Referencia:
CP2_ACA_006.0
Fecha:
02/03/2009
Estado del documento:
Publicado
Consejo General de la
Abogacía Española
P
OLÍTICAS DE
C
ERTIFICACIÓN
(CP)
DE LA
A
UTORIDAD DE
C
ERTIFICACIÓN DE LA
A
BOGACÍA
CP2_ACA_006.0
C
ERTIFICADOS
C
ORPORATIVOS
R
ECONOCIDOS DE
P
ERSONAL
A
DMINISTRATIVO
(
VERSIÓN
006.0)
El presente documento no puede ser reproducido, dis
tribuido, comunicado públicamente, archivado o
introducido en un sistema de recuperación de inform ación, o transmitido, en cualquier forma y por cual quier
medio (electrónico, mecánico, fotográfico, grabació
n o cualquier otro), total o parcialmente, sin el p
revio
consentimiento por escrito del Consejo General de la Abogacía Española.
Las solicitudes para la reproducción del documento o la obtención de copias del mismo deben dirigirse a:
Administración ACABOGACÍA
Consejo General de la Abogacía Española
Paseo de Recoletos, 13
28004 Madrid
Control del Cambios
Fecha Versión Cambios
27/03/2003 CP002_ACA_001.0 Versión inicial
02/03/2004 CP002_ACA_001.1 Corrección erratas.
26/10/2004 CP2_ACA_002.0 Revisión general. Modifica
ciones para mejor adecuación a lo
dispuesto en la Ley 59/2003 de Firma Electrónica y mayor
claridad para suscriptores y usuarios.
13/03/2006 CP2_ACA_003.0 Actualización nuevo certif
icado raíz
13/03/2006 CP2_ACA_003.0 Revisión general
13/07/2006 CP2_ACA_004.0 Inclusión de OID para refe
renciar a la CPS de aplicación
30/10/2006 CP1_ACA_005.0 Modificación perfil del ce
rtificado
02/03/2009 CP2_ACA_006.0 Se incluye el fax como con
tacto
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 3 de 37
Índice de Contenido
1.
Introducción _______________________________________ _____________________ 5
1.1.
Vista General ______________________________________ ________________________ 5
1.2.
Identificación _____________________________________ _________________________ 6
1.3.
Comunidad y Ámbito de Aplicación. ___________________________________________ 6
1.4.
Datos de contacto ___________________________________________________________ 6
2.
Cláusulas Generales ______________________________________________________ 6
2.1.
Obligaciones _______________________________________ ________________________ 6
2.2.
Responsabilidad ____________________________________________________________ 6
2.3.
Responsabilidad financiera ___________________________________________________ 6
2.4.
Interpretación y ejecución____________________________________________________ 6
2.5.
Tarifas ____________________________________________________________________ 6
2.6.
Publicación y Registro de Certificados _____________ ____________________________ 6
2.7.
Auditorias _________________________________________________________________ 6
2.8.
Confidencialidad Protección de Datos Personales ____ ____________________________ 6
2.9.
Derechos de propiedad intelectual __________________ ___________________________ 6
3.
Identificación y Autenticación ______________________________________________ 6
3.1.
Registro inicial ___________________________________ __________________________ 6
3.2.
Renovación de certificados _________________________ __________________________ 6
3.3.
Reemisión después de una revocación ________________ __________________________ 6
3.4.
Solicitud de revocación ____________________________ __________________________ 6
4.
Requerimientos Operacionales _______________________
______________________ 6
4.1.
Solicitud de certificados______________________________________________________ 6
4.2.
Emisión de certificados ____________________________ __________________________ 6
4.3.
Aceptación de certificados____________________________________________________ 6
4.4.
Suspensión y Revocación de certificados________________________________________ 6
4.5.
Procedimientos de Control de Seguridad _____________ __________________________ 6
5.
Controles de Seguridad Física, Procedimental y de Personal _____________________ 6
6.
Controles de Seguridad Técnica _____________________
_______________________ 6
6.1.
Generación e instalación del par de claves _________ _____________________________ 6
6.2.
Protección de la clave privada _____________________ ___________________________ 6
6.3.
Estándares para los módulos criptográficos _________ ____________________________ 6
6.4.
Ciclo de vida de los dispositivos criptográficos___________________________________ 6
6.5.
Controles de seguridad _____________________________ _________________________ 6
6.6.
Controles de ingeniería de los módulos criptográficos ____________________________ 6
7.
Perfiles de Certificado ____________________________ ________________________ 6
7.1.
Perfil de Certificado_________________________________________________________ 6
7.2.
Perfil de CRL ______________________________________ ________________________ 6
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 4 de 37
8.
Especificación de la administración ________________ _________________________ 6
8.1.
Autoridad de las políticas _________________________ ___________________________ 6
8.2.
Procedimientos de especificación de cambios ________ ____________________________ 6
8.3.
Publicación y copia de la política _________________ _____________________________ 6
8.4.
Procedimientos de aprobación de la Política ________
____________________________ 6
ANEXO 1: Información técnica _________________________________________________ 6
Dispositivos del suscriptor ___________________________________________________________ 6
Creación y verificación de firmas __________________ ___________________________________ 6
Anexo 2: ACRONIMOS _________________________________ ______________________ 6
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 5 de 37
1. Introducción
1.1.
Vista General
El Consejo General de la Abogacía Española (CGAE) es el órgano r
epresentativo,
coordinador y ejecutivo superior de los Ilustres Colegios de Abogados de España y tiene, a
todos los efectos, la condición de corporación de derecho público, con p
ersonalidad
jurídica propia y plena capacidad para el cumplimiento de sus fines.
El presente documento especifica la Política de Certificación
del Certificado digital
denominado “Certificado Corporativo Reconocido de Personal Administr
ativo” o
simplemente “Certificado de Personal Administrativo” emitido por
la autoridad de
certificación del Consejo General de la Abogacía Española, o AC Abogacía.
El Consejo General de la Abogacía Española, como entidad reg
uladora de la abogacía, ha
establecido un sistema propio de certificación con el objeto de expe
dir certificados para
diversos usos y diferentes usuarios finales. Por este motivo, se
establecen tipos de
certificados. Los certificados son expedidos a entidades finale
s, incluyendo colegiados,
personal administrativo y de servicio, organizaciones y personas fí
sicas que representan a
dichas organizaciones, por Prestadores de Certificación Acreditados.
Esta Política de Certificación está en conformidad con las di
sposiciones legales que rigen
el asunto de Firma Electrónica en la Comunidad Europea (Directiv
a 1999/93/CE) y en
España (Ley 59/2003 de 19 de Diciembre, de Firma Electrónica), cumplie
ndo todos los
requisitos técnicos y de seguridad exigidos para emisión de Certifi
cados Reconocidos y
está basada en la especificación del estándar RCF 2527 –
Internet X. 509 Public Key
Infrastructure: Certificate Policy and Certification Practices Framework
.
La CPS de la Autoridad de Certificación de la Abogacía que establ
ece los términos
concretos del servicio prestado se puede encontrar en
http://www.acabogacia.org/doc
En lo que se refiere al contenido de esta CP, se considera que e
l lector conoce los
conceptos básicos de PKI, certificación y firma digital, rec
omendando que, en caso de
desconocimiento de dichos conceptos, el lector se informe a este respecto.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 6 de 37
1.2.
Identificación
Nombre:
CP2_ACA_006.0
O.I.D.
1.3.6.1.4.1.16533.10.3.1
Descripción:
Políticas de certificación (CP) de la Autoridad de
Certificación de la Abogacía: certificados corporativos
reconocidos de Personal Administrativo
Versión:
006.0
Fecha de Emisión:
02/03/2009
Localización:
www.acabogacia.org/doc
CPS relacionada
O.I.D.
1.3.6.1.4.1.16533.10.1.1
Descripción:
Declaración de Prácticas de Certificación de la Autoridad
de Certificación de la Abogacía
Localización
:
www.acabogacia.org/doc
1.3.
Comunidad y Ámbito de Aplicación.
1.3.1
Autoridad de Certificación (AC).
Es la entidad responsable de la emisión, y gestión de los certifi cados digitales. Actúa como
tercera parte de confianza, entre el Suscriptor y el Usuario,
en las relaciones electrónicas,
vinculando una determinada clave pública con una persona (Suscriptor) rel
acionada a un
Colegio Profesional concreto a través de la emisión de un Certificado.
La información relativa a la AC puede encontrarse en la direc
ción web
www.acabogacia.org
1.3.2
Autoridad de Registro (AR)
Ente que actúa conforme esta Política de Certificación y, e
n su caso, mediante acuerdo
suscrito con la AC, cuyas funciones son la gestión de las solici
tudes, identificación y
registro de los solicitantes del Certificado y aquellas que s
e dispongan en las Prácticas de
Certificación concretas.
A los efectos de la presente Política, las AR’s son las siguientes entidades:
a) El Consejo General de la Abogacía Española (CGAE)
b) Los Consejos Autonómicos de la Abogacía
c) Los Colegios de Abogados
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 7 de 37
1.3.3
Prestador de servicios de certificación (PSC)
Entendemos bajo la presente política a un PSC como aquella entida
d que presta servicios
concretos relativos al ciclo de vida de los certificados.
Las funciones de PSC pueden ser desempeñadas directamente por l a AC o por una entidad
delegada.
1.3.4
Suscriptor
Bajo esta Política el Suscriptor es una persona física, vincula do a un Colegio de Abogados
de España o Consejo de Colegios en base a un contrato mercantil o la boral con el mismo o
de instituciones vinculadas, poseedor de un dispositivo seguro de creaci
ón de firma
asociada a un “Certificado Reconocido de Personal Administrativo”
alojado en un
dispositivo seguro de creación de firma. El suscriptor recibe ta
mbién el nombre de
“Firmante”, según se define el art. 6 de la Ley 59/2003
1.3.5
Usuario
En esta Política se entiende por Usuario, tercera parte conf
iante, la persona que
voluntariamente confía en el Certificado, en virtud de la confia nza depositada en la AC, lo
utiliza como medio de acreditación de la autenticidad e integri
dad del documento firmado
y en consecuencia se sujeta a lo dispuesto en esta Política,
en las CPS aplicables y la
legislación vigente, por lo que no se requerirá acuerdo posterior alguno.
1.3.6
Solicitante
A los efectos de esta política el solicitante es la instit ución, persona jurídica que solicita el
certificado reconocido de Personal Administrativo.
1.3.7
Ámbito de Aplicación y Usos
El Certificado emitido bajo la presente Política, permite ident ificar a una persona física en
el ámbito de su actividad y vinculación a un Colegio de Abogados o Consej
o de Colegios
de Abogados o instituciones vinculadas. Los certificados de Personal
Administrativo
podrán usarse en los términos establecidos por las prácticas de c
ertificación
correspondientes.
Además de las simples comunicaciones electrónicas, se autoriz
a su utilización para
transacciones comerciales, económicas y financieras, en medi
o digital, siempre que
basados en el estándar RCF 3647 (X. 509), y que no excedan el valor máx
imo definido en
la CPS, que nunca podrá ser inferior a lo dispuesto en esta política.
El Certificado emitido bajo esta Política puede ser utilizado con los siguientes propósitos:
-
Identificación del firmante y su vinculación con la institución
: El Suscriptor del
Certificado puede autenticar, frente a otra parte, su identidad
y su vinculación a la
institución, demostrando la asociación de su clave privada con la
respectiva clave
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 8 de 37
pública, contenida en el Certificado. El suscriptor podrá identifi
carse válidamente
ante cualquier persona mediante la firma de un e-mail o cualquier otro fichero.
-
Integridad del documento firmado
: La utilización de este Certificado garantiza que
el documento firmado es integro, es decir, garantiza que el document
o no fue
alterado o modificado después de firmado por el Suscriptor. Se cert
ifica que el
mensaje recibido por el Usuario es el mismo que fue emitido por el Suscriptor
-
No repudio de origen
: Con el uso de este Certificado también se garantiza que l
a
persona que firma el documento no puede repudiarlo, es decir, el S
uscriptor que ha
firmado no puede negar la autoría o la integridad del mismo.
-
A pesar de ser posible su utilización para la encriptación de datos, no se recomienda
la misma debido a que, no es posible la recuperación de los datos en
criptados en
caso de pérdida de la clave privada por parte del Suscriptor. El
Suscriptor o el
Usuario lo harán, en todo caso, bajo su propia responsabilidad.
Los Certificados de Personal Administrativo no identifican ni vinc
ulan frente a terceros a
la entidad mercantil que conste en los mismos sino a la persona f
ísica y no presuponen
ningún tipo de apoderamiento de la persona física (Suscriptor) respecto
de la persona
jurídica (Solicitante).
Los certificados descritos en esta política son certificados r
econocidos de acuerdo con lo
establecido en el art. 11 de la Ley 59/2003. Corresponden a certificados reconocidos (en su
caso con dispositivo seguro de creación de firma electrónica), expedi
dos al público, de
acuerdo con la norma técnica TS 101 456 v1.2.1, del Instituto Europeo
de Normas de
Telecomunicaciones.
Los certificados de Personal Administrativo deben emplearse ne
cesariamente con un
dispositivo seguro de creación de firma electrónica, que cumpla l os requisitos establecidos
por el art. 24 de la Ley 59/2003 y esta política. Garantizan la i dentidad del suscriptor y del
poseedor de la clave privada de firma, resultando idóneos para ofr
ecer soporte a la firma
electrónica reconocida; esto es, la firma electrónica avanzada
que se basa en certificado
reconocido y que ha sido generada empleando un dispositivo seguro, por lo qu
e, de
acuerdo con el art. 3 de la Ley 59/2003, se equipara a la firma
manuscrita por efecto legal,
sin necesidad de cumplir requisito adicional alguno.
1.3.7.1
Límites y prohibiciones de uso de los certificados
Bajo la presente Política no se permite el uso que sea contrari
o a la normativa española y
comunitaria, a los convenios internacionales ratificados por el es
tado español, a las
costumbres, a la moral y al orden público. Tampoco se permite la utilización distinta de lo
establecido en esta Política y en la Declaración de Practicas de Certificación.
Los certificados no se han diseñado, no se pueden destinar y no se autor
iza su uso o
reventa como equipos de control de situaciones peligrosas o para usos
que requieren
actuaciones a prueba de fallos, como el funcionamiento de instal
aciones nucleares,
sistemas de navegación o comunicaciones aéreas, o sistemas de
control de armamento,
donde un fallo pudiera directamente conllevar la muerte, lesiones
personales o daños
medioambientales severos.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 9 de 37
No están autorizadas las alteraciones en los Certificados, que deberán utilizarse tal y como
son suministrados por la AC.
La AC no crea, almacena ni posee en ningún momento la clave priva
da del suscriptor, no
siendo posible recuperar los datos cifrados con la correspondiente clav e pública en caso de
pérdida o inutilización de la clave privada o del dispositivo que l
a custodia por parte del
Suscriptor.
El Suscriptor o el Usuario que decida cifrar información lo hará e
n todo caso bajo su
propia y única responsabilidad, sin que, en consecuencia, la AC
tenga responsabilidad
alguna en el caso de encriptación de información usando las claves asociadas al certificado
1.4.
Datos de contacto
Organización responsable:
Autoridad de certificación de la Abogacía.
Consejo General de la Abogacía Española
Persona de contacto:
Administrador AC Abogacía
Departamento de Operaciones
E-mail:
info@acabogacia.org
Teléfono:
Tel. 902 41 11 41
Fax
915327836
Dirección:
Consejo General de la Abogacía Española
Paseo de Recoletos, 13
28004 Madrid
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 10 de 37
2. Cláusulas Generales
2.1.
Obligaciones
2.1.1
AC
La AC se obliga según lo dispuesto en las Prácticas de Certif icación así como lo dispuesto
en la normativa sobre prestación de servicios de Certificaci
ón y la Ley 59/2003, donde
sean aplicables
2.1.2
AR
Las Autoridades de Registro son delegadas por la CA para realiz
ar esta labor, por lo tanto
la AR también se obliga en los términos definidos en las Prácti
cas de Certificación para la
emisión de certificados.
2.1.3
Solicitante
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
2.1.4
Suscriptor
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
2.1.5
Usuario
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
2.1.6
Registro de Certificados
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
2.2.
Responsabilidad
El Consejo General de la Abogacía Española, en su actividad de Prestador de Servicios de
Certificación como AC responderá de acuerdo con el régimen de r
esponsabilidad que
establece la Ley 59/2003, de Firma Electrónica y el resto de la legislación aplicable.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 11 de 37
En esta misma línea, la AC responderá según lo dispuesto en la D
eclaración de Prácticas
de Certificación (CPS). Consulte http://www.acabogacia.org/doc
2.2.1
Exoneración de responsabilidad
La relación entre la AC y las AR se regirá por su especial relación contractual. La AC y las
AR’s se exonerarán de su responsabilidad en los términos estable
cidos en la CPS y las
políticas de certificación. En particular, la AC y las AR ’s no serán responsables en ningún
caso cuando se encuentre ante cualquiera de estas circunstancias:
1.
Estado de Guerra, desastres naturales o cualquier otro caso de fuerza mayor.
2.
Por el uso de los certificados siempre y cuando exceda de lo dispu
esto en la
normativa vigente y la presente CPS, en particular por la uti
lización de un
certificado suspendido o revocado, o por depositar la confianza en él
sin verificar
previamente el estado del mismo.
3.
Por el uso indebido o fraudulento de los certificados o CRL’s (Lista de Certificados
Revocados) emitidos por la Autoridad de Certificación.
4.
Por el uso indebido de la información contenida en el Certificado o en la CRL.
5.
Por el incumplimiento de las obligaciones establecidas para e
l Suscriptor o
Usuarios en la normativa vigente, la presente CPS o en la Polí
tica de Certificación
correspondiente.
6.
Por el contenido de los mensajes o documentos firmados.
7.
Por la no recuperación de documentos cifrados con la clave pública del Suscriptor.
8.
Fraude en la documentación presentada por el solicitante
2.2.2
Límite de responsabilidad en caso de pérdidas por transacciones
La AC limita su responsabilidad según lo dispuesto en la Declara
ción de Prácticas de
Certificación (CPS). Consulte http://www.acabogacia.org/doc
2.3.
Responsabilidad financiera
La AC, en su actividad como prestador de servicios de Certifica
ción dispone de recursos
económicos suficientes para afrontar el riesgo de la responsabili dad por daños y perjuicios
ante los usuarios de sus servicios y a terceros, garantizando
sus responsabilidades en su
actividad de PSC tal como se define en la legislación española vigente.
La garantía citada se establece mediante un Seguro de Responsabi
lidad Civil con una
cobertura igual o superior a 3.000.000
€
.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 12 de 37
2.4.
Interpretación y ejecución
2.4.1
Legislación
La ejecución, interpretación, modificación o validez de la pres ente Política se regirá por lo
dispuesto en la legislación española vigente.
2.4.2
Independencia
La invalidez de una de las cláusulas contenidas en esta Polític
a no afectará al resto del
documento. En tal caso se tendrá la mencionada cláusula por no puesta.
2.4.3
Notificación
Cualquier notificación referente a la presente Política se re
alizará por correo electrónico o
mediante correo certificado dirigido a cualquiera de las direcciones referidas en el apartado
datos de contacto.
2.4.4
Procedimiento de resolución de disputas
Toda controversia o conflicto que se derive del presente documento,
se resolverá
definitivamente, mediante el arbitraje de derecho de un árbitro,
en el marco de la Corte
Española de Arbitraje, de conformidad con su Reglamento y Estatuto,
a la que se
encomienda la administración del arbitraje y la designación del
árbitro o tribunal arbitral.
Las partes hacen constar su compromiso de cumplir el laudo que se dicte.
2.5.
Tarifas
2.5.1
Tarifas de emisión de certificados y renovación
Los precios de los servicios de certificación o cualquier otro se
rvicio relacionado estarán
disponibles para los usuarios en las diferentes Autoridades de Registro.
2.5.2
Tarifas de acceso a los certificados
El acceso a los certificados emitidos será gratuito, no obsta
nte, la AC podrá imponer
alguna tarifa para los casos de descarga masiva de certif
icados o cualquier otra
circunstancia que a juicio de la AC deba ser gravada, en cuyo
caso se publicarán dichas
tarifas en la página web de la AC.
2.5.3
Tarifas de acceso a la información relativa al esta do de los certificados o
los certificados revocados
La AC proveerá de un acceso a la información relativa al e
stado de los certificados o de
los certificados revocados gratuito, por medio de la publicación de l a CRL. No obstante, la
AC podrá imponer alguna tarifa para otros medios de comprobación de
l estado de los
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 13 de 37
certificados o cualquier otra circunstancia que a juicio de la AC deba ser gravada, en cuyo
caso se publicarán dichas tarifas en la página web de la AC.
2.5.4
Tarifas por otros servicios
Las tarifas aplicables a otros servicios se publicarán en la página web de la AC.
2.5.5
Política de reintegros
Sin estipulación.
2.6.
Publicación y Registro de Certificados
2.6.1
Publicación de información de la AC
2.6.1.1
Políticas y Prácticas de Certificación
La presente Política de Certificación y sus distintas versi
ones estarán disponibles
públicamente en el sitio de Internet
http://www.acabogacia.org/doc
2.6.1.2
Términos y condiciones
AC Abogacía pondrá a disposición de los Suscriptores y Usuarios los té
rminos y
condiciones del servicio en el sitio de Internet
http://www.acabogacia.org/doc
2.6.1.3
Difusión de los certificados
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
2.6.2
Frecuencia de publicación
AC Abogacía publicará de forma inmediata cualquier modificación en
las políticas y
practicas de certificación, manteniendo un histórico de versiones.
AC Abogacía publicará los certificados en el Registro de Cer
tificados inmediatamente
después de haber sido emitidos.
Ordinariamente la AC publicará una lista de certificados revoca
dos de oficio con una
periodicidad de 24 horas. AC Abogacía publicará de forma extraordinaria
una nueva lista
de revocación en el momento en que tramita una petición de suspensión
o revocación
autenticada.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 14 de 37
2.6.3
Controles de acceso
AC Abogacía empleará diversos sistemas para la publicación y distribución de certificados
y CRL’s. Se necesitará tener unos datos de acceso para realizar consultas múltiples.
En la web de AC Abogacía existirán accesos al directorio p
ara la consulta de CRL y
Certificados bajo el control de una aplicación y protegiendo la de
scarga indiscriminada de
información.
Las CRL’s podrán descargarse de forma anónima mediante protocolo http.
2.7.
Auditorias
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
2.8.
Confidencialidad Protección de Datos Personales
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
2.8.1
Tipo de información a mantener confidencial
La AC considerará confidencial toda la información que no esté ca
talogada expresamente
como pública. No se difunde información declarada como confidencial
sin el
consentimiento expreso por escrito de la entidad u organización que
le haya otorgado el
carácter de confidencialidad, a no ser que exista una imposición legal.
2.8.2
Tipo de información considerada no confidencial
La siguiente información será considerada no confidencial:
-
La contenida en la presente Política y en las Prácticas de Certificación.
-
La información contenida en los certificados, puesto que para su emi
sión el
suscriptor otorga previamente su consentimiento, incluyendo de manera
no
exhaustiva:
Los certificados emitidos o en trámite de emisión.
La vinculación del suscriptor a un certificado emitido por el Pres
tador de
Servicios de Certificación.
El nombre y los apellidos del suscriptor del certificado, en caso
de
certificados individuales, así como cualquier otra circunstancia
o dato
personal del titular, en el supuesto de que sea significativa e
n función de la
finalidad del certificado.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 15 de 37
La dirección de correo electrónico del suscriptor del certificado
, en caso de
certificados individuales, o del poseedor de claves, en caso de c
ertificados
de colectivo, o la dirección de correo electrónico asignada por el s uscriptor,
en caso de certificados para dispositivos.
Los usos y límites económicos reseñados en el certificado.
El periodo de validez del certificado, así como la fecha de
emisión del
certificado y la fecha de caducidad.
El número de serie del certificado.
Los diferentes estados o situaciones del certificado y la fecha
del inicio de
cada uno de ellos, en concreto: pendiente de generación y/o entrega, válido,
revocado, suspendido o caducado y el motivo que provocó el cambio de
estado.
-
Las listas de revocación de certificados (CRL’s), así como l
as restantes
informaciones de estado de revocación.
-
La información contenida en los depósitos de certificados.
- Cualquier información cuya publicidad sea impuesta normativamente.
2.8.3
Divulgación de información de revocación / suspensión de certificados
Se difundirá la información relativa a la suspensión o revocaci
ón de un certificado
mediante la publicación periódica de las correspondientes CRLs. L
os detalles del servicio
se regirán por lo dispuesto en la Declaración de Prácticas de Certificación (CPS).
2.8.4
Envío a la Autoridad Competente
Se proporcionará la información solicitada por la autoridad compet
ente en los casos y
forma establecidos legalmente.
2.9.
Derechos de propiedad intelectual
La propiedad intelectual de estas Políticas pertenece al CGAE. La AC será la única entidad
que gozará de los derechos de propiedad intelectual sobre los certificados que emita.
La AC concederá licencia no exclusiva para reproducir y distribui
r certificados, sin coste
alguno, siempre y cuando la reproducción sea íntegra y no altere
elemento alguno del
certificado, y sea necesaria en relación con firmas digital
es y/o sistemas de cifrado dentro
del ámbito de aplicación de esta política, y de acuerdo con el cor
respondiente instrumento
vinculante entre el AC Abogacía y la parte que reproduzca y/o distribuya el certificado.
Las anteriores reglas figurarán en los instrumentos vinculantes
entre la AC y los
suscriptores y los terceros que confían en certificados.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 16 de 37
3. Identificación y Autenticación
3.1.
Registro inicial
3.1.1
Tipos de nombres
Todos los certificados requieren un nombre distintivo (DN o distinguis
hed name)
conforme al estándar X.501.
El DN de los certificados Corporativos contendrá como mínimo los el ementos que se citan
con el formato siguiente. Todos los valores de los componentes serán a
utenticados por la
Autoridad de Registro:
-
Un componente Nombre (Common Name) –CN
-
Un componente E-mail –E
-
Un componente Organización –O
-
Un componente Unidad en la Organización –OU
-
Un componente Título-T
-
Un componente de ubicación geográfica -ST
-
Un componente Estado (Country)-C
-
Un componente Número de Serie –serialNumber
-
Un componente Nombre de Pila (Given name )- G
-
Un componente Apellido 1 “Surname” – SN
-
Un componente Apellido 2 con OID 1.3.6.1.4.1.16533.30.1
Certificados de Personal Administrativo
-
El valor autenticado del componente Nombre (Common Name) –CN contendrá
el
nombre (Nombre y Apellidos) y numero de NIF o NIE del suscriptor.
-
El valor autenticado del componente E-mail –E contendrá la dire
cción de correo
electrónico del suscriptor
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 17 de 37
-
El valor autenticado del componente Organización –O contendrá el nombre
de la
institución con la cual el suscriptor mantiene la vinculación,
es decir el Colegio o
Consejo de Abogados, y una referencia al código identificativo de la AR
-
El valor autenticado del componente Unidad en la Organización –OU cont
endrá el
Departamento o Unidad al que pertenezca el suscriptor
-
El valor autenticado del componente Título-T contendrá el cargo, t
itulo o rol del
suscriptor en la organización
-
El valor autenticado del componente de ubicación geográfica -ST
contendrá la
población donde se encuentre la sede principal de la RA.
-
El valor autenticado del componente Estado (Country)-C contendrá “ES”
-
El valor autenticado del componente Número de Serie –serialNumbe
r contendrá el
NIF o NIE del suscriptor.Adicionalmente, se incluirá un componente
CIF de la
Organización, representado por el siguiente OID ( 1.3.6.1.4.1.
4710.1.3.2 ), que
contendrá el CIF correspondiente a la institución vinculada al suscriptor.
-
El valor autenticado del componente Nombre de Pila (Given name )-
G contendrá el
nombre de pila del Suscriptor
-
El valor autenticado del componente Apellido 1 “Surname” –SN cont
endrá el primer
apellido del Suscriptor
-
El valor autenticado del componente con OID 1.3.6.1.4.1.16533.30.1
contendrá el
segundo apellido del Suscriptor
3.1.2
Pseudónimos
Los certificados corporativos de Personal Administrativo no admit
en seudónimos.
Tampoco se pueden emplear seudónimos para identificar a una organización.
3.1.3
Reglas utilizadas para interpretar varios formatos de nombres
Se atiende en todo caso a lo marcado por el estándar X.500 de refer
encia en la ISO/IEC
9594.
3.1.4
Unicidad de los nombres
Los nombres distinguidos de los certificados emitidos serán únicos para cada suscriptor. La
AC deberá realizar los esfuerzos que razonablemente estén a su a
lcance para confirmar la
unicidad de los nombres de los certificados emitidos. El atributo de
l e-mail y/o el NIF se
usarán para distinguir entre dos identidades cuando exista algún problema sobre duplicidad
de nombres.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 18 de 37
3.1.5
Procedimiento de resolución de disputas de nombres
Los solicitantes de certificados no incluirán nombres en las soli citudes que puedan suponer
infracción, por el futuro suscriptor, de derechos de terceros.
La AC no tiene responsabilidad en el caso de resolución de disputas
de nombres. El
Prestador de Servicios de Certificación no deberá determinar que
un solicitante de
certificados tiene derecho sobre el nombre que aparece en una s
olicitud de certificado.
Asimismo, no actuará como árbitro o mediador, ni de ningún otro modo debe
rá resolver
disputa alguna concerniente a la propiedad de nombres de personas u organiz
aciones,
nombres de dominio, marcas o nombres comerciales.
El Prestador de Servicios de Certificación se reserva el
derecho de rechazar una solicitud
de certificado debido a conflicto de nombres.
La asignación de nombres se realizará basándose en su orden de entrada.
3.1.6
Reconocimiento, autenticación y función de las marcas registradas
La AC no asumirá compromisos en la emisión de certificados res
pecto al uso por los
suscriptores de una marca comercial. No se permitirá deliberadamente el uso de un nombre
cuyo derecho de uso no sea propiedad del suscriptor. Sin embargo la AC
no está obligada
a buscar evidencias de la posesión de marcas registradas antes
de la emisión de los
certificados.
3.1.7
Métodos de prueba de la posesión de la clave privada
La clave privada será generada por el suscriptor y permanece
rá en todo momento en
posesión exclusiva del mismo.
El método de prueba de la posesión de la clave privada por el suscriptor será PKCS#10.
3.1.8
Autenticación de la identidad de un individuo
Para realizar una correcta verificación de la identidad de
l suscriptor de certificados
personales, se exigirá la personación física del suscriptor ante
la AR y la presentación del
Documento Nacional de Identidad, el pasaporte español o Tarjeta de
Extranjero ante un
operador o personal debidamente autorizado de la Autoridad de Registro.
Adicionalmente, la AR requerirá la justificación de la autor
ización de la Organización
solicitante respecto de la persona física (Suscriptor).
La AR verificará con sus propias fuentes de información el
resto de datos y atributos a
incluir en el certificado (nombre distinguido del certificado), debi
endo guardar la
documentación acreditativa de la validez de aquellos datos que no
puede comprobar por
medio de sus propias fuentes de datos.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 19 de 37
Lo dispuesto en los párrafos anteriores podrá no ser exigible en ce
rtificados emitidos con
posterioridad a la entrada en vigor de la Ley 59/2003 de Firma Electr
ónica, en los
siguientes casos:
a) Cuando la identidad u otras circunstancias permanentes de los soli
citantes de los
certificados constaran ya a la AR en virtud de una relación pre
existente, en la que, para la
identificación del interesado, se hubieran empleado los medios seña
lados en el párrafo
primero y el período de tiempo transcurrido desde la identificación es menor de cinco años.
b) Cuando para solicitar un certificado se utilice otro para c
uya expedición se hubiera
identificado al firmante en la forma prescrita en el párrafo primero y le conste a la AR que
el período de tiempo transcurrido desde la identificación es menor de cinco años.
3.1.9
Autenticación de la identidad de una organización
Para realizar una correcta verificación de la identidad de una organización para la emisión
de certificados Personal Administrativo, se justificará adec
uadamente ante la Entidad de
Registro, salvo que sea el propio Colegio o Consejo la Organización Solicitante:
-
La acreditación por un medio fehaciente de la existencia de la ent
idad conforme a
Derecho.
-
La identidad de la persona física representante de la organiz
ación para la solicitud,
según lo expuesto en el punto 3.1.8
-
La vinculación de la Organización solicitante con respecto a la
AR, certificada por
un representante autorizado de la AR
3.1.10
Requerimientos aplicables a las AR’s externas
Cuando la AC emplee AR’s externas deberá asegurar los siguientes aspectos:
-
Que existe un contrato en vigor entre la AC y la AR, concreta
ndo los aspectos
concretos de la delegación y las responsabilidades de cada agente.
-
Que la identidad de la AR y de los operadores de la AR ha sido corre
ctamente
comprobada y validada.
-
Que los operadores de la AR han recibido formación suficiente para el
desempeño
de sus funciones.
-
Que la AR asume todas las obligaciones y responsabilidades relativas al desempeño
de sus funciones.
-
Que la comunicación entre la AR y la AC, se realiza de form
a segura mediante el
uso de certificados digitales.
3.2.
Renovación de certificados
La renovación de certificados consistirá en la emisión de un nuevo ce rtificado al suscriptor
a la fecha de caducidad del certificado original. Antes de re
novar un certificado, la AR
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 20 de 37
deberá comprobar que la información empleada para verificar la ide
ntidad y los restantes
datos del suscriptor continúan siendo válidos.
Si cualquier información del suscriptor hubiere cambiado, se regi
strará adecuadamente la
nueva información.
3.3.
Reemisión después de una revocación
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
3.4.
Solicitud de revocación
Pueden solicitar la suspensión o revocación de un certificado:
-
El propio suscriptor, en cuyo caso deberá facilitar la clave de revocación que se
le entregó junto con el certificado, o deberá identificarse a
nte la AR según lo
establecido en el apartado correspondiente.
-
Los operadores autorizados de la AR del suscriptor.
-
Los operadores autorizados de la AC o de la jerarquía de certificación.
En cualquiera de los dos últimos casos deberán concurrir las cir
cunstancias que se
establecen en el apartado establecido por la CPS, y se proce derá en la forma allí descrita a
realizar y tramitar las solicitudes de revocación.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 21 de 37
4. Requerimientos Operacionales
4.1.
Solicitud de certificados
Las AR’s gestionan las solicitudes de Certificados de Colegiado y Certificados de Personal
Administrativo.
La solicitud de un certificado digital podrá realizarse de las siguientes formas:
•
On Line: El solicitante accediendo a la página web
http://www.acabogacia.org
en el
apartado de Solicitud On-line, podrá solicitar a su Autoridad de Regis
tro la
realización de un certificado digital, el sistema enviara
un correo electrónico a los
Operadores autorizados de la AR, comunicando esta solicitud. La AR
comunica al
solicitante la disponibilidad para realizar el proceso de registro
•
Personándose en su Colegio de Abogados ante un operador debidamente
autorizado:
Antes de iniciar el proceso de emisión, la AR informa al solicitante del proceso de emisión,
las responsabilidades y las condiciones de uso del certificado y del
dispositivo, así como
verifica la identidad del solicitante, y los datos a incluir en el certificado.
Si la verificación es correcta se procede a la firma del instrumento jurídico vinculante entre
el solicitante y la AC – AR, convirtiéndose el solicitante en suscriptor.
La AR le hace entrega (si no dispone de él) de un kit conteniendo el
dispositivo
criptográfico de soporte de la clave privada y los dispositivos de acceso a el, si los hubiera
Si el dispositivo no hubiere sido previamente inicializado, el sus
criptor inicializa en la
propia AR y ante el operador el dispositivo criptográfico. Durante e
l proceso de
inicialización se generan los datos de activación del dispositiv
o y de acceso a la clave
privada que contendrá. El suscriptor generará los datos de activac
ión, o si la inicialización
se produce en una entidad externa, le serán entregados mediante un pr oceso que asegure la
confidencialidad de los mismos ante terceros. La inicializac
ión del dispositivo elimina
totalmente cualquier información previa contenida en el mismo.
A continuación, el suscriptor genera el par de claves y un CSR
en su dispositivo
criptográfico, enviando por un canal seguro la clave publica junto con los datos verificados
a la AC en formato PKCS10 u otro equivalente. La generación del
par de claves exigirá la
introducción correcta de los datos de activación del dispositivo, y
la introducción de un
código de identificación del dispositivo que lo relaciona con el suscr
iptor autorizado a
utilizarlo.
4.2.
Emisión de certificados
El proceso seguido para la emisión de certificados es el siguiente:
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 22 de 37
-
La AR recibe la petición de emisión del certificado.
-
El operador de la AR verifica nuevamente el contenido del mismo
y si la
verificación es correcta lo valida y tramita la aprobación de
la emisión para la
AC, mediante la firma digital de la petición con su certificado de operador. Si la
petición no es correcta, el operador deniega la petición.
-
La AR envía por un canal seguro la petición a la AC para la e
misión del
correspondiente certificado.
-
La AC emite el certificado, si la petición recibida no contie
ne errores técnicos,
en el formato o contenido de la misma, vinculando de forma segura el
certificado con la información de registro, incluyendo la cla
ve pública
certificada, en un sistema que utiliza protección contra falsif icación y mantiene
la confidencialidad de los datos intercambiados.
-
El certificado generado es enviado de forma segura a la AR. Pa ra proceder a su
descarga en el Dispositivo Criptográfico en presencia del Suscriptor.
-
La AC notifica al suscriptor la emisión del mismo.
-
El certificado generado es enviado de forma segura al Registr o de Certificados,
que lo pone a disposición de los usuarios. Aceptación de certificados
Con la entrega de la tarjeta Colegial el suscriptor acepta
su certificado en el dispositivo
criptográfico que custodia la clave privada.
4.3.
Aceptación de certificados
Se considerará que un suscriptor acepta su certificado cuando descarga su certificado en el
dispositivo criptográfico que custodia la clave privada, mediante
el acceso al sistema de
descarga de certificados de la AC-AR y efectúa los pasos té
cnicos que el sistema provee
para la descarga.
Sin perjuicio de lo indicado en el párrafo anterior, el suscriptor
dispondrá de un periodo
máximo de siete días naturales para notificar a la AR cua
lquier defecto en los datos del
certificado, o en la publicación de los datos del mismo en el Registro de Certificados.
4.4.
Suspensión y Revocación de certificados
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
4.5.
Procedimientos de Control de Seguridad
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 23 de 37
5. Controles de Seguridad Física, Procedimental y d
e
Back to top
Personal
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 24 de 37
6. Controles de Seguridad Técnica
6.1.
Generación e instalación del par de claves
6.1.1
Generación del par de claves del suscriptor
Las claves de los suscriptores y operadores son generadas por el
propio interesado de
forma segura utilizando un dispositivo criptográfico CC EAL4+, FIP
S 140-1 nivel 2,
ITSEC High4 u otro de nivel equivalente.
Los dispositivos criptográficos de custodia de la clave privada d
el suscriptor u operador
aportan un nivel de seguridad igual o superior al establecido por la legislación vigente para
dispositivos de creación de los datos de firma. La norma europea de
referencia para los
dispositivos de suscriptor utilizados es CEN CWA 14169.
El dispositivo criptográfico utiliza una clave de activación para
el acceso a las claves
privadas. En caso de que la entrega del dispositivo no se real ice de manera presencial en la
AR, los datos de activación se enviarán al lugar de entrega por
separado de los
dispositivos.
Las claves son generadas usando el algoritmo de clave pública
RSA, con los adecuados
parámetros. Las claves tienen una longitud mínima de 1024 bits.
6.1.2
Entrega de la clave publica al emisor del certificado
El envío de la clave pública a la AC para la generación del
certificado se realiza mediante
formato estándar PKCS#10
6.1.3
Entrega de la clave pública de la CA a los Usuarios
El certificado de las CAs de la cadena de certificación y su fingerprint (huella digital)
estarán a disposición de los usuarios en
http://www.acabogacia.org
.
6.1.4
Tamaño y periodo de validez de las claves
6.1.4.1
Tamaño y periodo de validez de las claves del emisor
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 25 de 37
6.1.4.2
Tamaño y periodo de validez de las claves del suscriptor
Las claves privadas del suscriptor están basadas en el al
goritmo RSA con una longitud de
1024 bits.
El periodo de uso de la clave pública y privada del suscriptor puede s er corresponde con la
validez temporal de los certificados, no pudiendo ser en ningún caso superior a 3 años.
6.1.5
Parámetros de generación de la clave pública
No estipulado.
6.1.6
Comprobación de la calidad de los parámetros
No estipulado.
6.1.7
Hardware/software de generación de claves
Las claves de los suscriptores y operadores son generadas por el propio suscriptor de forma
segura utilizando un dispositivo criptográfico CC EAL4+, FIPS 140-1 ni
vel 2, ITSEC
High4 u otro de nivel equivalente.
Los dispositivos criptográficos de custodia de la clave privada d
el suscriptor u operador
aportan un nivel de seguridad igual o superior al establecido por la legislación vigente para
dispositivos de creación de los datos de firma. La norma europea de
referencia para los
dispositivos de suscriptor es CEN CWA 14169.
Las claves de las CA vinculadas son generadas en un módulo criptográ
fico nCipher
modelo nShield validado FIPS 140-1 nivel 3.
6.1.8
Fines del uso de la clave
Todos los certificados incluirán la extensión Key Usage, indicando los
usos habilitados de
la claves..
6.2.
Protección de la clave privada
Clave privada de la AC
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
Clave privada del suscriptor
La clave privada del suscriptor, para l se mantiene en un dis
positivo criptográfico y es
controlada y gestionada por el suscriptor. Tiene un sistema de protección contra intentos de
acceso que bloquean el dispositivo cuando se introduce tres veces un códi
go de acceso
erróneo.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 26 de 37
El suscriptor dispone de un código de desbloqueo del dispositivo. Si se introduce tres veces
erróneamente, el dispositivo se bloquea definitivamente, quedando inservible
6.3.
Estándares para los módulos criptográficos
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
6.3.1
Archivo de la clave privada
La CA no archivará la clave privada de Firma de Certificados y
CRLs después de la
expiración del periodo de validez de la misma.
La CA no hace custodia de claves privadas de usuario.
6.3.2
Introducción de la clave privada en el módulo criptográfico
Existe un documento de ceremonia de claves de CA donde se describen
los procesos de
generación de la clave privada y el uso del hardware criptográfico.
6.3.3
Método de activación de la clave privada
El acceso a la clave privada del suscriptor se realiza por
medio de un PIN (ver apartado
6.2)
Las claves de la CA se activan por un proceso de m de n. Ver apartado 6.3.1
6.3.4
Método de desactivación de la clave privada
La clave privada del suscriptor quedará desactivada una vez se
retire el dispositivo
criptográfico de creación de firma del dispositivo de lectura.
6.3.5
Método de destrucción de la clave privada
Las claves privadas de la CA se destruirán según los procedim
ientos habilitados por el
HSM, para este propósito.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 27 de 37
6.4.
Ciclo de vida de los dispositivos criptográficos
6.4.1
Ciclo de vida de los dispositivos criptográficos se
guro de creación de
firma (DSCF)
Se empleará como DSCF tarjetas con criptoprocesador para que
el suscriptor genere y
almacene los datos de creación de firma, es decir la clave privada:
a)
Las tarjetas son preparadas y estampadas por un proveedor externo
de la
tarjeta.
b)
La gestión de distribución del soporte la realiza el proveedor exte
rno de
tarjetas que lo distribuye a las autoridades de registro para
su entrega
personal al suscriptor. La AR puede realizar una personalización gr
áfica de
la tarjeta.
c)
El suscriptor inicializa la tarjeta y la utiliza para gene
rar el par de claves y
enviar la clave publica a la CA.
d)
La CA envía un certificado de clave pública al suscriptor que e s introducido
en la tarjeta.
e)
La tarjeta es reutilizable y puede mantener de forma segura
varios pares de
claves.
El periodo de vida útil de las tarjetas de usuario tendrá una vida media de 6 años.
6.5.
Controles de seguridad
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
6.6.
Controles de ingeniería de los módulos criptográficos
Según lo dispuesto en la Declaración de Prácticas de Certificac
ión (CPS). Consulte
http://www.acabogacia.org/doc
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 28 de 37
7. Perfiles de Certificado
7.1.
Perfil de Certificado
Todos los certificados emitidos bajo esta política están en conform
idad con el estándar
X.509 versión 3, la RFC 3280 "
Internet X.509 Public Key Infrastructure Certificate and
CRL Profile
", ETSI TS 101 862 conocida como“
European profile for Qualified
Certificates”
y la RFC 3739 (que sustituye a RFC 3039) “
Qualified Certificates Profile
”.
En caso de contradicción prevalecerá lo dispuesto en la norma TS 101 862.
Los certificados corporativos definidos en esta Política son
certificados reconocidos
, de
acuerdo con lo establecido en art. 11 de la Ley 59/2003, con el contenido
prescrito por el
art. 11 de la Ley 59/2003, y expedidos en un dispositivo que sigue las d
efiniciones del art.
24 de la Ley 59/2003. Los certificados que corresponden a certificados re
conocidos lo son
de acuerdo con lo definido en los apartados 5.2 y 5.3 de la especifica
ción técnica TS 101
456 del Instituto Europeo de Normas de Telecomunicaciones (ETSI).
Los certificados reconocidos incluirán, al menos, los siguientes datos:
a) La indicación de que se expiden como tales.
b) El código identificativo único del certificado.
c) La identificación de la AC que expide el certificado.
e) La identificación del suscriptor según lo estipulado en el ap
artado 3.1.1. en el
campo DN del certificado.
g) El comienzo y el fin del período de validez del certifica
do.
h) Los límites de uso del certificado, si se establecen.
i) Los límites del valor de las transacciones para las que
puede utilizarse el
certificado, si se establecen.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 29 de 37
7.1.1
Descripción del perfil
Los certificados seguirán el estándar X509, definido en la RFC 3280
, y tendrán los
siguientes campos descritos en esta sección:
CAMPOS
Versión V3
Nº Serie
(Serial)
(nº de serie, que será un código único con respecto
al nombre distinguido del emisor)
Algoritmo de Firma
Sha1WithRSAEncryption
Emisor
(issuer)
CN = ACA - Certificados Corporativos
OU = Autoridad de Certificacion de la Abogacia
O = Consejo General de la Abogacia NIF:Q-
2863006I
E = ac@acabogacia.org
L = Madrid
C = ES
Valido desde
(notBefore)
(fecha de inicio de validez, tiempo UTC)
Valido hasta
(notAfter)
(fecha de fin de validez, tiempo UTC)
Asunto
(Subject)
(Según especificaciones de la sección
3.1.1
)
Clave pública RSA (1024 bits)
7.1.2
Extensiones del certificado
Se incluirán las siguientes extensiones:
EXTENSIONES
Nombre alternativo del emisor
(IssuerAlternativeName)
Nombre RFC822=ac@acabogacia.org
Dirección URL=http://www.acabogacia.org
Nombre alternativo del sujeto
(SubjectAlternativeName)
Nombre RFC822=xxxx.xxxxx@cgae.es
Uso de la Clave
(KeyUsage)
Firma digital, Sin repudio, Cifrado de clave, Cifrado de
datos, Contrato de claves
Uso mejorado de las claves
(ExtendedKeyUsage)
Autenticación del cliente (1.3.6.1.5.5.7.3.2)
Correo seguro (1.3.6.1.5.5.7.3.4)
Tipo de certificado Netscape
(NetscapeCertType)
Autenticación del cliente SSL, SMIME (a0
URL de directiva de entidad
emisora de certificados de
Netscape
(netscape-ca-policy-url
)
http://www.acabogacia.org/doc
Comentario de Netscape Este es un certificado personal reconoc
ido. Consulte
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 30 de 37
(NetscapeComment) http://www.acabogacia.org/doc
Identificador de clave de entidad
emisora
(AuthorityKeyIdentifier)
5a794ca10cfc08162cc285454f 32abe72b45c011
Identificador de clave de asunto
(SubjectKeyIdentifier)
Bases de certificado
(SubjectStatement)
Directiva de certificados:
Identificador de directiva=1.3.6.1.4.1.16533.10.3.1
[1,1]Información de calificador de directiva:
Id. de calificador de directiva=CPS
Calificador:
http://www.acabogacia.org/doc
[1,2]Información de calificador de directiva:
Id. de calificador de directiva=Aviso de usuario
Calificador:
Texto de aviso=Este es un certificado personal
reconocido.
Consulte http://www.acabogacia.org/doc
Punto de distribución de la CRL
(CRLDistributionPoint)
http://www.acabogacia.org/crl/acacorporativos.crl
http://crl.acabogacia.org/crl/acacorporativos.crl
Restricciones básicas
(BasicConstraints)
Tipo de asunto= Entidad final
Restricción de longitud de ruta= Ninguno
Acceso a la Información de
Autoridad
(Authority Information Access)
[1]Acceso a información de autoridad
Método de acceso=Emisor de la entidad emisora
de certificados
(1.3.6.1.5.5.7.48.2)
Nombre alternativo:
Dirección
URL=http://www.acabogacia.org/certificados/ACAcorporativos.crt
1.3.6.1.5.5.7.1.3
qcStatements x.509v3 certificate
extension from RFC 3039
0 Euros
7.1.3
Identificadores de objeto (OID) de los algoritmos
El identificador de objeto del algoritmo de firma será
1. 2. 840. 113549. 1. 1. 5 SHA-1 with RSA Encryption
El identificador de objeto del algoritmo de la clave pública será
1.2.840.113549.1.1.1 rsaEncryption
7.1.4
Restricciones de los nombres
No estipulado.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 31 de 37
7.2.
Perfil de CRL
7.2.1
Número de versión
Las CRL emitidas por la AC son de la versión 2.
7.2.2
Periodo de Emisión y validez
Se emiten de oficio diariamente y cuando sufra un cambio de estado
. La validez es
semanal.
7.2.3
Publicación.
La publicación es inmediata a su emisión.
Los puntos de distribución son:
http://www.acabogacia.org/crl/ACAcorporativos.crl
http://crl.acabogacia.org/crl/ACAcorporativos.crl
7.2.4
CRL y extensiones
Se incluirán las siguientes extensiones
Extensiones
Versión
Fecha Inicio de Validez
Fecha Fin de Validez
Algoritmo de Firma
Numero de Serie
Puntos de distribucion
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 32 de 37
8. Especificación de la administración
8.1.
Autoridad de las políticas
El CGAE es el responsable del mantenimiento de las políticas de certificación, y puede ser
contactado en la dirección especificada en el apartado 1.
8.2.
Procedimientos de especificación de cambios
Todos los cambios propuestos que puedan afectar sustancialmente a
los usuarios de esta
política serán notificados inmediatamente a los suscriptores medi
ante la publicación en la
web de AC Abogacía, haciendo referencia expresa en la “página
principal” de la misma a
la existencia del cambio.
Los usuarios afectados podrán presentar sus comentarios a la organizac
ión de la
administración de las políticas dentro de los 45 días siguient
es a la recepción de la
notificación.
8.3.
Publicación y copia de la política
Una copia de esta Política estará disponible en formato electróni
co en la dirección de
Internet:
http://www.acabogacia.org/doc
. Las versiones anteriores serán retiradas de su
consulta on-line, pero pueden ser solicitadas por los interesados en la AC Abogacía.
8.4.
Procedimientos de aprobación de la Política
La publicación de las revisiones de esta política deberá ser aprobada por el CGAE.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 33 de 37
ANEXO 1: Información técnica
En cumplimiento de lo establecido en la Ley 59/2003 de Firma Electróni
ca, se informa a
los suscriptores y usuarios de determinados aspectos en relación
con dispositivos de
creación y de verificación de firma electrónica que son compa tibles con los datos de firma
y con el certificado expedido, así como de mecanismos considerados seg
uros para la
creación y verificación de firmas.
Dispositivos del suscriptor
Previo a la solicitud y emisión del certificado reconocido, el sus criptor deberá disponer del
correspondiente dispositivo de generación de datos de creación de fi
rmas y de creación de
firmas.
A. Dispositivos Seguros de Creación de Firma:
Los Certificados Reconocidos identificados por el OID de Política
1.3.6.1.4.16533.10.3.1
requieren, para su emisión que los datos de creación de firma h
ayan sido generados por el
suscriptor y se custodien en un dispositivo que cumple lo establecido en el artículo 24.3 de
la Ley 59/2003, y que se denominan “Dispositivos seguros de Creación de Firma (DSCF)”.
La firma electrónica avanzada generada con tales dispositivos,
y basada en un certificado
reconocido, se denomina “Firma Electrónica Reconocida”, y tendrá
respecto de los datos
consignados en forma electrónica el mismo valor que la firma ma
nuscrita en relación con
los consignados en papel.
La AC considera adecuados los dispositivos que cumplan lo siguiente:
-
Que hayan sido homologados como tales por la AC, para lo cual se reque
rirá una
declaración del Fabricante o Importador en tal sentido, junto con
la aportación de la
documentación técnica pertinente, y la realización de las pruebas
que se estimen
convenientes durante el proceso de homologación..
-
Que dispongan de la correspondiente certificación de dispositivo según lo e
stablecido
en el artículo 27 de la Ley 59/2003, en cuyo caso se admitirá sin más.
B. Otros Dispositivos de Creación de Firma:
No estipulado
En ambos casos (A) y (B), la AC sólo emitirán certificados r
espondiendo a las solicitudes
que cumplan con lo establecido en el apartado siguiente para los alg
oritmos de generación
de clave y parámetros del algoritmo de firma considerados adecua
dos (Claves RSA de
1024 bits) aunque el dispositivo disponga de la capacidad técnica para generar otro tipo de
conjunto de parámetros de firma.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 34 de 37
Creación y verificación de firmas
Estándares y parámetros admitidos
El uso correcto de los dispositivos para la creación de Firmas
Electrónicas consideradas
seguras, queda asociado a la utilización de un subconjunto de estánda
res y parámetros de
entre los aprobados por la ETSI en el documento “Electronic Signatures and Infrastructures
(ESI); Algorithms and Parameters for Secure Electronic Sig
natures” ETSI SR 002 176
(www.etsi.org)
Identificación
del conjunto
Algoritmo
de firma
Parámetros del
Algoritmo de Firma
(long. Clave)
Algoritmo de
Generación de
clave
Método
de
relleno
Función de
hash
001 rsa MinModLen=1020 rsagen1
emsa-
pkcs1-
v1_5
sha1
002 rsa MinModlen=1020 rsagen1 emsa-pss
sha1
003 rsa MinModLen=1020 rsagen1
emsa-
pkcs-v1_5
ripemd160
004 rsa MinModLen=1020 rsagen1 emsa-pss
ripemd160
El método adecuado para la generación de números aleatorios para
el algoritmo de
generación de clave del cuadro anterior es:
Algoritmo de
Generación de clave
Algoritmo de
firma
Método de generación de
números aleatorios (RNG)
Parámetros del
RNG
rsagen1 rsa trueran or pseuran
EntropyBits≥128 or
SeedLen≥128
Los terceros que confían en las firmas generadas deben asegurar se de que la firma recibida
cumple con lo dispuesto en los párrafos anteriores.
En caso de que el dispositivo de creación de firmas permita
efectuar diferentes tipos de
firmas o la exportación de los datos de creación de firma a otro di
spositivo que pudiese
generar firmas electrónicas con parámetros distintos de los espe cificados (como podría ser
una firma con de tipo “rsa” con función de hash “md5”), se informa a
suscriptores y
usuarios que dichas firmas no pueden ser consideradas seguras, qu
edando bajo la
responsabilidad de los primeros el asegurarse de que se cumplen las
prescripciones
anteriores, y de los segundos de que las firmas recibidas son adecuadas técnicamente.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 35 de 37
Métodos de verificación de firmas
La comprobación de la firma electrónica es imprescindible para
determinar que fue
generada por el poseedor de claves, utilizando la clave privada corr
espondiente a la clave
pública contenida en el certificado del suscriptor, y para gara
ntizar que el mensaje o el
documento firmado no fue modificado desde la generación de la firma electrónica.
La comprobación se ejecutará normalmente de forma automática por e
l dispositivo del
usuario verificador, y en todo caso, y de acuerdo con la CPS y l
a legislación vigente, con
los siguientes requerimientos:
-
Es necesario utilizar un dispositivo apropiado para la verificac
ión de una firma digital
con los algoritmos y longitudes de claves autorizadas en el certi
ficado y/o ejecutar
cualquier otra operación criptográfica. Dichos dispositivos deberán
cumplir lo
dispuesto en el artículo 25 de la ley de Firma Electrónica
-
Es necesario establecer la cadena de certificados en que se basa la firma electrónica que
debe verificarse y asegurarse que la cadena de certifica
dos identificada es la más
adecuada para la firma electrónica que se verifica. Es re
sponsabilidad y decisión del
usuario que verifica la elección de la cadena apropiada si hubiera más de una posible.
-
Es necesario comprobar la integridad, la firma digital y el
estado de validez (no
caducado, no revocado o no suspendido) de todos los certificados de la caden
a con la
información subministrada por AC Abogacía en su servicio de publicaci
ón de
certificados. Sólo se puede considerar correctamente verificada una firma electrónica si
todos o cada uno de los certificados de la cadena son correctos y vigentes.
-
Es necesario verificar que los certificados de la cadena s
e han usado dentro de las
condiciones y límites de uso que impone el emisor de cada uno de ellos
, y por
firmantes autorizados. Cada certificado de la cadena de cer
tificación dispone de
información sobre sus condiciones de uso y enlaces a documentación sobr
e los
mismos.
-
Es necesario verificar la adecuación de los algoritmos y parám
etros de firma de todos
los certificados de la cadena y del propio documento firmado.
-
Es necesario determinar la fecha y hora de generación de la firma electrónica, ya que la
verificación correcta exige que todos los certificados de la caden a fueran vigentes en el
momento de generación de la firma.
-
Es necesario, finalmente, determinar los datos firmados y v
erificar técnicamente la
propia firma electrónica respecto del certificado utilizado par
a firmar, asociado a una
cadena de certificación válida.
El usuario que verifica una firma debe actuar con la máxima di ligencia antes de confiar en
los certificados y las firmas digitales, y utilizar un dispos
itivo de verificación de firma
electrónica con la capacidad técnica, operativa y de seguridad s
uficiente para ejecutar el
proceso de verificación de firma correctamente.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 36 de 37
El usuario que verifica será el responsable exclusivo del daño que pueda
sufrir por la
incorrecta elección del dispositivo de verificación, salvo que ést
e hubiere sido
proporcionado por AC Abogacía.
El usuario que verifica tiene que tener en cuenta las limita
ciones de uso del certificado
indicadas de cualquier manera en el certificado, incluyendo aquella
s no procesadas
automáticamente por el dispositivo de verificación e incorporadas por
referencia. Si las
circunstancias requieren garantías adicionales, el verifica dor deberá obtener estas garantías
para que la confianza sea razonable.
En cualquier caso, la decisión final respecto a confiar o no
en una firma electrónica
verificada es exclusivamente del usuario.
Verificación de la Firma Electrónica a lo largo del tiempo
Si el usuario desea disponer de garantías a lo largo del tiempo que
le permitan comprobar
la validez de una firma electrónica, debe utilizar mecanismos adicionales, entre otros:
-
Si el Firmante ha generado la firma en un formato capaz de ve
rificarse a lo largo del
tiempo, como los definidos en la norma ETSI TS 101 733 “Electronic s
ignature
formats” del European Telecommunications Standards Institute (
www.etsi.org
), que
AC Abogacía recomienda.
-
Utilización por el firmante y el verificador de servicios de mediación de terceras partes,
en los que ambos depositen su confianza, como:
Servicios de validación de certificados
Servicios de sellado de tiempo
Servicios de notarización de transacciones
Etc
-
Conservación, de manera segura e íntegra, junto con la firma d
e todos los datos
necesarios para su verificación:
Todos los certificados de la cadena de certificación.
Todas las CRL vigentes inmediatamente antes y después del m omento de la
firma.
Las políticas y prácticas en vigor en el momento de la firma.
CERTIFICADOS CORPORATIVOS RECONOCIDOS DE
PERSONAL ADMINISTRATIVO
Políticas de
Certificación
Ref: CP2_ACA_006.0
Pág. 37 de 37
Anexo 2: ACRONIMOS
AC
Autoridad de Certificación, también puede encontrarse identific
ada por el
acrónico CA (
Certification Authority
)
ACA
Autoridad de Certificación de la Abogacía
AR
Autoridad de Registro también puede encontrarse identificada por el acrónico
RA (
Registration Authority
)
ARL
Authority Revocation List
, lista de certificados revocados de la Autoridad de
Certificación Raíz
CGAE
Consejo General de la Abogacía Española
CPS
Certification Practice Statement
, Declaración de Practicas de Certificación.
también puede encontrarse identificada por el acrónico DPC
CRL
Certifícate revocation list
, Lista de certificados revocados
CSR
Certificate Signing request
, petición de firma de certificado
DES
Data Encryption Estándar
. Estándar de cifrado de datos
DN
Distinguished Name
, nombre distintivo dentro del certificado digital
DSA
Digital Signature Algorithm
. Estándar de algoritmo de firma
DSCF
Dispositivo Seguro de Creación de Firma
FIPS
Federal information Processing Estandar publication
IETF
Internet Engineering task force
ICA
Ilustre Colegio de Abogados
ISO
International Organisation for Standardization
. Organismo intenacional de
estandarización
ITU
International Telecommunications Union.
Unión Internacional de
Telecomunicaciones.
LDAP
Lightweight Directory Access Protocol
. Protocolo de acceso directorio
OCSP
On-line Certificate Status Protocol
. Protocolo de acceso al estado del
Certificado
OID
Object identifier
. Identicador de Objeto
PA
Policy Authority
. Autoridad de la Politica
PC
Política de Certificación puede encontrarse identificada por el
acrónico CP
(Certification Policy)
PIN
Personal Identification Number
, Número de identificación personal
PKI
Public Key Infrastructure
, Infraestructura de clave pública
PUK
Personal Unblocking Key
, Código de desbloqueo
RSA
Rivest-Shimar-Adleman
. Tipo de algoritmo de cifrado
SHA-1
Secure Hash Algorithm
. Algoritmo seguro de Hash
SSL
Secure Socket Layer.
Protocolo diseñado por Netscape y convertido en
estándar en la Red, permite la transmisión de información ci
frada entre un
navegador de Internet y un servidor
TCP/IP
Transmission Control Protocol/Internet Protocol
Sistema de Protocolos,
definidos en el marco de la IETFT. El Protocolo TCP se usa para
dividir en
origen la información en paquetes, para luego recomponerla en destino,
el
Protocolo IP se encargará de direccional adecuadamente la in formación hacia
su destinatario
