Mis Leyes

Ficha de esta disposición

Título :
RESOLUCIÓN de 3 de agosto de 2006, de la Subsecretaría, por la que se da publicidad al Acuerdo de encomienda de gestión del Ministerio de Justicia a la Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda, para la prestación de servicios de certificación de firma electrónica y otros servicios relativos a la administración electrónica
Estado :
Vigente
Nº de Disposición :
0
Boletín Oficial :
BOE 192/2006
Fecha Disposición :
03/08/2006
Fecha Publicación :
12/08/2006
Órgano Emisor :
MINISTERIO DE JUSTICIA
Con fecha 24 de julio de 2006, se ha suscrito el Acuerdo de encomienda de gestión por parte del Ministerio de Justicia a la Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda, para la prestación de servicios de certificación de firma electrónica y otros servicios relativos a la administración electrónica.

En cumplimiento de lo dispuesto en el artículo 15.3 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, procede la publicación en el Boletín Oficial del Estado de dicho Acuerdo, que figura como anexo a esta Resolución.

Lo que se hace público a los efectos oportunos.

Madrid, 3 de agosto de 2006.-La Subsecretaria de Justicia, Ana María de Miguel Langa.

ANEXO

ACUERDO DE ENCOMIENDA DE GESTIÓN POR PARTE DEL MINISTERIO DE JUSTICIA A LA FÁBRICA NACIONAL DE LA MONEDA Y TIMBRE-REAL CASA DE LA MONEDA, PARA LA PRESTACIÓN DE SERVICIOS DE CERTIFICACIÓN DE FIRMA ELECTRÓNICA Y OTROS SERVICIOS RELATIVOS A LA ADMINISTRACIÓN ELECTRÓNICA

En Madrid, a 24 de Julio de 2006

REUNIDOS

De una parte, la señora doña Ana María de Miguel Langa, Subsecretaria de Justicia en virtud de nombramiento efectuado por Real Decreto 601/2004, de 19 de abril (B.O.E. de 20 de abril), en uso de las atribuciones que le confieren los artículos 15 de la Ley 6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración del Estado, y 7.2.i) del Real Decreto 1475/2004, de 18 de junio, por el que se desarrolla la estructura orgánica básica del Ministerio de Justicia (B.O.E. núm. 148, del día 19), así como el artículo 15 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, actuando en representación del Ministerio de Justicia.

Y de otra, el Sr. D. Sixto Heredia Herrera, Director General de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM), actuando en representación de esta Entidad Pública Empresarial, en virtud de las competencias que le atribuye el artículo 19 del Estatuto aprobado por Real Decreto 1114/1999, de 25 de junio y de su nombramiento mediante el Real Decreto 802/2004, de 23 de abril (BOE de 24 de abril).

Reconociéndose ambas partes la capacidad legal necesaria para formalizar el presente Acuerdo de Encomienda de Gestión,

EXPONEN

Primero.-La Ley 59/2003, de 19 de diciembre, de firma electrónica, establece las bases de regulación de la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación, tanto para el sector público como el privado. El artículo 4 de esta Ley, establece el empleo de la firma electrónica en el ámbito de las Administraciones Públicas, para que, con el objetivo básico de salvaguardar las garantías de cada procedimiento, se puedan establecer condiciones adicionales, como la imposición de fechas electrónicas sobre los documentos de la misma naturaleza, que integren un expediente administrativo.

La Disposición adicional cuarta de la Ley 59/2003, constata la especialidad en la regulación que afecta a la actividad de la FNMT-RCM, al referir que, lo dispuesto en esa ley, se entiende sin perjuicio de lo establecido en el artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social.

Segundo.-El citado artículo 81 de la Ley 66/1997, de 30 de diciembre, faculta a la FNMT-RCM para prestar los servicios técnicos y administrativos necesarios para garantizar la seguridad, validez y eficacia en la emisión y recepción de comunicaciones y documentos a través de técnicas electrónicas, informáticas y telemáticas (EIT), entre otros, entre las personas físicas y jurídicas con la Administración General del Estado y con los organismos públicos vinculados o dependientes de ella. Tal artículo, modificado y ampliado mediante las Leyes 55/1999, 14/2000, 44/2002, 53/2002 y 59/2003, trae causa del mandato para el impulso del empleo y la aplicación de técnicas y medios EIT, en el desarrollo de la actividad y el ejercicio de las competencias de las Administraciones Públicas, según establece el artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, cuando sea de aplicación.

Asimismo, el mismo artículo 81 -en su apartado dos- habilita la prestación, por la FNMT-RCM de los servicios antes señalados, a las Comunidades Autónomas, entidades locales, organismos públicos y entidades de derecho público, vinculadas o dependientes de ellas, siempre que, previamente, se hayan formalizado los convenios o acuerdos procedentes.

En relación con las actividades de identificación y registro, la FNMT-RCM, podrá celebrar convenios con personas, entidades y corporaciones que ejerzan funciones públicas en los que se establezcan las condiciones en las que éstas puedan participar en tales actividades.

Tercero.-El Real Decreto 1317/2001, de 30 de noviembre, por el que se desarrolla el artículo 81, antes citado, regula el régimen de prestación de servicios de seguridad por la FNMT-RCM en la emisión y recepción de comunicaciones y escritos a través de medios y técnicas electrónicas, informáticas y telemáticas. Su artículo 6 faculta a la FNMT-RCM a convenir con las entidades incluidas en su ámbito de aplicación, entre las que se encuentra el Ministerio de Justicia, los términos que deben regir la prestación de sus servicios en relación con las comunicaciones empleando técnicas y medios electrónicos, informáticos y telemáticos.

Como desarrollo de los artículos 38.9, 45 y 59.3 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, (según los apartados añadidos -al primer y tercer de los artículos citados por la Ley 24/2001, de 27 de diciembre-) se aprobó el Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos, que establece una regulación específicamente dirigida al desarrollo e implantación de la administración electrónica dentro de la Administración del Estado; que modifica el Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas para la Administración General del Estado, y el Real Decreto 772/1999, de 7 de mayo, por el que se regula la presentación de solicitudes, escritos y comunicaciones ante la Administración General del Estado, la expedición de copias de documentos y devolución de originales y el régimen de las oficinas de registro.

La Orden PRE/1551/2003, de 10 de junio, desarrolla la disposición final primera del antes citado Real Decreto 209/2003, estableciendo los requisitos de autenticidad, integridad, disponibilidad y confidencialidad de los dispositivos y aplicaciones de registro y notificación, así como los protocolos y criterios técnicos a los que deben sujetarse y, las condiciones que ha de reunir el órgano, organismo o entidad habilitada para la prestación del servicio de dirección electrónica única así como las condiciones de su prestación.

Cuarto.-El artículo 2 del Estatuto de la FNMT-RCM, aprobado por Real Decreto 1114/1999, de 25 de junio, reconoce como fines de la Entidad la prestación, en el ámbito de las Administraciones Públicas, o sus Organismos Públicos, vinculados o dependientes, de servicios de seguridad, técnicos y administrativos, en las comunicaciones a través de técnicas y medios electrónicos, informáticos y telemáticos (EIT) así como la expedición, fabricación y suministro de títulos o certificados de usuarios, de acuerdo con lo que establezcan las disposiciones legales correspondientes.

La Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda es una entidad pública empresarial dependiente de la Administración General del Estado, adscrita al Ministerio de Economía y Hacienda, el cual, a través de la Subsecretaría de Economía y Hacienda ejerce respecto de ella la dirección estratégica y el control de eficacia; y le incumben como funciones más destacadas la acuñación de monedas e impresión de billetes del Banco de España y la prestación, en el ámbito de las Administraciones públicas y sus organismos públicos, vinculados o dependientes, de servicios de seguridad, técnicos y administrativos, en las comunicaciones a través de técnicas y medios electrónicos, informáticos y telemáticos (EIT), así como la expedición, fabricación y suministro de títulos o certificados de usuario o soportes en tarjeta necesarios a tal fin. Todo ello de acuerdo con lo establecido en el Real Decreto 1114/1999, de 25 de junio, por el que se aprueba su Estatuto.

Quinto.-El Ministerio de Justicia es el departamento de la Administración General del Estado al que corresponde, dentro del ámbito de las competencias que le confieren las disposiciones legales vigentes, la preparación y ejecución de la política del Gobierno en materia de derecho penal, civil, mercantil y procesal, derechos y libertades religiosas y de cultos, derechos de gracia y títulos nobiliarios y grandezas de España, la política de organización y apoyo de la Administración de Justicia, la cooperación jurídica internacional, así como con las comunidades autónomas en coordinación con los demás departamentos competentes en la materia, y la asistencia jurídica al Estado, de conformidad con el Real Decreto 1475/2004, por el que se desarrolla su estructura orgánica.

Asimismo, entre las funciones que el artículo 7 del Real Decreto de estructura orgánica atribuye a la Subsecretaría de Justicia, se encuentra la relativa a la elaboración y ejecución de los planes informáticos y de tecnologías de la información y comunicación del departamento, el diseño, programación, implantación y mantenimiento de las aplicaciones informáticas y la prestación de asistencia técnica en la materia a los distintos órganos del ministerio, sin perjuicio de las competencias de otras unidades al respecto y de la debida coordinación con éstas.

Sexto.-Que, en virtud de las razones ahora expuestas, no resulta conveniente, por razones de seguridad y para facilitar a los ciudadanos las relaciones administrativas, que la colaboración entre el Ministerio de Justicia y la FNMT-RCM (Entidad Pública adscrita al Ministerio de Economía y Hacienda) se instrumente a través de los diferentes tipos contractuales previstos en la legislación de contratos de las administraciones públicas, por tratarse de actuaciones entre instituciones públicas que ejercen sus respectivas competencias y facultades. En este sentido, se considera que esta coactuación administrativa debe formalizarse -en esta fase- a través del instrumento jurídico de la encomienda de gestión, al margen de una relación estrictamente contractual. Todo ello, de acuerdo con lo dispuesto en las siguientes disposiciones: artículo 15, de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo común; artículo 3.1.l), del R.D. Legislativo 2/2000, de 16 de junio, por el que se aprueba el Texto Refundido de la Ley de Contratos de las Administraciones Públicas (modificado por el Real Decreto-ley 5/2005, de 11 de marzo, de reformas urgentes para el impulso de la productividad y para la mejora de la contratación pública); y, finalmente, artículo 3.4, último párrafo, del Real Decreto 1114/1999, de 25 de junio, por el que se adapta la Fábrica Nacional de Moneda y Timbre a la ley 6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración General del Estado, se aprueba su Estatuto y se acuerda su denominación como Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda.

Séptimo.-Estando ambas partes interesadas en procurar la máxima extensión de la prestación de estos servicios para facilitar a los ciudadanos las relaciones administrativas a través de las técnicas y medios electrónicos, informáticos y telemáticos (EIT), y de conformidad con lo previsto en el apartado cinco del artículo 81 de la Ley 66/1997, de 30 de diciembre, en redacción dada por la Disposición adicional vigésima sexta de la Ley 14/2000, de 29 de diciembre, de medidas fiscales, administrativas y del orden social, se procede a la formalización del presente Acuerdo de Encomienda de Gestión con arreglo a las siguientes

CLÁUSULAS

Primera.-Objeto:

1. Constituye el objeto del presente Acuerdo de Encomienda de Gestión, de conformidad con la previsión recogida en el artículo 15 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, la encomienda de gestión por el Ministerio de Justicia a la Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda, para la prestación de los servicios técnicos, administrativos y de seguridad necesarios en orden a garantizar la validez y eficacia de la emisión y recepción de comunicaciones y documentos producidos a través de técnicas y medios EIT en el ámbito de actuación del Ministerio de Justicia con las condiciones técnico-administrativas que en las cláusulas siguientes se estipulan.

2. En particular, la FNMT-RCM prestará los servicios esenciales que al efecto se enumeran en el capítulo I del anexo I de este Acuerdo de Encomienda de Gestión. También prestará a petición del Ministerio de Justicia cualquiera, o la totalidad, de los servicios avanzados que al efecto se enumeran en el capítulo II del mismo anexo I de este Acuerdo.

Segunda.-Ámbito de aplicación: La FNMT-RCM prestará servicios EIT a las personas que tengan la condición de usuarios de acuerdo con la normativa vigente y las cláusulas de este Acuerdo de Encomienda de Gestión, cuando los usuarios se relacionen con el Ministerio de Justicia en el marco de sus respectivas competencias. A tal efecto, el Ministerio de Justicia asume que los certificados (títulos de usuario) que expida la FNMT-RCM son universales y que por tanto servirán para las relaciones jurídicas que al efecto mantengan los usuarios con las diferentes Administraciones públicas y, en su caso, en el ámbito privado que admitan la utilización de estos certificados, en sus registros, procedimientos y trámites.

De igual forma los certificados que haya expedido o expida la FNMT-RCM, en el ámbito público de actuación, podrán ser utilizados por los usuarios en sus relaciones con el Ministerio de Justicia cuando así lo admita el ordenamiento jurídico.

Tercera.-Obligaciones de las partes para la prestación efectiva de los servicios objeto del acuerdo de encomienda de gestión:

1. Para la prestación efectiva de los servicios objeto del Acuerdo de Encomienda de Gestión, la FNMT-RCM se compromete a:

Aportar la infraestructura técnica y organizativa que a tal efecto, se requiera.

Aportar los derechos de propiedad industrial e intelectual necesarios, garantizando su pacífico goce.

Prestar la asistencia técnica que se precise con objeto de facilitar al Ministerio de Justicia la información necesaria para el buen funcionamiento de los sistemas.

Actualizar tecnológicamente los sistemas, de acuerdo con el estado de la técnica, sin perjuicio de la aprobación de los requisitos técnicos correspondientes por el Consejo Superior de Informática y para el impulso de la Administración Electrónica o, en su caso, por el órgano competente.

Emitir sellos de tiempo en las comunicaciones electrónicas, informáticas y telemáticas que tengan lugar al amparo del presente Acuerdo de Encomienda de Gestión a petición del Ministerio de Justicia.

Aportar la tecnología necesaria para que las obligaciones de la otra Parte firmante del Acuerdo de Encomienda de Gestión, puedan ser realizadas; en particular las aplicaciones necesarias para la constitución de las oficinas de acreditación y la tramitación de las solicitudes de emisión de certificados electrónicos.

Tener disponible para consulta del Ministerio de Justicia y de los usuarios una Declaración de Prácticas de Certificación (DPC), que contendrá, al menos, las especificaciones establecidas en el artículo 19 de la Ley 59/2003, de 19 de diciembre, de firma electrónica. Tal DPC, estará disponible en la dirección electrónica (URL) siguiente:

http://www.cert.fnmt.es/convenio/dpc.pdf.

Esta DPC, podrá ser consultada por todos los interesados y podrá ser modificada por la FNMT-RCM, por razones legales o de procedimiento. Las modificaciones serán comunicadas a los usuarios a través de avisos en su dirección electrónica.

En todo caso los medios técnicos y tecnología empleados por la FNMT-RCM permitirán demostrar la fiabilidad del servicio de certificación electrónica, la constatación de la fecha y hora de expedición, suspensión o revocación de un certificado, la fiabilidad de los sistemas y productos, los cuáles contarán con la debida protección contra alteraciones, así como con los niveles de seguridad técnica y criptográfica idóneos dependiendo de los procedimientos donde se utilicen, la comprobación de la identidad del titular del certificado y, en su caso, y exclusivamente frente a la parte o entidad a través de la cual se ha identificado y registrado al titular del certificado, los atributos pertinentes, así como, en general, los que resulten de aplicación de conformidad con la normativa comunitaria o nacional correspondiente.

2. Por su parte, el Ministerio de Justicia se compromete a:

Emitir, cuando proceda, el recibo de presentación, en su caso firmado electrónicamente, donde se haga constancia expresa de la fecha y hora de recepción de las comunicaciones recibidas, de conformidad con lo dispuesto en la normativa aplicable.

Conservar las notificaciones, comunicaciones o documentación emitida y recibida en las transacciones durante el tiempo pertinente.

Cifrar las comunicaciones emitidas y recibidas.

Realizar las actividades de identificación previa a la obtención del certificado electrónico y, en su caso, de comprobación y suficiencia de los atributos correspondientes, en calidad de Oficina de Acreditación la FNMT-RCM.

A tal efecto, el Ministerio de Justicia dispondrá de una red de oficinas de acreditación que deberán contar con los medios informáticos precisos para conectarse telemáticamente con la FNMT-RCM. En ellas, la acreditación e identificación de los solicitantes de los certificados exigirá la comprobación de su identidad y de su voluntad de que sea expedido un certificado electrónico y, en su caso, de las facultades de representación e idoneidad para la obtención del certificado correspondiente, y se verificará de conformidad y con pleno respeto a lo dispuesto en la normativa aplicable.

Las aplicaciones informáticas necesarias para llevar a cabo las actividades de acreditación e identificación serán facilitadas por la FNMT-RCM, tales aplicaciones serán tecnológicamente compatibles en función de los avances tecnológicos y el estado de la técnica.

El número y ubicación de las oficinas de acreditación donde se llevarán a cabo las actividades de identificación, recepción y tramitación de solicitudes de expedición de certificados electrónicos será la que se recoge en el Anexo II de este Acuerdo de Encomienda de Gestión. Cualquier modificación o alteración de dicha relación o de la ubicación de las oficinas deberá ser comunicada a la FNMT-RCM, quien dará la oportuna difusión para mantener permanentemente actualizada la relación de la red de oficinas de acreditación para la obtención de certificados electrónicos en los términos previstos en el Real Decreto 1317/2001, de 30 de noviembre.

Las oficinas de acreditación del Ministerio de Justicia se integrarán en la Red de Oficinas de Acreditación a las que los ciudadanos pueden dirigirse para obtener un certificado electrónico expedido por la FNMT-RCM con observancia de lo dispuesto en la normativa aplicable. Las acreditaciones realizadas por las personas, entidades y corporaciones a que se refiere el apartado nueve del artículo 81 de la Ley 66/1997, de 30 de diciembre, y por los diferentes órganos y organismos públicos de la Red de Oficinas de Acreditación, surtirán plenos efectos y serán válidas para su aceptación por cualquier administración pública que admita los certificados de emitidos por la FNMT-RCM.

Las solicitudes de emisión y revocación y/o suspensión, en su caso, de certificados se ajustarán a los modelos recogidos en el Anexo III.

Cuarta.-Precio y condiciones de pago: La FNMT-RCM percibirá, por los servicios EIT prestados al Ministerio de Justicia la cantidad de veintisiete mil euros /año, (27.000,00 €/año) IVA incluido, cantidad que se incrementará, en su caso, a partir de la primera anualidad, aplicando la variación del IPC publicado en los doce meses anteriores de acuerdo con el índice aprobado por el I.N.E, tomando como referencia el del año de la firma del Acuerdo de Encomienda de Gestión. La aplicación de este precio se establece en los Capítulos I y II del Anexo IV.

Si hubiera petición expresa de servicios avanzados hecha por el Ministerio de Justicia la cantidad anterior quedaría incrementada por el importe correspondiente que de la aplicación de las tablas del Capítulo II del Anexo IV de Precios y Plan de Implantación del presente Acuerdo de Encomienda de Gestión se dedujera.

La FNMT-RCM, podrá realizar facturaciones mensuales contra certificaciones parciales conformadas por el Ministerio de Justicia, mediante el prorrateo de la cantidad anual a abonar por el Ministerio de Justicia, pudiendo, además, liquidar en tales facturas mensuales aquellos servicios adicionales solicitados. El abono de las facturas se realizará mediante transferencia bancaria a la cuenta de la FNMT (BBVA 0182.7598.19.0201501336) en un plazo no superior a 30 días fecha de factura.

En caso de que se produzcan prórrogas del presente Acuerdo de Encomienda de Gestión, y no se acordara la revisión del régimen económico del presente Acuerdo, el precio anual de cada una de las prórrogas será actualizado, mediante la aplicación del Índice de Precios de Consumo, IPC (índice general interanual), publicado y correspondiente al mes en que se produzca la actualización.

Las facturas de la FNMT-RCM se emitirán a nombre del Ministerio de Justicia:

Denominación: Ministerio de Justicia (Subsecretaría).

Calle: San Bernardo, 45.

Población: Madrid.

Provincia: Madrid.

NIF/CIF: S-2813610-I.

Departamento o persona de contacto / Teléfono: División de Informática y Tecnologías de la Información.-Joaquín A. Rodríguez Sánchez.-Teléfono 913902440.

Quinta.-Régimen de prestación de los servicios: La prestación de los servicios EIT a que se refiere la cláusula primera, se realizará atendiendo a lo establecido en el Anexo I.

A tal efecto, ambas partes se comprometen a asumir las obligaciones necesarias a este fin. Igualmente, el Ministerio de Justicia se obliga a velar frente a los usuarios por el cumplimiento de las obligaciones que le correspondan como encargada de la identificación, acreditación y/o registro de usuarios y de la recepción y tramitación de solicitudes de expedición, revocación y, en su caso, suspensión de certificados electrónicos.

Sexta.-Plazo de duración: El Acuerdo de Encomienda de Gestión entrará en vigor el día de su firma y se extenderá hasta el 31 de diciembre de 2006. Se producirá la prórroga automática del mismo, por años naturales, si no mediara denuncia de ninguna de las partes con dos meses de antelación a su vencimiento o al de cualquiera de sus prórrogas.

Las partes podrán proponer la revisión del Acuerdo de Encomienda de Gestión en cualquier momento de su vigencia, a efectos de incluir, de mutuo acuerdo, las modificaciones que resulten pertinentes.

Septima.-Responsabilidad: La FNMT-RCM como prestador de los servicios citados en la cláusula primera, y el Ministerio de Justicia como usuario público del sistema y partícipe en el procedimiento de identificación, acreditación y registro de los usuarios, responderán cada una en el ámbito de sus respectivas funciones de los daños y perjuicios que causara el funcionamiento del sistema de acuerdo con las reglas generales del ordenamiento jurídico que resultaran de aplicación y de conformidad con las obligaciones asumidas a través del presente Acuerdo de Encomienda de Gestión.

La FNMT-RCM, dado el mandato legal de extensión de los servicios, limita su responsabilidad, siempre que su actuación o la de sus empleados no se deba a dolo o negligencia grave, hasta un importe anual del presente Acuerdo de Encomienda de Gestión incrementado en un 10% como máximo.

Octava.-Resolución: El Acuerdo de Encomienda de Gestión podrá resolverse por parte del Ministerio de Justicia cuando existiera manifiesta falta de calidad del servicio por parte de la FNMT-RCM o incumplimiento grave de las obligaciones de ésta en el desarrollo de su actividad.

La FNMT-RCM podrá instar la resolución del Acuerdo de Encomienda de Gestión por falta de pago del precio convenido o por incumplimiento grave de las obligaciones que corresponden al Ministerio de Justicia y que figuran en las cláusulas de este Acuerdo.

Novena.-Protección de datos: El régimen de protección de datos de carácter personal derivados de este Acuerdo de Encomienda de Gestión y de la actuación conjunta de los dos organismos será el previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en su normativa de desarrollo. Los ficheros de la FNMT-RCM serán de titularidad pública y su creación, modificación o supresión se realizará por disposición general publicada en el Boletín Oficial del Estado, (Orden del Ministerio de Economía de 11 de diciembre de 2001, BOE de 28 de diciembre).

Los ficheros del Ministerio de Justicia, serán de titularidad pública y su creación, modificación o supresión se realizará por disposición de carácter general publicada en el BOE.

Décima.-Derecho aplicable y resolución de conflictos: La prestación de los servicios de certificación contemplados en el presente Acuerdo de Encomienda de Gestión se realizará con sujeción a la regulación contenida en la Ley 59/2003, de 19 de diciembre, de firma electrónica, el artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social y su normativa de desarrollo, así como a las disposiciones que sean de aplicación y en su caso, cuantas disposiciones se dictaren, durante la vigencia del Acuerdo y que afectaren al objeto del mismo.

El presente Acuerdo de Encomienda de Gestión tiene naturaleza administrativa. Las partes se comprometen a resolver de mutuo acuerdo las incidencias que pudieran surgir en su interpretación y cumplimiento.

Undécima.-Régimen jurídico: El presente Acuerdo de Encomienda de Gestión se celebra al amparo del artículo 3.1.l) del Texto Refundido de la Ley de Contratos de las Administraciones Públicas, quedando excluido de su regulación; se regirá por sus normas especiales, aplicándose no obstante los principios de aquél para resolver las dudas y lagunas que pudieran presentarse.

Duodécima.-Inicio de la prestación: El presente Acuerdo de Encomienda de Gestión surtirá efectos desde el momento de su firma, previa aprobación o siempre que sea ratificado, según proceda, por el Consejo de Administración de la FNMT-RCM, iniciándose la prestación del servicio el día siguiente a su firma. En caso de ratificación, la FNMT-RCM, comunicará al Ministerio de Justicia tal hecho para su debida constancia.

Y, en prueba de conformidad, ambas partes suscriben el presente Acuerdo de Encomienda de Gestión y todos sus Anexos en el lugar y fecha indicados en el encabezamiento.-La Subsecretaria de Justicia, Ana María de Miguel Langa.-El Director General de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, Sixto Heredia Herrera.

ANEXO I

Servicios a prestar

CAPÍTULO I

La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM), como prestador de servicios de certificación, emitirá para todo aquel usuario que lo solicite un conjunto de certificados, denominado «Certificado Básico» o «Título de Usuario», que permite al Titular del mismo comunicarse con otros usuarios, de forma segura.

El formato de los certificados utilizados por la FNMT-RCM se basa en el definido por la Unión Internacional de Telecomunicaciones, sector de normalización de las telecomunicaciones, en la Recomendación UIT-T X.509, de 31 de Marzo de 2000 o superiores (ISO/IEC 9594-8 de 2001). El formato será el correspondiente a la Versión 3 del certificado, especificado en esta norma.

El certificado será valido para el uso con protocolos de comunicación estándares de mercado, tipo SSL, TLS, etc.

Como servicios de certificación asociados para el uso de los certificados por parte de sus titulares, la FNMT-RCM ofrecerá los siguientes servicios técnicos:

Registro de usuarios.

Emisión, revocación y archivo de certificados de clave pública.

Publicación de certificados y del Registro de Certificados.

Registro de eventos significativos.

Generación y gestión de claves.

Generación y gestión de las claves:-En el procedimiento de obtención de certificados, la FNMT-RCM desarrollará los elementos necesarios para activar, en el puesto del solicitante, el software que genere a través de su navegador web, un par de claves, pública y privada, que le permitirá firmar e identificarse, así como proteger la seguridad de sus comunicaciones a través de mecanismos de cifrado.

Las claves privadas serán utilizadas bajo el control del software de navegación web del que disponga el propio usuario, enviando todas las claves públicas a la FNMT-RCM con el fin de integrarlas en un certificado.

Las claves privadas de firma, permanecerán siempre bajo el control exclusivo de su titular, y guardadas en el soporte correspondiente, no guardándose copia de ellas por la FNMT-RCM.

La FNMT-RCM garantizará que el usuario, Titular del certificado, puede tener el control exclusivo de las claves privadas correspondientes a las claves públicas que se consignan en el certificado, mediante la obtención de las pruebas de posesión oportunas, a través de la adjudicación del número de identificación único.

Archivo de las claves públicas.-Las claves públicas de los usuarios permanecerán archivadas, por si fuera necesaria su recuperación, en archivos seguros, tanto física como lógicamente, durante un periodo no menor de 15 años.

Exclusividad de las claves.-Las claves privadas son exclusivas para los Titulares de los certificados y son de uso personal e intransferible.

Las claves públicas son exclusivas para los Titulares de los certificados, independientemente del soporte físico donde estén almacenadas y protegidas.

Renovación de claves.-La FNMT-RCM identifica una relación uno a uno entre la clave pública de un usuario y su certificado de clave pública, no previéndose utilizar distintos certificados para una misma clave. Es por esto que las claves se renovarán con los certificados cuando dicha renovación esté contemplada en la normativa específica aplicable.

Registro de usuarios.

Registro de usuarios:.-El registro de usuarios es el procedimiento a través del cual se identifica al solicitante de un certificado electrónico, se comprueba su personalidad y se constata su efectiva voluntad de que le sea emitido el «Certificado Básico» o «Título de Usuario» por la FNMT-RCM.

Este registro podrá ser realizado por la propia FNMT-RCM o cualquier otra Administración pública y, en su caso, por las demás personas, entidades o corporaciones habilitadas a tal efecto por las normas que resulten de aplicación. En todo caso el registro se llevará a cabo según lo dispuesto por la FNMT-RCM, al objeto de que este registro se realice de acuerdo con lo establecido por la normativa específica aplicable y homogéneo en todos los casos. De igual manera será la FNMT-RCM, quien defina y aporte los medios necesarios para la realización de este registro.

En el caso de que el registro lo realizara una Administración Pública, distinta de la FNMT-RCM, la persona que se encargue de la actividad de registro ha de ser personal al servicio de la Administración Pública. En estos casos la FNMT-RCM, dará soporte a la implantación de las distintas oficinas de registro que se establezcan cuando fuere necesario, en los siguientes términos:

a) Aportación de la aplicación informática de registro.

b) Aportación de la documentación relativa a la instalación y manejo de la aplicación, así como toda aquella referente a los procedimientos y normas sobre el registro.

c) Registro y formación de los encargados del registro, lo que supone la emisión de un certificado emitido por la FNMT-RCM para cada encargado del registro, que permita garantizar la seguridad de las comunicaciones con la FNMT-RCM, incluyendo la firma electrónica de las solicitudes de registro.

Identificación de los solicitantes de los certificados, comprobación de su personalidad y constatación de su voluntad:

La identificación de los solicitantes de los certificados en las oficinas de registro y la comprobación de su personalidad se hará mediante la exhibición del Documento Nacional de Identidad, Pasaporte u otros medios admitidos en derecho.

En el acto de registro, el personal encargado de las oficinas de acreditación constatará que el solicitante tiene la voluntad de solicitar que le sea emitido un certificado electrónico por la FNMT-RCM y que éste reúne los requisitos exigidos por el ordenamiento jurídico.

En caso de que solicite un certificado de persona jurídica, será de aplicación el procedimiento de verificación de la identidad del solicitante y de comprobación de los datos de constitución de la persona jurídica y de la suficiencia, extensión y vigencia de las facultades de representación del solicitante que se establece en el artículo 13 de la Ley 59/2003, de 19 de diciembre. El detalle del procedimiento figura en la Declaración de Prácticas de Certificación: http://www.cert.fnmt.es/convenio/dpc.pdf.

Necesidad de presentarse en persona:

El procedimiento de registro requiere presencia física del interesado para formalizar el procedimiento de registro en la oficina de acreditación. No obstante, serán válidas y se dará el curso correspondiente a las solicitudes de emisión de certificados electrónicos cumplimentadas según el modelo trascrito en el anexo III del presente Acuerdo de Encomienda de Gestión siempre que la firma del interesado haya sido legitimada notarialmente en los términos señalados en el referido modelo.

Necesidad de confirmar la identidad de los componentes por la FNMT-RCM:

Si se trata de solicitudes relativas a certificados electrónicos a descargar en un servidor u otro componente, la FNMT-RCM requerirá la aportación de la documentación necesaria que le acredite como responsable de dicho componente y, en su caso, la propiedad del nombre del dominio o dirección IP. (Certificado de componente no es un certificado reconocido ni se recoge en la legislación española).

Incorporación de la dirección de correo electrónico del titular al certificado:

No es preceptiva la incorporación de la dirección de correo electrónico del titular al certificado si bien se hará constar en él en el caso en que el titular aporte dicha dirección en el momento del registro.

Esta incorporación se realizará a los efectos de que el certificado pueda soportar el protocolo S/MIME en el caso de que la aplicación utilizada por el usuario así lo requiera.

Cuando la dirección del correo electrónico del titular del certificado conste en una de las extensiones del propio certificado, ni la FNMT-RCM, como firmante y responsable del mismo, ni el Ministerio de Justicia como encargado del registro de usuarios responden de que esta dirección esté vinculada con el titular del certificado.

Obtención del «Certificado Básico» o «Título de usuario»:

Para la obtención de este certificado, así como para su revocación o suspensión, el solicitante deberá observar las normas y procedimientos desarrollados a tal fin por la FNMT-RCM de conformidad con la normativa vigente aplicable.

Emisión, revocación y archivo de certificados de clave pública.

Emisión de los certificados.-La emisión de certificados supone la generación de documentos electrónicos que acreditan la identidad u otras propiedades del usuario y su correspondencia con la clave pública asociada; del mismo modo, la emisión de los certificados implica su posterior envío al directorio de manera que sea accesible por todas las personas interesadas en hacer uso de sus claves públicas.

La emisión de certificados por parte de la FNMT-RCM, sólo puede realizarla ella misma, no existiendo ninguna otra entidad u organismo con capacidad de emisión de estos certificados.

La FNMT-RCM, por medio de su firma electrónica, garantizará los certificados, así como la verificación de la identidad y cualesquiera otras circunstancias personales de sus titulares. Por otro lado, y con el fin de evitar la manipulación de la información contenida en los certificados, la FNMT-RCM utilizará mecanismos criptográficos para asegurar la autenticidad e integridad de dicho certificado.

La FNMT-RCM, una vez emitido el certificado, lo publicará y mantendrá una relación de certificados emitidos durante todo el periodo de vida del mismo en un servicio de acceso telemático, universal, en línea y siempre disponible.

La FNMT-RCM garantiza para un certificado emitido:

a) Que el usuario dispone de la clave privada correspondiente a la clave pública del certificado, en el momento de su emisión.

b) Que la información incluida en el certificado se basa en la información proporcionada por el usuario.

c) Que no omite hechos conocidos que puedan afectar a la fiabilidad del certificado.

Aceptación de certificados:-Para que un certificado sea publicado por la FNMT-RCM, ésta comprobará previamente:

a) Que el signatario es la persona identificada en el certificado.

b) Que el signatario tiene un identificativo único.

c) Que el signatario dispone de la clave privada.

El Ministerio de Justicia garantizará que, al solicitar un certificado electrónico, su titular acepta que:

a) La clave privada con la que se genera la firma electrónica corresponde a la clave pública del certificado.

b) Únicamente el titular del certificado tiene acceso a su clave privada.

c) Toda la información entregada durante el registro por parte del titular es exacta.

d) El certificado será usado exclusivamente para fines legales y autorizados y de acuerdo con lo establecido por la FNMT-RCM.

e) El usuario final del certificado no es un Prestador de Servicios de Certificación y no utilizará su clave privada asociada a la clave pública que aparece en el certificado para firmar otros certificados (u otros formatos de certificados de clave pública), o listados de certificados, como un Prestador de Servicios de Certificación o de otra manera.

El Ministerio de Justicia garantizará que, al solicitar un certificado electrónico, su titular asume las siguientes obligaciones sobre su clave privada:

a) A conservar su control.

b) A tomar las precauciones suficientes para prevenir su pérdida, revelación, modificación o uso no autorizado.

Al solicitar el certificado, el titular deberá prestar su conformidad con los términos y condiciones de su régimen y utilización.

Revocación y suspensión de certificados electrónicos.-La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, dejará sin efecto los certificados electrónicos otorgados a los usuarios cuando concurra alguna de las siguientes circunstancias:

a) Solicitud de revocación del usuario, por la persona física o jurídica representada por éste o por un tercero autorizado.

b) Resolución judicial o administrativa que lo ordene.

c) Fallecimiento o extinción de la personalidad del usuario o incapacidad sobrevenida.

d) Finalización del plazo de vigencia del certificado.

e) Pérdida o inutilización por daños en el soporte del certificado.

f) Utilización indebida por un tercero.

g) Inexactitudes graves en los datos aportados por el usuario para la obtención del certificado.

h) Cualquier otra prevista en la normativa vigente.

La extinción de la eficacia de un certificado producirá efectos desde la fecha en que la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda tuviera conocimiento cierto de cualquiera de los hechos determinantes de la extinción previstos en el apartado anterior y así lo haga constar en su Registro de certificados. En el supuesto de expiración del período de validez del certificado, la extinción surtirá efectos desde que termine el plazo de validez.

La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda podrá suspender temporalmente la eficacia de los certificados si así lo solicita el usuario o lo ordena una autoridad judicial o administrativa, o cuando existan dudas razonables, por parte de cualquier usuario público, sobre la vigencia de los datos declarados y su verificación requiera la presencia física del interesado. En este caso, la FNMT-RCM podrá requerir, de forma motivada, su comparecencia ante la oficina de acreditación donde se realizó la actividad de identificación previa a la obtención del certificado o, excepcionalmente, ante otra oficina de acreditación al efecto de la práctica de las comprobaciones que procedan. El incumplimiento de este requerimiento por un periodo de 10 días podrá dar lugar a la revocación del certificado.

La suspensión de los certificados surtirá efectos en la forma prevista para la extinción de su vigencia.

La extinción de la condición de usuario público se regirá por lo dispuesto en el presente Acuerdo de Encomienda de Gestión o lo que se determine, en su caso, por la normativa vigente o por resolución judicial o administrativa.

Comunicación y publicación en el Registro de Certificados de circunstancias determinantes de la suspensión y extinción de la vigencia de un certificado ya expedido.

La FNMT-RCM suministrará al Ministerio de Justicia los mecanismos de la transmisión segura para el establecimiento de un servicio continuo e ininterrumpido de comunicación entre ambas a fin de que, por medios telemáticos o a través de un centro de atención telefónica a usuarios, se ponga de inmediato en conocimiento de la FNMT-RCM cualquier circunstancia de que tenga conocimiento y que sea determinante para la suspensión, revocación o extinción de la vigencia de los certificados ya expedidos, a fin de que se pueda dar publicidad de este hecho, de manera inmediata, en el directorio actualizado de certificados a que se refiere el artículo 18 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

La FNMT-RCM pondrá a disposición de los titulares de los certificados un centro de atención de usuarios con disponibilidad de 24 horas durante los 365 días del año para la recepción, y en su caso tramitación de solicitudes de revocación de certificados vigentes siguiendo un protocolo de identificación telefónica.

Además el citado centro de atención a los usuarios permitirá resolver cualquier duda o incidencia relativa a la validez o utilización de los certificados.

El Ministerio de Justicia y la FNMT-RCM responderán de los daños y perjuicios causados por cualquier dilación que les sea imputable en la comunicación y publicación en el Registro de Certificados, respectivamente, de las circunstancias de que tengan conocimiento y que sean determinantes de la suspensión, revocación o extinción de un certificado expedido.

Publicación de certificados de clave pública y registro de certificados.

Publicación de certificados de clave pública.-La FNMT-RCM publicará los certificados emitidos en un directorio seguro.

Cuando el certificado sea revocado, temporal o definitivamente, este será publicado en el Registro de certificados que incluirá una lista de certificados revocados, comprensiva de los certificados expedidos por la FNMT-RCM cuya vigencia se ha extinguido o suspendido al menos hasta un año después de su fecha de caducidad.

Esta publicación puede ser:

a) Publicación directa por parte de la FNMT-RCM.-Esta operación la realiza la FNMT-RCM a través de la publicación en un directorio propio en que ofrece acceso a:

Listas de certificados revocados.

La actualización en el directorio seguro de los certificados se hará de la siguiente forma:

Los certificados revocados, en el momento de producir efectos la revocación.

La actualización en el directorio seguro de las listas de revocación se realizará de forma continuada.

La consulta de este directorio se realizará en línea, por acceso directo del usuario. Este servicio permite la disponibilidad continua y la integridad de la información almacenada en el directorio.

Tanto los certificados como las listas de revocación serán firmadas con la clave privada de firma de la FNMT-RCM.

b) Publicación en directorios externos.-La FNMT-RCM podrá publicar externamente, en directorios públicos ofrecidos por otras entidades u Organismos, mediante replicación periódica o en línea, tanto certificados como listas de certificados revocados. Estas listas, al igual que las publicadas internamente, irán firmadas con la clave privada de firma de la FNMT-RCM.

Frecuencia de la publicación en directorios externos:

La publicación en directorios externos a la FNMT-RCM podrá ser realizada periódicamente o en línea, en función de los requerimientos de la entidad u Organismo que ofrezca el directorio.

Control de acceso:

En la publicación directa por parte de la FNMT-RCM, el acceso al directorio se realizará en función del tipo de usuario, de forma que:

a) Los órganos de la Administración General del Estado, así como los organismos públicos vinculados o dependientes de ella, tendrán acceso a todos los certificados sin ninguna restricción en cuanto a la información contenida en el directorio. El acceso se realizará con autenticación previa. Este acceso estará restringido a sólo lectura y búsqueda, pudiendo utilizar como clave de búsqueda cualquier información contenida en una entrada de un usuario.

b) Las Comunidades Autónomas, las Entidades Locales, así como los Organismos Públicos vinculados o dependientes de ellas, tendrán igualmente acceso a todos los certificados sin ninguna restricción en cuanto a la información contenida en el directorio. El acceso se realizará con autenticación previa. Este acceso estará restringido a sólo lectura y búsqueda, pudiendo utilizar como clave de búsqueda cualquier información contenida en una entrada de un usuario.

c) Los operadores y administradores de la infraestructura y los módulos internos, tendrán acceso a toda la información existente en el directorio, pudiendo realizar todo tipo de operaciones en función del perfil definido previamente por el Plan de Seguridad Integral. Este acceso se realizará con autenticación previa.

d) El resto de los usuarios, tendrán el acceso restringido a su propio certificado, y a los de los órganos de la Administración General del Estado, y organismos públicos vinculados o dependientes de ella, y a los de las Comunidades Autónomas, las entidades locales y las entidades de Derecho público vinculadas a ellas. El acceso será solamente de lectura, no pudiendo realizar operaciones para añadir, borrar, modificar o hacer listados de entrada en el directorio.

En cuanto a las listas de revocación, tanto las publicadas interna como externamente, el acceso será público y universal, para verificar este hecho.

Registro de eventos significativos.

Tipos de eventos registrados.-La FNMT-RCM registrará todos aquellos eventos relacionados con sus servicios que puedan ser relevantes con el fin de verificar que todos los procedimientos internos necesarios para el desarrollo de la actividad se desarrollan de acuerdo a la normativa legal aplicable y a lo establecido en el Plan de Seguridad Interna, y permitan detectar las causas de una anomalía detectada.

Todos los eventos registrados son susceptibles de auditarse por medio de una auditoría interna o externa.

Frecuencia y periodo de archivo de un registro de un evento.-La frecuencia de realización de las operaciones de registro dependerá de la importancia y características de los eventos registrados (bien sea para salvaguardar la seguridad del sistema o de los procedimientos), garantizando siempre la conservación de todos los datos relevantes para la verificación del correcto funcionamiento de los servicios.

El periodo de archivado de los datos correspondientes a cada registro dependerá asimismo de la importancia de los eventos registrados.

Archivo de un registro de eventos.-La FNMT-RCM realizará una grabación segura y constante de todos los eventos relevantes desde el punto de vista de la seguridad y auditoría (operaciones realizadas) que vaya realizando, con el fin de reducir los riesgos de vulneración, mitigar cualquier daño que se produjera por una violación de la seguridad y detectar posibles ataques.

Este archivo está provisto de un alto nivel de integridad, confidencialidad y disponibilidad para evitar intentos de manipulación de los certificados y eventos almacenados.

La FNMT-RCM mantendrá archivados todos los eventos registrados más importantes, manteniendo su accesibilidad, durante un periodo nunca inferior a 15 años.

En el caso del archivo histórico de los certificados, éstos permanecerán archivados durante al menos 15 años.

Datos relevantes que serán registrados.-Serán registrados los siguientes eventos relevantes:

a) La emisión y revocación y demás eventos relevantes relacionados con los certificados.

b) Todas las operaciones referentes a la firma de los certificados por la FNMT-RCM.

c) Las firmas y demás eventos relevantes relacionados con las Listas de Certificados Revocados.

d) Todas las operaciones de acceso al archivo de certificados.

e) Eventos relevantes de la generación de claves.

f) Todas las operaciones del servicio de archivo de claves y del acceso al archivo de claves propias expiradas.

g) Todas las operaciones relacionadas con la recuperación de claves.

Las funciones de administración y operación de los sistemas de archivado y auditoría de eventos serán siempre encomendadas a personal especializado de la FNMT-RCM.

Protección de un registro de actividad.-Una vez registrada la actividad de los sistemas, los registros no podrán ser modificados, ni borrados, permaneciendo archivados en las condiciones originales durante el periodo señalado.

Este registro tendrá sólo acceso de lectura, estando restringido a las personas autorizadas por la FNMT-RCM.

La grabación del registro, con el fin de que no pueda ser manipulado ningún dato, se realizará automáticamente por un software específico que a tal efecto la FNMT-RCM estime oportuno.

El registro auditado, además de las medidas de seguridad establecidas en su grabación y posterior verificación, estará protegido de cualquier contingencia, modificación, pérdida y revelación de sus datos durante su grabación en soportes externos, cambio de este soporte y almacenamiento de los mismos.

La FNMT-RCM garantiza la existencia de copias de seguridad de todos los registros auditados.

CapÍtulo II

Servicio de Notificaciones Electrónicas.

La Fábrica Nacional de Moneda y Timbre como prestador de servicios de notificación electrónica dispone de un servicio regulado por la siguiente legislación:

Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social (art. 81).

Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos (que modificó los Reales Decretos 263/1996, y 772/1991).

Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la disposición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos.

El servicio será conforme con los criterios recogidos en dicha legislación así como en el marco de los criterios de seguridad, normalización y conservación a los que se refiere el Real Decreto 263/1996, de 16 de febrero, a los requisitos de autenticidad, integridad, disponibilidad y confidencialidad de los dispositivos y aplicaciones de registro y notificación, así como los protocolos y criterios técnicos a los que deben sujetarse.

Dichos criterios de seguridad, normalización y conservación han sido objeto de informe favorable del Consejo Superior de Informática y para el impulso de la Administración Electrónica.

Descripción del servicio.-El servicio de notificaciones es un servicio de web mail con acuse de recibo, cuyo acceso se realizará mediante identificación por procedimientos de firma electrónica. El servicio provee a los notificadores de un sistema de no repudio en destino.

Las notificaciones practicadas serán selladas y custodiadas electrónicamente. Las especificaciones del servicio de sellado de tiempo son las que se recogen en este mismo anexo y están basadas en las especificaciones del estándar RFC3161 -«Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP). Las especificaciones del servicio de custodia son las que se recogen en este mismo anexo.

El servicio de notificación electrónica se podrá complementar adicionalmente con un servicio de notificación tradicional para completar una solución de correo mixto.

Acceso al servicio.-El servicio será accesible a través de Internet por el cliente siempre que esté dado de alta en el sistema y esté en posesión de un certificado de verificación de firma electrónica emitido por la Fábrica Nacional de Moneda y Timbre, valido y no revocado así como de su correspondiente clave privada, lo que le permitirá identificarse mediante el uso de firma electrónica.

Las especificaciones de los certificados de verificación de firma electrónica son las que se recogen en el Capítulo I de este mismo anexo y están basadas en un certificado reconocido según la Recomendación UIT-T X.509, de 31 de marzo de 2000 o superiores (ISO/IEC 9594-8 de 2001) de acuerdo con lo previsto en la legislación de firma electrónica.

El acceso a los servicios contará con las debidas medidas de confidencialidad de modo que solo los clientes sean capaces de practicar notificaciones a las direcciones electrónicas. Dichas medidas de confidencialidad podrán al menos cifrar la información mediante el uso de alguno de los protocolos de comunicación estándares SSL, TLS, AES o similares, con una clave simétrica de intercambio de datos de al menos 128 bits mediante el uso de los algoritmos de cifrado más habituales.

La solicitud de acceso a los servicios se realizará por medios electrónicos y mediante firma electrónica. La FNMT guardará la firma generada así como la prueba sellada de tiempo que permita confirmar la identidad del cliente así como su solicitud y el momento de la realización. De igual manera, la solicitud de baja en el servicio se realizará mediante los mismos procedimientos de firma y sellado de tiempo.

La FNMT guardará prueba firmada y con sello de tiempo de cada notificación practicada y pondrá dicha información a disposición del notificador, del notificado así como de las autoridades competentes de acuerdo a la legislación aplicable.

La FNMT, como prestador del servicio y a los únicos efectos de dar fe de lo acontecido, tendrá un acceso limitado a las notificaciones practicadas. Dicho acceso limitado no permitirá en ningún caso, a ningún empleado o colaborador externo de la FNMT, a titulo individual, el acceso a las notificaciones. El procedimiento de acceso se regulará en los procedimientos de seguridad internos y estará basado en un sistema de concurrencia de al menos 4 personas, con carácter ejecutivo dentro de la FNMT. Todo acceso será anotado en un libro de control de accesos donde se hará constar al menos, la fecha, la hora, el motivo justificado del acceso así como los intervinientes y su cualificación.

Práctica de notificaciones.-Una Entidad Cliente podrá solicitar el servicio de Notificación para enviar a los ciudadanos una información determinada, la cual quedará depositada en la dirección electrónica única (DEU) de estos. Esta notificación puede ser el envío de un fichero, de un texto o ambos (fichero y texto).

A continuación se presenta el flujo de datos correspondiente a esta operación:

El cliente solicita el servicio de Notificación enviando el mensaje requestNotification.

El servicio de Notificación realiza la autenticación y autorización de la solicitud.

Gestor Transaccional almacena el documento en la base de datos, quedando éste bajo custodia hasta la fecha de expiración de la custodia.

Gestor Transaccional genera y envía al cliente el mensaje de respuesta returnNotification.

Gestor Transaccional genera y envía el mensaje de correo electrónico con la notificación. Adicionalmente y de manera opcional puede mandar un mensaje a diversos destinatarios informando de que la notificación se ha llevado a cabo.

En caso que se informe el teléfono móvil de los ciudadanos y el flag de envío SMS esté marcado, a la vez de enviar el e-mail informando de la notificación, se enviará un SMS al teléfono móvil con la misma información (sin firmar).

El envío del e-mail informando de la recepción de la notificación, puede ser parametrizable para que se puedan llevar a cabo en periodos de baja actividad del Sistema (por ejemplo por la noche). En este caso, se dejará parametrizable la hora de inicio y fin del proceso de envío de estos e-mails con el aviso de las notificaciones.

También cabe la posibilidad de que este proceso se fuerce cuando se procese el servicio, pasando automáticamente al servidor de correo un lote con los destinatarios.

Descripción de las notificaciones.-Contenido del mensaje de petición de notificación requestNotification:

Identificador de Contrato.

Tipo de operación.

Nombre del documento (en caso que contenga documento).

Documento.

Lista con los destinatarios de e-recibo (e-mail).

Texto para la notificación (cuerpo del mensaje).

Indicador de número de días para considerar rechazada la notificación.

Flag para pedir acuse de recibo de notificación accedida.

Flag para envío SMS.

Lista con los NIF's de los ciudadanos a notificar.

E-mail's de los ciudadanos a notificar.

Teléfono móvil de los ciudadanos a notificar.

Certificado digital del cliente.

Firma digital del cliente sobre el mensaje.

Contenido del mensaje de respuesta returnNotification:

Información sobre el resultado de la petición y posibles causas del problema si éste aparece.

Firma digital del servicio de notificación de la FNMT-RCM.

Prestaciones adicionales del sistema:

Los organismos o empresas pueden enviar los mensajes en batch, de tal modo que no tienen que teclearlos, y en un formato que al menos debe tener: NIF destinatario, mensaje firmado en PKCS#7, id organismo o empresa enviante.

Internamente los mensajes se guardan cifrados incluso para el administrador de la base de datos mediante un sistema de criptografía simétrica (3DES).

El concepto de dirección electrónica no es el de cuenta de correo, sino que el servicio estará accesible en la URL (http://www.cert.fnmt.es/clase2/notificacionesmain.htm) a través de la opción <Acceso a su buzón de notificaciones>.

La autenticación de los destinatarios que acceden a coger el correo sea mediante SSL con certificado usuario de la FNMT-RCM.

Es parametrizable. Automáticamente a los x días de no recepción se puedan imprimir los mensajes que no se hayan leído.

El sistema de fechado digital que se emplea es el de la FNMT-RCM-CERES.

Dispone de un sistema de aviso mediante ficheros o consulta para que el organismo que envía pueda saber el estado de su envío.

Actualización tecnológica.-La FNMT someterá el servicio a la actualización tecnológica constante que permita que la disponibilidad del servicio y el acceso al mismo cumpla en todo momento los criterios técnicos iniciales así como aquellos que fruto de los avances tecnológicos o del desarrollo normativo, le sean de aplicación.

Dicha actualización se realizará, tratando de evitar en la medida de lo posible, el cambio en los procedimientos seguidos hasta la fecha de la actualización por los titulares.

La FNMT notificará a los titulares con 2 meses de antelación las actualizaciones que pudieran causar modificaciones en los procedimientos de acceso a la dirección o de consulta del contenido depositado.

Prácticas del servicio.-La declaración detallada de prácticas del servicio se publicará en la dirección electrónica de la FNMT y podrá ser variada sin previo aviso. La variación no limitará el servicio.

Servicio de Custodia de documentos electrónicos.

La Fábrica Nacional de Moneda y Timbre como prestador de servicios de custodia de documentos electrónicos dispone de un servicio regulado por la siguiente legislación:

Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado.

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

El servicio será conforme con los criterios recogidos en dicha legislación así como en el marco de los criterios de seguridad, normalización y conservación a los que se refiere el Real Decreto 263/1996, de 16 de febrero, a los requisitos de autenticidad, integridad, disponibilidad y confidencialidad de los dispositivos y aplicaciones de registro y notificación, así como los protocolos y criterios técnicos a los que deben sujetarse.

Dichos criterios de seguridad, normalización y conservación han sido objeto de informe favorable del Consejo Superior de Informática y para el impulso de la Administración Electrónica.

La custodia de las transacciones y documentos electrónicos es un factor importante en el desarrollo de las relaciones electrónicas entre partes ya que permiten dotar a las mismas de seguridad jurídica preventiva preconstituyendo tanto una prueba testimonial como documental de la realización de la transacción entre las partes.

Este sistema de custodia facilita la captura de cualquier transacción electrónica que se haya realizado en Internet proporcionando a la misma seguridad jurídica, esto es, garantizando que ninguna de las partes puede alterar a futuro el contenido de lo acordado.

Asimismo, como usuario informático en muchos momentos se hace necesario disponer de un almacenamiento de ficheros, formularios etc. que quede fuera de los avatares a los que nuestro propio PC pueda verse sometido, esto es, contar con un archivo seguro y remoto.

Descripción del servicio.-El servicio de custodia de documentos electrónicos es un servicio, cuyo acceso se realizará mediante identificación por procedimientos de firma electrónica. El servicio provee a los clientes de un sistema de depósito de documentos electrónicos realizado por un tercero capaz de dar fe de la existencia y contenido del documento.

Acceso al servicio.-El servicio será accesible a través de Internet por el cliente siempre que esté dado de alta en el sistema y esté en posesión de un certificado de verificación de firma electrónica emitido por la Fábrica Nacional de Moneda y Timbre, válido y no revocado así como de su correspondiente clave privada, lo que le permitirá identificarse mediante el uso de firma electrónica.

Las especificaciones de los certificados de verificación de firma electrónica son las que se recogen en el Capítulo I de este mismo anexo y están basadas en un certificado reconocido según la recomendación UIT-T X.509, de 31 de marzo de 2000 o superiores (ISO/IEC 9594-8 de 2001) de acuerdo con lo previsto en la legislación de firma electrónica.

El acceso a los servicios contará con las debidas medidas de confidencialidad de modo que solo los clientes o quienes estos designen sean capaces de almacenar documentos electrónicos y tener acceso a ellos. Dichas medidas de confidencialidad podrán al menos cifrar la información mediante el uso de alguno de los protocolos de comunicación estándares SSL, TLS, AES o similares, con una clave simétrica de intercambio de datos de al menos 128 bits mediante el uso de los algoritmos de cifrado más habituales.

La solicitud de acceso a los servicios se realizará por medios electrónicos y mediante firma electrónica. La FNMT guardará la firma generada así como la prueba sellada de tiempo que permita confirmar la identidad del cliente así como su solicitud y el momento de la realización. De igual manera, la solicitud de baja en el servicio se realizará mediante los mismos procedimientos de firma y sellado de tiempo.

La FNMT custodiará el documento durante el tiempo acordado y dará prueba firmada de su existencia al depositante, a quien el depositante designe así como de las autoridades competentes de acuerdo a la legislación aplicable.

La FNMT, como prestador del servicio y a los únicos efectos de dar fe de lo acontecido, tendrá un acceso limitado a los documentos. Dicho acceso limitado no permitirá en ningún caso, a ningún empleado o colaborador externo de la FNMT, a titulo individual, el acceso a los documentos. El procedimiento de acceso se regulará en los procedimientos de seguridad internos y estará basado en un sistema de concurrencia de al menos 4 personas, con carácter ejecutivo dentro de la FNMT. Todo acceso será anotado en un libro de control de accesos donde se hará constar al menos, la fecha, la hora, el motivo justificado del acceso así como los intervinientes y su cualificación.

Deposito de documentos.-Una Entidad Cliente podrá solicitar el depósito de documentos electrónicos que se realizará en las instalaciones al efecto de la FNMT. Dicho servicio podrá ser limitado en función del volumen de los documentos a depositar.

A continuación se presenta el flujo de datos correspondiente a esta operación.

El cliente solicita la custodia enviando el mensaje requestTime StampWithCustody.

El servicio de Custodia realiza la autenticación y autorización de la solicitud.

El Gestor Transaccional realiza una petición de fechado digital al módulo Servidor de Fechado Digital.

El Servidor de Fechado Digital genera un fechado digital estándar y lo almacena en la base de datos.

El Servidor de Fechado Digital envía el fechado al Gestor Transaccional.

Gestor Transaccional almacena el documento en la base de datos, quedando éste bajo custodia hasta la fecha de expiración de la custodia.

Gestor Transaccional genera y envía al cliente el mensaje de respuesta returnTimeStampWithCustody.

Gestor Transaccional genera y envía el mensaje de correo electrónico informativo sobre la operación realizada a todos los destinatarios especificados en el mensaje de solicitud (opcional).

Cuando se envía una petición de fechado al servidor de TSA, es obligatorio enviar el hash del documento. En el caso de solicitud de fechado, el servidor no dispone del documento, es por eso que el hash lo tiene que generar el Cliente, pero en el caso de custodia, el Cliente envía el documento a la aplicación por lo tanto se puede generar el hash en los servidores, quitando de esta forma carga de proceso a la aplicación Cliente.

Es por eso que para el caso de custodia, el mensaje que sale del API Cliente no incluye el hash del documento y será la aplicación de Custodia quien al recibir el mensaje generará el hash utilizando el documento contenido en el mensaje y construirá el mensaje completo para el servidor de fechado.

De igual forma que en el punto anterior, este fechado digital se tendrá que guardar automáticamente en una ruta de la máquina definida para tal efecto cambiando el nombre del token de manera adecuada para que sea fácil reconocerlo y poderlo asociar al documento original (nombre_del_documento_origen.fecha_de_la_petición.token.der).

Descripción de los mensajes.-Contenido del mensaje de petición de custodia de un documento requestTimeStampWithCustody:

Identificador de Contrato.

Tipo de operación.

Nombre del documento.

Huella digital del documento (hash del documento) calculado en el Cliente.

Campo libre.

Documento cifrado con la clave simétrica.

Clave simétrica cifrada con la clave pública.

Lista con los destinatarios de e-recibo.

Tipo de identificador para cada destinatario.

Identificación para cada componente de la lista con los destinatarios de e-recibo.

Certificado digital del cliente.

Firma digital del cliente sobre el mensaje.

Contenido del mensaje de respuesta returnTimeStampWithCustody:

Información sobre el resultado de la petición y posibles causas del problema si éste aparece.

Fechado digital.

Referencia de custodia.

Firma digital del mensaje.

Recuperación de un documento en custodia.-Un documento bajo custodia podrá ser consultado o recuperado posteriormente por parte del cliente que lo entregó en custodia.

El cliente solicita la recuperación de un documento en custodia enviando el mensaje getDocument.

El servicio de custodia realiza la autenticación y autorización de la solicitud.

El Gestor Transaccional obtiene de la base de datos el fechado digital y el documento custodiado.

El Gestor Transaccional verifica si el fechado digital recibido en el mensaje de solicitud getDocument corresponde al documento y el fechado digital recuperado de la base de datos de Custodia. Esta verificación consta de las siguientes fases:

Verificación la firma digital del fechado digital recibido.

Validación del fechado digital con el documento recuperado de la base de datos.

Validación que la fecha de expiración de la custodia no haya sido superada.

En caso de una verificación correcta el Gestor Transaccional descifra el documento custodiado.

Gestor Transaccional genera y envía al cliente el mensaje de respuesta returnDocument.

Descripción de los mensajes.-Contenido del mensaje de petición de recuperación de documento bajo custodia getDocument:

Identificador de Contrato.

Tipo de operación.

Fechado digital.

Certificado digital del cliente.

Firma digital del cliente.

Contenido del mensaje de respuesta de petición de recuperación del documento returnDocument:

Información sobre el resultado de la petición y posibles causas del problema si éste aparece.

Nombre del documento.

El documento bajo custodia cifrado con la clave simétrica.

Clave simétrica cifrada con la clave pública del cliente.

Fechado digital.

Firma digital del mensaje.

Actualización tecnológica.-La FNMT someterá el servicio a la actualización tecnológica constante que permita que la disponibilidad del servicio y el acceso al mismo cumpla en todo momento los criterios técnicos iniciales así como aquellos que fruto de los avances tecnológicos o del desarrollo normativo, le sean de aplicación.

Dicha actualización se realizará, tratando de evitar en la medida de lo posible, el cambio en los procedimientos seguidos hasta la fecha de la actualización por los titulares.

La FNMT notificará a los titulares con 2 meses de antelación las actualizaciones que pudieran causar modificaciones en los procedimientos de acceso a la dirección o de consulta del contenido depositado.

Prácticas del servicio

La declaración detallada de prácticas del servicio se publicará en la dirección electrónica de la FNMT y podrá ser variada sin previo aviso. La variación no limitará el servicio.

Servicio de dirección electrónica.-La Fábrica Nacional de Moneda y Timbre como prestador de servicios de dirección electrónica pondrá a disposición de todo usuario que lo solicite una dirección en Internet que permitirá a su titular recibir las notificaciones reguladas por la siguiente legislación:

Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social.

Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos.

Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la disposición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos.

El servicio será conforme con los criterios recogidos en dicha legislación así como en el marco de los criterios de seguridad, normalización y conservación a los que se refiere el Real Decreto 263/1996, de 16 de febrero, a los requisitos de autenticidad, integridad, disponibilidad y confidencialidad de los dispositivos y aplicaciones de registro y notificación, así como los protocolos y criterios técnicos a los que deben sujetarse.

Dichos criterios de seguridad, normalización y conservación han sido objeto de informe favorable del Consejo Superior de Informática y para el impulso de la Administración Electrónica.

Acceso a la dirección electrónica.-La dirección electrónica será accesible a través de Internet por el titular siempre que esté en posesión de un certificado de verificación de firma electrónica emitido por la Fábrica Nacional de Moneda y Timbre, válido y no revocado así como de su correspondiente clave privada, lo que le permitirá identificarse mediante el uso de firma electrónica.

Las especificaciones de los certificados de verificación de firma electrónica son las que se recogen en el Capítulo I de este mismo anexo y están basadas en un certificado reconocido según la Recomendación UIT-T X.509, de 31 de marzo de 2000 o superiores (ISO/IEC 9594-8 de 2001) de acuerdo con lo previsto en la legislación de firma electrónica.

El acceso a los servicios contará con las debidas medidas de confidencialidad de modo que solo el titular sea capaz de ver la información disponible en su dirección electrónica. Dichas medidas de confidencialidad podrán al menos cifrar la información mediante el uso de alguno de los protocolos de comunicación estándares SSL, TLS, AES o similares, con una clave simétrica de intercambio de datos de al menos 128 bits mediante el uso de los algoritmos de cifrado más habituales.

La solicitud de acceso a los servicios se realizará por medios electrónicos y mediante firma electrónica. La FNMT guardará la firma generada así como la prueba sellada de tiempo que permita confirmar la identidad del solicitante así como su solicitud y el momento de la realización. De igual manera, la solicitud de baja en el servicio se realizará mediante los mismos procedimientos de firma y sellado de tiempo.

Las especificaciones del servicio de sellado de tiempo son las que se recogen en este mismo anexo y están basadas en las especificaciones del estándar RFC3161 -«Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP).

La FNMT guardará prueba firmada y con sello de tiempo de cada acceso realizado a la dirección electrónica y pondrá dicha información a disposición de su titular así como a disposición de las entidades notificadoras así como de las autoridades competentes de acuerdo a la legislación aplicable.

La FNMT, como prestador del servicio y a los únicos efectos de dar fe de lo acontecido, tendrá un acceso limitado a los contenidos de la dirección electrónica. Dicho acceso limitado no permitirá en ningún caso, a ningún empleado o colaborador externo de la FNMT, a titulo individual, el acceso a la dirección electrónica. El procedimiento de acceso a la dirección electrónica se regulará en los procedimientos de seguridad internos y estará basado en un sistema de concurrencia de al menos 4 personas, con carácter ejecutivo dentro de la FNMT. Todo acceso será anotado en un libro de control de accesos donde se hará constar al menos, la fecha, la hora, el motivo justificado del acceso así como los intervinientes y su cualificación.

El titular podrá acceder a su dirección electrónica al menos, mediante el uso de los navegadores web que cumpla la especificación W3C HTML.4.01 o superior u otros medios generalmente aceptados. En el caso de que fuese necesaria la instalación de algún programa de ordenador específico, distinto a los mencionados, para el acceso a la dirección electrónica, éste será suministrado gratuitamente por la FNMT mediante descarga desde su dirección en Internet.

Contenido de la dirección electrónica.-La FNMT pondrá las medidas electrónicas, informáticas y telemáticas que permitan salvaguardar el contenido de la dirección electrónica, así como evitar su eliminación o manipulación por entidades ajenas al servicio.

La FNMT pondrá las medidas de protección generalmente aceptadas para la protección del contenido de la dirección electrónica frente a código dañino, virus, etc. y las mantendrá debidamente actualizadas para evitar, en la medida de lo posible, los daños causados por este tipo de actuaciones.

La FNMT solicitará identificación previa mediante firma electrónica a cualquier entidad que desee depositar información de cualquier tipo en la dirección electrónica. Dicha información permitirá en caso de necesidad, identificar y suspender el acceso a la entidad que haga uso incorrecto de la dirección electrónica.

La FNMT avisará electrónicamente al titular de la dirección electrónica de que se ha introducido información en la misma. Dicho aviso se realizará mediante el envío de correo electrónico, mensajería SMS u otros medios generalmente aceptados, que el titular haya declarado como válidos.

El acceso a los contenidos de la dirección electrónica deberá ser realizado previa firma electrónica cuando el depositario del contenido así lo requiera. En este caso, la FNMT guardará prueba del acceso al contenido con las mismas características explicadas para el acceso a la dirección electrónica.

El contenido estará disponible para su titular, al menos, el tiempo que el depositario de la información haya definido. El titular podrá acceder y descargar la información durante ese tiempo sin limite. Pasado ese plazo la FNMT se reserva el derecho a almacenar dicha información en soportes electrónicos que no estén disponibles en línea.

Actualización tecnológica.-La FNMT someterá el servicio a la actualización tecnológica constante que permita que la disponibilidad del servicio y el acceso al mismo cumpla en todo momento los criterios técnicos iniciales así como aquellos que fruto de los avances tecnológicos o del desarrollo normativo, le sean de aplicación.

Dicha actualización se realizará, tratando de evitar en la medida de lo posible, el cambio en los procedimientos seguidos hasta la fecha de la actualización por los titulares.

La FNMT notificará a los titulares con 2 meses de antelación las actualizaciones que pudieran causar modificaciones en los procedimientos de acceso a la dirección o de consulta del contenido depositado.

Precio del servicio.-El servicio de dirección electrónica será inicialmente, gratuito para sus titulares, ya sean estos particulares o empresas. La modificación de las presentes condiciones será comunicada a sus titulares, al menos con 12 meses de antelación a su entrada en vigor.

Prácticas del servicio.-La declaración detallada de prácticas del servicio se publicará en la dirección electrónica de la FNMT y podrá ser variada sin previo aviso. La variación no limitará el servicio.

Servicio de fechado digital.-El fechado digital es un método para probar que un conjunto de datos (datum) existió antes de un momento dado y además que ningún bit de estos datos ha sido modificado desde entonces.

Además, el fechado digital proporciona un valor añadido a la utilización de firma digital ya que ésta por sí sola no proporciona ninguna información acerca del momento de creación de la firma. Los certificados digitales utilizados por el algoritmo de la firma digital tienen un periodo de validez y por lo tanto, la firma sin el fechado digital, pasada la validez del certificado, siempre puede ser repudiada.

Para asociar los datos con un específico momento de tiempo es necesario utilizar una Autoridad de Fechado (TSA-Time Stamp Authority) como tercera parte de confianza. La definición del servicio del Fechado Digital está basada en las especificaciones del estándar RFC3161 -«Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)». A continuación se describen brevemente algunos de los puntos del mencionado estándar que tienen mayor impacto en la definición de la solución final del servicio.

Estándares aplicables:

Se sigue la norma IETF-PKIX RFC-3161 y la correspondiente norma ISO 18014-2, en la cual la FNMT-RCM ha participado como elaboradores de la misma.

El estándar RFC3161 define entre otros, el formato de la solicitud de un fechado digital y de la respuesta generada por la TSA. También establece los diferentes requerimientos de seguridad que debería cumplir una TSA.

Uno de estos requerimientos, es que todos los fechados digitales generados por la TSA deberían estar firmados digitalmente por ella con la clave privada de un certificado digital válido emitido especialmente para este propósito.

Por otro lado el mencionado estándar especifica que los fechados digitales (tokens) generados por la TSA no pueden incluir ninguna identificación del cliente que ha solicitado la operación. Como consecuencia, no es necesario que los mensajes de solicitud de fechado digital que recibe la TSA contengan algún tipo de autenticación del cliente.

En casos especiales, la TSA necesita autentificar la procedencia de las solicitudes, el mencionado estándar recomienda para ello utilizar algún método alternativo, no especificado en RFC3161. El protocolo de fechado digital de la FNMT-RCM hace uso de autenticación basada en firma según Cryptographic Message Sintax (RFC 2630).

El estándar enumera diferentes mecanismos de transporte para mensajes de TSA. Ninguno de estos métodos es mandatario; todos ellos son opcionales e incluso se contempla la posibilidad de soportar en un futuro nuevos mecanismos. Los mecanismos que se especifican el documento RFC3161 son:

Protocolo utilizando correo electrónico.

Protocolo basado en la utilización de FTP.

Protocolo basado en sockets utilizando el puerto IP 318.

Protocolo vía http.

También hay que recalcar que el estándar solamente define la operación de solicitud de fechado digital y de la respuesta correspondiente, dejando otros tipos de operaciones, como por ejemplo la validación del fechado, sin ninguna especificación, aunque se deba realizar la implementación de este tipo de operaciones.

La aplicación de Notificación y la aplicación de custodia hacen uso del protocolo basado en sockets utilizando el puerto 318. Los mensajes de servicio tienen la siguiente estructura:

Mensaje Longitud - Bytes Tag Datos
Petición. Xxxx 0x01 Codificación DER de la estructura ASN.1 TimeStampReq encapsulada en una estructura ASN.1 CMSSigned Data (ver RFC 2630).
Respuesta. Yyyy 0x02 Codificación DER de la estructura ASN.1 TimeStampResp.
El estándar RFC 2630 define el formato usado para la encapsulación de datos firmados, cifrados, resumidos o para la autenticación de mensajes arbitrarios. La RFC 2630 deriva del PKCS#7 versión 1.5 (RFC 2315).

Dentro de la iniciativa EESSI se ha recogido la anterior normativa a través de la ETSI TS 101 861, según se ha estractado en el presente texto.

Fuente de tiempo.-Las fuentes de tiempo utilizadas por la Autoridad de Fechado Digital son receptores GPS que reúnen las siguientes características:

Recibe una referencia temporal con una precisión menor de un (1) microsegundo.

Distribuye la referencia temporal a la Autoridad de Fechado Digital con una precisión de entre uno (1) y diez (10) milisegundos.

La sincronización de la fecha y la hora del servicio se realizará con el Real Instituto y Observatorio de la Armada, de conformidad con lo previsto sobre la hora legal en el Real Decreto 1308/1992, de 23 de octubre, por el que se declara el Laboratorio del Real Instituto y Observatorio de la Armada como laboratorio depositario del patrón Nacional de Tiempo y laboratorio asociado al Centro Español de Metrología, y según las condiciones técnicas y protocolos que el citado Organismo establezca.

Actualización tecnológica.-La FNMT someterá el servicio a la actualización tecnológica constante que permita que la disponibilidad del servicio y el acceso al mismo cumpla en todo momento los criterios técnicos iniciales así como aquellos que fruto de los avances tecnológicos o del desarrollo normativo, le sean de aplicación.

Dicha actualización se realizará, tratando de evitar en la medida de lo posible, el cambio en los procedimientos seguidos hasta la fecha de la actualización por los titulares.

La FNMT notificará a los titulares con 2 meses de antelación las actualizaciones que pudieran causar modificaciones en los procedimientos de acceso a la dirección o de consulta del contenido depositado.

Toolkit de fechado digital.-Librerías y documentación paquetizadas puestas a disposición de los clientes para desarrollar un esquema de fechado digital en conjunción con la Autoridad de Fechado Digital de la FNMT-RCM, así como servicios de implantación a través de partners.

Practicas del servicio.-La declaración detallada de prácticas del servicio se encuentra publicada en la dirección electrónica de la FNMT y podrá ser variada sin previo aviso. La variación no limitará el servicio.

Servicio de Certificados de Atributos.-Tal como ya ha quedado dicho en el capítulo I del presente anexo, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM), como prestador de servicios de certificación, emitirá para todo aquel usuario que lo solicite un conjunto de certificados, denominado «Certificado Básico» o «Título de Usuario», que permite al Titular del mismo comunicarse con otros usuarios, de forma segura.

Se trata del certificado tradicional de clave pública que sirve para identificar a la persona física, es decir: nombre, apellidos, DNI, etc. Estos certificados tienen asociada la pareja de claves pública-privada y están firmados por una autoridad de certificación.

El formato de esos certificados se basa en el definido por la Unión Internacional de Telecomunicaciones, sector de normalización de las telecomunicaciones, en la Recomendación UIT-T X.509, de fecha junio del 97 o superiores (ISO/IEC 9594-8 de 1997). El formato será el correspondiente a la Versión 3 del certificado, especificado en esta norma y serán válidos para el uso con protocolos de comunicación estándares de mercado, tipo SSL, TLS, etc.

Por contra, los certificados de atributos no tienen asociada la pareja de claves pública-privada ni tienen que estar firmados por una autoridad de certificación. Es decir, que el emisor de certificados de atributos no tiene que ser necesariamente un prestador de servicios de certificación según se entiende en la Ley de Firma Electrónica o en la Directiva de Firma Electrónica.

Esto hace que sean muy útiles para permitir a las distintas entidades emitir sus propios certificados de atributos, para los usos que requieran, apoyándose en certificados de identidad del titular ya expedidos por una Autoridad de Certificación.

En comparación con lo anterior el certificado de atributos no sirve para acreditar una identidad, y ha de asociarse con un certificado básico o de identidad del titular para tal fin.

El formato de esos certificados se basa en el definido por la Unión Internacional de Telecomunicaciones, sector de normalización de las telecomunicaciones, en la Recomendación UIT-T X.509 v4, del año 2000 «El directorio: Infraestructuras de clave pública y certificado de atributos».

Operativa de obtención de los Certificados de Atributos.-El cliente final, por ejemplo un funcionario, desea obtener un certificado de atributos que le acredite como funcionario. Para ello se seguirían los siguientes pasos:

El cliente final se conectaría con el Departamento correspondiente del Ministerio de Justicia y realizaría una petición firmada con su certificado de identidad (por ejemplo el certificado de usuario de la FNMT-RCM).

El Departamento correspondiente comprobaría la validez de esta petición, es decir:

Comprobación del certificado de identidad mediante CRLs,

y si la persona en cuestión está realmente reconocida como funcionario (consulta de la base de datos del Departamento correspondiente).

Una vez hecha las comprobaciones, el Departamento correspondiente del Ministerio de Justicia se conectaría a la Autoridad de Certificación de Atributos, en adelante ACA, (estableciendo un canal SSL con el servidor donde está instalada la ACA) y mandaría una petición firmada de emisión del certificado para esta persona. (La FNMT-RCM además de actuar como infraestructura de clave pública proporciona, en régimen de hosting, las distintas autoridades de certificación de atributos (ACA) y se encarga de mantener la publicación y facilitar el acceso a estos certificados).

La ACA contestaría emitiendo este certificado de atributos, publicándolo en un directorio específico y entregándolo al propio funcionario (notificar la disponibilidad para su descarga) y notificando lo ocurrido con este certificado (éxito en la emisión o notificación de la causa de la no emisión).

Todas las operaciones y comunicaciones se establecen vía web mediante la oportuna securización de los distintos procedimientos, según se ha descrito.

Es potestad y responsabilidad de la ACA el desarrollo e implantación de las correspondientes aplicaciones en su servidor que permitan llevar a cabo todos estos procedimientos, tanto la solicitud como posterior descarga de los atributos, de forma totalmente telemática y sin presencia física presencial del funcionario, en el supuesto inicial de que éste posea un certificado de identidad, con anterioridad a la petición de la inclusión de algún atributo en el mismo.

Operativa de uso y revocación de los certificados con atributos.-Si un ciudadano es suscriptor de un certificado con atributos, a él le compete la custodia y buen uso del mismo en todos los ámbitos administrativos de conformidad con la normativa específica. El certificado de atributos irá ligado al certificado básico o de identidad para poder firmar (el certificado de atributos no contiene datos de creación de firma).

La Autoridad de Certificación de Atributos podrá establecer y publicar unas prácticas de certificación que, en concordancia con su política de certificación, recojan los procedimientos a seguir por sus funcionarios, tanto para la solicitud de la inclusión de atributos en los certificados de identificación como para la revocación de los mismos.

La FNMT-RCM se responsabilizará del alojamiento de la Autoridad Certificadora y de su funcionamiento técnico, y de llevar a cabo las actuaciones técnicas necesarias que permitan la emisión, almacenamiento de incidencias y revocación en tiempo de los certificados según las prácticas que la propia Autoridad Certificadora de Atributos determine, previo consenso con la FNMT-RCM para determinar su viabilidad.

OCSP Responder:

El servidor de OCSP (OCSP responder) comprueba la firma de la petición OCSP efectuada por un cliente OCSP registrado en el sistema (base de datos de clientes de los cuales se admiten peticiones) y verifica los certificados incluidos en la misma (el usuario no es el cliente que firma). En caso de que la firma sea inválida (certificado revocado o caducado, por ejemplo), la petición se rechaza y se retorna al cliente una respuesta negativa. En la respuesta de OCSP se informará del estado en el que se encuentran los certificados en ese momento.

Para ilustrar la explicación:

Tenemos una empresa cliente, por ejemplo una gran superficie, que tiene un servidor en la que hay instalada una plataforma de compra de artículos.

Un ciudadano, un cliente, se conecta con el servidor y decide comprar un artículo.

Se le pide al ciudadano que se autentique y firme la petición de compra (con su certificado).

Antes de admitir esta petición de compra, el servidor de la gran superficie hace una petición OCSP a la FNMT-RCM.

El servidor de la FNMT-RCM (OCSP responder) responde si este certificado del ciudadano es válido o no (emite un comprobante de esta validación y lo firma en nombre de la FNMT-RCM para que quede constancia).

Sin embargo, antes de esto, el servidor OCSP de la FNMT-RCM consultará si el servidor de la gran superficie se ha identificado correctamente y esta identificación (certificado de servidor) está dada de alta como cliente en la base de datos de clientes OCSP autorizados a transaccionar. Si no es así, no se atiende la petición.

En caso de que se admita la petición, se comprobará por parte del servidor de la FNMT-RCM el estado del certificado del ciudadano y se le devolverá a la empresa cliente en la respuesta de OCSP.

OCSP cliente:

Herramienta cliente para hacer peticiones de OCSP. Se pueden utilizar los productos del mercado. La FNMT-RCM facilitará una relación con productos de libre distribución, pero en ningún caso suministrará OCSP cliente, pues se pueden encontrar con facilidad en el mercado de forma estándar.

OCSP toolkit:

Librerías y documentación que permiten al cliente instalar el servicio de OCSP en conjunción con el OCSP responder de la FNMT-RCM y un OCSP cliente, así como servicios de implantación a través de partners.

Nota sobre prestación de los servicios:

Los servicios contemplados en el presente Anexo I, que preste la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, se realizarán de conformidad con lo establecido en la legislación aplicable a los mismos y los acuerdos, convenios o contratos que suscriba la FNMT-RCM con las diferentes administraciones públicas o con personas o entidades privadas.

ANEXO II

Con expresión concreta de las Oficinas de Acreditación, su relación, su denominación, la dirección postal correspondiente, la dirección IP.

Se constituirá una oficina central de acreditación, en la siguiente dirección: División de Informática y Tecnologías de la Información. C/ San Bernardo, 45. 28015 Madrid.

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

Ver Anexo en PDF

ANEXO IV

Precios y plan de implantación

CAPÍTULO I

1. Precio anual de los servicios

Se establece un precio fijo, de veintisiete mil euros /año, (27.000,00 €/año) IVA incluido, cantidad que se incrementará a partir de la primera anualidad, aplicando la variación del IPC publicado en los doce meses anteriores de acuerdo con el índice aprobado por el I.N.E, tomando como referencia el del año de la firma del contrato.

2. Constitución de las oficinas de acreditación

Podrán implantarse cuantas oficinas de acreditación se estime conveniente por parte del Ministerio de Justicia que estarán abiertas a los grupos de usuarios que el Ministerio de Justicia autorice.

El precio establecido en el punto 1 anterior incluye, sin coste adicional, 3 oficinas de acreditación con 2 registradores autorizados cada una de ellas.

El precio para la constitución de oficinas de acreditación adicionales a la oficina central, se establece en:

32,75 euros por puesto de acreditación. Este precio incluye el software de acreditación.

41,06 euros cada persona encargada de acreditación autorizada. Este precio incluye la emisión de una tarjeta por cada persona y su formación en las instalaciones de la FNMT-RCM.

En el caso en que la formación se preste en las instalaciones del conviniente, a la tarifa anterior le serán añadidos los gastos derivados de la estancia fijados en 204,38 euros/día por persona, más los derivados del desplazamiento.

En el caso de que fuese personal de la FNMT-RCM quien se encargara del registro, sería necesario valorar los recursos necesarios, en función de los requerimientos del Organismo solicitante.

3. Soporte Técnico

El coste del soporte técnico realizado por parte de personal de la FNMT-RCM será de 122,64 euros/hora.

En el caso en que el soporte técnico se preste en las instalaciones del conviniente, a la tarifa anterior le serán añadidos los gastos derivados de la estancia fijados en 204,59 euros/día por persona, mas los derivados del desplazamiento y pernocta.

4. Réplica de Directorio

Se establece un precio de 20.539,66 €/año por la réplica diaria de las listas de certificados revocados desde la FNMT-RCM a las instalaciones del conviniente por redes públicas.

Este precio incluye la licencia de uso del directorio X.500 InJoin Directory Server de Critical Path en las propias instalaciones del cliente.

Este servicio no incluye la instalación ni el mantenimiento, que serán por cuenta del conviniente.

El directorio y su contenido no podrá ser cedido a terceros bajo ningún concepto, y deberá ser protegido contra todo acceso por entidades ajenas al conviniente, incluyendo el acceso de consulta.

5. Condiciones

Todas las cantidades anteriormente expuestas que supongan pagos fijos anuales se incrementarán a partir de la primera anualidad, aplicando la variación del IPC publicado en los doce meses anteriores, de acuerdo con el índice aprobado por el I.N.E., tomando como referencia el del año de la firma del Acuerdo de Encomienda de Gestión.

Todas las cantidades expuestas anteriormente en este capítulo I incluyen el IVA legalmente establecido