LegalizeResolución de 19 de julio de 2011, de la Secretaría de Estado para la Función Pública, por la que se aprueba la Norma Técnica de Interoperabilidad de Política de Firma Electrónica y de certificados de la Administración
Disposición derogada por el apartado 1 de la Resolución de 27 de octubre de 2016. Ref. BOE-A-2016-10146#pr-2.
El Esquema Nacional de Interoperabilidad se establece en el apartado 1 del artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su finalidad es la creación de las condiciones necesarias para garantizar el adecuado nivel de interoperabilidad técnica, semántica y organizativa de los sistemas y aplicaciones empleados por las Administraciones públicas, que permitan el ejercicio de derechos y el cumplimiento de deberes a través del acceso electrónico a los servicios públicos, a la vez que redunda en beneficio de la eficacia y la eficiencia.
El Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica establece, en su disposición adicional primera, el desarrollo de la serie de Normas Técnicas de Interoperabilidad que son de obligado cumplimiento por parte de las Administraciones públicas.
Las Normas Técnicas de Interoperabilidad desarrollan aspectos concretos de diversas cuestiones, tales como: documento electrónico, digitalización, expediente electrónico, copiado auténtico y conversión, política de firma, estándares, intermediación de datos, modelos de datos, gestión de documentos electrónicos, conexión a la red de comunicaciones de las Administraciones públicas españolas, modelo de datos para el intercambio de asientos registrales y declaración de conformidad; todos ellos necesarios para asegurar los aspectos más prácticos y operativos de la interoperabilidad entre las Administraciones públicas y con el ciudadano. Estas Normas Técnicas de Interoperabilidad se desarrollarán y perfeccionarán a lo largo del tiempo, en paralelo al progreso de los servicios de Administración Electrónica, de las infraestructuras que los apoyan y de la evolución tecnológica, para dar cumplimiento al mandato del artículo 42.3 de la Ley 11/2007, de 22 de junio.
Dentro de este conjunto de Normas Técnicas de Interoperabilidad, la norma relativa a las políticas de firma responde a lo previsto en el artículo 18 del citado Real Decreto 4/2010, de 8 de enero, sobre la interoperabilidad en la política de firma electrónica y de certificados.
En particular, la Norma Técnica de Interoperabilidad de Política de firma electrónica y de certificados de la Administración establece el conjunto de criterios para el desarrollo o adopción de políticas de firma electrónica basada en certificados por parte de las Administraciones públicas. Para ello, define el contenido de una política de firma electrónica basada en certificados, especificando las características de las reglas comunes, como formatos, uso de algoritmos, creación y validación de firma para documentos electrónicos, así como de las reglas de confianza en certificados electrónicos, sellos de tiempo y firmas longevas.
Las condiciones establecidas en esta norma pretenden establecer un marco para la definición de políticas de firma electrónica basada en certificados alineada con las últimas tendencias a nivel europeo como es la Decisión de la Comisión 2011/130/EU, de 25 de febrero de 2011, por la que se establecen los requisitos mínimos para el tratamiento transfronterizo de los documentos firmados electrónicamente por las autoridades competentes en virtud de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior, compatible a su vez con sistemas de firma electrónica ya implantados.
La presente norma técnica se ha elaborado con la participación de todas las Administraciones públicas a las que les es de aplicación, ha sido informada favorablemente por la Comisión Permanente del Consejo Superior de Administración Electrónica y propuesta por el Comité Sectorial de Administración Electrónica.
En aplicación de lo dispuesto en el apartado 2 de la disposición adicional primera del Real Decreto 4/2010, de 8 de enero,
Esta Secretaría de Estado, resuelve:
Primero.
Se aprueba la Norma Técnica de Interoperabilidad de Política de firma electrónica y de certificados de la Administración, cuyo texto se incluye a continuación.
Segundo.
La Norma Técnica de Interoperabilidad de Política de firma electrónica y de certificados de la Administración que se aprueba mediante la presente Resolución se aplicará desde el día siguiente al de su publicación en el «Boletín Oficial del Estado», sin perjuicio de lo dispuesto en la disposición transitoria primera del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
Madrid, 19 de julio de 2011.—La Secretaria de Estado para la Función Pública, María Consuelo Rumí Ibáñez.
NORMA TÉCNICA DE INTEROPERABILIDAD DE POLÍTICA DE FIRMA ELECTRÓNICA Y DE CERTIFICADOS DE LA ADMINISTRACIÓN
I. Consideraciones generales
I.1 Objeto.
La Norma Técnica de Interoperabilidad (en adelante, NTI) de Política de firma electrónica y de certificados de la Administración tiene por objeto establecer el conjunto de criterios comunes asumidos por la Administración pública en relación con la autenticación y el reconocimiento mutuo de firmas electrónicas basadas en certificados y que, como tales, serán desarrollados y consolidados a través de las políticas de firma electrónica basada en certificados.
El objetivo final de esta NTI es facilitar el uso de firmas electrónicas seguras e interoperables entre las distintas organizaciones de la Administración pública.
I.2 Ámbito de aplicación.
El contenido de esta NTI será de aplicación para el desarrollo o adopción de políticas de firma electrónica basada en certificados por parte de cualquier órgano de la Administración pública o Entidad de Derecho Público vinculada o dependiente de aquélla (en adelante, organizaciones) según el ámbito establecido en el artículo 3 del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
II. La política de firma electrónica
II.1 Definición y contenido.
Según la definición del Real Decreto 4/2010, de 8 de enero, una política de firma electrónica es el «conjunto de normas de seguridad, de organización, técnicas y legales para determinar cómo se generan, verifican y gestionan firmas electrónicas, incluyendo las características exigibles a los certificados de firma».
Una política de firma electrónica y de certificados definirá:
Los procesos de creación, validación y conservación de firmas electrónicas.
Características y requisitos de los sistemas de firma electrónica, certificados y sellos de tiempo.
Toda política de firma electrónica basada en certificados incluirá:
Definición del alcance y ámbito de aplicación, que concretará su relación con otras políticas existentes, marco o particulares, así como la identificación de los actores involucrados y los usos de la firma electrónica.
Datos para la identificación del documento y del responsable de su gestión.
Reglas comunes para el firmante y verificador de la firma electrónica que incluirán:
i. Formatos admitidos de firma electrónica y reglas de uso de algoritmos.
ii. Reglas de creación de firma.
iii. Reglas de validación de firma.
Reglas de confianza, que incluirán los requisitos establecidos para certificados, sellos de tiempo y firmas longevas.
Otras reglas opcionales a fijar por cada organización, como podrán ser:
i. Reglas específicas de compromisos que cada organización podrá establecer para cada uno de los servicios que presta, estableciendo requisitos específicos necesarios para que la firma sea válida en cada caso.
ii. Reglas de certificados de atributos mediante las que cada organización podrá establecer información adicional a añadir a los certificados digitales en función de sus necesidades y del contexto.
Definición de condiciones para el archivado y custodia de firmas electrónicas.
Descripción de consideraciones de gestión de la política que se aplicarán a dicho documento.
II.2 Datos identificativos de la política.
El documento de política de firma incluirá la siguiente información para su identificación:
Nombre del documento.
Versión.
Identificador (OID-Object IDentifier) de la política.
URI (Uniform Resource Identifier) de referencia de la política.
Fecha de expedición.
Ámbito de aplicación.
La política de firma incluirá la definición de su periodo de validez y las consideraciones respecto a los periodos de transición que procedan.
Para la identificación de su gestor, la política de firma electrónica basada en certificados incluirá:
Nombre del gestor de la política.
Dirección de contacto.
OID del gestor de la política de firma.
II.3 Actores involucrados en la firma electrónica.
Los actores involucrados en el proceso de creación y validación de una firma electrónica serán:
Firmante: persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.
Verificador: entidad, ya sea persona física o jurídica, que valida o verifica una firma electrónica apoyándose en las condiciones exigidas por la política de firma concreta por la que se rige la plataforma de relación electrónica o el servicio concreto al que se esté invocando. Podrá ser una entidad de validación de confianza o una tercera parte que esté interesada en la validez de una firma electrónica.
Prestador de servicios de certificación (PSC): Persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.
Emisor y gestor de la política de firma: entidad que se encarga de generar y gestionar el documento de política de firma, por el cual se deben regir el firmante, el verificador y los prestadores de servicios en los procesos de generación y validación de firma electrónica.
II.4 Usos de la firma electrónica.
Las políticas de firma electrónica podrán definir condiciones para la aplicación de una firma electrónica basada en certificados con los siguientes propósitos:
Firma de transmisiones de datos, como herramienta para proporcionar seguridad al intercambio, garantizando la autenticación de los actores involucrados en el proceso, la integridad del contenido del mensaje de datos enviado y el no repudio de los mensajes en una comunicación telemática.
Firma de contenido como herramienta para garantizar la autenticidad, integridad y no repudio de aquel, con independencia de que forme parte de una transmisión de datos.
II.5 Interacción con otras políticas.
Cada organización valorará la necesidad y conveniencia de desarrollar una política propia frente a la posibilidad de utilizar una política marco existente.
La definición del alcance y ámbito de aplicación de una política de firma electrónica se realizará considerando su interacción con otras políticas de firma electrónica, y asegurando que:
Su desarrollo es interoperable con la política marco, en caso de políticas de firma particulares.
Define las condiciones de utilización y convivencia con otras políticas particulares, si se trata de una política marco.
En toda política de firma electrónica se asegurará que:
Las extensiones o restricciones establecidas para las reglas de creación o validación de firma atienden a la validación de los formatos de firma establecidos en esta NTI y política marco si procede, de forma que se garantice la interoperabilidad entre las diferentes organizaciones.
Incluye, si procede, la referencia a la URL de la política marco de firma electrónica en la que se inscribe, con indicación expresa de la versión.
Las firmas que se generen siguiendo políticas marco o particulares, incluyen un campo donde se indique de forma explícita la política a la que pertenecen.
Para que otras aplicaciones puedan interpretar las reglas de una política particular correctamente, dicha política está disponible en formato XML (eXtensible Markup Language) y ASN.1 (Abstract Syntax Notation One).
II.6 Gestión de la política de firma.
La política de firma electrónica incluirá la descripción básica de su proceso de gestión, estableciendo las directrices para su mantenimiento, actualización y publicación, e identificando al responsable de llevar a cabo estas tareas.
El gestor de la política de firma mantendrá actualizada la versión de la política de firma atendiendo a:
Modificaciones motivadas por necesidades propias de la organización.
Cambios en políticas relacionadas.
Cambios en los certificados electrónicos emitidos por los prestadores de servicios de certificación referenciados en la política de firma.
Para facilitar la validación de firmas electrónicas creadas atendiendo a versiones anteriores de una política, se podrá mantener un repositorio con el historial de versiones anteriores que provea la ubicación de cada versión.
II.7 Archivado y custodia.
Atendiendo a las necesidades y normativa específicas de su ámbito, las políticas de firma podrán contemplar la definición de condiciones y responsabilidades para el archivado y custodia de las firmas electrónicas en sus diferentes aplicaciones.
Para garantizar la fiabilidad de una firma electrónica a lo largo del tiempo, se podrán utilizar:
Firmas longevas mediante las que se añadirá información del estado del certificado asociado, incorporando un sello de tiempo, así como los certificados que conforman la cadena de confianza, aplicando las reglas de confianza para firmas longevas descritas en el subapartado IV.3.
⋯
La consulta de este documento no sustituye la lectura del Boletín Oficial del Estado correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.