Este sistema constituye un servicio centralizado para las aplicaciones actuales y futuras y garantizará la verificación y control de la firma, así como la incorporación de multifirma y el control y custodia de documentos digitales.

 

ACREDITACIÓN DE USUARIOS

 

Acreditación de usuarios

La acreditación de usuarios supone la declaración de la voluntad, por parte de una persona, de solicitar a la FNMT-RCM la emisión, revocación o suspensión del “Certificado Básico” o “Título de Usuario”, emitido por la FNMT-RCM. Además, en este acto, el solicitante aportará los datos que le serán requeridos, y acreditará su identidad.

Esta acreditación podrá ser realizada por la propia FNMT-RCM o cualquier otra Administración pública. En ambos casos la acreditación se llevará a cabo según lo dispuesto por la FNMT-RCM, al objeto de que esta acreditación sea homogénea en todos los casos. De igual manera será la FNMT-RCM, quien defina y aporte los medios necesarios para la realización de esta acreditación.

En el caso de que la acreditación la realizara una Administración pública, distinta de la FNMT-RCM, la persona que se encargue de la actividad de acreditación ha de ser personal al servicio de la Administración pública. En estos casos la FNMT-RCM, dará soporte a la implantación de las distintas oficinas de acreditación que se establezcan, en los siguientes términos:

a) Aportación de la aplicación informática de acreditación

b) Aportación de la documentación relativa a la instalación y manejo de la aplicación, así como toda aquella referente a los procedimientos y normas sobre la acreditación.

c) Acreditación y formación de los encargados de las oficinas de acreditación, lo que supone la emisión de un certificado emitido por la FNMT-RCM para cada encargado de oficina de acreditación, que permita garantizar la seguridad de las comunicaciones con la FNMT-RCM, incluyendo la firma electrónica de las solicitudes de acreditación.

 

Solicitantes de certificados

Los solicitantes de certificados deberán estar en posesión del número de identificación fiscal (NIF) válido y vigente. Cuando el solicitante sea extranjero, y no posea el NIF, deberán estar en posesión del número de identificación de extranjeros (NIE).

 

Necesidad de presentarse en persona

La FNMT-RCM requiere presencia física del interesado para formalizar el procedimiento de acreditación. Para ello la persona que vaya a solicitar su inscripción en la oficina de acreditación, deberá presentarse en persona o portar el modelo de solicitud del anexo III con firma legitimada notarialmente, ante la oficina de acreditación autorizada y con la documentación requerida, con el fin de acreditar su identidad.

 

Necesidad de confirmar la identidad por la Oficina de Acreditación

La solicitud de inscripción deberá completarse con la presentación de la documentación necesaria de identificación ante una oficina de acreditación, la cual, a través del encargado de acreditación, verificará y confirmará que los documentos aportados cumplen todos los requerimientos para su identificación.

 

Necesidad de confirmar la identidad de los componentes por la FNMT-RCM

La Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda, una vez firmado el convenio requerirá si la solicitud del certificado fuera para descargarlo en un servidor u otro componente, la aportación de la documentación necesaria que le acredite como responsable de dicho componente, y en su caso la propiedad del nombre del dominio o dirección IP.

 

Incorporación de la dirección de correo electrónico del titular al certificado

La incorporación de la dirección de correo electrónico del titular al certificado, no es exigible, y solamente se hará en el caso de que el titular aporte dicha dirección en el momento de la acreditación.

Esta incorporación se realizará a los efectos de que el certificado pueda soportar el protocolo S/MIME en el caso de que la aplicación utilizada por el usuario así lo requiera.

Cuando la dirección del correo electrónico del titular del certificado conste en una de las extensiones del propio certificado, la FNMT–RCM, como firmante y responsable del mismo, no garantizará en ningún momento, que esta dirección esté vinculada con el titular del certificado, por lo que la confianza o no en que esta dirección sea la del titular del certificado dependerá del usuario que verifique la validez del certificado.

 

Obtención del “Certificado Básico” o “Título de usuario”

Para la obtención de este certificado, así como para su revocación o suspensión, el solicitante deberá observar las normas y procedimientos desarrollados a tal fin por la FNMT-RCM.

 

EMISIÓN, REVOCACIÓN Y ARCHIVO DE CERTIFICADOS DE CLAVE PÚBLICA

 

Emisión de los certificados

La emisión de certificados supone la generación de documentos electrónicos que acreditan la identidad u otras propiedades del usuario y su correspondencia con la clave pública asociada; así como su posterior envío al directorio de manera que sea accesible por todas las personas interesadas en hacer uso de sus claves públicas. La emisión de certificados por parte de la FNMT-RCM, sólo puede realizarla ella misma, no existiendo ninguna otra entidad u organismo con capacidad de emisión de estos certificados.

La FNMT–RCM, por medio de su firma electrónica, garantizará los certificados, así como la verificación de la identidad y cualesquiera otras circunstancias personales de sus titulares. Por otro lado, y con el fin de evitar la manipulación de la información contenida en los certificados, la FNMT-RCM utilizará mecanismos criptográficos para asegurar la autenticidad e integridad de dicho certificado.

La FNMT - RCM, una vez emitido el certificado, lo publicará y mantendrá en un servicio de acceso público telemático, universal, en línea y siempre disponible, a los certificados emitidos y durante todo el periodo de vida del mismo.

La FNMT-RCM garantiza para un certificado emitido:

a) Que el usuario dispone de la clave privada correspondiente a la clave publica del certificado, en el momento de su emisión.

b) Que la información incluida en el certificado se basa en la información

proporcionada por el usuario.

c) Que no omite hechos conocidos que puedan afectar a la fiabilidad del certificado

 

Aceptación de certificados

Para que un certificado sea publicado por la FNMT-RCM, ésta comprobará previamente:

a) Que el signatario es la persona identificada en el certificado

b) Que el signatario tiene un identificativo único

c) Que el signatario dispone de la clave privada

 

 

Al aceptar un certificado emitido, el titular acepta que:

a) La clave privada con la que se genera la firma electrónica corresponde a la clave pública del certificado.

b) Ninguna persona no autorizada tiene acceso a su clave privada

c) Toda la información entregada durante la acreditación por parte del titular es exacta

d) El certificado será usado exclusivamente para fines legales y autorizados, y de acuerdo  con lo establecido por la FNMT-RCM.

e) El usuario final del certificado no es una Autoridad de Certificación, y no utilizará su clave privada asociada a la clave pública que aparece en el certificado para firmar otros certificados(u otros formatos de certificados de clave pública), o listados de certificados, como una Autoridad de Certificación o de otra manera.

 

Al aceptar un certificado, el titular asume el deber, sobre su clave privada:

a) A conservar su control

b) A tomar las precauciones suficientes para prevenir su pérdida, revelación, modificación o uso no autorizado.

La FNMT-RCM considerará válido un certificado si una vez aceptado por el usuario y publicado, no recibe de éste ninguna comunicación de revocación del mismo.

Al aceptar el certificado, el titular reconoce estar de acuerdo con los términos y condiciones contenidas en la normativa existente al efecto y lo suscrito en el contrato.

 

 

Revocación y suspensión de certificados electrónicos

1.- La Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, dejará sin  efecto los certificados electrónicos otorgados a los usuarios cuando concurra alguna de las siguientes circunstancias:

a) Solicitud de revocación del usuario.

b) Resolución judicial o administrativa que lo ordene.

c) Fallecimiento del usuario o incapacidad sobrevenida.

d) Finalización del plazo de vigencia del certificado.

e) Solicitud de renovación por pérdida o inutilización por daños en el soporte del certificado.

f) Utilización indebida por un tercero.

g) Inexactitudes graves en los datos aportados por el usuario para la obtención del certificado.

2.- La extinción de la eficacia de un certificado producirá efectos desde la fecha en que la Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda tuviera conocimiento fehaciente de cualquiera de los hechos determinantes de la extinción previstos en el apartado anterior. En el supuesto de expiración del período de validez del certificado, la extinción surtirá efectos desde que termine el plazo de validez.

 

3.- La Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda podrá suspender temporalmente la eficacia de los certificados si así lo solicita el usuario o lo ordena una autoridad judicial o administrativa, o cuando existan dudas razonables, por parte de cualquier usuario público, sobre la vigencia de los datos declarados y su verificación requiera la presencia física del interesado. En este caso, la Dirección de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda podrá requerir, de forma motivada, su comparecencia ante una Oficina de Acreditación al efecto de la práctica de las comprobaciones que procedan. El incumplimiento de este requerimiento podrá dar lugar a la revocación del certificado.

 

4.- La extinción de la condición de usuario público se regirá por lo dispuesto en

el correspondiente convenio o lo que se determine, en su caso, por resolución

judicial o administrativa.

 

 

PUBLICACIÓN DE CERTIFICADOS DE CLAVE PÚBLICA Y LISTAS DE REVOCACIÓN

Publicación de certificados de clave pública

Una vez aceptado un certificado por parte del usuario, la FNMT-RCM publicará éste certificado emitido, en un directorio seguro.

Cuando el certificado sea revocado, temporal o definitivamente, este será publicado en las Listas de Revocación, al menos hasta un año después de su fecha de caducidad.

 

Esta publicación puede ser:

a) Publicación directa por parte de la FNMT-RCM.- Esta operación la realiza la FNMT-RCM a través de la publicación en un directorio propio enque ofrece acceso a:

· Los certificados emitidos.

· Listas de certificados revocados

La actualización en el directorio seguro de los certificados se hará de la siguiente forma:

· Los certificados emitidos, una vez la FNMT-RCM tenga constancia que el certificado emitido ha sido aceptado por el titular del certificado.

· Los certificados revocados temporal o definitivamente, en el momento de producirse la revocación. La actualización en el directorio seguro de las listas de revocación se realizará diariamente de forma incremental, y semanalmente por renovación de los listados.

La consulta de este directorio se realizará on-line, por acceso directo del usuario. Este servicio permite la disponibilidad continua y la integridad de la información almacenada en el directorio.

Tanto los certificados como las listas de revocación van firmadas con la clave privada de firma de la FNMT-RCM.

 

b) Publicación en directorios externos.- La FNMT-RCM puede publicar externamente, en directorios públicos ofrecidos por otras entidades u Organismos, mediante replicación periódica u on-line, tanto certificados como listas de certificados revocados temporal o definitivamente. Estas listas, al igual que las publicadas internamente, irán firmadas con la clave de firma de la FNMT-RCM.

Frecuencia de la publicación en directorios externos La publicación en directorios externos a la FNMT-RCM podrá ser realizada periódicamente o de forma on-line, en función de los requerimientos de la entidad u Organismo que ofrezca el directorio.

 

Control de acceso

En la publicación directa por parte de la FNMT-RCM, el acceso al directorio se realizará en función del tipo de usuario, de forma que:

a) Los órganos de la Administración General del Estado, así como los organismos públicos vinculados o dependientes de ella, tendrán acceso a todos los certificados sin ninguna restricción en cuanto a la información contenida en el directorio. El acceso se realizará con autenticación previa. Este acceso estará restringido a sólo lectura y búsqueda, pudiendo utilizar como clave de búsqueda cualquier información contenida en una entrada de un

usuario.

b) Las Comunidades Autónomas, las entidades locales y las entidades de Derecho público vinculadas a ellas, tendrán igualmente acceso a todos loscertificados sin ninguna restricción en cuanto a la información contenida en el directorio. El acceso se realizará con autenticación previa. Este acceso estará restringido a sólo lectura y búsqueda, pudiendo utilizar como clave de búsqueda cualquier información contenida en una entrada de un usuario.

c) Los operadores y administradores de la infraestructura y los módulos internos, tendrán acceso a toda la información existente en el directorio, pudiendo realizar todo tipo de operaciones en función del perfil definido  previamente por el Plan de Seguridad Interal. Este acceso se realizará con autenticación previa.

d) El resto de los usuarios, tendrán el acceso restringido a su propio certificado, y a los de los órganos de la Administración General del Estado, y organismos públicos vinculados o dependientes de ella, y a los de las Comunidades Autónomas, las entidades locales y las entidades de Derecho público vinculadas a ellas. El acceso será solamente de lectura, no pudiendo realizar operaciones para añadir, borrar, modificar o hacer listados de entrada en el directorio. En cuanto a las listas de revocación, tanto las publicadas interna como externamente, el acceso será público y universal, para verificar este hecho.

 

 

REGISTRO DE EVENTOS SIGNIFICATIVOS

 

Tipos de eventos registrados

La FNMT-RCM registrará todos aquellos eventos relacionados con sus servicios que puedan ser relevantes con el fin de verificar que todos los procedimientos internos necesarios para el desarrollo de la actividad se desarrollan de acuerdo a la normativa legal aplicable y a lo establecido en el Plan de Seguridad Interna, y permitan detectar las causas de una anomalía detectada. Todos los eventos registrados son susceptibles de auditarse, bien por medio de una auditoría interna o externa. Frecuencia y periodo de archivo de un registro de un evento La frecuencia de realización de las operaciones de registro dependerá de la importancia y características de los eventos registrados (bien sea para salvaguardar la seguridad del sistema o de los procedimientos), garantizando siempre la conservación de todos los datos relevantes para la verificación del correcto funcionamiento de los servicios. El periodo de archivado de los datos correspondientes a cada registro dependerá asimismo de la importancia de los eventos registrados.

 

Archivo de un registro de eventos

La FNMT-RCM realizará una grabación segura y constante de todos los eventos relevantes desde el punto de vista de la seguridad y auditoría (operaciones realizadas) que vaya realizando, con el fin de reducir los riesgos de vulneración, mitigar cualquier daño que se produjera por una violación de la seguridad y detectar posibles ataques a la seguridad de la misma. Este archivo está provisto de un alto nivel de integridad, confidencialidad y disponibilidad para evitar intentos de manipulación de los certificados y eventos almacenados.

La FNMT-RCM mantendrá archivados todos los eventos registrados más importantes, manteniendo su accesibilidad, durante un periodo nunca inferior a 15 años.

En el caso del archivo histórico de los certificados, éstos permanecerán archivados durante al menos 15 años.

Datos relevantes que serán registrados

a) La emisión y revocación y demás eventos relevantes relacionados con

los certificados.

b) Todas las operaciones referentes a la firma de los certificados por la

FNMT-RCM.

c) Las firmas y demás eventos relevantes relacionados con las Listas de

Certificados Revocados.

d) Todas las operaciones de acceso al archivo de certificados.

e) Eventos relevantes de la generación de claves.

f) Todas las operaciones del servicio de archivo de claves y del acceso al

archivo de claves propias expiradas.

g) Todas las operaciones relacionadas con la recuperación de claves.

 

Las funciones de administración y operación de los sistemas de archivado y auditoría de eventos serán siempre encomendadas a personal especializado y de confianza de la FNMT-RCM.

 

Protección de un registro de actividad

Una vez registrada la actividad de los sistemas, los registros no podrán ser modificados, ni borrados, permaneciendo archivados en las condiciones originales durante el periodo señalado.

Este registro tendrá sólo acceso de lectura, estando restringido a las personas autorizadas por la FNMT-RCM.

La grabación del registro, con el fin de que no pueda ser manipulado ningún dato por nadie, se realizará automáticamente por un software específico que a tal efecto la FNMT-RCM estime oportuno. El registro auditado, además de las medidas de seguridad establecidas en su grabación y posterior verificación, estará protegido de cualquier contingencia, modificación, pérdida y revelación de sus datos, durante su grabación en soportes externos, cambio de este soporte y almacenamiento de los mismos.

La FNMT-RCM garantiza la existencia de copias de seguridad de todos los registros auditados.