COMISIÓN DE LAS COMUNIDADES EUROPEAS DECISIÓN DE LA COMISIÓN. de
Tamaño: px
Comenzar la demostración a partir de la página:

Download "COMISIÓN DE LAS COMUNIDADES EUROPEAS DECISIÓN DE LA COMISIÓN. de 22.12.2008"

Transcripción

1 ES ES ES

2 COMISIÓN DE LAS COMUNIDADES EUROPEAS Bruselas, C(2008) 8657 final NO DESTINADO A PUBLICACIÓN DECISIÓN DE LA COMISIÓN de por la que se establece la política de certificación prevista en las especificaciones técnicas sobre las normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros y se actualizan los documentos normativos de referencia ES ES

3 DECISIÓN DE LA COMISIÓN de por la que se establece la política de certificación prevista en las especificaciones técnicas sobre las normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros y se actualizan los documentos normativos de referencia (Los textos en lenguas alemana, búlgara, checa, eslovaca, eslovena, española, estonia, finesa, francesa, griega, húngara, italiana, letona, lituana, maltesa, neerlandesa, polaca, portuguesa, rumana y sueca son los únicos auténticos) LA COMISIÓN DE LAS COMUNIDADES EUROPEAS, Visto el Reglamento (CE) nº 2252/04 del Consejo, de 13 de diciembre de 2004, sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros y, en particular, su artículo 2, y las especificaciones técnicas establecidas en la Decisión C(2006) 2909 de la Comisión, de 28 de junio de 2006, Considerando lo siguiente: (1) De conformidad con la Decisión C (2006) 2909 de la Comisión, de 28 de junio de 2006, debía establecerse posteriormente una política de certificación que garantizara la aplicación coherente en todos los Estados miembros. (2) Al mismo tiempo, se actualizan las referencias normativas de acuerdo con las últimas versiones disponibles, que no contienen cambios sustanciales con respecto a las versiones anteriores. (3) Estos documentos de referencia fueron considerados documentos de referencia adicionales sin ninguna repercusión en el calendario de aplicación del Reglamento (CE) nº 2252/2004 sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros. (4) De conformidad con la Decisión 2000/365/CE del Consejo, de 29 de mayo de 2000, sobre la solicitud del Reino Unido de Gran Bretaña e Irlanda del Norte de participar en algunas de las disposiciones del acervo de Schengen, el Reino Unido no participó en la adopción del Reglamento y no está vinculado por él ni sujeto a su aplicación, ya que desarrolla las disposiciones del acervo de Schengen. Por lo tanto, el Reino Unido no es destinatario de la presente Decisión. (5) De conformidad con la Decisión 2002/192/CE del Consejo, de 28 de febrero de 2002, sobre la solicitud de Irlanda de participar en algunas de las disposiciones del acervo de Schengen, Irlanda no participó en la adopción del Reglamento y no está vinculada por él ni sujeta a su aplicación, ya que desarrolla las disposiciones del acervo de Schengen. Por lo tanto, Irlanda no es destinatario de la presente Decisión. ES 2 ES

4 (6) De conformidad con los artículos 1 y 2 del Protocolo sobre la posición de Dinamarca, adjunto al Tratado de la Unión Europea y al Tratado constitutivo de la Comunidad Europea, Dinamarca no participó en la adopción del Reglamento y, por lo tanto, no está vinculada por él ni sujeta a su aplicación. No obstante, dado que el Reglamento pretende desarrollar el acervo de Schengen con arreglo a las disposiciones del Título IV de la tercera parte del Tratado constitutivo de la Comunidad Europea, Dinamarca, de conformidad con el artículo 5 de dicho Protocolo, notificó por carta de 6 de junio de 2005 la transposición del Reglamento a su ordenamiento interno. Está, pues, obligada por el Derecho internacional a aplicar la presente Decisión. Por consiguiente, Dinamarca debe recibir una copia de la presente Decisión. (7) En lo que respecta a Islandia y Noruega, el Reglamento desarrolla disposiciones del acervo de Schengen en el sentido del Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del Acervo de Schengen, que están incluidas en el ámbito mencionado en el artículo 1, letra B, de la Decisión del Consejo 1999/437/CE, de 17 de mayo de 1999, relativa a determinadas normas de desarrollo de dicho Acuerdo. Por lo tanto, la presente Decisión es vinculante para Noruega e Islandia. (8) En lo que respecta a Suiza, el Reglamento desarrolla las disposiciones del acervo de Schengen en el sentido del Acuerdo firmado entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen, que están incluidas en el ámbito mencionado en el artículo 4, apartado 1, de la Decisión del Consejo relativa a la firma, en nombre de la Comunidad Europea y a la aplicación provisional de determinadas disposiciones de dicho Acuerdo. (9) Las medidas previstas en la presente Decisión son conformes al dictamen del Comité creado por el artículo 6 del Reglamento (CE) nº 1683/95. HA ADOPTADO LA PRESENTE DECISIÓN: Artículo 1 (1) Se establece la política de certificación común que figura en el Anexo 1, de conformidad con el punto del Anexo de la Decisión C (2006) 2909, de 28 de junio de (2) Las referencias normativas mencionadas en el punto 7 del Anexo de la Decisión C(2006) 2909, de 28 de junio de 2006, se actualizan tal como se establece en el Anexo 2. Artículo 2 Los destinatarios de la presente Decisión son el Reino de Bélgica, la República de Bulgaria, la República Checa, la República Federal de Alemania, la República de Estonia, la República Helénica, el Reino de España, la República Francesa, la República Italiana, la República de Chipre, la República de Letonia, la República de Lituania, el Gran Ducado de Luxemburgo, la República de Hungría, la República de Malta, el Reino de los Países Bajos, la República de Austria, la República de Polonia, la República Portuguesa, Rumanía, la República de Eslovenia, la República Eslovaca, la República de Finlandia y el Reino de Suecia. La presente ES 3 ES

5 Decisión se transmitirá a la República de Islandia, el Reino de Noruega y la Confederación Suiza. Artículo 3 La presente Decisión sustituye a la Decisión C(2008) 4336 final de la Comisión, de 25 de septiembre de Hecho en Bruselas, el Por la Comisión Jacques BARROT Vicepresidente ES 4 ES

6 ANEXO ANEXO I DE LA DECISIÓN C (2008)... DE LA COMISIÓN DE... POLÍTICA COMÚN DE CERTIFICACIÓN PARA LA INFRAESTRUCTURA DE CONTROL DE ACCESO AMPLIADO PARA LOS PASAPORTES Y DOCUMENTOS DE VIAJE EXPEDIDOS POR LOS ESTADOS MIEMBROS DE LA UE Versión de marzo de INTRODUCCIÓN El objetivo de la política de certificación (PC) es lograr la confianza y una suficiente interoperatividad entre las autoridades de certificación del país de verificación (ACPV) y los verificadores de documentos (VD) de los distintos Estados miembros, para que pueda funcionar la EAC-PKI. Esta política de certificación se ajusta a lo establecido en el artículo de las especificaciones técnicas sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros, establecida en la Decisión C (2008) 2909 de la Comisión de La política de certificación solamente se refiere al uso de certificados para controlar el acceso a los datos biométricos de huellas dactilares en los pasaportes y documentos de viaje que permiten el control de acceso ampliado a efectos de control fronterizo. Esta política de certificación común establece unos requisitos comunes mínimos sobre los cuales los Estados miembros DEBERÁN basar su política de certificación nacional para el uso de certificados a efectos de control fronterizo. Una política de certificación nacional DEBE, como mínimo, cumplir las normas de la política de certificación común, pero PODRÁ establecer más restricciones en cuanto al control y uso de certificados en ese Estado miembro. Los Estados miembros NO PODRÁN exigir que los VD de otros Estados miembros adopten restricciones superiores a las establecidas en la política de certificación común como requisito previo para expedir un certificado a ese VD. La expedición de certificados por una ACPV a los VD nacionales cae fuera del ámbito de esta política de certificación común. Esta política de certificación se basa en la directriz técnica «Advanced Security Mechanisms for Machine Readable Travel Documents Extended Access Control (EAC)», versión 1.1.1, TR-03110, publicada por la Bundesamt fur Sicherheit in der Informationstechnik, en lo sucesivo denominada TR-EAC. 1 No publicada en el Diario Oficial. Disponible en: ES 5 ES

7 1.1. Generalidades Una política de certificación es un conjunto de normas que indican la aplicabilidad de un certificado a una comunidad o a una clase de aplicación particulares con requisitos comunes de seguridad. Tanto para las ACPV como para los VD, esta política ofrece la misma calidad que la ofrecida por la política de certificación normalizada ampliada (PCN+) según lo definido en ETSI TS , versión ( ). Esta política de certificación funciona con la infraestructura de clave pública descrita en la TR-EAC, apartado 2.2 «Infraestructura de clave pública» Nombre e identificación de la documentación Esta política de certificación común se identifica por su nombre y número de versión. Una PC nacional DEBERÁ contener un IO (identificador de objeto) que DEBERÁ identificar de manera única el documento y su versión Participantes PKI Esta sección enumera las autoridades de certificación, los titulares del certificado, las autoridades de registro, y las partes transmisoras de la infraestructura de clave pública del control de acceso ampliado (EAC-PKI). La EAC-PKI forma parte de la infraestructura internacional de seguridad para asegurar y verificar la integridad y la autenticidad de los MRTD (documentos de viaje legibles mecánicamente) expedidos por un Estado miembro. La descripción de todos los participantes PKI se resume en el cuadro 1. Autoridad de certificación Autoridad de registro Suscriptor Parte transmis ora Autoridad de certificación del país de verificación (ACPV) X X Verificador de documentos (VD) X X X X Sistema de inspección (SI) X X MRTD (documento de viaje legible mecánicamente) X Cuadro 1: Descripción de los participantes PKI de una EAC-PKI Autoridades de certificación Autoridad de certificación del país de verificación: la principal autoridad de certificación (AC) de una EAC-PKI nacional se denomina Autoridad de certificación del país de ES 6 ES

8 verificación (ACPV). Las claves públicas de una ACPV nacional están contenidas tanto en los certificados ACPV autofirmados como en los certificados ACPV de enlace. Ambas clases se denominan certificados ACPV. Una ACPV nacional determina los derechos de acceso a los datos sensibles almacenados en los chips de los MRTD nacionales para todos los VD (es decir, los VD nacionales y los extranjeros) mediante la expedición de certificados VD que establecen atributos de control de acceso. Una ACPV nacional expide certificados a sus titulares de certificados (suscriptores). En este documento, los titulares del certificado se denominan verificadores de documentos (VD). Un VD es una unidad organizativa que gestiona sistemas de inspección conjuntos. Autoridad de certificación del verificador de documentos: cada país DEBERÍA contar solamente con una autoridad de certificación que ejerciese como verificador de documentos (VD), aunque en algunos Estados miembros ello no pueda ser posible debido a la forma en que organizan la responsabilidad del control fronterizo y de la inmigración. A fin de minimizar los gastos generales de administración, el registro DEBERÍA realizarse de forma coordinada por los VD. Un VD utiliza una AC para expedir certificados para sus sistemas de inspección. Los certificados del sistema de inspección expedidos por un VD generalmente heredan tanto los derechos de acceso como el período de validez del certificado VD subyacente. Sin embargo, el verificador de documentos PODRÁ optar por restringir más los derechos de acceso o el período de validez Autoridades de registro Autoridad de registro del país de verificación: por cada ACPV nacional hay solamente una autoridad de registro, la correspondiente autoridad de registro del país de verificación (ARPV) que normalmente es la propia ACPV. La ARPV nacional es responsable de identificar y autenticar las peticiones de certificación de los verificadores de documentos. Las solicitudes de certificación de los certificados de suscriptores sólo son autorizadas por los verificadores de documentos. Además, una ARPV inicia la expedición de certificados a los verificadores de documentos y valida el proceso de revocar y renovar certificados expedidos por la ACPV correspondiente. A efectos del presente documento, se supondrá que la ARPV forma parte de la ACPV y sólo se utilizará el término ACPV. Los Estados miembros PODRÁN dividir/combinar el papel de ACPV y ARPV como deseen. Autoridad de registro del verificador de documentos: cada Estado miembro sólo DEBERÁ contar con una autoridad de registro para cada verificador de documentos. Los VD son responsables de identificar y autenticar las solicitudes de certificación de los sistemas de inspección. Además, inician la emisión de certificados para los sistemas de inspección y validan el proceso de revocar y renovar certificados. A efectos del presente documento, se entenderá que la ARVD forma parte del VD y se utilizará solamente el término VD. Los Estados miembros PODRÁN dividir/combinar el papel del VD y la ARVD como deseen. ES 7 ES

9 Suscriptores Los suscriptores con arreglo a esta política son los verificadores de documentos (VD) y los sistemas de inspección (SI). El término VD se define en la sección A efectos de esta política de certificación, se entiende por sistema de inspección la infraestructura, los equipos informáticos y los programas informáticos necesarios para obtener certificados de los VD de los Estados miembros, almacenar y gestionar esos certificados, y obtener datos biométricos de huellas dactilares de los MRTD que utilicen esos certificados, incluidos los mecanismos de control de acceso a los sistemas de inspección Partes trasmisoras Las partes transmisoras en una EAC-PKI son los verificadores de documentos, los sistemas de inspección y los MRTD. Una parte transmisora es una entidad que verifica la firma de un certificado utilizando una vía de certificación fiable (véase la sección 1.4). Los Estados miembros identificarán claramente qué vía de certificación fiable tiene que utilizar para verificar un certificado (véase la sección 1.4) Otros participantes Si un Estado miembro identifica a otros participantes, este apartado tendrá que ser rellenado por el Estado miembro. Otros participantes identificados por el Estado miembro, que tengan una función o interactúen con PKI, deberán atenerse a los requisitos de seguridad definidos en la presente PC Uso de los certificados Permitir la lectura por los sistemas de inspección de los datos biométricos de huellas dactilares almacenados en los MRTD según lo indicado en los certificados, con el único objeto de verificar la identidad del titular mediante caracteres comparables disponibles directamente. Por lo que respecta a una ACPV de un Estado miembro, los pares de claves y los certificados se utilizan del siguiente modo: la clave privada ACPV, para firmar certificados VD nacionales y externos y podrá utilizarse para firmar solicitudes de certificados VD destinadas a otra ACPV autorizada de un Estado miembro (véase la sección 3.4); un certificado ACPV, para verificar las firmas realizadas por un VD nacional o de otro Estado miembro; una clave privada VD, para firmar certificados SI nacionales; un certificado VD, para verificar la firma de un certificado SI nacional o externo. Estos certificados permiten la lectura por los sistemas de inspección de los datos biométricos de huellas dactilares almacenados en los MRTD según lo indicado en los certificados, con la única finalidad de verificar la identidad del titular mediante caracteres comparables ES 8 ES

10 directamente disponibles. Para ello, es necesario tener una identificación clara del procedimiento de certificación fiable que debe utilizarse. Un procedimiento de certificación fiable gestionado por una ACPV estará compuesto por los siguientes certificados: certificado ACPV: certificado autofirmado; en caso necesario, certificado ACPV de enlace intermedio; certificado VD: firmado al menos por la ACPV nacional; certificado SI: firmado por el VD. Los procedimientos de certificación fiables de las partes transmisoras se destinan a: DV: SI: certificado ACPV nacional y certificado ACPV de un Estado miembro autorizado; certificado VD nacional, certificado ACPV nacional y certificado ACPV de un Estado miembro autorizado; MRTD (Documento de viaje legible mecánicamente): certificado SI del Estado miembro autorizado, certificado VD del Estado miembro autorizado y certificado ACPV nacional y posiblemente certificado ACPV de enlace nacional y el correspondiente certificado ACPV. Nota: por «nacional» se entiende el Estado miembro que expide ACPV, VD, SI y MRTD. Por «Estado miembro autorizado» se entiende los Estados miembros autorizados a recoger datos de los MRTD de los nacionales que utilizan un VD (y SI) firmado por la ACPV nacional del Estado miembro del ciudadano Administración Comisión Europea Dirección General de Justicia, Libertad y Seguridad Dirección B, Unidad B Bruselas Bélgica 1.6. Terminología, definiciones y siglas Las palabras clave «DEBERÁN», «NO DEBERÁN», «DEBEN», «NO DEBEN», «NECESARIO», «DEBERÍAN», «NO DEBERÍAN», «RECOMENDADO», «PODRÁN» y «OPCIONAL» utilizadas en el presente documento deben interpretarse según lo descrito en [RFC2119]. Por «Estado miembro» se entiende un Estado que sea parte en el Reglamento (CE) nº 2252/2004. ES 9 ES

11 Por «nacional» se entenderá del mismo Estado miembro. Por «extranjero» se entenderá de otro Estado miembro. Por «clave válida» se entenderá una clave que actualmente está en el período de validez del correspondiente certificado de suscriptor y para la que no se ha revocado el correspondiente certificado de suscriptor. En el apéndice A.1.2. figuran otras definiciones y siglas utilizadas en el presente documento. 2. RESPONSABILIDADES DE PUBLICACIÓN Y DEPÓSITO La Comisión Europea es responsable de mantener una lista de datos de contacto de los ACPV y VD a nivel europeo. El contenido y la integridad de esta lista está garantizada por medios diplomáticos. La información correspondiente está disponible en el sitio Internet de la Dirección General de Justicia, Libertad y Seguridad (DG-JLS) de la Comisión Europea. 3. IDENTIFICACIÓN Y AUTENTICACIÓN 3.1. Denominación Según lo definido en la TR-EAC A.4.1, la referencia de la autoridad de certificación se utiliza para identificar la clave pública que debe utilizarse para verificar la firma de la autoridad de certificación (ACPV o VD). La referencia de la autoridad de certificación DEBE ser igual a la referencia del titular del certificado en el correspondiente certificado de la autoridad de certificación (certificado de enlace ACPV o certificado VD). La referencia del titular del certificado DEBERÁ identificar una clave pública del titular del certificado. DEBERÁ tratarse de un identificador único en relación con la autoridad de certificación emisora. CONSISTIRÁ en los siguientes elementos concatenados: 1) el código ISO ALPHA-2 del país del titular del certificado; 2) un código nemotécnico que represente al titular del certificado; 3) un número de secuencia numérico o alfanumérico. NOTA: No está garantizado que la referencia del titular del certificado sea un identificador único en general. El Estado miembro definirá la identidad de la manera siguiente: Certificado ACPV: Referencia de la autoridad de certificación: identidad ACPV nacional; Referencia del titular del certificado: identidad ACPV nacional; Certificado VD: ES 10 ES

12 Referencia de la autoridad de certificación: identidad ACPV nacional u otra identidad ACPV de un Estado miembro autorizado (véase la sección 3.3); Referencia del titular del certificado: identidad VD nacional; Certificado SI: Referencia de la autoridad de certificación: identidad VD nacional; Referencia del titular del certificado: identidad SI nacional Validación de identidad inicial ACPV nacional Cada Estado miembro DEBERÁ identificar claramente quién es responsable de la autenticación y la definición de la identidad ACPV ACPV a ACPV Para validar peticiones procedentes de un VD, una ACPV debe poder confirmar la identidad del VD con las ACPV de los Estados miembros. Por tanto, antes de que los VD presenten peticiones de certificados, las ACPV de los Estados participantes DEBERÁN validar la identidad de cada uno. La validación de la identidad de la ACPV se llevará a cabo bajo la supervisión de la Comisión Europea. Las ACPV DEBERÁN presentar la siguiente información a la Comisión Europea para su distribución a otras ACPV participantes: a) la política de certificación nacional; b) la parte pública de la declaración de la práctica de certificación de la ACPV, si existe; c) una copia de la clave pública ACPV. En caso de cambio de cualquiera de las anteriores, las ACPV DEBERÁN presentar la versión actualizada a la Comisión Europea para su distribución a otras ACPV participantes VD a ACPV Cuando un VD de un Estado miembro presente por primera vez información de registro a una ACPV de otro Estado miembro, DEBERÁ utilizar un canal fiable acordado entre ambos. En la información de registro el VD DEBERÁ incluir: a) la parte pública de la Declaración de la práctica de certificación del VD; b) el último certificado de conformidad con la política de certificación nacional para el VD; ES 11 ES

13 c) una lista de las organizaciones que utilizan sistemas de inspección suscritos al VD; d) una petición de certificado según lo especificado en la TR-EAC, apartado A.4.2. Esta petición DEBE incluir una firma externa, según lo definido en la TR-EAC, apartado A.4.2.4, de la ACPV supervisora del VD. En caso de cambio importante de cualquiera de los anteriores, el VD DEBERÁ informar del cambio a la ACPV para que esta decida si es necesaria una nueva validación de la identidad inicial SI a VD Los VD DEBERÁN contar con un mecanismo adecuado para identificar un sistema de inspección autenticado. Cuando se genere la clave inicial y se compile la petición de certificado, el personal autorizado por el VD DEBERÁ estar físicamente presente Identificación y autenticación de peticiones de reintroducción Según lo especificado en la TR-EAC, apartado A VD a ACPV La ACPV DEBERÁ cerciorarse de la validez de la petición confirmando lo siguiente: SI a VD a) que la petición está formateada de conformidad con la TR-EAC, apartado A.4.2; b) que la ACPV del Estado miembro del VD continúa considerando al VD como válido; c) que el certificado de conformidad del VD es válido; d) que la firma externa de la petición ha sido creada con una clave válida respecto a un certificado de ese VD, expedido por la ACPV. El VD solamente EXPEDIRÁ un certificado una vez que haya confirmado: a) que el sistema de inspección sigue registrado como operativo; b) que el sistema de inspección no figura como robado o inexistente. ES 12 ES

14 4. REQUISITOS OPERATIVOS DEL CICLO DE VIDA DEL CERTIFICADO 4.1. Petición de certificado ACPV Cada Estado miembro definirá qué entidad es responsable para autorizar la creación de la ACPV VD a ACPV Tras la validación de identidad inicial según lo dispuesto en el apartado 3.2.3, la solicitud del certificado VD se realizará de conformidad con lo dispuesto en la TR-EAC A.4.2 Petición de certificado y TR-EAC Verificadores de documentos SI a VD Los sistemas de inspección PODRÁN presentar peticiones de certificado una vez finalizada la validación de identidad inicial según lo previsto en el apartado Procesado de la petición de certificado Certificados expedidos por ACPV a ACPV Una ACPV solamente expedirá un certificado ACPV autofirmado o un certificado de enlace a un certificado ACPV anterior, durante la ceremonia de clave, que sea conforme con su propia política de certificación nacional. Las ACPV DEBEN comprobar que una petición de certificado esté autorizada y sea válida (véase la sección 4.1.1) Certificados expedidos por ACPV a VD Una ACPV solamente expedirá un certificado a un VD que sea conforme con la propia política de certificación nacional del VD, es decir, como mínimo, conforme con esta política de certificación, y cuando el uso (gubernamental y no gubernamental) de los datos biométricos de huellas dactilares en el PR sea conforme con la sección 1.4 del presente documento. Las ACPV DEBEN comprobar que la petición de certificado es válida. Las ACPV DEBEN acusar recibo de la petición de certificado en el momento de la recepción. Las ACPV DEBEN tratar la petición de certificado en el plazo de 72 horas establecido en el punto de la Decisión C (2008) 2909 de la Comisión de En caso de que un sistema ACPV no esté operativo durante un tiempo superior a este plazo, DEBERÁ informar a todos los VD suscriptores a más tardar 7 días antes de la interrupción prevista del servicio, y tan pronto como sea razonablemente posible en caso de interrupción imprevista. ES 13 ES

15 Certificados expedidos por VD a SI Un VD solamente expedirá un certificado al SI que cumpla su propia política de certificación nacional y que utilice los certificados de conformidad con la parte 1.4 del presente documento. Los VD DEBEN comprobar que una petición de certificado es válida antes de expedirlo Emisión de certificados Certificados expedidos por PV Las ACPV DEBERÁN tomar medidas contra la falsificación de certificados y garantizar que los procedimientos de expedición del certificado estén ligados de forma segura al registro, renovación de certificado o petición de reintroducción de certificado asociados, incluida cualquier clave pública generada. Los certificados DEBERÁN generarse y expedirse de conformidad con la TR-EAC A.4 Certificados PV Certificados expedidos por VD Los VD DEBERÁN garantizar que expiden certificados de forma segura para mantener su autenticidad. Los VD DEBERÁN tomar medidas contra la falsificación de certificados y garantizar que los procedimientos de expedición del certificado estén ligados de forma segura al registro, renovación de certificado o petición de reintroducción de certificado asociados, incluida cualquier clave pública generada. Los certificados se generarán y expedirán de conformidad con la TR-EAC A.4 Certificados PV Aceptación de certificados Los certificados ACPV autofirmados SERÁN aceptados por la entidad responsable de la ACPV después de su creación al final de la ceremonia de clave. DEBERÁ considerarse que un VD o SI ha aceptado un certificado en el momento de su recepción Normas sobre seguridad de certificados y pares de claves Las ACPV, VD y SI DEBERÁN cumplir los siguientes requisitos según proceda: asegurarse de que se presente a la ACPV/VD información exacta y completa de conformidad con los requisitos de esta PC, particularmente con relación al registro; el par de claves solamente se utilizará de conformidad con las limitaciones impuestas por esta PC; asegurarse que no se utiliza la clave privada sin autorización; ES 14 ES

16 las claves se generarán de conformidad con la TR-EAC; sólo se utilizarán las claves privadas para firmar o descifrar en un dispositivo criptográfico seguro según lo descrito en la sección 6.2; se notificarán a la ACPV/VD, en un plazo razonable, las situaciones siguientes hasta el fin del período de validez indicado en el certificado: la pérdida, robo o peligro potencial de una clave privada; o la pérdida del control sobre la clave privada debido a sospecha de riesgo con respecto a los datos de activación (por ejemplo, código PIN) u otras razones; y/o la inexactitud o cambios en el contenido del certificado, según lo notificado al suscriptor o al interesado. En caso de sospecha de riesgo, se interrumpirá inmediata y permanentemente el uso de una clave privada. En caso de que se informe de riesgo que corre una clave privada de una ACPV o VD, las ACPV, VD y SI NO DEBERÁN otorgar fiabilidad a los certificados firmados mediante estas claves privadas y DEBERÁN actuar debidamente. El uso de certificados y pares de claves SERÁ el que indique el emisor del certificado (ACPV o VD) en la casilla «autorización del titular del certificado» del certificado. Los VD y SI solamente DEBERÁN utilizar la clave privada correspondiente al certificado VD y SI recibido para los siguientes fines: el descrito en la sección 1.4 «Uso del certificado» de esta PC; de conformidad con el contenido de los certificados expedidos Renovación de certificados No autorizado Reintroducción del certificado Sólo se PODRÁ reintroducir un certificado cuando: a) el certificado VD o SI esté a punto de expirar; b) se revoque un certificado VD; c) existan sospechas de riesgo con respecto a una clave; d) un certificado VD/SI requiera una modificación debido a cambios en los atributos VD/SI. ES 15 ES

17 La ACPV/VD se asegurará de que las peticiones de certificados remitidas a un VD/SI previamente registrado estén completas, sean exactas y estén debidamente autorizadas. La ACPV/VD DEBERÁ: a) comprobar la existencia y validez del certificado que debe reintroducirse y que la información utilizada para verificar la identidad y atributos del VD/SI sigue siendo válida; b) expedir un nuevo certificado basado en la verificación de la firma del interesado en la petición, solamente si la seguridad criptográfica de esa clave de firma sigue siendo suficiente para el período de validez del nuevo certificado y no existe ningún indicio de que existan riesgos para la clave utilizada para generar la firma del interesado en la petición. Los certificados DEBERÁN expedirse de conformidad con el punto 4.3, «Expedición de certificados». En caso de que un certificado VD esté a punto de expirar (véase el punto 4.7a), DEBEN seguirse las indicaciones TR-EAC A.4.2 «Peticiones de certificado». En caso de que un certificado VD haya sido revocado, haya expirado o requiera una modificación (véanse los puntos 4.7b, c, d), el procedimiento para la reintroducción será igual al procedimiento de primera solicitud de un certificado VD a VD. En caso de que una clave privada SI esté en riesgo o haya expirado, el procedimiento para la reintroducción será igual al procedimiento de primera solicitud de un certificado SI a SI Modificación de certificados Esta cuestión se aborda en la sección 4.7, «Reintroducción de certificados» del presente documento Revocación y suspensión de certificados Véase la sección 5.7, «Compromiso y recuperación de desastres» del presente documento Servicios de estado de los certificados Véase la sección 5.7, «Compromiso y recuperación de desastres» del presente documento Fin de la suscripción Depósito de claves y recuperación NO DEBE utilizarse. ES 16 ES

18 5. CONTROLES DE GESTIÓN, OPERATIVOS Y FÍSICOS 5.1. Controles físicos Cada ACPV y VD se asegurará de que sus servicios operen en un entorno seguro. Esto DEBERÁ incluir: a) Ubicación y construcción de las instalaciones: las ACPV/VD operarán en unas instalaciones físicamente protegidas. b) Acceso físico: El acceso a las ACPV/VD estará controlado y auditado. Solamente las personas autorizadas tendrán acceso físico a las instalaciones de la ACPV/VD. c) Medios de almacenamiento: Los medios de almacenamiento estarán protegidos contra el uso, el acceso o la divulgación no autorizados o intempestivos y los daños provocados por personas u otras amenazas (por ejemplo, fuego o agua). d) Eliminación de residuos: Se aplicarán procedimientos de eliminación de residuos que impidan el uso, acceso o divulgación no autorizados o intempestivos de los datos sensibles. e) Reserva fuera de las instalaciones: PODRÁ instalarse una reserva de los datos críticos fuera de las instalaciones Procedimientos de control y gestión del acceso al sistema DEBERÁN establecerse procedimientos de control, especialmente la separación de tareas mediante la introducción del principio de dos personas para las tareas críticas. Cada ACPV, VD y SI DEBERÁ asegurarse de que el acceso al sistema para cualquier dispositivo EAC-PKI esté limitado a las personas debidamente autorizadas por razón de las funciones que deban desempeñar. En especial, se aplicarán los siguientes requisitos: a) DEBERÁN establecerse controles (por ejemplo, cortafuegos) para proteger los ámbitos internos de la red del PV de ámbitos externos accesibles por terceros. b) Los datos sensibles DEBERÁN protegerse contra el acceso o la modificación no autorizados. c) Los datos sensibles DEBERÁN protegerse (por ejemplo, utilizando la encriptación y un mecanismo de integridad) cuando se intercambien a través de redes no seguras. d) Los ACPV, VD y SI DEBERÁN garantizar la administración efectiva del acceso de los usuarios (esto incluye operadores, administradores y cualquier usuario al que se otorgue acceso directo al sistema) a fin de mantener la seguridad del sistema, incluidas la gestión de las cuentas de usuario, la auditoría y la oportuna modificación o supresión del acceso. e) Los ACPV, VD y SI DEBERÁN garantizar que el acceso a la información y a las funciones del sistema de aplicación estén restringidas al personal autorizado ES 17 ES

19 y que los sistemas EAC-PKI proporcionen suficientes controles de seguridad informática para la separación de las funciones de confianza, incluidas las de operador y administrador de seguridad. En particular, el uso de programas de utilidades estará restringido y estrictamente controlado. DEBERÁ restringirse el acceso, acordándolo únicamente a los recursos necesarios para realizar la función asignada a un usuario. f) El personal de los ACPV, VD y SI DEBERÁ identificarse y autenticarse antes de utilizar las aplicaciones EAC-PKI relacionadas con la gestión de certificados o el acceso a los MRTD. g) El personal de los ACPV, VD y SI DEBERÁ responder de sus actividades, por ejemplo conservando registros según lo dispuesto en la sección 5.4. h) Los datos sensibles DEBERÁN protegerse contra la divulgación mediante objetos de almacenamiento reutilizados (por ejemplo, ficheros suprimidos) que sean accesibles para usuarios no autorizados Controles personales Todos los sistemas EAC-PKI, esto es, los sistemas ACPV, VD y SI, DEBERÁN ser operados por personal cualificado y con experiencia. En especial, deberán aplicarse los siguientes requisitos: a) Cada ACPV, VD y SI DEBERÁ emplear a un número suficiente de personal con los conocimientos específicos en la materia, la experiencia y las cualificaciones necesarias para los servicios ofrecidos y adecuados para el puesto. b) El personal DEBERÁ ser objeto de una evaluación de seguridad nacional adecuada a la función que desempeñe. c) DEBERÁN aplicarse sanciones disciplinarias adecuadas al personal que viole las políticas o procedimientos de la ACPV, VD o SI. d) Las funciones y responsabilidades de seguridad, según lo especificado en la política de seguridad del sistema, DEBERÁN documentarse en las descripciones de los puestos de trabajo. DEBERÁN identificarse claramente las funciones de confianza, de las que depende la seguridad de las operaciones del sistema. e) Todo el personal (tanto temporal como permanente) DEBERÁ contar con unas descripciones de sus funciones definidas desde el punto de vista de la separación de tareas y del principio de mínimo privilegio. f) El personal DEBERÁ atenerse a los procedimientos y procesos administrativos y de gestión que sean conformes con los procedimientos de control descritos en el apartado 5.2. g) Todo el personal ACPV, VD y SI que desempeñe cargos de confianza DEBERÁ estar libre de conflictos de intereses que puedan perjudicar a la imparcialidad del funcionamiento del sistema. ES 18 ES

20 h) El personal con acceso a claves privadas en la EAC PKI DEBERÁ ser formalmente designado para funciones de confianza por un responsable de la seguridad del SI. i) Las ACPV, VD y SI NO DEBERÁN designar para funciones de confianza o de gestión a personas que hayan sido condenadas por delitos graves u otros delitos que afecten a su adecuación para el puesto. El personal NO DEBERÁ tener acceso a funciones de confianza hasta que se hayan realizado los controles necesarios Procedimientos de registro y verificación Las ACPV, VD y SI DEBEN establecer procedimientos adecuados de registro para analizar y reconocer el uso adecuado o inadecuado de su sistema en la EAC-PKI. Las ACPV, VD y SI DEBERÁN garantizar que toda la información pertinente referente a un certificado se registre durante un período de tiempo adecuado, como mínimo para garantizar el cumplimiento de los requisitos de auditoría según lo descrito en el apartado 8 «Auditoría de la conformidad y otras evaluaciones». Las ACPV y los VD se asegurarán de que: a) se mantiene la confidencialidad e integridad de los registros corrientes y archivados por lo que se refiere a los certificados; b) los registros relativos a los certificados se archivan en su totalidad y confidencialmente; c) se registra el momento exacto en que se produzcan operaciones significativas en el entorno, la gestión de claves y la gestión de certificados; d) se registran todas las operaciones relativas al ciclo de vida de las claves; e) se registran todas las operaciones relativas al ciclo de vida de los certificados; f) se registran todas las operaciones relativas al registro; g) se registran todas las peticiones e informes relativos a la revocación, así como las acciones resultantes; h) se documentan las operaciones y datos específicos que deben registrarse; i) las operaciones se registran de tal manera que no puedan suprimirse o destruirse con facilidad (salvo para su transferencia a soportes permanentes) durante el plazo en que SE REQUIERE que se conserven. Los SI DEBERÁN mantener un registro que incluya: a) El registro de la parte de gestión de claves del sistema de inspección DEBERÁ hacerse de tal manera que el VD responsable pueda detectar el uso inadecuado del sistema y aplicar las medidas correctivas apropiadas. ES 19 ES

21 b) Protección frente a la modificación o la supresión de registros. c) Los registros DEBERÁN conservarse para permitir que el auditor pueda confirmar que el uso inadecuado puede detectarse Procedimientos de archivo de los registros Las ACPV, VD y SI DEBERÁN establecer procedimientos de archivo adecuados para su sistema en la EAC-PKI. Los procedimientos DEBERÁN garantizar la integridad, autenticidad y confidencialidad de los datos. Los archivos DEBERÁN crearse de tal manera que no puedan suprimirse o destruirse con facilidad (salvo para su transferencia a soportes a largo plazo) durante el plazo en que se requiere que se conserven. El acceso a los archivos DEBERÁ restringirse únicamente a los operadores autorizados. Si los soportes originales no pueden conservar los datos durante el plazo requerido, el lugar del archivo establecerá un mecanismo para transferir periódicamente los datos archivados a nuevos soportes. Los sistemas de inspección NO DEBERÁN registrar o transmitir huellas dactilares obtenidas de los MRTD. Estos datos biométricos se suprimirán inmediatamente después de finalizado el proceso de comparación entre las huellas dactilares tomadas al interesado y las huellas dactilares leídas en los MRTD. Los registros archivados DEBERÁN conservarse durante un período de tiempo adecuado para que puedan servir como pruebas legales necesarias de conformidad con la legislación aplicable del Estado miembro Cambio de clave Las ACPV y VD DEBERÁN asegurarse de que las claves se generen en circunstancias controladas y de conformidad con los procedimientos definidos en la sección 5.2, «Controles de gestión, operativos y físicos». La ACPV DEBERÁ facilitar certificados autofirmados completos, más certificados de enlace Compromiso y recuperación de desastres Las ACPV DEBERÁN tomar medidas razonables para garantizar que se mantenga la continuidad del servicio, incluidas las siguientes: a) medidas para minimizar el impacto de la perturbación de los servicios de suministro de energía; b) medidas para minimizar el impacto de hechos tales como inundaciones o incendios; c) medidas para minimizar el impacto de la pérdida de disponibilidad del personal clave. ES 20 ES

22 Procedimientos de gestión de incidentes y riesgos Las ACPV, VD y SI DEBERÁN garantizar en caso de accidente, incluidos los riesgos para las claves privadas, que las operaciones se reanudarán cuanto antes. En especial, son de aplicación los siguientes requisitos: 1. Cada ACPV, VD y SI DEBERÁ establecer y mantener un plan de continuidad que deberá ejecutarse en caso de accidente (véase también la sección 5.7.4). 2. Los datos de los sistemas ACPV y VD necesarios para reanudar las operaciones ACPV y VD DEBERÁN almacenarse en lugares seguros que permitan a la ACPV y VD reanudar sus operaciones en caso de incidente o accidente. 3. Las funciones de copia de seguridad y restauración DEBERÁN ser realizadas por las personas que ocupen puestos de confianza pertinentes. 4. El plan de continuidad EAC-PKI (o el plan de recuperación en caso de accidente) DEBERÁ tener en cuenta el peligro o supuesto peligro de que sea objeto una clave privada y DEBERÁ contarse con un protocolo de actuación (véase también la sección 5.7.3) Recursos informáticos, programas o datos dañados Si una clave ACPV privada resulta inutilizable por razones no críticas, se aplicará el procedimiento descrito en la sección Procedimientos para el caso de peligro de la clave privada Los VD DEBERÁN informar inmediatamente a todas las ACPV que hayan expedido certificados para este VD acerca del peligro o del uso indebido de claves privadas de VD o SI. Si un sistema de inspección se pierde o es robado, el VD responsable DEBERÁ informar a todas las ACPV que hayan expedido certificados para este VD acerca del incidente cuanto antes, pero no más tarde de la siguiente petición de certificado. Cada país DEBERÁ comunicar a los demás países de qué manera se hará disponible la información solicitada Capacidad de continuidad del funcionamiento después de un accidente Cada ACPV DEBERÁ contar con un plan de continuidad que detalle cómo mantendrá sus servicios ACPV en caso de incidente que afecte a su capacidad normal Terminación de ACPV o VD En caso de que una ACPV termine su funcionamiento, DEBERÁ: notificar la terminación a todas las ACPV con las que esté registrada; notificar a todas las ACPV con las que esté registrada, qué ACPV, en su caso, asumirá la responsabilidad de los VD nacionales; ES 21 ES

23 comunicar la terminación a todos los VD a los que facilita certificados; notificar a todos los VD a los que facilita certificados, qué ACPV, en su caso, expedirá certificados en su lugar; las ACPV que la sustituyan DEBEN continuar facilitando certificados para MRTD expedidos por la ACPV original; la ACPV destruirá, o retirará del uso, sus claves privadas. En caso de que un VD termine su funcionamiento, DEBERÁ notificarlo a su ACPV nacional, que a su vez lo notificará a todas las ACPV que expidan certificados a dicho VD. 6. CONTROLES TÉCNICOS DE SEGURIDAD 6.1. Generación de pares de claves Las ACPV y VD DEBERÁN garantizar que las claves de la AC se generen en circunstancias controladas de conformidad con la sección 5, «Controles de gestión, operativos y físicos», del presente documento. La generación de claves DEBERÁ realizarse en un dispositivo fiable que sea conforme con lo dispuesto en el Apéndice B. Antes de la expiración de la clave de firma de una ACPV o VD, la ACPV o VD DEBERÁN generar un nuevo par de claves de firma de certificados y DEBERÁN adoptar todas las medidas necesarias para evitar la perturbación del funcionamiento de las operaciones de cualquier ACPV, VD o SI que pueda utilizar esa clave. La nueva clave DEBERÁ generarse y distribuirse de conformidad con la TR-EAC y con la presente PC. Las ACPV y VD se asegurarán de que la integridad y autenticación de sus claves públicas y de cualquier parámetro asociado se mantengan durante la distribución a los VD y SI Protección de la clave privada y controles técnicos del módulo criptográfico Las claves privadas de firma DEBERÁN conservarse y utilizarse en un dispositivo fiable que sea conforme con lo dispuesto en el Apéndice B. Las ACPV DEBERÁN establecer mecanismos técnicos y de procedimiento que requieran la participación de múltiples autorizaciones individuales de confianza para realizar sus operaciones clave sensibles (tales como creación, copia de seguridad, restauración, destrucción y uso). Los VD DEBERÁN establecer mecanismos técnicos y de procedimiento que requieran la participación de múltiples autorizaciones individuales de confianza para realizar sus operaciones clave sensibles (tales como creación, copia de seguridad, restauración y destrucción). Los VD deberán establecer un proceso de autenticación de funciones de confianza con el HSM del VD para permitir el uso de claves VD. Las principales operaciones SI (tales como creación, copia de seguridad, restauración, destrucción y uso) DEBEN restringirse al personal autorizado designado para estas funciones. ES 22 ES

24 Fuera del dispositivo de creación de firmas, las claves de firma privadas se protegerán garantizando el mismo nivel de protección que prevé el dispositivo de creación de firmas. Si se hace una copia de seguridad de claves privadas, dicha copia DEBERÁ ser almacenada y recuperada solamente por personal de confianza y que utilice, al menos, un control doble en un medio físicamente seguro. El número de personas autorizadas para realizar esta función DEBE ser el mínimo imprescindible. Las copias de seguridad de las claves de firma privadas DEBERÁN estar sujetas al mismo o mayor nivel de seguridad que las claves en uso. En los casos en que las claves se almacenen en un módulo específico para el tratamiento de claves, DEBERÁN establecerse controles de acceso a fin de garantizar que no son accesibles fuera del módulo. Las claves privadas de firma NO DEBEN utilizarse una vez transcurrido su ciclo de vida y todas las copias de la clave DEBERÁN destruirse o dejar de utilizarse al final de su vida. La seguridad de los dispositivos criptográficos DEBE garantizarse durante su ciclo de vida, incluso garantizando que el equipo informático criptográfico de firma de certificados y revocaciones no sea manipulado durante su traslado o almacenamiento, que funcione correctamente y que cualquier clave privada almacenada en el equipo se destruya cuando el dispositivo sea retirado del servicio Otros aspectos de la gestión de los pares de claves Períodos operativos según lo especificado en el punto de la Decisión C(2006) 2909 de la Comisión de : Entidad Período mínimo de validez Período máximo de validez Certificado CVCA 6 meses 3 años Certificado VD 2 semanas 3 meses Certificado SI 1 día 1 mes 6.4. Datos de activación Los requisitos aplicables a los datos de activación DEBEN ser determinados por el propio VD basándose en un análisis de riesgos. El VD PODRÁ hacer uso del desbloqueo de los datos de activación, pero esto DEBERÁ coincidir con el nivel de seguridad ofrecido por los datos de activación Controles de seguridad informática Las ACPV, VD y SI DEBERÁN atenerse a los procedimientos para los controles de seguridad informática descritos en la sección 5 «Controles de gestión, operativos y físicos». Los componentes ACPV/VD/SI PODRÁN incluir las siguientes funcionalidades: ES 23 ES

25 exigir claves autenticadas para funciones de confianza; facilitar un control de acceso discrecional; facilitar una capacidad de auditoría de seguridad (protegida en su integridad); prohibir la reutilización de objetos; exigir el uso de criptografía para la comunicación de sesiones y la seguridad de las bases de datos; requerir un método seguro de identificación y autenticación; aislar ámbitos para el proceso; autoproteger el sistema operativo Controles de seguridad del ciclo de vida Los dispositivos fiables utilizados por las ACPV, VD e IS DEBERÁN ser protegidos contra modificaciones. DEBERÁ realizarse un análisis de los requisitos de seguridad en la fase de diseño y especificaciones de los proyectos de desarrollo de sistemas realizados por las ACPV, VD o SI que tengan un impacto en sistemas o productos fiables, a fin de garantizar que la seguridad se incorpora en los sistemas informáticos. Para todos los programas informáticos operativos de las ACPV, VD y SI DEBEN existir procedimientos de controles de cambios que deberán estar documentados y ser utilizados para nuevas versiones, modificaciones y reparaciones de urgencia de los programas informáticos Controles de seguridad de la red Las ACPV y VD DEBERÁN adecuarse a los procedimientos de los controles de seguridad de la red descritos en la sección 5 «Controles de la gestión, operativos y físicos» Consignación de hora 7. PERFIL DE CERTIFICADOS Y DE LCR 7.1. Perfil de certificados Certificados PV según lo especificado en la TR-EAC A 4.1 «Certificados PV» Perfil de LCR ES 24 ES

26 7.3. Perfil OCSP 8. AUDITORÍA DE CONFORMIDAD Y OTRAS EVALUACIONES Sólo se considerará que un VD se atiene a la presente PC si puede demostrar que se atiene a una política de certificación nacional que cumpla las normas del presente documento. Otras ACPV deberán evaluar si la política de certificación nacional cumple con la presente PC, antes de expedir certificados a VD que operen bajo esta política. En caso de conflicto, DEBERÁ recurrirse a un arbitraje bajo la supervisión de la Comisión Europea. Los VD DEBEN seleccionar una empresa u organización acreditada e independiente («organismo de auditoría») para auditar el VD de conformidad con su política de certificación nacional y su declaración de la práctica de certificación. El organismo de auditoría DEBE estar acreditado con este fin por el organismo de certificación del Estado miembro. La auditoría DEBE no sólo comprobar que se especifican los controles de seguridad del procedimiento, sino también que se respetan en la práctica. Esto también incluye el funcionamiento y la gestión de los sistemas de inspección suscritos al VD. Las auditorías DEBEN efectuarse por lo menos cada tres años. Al menos una vez al año, el organismo de auditoría realizará un estudio por un equipo de uno o más auditores para garantizar la conformidad con la presente PC. La prueba de conformidad con la PC sólo se reconocerá si el VD puede presentar un «certificado de conformidad» expedido por el organismo de auditoría, que declare que el VD cumple la presente PC al ser conforme con su política de certificación nacional. En caso de que una auditoría indique que un VD no se ajusta a su política de certificación nacional, el VD DEBERÁ notificarlo a todas las ACPV de las que recibe certificados. En caso de que se certifique que un VD no cumple con su política de certificación nacional, o que su certificación es inválida o ha expirado, los demás Estados miembros NO DEBERÁN expedir certificados VD a dicho VD. Se recomienda a los VD que apliquen un sistema de gestión de la seguridad de la información (SGSI) para la funcionalidad de sus AC y AR de acuerdo con la norma ISO/IEC El SGSI se basa en una política SGSI cuyo alcance es definido por la política de certificación nacional y la declaración de la práctica de certificación asociada. 9. OTROS ASPECTOS COMERCIALES Y JURÍDICOS 9.1. Tasas 9.2. Responsabilidad financiera ES 25 ES

Documentos relacionados
2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback