Acuerdo de Nivel de Servicio de la Plataforma de validación y firma electrónica @firma del MINHAP para Organismos Autor: Tipo de Documento: Grupo de Trabajo: Versión: 2.8 Fecha: 14/04/2015 Fichero: Ministerio de Hacienda y Administraciones Públicas Acuerdo de Nivel de Servicio de Plataforma @firma del MPTAP (Organismos usuarios) Plataforma de Validación del DNIe ANS plataforma @firma v 2.8.doc Acuerdo de Confidencialidad: La información contenida en este documento va dirigida exclusivamente al destinatario y contiene información confidencial y privilegiada. No se puede realizar ninguna revisión, copia, distribución, otro uso u otra acción basada en ella, por parte de personas o entidades distintas al destinatario, sin el permiso explícito del MINHAP.
Control de Cambios Fecha Versión Descripción 15/12/2007 1.0 Creación del documento 12/02/2008 2.0 Versión revisada 27/02/2008 2.1 Añadido indicadores 30/07/2009 2.2 22/02/2011 2.3 19/12/2011 2.4 21/02/2012 2.5 21/02/2012 2.6 Actualización de las referencias al MPR Actualización de las referencias al MPTAP Actualización de las referencias a la versión 5.3.1 Actualización de puntos 5.1, 6.1 y 6.2. Actualización de referencias a MINHAP 10/06/2014 2.7 Se actualiza el contenido 14/04/2015 2.8 Se actualiza el contenido ANS plataforma @firma v 2.8.doc Página 2 de 10
Índice 1. INTRODUCCIÓN... 4 2. OBJETO... 4 3. ÁMBITO DE APLICACIÓN... 4 4. ABREVIATURAS, DEFINICIONES Y TÉRMINOS PRELIMINARES... 5 5. SERVICIOS OFRECIDOS... 6 5.1. SERVICIOS @FIRMA... 6 5.2. SERVICIOS DE SOPORTE... 6 6. INFORMACIÓN ACERCA DE LOS SERVICIOS... 6 6.1. SERVICIOS @FIRMA... 6 6.2. SERVICIO DE SOPORTE... 8 7. ACUERDOS DE NIVEL DE SERVICIO... 9 7.1. SERVICIOS @FIRMA. DISPONIBILIDAD... 9 7.2. SERVICIOS @FIRMA. SEGURIDAD... 9 7.3. SERVICIO DE SOPORTE. DISPONIBILIDAD... 10 8. CALENDARIO PARA LA IMPLANTACIÓN DEL ANS... 10 9. SIGNATARIOS... 10 ANS plataforma @firma v 2.8.doc Página 3 de 10
1. Introducción Según la ley 59/2003 de firma electrónica, cualquier compañía constituida como Prestador de Servicios de Certificación (PSC) puede emitir certificados electrónicos, que cumpliendo una serie de requisitos, identifican en el ámbito telemático a una persona física. En la actualidad existen multitud de empresas constituidas como PSCs y, consecuentemente, múltiples certificados electrónicos, todos ellos válidos como medio para acreditar la identificación personal en el ámbito electrónico. Además, la progresiva implantación del DNI electrónico en el territorio nacional requiere de una modificación en los servicios de Administración Electrónica proporcionados por los Organismos Públicos, para garantizar su aceptación como elemento de autenticación y firma en la tramitación telemática con los ciudadanos. Esta multiplicidad de certificados, y las carencias de interoperabilidad de los mismos, obliga al Ministerio de Hacienda y Administraciones Públicas (MINHAP) dentro de su misión impulsora de la Administración Electrónica, a desarrollar una plataforma para verificar la identidad electrónica de una persona física o jurídica, independientemente del tipo de certificado que ésta utilice en sus relaciones telemáticas con la Administración. En este contexto nace la Plataforma de validación del MINHAP denominada @firma que establece un ecosistema de seguridad, permitiendo verificar el estado y validez de los certificados electrónicos empleados por el ciudadano en cualquier procedimiento telemático, entre ellos, los del DNIe. La solución propuesta no es intrusiva con arquitecturas y soluciones ya existentes. Por ello, sus principales características son: La Plataforma se basa en Servicios Web que son utilizados por las distintas AAPP. Es una plataforma de validación de certificados y firmas MultiAC (múltiples Autoridades de certificación), MultiPolítica, MultiCertificados, MultiForma, MultiFormatos,..., de tal manera que permite la utilización de múltiples tipos de Certificados y Autoridades de Validación a los ciudadanos, en su relación telemática con las distintas AAPP. Permite una evolución diseñada y articulada por los Organismos usuarios, de una manera participativa y colaborativa. Proporciona las máximas garantías de seguridad y robustez, garantizando en su funcionamiento: interoperabilidad, rendimiento óptimo, alta disponibilidad, portabilidad,etc. 2. Objeto Este documento recoge el acuerdo de nivel de prestación de los servicios de validación y firma electrónica a través de la Plataforma de servicios basada en @firma que se prestará a los usuarios. 3. Ámbito de aplicación El Ministerio de Hacienda y Administraciones Públicas, como prestador de los servicios, se regirá por un enfoque orientado a la gestión del servicio, donde la calidad del mismo se medirá mediante los parámetros del Acuerdo de Nivel del Servicio (en adelante ANS). Este ANS contempla tanto los parámetros del servicio, como los de soporte a los interesados y organismos emisores, para la gestión y resolución de consultas e incidencias, durante el tiempo de duración de la prestación de los servicios por el Ministerio de Hacienda y Administraciones Públicas. ANS plataforma @firma v 2.8.doc Página 4 de 10
El MINHAP se compromete a cumplir los niveles indicados en este documento y a determinar la evolución de éstos a medida que van evolucionando nuevos servicios. El enfoque del presente ANS, se realiza en múltiples ámbitos: desde el punto de vista de la disponibilidad de los servicios de validación y firma contemplados en la plataforma @firma del Ministerio de Hacienda y Administraciones Públicas, servicios de sistemas y comunicaciones, servicio de atención a usuarios, monitorización de sistemas, etc. Los servicios de la Plataforma están disponibles para todo Organismo o Entidad Pública perteneciente a las diferentes Administraciones Públicas sea cual sea su ámbito: Administración General del Estado, Comunidades Autónomas, Diputaciones Provinciales o Entes Locales. Desde el Ministerio de Hacienda y Administraciones Públicas se ofrece la ayuda y el soporte necesario para que los organismos integren estos servicios de certificación de valor añadido en los sistemas de información de Administración Electrónica que admitan autenticación y firma electrónica basada en certificados digitales. 4. Abreviaturas, definiciones y términos preliminares Acuerdo de Nivel de Servicio (ANS): Un ANS es un acuerdo por el que una compañía o departamento que presta un servicio a otra se compromete a prestar el mismo bajo unas determinadas condiciones y con unas prestaciones mínimas. El acuerdo de nivel de servicio se basa en indicadores de nivel de servicio que permiten cuantificar de manera objetiva determinados aspectos del servicio prestado. Indicador clave de rendimiento (KPI): Indicadores utilizados para evaluar el grado de desempeño de servicios y/o aplicaciones y asegurar el cumplimiento de los objetivos fijados. Gestión del Nivel de Servicio (GNS): se define como la metodología y procedimientos necesarios para asegurar que todos los usuarios (Organismo o entidad Pública) reciben unos niveles de servicio acordados. Calidad del Servicio: se refiere al efecto global de la calidad de funcionamiento de un servicio que determina el grado de satisfacción de un usuario del servicio y, más concretamente, el grado de cumplimiento del servicio prestado a un usuario. Siglas: AAPP: Administraciones Públicas. AGE: Administración General del Estado. CAU: Centro de Atención al Usuario. COS: Centro de Operación y Soporte. ENI: Esquema Nacional de Interoperabilidad IA: Intranet Administrativa. IP: Internet Protocol. IPSec: Internet Protocol Security ITIL: Information Technology Infrastructure Library MINHAP: Ministerio de Hacienda y Administraciones Públicas OCSP: Online Certificate Status Protocol. PNC: Punto neutro de Comunicaciones. PSC: Prestador de Servicios de Certificación SARA: Sistema de Aplicaciones y Redes para las Administraciones. TSA: Autoridad de Sello de Tiempo. ANS plataforma @firma v 2.8.doc Página 5 de 10
5. Servicios ofrecidos La versión 6 del producto @firma en el que se basa la Plataforma, consta de una serie de servicios publicados y ofrecidos a los Organismos usuarios y de un conjunto de herramientas de gestión, administración, auditoría, etc. mediante las cuales los administradores y personal de soporte ofrece los servicios con total garantía. Los servicios ofrecidos a los organismos se pueden catalogar en cuatro bloques dentro de dos tipos: 5.1. Servicios @firma Servicios de validación: se corresponde con todos aquellos servicios orientados a obtener información de certificados y de la validación de certificados y firmas electrónicas. Se permite realizar una validación completa de la firma electrónica proporcionada a la Plataforma. Los servicios web incluidos son: Validación de certificados. Obtención de información de certificados. Validación de firma electrónica en múltiples formatos. Validación de sellos de tiempo. Utilizando el servicio DSSAfirmaVerify que sigue los perfiles de OASIS para la validación de firmas electrónicas, es posible realizar un upgrade de firmas y por tanto obtener firmas longevas, así como validar las mismas. 5.2. Servicios de soporte Contacto vía formulario: https://soportecaid.redsara.es/ayuda/consulta/caid Horario: De lunes a jueves, de 8,30 a 18,30 y viernes 8:30 a 15:00. El servicio de soporte y atención a usuarios de la Plataforma, es parte inseparable del sistema global, especialmente dado que se trata de servicios donde los usuarios son ajenos al prestador del mismo. El servicio de Soporte y Atención al Cliente abarca a los siguientes interlocutores: Organismos que integran los servicios de la Plataforma. CAUs de los propios Organismos Prestadores de Servicios de Certificación Gestores del proyecto del MPTAP Proveedores de servicios e infraestructura base para solicitar su asistencia ante incidencias o actuaciones preventivas en los sistemas. 6. Información acerca de los servicios 6.1. Servicios @firma Certificados reconocidos por la Plataforma: la Plataforma @firma valida los certificados digitales reconocidos emitidos por múltiples prestadores de servicios de certificación que se adecuan a lo marcado por la Ley de firma electrónica Ley 59/ 2003, la Ley 11/ 2007 y el RD 1671/ 2009. Asimismo, la Plataforma soporta los Prestadores incluidos en la lista de confianza de prestadores de servicios de certificación (TSL) española, publicada en la página web del MINETUR. Los prestadores reconocidos se pueden encontrar en ANS plataforma @firma v 2.8.doc Página 6 de 10
el documento ANEXO Proveedores de Servicios de Certificación publicado actualmente en el PAe (http://administracionelectronica.gob.es/es/ctt/afirma). Servicios Web: La plataforma valida certificados electrónicos de múltiples prestadores de certificación y firmas electrónicos a través de servicios web que vienen definidos como un sistema software diseñado para soportar la interacción entre máquinas en una red. Posee una interfaz descrita en ficheros WSDL (Web Service Description Language). En ellos se describe la definición y descripción de los servicios web, así como otros aspectos como funcionalidad, forma de comunicación y localización. También ofrece un mecanismo para describir las operaciones que realiza un Servicio Web, los formatos de los mensajes que puede procesar, así como los protocolos que soporta. Es importante destacar que los webservices basados en los perfiles DSS de OASIS permiten la generación (empleando el upgrade de firmas) y validación de firmas longevas. Más información en http://administracionelectronica.gob.es/es/ctt/afirma OCSP Responder: se trata de un servicio estándar de obtención del estado de un certificado. Es otro mecanismo que ofrece @firma para la validación de certificados electrónicos. Presenta muchas ventajas entra las que destacamos que se trata de un método de consulta on-line, así como la fiabilidad del estado del certificado en un determinado instante muy alta. TS@: es una Autoridad de Sellado de Tiempo puesta a disposición de todas las Administraciones Públicas con el objeto de ofrecer los servicios de sellado, validación y resellado de sellos de tiempo. Más información en http://administracionelectronica.gob.es/es/ctt/tsa Cliente de Firma: es una utilidad para la firma digital de datos o ficheros. Tiene como característica principal que se ejecuta en el ordenador del cliente. El cliente permite la realización de las siguientes operaciones: Firma Ficheros binarios. Firma Masiva ficheros binarios. Firma Multiformato: PKCS#7, CMS, XML signature, XAdES, CAdES, PDF, PAdES, ODF y OOXML. Firmas compatibles con el ENI siguiendo la política de factura electrónica y la de la AGE Co-firma (CoSign) o Multifirma en cascada. Cifrado de datos y realización de sobre digital. Más información en http://administracionelectronica.gob.es/es/ctt/clienteafirma INTEGR@: es una librería compuesta por clases java, ficheros de configuración y plantillas xml que facilitan la integración de una aplicación con los servicios WS de @firma y la realización de firmas en en local en un servidor en diferentes formatos. STORK: es un servicio para las AAPP que permite la identificación electrónica segura de ciudadanos europeos, y en concreto la aceptación de DNI electrónicos y otras identidades electrónicas que existen en otros países europeos en servicios de administración electrónica. Más información en: http://administracionelectronica.gob.es/es/ctt/stork. Puede encontrarse amplia información de los servicios ofrecidos por la Plataforma en los documentos Guía de Servicios: Plataforma de validación y firma electrónica y Declaración de prácticas de Certificación de @firma a través del Servicio de Soporte. ANS plataforma @firma v 2.8.doc Página 7 de 10
6.2. Servicio de Soporte A quién va dirigido el Servicio de Soporte y Atención a usuarios El servicio de soporte y atención a usuarios de la plataforma, es parte inseparable del sistema global, especialmente dado que se trata de servicios donde los usuarios son ajenos al prestador del mismo. El servicio de Soporte y Atención al Cliente abarca a los siguientes interlocutores: Organismos que integran los servicios de la Plataforma. CAUs de los propios Organismos Prestadores de Servicios de Certificación Gestores del proyecto del Ministerio Proveedores de servicios e infraestructura base para solicitar su asistencia ante incidencias o actuaciones preventivas en los sistemas. Qué funciones desempeña el Servicio de Soporte y Atención a usuarios Las principales funciones, desempeñadas por el Servicio de Soporte @firma, son las siguientes: Registro y Clasificación de incidencias y peticiones en función de su tipología y asignación de prioridades. Evaluación, investigación y diagnóstico de las incidencias y peticiones. Escalado funcional a los diferentes niveles de soporte. Realizar el seguimiento de las incidencias y peticiones a lo largo de todo su ciclo de vida, hasta su cierre y verificación. Generar informes internos de gestión sobre incidencias y peticiones cerradas y abiertas. Alcance de los niveles de servicio. Contacto: Vía formulario: https://soportecaid.redsara.es/ayuda/consulta/caid Horario: De Lunes a Jueves de 08:30 a 18:30 y viernes 08:30 a 15:00. ANS plataforma @firma v 2.8.doc Página 8 de 10
7. Acuerdos de Nivel de Servicio 7.1. Servicios @firma. Disponibilidad La Disponibilidad del servicio se refiere al porcentaje de tiempo durante el cual está operativo el servicio de validación y firma electrónica a través de la Plataforma de Servicios basada en @firma. Cálculo del porcentaje de disponibilidad: el porcentaje de disponibilidad será calculado y medido acorde con la siguiente fórmula: P = A / B x 100 Donde: A Es el número de horas en las cuales el servicio estuvo disponible en períodos mensuales. B Es el número de horas que debería estar disponible el servicio. P Es el porcentaje de disponibilidad. Indicadores de Disponibilidad Indicador de Nivel de Servicio Periodicidad Valor Objetivo % Disponibilidad Servicios Validación % Disponibilidad Servicios Firma electrónica % Disponibilidad Servicios auxiliares y de administración de transacciones Anual 99.9% 99% Anual 99% 95% Anual 99% 95% %Cumplimiento Mínimo 7.2. Servicios @firma. Seguridad El objetivo de la seguridad es asegurar la confidencialidad de los datos y de las transacciones, de forma que un usuario sólo tenga acceso a los datos que está autorizado a visualizar (y no a otros) y que la organización pueda confiar que las transacciones que realice un usuario son las autorizadas y realmente fueron realizadas por él (y no por otro). Las aplicaciones que manejan datos de carácter personal deben aportar una serie de medidas de seguridad desde el punto de vista organizativo y técnico, para crear un entorno seguro para los datos, la información y los sistemas que participan en la misma. Para ello, se definen los siguientes criterios de seguridad, que serán la base de lo que se denomina firma digital: Autenticidad: El receptor del mensaje puede asegurar la identidad del emisor. El emisor puede estar seguro de a quién envía el mensaje. Evita ataques de engaño o suplantación. Confidencialidad: Protección de la información frente a usos no autorizados. Sólo emisor y receptor pueden acceder al contenido del mensaje. Evita ataques de intercepción. Integridad: Protección de la información frente a cualquier tipo de alteración. No repudio: Garantía de que el emisor o receptor no rechazan su envío o recepción. Control de Acceso: Protección de los recursos para evitar accesos no autorizados. ANS plataforma @firma v 2.8.doc Página 9 de 10
Indicador de Seguridad Indicador de Nivel de Servicio Periodicidad Valor Objetivo Tiempo de respuesta ante incidentes de Seguridad Análisis de Vulnerabilidades N/A 2 horas 90% 2 meses 0 vulnerabilidades encontradas %Cumplimiento Mínimo 90% 7.3. Servicio de Soporte. Disponibilidad Contacto: Vía formulario: https://soportecaid.redsara.es/ayuda/consulta/caid Horario: De Lunes a Jueves de 08:30 a 18:30 y viernes 08:30 a 15:00. 8. Calendario para la Implantación del ANS El MINHAP se ajustará al siguiente calendario para la obtención de los niveles de servicio establecidos para cada parámetro: Periodo Transitorio: Es el periodo inicial, desde el arranque del servicio hasta que este alcance el ajuste necesario para su estabilización. Este periodo será de seis meses desde la fecha de publicación de este documento y el prestador deberá alcanzar el 90% del objetivo marcado en cada parámetro. Período de prestación del servicio: El prestador deberá alcanzar como mínimo los objetivos establecidos y comprometerse a completar, perfeccionar y mejorar el ANS inicial. Proceso de revisión y reportes: Mensualmente se dispondrá de un informe de incidencias cerradas, incidencias abiertas incidencias no resueltas dentro de los límites definidos por el ANS y grado de cumplimiento comprometido, a disposición de los Organismos o Entidades Públicas usuarias de los servicios de la Plataforma. 9. Signatarios ------------------------------------------- ---------------------------------------- Por el prestatario del servicio Por el prestador del servicio ANS plataforma @firma v 2.8.doc Página 10 de 10