. Se hace uso del estándar ISO : PDF-A1/a, que garantiza la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados, así como la interoperabilidad de los sistemas de almacenamiento. Gestiona se complementa con un sistema de re-firmado y sellado de tiempo que garantiza la custodia y preservación de los documentos firmados y que asegura su integridad con independencia de la evolución de los sistemas criptográficos.

9 3 REGLAS COMUNES Los actos administrativos realizados por los órganos administrativos como los informes, actas, resoluciones o notificaciones, se deben documentar, bien en un documento ofimático bien en un libro-registro electrónico, de forma autenticada preferentemente con firma electrónica reconocida (en caso de actuación manual) o con un sello electrónico del Ayuntamiento (en caso de actuación automatizada). Los actos administrativos que se consideren de nivel alto se deben autenticar necesariamente empleando sistemas de firma electrónica reconocida (en caso de actuación manual) o con un sello electrónico del Ayuntamiento de nivel alto (en caso de actuación automatizada), en ambos casos con empleo preferentemente de dispositivos certificados. En ningún caso se podrá emplear exclusivamente un código seguro de verificación para la generación de documentos originales. Los actos de trámite y, en general, los actos sin transcendencia externa (que no afecten a derechos e intereses de terceros), se pueden documentar con cualquier sistema de firma electrónica y, en concreto, generar entradas en registros electrónicos de actividad siempre que la persona se haya autenticado con certificado electrónico reconocido. Los actos de intercambio de datos con las Administraciones públicas o el acceso a datos de otras Administraciones Públicas exigirá el nivel mínimo exigido por cada Administración que cede datos o da acceso a datos. Los actos de los ciudadanos se deben basar, en general, en la firma electrónica avanzada basada en certificados reconocidos. 3.1 REGLAS DEL FIRMANTE El firmante se hará responsable de que el fichero que se quiere firmar no contiene contenido dinámico que pudiese modificar el resultado de la firma durante el tiempo. Si el fichero que se quiere firmar no ha sido creado por el firmante, se asegurará que no existe contenido dinámico dentro del fichero, como pueden ser macros. 3.2 REGLAS DEL VERIFICADOR El formato básico de firma electrónica avanzada no incluye información de validación excepto la relativa al certificado firmante, el cual se incluye en la etiqueta Signing Certificate, y la política de firma que se indique en la etiqueta Signature Policy. Los atributos que podrá utilizar el verificador para comprobar que se cumplen los requisitos de la política de firma según la cual se ha generado la firma, independientemente del formato utilizado (XAdES, CAdES o PAdES), son las siguientes: Signing Time: solamente se utilizará en la verificación de las firmas electrónicas como indicación para comprobar el estado de los certificados en la fecha señalada, ya que únicamente se puede asegurar las referencias temporales mediante un sello de tiempo (especialmente en el caso de firmas en dispositivos cliente). Si se ha realizado el sellado de tiempo, el sello más antiguo dentro de la estructura de la firma se utilizará para determinar la fecha de la firma. Signing Certificate: se utilizará para comprobar y verificar el estado del certificado (y, en su caso, la cadena de certificación) en la fecha de la generación de la firma, en el caso que el certificado no haya caducado y se pueda acceder a los datos de verificación (CRL, OCSP ) o bien en el caso de que el Prestador de Servicios de Certificación ofrezca un servicio de validación histórico del estado del certificado.

10 Signature Policy: se deberá comprobar que la política de firma que se ha utilizado para la generación de la firma se corresponde con la que se debe utilizar para un servicio en cuestión. 3.3 RELACIÓN ENTRE LA FIRMA ELECTRÓNICA Y EL DOCUMENTO FIRMADO El formato de la firma electrónica debe ser, siempre que sea posible, independiente del formato del documento o registro firmado, con el objetivo de reducir al máximo la dependencia entre los dos objetos de negocio. En relación con los actos administrativos y con los actos de trámite, todos los documentos originales que deban restar en poder del Ayuntamiento (ejemplo: resoluciones, actos, informes) se deben producir con firma independiente del documento, evitando el uso de firmas envueltas a formatos documentales. La relación entre el documento firmado y la firma se debe establecer mediante el uso de metadatos del documento. Cuando sea necesario entregar a terceros estos documentos, se debe crear una copia auténtica electrónica, en un formato adecuado al destinatario, que será firmada o sellada electrónicamente, envolviendo la firma o sello en el formato documental. Como excepción, los documentos originales a entregar al ciudadano (ejemplo: una certificación, una notificación) pueden incluir la firma envuelta en el propio formato documental (ejemplo: un fichero PDF firmado o sellado). Adicionalmente, dichos documentos deben incorporar un código de verificación electrónica que permita su consulta en línea y la impresión en concepto de copia auténtica. En relación con los actos de intercambio de datos o acceso a datos con las Administraciones, la relación entre la firma electrónica y el documento firmado será típicamente establecida por cada Administración que ceda datos o de acceso a datos, sin perjuicio de establecer estas condiciones por convenio. En relación con los actos de los ciudadanos, desde el Ayuntamiento se debe obligar al ciudadano a firmar todo documento adjunto que aporte. De esta forma, siempre existe una prueba de los documentos que entregó el ciudadano, con independencia de la validez de la firma de los documentos, o incluso de que estén firmados o no. Por último, la firma debe ser independiente del formato del formulario, siempre que sea posible. 3.4 FORMATOS ADMITIDOS DE FIRMA ELECTRÓNICA En general, el formato de la firma depende del formato del documento firmado (PDF, ODF, etc.). Los formatos admitidos para las firmas electrónicas basadas en certificados electrónicos, se ajustarán a las especificaciones de los estándares europeos relativos a los formatos de firma electrónica, así como a lo establecido en la NTI de Catálogo de estándares. El Servicio de Organización e Informática del Ayuntamiento será el encargado de publicar y actualizar la relación de las especificaciones relativas a los formatos admitidos por la presente política de firma electrónica. En líneas generales, el Ayuntamiento emplea fundamentalmente el formato de firma PAdES, sin perjuicio de que puedan utilizarse los formatos CAdEs y XAdES cuando sea necesario. Por otro lado, se permite el uso de cofirmas. La entidad hace uso de la plataforma GESTIONA, desarrollada por EsPublico. La plataforma cuenta con un sistema de gestión de firmas electrónicas que reúne todas las garantías legales al incorporar a los documentos firmados toda la ruta de certificación y lista de revocación con sello de tiempo, permitiendo la validación online contra la Autoridad de Certificación (AC) para comprobar que el

11 certificado es válido. Los documentos firmados se almacenan en formato PDF-A1/a (ISO 19005), lo que garantiza la accesibilidad futura a los documentos y los deja preparados para su archivo a largo plazo. Para los casos en los que se use firma mediante XAdES, la versión empleada en esta política es la versión 1.3.2, siendo válidas implementaciones según la versión y superiores. Se debe tener especial cuidado en indicar en todo momento la versión que se esté utilizando en tags en los que se hace referencia al número de versión. Para facilitar la interoperabilidad de los sistemas de información que manejan estos documentos firmados electrónicamente, en la generación de firmas XAdES se propone la siguiente estructura de fichero XML, en la cual se genera un único fichero resultante que contiene el documento original (codificado en base64) y las firmas, encontrándose al mismo nivel XML lo firmado y la firma, es decir, en modo internally detached. <documento> </documento> <documentooriginal Id= original encoding= base64 nombrefichero=nombrefichoriginal >... </documentooriginal> <ds:signature> <ds:signedinfo/>... <ds:reference URI= #original > </ds:reference>... </ds:signedinfo>... </ds:signature> 3.5 PERFIL DE LA FIRMA ELECTRÓNICA Las firmas de los actos administrativos realizados por los órganos administrativos deben ser lo suficientemente completas para que los ciudadanos las puedan validar sin medios particularmente sofisticados. La firma electrónica de contenido estará basada en los estándares recogidos en la NTI de Catálogo de estándares. El Ayuntamiento debe producir firmas electrónicas de contenido de clase -EPES explícito (esto es, clase básica (BES) añadiendo información sobre la política de firma), debiéndose utilizar en general el perfil AdES-C con sello de fecha y hora para toda firma electrónica de un documento entregado a un ciudadano. Es recomendable emplear dicho perfil para todos los documentos del Ayuntamiento. Las firmas de los actos de trámite pueden ser más básicas, ya que se pueden establecer controles adicionales que eviten la necesidad de completar la firma electrónica. En general, se recomienda al menos sellar la firma electrónica, empleando el perfil AdES-T. Las firmas de los actos de intercambio de datos con las Administraciones Públicas o el acceso a datos de otras Administraciones Públicas se deben ajustar al perfil que determine cada Administración que cede o da acceso a datos.

12 Las firmas de los actos de los ciudadanos pueden ser básicas, ya que el Ayuntamiento dispone de los mecanismos para validar y completar la firma electrónica. En general, el Ayuntamiento debe admitir documentos externos al menos con firma electrónica de perfil AdES-EPES con política implícita, y debe verificar las firmas al menos conforme el perfil AdES-EPES con política explícita, siempre que la misma sea conforme con lo que establecen los artículos 18 y siguientes del RD 4/2010. No obstante, por lo general el Ayuntamiento debe completar la firma de los ciudadanos de acuerdo con el perfil AdES-C. Los documentos electrónicos a los que se aplique firma basada en certificados de cara a su intercambio se ajustarán a las especificaciones de formato y estructura establecidas en la NTI de Documento electrónico. En concreto, el formato de firma basada en certificados que acompaña a un documento electrónico se reflejará en el metadato mínimo obligatorio Tipo de firma, el cual podrá tomar uno de los siguientes valores: XAdES internally detached signature. XAdES enveloped signature. CAdES detached/explicit signature. CAdES attached/implicit signature. PAdES. 3.6 FIRMA ELECTRÓNICA DE TRANSMISIONES DE DATOS La firma electrónica de transmisiones de datos estará basada en los estándares recogidos en la NTI de Catálogo de estándares. La firma de transmisiones de datos proporciona integridad, autenticación y no repudio entre dos servidores (punto a punto). En este caso, la firma está asociada al protocolo de transporte, formando parte de los mecanismos de cifrado a implementar en una comunicación segura. Cuando se implementen mecanismos de transmisión firmada de datos entre el Ayuntamiento y otras entidades, que deban cifrarse en una comunicación segura, se hará bajo las especificaciones SOAP (Simple Object Access Protocol), en su versión 1.1 o superiores. Para transmisiones firmadas de datos basadas en Servicios Web, se aplicarán las firmas electrónicas según el estándar WS-Security (Web Services Security: SOAP Message Security) de OASIS, versión 1.1 o superiores. 3.7 REGLAS DE USO DE ALGORITMOS Para los entornos de seguridad genérica se tomará la referencia a la URN en la que se publican las funciones de hash y los algoritmos de firma utilizados por las especificaciones XAdES, CAdES y PAdES, como formatos de firma adoptados, de acuerdo con las especificaciones técnicas ETSI TS sobre Electronic Signatures and Infraestructures (ESI); Algorithms and parameters for secure electronic signature. Todo ello sin perjuicio de los criterios que al respecto pudieran adoptarse como desarrollo del Esquema Nacional de Seguridad. La presente política admite como válidos los algoritmos de generación de hash, codificación en base64, firma, normalización y transformación definidos en los estándares XML-DSig (XML Digital Signature) y CMS (Cryptographic Message Syntax). Para los entornos de alta seguridad, de acuerdo con el criterio del Centro Criptológico Nacional (CCN), será de aplicación la norma CCN-STIC-807 relativa al uso de criptografía. Los diferentes algoritmos utilizados se describen en la Política de cifrado del Ayuntamiento. Se podrán utilizar los siguientes algoritmos para la firma electrónica:

13 RSA/SHA1 (formato que se debe reemplazar en el medio plazo por algoritmos más robustos). RSA/SHA256 y RSA/SHA512, recomendado para archivado de documentos electrónicos (very long term signatures). 3.8 REGLAS DE CREACIÓN Y VALIDACIÓN DE FIRMA ELECTRÓNICA Las plataformas que presten los servicios de creación y de validación de firma electrónica proporcionarán las funcionalidades necesarias para cumplir con lo especificado en los apartados III.6 y III.7 de la NTI de Firma electrónica, respectivamente. Preferentemente, el Ayuntamiento utilizará para la validación de firmas la sin perjuicio del uso de otras plataformas que trabajen con certificados digitales reconocidos.

14 4 REGLAS DE CONFIANZA 4.1 REGLAS DE CONFIANZA PARA LOS CERTIFICADOS ELECTRÓNICOS El presente documento establece las limitaciones y restricciones específicas a los certificados electrónicos admitidos para la firma electrónica de contenido en los servicios disponibles. A nivel general, los certificados electrónicos válidos serán los siguientes: a) Cualquier certificado electrónico reconocido según la Ley 59/2003, de 19 de diciembre, de Firma Electrónica. b) Cualquier certificado definido y reconocido en la Ley 11/2007, de 22 de junio, de acceso de los ciudadanos a los servicios públicos. Los certificados válidos en el Ayuntamiento son, en concreto, los siguientes: 1. Actuación de los ciudadanos: o o Los certificados de firma de ciudadano admitidos por la del MINHAP, incluyendo el certificado de firma electrónica incorporado en el DNI electrónico. Los certificados de firma del listado de certificados reconocidos por el Ministerio de Industria, Energía y Turismo. 2. Actuación administrativa (afecta a derechos e intereses de terceros): o Actuación manual: Certificado reconocido de entidad o certificado de pertenencia a empresa admitido por la En el acceso por parte de las Administraciones Públicas, certificado reconocido de empleado público admitido o Actuación automática: Certificado reconocido de entidad u otros certificados digitales para empresas admitidos certificado reconocido emitido por Verisign (certificados para servidor SSL, certificados para servidor VPN, certificados de Aplicación, etc.). En el caso de Administraciones Públicas, Certificado de Sello de órgano emitido por Prestador de Servicios de Certificación admitido en la En soporte software en sistemas de información de nivel básico, y en soporte hardware en sistemas de información de nivel alto. 3. Actuación de trámite (no afecta a derechos e intereses de terceros): o Actuación manual: Certificado reconocido de entidad o certificado de pertenencia a empresa admitido En el acceso por parte de las Administraciones Públicas, certificado reconocido de empleado público admitido o Actuación automática: Certificado reconocido de entidad u otros certificados digitales para empresas admitidos certificado reconocido emitido por Verisign (certificados para servidor SSL, certificados para servidor VPN, certificados de Aplicación, etc.). En el caso de Administraciones Públicas, Certificado de Sello de

15 órgano admitido En soporte software en sistemas de información de nivel básico, y en soporte hardware en sistemas de información de nivel alto. 4. Actuación de intercambio de datos o acceso a datos entre Administraciones: o Los certificados admitidos para cada Administración que cede o da acceso a datos a la Administración Pública. 4.2 REGLAS DE CONFIANZA PARA SELLOS ELECTRÓNICOS DE TIEMPO El sello electrónico de tiempo asegura que tanto los datos originales del documento que va a ser sellado como la información del estado de los certificados, en caso de que se hayan incluido en la firma electrónica, se generaron antes de una determinada fecha. Para ello, el sello de tiempo consiste en la asignación por medios electrónicos de una fecha y hora a un documento electrónico con la intervención de un Prestador de Servicios de Certificación que actúe como tercero de confianza y asegure la exactitud e integridad de la indicación de tiempo del documento. El sellado de tiempo y la información de validación pueden ser añadidos por el emisor, el receptor o un tercero y se deben incluir como propiedades no firmadas en el campo Signature Time Stamp. El sellado de tiempo debe realizarse en un momento próximo a la fecha incluida en el campo Signing Time y, en cualquier caso, siempre antes de la caducidad del certificado del firmante. La presente política admite certificados de sello de tiempo expedidos por Prestadores de Servicios de Sellado de Tiempo que cumplan las especificaciones técnicas ETSI TS , Electronic Signatures and Infrastructures (ESI); Policy requirements for time-stamping authorities, y en particular los reconocidos por el Ministerio de Industria, Energía y Turismo. 4.3 REGLAS DE CONFIANZA PARA FIRMAS LONGEVAS Una firma longeva es aquella que permite garantizar su validez a largo plazo, una vez vencido el periodo de validez del certificado. Para ello, incorpora información adicional a las firmas electrónicas, la cual permite demostrar la autenticidad, validez y no-repudio de la existencia del contenido firmado en un determinado instante. Además, en el caso de firmas longevas es conveniente incluir un sello de tiempo que permita garantizar que el certificado era válido en el momento en que se realizó la firma. Esta información puede ser incluida tanto por el firmante como por el verificador, y se recomienda hacerlo después de trascurrido el periodo de precaución o periodo de gracia (período para comprobar el estado de revocación de un certificado). Existen dos tipos de datos a incluir como información adicional de validación: La información del estado del certificado en el momento en que se produce la validación de la firma o una referencia a los mismos. Certificados que conforman la cadena de confianza. En el caso de que se necesite generar firmas longevas, se debe incluir la información de validación anterior, y añadirle un sello de tiempo. En estos tipos de firma la validez de la firma resultante viene determinada por la duración del sello de tiempo que se añade a la firma longeva. Al incorporar a la firma la información de validación, se deberá usar validación mediante OCSP, ya que mediante este método las propiedades o atributos a incluir son de menor tamaño. Si la consulta al estado de validación de la firma se realiza mediante un método que resulta en una información muy voluminosa que aumenta de forma desproporcionada el tamaño de la firma,

16 opcionalmente, en lugar de la información de validación indicada anteriormente, se pueden incluir en la firma longeva referencias a dicha información. El Ayuntamiento cuenta con la plataforma GESTIONA, mediante la cual se firman los documentos en formato PAdES para archivo. Estos documentos son extendidos al perfil LTV, que constituye una extensión de ISO que permite prorrogar la validez de las firmas por tiempo indefinido. Este formato de firma de GESTIONA incorpora todos los elementos necesarios para garantizar la autenticidad, validez y no repudio del documento firmado electrónicamente incluyendo la ruta de certificación completa de los certificados utilizados, la comprobación de revocación (mediante respuesta OCSP o listas CRL) y la utilización de sellos de tiempo (timestamp) con el objetivo de garantizar que el certificado era válido en el momento en que se realizó la firma.

17 5 DOCUMENTACIÓN RELACIONADA Los siguientes documentos complementan la Política de firma electrónica: - Guías y recomendaciones de firma electrónica. - Política de gestión de documentos electrónicos.