PLIEGO TÉCNICO PARA EL SUMINISTRO DE UNA PLATAFORMA DE FIRMA ELECTRONICA PARA LA DIRECCIÓN GENERAL DE LA POLICIA Y DE LA GUARDIA CIVIL (ÁMBITO CNP)

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA PLIEGO TÉCNICO PARA EL SUMINISTRO DE UNA PLATAFORMA DE FIRMA ELECTRONICA PARA LA DIRECCIÓN GENERAL DE LA POLICIA Y DE LA GUARDIA CIVIL (ÁMBITO CNP) CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

2 ÍNDICE 1. OBJETO DEL CONTRATO....5 2. ELEMENTOS OBJETO DEL CONTRATO...5 3. ENTORNO TECNOLÓGICO ACTUAL....5 3.1. ELEMENTOS FÍSICOS....6 3.2. ELEMENTOS LÓGICOS...6 3.3. SISTEMAS DE INFORMACIÓN...7 3.3.1. DNI ELECTRÓNICO....7 3.3.2. CARNET PROFESIONAL DEL CNP...7 3.3.3. OTROS CERTIFICADOS....7 4. PLATAFORMA DE FIRMA ELECTRONICA CORPORATIVA...8 4.1. SISTEMA DE SERVICIOS DE FIRMA...8 4.1.1. CARACTERISTICAS TECNICAS....9 4.1.1.1. ARQUITECTURA....9 4.1.1.2. MODELO DE INFORMACIÓN... 10 4.1.1.3. CARACTERISTICAS DE INTEGRACIÓN.... 10 4.1.1.4. ESTANDARES.... 11 4.1.2. EQUIPAMIENTO.... 12 4.1.2.1. EQUIPOS APPLIANCE.... 13 4.1.2.2. BALANCEADOR.... 13 4.1.2.3. HSM.... 13 4.1.2.4. SOFTWARE ADICIONAL.... 14 4.1.3. CARACTERISTICAS FUNCIONALES.... 14 4.1.3.1. SUBSISTEMA DE AUTENTICACIÓN... 14 4.1.3.2. SUBSISTEMA DE GESTIÓN DE IDENTIDADES.... 14 4.1.3.3. SUBSISTEMA DE FIRMA.... 15 4.1.3.4. SUBSISTEMA DE NO REPUDIO.... 16 4.1.3.5. SUBSISTEMA DE VERIFICACIÓN... 17 4.1.3.6. SUBSISTEMA DE ENCRIPTACIÓN... 17 4.1.3.7. SUBSISTEMA DE GESTIÓN DE CLAVES.... 18 4.1.3.8. CUSTODIA DE DATOS.... 18 4.1.3.8.1. SUBSISTEMA DE CUSTODIA DE FIRMA.... 18 4.1.3.8.2. SUBSISTEMA DE CUSTODIA DE DATOS CRIPTOGRAFICOS.... 19 4.1.3.8.3. REPOSITORIO DE DOCUMENTOS.... 20 4.1.3.9. SUBSISTEMA DE ADMINISTRACIÓN... 20 4.1.3.10. SUBSISTEMA DE AUDITORIA... 21

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA 4.2. SISTEMA PORTAFIRMAS... 21 4.2.1. CARACTERISTICAS TECNICAS.... 21 4.2.2. CARACTERISTICAS FUNCIONALES.... 22 4.2.2.1. DOCUMENTOS.... 22 4.2.2.2. OPERACIONES.... 23 4.2.2.3. FLUJO DE FIRMA.... 23 4.2.2.4. INTERFACE DE USUARIO.... 24 5. SERVICIOS DE SOPORTE TÉCNICO...24 5.1. SERVICIOS DE FORMACIÓN.... 24 5.2. MANUALES.... 25 5.3. SOPORTE TÉCNICO... 25 6. PROPIEDAD INTELECTUAL, SEGURIDAD Y CONFIDENCIALIDAD...25 6.1. SEGURIDAD Y CONFIDENCIALIDAD DE LA INFORMACIÓN... 25 6.2. REQUISITOS DE SEGURIDAD.... 26 6.3. REQUISITOS DE SEGURIDAD, NORMALIZACIÓN Y CONSERVACIÓN... 27 6.4. CONSERVACIÓN DE LA INFORMACIÓN... 27 7. TRANSFERENCIA TECNOLÓGICA....27 8. CONTROL ECONÓMICO Y FACTURACIÓN...27 8.1. CONDICIONES GENERALES.... 27 8.2. ACTUALIZACIÓN TECNOLÓGICA.... 27 8.3. PLAN DE PUESTA EN MARCHA.... 27 9. GARANTÍA DE LOS TRABAJOS...28 9.1. CONDICIONES DE GARANTÍA.... 28 9.2. CRITICIDAD.... 29 9.3. ACUERDO DE NIVEL DE SERVICIO... 29 9.3.1. OBLIGACIONES GENERALES.... 29 9.3.1.1. TIPO.... 29 9.3.1.2. ACCESO A LOS LOCALES... 29 9.3.1.3. INTERCONEXIÓN DE EQUIPOS.... 30 9.3.1.4. PRESTACIONES.... 30 CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

4 9.3.1.4.1. EQUIPO FÍSICO.... 30 9.3.1.4.1.1. REPUESTOS... 31 9.3.1.4.1.2. SUSTITUCIÓN DE EQUIPOS... 31 9.3.1.4.1.3. EQUIPO ALTERNATIVO.... 31 9.3.1.4.1.4. AMPLIACIÓN DE EQUIPOS... 32 9.3.1.4.2. EQUIPO LÓGICO.... 32 9.3.1.4.2.1. DISPONIBILIDAD DE NUEVAS ACTUALIZACIONES.... 32 9.3.1.4.2.3. SERVICIO DE SOPORTE TELEFONICO.... 34 9.3.1.4.2.4. NUEVAS VERSIONES.... 34 9.3.1.4.2.5. DOCUMENTACIÓN DE LOS PRODUCTOS... 34 9.3.2. OBLIGACIONES DE LA ADMINISTRACIÓN... 34 9.3.3. PERSONAL TÉCNICO.... 34 9.3.4. ASISTENCIA EN INSTALACIONES... 35 9.3.5. REGISTRO DE INTERVENCIONES.... 35 9.3.6. INCIDENCIAS.... 35 9.3.7. TIEMPO DE DIAGNÓSTICO Y RESOLUCIÓN DE INCIDENCIAS.... 36 9.3.7.1. TIEMPO MÁXIMO DE RESPUESTA... 36 9.3.7.2. TIEMPO MÁXIMO DE REPARACIÓN.... 36 9.3.8. HORARIO DE SERVICIO... 36 9.3.9. SERVICIOS ADICIONALES.... 36 9.3.10. OTRAS COBERTURAS.... 37 9.3.10.1. PLAN DE SOPORTE... 37 9.3.10.2. GESTIÓN DE LAS GARANTÍAS... 37 10. CONTRATO DE MANTENIMIENTO...37 11. DE CLIENTE MÁS FAVORECIDO....38 12. CUMPLIMIENTO DE NORMAS...38 12.1. ACREDITACIÓN... 38 12.2. AHORRO ENERGÉTICO, DE COMPATIBILIDAD ELECTROMAGNÉTICA Y DE REDUCCIÓN DE RADIACIONES EMITIDAS... 39 13. SISTEMA DE DECISIÓN PARA LA ADJUDICACIÓN....39 13.1. DETALLE Y METODOLOGÍA DE VALORACIÓN DE LOS CRITERIOS DE ADJUDICACIÓN.... 39 13.2. TÉCNICA DE DECISIÓN... 39

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA 1. OBJETO DEL CONTRATO. El objeto del presente contrato es la dotación del equipamiento informático necesario que permita a la Dirección General de la Policía y de la Guardia Civil (ámbito CNP) DGPGC cumplir las obligaciones derivadas de la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, proporcionando al centro directivo de una plataforma de firma electrónica corporativa que sea capaz de resolver toda la operativa relacionada con la firma electrónica de documentos dentro de la organización, que permita facilitar el intercambio de documentos firmados electrónicamente con las entidades privadas y el resto de organismos de la Administración Pública, y que sea capaz de facilitar y permitir a los ciudadanos el ejercicio de los derechos recogidos en la citada Ley. Se destina a proporcionar una Plataforma de Firma electrónica avanzada a la DGPGC (ámbito CNP), basado en la infraestructura de clave pública PKI disponible en el centro directivo, que proporcione seguridad y confianza tanto a los usuarios finales, como a las aplicaciones o servicios que necesiten implementar funciones relacionadas con la firma electrónica, independizando los servicios de seguridad y confianza de los procesos actuales y futuros de negocio. Esta plataforma será utilizados como herramienta base para la generación de firmas electrónicas del personal al servicio de la administración (artº 19 Ley 11/2007) y de los ciudadanos (artº 13, 14 y 15 Ley 11/2007). 2. ELEMENTOS OBJETO DEL CONTRATO. Se pretende la adquisición y puesta en marcha, totalmente operativo, de una plataforma de firma electrónica corporativa, compuesta por un sistema de servicios de firma electrónica y de un sistema de portafirmas electrónico, que funcionen de forma sincronizada, así como su instalación, parametrización y puesta en servicio, dotado del correspondiente equipamiento hardware, del equipamiento lógico necesario, del soporte técnico correspondiente; a instalar en las instalaciones centrales del Área de Informática. En concreto los componentes objeto de suministro son:? Plataforma de firma electrónica corporativa, compuesta por: o Un Sistema de Servicios de Firma, que proporcione seguridad y confianza a las aplicaciones que necesiten implementar funciones relacionadas con la firma electrónica. o Un Sistema de Portafirmas Electrónico, que resuelva la operativa de firma electrónica de documentos dentro de la organización desde el puesto de trabajo de los diferentes usuarios.? Formación.? Asistencia técnica. 3. ENTORNO TECNOLÓGICO ACTUAL. CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

6 La arquitectura actual se basa en el siguiente entorno tecnológico: 3.1. ELEMENTOS FÍSICOS. Sistema Central:? Servidores Sun Enterprise 25000 con diversos dominios.? Sistema de almacenamiento SAN basado en tecnología de Hitachi con equipos USP 100 y Thunder 9585 V.? Servidores SunFire V890, V490, etc.? Servidores Sun T2000 y T5120.? Pasarela de seguridad de web services Datapower.? HSM Ncipher. Clientes:? Ordenadores personales con arquitectura X86 Intel 3.2. ELEMENTOS LÓGICOS. Sistema Central:? Sistema Operativo Solaris versión 2.8. Durante el periodo de realización podría migrarse a la versión 2.10.? Base de Datos: o IBM Informix Dynamic Server V9.40 o Adabas v 5.1.1. o Oracle 10.? Plataforma Servidor de Aplicaciones: JAVA EE 5 (Java Enterprise Edition 5)? Plataforma JAVA: JAVA SE 6 (Java Standard Edition 6)? Portal de acceso externo basado en el producto Sun Java System Portal Server 6.? Servidores Web basados en el producto Sun Java System Web Server.? Framework MVC compatible con estándar JAVA EE 5? Comunicaciones TCP/IP sobre IPSEC.? Directorio LDAP Sun One Directory Server v5.2? Software de gestión de accesos Get Access.? PKI Entrust.? PKI Safelayer.? Herramienta de salvaguarda Netbackup de Symantec.? Software de clúster Global Clúster de Symantec.? Herramienta de monitorización y gestión Patrol de BMC. Clientes:? Sistema operativo Windows.? Navegador Internet Explorer.? Directorio Activo MS.

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA 3.3. SISTEMAS DE INFORMACIÓN. Los sistemas de información sobre los que se implementará la plataforma objeto de la contratación son los siguientes: 3.3.1. DNI ELECTRÓNICO. La firma electrónica generada con el DNIe es, según lo contemplado en el artículo 3.3 de la Ley 59/2003 de Firma Electrónica, una firma electrónica reconocida ya que es una firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. Esta firma permite garantizar la identidad del firmante, el no repudio de origen y la integridad del documento, teniendo el mismo valor que la firma manuscrita. El DNI electrónico incluye un chip que contiene un certificado de autenticación y otro de firma, a diferencia de este el Carnet del Cuerpo Nacional de Policía incluye un tercer certificado de cifrado. Algunas entidades públicas y privadas ya han utilizado los certificados del DNI electrónico, el certificado de autenticación para identificar a los ciudadanos y clientes cuando acceden a sus páginas Web y el certificado de firma para la firma electrónica de documentos y la formalización de contratos. 3.3.2. CARNET PROFESIONAL DEL CNP. El personal al servicio del Cuerpo Nacional de Policía ha sido dotado de los medios electrónicos que permiten la identificación del puesto de trabajo o cargo que desempeñan y el órgano en el que presta sus servicios, tal y como se recoge en el artículo 19 de la Ley 11/2007 en el que se regula la firma electrónica del Personal al Servicio de las Administraciones Públicas. Estos medios tiene la consideración de Dispositivo Seguro de Creación de Firma, permitiendo la realización de Firmas Electrónicas Avanzadas y Reconocidas, con equiparación legal a la firma manuscrita. Así mismo existen medios electrónicos, basados en certificados reconocidos, que permiten la realización de forma automática de firmas electrónicas facilitando la actuación administrativa de forma automatizada, tal y como se contempla a los artículos 17 y 18 de la cita da ley 11/2007. La Plataforma de Certificación del CNP se encuentra incluida en la Plataforma de Validación del Ministerio de Administraciones Públicas @firma. 3.3.3. OTROS CERTIFICADOS. La plataforma de firma permitirá la utilización, además de los sistemas de firma electrónica mencionados anteriormente, de otros sistemas de firma electrónica avanzada reconocidos o admitidos por las Administraciones Públicas. CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

8 4. PLATAFORMA DE FIRMA ELECTRONICA CORPORATIVA. Los oferentes incluirán una justificación de las características técnicas del equipamiento ofertado, en función de la arquitectura interna y características del logical que se utilice, y de los requisitos mínimos exigidos. Esta plataforma operará de forma totalmente compatible con el entorno tecnológico del centro directivo. La plataforma de firma electrónica se compondrá como mínimo de los elementos que a continuación se indican, que operarán de forma sincronizada entre ellos.? Un Sistema de Servicios de Firma, que proporcione seguridad y confianza a las aplicaciones que necesiten implementar funciones relacionadas con la firma electrónica.? Un Sistema de Portafirmas Electrónico, que resuelva la operativa de firma electrónica de documentos dentro de la organización desde el puesto de trabajo de los diferentes usuarios. Las características técnicas de los mismos se describen a continuación. 4.1. SISTEMA DE SERVICIOS DE FIRMA. El sistema de servicios de firma tendrá una arquitectura orientada a servicios (SOA), ofrecerá una interface de acceso a todos los servicios de PKI y sus funcionalidades serán accesibles mediante Web Services. El sistema tendrá las siguientes funcionalidades:? Firma electrónica. Permitirá la verificación y generación de firmas electrónicas, reconociendo diferentes prestadores de certificación. Permitirá la verificación de firmas a lo largo del tiempo, para lo cual habrá de generar y custodiar las evidencias electrónicas necesarias, garantizando el no repudio.? Gestión de claves. Permitirá registrar, revocar, consultar y verificar las claves de las entidades.? Cifrado digital. Servicios de cifrado, descifrado, ensobrado y des-ensobrado de datos? No-repudio digital. Servicios de generación y validación de evidencias digitales, generalmente acompañadas de firma electrónica? Autenticación, autorización y control de acceso. Permitirá la autenticación, autorización y control del acceso de las entidades registradas haciendo posible el control de acceso único y federación en todo el sistema (entre usuarios, servicios web y aplicaciones).? Gestión de objetos y entidades. Dispondrá de funciones de registro, consulta y modificación de la información sobre entidades, en particular, información de identidad del titular de un certificado, nombre de los firmantes de un documento, la fecha/hora contenida en un sello de tiempo, configuración y auditoría.

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA? Protección y custodia de datos. Dispondrá de componentes que permitan la protección de datos, claves, firmas y documentos firmados, y su custodia, a lo largo del tiempo, garantizando su mantenimiento y el acceso a éstos por las personas autorizadas.? Auditoría y Registro. Disponible de forma centralizada y segura de toda la información de traza generada por cualquiera de los componentes de servicio del sistema, así como la información de uso y/o consumo de los servicios. Permitirá generar diversos tipos de informes.? Servicios adicionales. Se incluyen los servicios de sellado de tiempo y de verificación de los certificados digitales. Estará integrado en los sistemas corporativos de gestión de usuarios. Se valorará adecuadamente que disponga de un sistema de administración de políticas encargado de suministrar las políticas de decisión, con arreglo a la siguiente funcionalidad:? Políticas de validación de documentos. Se utilizarán para definir cómo se va a llevar a cabo la verificación de documentos: sólo la firma, la firma y la caducidad del certificado, la firma y el estado de revocación del certificado, la firma, la caducidad y estado de revocación del certificado, etc. Se podrán definir niveles de validación global, o por Autoridades de Certificación.? Políticas de sellado / resellado de tiempo. Se aplicarán en el proceso de resellado de tiempo de los documentos en custodia. Indicarán los periodos y las cadencias de este proceso.? Políticas de retención. Indicarán el periodo de tiempo que un documento permanece en custodia en la plataforma, durante el cual se le aplicarán operaciones de resellado para darle la validez en el tiempo.? Políticas de control de acceso a documentos. Indicarán quién y con qué privilegios puede acceder a un documento.? Políticas de control de acceso a servicios. Indicarán los usuarios que van a poder acceder a los servicios de la plataforma y con qué permisos.? Políticas de control de acceso generales, determinarán a qué recurso puede acceder una entidad 4.1.1. CARACTERISTICAS TECNICAS. 4.1.1.1. ARQUITECTURA. El sistema de servicios de firma se entenderá como una plataforma común de gestión de servicios, e incluirá la configuración, monitorización y control de acceso de cada uno de los componentes de servicio. Dicho sistema presentará las siguientes características:? Los datos de configuración, personalización, monitorización, auditoría y control se expondrán en XML. CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

10? El acceso a los servicios se realizará mediante SOAP según la especificación WSDL de cada servicio en concreto, que será controlado mediante Token de autenticación.? La interacción cliente-servidor se realizará sobre transporte HTTP o HTTPS de forma que se puede securizar el canal con SSL/TLS con o sin autenticación mutua. El sistema interactuará con otros elementos de la infraestructura, ya sean del centro directivo o externos. En concreto:? Terceras partes de confianza, a las que el sistema se conectará para validar los certificados digitales (Autoridades de Certificación o Autoridades de Validación) y para obtener sellos de tiempo (Autoridades de Sellado de Tiempo) de la infraestructura de PKI del centro directivo (DNI electrónico y carnet profesional CNP) o externa (@-firma, CERES-FNMT, y las restantes reconocidas por la Administración Pública).? Operará con los dispositivos criptográficos HSM de la infraestructura de PKI del centro directivo.? Bases de datos, donde se almacenará la información de log sobre la actividad de los componentes de servicio para su auditoría posterior.? Repositorio de documentos, no disponible en el centro directivo, destinado a permitir que el componente de servicio de custodia de firmas podrá depositar y gestionar los documentos que contengan firmas y el componente de cifrado documentos que estén cifrados. Se basará en la tecnología de almacenamiento del sistema de explotación actual.? Directorio, donde el componente de servicio podrá leer y escribir información sobre las entidades (personas, aplicaciones o servicios web) reconocidas por el sistema. 4.1.1.2. MODELO DE INFORMACIÓN. El sistema de Servicios de Firma dispondrá de un modelo de información basado en XML para todos los objetos y entidades del sistema, que permita enmascara formatos (XML, ASN.1, Tablas, etc.), fuentes de información (Bases de Datos, LDAP, Ficheros, SQL etc.), localizaciones (Intranet, Extranet, WAN, etc.). Las entidades y objetos a gestionar se basarán en las especificaciones que hace Liberty Alliance de los servicios de información de identidad (ID-SIS Personal Profile Service Specification e ID-SIS Employee Profile Service Specification) y abarcará tanto los datos de los usuarios como los de las aplicaciones. 4.1.1.3. CARACTERISTICAS DE INTEGRACIÓN. Permitirá su integración con otros sistemas por las siguientes formas:

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA? Se incluirá una librería Java que pueda utilizarse por los clientes para invocar los diferentes servicios? Mediante servicio web XML a partir de la especificación estándar WSDL de OASIS Digital Signature Service (DSS).? Mediante una variante del método anterior a partir del WSDL pero utilizando únicamente XML y los estándares XPath y XSLT.? A nivel de Broker, Hub y/o ESB XML que permita la conexión de entornos Middleware de integración como Biztalk de Microsoft, WebLogic de BEA, WebSphere de IBM, etc.? A nivel de Gateway/Pipeline integrado al sistema, dispondrá de un front-end que permita recibir datos fuente de la aplicación, generalmente en XML pero no necesariamente (a través de http/https, Mensajería JMS-, SMTP, etc.), y mediante un lenguaje de pipeline sencillo se podrán establecer las reglas de procesado: transformar, firmar, verificar, cifrar, descifrar, autenticar, autorizar, etc, que serán ejecutadas para obtener la salida de datos deseada. 4.1.1.4. ESTANDARES. El sistema cumplirá los siguientes estándares:? Estándares de infraestructura: WSDL (Web Service Description Language), SOAP (Simple Object Access Protocol), XML/XSD (Extensible Markup Language / XML Schema Definition) y UDDI (Universal Description, Discovery, and Integration)? Estándares de seguridad: SSL (Secure Socket Layer), TLS (Transport Layer Security), WS-Security (OASIS Web Services Security ), SAML (Assertions and Protocol for the OASIS Security Assertion Markup Language) y OASIS? Estándares de firma electrónica y cifrado: PKCS#7/CMS, S/MIME, PDF-Sig, XML-Dsig, XML-Enc, CAdES y XAdESDSS.? Servicios de seguridad: DSS (Digital Signature Service Core Protocols, Elements, and Bindings, OASIS. Draft), valorándose adecuadamente el cumplimiento de alguno de los siguientes estándares de servicios de seguridad: Liberty ID-WSF (Liberty ID-WSF Authentication Service Specification), WS- Trust (Web Services Trust Language), WS-Federation (Web Services Federation Language), XACML (OASIS extensible Access Control Markup Language) y XKMS (Xml Key Management Service).? Soporte de certificados digitales: X509 (ITU-T Recommendation X509v3)? Soporte de los estándares de sobre digital: PKCS#7 (Public Key Cryptography Standard, IETF RFC 2315), CMS (Cryptographic Message Syntax, IETF RFC 3369), SMIME2 (Secure Multipurpose Internet Mail Extensions Version 2, IETF RFC 2311), SMIME3 (Secure Multipurpose Internet Mail Extensions Version 3, IETF RFC 2633), CAdES (Electronic Signatures and Infrastructures (ESI); Electronic Signature Formats, ETSI TS 101 733), XML-Dsig (XML- Signature Syntax and Processing, W3C Recommendation), XML-Enc (Encryption Syntax and Processing. W3C Recommendation), XAdES (XML Advanced Electronic Signatures. ETSI TS 101 903), PDF (Firma electrónica CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

12 PKCS#7/CMS en los documentos PDF según las especificaciones de firma digital y cifrado de clave pública para PDF de Adobe y de RFC 3778 de IETF)? Soporte de sellado de tiempo digital: TSP (Time-Stamp Protocol, IETF RFC 3161).? Verificación de estado de certificados digitales: CRL (ITU-T Recommendation X509v3) y OCSP (Online Certificate Status Protocol, IETF RFC 2560)? Directorio: LDAP (Lightweight Directory Access Protocol)? Gestor Documental: WEBDMS (HTTP/WebDAV, IETF RFC 2518).? Soporte HSM: PKCS#11 (Cryptographic Token Interface Standard).? Custodia de documentos: ISO 154891:2001 y MoReq (Modelo de requisitos para la gestión de registros electrónicos) de la UE. Se valorará adecuadamente que la tecnología elegida disponga de algún reconocimiento y/o certificación de seguridad (Common Criteria, FIPS, etc.) 4.1.2. EQUIPAMIENTO. El Sistema de Servicios de Firma estará compuesto por varios equipos hardware de iguales características entre sí, de tipo appliance, enracables, así como de otros equipos adicionales de iguales características entre cada tipo, enracables, y de los elementos de software necesarios para la implementación de los servicios objeto del presente contrato. El sistema será escalable de forma vertical para soportar la carga de trabajo prevista. En cuanto al licenciamiento del software de los no existirá ninguna limitación en cuanto al número de entidades (usuarios, aplicaciones, web services, etc) que utilicen el Sistema de Servicios de Firma. Se compondrá de los siguientes elementos:? Sistema de producción: o Compuesto por: Un mínimo de 3 Equipos appliance, desglosados en:? 2 Equipos estarán configurados en alta disponibilidad mediante balanceo de carga.? 1 Equipo se destina a backup de los anteriores, configurado en activo/pasivo. 2 Balanceadores. 2 HSM. o El sistema interactuará con los diversos elementos de la infraestructura, ya sean del centro directivo o externos, para lo cual dispondrá de conexiones con los mismos en configuración redundante. o Se implantarán las políticas y mecanismos de salvaguarda (backup) necesarios para garantizar la recuperación del servicio en caso de desastre.? Sistema de desarrollo. o Compuesto por un equipo appliance.

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA? Sistema rack con los huecos necesarios para alojar el sistema propuesto y al menos 2 equipos y 1 balanceador adicionales. 4.1.2.1. EQUIPOS APPLIANCE. Cada uno de los anteriores equipos appliance cumplirá las siguientes características:? Sistema operativo diseñado para máxima seguridad, tanto a nivel de kernel como de pila de protocolos de red.? Mínimo de 2 CPUs con tecnología multicore.? Memoria RAM mínima de 24 Gb? 2 discos duro SAS de al menos 150 Gb cada uno, configurados en raid 1.? Lector DVD.? 1 tarjeta de red Gigabit de doble puerto, o 2 tarjetas de 1 puerto.? Rendimiento mínimo en firmas electrónicas por segundo: o 45 Firmas/Verificaciones - 1k - PKCS#7 o 40 Firmas/Verificaciones - 1k - XMLDsig o 30 Firmas/Verificaciones - 100k - PKCS#7 o 30 Firmas/Verificaciones - 100k - XMLDsig o 10 Firmas/Verificaciones - 1M - PKCS#7 o 8 Firmas/Verificaciones - 1M - XMLDsig 4.1.2.2. BALANCEADOR. Cada uno de los balanceadores cumplirá las siguientes características:? Estará dotado de al menos 8 puertos Gigabit, valorándose adecuadamente que sean de tecnológica 10GbE, en cuyo caso los appliance deberán de estar dotados de tarjetas de red para su funcionamiento.? Rendimiento mínimo de 2 Gbps? Soportará un mínimo de 50.000 conexiones por segundo de nivel 7.? Soportará como mínimo los siguientes algoritmos de balanceo: hash, aleatorio, y round robin, pudiendo asignar los pesos de forma estática o dinámica.? Balanceo de carga transparente a los sistemas finales.? Se valorará adecuadamente que disponga de acelerador criptográfico con un rendimiento mínimo de 1,2 Gbps clave simétrica SSL. 4.1.2.3. HSM. Cada uno de los HSM cumplirá las siguientes características? Seguridad física en la custodia de las claves? Aceleración criptográfica (al menos 1.000 operaciones criptográficas por segundo -1024 - bit RSA decrypt? Certificado para funcionar con las CA del centro directivo? Validación FIPS 140-2 Level 3 CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

14? Integración a través de la compatibilidad con diferentes estándares: PKCS#11, Microsoft CryptoAPI 2.0, JCA (Java Cryptographic Architecture), JCE (Java Cryptographic Extensions), OpenSSL y APIs.? Administración remota segura. 4.1.2.4. SOFTWARE ADICIONAL. El adjudicatario suministrará las licencias necesarias del gestor de base de datos y software anexo para soportar la carga de trabajo de almacenamiento de logs prevista en el presente contrato. A tal efecto justificará debidamente su propuesta. Dicho software será totalmente compatible con el análogo descrito en el entorno de explotación del centro directivo. 4.1.3. CARACTERISTICAS FUNCIONALES. Para una mayor claridad se han agrupado en los siguientes subsistemas: 4.1.3.1. SUBSISTEMA DE AUTENTICACIÓN. Se encargará de autenticar y autorizar a las diferentes entidades que acceden al sistema, con mecanismos de autenticación mediante login / password y certificado (TLS/SSL) de forma directa estándar, y a través de mecanismos adicionales basados en firmas con certificados X.509. Estará basado en un sistema de Token Seguro (STS o Secure Token Service), basado en X.509 y SAML (Security Assertion Markup Language) tal y como se definen en OASIS WS, Liberty Alliance o WS-Trust; de forma que el acceso a otros servicios dentro del sistema, o fuera del mismo en un sistema federado, será por medio del uso de Tokens Seguros indicando los privilegios del propietario. Soportará tanto plataformas de single sign-on como de la gestión federada de identidades con otros dominios (entre usuarios, servicios web y aplicaciones). Permitirá la integración de agentes de autenticación externos. Se valorará positivamente que se soporten otros mecanismos de acceso (WSS, firmas de desafíos, kerberos, etc.). 4.1.3.2. SUBSISTEMA DE GESTIÓN DE IDENTIDADES. Permitirá gestionar y organizar las diferentes comunidades de consumidores de servicios (usuarios, aplicaciones, servicios web, políticas, certificados, logs/auditoría, etc).? Permitirá llevar a cabo la gestión de usuarios: alta, baja modificación de usuarios y la asignación de políticas de acceso a documentos y servicios.? Permitirá gestionar los grupos de usuarios privilegiados, los usuarios, aplicaciones o servicios y los grupos de entidades finales.? Permitirá organizarlos como mínimo por los siguientes conceptos:

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA o Entidades: usuario, aplicaciones, servicios web políticas, certificados, logs/auditoría, etc o Lista de entidades, definidos por el conjunto de las entidades que pertenecen a la misma. o Grupos Organizativos, que contendrán todas las entidades que cumplan una determinada condición sobre el valor de los atributos del Distinguished Name. o Grupos Dinámicos que contendrán todas las entidades que cumplan una determinada condición de pertenencia al grupo, basada en: Una plantilla X.509 que define la condición que cumple el certificado de cualquier entidad que pertenezca al grupo. Una expresión XPath (Query) que define la condición que cumple la vista XML de la información registrada en el sistema para cualquier entidad que pertenece al grupo. o Grupos de Grupos, que permite implementar un sistema de control de acceso basado en roles, en el que cada rol está definido como un determinado grupo de grupos. o También permitirá la realización de un sistema RBAC (Role Based Access Control) abierta, donde cada rol se mapea a un Grupo. Dispondrá de los siguientes servicios:? Servicio de información de entidades que permita de forma confiable para una identidad concreta (verificada en el proceso de autenticación), obtener información sobre un determinado usuario (persona o aplicación) registrado en el sistema o sobre los datos de configuración que utiliza una aplicación, o sobre cualquier otra información disponible.? Servicio de respuesta de información sobre las entidades servicios web basado en Universal Description, Discovery, and Integration, en concreto, el servicio de información de localización o binding de los servicios web dentro de la sistema. 4.1.3.3. SUBSISTEMA DE FIRMA. Permitirá disponer de un servicio de firma electrónica de datos que posibilitará a cualquier entidad, previa autenticación y autorización, solicitar el servicio de firma indicando la clave que quiere utilizar para ello. Permitirá generar firmas digitales de datos en los diferentes formatos reconocidos:? PKCS#7/CMS, PDFDsig, CAdES, XML-Dsig/XAdES y S/MIME): El interfaz de este servicio seguirá la especificación de OASIS Digital Signature Service (DSS) de servicios de firma digital, y dispondrá de una serie de perfiles configurables. El sistema almacenará el material de firma de las entidades en los repositorios haciendo éste accesible de forma uniforme y controlada. Para la generación de firmas electrónicas, deberá soportar la utilización de dispositivos seguros HSM a través de estándares para el almacenamiento y utilización de las claves. CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

16 Dispondrá de los siguientes perfiles de firma:? Firmas PKCS #7 y CMS. Este perfil permitirá realizar firmas electrónicas que siguen el estándar PKCS#7 de RSA, CMS de IETF, CAdES de ETSI. Se permitirán firmas simples y múltiples (tanto secuenciales como paralelas), en formato de firma envolvente o separada.? Firmas XML-Dsig/XAdES. Este perfil permitirá realizar las firmas en formato XML XML-Dsig y XAdES definidas por W3C y ETSI. Los elementos XAdES utilizados son los básicos de políticas y propiedades del firmante. Se pueden realizar firmas envolventes, incrustadas o separadas incluyendo firmas por referencia de cualquier nodo de un documento XML.? Firmas S/MIMEv2 y S/MIMEv3. Este perfil permitirá generar mensajes seguros de correo electrónico de acuerdo con los formatos S/MIME definidos por IETF. Este perfil permite generar documentos PDF firmados de acuerdo con el formato definido por Adobe plasmado en las recomendaciones de IETF PDF-Sig. 4.1.3.4. SUBSISTEMA DE NO REPUDIO. Permitirá disponer de un servicio de incorporación y recogida de evidencias electrónicas de la firma del titular cuando esté firme un documento, de tal forma que permitan otorgar valor probatorio a dicha firma. Además permitirá su utilización para la renovación y actualización de los elementos de confianza para dotar a las firmas digitales de validez a lo largo del tiempo (firmas longevas). Este subsistema permitirá realizar verificaciones de las firmas pasado el tiempo, para lo cual permitirá archivar dichas evidencias, que podrán extraerse y usarse por terceros, como elementos probatorios. Las evidencias electrónicas de una firma que haya sido generada previamente comprenderán la siguiente información:? Sello de tiempo: Se incluirá en la firma un sello de tiempo, en formato definido en TSP (Time-Stamp Protocol) de IETF, emitido por una Tercera Parte de Confianza, TSA (Autoridad de Sellado de Tiempo), destinado a asegurar que tanto los datos originales del documento como el token de estado de los certificados, se generaron antes de una determinada fecha.? Información de revocación: Se incluirá un token que asegure que el certificado de firma es válido. Este token lo generará una tercera parte de confianza, es decir una Autoridad de Validación (VA). El formato del mismo será una respuesta OCSP (Online Certificate Status Protocol). La interfaz de este servicio seguirá la especificación DSS (Digital Signature Service de OASIS) e incluirá elementos adicionales definidos en XAdES de ETSI. Dispondrá de al menos de los siguientes perfiles de firma no-repudiable:? Firma CMS No-Repudio. Este perfil permitirá utilizar firmas digitales que sigan el estándar CMS especificado de IETF y CAdES de ETSI.? Firma XML No-Repudio. Este perfil permitirá utilizar firmas digitales que siguen el estándar XML-Dsig de W3C y XAdES de ETSI.

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA En este sentido, debido a la criticidad de las aplicaciones del CNP deberán poderse configurar el acceso a diferentes TSAs internas o externas, y diferentes etapas, de tal forma que si una TSA está caída, entonces se utilizarán las demás. 4.1.3.5. SUBSISTEMA DE VERIFICACIÓN. Permitirá verificar la validez de las firmas que se hayan generado mediante el subsistema de firma electrónica y las que se hayan actualizado mediante el subsistema de no repudio. Para ello utilizará los servicios de una Tercera Parte Confiable (TTP) a través del protocolo OCSP (Online Certificate Status Protocol), y/o mediante conexión a una Autoridad o Plataforma de Validación que se encargue de validar en línea el estado de los certificados involucrados en la firma ofreciendo, además, el acceso directo a diferentes tipos de fuentes de información de revocación, entre las que se incluyen, acceso directo a base de datos, acceso a LDAP, acceso a ficheros, CRLs publicadas en web mediante Https, etc. Para cada certificado deberá poder configurarse uno o varios mecanismos y/o etapas de obtención de la información de revocación. Por ejemplo, que para un determinado certificado primero utilice OCSP, y en caso de fallo, se descargue la CRL correspondiente, etc. La interfaz seguirá la especificación Digital Signature Service de OASIS (DSS). Se soportarán los perfiles siguientes:? Firmas PKCS #7 y CMS. Este perfil permitirá verificar firmas electrónicas que siguen el estándar PKCS#7 de RSA, CMS de IETF y CAdES de ETSI. Este perfil se destina a verificar el conjunto de firmas que incluya un documento (firmas múltiples). También se verificarán los sellos de tiempo, así como el resto de evidencias electrónicas incluidas.? Firmas XML-Dsig y XAdES Este perfil permitirá verificar las firmas en formato XML definidas en XML-Dsig y XAdES por W3C y ETSI. Este perfil se destina a verificar todos los tipos de firmas (envolventes, incrustadas o separadas), así como los sellos de tiempo y las evidencias electrónicas que el documento pueda incluir.? Firmas S/MIME Este perfil permitirá la verificación de los mensajes seguros de correo electrónico de acuerdo con los formatos S/MIME definidos por IETF.? Firmas PDF Este perfil permitirá la verificación de las firmas de los documentos PDF de acuerdo con el formato definido por Adobe reflejado en las recomendaciones de PDF-Sig de IETF. 4.1.3.6. SUBSISTEMA DE ENCRIPTACIÓN. CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

18 Permitirá cifrar y descifrar datos según el formato de CMS de IETF CMS, PKCS #7 de RSA y el estándar de cifrado XML de W3C XML-Enc, obteniendo los certificados de cifrado de los destinatarios Se soportarán los perfiles siguientes:? Cifrado PKCS #7 y CMS? Cifrado XML-Enc 4.1.3.7. SUBSISTEMA DE GESTIÓN DE CLAVES. Se destina a permitir el acceso utilizando XML a la generación, registro, consulta, verificación, revocación, etc de claves públicas, estandarizando de esta forma el acceso a funciones de Autoridad de Certificación (CA), Autoridad de Registro (RA) y Autoridad de Validación (VA). Permitirá acceder al servicio mediante clientes ligeros basados íntegramente en XML. 4.1.3.8. CUSTODIA DE DATOS. Se destina a cumplir los siguientes requerimientos:? Permitirá el almacenamiento / recuperación de documentos, sellado / resellado de documentos firmados y emisión de recibos como justificantes de la entrega a la plataforma de un documento para su custodia.? Permitirá utiliza repositorios múltiples para la custodia, facilitando la salvaguarda de documentos en diferentes repositorios en función de lo que se defina por políticas en la administración. Se compone de los siguientes elementos: 4.1.3.8.1. SUBSISTEMA DE CUSTODIA DE FIRMA. Permitirá asegurar el no repudio de una firma electrónica durante el período de tiempo que establezca la normativa corporativa y/o el marco legislativo aplicable, reafirmando la validez de las evidencias electrónicas de la misma a lo largo del tiempo de forma periódica y automatizada. Este subsistema custodiará y mantendrá los datos de validación de las firmas electrónicas longevas, encargando de forma periódica al subsistema correspondiente que actualice dicho material criptográfico, antes de que el sello de tiempo expire, o los algoritmos, claves y otros datos criptográficos usados sean vulnerables. El subsistema podrá ser utilizado por otros servicios y aplicaciones para acceder a los datos de verificación de firma para verificar una firma electrónica concreta. Los documentos y las firmas de éstos se almacenarán en el Repositorio de Documentos.

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA Dispondrá de los siguientes servicios, que se prestarán con las debidas condiciones de autenticación y autorización:? Archivo de documentos una vez firmados? Consulta del estado de archivo de un documento firmado.? Verificación del estado de un documento firmado.? Exportación o lectura de un documento firmado.? Eliminación de un documento firmado. 4.1.3.8.2. SUBSISTEMA DE CUSTODIA DE DATOS CRIPTOGRAFICOS. Se destina a asegurar a lo largo del tiempo los certificados digitales usados por los distintos intervinientes en el proceso de firma electrónica, así como las credenciales, el mecanismo de autenticación y los privilegios de acceso a la información de los mismos. Los objetos que contienen claves y certificados estarán autoprotegidos por hardware. El sistema debe contemplar a lo largo del tiempo y de forma transparente los siguientes aspectos:? Los funcionarios del centro directivo podrán renovar sus certificados, o podrán cambiar sus atributos.? El centro directivo podrán cambiar de infraestructura de certificación.? Los mecanismos de control de acceso pueden cambiar a lo largo del tiempo.? Los accesos a los datos protegidos, se deben auditar cuando se acceda o se intente acceder a éstos. Este subsistema se encargará de:? Proteger las claves de cifrado de datos a lo largo del tiempo y entregarlas únicamente a los usuarios explícitamente autorizados, para lo cual utilizará un HSM.? Custodiar los documentos, cifrados con las claves adecuadas y entregarlos únicamente a los usuarios explícitamente autorizados.? Procurar el adecuado nivel de protección del material criptográfico a lo largo del tiempo, así como la fortaleza del mecanismo de comunicación con los usuarios autorizados, asegurando de esta forma la longevidad del archivo. También podrá gestionar los documentos, cifrándolos, almacenándolos en el repositorio de documentos, y descifrándolos. Para lo cual, cuando una entidad solicite el cifrado de datos, debe hacerlo para un dominio de confidencialidad representado por una política concreta. Permitirá implementar un sistema de clasificación de la información en el que los datos cifrados se puedan asociar a un grupo de usuarios, que pertenezcan a un dominio de confidencialidad, y sólo estos usuarios puedan tener acceso a ellos. Dispondrá de los siguientes servicios, que se prestarán con las debidas condiciones de autenticación y autorización:? Archivo de documentos cifrados? Consulta del estado de archivo de un documento cifrado. CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

20? Apertura de un documento cifrado.? Exportación o lectura en formato confidencial de un documento cifrado.? Eliminación de un documento cifrado. Este subsistema también podrá ser utilizado por otros servicios y aplicaciones para acceder a las claves de cifrado o a los datos de verificación de firma para verificar una firma electrónica concreta. 4.1.3.8.3. REPOSITORIO DE DOCUMENTOS. Cumplirá los siguientes requisitos:? Permitirá gestionar los documentos que se entregan para su salvaguarda, y además se guardará información relativa a su validación (CRLs, respuestas OCSP, cadenas de certificación, etc.), datos de resellados y la información de retención y expiración del documento.? Contendrá la siguiente información: o Identificador del documento o Repositorio donde está guardado o Fechas de alta en el sistema. o Fechas de resellados. o Usuario que le dio de alta en el sistema. o Información relacionada con los accesos que haya podido tener el documento.? Permitirá realizar consultas sobre documentos que estén en custodia sin acceder directamente al repositorio o repositorios donde están guardados, separándose con ello las operaciones de consultas de las operaciones de acceso a documentos 4.1.3.9. SUBSISTEMA DE ADMINISTRACIÓN. Encargado de la realización de las tareas de administración del sistema de servicios de firma. Dispondrá una consola de administración que permitirá, a través de un navegador, administrar y acceder a toda la información del sistema de una forma uniforme y centralizada. Dispondrá de al menos las siguientes funcionalidades:? Permitirá la gestión de las Autoridades de Certificación, las Autoridades de Validación y las Autoridades de Sellado de Tiempo.? Permitirá definir un conjunto de reglas y acciones a aplicar en función la forma de autenticación, de la entidad autenticada y del recurso solicitado.? Permitirá configurar el uso de las claves privadas: firma, cifrado, descifrado, fechado (sellado). También permitirá configurar grupos de credenciales (pares de clave privada y pública junto al certificado) que conjugan credenciales y el uso que se le desea dar: firma, cifrado, sellado, etc

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA? Permitirá definir y modificar las políticas a aplicar en la generación de firmas electrónicas.? Permitirá definir y gestiona las políticas de verificación de firma electrónica, incluyendo las de validación de certificados digitales.? Permitirá definir la configuración de componentes de servicio propios de la sistema y la configuración de las bases de datos, directorio, etc? Permitirá la consulta de los eventos generados por todos los componentes de servicio del sistema. Se valorará adecuadamente la integración de las funciones de la consola con las aplicaciones de gestión del centro directivo. 4.1.3.10.SUBSISTEMA DE AUDITORIA. Encargado de realizar funciones de auditoría. Proporcionará la trazabilidad de toda la operativa del sistema. Todas las operaciones que se pueden llevar a cabo en cualquiera de los componentes del sistema (control de acceso, custodia, criptografía, administración e incluso auditoría) serán registradas como trazas en ficheros de auditoría que posteriormente podrán ser analizados por auditores desde la interfaz gráfica del módulo. En estos ficheros de auditoría se recogerá:? Cuando se hizo la operación? Quién la realizó? Qué operación realizó? Cual fue el resultado de la operación Además de los ficheros de trazas de auditoría también existirán podrán ser consultadas los ficheros de trazas de actividad del sistema que registran el comportamiento de los servicios para todas las solicitudes de operación que reciben. Dispondrá de funciones para consulta y realización de informes sobre los controles de auditoría de cualquiera de los módulos de la Plataforma. 4.2. SISTEMA PORTAFIRMAS. El Sistema de Portafirmas, deberá permitir al usuario realizar tanto la firma electrónica de los documentos generados por el mismo, como la de aquellos documentos generados por otros usuarios o aplicaciones corporativas que requieran de su firma. Este sistema operará de forma totalmente compatible y en conjunción con el sistema de firma electrónica descrito en apartados anteriores. En cuanto al licenciamiento del software no existirá ninguna limitación en cuanto al número de usuarios que utilicen el Sistema Portafirmas. 4.2.1. CARACTERISTICAS TECNICAS. CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18

22 El sistema de portafirmas utilizara un servidor seguro configurado en alta disponibilidad, para garantizar la confidencialidad y seguridad de las comunicaciones, cuyas características técnicas serán especificadas de forma justificada por el licitador, de tal forma que soporte la carga de trabajo prevista en el presente contrato. Dicho servidor operará de forma totalmente compatible con el entorno tecnológico del centro directivo. Los formatos de firma soportados serán los descritos en el sistema de firmas electrónicas, y permitirá incluir elementos como sellos de tiempo e información sobre la validación o evidencias del estado de los certificados utilizados. Este sistema permitirá la utilización no solo de los certificados del DNIe, sino los de cualquier otro Prestador de Servicios de Certificación reconocido por la administración (CNP, CERES-FNMT, ). Permitirá la utilización tanto de certificados alojados en un dispositivo criptográfico como en software. Su arquitectura será modular para que la DGPGC (CNP) pueda incorporar nuevos componentes y funcionalidades, si se estima necesario. Estará desarrollado según los estándares descritos en el sistema de firma electrónica, para que sea adaptable a diversos entornos y escenarios de ejecución de forma sencilla. A tal efecto dispondrá o se desarrollarán los siguientes componentes para la firma electrónica en puestos clientes:? Componente ActiveX para escenarios Microsoft con Internet Explorer sobre Windows.? Componente ligero J2EE para cualquier tipo de escenario (Netscape, Mozilla, etc)? Componente pesado J2EE para cualquier tipo de escenario y firma en XAdEs Internet Explorer, Netscape, Mozilla, etc). Dispondrá de un interface para que las diferentes aplicaciones corporativas puedan enviar de forma automática documentos a los usuarios para su firma. Permitirá la firma de cualquier tipo de documento de los reconocidos (MS-Office, PDF, DAT, ZIP, BIN, HTML, etc). Dispondrá de un motor de work flow, que permita definir un flujo o circuito de firma para cada tipo de documento. El sistema proporcionará una interfaz web para su administración y configuración Dicho software será totalmente compatible con el entorno de explotación del centro directivo. 4.2.2. CARACTERISTICAS FUNCIONALES. 4.2.2.1. DOCUMENTOS. El portafirmas debe soportar el envío de anexos, existiendo la posibilidad de que estos también vayan firmados. El sistema permitirá incluir información sobre los documento a firmar:

MINISTERIO DEL INTERIOR DIRECCIÓN GENERAL DE LA POLICÍA Y DE LA GUARDIA CIVIL CUERPO NACIONAL DE POLICÍA DIVISIÓN DE COORDINACIÓN ECONÓMICA Y TÉCNICA AREA DE INFORMÁTICA? Título, descripción y tema.? Tipo de documento? Fecha de alta, fecha de última actuación, y fecha de caducidad? Nombre y correo electrónico del remitente? Aplicación que envía el documento? Importancia? Información de los anexos y descripción.? Información de los firmantes: nombre y apellidos, DNI, etc., para el caso de firmas múltiples.? Información del estado de las firmas, para el caso de firmas múltiples.? URL del documento. El sistema deberá proporcionar capacidades de redirección web y envío de correos al remitente del documento. 4.2.2.2. OPERACIONES. El sistema deberá permitir realizar mediante un proceso en bloque y automático diferentes acciones sobre los documentos seleccionados por el usuario, tales como:? Firmar documentos, con selección previa del certificado.? Rechazar documentos, especificando el motivo.? Marcar / desmarcar documentos como revisados.? Descargar los documentos al PC del usuario.? Otros que se determinen. También se podrán realizar dichas acciones de forma unitaria. 4.2.2.3. FLUJO DE FIRMA. Permitirá definir cualquier flujo de firma desde un único firmante hasta los más complejos por cada tipo de documento que se envía a firmar, y de forma independiente del resto, para lo cual se especificará en cada una de las etapas los posibles firmantes y el número mínimo de ellos que deben firmar electrónicamente para completar el flujo de firma. Se podrá configurar el número de firmantes para un documento, siendo este número opcional u obligatorio. El sistema permitirá la firma de por los siguientes métodos:? Firma en paralelo. Se corresponde con procedimientos en los que es necesario que varios usuarios firmen un documento, pero no existe un orden necesario en las firmas, procedimientos donde es necesario que varios usuarios validen el documento para su aprobación.? Firma en serie. Se corresponde con flujos de trabajo en los que, no sólo son importantes las firmas sino que además es necesario que estas se produzcan en un orden determinado.? Firma delegada. La delegación de la firma en otro usuario, lo que nos permite contemplar las ausencias por diferentes motivos. En cuyo caso el firmante podrá activar o desactivar los usuarios a los que delega la firma. CORREO ELECTRÓNICO: of.dcet.informatica@oficial.dgp.mir.es Carretera Escorial Guadarrama Km 5,5 28280 El Escorial TEL.- 91 896 81 00 FAX.- 91 890 20 18