7.- Política para la prestación del servicio de entrega electrónica certificada (EEC)

7.1.- Declaración básica del servicio de entrega electrónica certificada

La Declaración básica del servicio del servicio de entrega electrónica certificada de CIPSC recoge las condiciones y aspectos fundamentales del servicio que, junto a otras condiciones y aspectos más específicos, se recogen en este documento. El contenido de esta declaración básica se corresponde con el del documento denominado PKI Disclosure Statement, que los estándares ETSI TS 102 042 y ETSI TS 101 456 establecen para los servicios de certificación electrónica.

En consecuencia, mediante la presente declaración básica, CIPSC afirma que:

Titularidad

EEC es un servicio del Coloriuris S.L., empresa cuyos datos de contacto se encuentran en el apartado 1.3.4 de este documento.

Disponibilidad del servicio

La disponibilidad del servicio es la descrita en el apartado 3.3.1 del presente documento.

Publicación de la Política

Todas y cada una de las certificaciones de remisión y recepción de envíos electrónicos emitidas por EEC contiene el identificador (OID) de la Política, cuyo valor se incluye en el apartado 2.2 de este documento.

Mecanismos criptográficos

La firma de las certificaciones de remisión y recepción de envíos electrónicos se realiza calculando el hash mediante SHA 256, y cifrándolo con algoritmos RSA, utilizando para ello una firma emitida por ASD. Todas las firmas incorporan un sello de tiempo emitido por TSACI.

Validez de las certificaciones de remisión y recepción de envíos electrónicos

EEC no establece otras limitaciones a la confianza que merece su servicio de entrega electrónica certificada que las que son inherentes a las tecnologías utilizadas. Si se determinara que los algoritmos criptográficos o la longitud de claves utilizados para la firma de las certificaciones de remisión y recepción de envíos electrónicos han dejado de aportar un nivel adecuado de seguridad, CIPSC publicará inmediatamente dicha información en su página web.

Aplicabilidad

EEC considera que el uso más apropiado del servicio de entrega electrónica certificada es la generación de una prueba documental que acredite la remisión, por parte un remitente, la recepción y, en su caso, el acceso/ descarga a/de contenido adjunto, por parte de uno o más destinatarios, de un determinado envío electrónico, así como del momento en que ambas se produjeron.

Obligaciones

Las obligaciones de las partes usuarias están descritas en el apartado en el apartado 7.2.3.

Registro de las operaciones

EEC registra sus operaciones y conserva esta información en adecuadas condiciones de seguridad, según lo previsto en el apartado 3.5.3 del presente documento.

Normativa

La prestación del servicio de entrega electrónica certificada (EEC) por parte de CIPSC se realiza de acuerdo con la legislación española y europea aplicable a la materia, recogida en el apartado 7.2.1 del presente documento, con las presentes Políticas y declaración de prácticas y con la normativa interna de Coloriuris.

Responsabilidad

Las responsabilidades de CIPSC y las limitaciones establecidas sobre la misma se describen en el apartado 4.3 del presente documento.

Reclamaciones

Todas las reclamaciones de usuarios y terceros sobre la prestación del servicio de entrega electrónica certificada deberán serle comunicadas según lo establecido en el apartado 4.7.1 del presente documento. En el caso de que no se llegara a un acuerdo entre las partes estas se someterán a los juzgados y tribunales especificados en el mencionado apartado 4.7.2, con renuncia a cualquier otro fuero que pudiera corresponderles.

Garantía y auditorías

CIPSC garantiza que la prestación del servicio de entrega electrónica certificada es conforme con las estipulaciones incluidas en estas Políticas y declaración de prácticas. En este sentido, Coloriuris llevará a cabo auditorías periódicas del funcionamiento de CIPSC, de acuerdo con las directrices establecidas en el presente documento.

Tarifas

CIPSC podrá pedir una contraprestación económica por la prestación del servicio de entrega electrónica certificada, de acuerdo con las tarifas que en cada momento se encuentren publicadas en su web.

7.2.- Aspectos generales

7.2.1.- Introducción

La presente Política regula la prestación del servicio de entrega electrónica certificada por CIPSC. CIPSC emplea una clave privada generada por ASD para la firma de las certificaciones de emisión y recepción de los envíos electrónicos. Todas y cada una de estas firmas contienen la identificación de las Políticas y declaración de prácticas que se les aplican.

7.2.2.- Comunidad de usuarios

La comunidad para la entrega electrónica certificada son CIPSC según se describe en los apartados 2.1.2.1 y 2.1.2.3, las Autoridades de registro (AR), según se describen en el apartado 2.1.3, los firmantes y creadores de sellos, según se describen en el apartado 2.2.1, y las partes usuarias, según se describen en el apartado 2.2.2.

CIPSC es responsable de la remisión o puesta a disposición de los destinatarios de los envíos y del registro fehaciente de la recepción de los mismos, cuando ésta se produzca; y, en su caso, del acceso/ descarga a/de documentación adjunta. También es responsable de la generación y emisión de certificaciones firmadas acreditando estos hechos y el momento en el que se produjeron. Son partes usuarias quienes solicitan a CIPSC la realización de una entrega certificada, así como los destinatarios que aceptan recibirla. Asimismo aquellas personas que confían en las certificaciones de remisión y recepción generadas por CIPSC.

Todos ellos estarán sujeto a lo dispuesto en la presente Política.

7.2.3.- Usos del servicio de entrega electrónica certificada

El uso más apropiado del servicio de entrega electrónica certificada es la generación de una prueba documental que acredite la remisión, por parte de CIPSC, y la recepción, por parte de uno o más destinatarios, de un determinado envío electrónico, así como del momento en que ambas se produjeron y, en su caso, del acceso/ descarga a/de documentación adjunta con la finalidad principal de que pueda ser utilizada en contextos jurídicos.

7.2.4.- Obligaciones

Además de las obligaciones establecidas por la ley y de las enumeradas en el apartado 2.2 de este documento, se establecen las siguientes obligaciones específicas para la prestación del servicio de entrega electrónica certificada.

CIPSC

1. Remitir los envíos o ponerlos a disposición del destinatario o destinatarios en la forma dispuesta en esta Política, emitiendo la correspondiente certificación.
2. Disponer los medios apropiados para que el destinatario o destinatarios del envío puedan generar de forma segura el correspondiente acuse de recibo.
3. Validar, en su caso, la firma o firmas de los destinatarios en la forma exigida por las correspondientes Políticas de Certificación.
4. Recibir y conservar los certificados de estado de entrega, generando en base a los mismos la certificación de entrega y poniendo ésta a disposición del remitente.
5. Utilizar medios de firma y sellos de tiempo apropiados para la generación de las certificaciones.
6. Garantizar la confidencialidad de los envíos, utilizando para ello del cifrado de confidencialidad cuando así se solicite.

Partes usuarias

• Garantizar que los envíos remitidos obedecen a una relación jurídica con los destinatarios y que no son comunicaciones no deseadas por los mismos, salvo cuando el envío esté amparado por lo dispuesto en una ley.
• Proporcionar a CIPSC datos de contacto de los destinatarios que sean fiables y estén actualizados.
• Cuando la parte usuaria sea el aceptante de un envío, utilizar medios de firma apropiados para la generación del correspondiente acuse de recibo y, en su caso, para el acceso al contenido cifrado.

• Verificar la validez de las firmas y sellos de tiempo incorporados en las certificaciones de remisión y recepción de envíos.
• Notificar cualquier hecho o situación anómala relativa al servicio de entrega electrónica certificada, y/o a las certificaciones emitidas, y que pueda ser considerado como causa de la perdida de fiabilidad de las mismas.

7.2.5.- Registro de información referente al servicio de entrega electrónica certificada

CIPSC mantiene registros de toda la información relevante referente a sus operaciones por un periodo de 15 años. Los registros se protegen para garantizar su integridad y confidencialidad.

Los registros están a disposición de quienes ostenten un interés legítimo para el acceso a los mismos y de las autoridades que los requieran de acuerdo con lo dispuesto en las leyes.

En particular se mantienen registros, que incluyen el momento en que se produjeron, sobre los siguientes eventos:

• Peticiones de entrega de envíos y resultado de las mismas
• Acuses de recibo emitidos por los destinatarios
• Certificaciones de remisión y recepción
• Certificados de acceso a documentos online

Los procedimientos para la generación y conservación de los mencionados registros se detalla en la documentación interna de gestión de EEC.

7.3.- Realización del servicio de entrega electrónica certificada

7.3.1.- Acceso al servicio

Los usuarios pueden solicitar la entrega electrónica certificada de uno o más envíos en las formas previstas en la documentación interna de gestión de EEC.

La dirección de acceso al servicio es https://www.coloriuris.net/envios-certificados/usuarios/coloriuris/login

7.3.2.- Disponibilidad del servicio

El servicio de entrega electrónica certificada está disponible de forma ininterrumpida, según lo dispuesto en el apartado 3.3.1.

7.3.3.- Entrega electrónica certificada

El servicio de entrega certificada se prestará con todas o alguna de las siguientes modalidades:

• Con autenticación del destinatario mediante dirección de correo electrónico.
• Con autenticación del destinatario mediante número de teléfono móvil.
• Con autenticación del destinatario mediante un certificado electrónico concreto y cifrado del mensaje.

En todo caso el remitente deberá facilitar a CIPSC, bajo su responsabilidad, la dirección de correo electrónico y/o el número de teléfono móvil del destinatario o destinatarios del envío, así como el contenido de éste y una breve descripción del mismo (asunto). En la tercera modalidad deberá aportar asimismo el certificado o certificados electrónicos (clave pública) validos de los mismos. Los destinatarios únicamente podrán acceder al envío utilizando el certificado aportado para cada uno de ellos.

CIPSC pondrá el envío a disposición del destinatario o destinatarios en el servidor de correo entrante y/o en el terminal móvil del destinatario y/o en su sitio web, al que se accederá a través de una conexión segura, existiendo para cada envío y destinatario una URL única generada de forma aleatoria y con la longitud suficiente para aportar un grado razonable de seguridad.

En la tercera modalidad el envío se cifrará previamente con la clave pública del destinatario y éste deberá probar su identidad utilizando el certificado asociado al envío antes de acceder a la operatoria de entrega del envío. La operatoria de entrega del envío informará al destinatario del remitente, de la fecha del envío y del asunto. El destinatario deberá firmar el acuse de recibo y utilizar la clave asociada al certificado indicado por el remitente.

El acuse de recibo estará en formato y tendrá, como mínimo el siguiente contenido:

• Un número de serie único
• El identificador de las Políticas y declaración de prácticas aplicables.
• El resumen (hash) del envío
• Una diligencia expresiva de la naturaleza del certificado de estado de entrega y de su carácter probatorio de la recepción del envío cuyo resumen se incorpora
• La identidad del remitente
• La identidad del destinatario
• El asunto
• La fecha y hora de recepción

CIPSC, en la tercera modalidad, verificará que la firma electrónica generada por el destinatario tiene un formato válido y que el certificado utilizado está dentro de su plazo de validez. La consulta a las correspondientes CRL o directorios de certificados revocados estará en función del PSC que haya emitido el certificado y de la clase a la que este pertenezca. CIPSC indicará en su sitio web las clases de certificados para los que se realiza esta comprobación y, en su caso, entregará al remitente, junto al acuse de recibo firmado, las evidencias acreditativas de su resultado. CIPSC no realizará ninguna comprobación sobre la correspondencia entre los datos de los certificados y la identidad de los destinatarios.

CIPSC adopta las medidas técnicas precisas para garantizar que los acuses de recibo son seguros e incluyen una firma electrónica avanzada y un sello de tiempo que acredita el momento en el que se generó la misma, con la fecha y hora correctas. Para cada acuse de recibo se conservan los certificados que establecen la cadena de confianza de la firma incorporada y, en su caso, las evidencias acreditativas del resultado de la consulta o consultas realizadas para comprobar el estado de los certificados.

7.4.- El certificado de firma de EEC

7.4.1.- Formato

Los certificados utilizados por EEC de CIPSC son emitidos por ASD, que se ajustan al estándar X.509 versión 3 y al RFC 3039 «Internet X.509 Public Key Infrastructure Qualified Certificates Profile» y que incorporan un fechado de tiempo emitido por TSACI.

Los identificadores únicos (OID) de los algoritmos con cifrado RSA utilizados son los siguientes:

• SHA256RSA: 1.2.840.113549.1.1.11

La longitud de la clave del certificado es de 2048 bits, con un periodo de validez de 10 años según el perfil indicado en el apartado 7.3.8.2.