Normativa
ImprimirORDEN de 15 de enero de 2009, de la Vicepresidenta del Gobierno, por la que se regula el régimen de admisión de los certificados electrónicos.
Identificación
- Ámbito territorial: Autonómico
- Rango normativo: Orden
- Órgano emisor: Vicepresidencia del Gobierno
- Estado vigencia: Derogado
Boletín oficial
- Boletín oficial: BOPV (País Vasco)
- Nº boletín: 30
- Nº orden: 730
- Nº disposición: ---
- Fecha de disposición: 15/01/2009
- Fecha de publicación: 12/02/2009
Ámbito temático
- Materia: Organización administrativa; Actividades Económicas
- Submateria: Gobierno y Administración Pública; Información y comunicaciones
Texto legal
El 31 de enero de 2008 se publicó el Decreto 232/2007, de 18 de diciembre, por el que se regula la utilización de medios electrónicos, informáticos y telemáticos en los procedimientos administrativos. Este Decreto tiene por finalidad dotar a la Administración de la Comunidad Autónoma de Euskadi, de un marco normativo que regule los principios informadores, las garantías generales y los instrumentos necesarios para la tramitación electrónica de los procedimientos administrativos, todo ello con respeto a los principios, derechos y garantías consignados en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
Entre los instrumentos necesarios para la tramitación electrónica, regulados en el Decreto 232/2007, de 18 de diciembre, destaca la firma electrónica reconocida como medio para garantizar la autenticidad e integridad de las actuaciones administrativas, y de las actuaciones de la ciudadanía.
El artículo 3.3 de la Ley 59/2003, de 19 de diciembre, de firma electrónica considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
El Decreto 232/2007, de 18 de diciembre, admite que se utilicen los certificados electrónicos reconocidos, emitidos por prestadores de servicios de certificación, siempre que el prestador de servicios de certificación haya puesto a disposición de la Administración la información que sea precisa, en condiciones que resulten tecnológicamente viables y sin que suponga coste alguno.
El artículo 20 del Decreto anterior establece que una Orden de la Vicepresidenta del Gobierno desarrollará el régimen de admisión de los certificados electrónicos, determinará su contenido y características técnicas, y la compatibilidad con los medios técnicos de que disponga la Administración. Asimismo, dispone que se especifiquen los protocolos admitidos para la verificación de la vigencia de los certificados, para el sellado de tiempo, y demás servicios relacionados con la firma electrónica.
La relación de certificados electrónicos admitidos, sus características, los elementos de identificación utilizados, los prestadores que los expiden y las especificaciones de la firma electrónica que puede realizarse con dichos certificados serán publicados en www.euskadi.net.
Por último, el Decreto 232/2007, de 18 de diciembre, prevé que, conforme a principios de reconocimiento mutuo y reciprocidad, se podrán admitir sistemas de firma electrónica utilizados o admitidos por alguna Administración Pública, distintos de los basados en los certificados electrónicos reconocidos.
Por lo expuesto, en desarrollo del Decreto 232/2007, de 18 de diciembre, por el que se regula la utilización de medios electrónicos, informáticos y telemáticos en los procedimientos administrativos,
La presente Orden regula las condiciones y requisitos de admisión de los certificados electrónicos reconocidos y de los prestadores de servicios de certificación que los emiten, para relacionarse por medios electrónicos con las entidades públicas incluidas en el ámbito de aplicación del Decreto 232/2007, de 18 de diciembre, por el que se regula la utilización de medios electrónicos, informáticos y telemáticos en los procedimientos administrativos.
Los certificados electrónicos reconocidos, de acuerdo con el artículo 11, apartado 1, de la Ley 59/2003, de 19 de diciembre, de firma electrónica son aquéllos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en la Ley, en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes, y a la fiabilidad y las garantías de los servicios de certificación.
Conforme a los requisitos establecidos por la Ley 59/2003, de 19 de diciembre, de firma electrónica y a los estándares y recomendaciones sobre la emisión de certificados reconocidos se deberá cumplir lo establecido en el anexo I a esta Orden. Este anexo estará permanentemente actualizado en www.euskadi.net.
En cuanto a la verificación de la vigencia del certificado electrónico emitido, el prestador de servicios de certificación permitirá la comprobación de la vigencia de los certificados de forma gratuita mediante el protocolo Online Certificate Status Protocol (OCSP) o mediante otro medio de funcionalidad equivalente.
Podrá solicitar la admisión de sus sistemas de firma electrónica, cualquier prestador de servicios de certificación establecido en el Estado Español o en cualquier otro Estado miembro de la Unión Europea, siempre que cumpla las obligaciones exigidas por la Ley 59/2003, de 19 de diciembre, de firma electrónica, o por la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre, por la que se establece un marco comunitario para la firma electrónica, en el supuesto de los prestadores establecidos en otro Estado de la Unión Europea.
Estos prestadores de servicios de certificación deberán comprobar la identidad y cualquier circunstancia personal de los solicitantes de los certificados, en los términos establecidos en el artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, o en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre, en el supuesto de los prestadores establecidos en otro Estado de la Unión Europea.
Los prestadores de servicios de certificación serán responsables ante la Administración de la Comunidad Autónoma de Euskadi, en los términos establecidos por la legislación de firma electrónica.
El tratamiento de los datos personales que precisen los prestadores de los servicios de certificación para el desarrollo de su actividad y los órganos administrativos, para el ejercicio de las funciones atribuidas por la legislación de firma y por esta Orden, se ajustará a lo dispuesto en la normativa de protección de datos de carácter personal.
Las entidades prestadoras de servicios de certificación deberán presentar un escrito de solicitud de admisión de sus sistemas de firma electrónica para su utilización en las relaciones con la Administración de la Comunidad Autónoma de Euskadi. Esta solicitud, cuyo modelo se publica como anexo II a esta Orden, se dirigirá a la Dirección de Administración Electrónica y Atención a la Ciudadanía del Gobierno Vasco.
A la solicitud se acompañará la documentación precisa para verificar que se cumplen los requisitos establecidos en la legislación de firma electrónica. En particular, deberán aportar:
Datos del prestador: nombre o razón social, domicilio social o establecimiento permanente, datos de inscripción en el registro público correspondiente, CIF, nombre del dominio en Internet, y datos de contacto.
Datos de las políticas o de los tipos de certificados de los cuales se solicita la admisión.
Declaración responsable por parte del representante del prestador acerca del cumplimiento de los requisitos exigidos en esta Orden, acompañada por la documentación acreditativa de su cumplimiento.
Acreditación del cumplimiento de lo establecido en el anexo I. Se aceptarán certificaciones o auditorías de terceros independientes de cualificación suficiente.
Otras auditorías realizadas por un tercero independiente.
Declaración de prácticas de certificación y/o políticas de certificación vigente.
Certificaciones del prestador de servicios de certificación, concretando el nombre de la entidad otorgante, título y alcance de la certificación, fecha de otorgamiento, plazo de validez de la certificación, fecha de revocación o suspensión.
Certificaciones de los dispositivos.
Personas de contacto junto con sus direcciones postales y electrónicas.
Cuando la documentación presentada esté incompleta o falte alguno de los datos exigidos, se requerirá a las personas interesadas para que, en el plazo de diez días, subsanen los defectos o, en su caso, completen la documentación. La falta de respuesta a este requerimiento se entenderá como desistimiento, previa resolución expresa.
La Dirección de Administración Electrónica y Atención a la Ciudadanía del Gobierno Vasco será competente para instruir el expediente de admisión de los certificados. Podrá solicitar a otros órganos, organismos o entidades la emisión de aquellos informes que entienda necesarios para resolver la solicitud de admisión.
El prestador de servicios de certificación solicitante podrá, en cualquier momento del procedimiento anterior al trámite de audiencia, aducir alegaciones y aportar documentos u otros elementos de juicio.
La Dirección de Administración Electrónica y Atención a la Ciudadanía del Gobierno Vasco, una vez haya instruido el expediente, lo pondrá a disposición de la entidad interesada, para que, en un plazo de quince días, presente las alegaciones y documentos que estime pertinentes.
Una vez recibidas las alegaciones de la entidad interesada o, de no efectuarse éstas, transcurrido el plazo de quince días señalado, se dictará resolución acerca de la admisión de los certificados.
La Dirección de Administración Electrónica y Atención a la Ciudadanía resolverá, motivadamente, sobre la admisión de los certificados. La admisión estará supeditada, en todo caso, al establecimiento de las conexiones telemáticas precisas entre la Administración de la Comunidad Autónoma de Euskadi y el servicio de publicación de certificados revocados del prestador de servicios de certificación.
La resolución se dictará y notificará en el plazo máximo de seis meses, a partir de la fecha de entrada de la solicitud de admisión, en el registro de la Dirección de Administración Electrónica y Atención a la Ciudadanía.
La Administración de la Comunidad Autónoma de Euskadi podrá, por sí misma o por medio de terceros autorizados, comprobar en cualquier momento que la expedición de los certificados o cualquier otro aspecto de los sistemas de firma electrónica se realiza conforme a lo declarado, realizando las auditorías pertinentes.
Los prestadores de los servicios de certificación están obligados a comunicar a la Administración de la Comunidad Autónoma de Euskadi las modificaciones que tengan lugar en relación a las características de los certificados admitidos y, en general, en relación a las condiciones de prestación del servicio. La comunicación se efectuará con una antelación de, al menos, un mes respecto de la fecha prevista para el comienzo de la aplicación de dichas modificaciones.
Si la Administración de la Comunidad Autónoma de Euskadi detectara que el prestador de servicios de certificación no ha comunicado las modificaciones técnicas o jurídicas que hayan tenido lugar respecto a las condiciones de admisión acordadas, o bien que ha dejado de cumplir los requerimientos técnicos o jurídicos exigidos en la misma, podrá acordar la suspensión de la validez de los certificados admitidos. Esta suspensión deberá ser notificada al prestador de servicios de certificación y publicada en la dirección www.euskadi.net.
La Administración de la Comunidad Autónoma de Euskadi podrá considerar la posibilidad de suspender la validez de los certificados de forma temporal, proporcionando un periodo de seis meses para subsanar la situación, o definitiva, en caso de que trascurriera dicho periodo o concurrieran circunstancias insubsanables.
Se mantendrá una relación actualizada de los certificados admitidos por la Administración de la Comunidad Autónoma de Euskadi en la dirección www.euskadi.net.
Serán válidos y eficaces los certificados que se hayan emitido o se emitan por prestadores de servicios de certificación que hayan conveniado con la Administración de la Comunidad Autónoma de Euskadi, antes de la entrada en vigor de la presente Orden.
Conforme a principios de reconocimiento mutuo y reciprocidad, se podrán admitir sistemas de firma electrónica utilizados o admitidos por alguna Administración Pública, distintos de los basados en los certificados electrónicos reconocidos.
La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del País Vasco.
En Vitoria-Gasteiz, a 15 de enero de 2009.
La Vicepresidenta del Gobierno,
IDOIA ZENARRUTZABEITIA BELDARRAIN.
Ámbito Requisitos que se deben cumplir Observaciones
PSC ETSI TS 101 456 o equivalente indicando tabla de equivalencias de requisitos y métodos de evaluación Fiabilidad de prestación de los servicios de certificación, marco general y procedimientos
HSM CWA 14167-2, CWA 14167-3 y CWA 14167-4 o equivalente (FIPS 140-2 o ITSEC) indicando tabla de equivalencias de requisitos y métodos de evaluación Fiabilidad de prestación de los servicios de certificación, dispositivos criptográficos utilizados
DSCF CWA14169 o equivalente (FIPS o ITSEC) indicando tabla de equivalencias de requisitos y métodos de evaluación Es imprescindible que el certificado esté en un DSCF
Certificado, contenido y perfil Cumplimiento de TS 101 862
RFC3739 Perfil del certificado reconocido
Algoritmos ETSI SR 002 176 indica la referencia para evaluar luego en las normas CWA 14170 Se utilizarán algoritmos válidos y recomendados
Sistema de validación ETSI TS 101 456 puntos 4.1 y 7.3.5 Se proporcionará validación con el protocolo OCSP con la disponibilidad fiabilidad superior al 99.5%
Datos del prestador de servicios de certificación
Nombre o razón social
CIF
Domicilio social
Código postal - Localidad
Datos de contacto: Telf., Fax, Correo Electrónico&
Representante
DNI - CIF
Dirección
Código postal - Localidad
Datos de contacto: Telf., Fax, Correo Electrónico&
Datos de los certificados electrónicos cuya admisión SOLICITA:
Fecha y firma
A LA DIRECCIÓN DE ADMINISTRACIÓN ELECTRÓNICA Y ATENCIÓN A LA CIUDADANÍA. GOBIERNO VASCO.