Coloriuris Prestador de Servicios de Confianza

2.- Políticas de los servicios de CIPSC

2.1.- Estructura de CIPSC

2.1.1.- Responsable de Administración de Políticas de Coloriuris

2.1.2.- Autoridades prestadoras de los servicios de confianza de CIPSC

2.1.2.1.- Aspectos comunes

2.1.2.2.- Autoridad de certificación (AC) y Autoridad de certificación v3 (ACv3)

2.1.2.3.- Autoridad de sellado de tiempo (TSACI)

2.1.2.4.- Autoridad para los servicios relativos a los documentos electrónicos (ASD)

2.1.3.- Autoridades de registro

2.2.- Firmantes y partes usuarias

2.2.1.- Firmantes y creadores de sellos

2.2.2.- Partes usuarias

2.2.3.- Aceptación de las Políticas y declaración de prácticas

2.2.4.- Verificación de las evidencias

2.3.- Obligaciones

2.3.1.- Coloriuris

2.3.2.- Obligaciones de los firmantes y creadores de sellos

2.3.3.- Obligaciones de las partes usuarias

2.4.- Responsabilidad de CIPSC

2.5.- Datos personales y confidencialidad

2.5.1.- Protección de datos de carácter personal

2.5.2.- Información confidencial

2.5.3.- Deber de secreto

2.6.- Auditorías

2.7.- Tarifas

2.8.- Reclamaciones y jurisdicción

2.8.1.- Comunicación de las reclamaciones

2.8.2.- Jurisdicción

2.1.- Estructura de CIPSC

2.1.1.- Responsable de Administración de Políticas de Coloriuris

El Responsable de Administración de Políticas es un miembro de Coloriuris que aprobará las presentes Políticas y declaración de prácticas, así como sus modificaciones. Todos los documentos de políticas y declaración de prácticas de CIPSC deben ser aprobados por el Responsable de Administración de Políticas.

El Responsable de Administración de Políticas es responsable de que la prestación de los servicios del CIPSC se ajuste a lo dispuesto en estas Políticas y declaración de prácticas y de asegurar la efectiva ejecución de los controles previstos. Asimismo se encarga de la dirección, supervisión y control de la prestación de los servicios de CIPSC, de las operatorias seguidas por cada una de sus autoridades prestadoras de servicios y de la correcta aplicación por las mismas de lo establecido en el presente documento.

El Responsable de Administración de Políticas se encarga también de analizar los informes de las auditorías, totales o parciales, que se hagan de CIPSC y de sus servicios, así como de establecer y supervisar, en su caso, las acciones correctoras a ejecutar.

El Responsable de Administración de Políticas será nombrado y cesado por la dirección de Coloriuris, mediante resolución expresa de la que deberá quedar constancia escrita.

2.1.2.- Autoridades prestadoras de los servicios de confianza de CIPSC

2.1.2.1.- Aspectos comunes

CIPSC dispone de cuatro autoridades prestadoras de servicios, que se sujetan a las políticas y prácticas establecidas en este documento y son las siguientes:

  • Autoridad de certificación (AC): se encarga de la generación, emisión y revocación de certificados de firma electrónica y sello electrónico.
  • Autoridad de Certificación v3 (ACv3): se encarga de la generación, emisión y revocación de certificados de sello electrónico.
  • Autoridad de sellado de tiempo (TSACI): se encarga de la generación y emisión de sellos de tiempo y de certificados de entrega electrónica certificada.
  • Autoridad para los servicios relativos a los documentos electrónicos (ASD): se encarga de la prestación de los servicios de creación, verificación, validación y autenticación de documentos electrónicos y del registro y archivo de documentos electrónicos.

Cada autoridad dispone de un certificado autofirmado y puede disponer también de sellos respaldados por este certificado raíz, que serán emitidos por la propia autoridad prestadora del servicio. Las claves asociadas a estos certificados se conservarán en un dispositivo criptográfico con los niveles de seguridad establecidos en estas Políticas.

En todo caso, CIPSC quedará identificado en los certificados electrónicos raíz de cada una de sus autoridades prestadoras de servicios, así como en los certificados emitidos para la prestación de cada uno de los servicios, tanto se trate de sellos electrónicos como de los certificados personales de los administradores y operadores, y en las evidencias que sean resultado de la prestación de uno de sus servicios.

Los administradores de cada una de las autoridades son las personas que dentro de Coloriuris tienen privilegios para generar y utilizar el certificado y claves raíz de dicha autoridad, así como los sellos derivados del mismo. En todo momento dichas personas estarán expresamente identificadas en la documentación interna de la CIPSC.

2.1.2.2.- Autoridad de certificación (AC) y Autoridad de certificación v3 (ACv3)

Los servicios que presta son los siguientes:

  • Creación, verificación y validación de firmas electrónicas y sellos electrónicos: comprende los componentes técnicos y organizativos que emiten los certificados.
  • Gestión del servicio de certificación: comprende los componentes técnicos y organizativos que supervisan y controlan que la operativa de la emisión de certificados se realice de forma adecuada.

2.1.2.3.- Autoridad de sellado de tiempo (TSACI)

Los servicios que presta son los siguientes:

  • Creación, verificación y validación de sellos de tiempo: comprende los componentes técnicos y organizativos que emiten los sellos de tiempo.
  • Gestión del servicio de sellado de tiempo: comprende los componentes técnicos y organizativos que supervisan y controlan que la operativa de la emisión de sellos de tiempo se realice de forma adecuada incluyendo, en particular, la sincronización temporal con la fuente fiable de referencia.
  • Creación, verificación y validación de las evidencias asociadas a las certificaciones de remisión y recepción de entrega electrónica certificada y la gestión de emisión de entrega electrónica certificada y acreditación de ésta y de la recepción.

2.1.2.4.- Autoridad para los servicios relativos a los documentos electrónicos (ASD)

Los servicios que presta son los siguientes:

  • Generación de las evidencias asociadas a los servicios relativos a los documentos electrónicos: comprende los componentes técnicos y organizativos que emiten los documentos electrónicos autenticados por CIPSC, las diligencias de registro y las demás evidencias resultantes de la prestación de los servicios relativos a los documentos electrónicos.
  • Gestión de los servicios relativos a los documentos electrónicos: comprende los componentes técnicos y organizativos que supervisan y controlan que las operativas de autenticación de documentos electrónicos y la de registro y archivo de documentos electrónicos se realizan de forma adecuada.

La ASD opera el Archivo de documentos, que será un sistema adecuado para la preservación de los mismos, que se realizará en nombre y a cargo de CIPSC. Los administradores de la ASD, además de tener los privilegios de administración y configuración previstos en el apartado 2.1.2.1, los tendrán sobre el Archivo de documentos.

2.1.3.- Autoridades de registro

Las Autoridades de Registro (AR) reciben y procesan las solicitudes para la prestación de servicios de confianza por CIPSC y cumplen las demás funciones que, en su caso, se determinen en las correspondientes Políticas. En todo caso realizan las siguientes tareas:

  • Recepción de los datos requeridos para la prestación de los servicios y, en su caso, comprobación de la identidad de los solicitantes, firmantes y creadores de sellos de los mismos así como de las demás circunstancias que sean requeridas para la prestación.
  • Recepción y conservación de los documentos en soporte papel generados en el proceso de solicitud y prestación del servicio.

CIPSC dispondrá al menos de una AR incluida en su propia estructura. Opcionalmente podrán crearse otras AR, tanto dentro de CIPSC como a través de entidades externas, en cuyo caso será preciso que exista un contrato escrito, en el que la entidad externa deberá comprometerse expresamente a cumplir con lo dispuesto en este documento. Asimismo se establecerá la obligatoriedad de realizar auditorías, así como la periodicidad de las mismas. Las auditorías podrán ser realizadas por Coloriuris o por una entidad externa.

Los operarios de las AR dispondrán de certificados emitidos por la Autoridad de certificación de CIPSC con los que firmaran electrónicamente las solicitudes de prestación de servicios que dirijan a las diferentes autoridades, cuando así lo establezca la correspondiente Política. La comunicación telemática entre las AR y las distintas autoridades se realizará a través de canales cifrados.

2.2.- Firmantes y partes usuarias

2.2.1.- Firmantes y creadores de sellos

Los firmantes y creadores de sellos son, respectivamente, las personas físicas y jurídicas que crean una firma electrónica o un sello electrónico utilizando los servicios de certificación prestados por CIPSC y que, por lo tanto, aceptan los términos y condiciones bajo los cuales éstos se prestan.

Los firmantes y creadores de sellos son responsables del uso que hagan de los servicios de CIPSC y, en la medida de sus posibilidades, han de contribuir a que las partes usuarias puedan valorarlos adecuadamente y conocer las condiciones que rigen su uso, especialmente en lo que se refiere a los efectos y validez de los certificados, sellos de tiempo, documentos autenticados y certificados de entrega.

Algunas de las Autoridades de CIPSC utilizan los servicios de las otras Autoridades para prestar sus servicios a los firmantes y creadores de sellos. Asimismo Coloriuris S.L. utiliza los servicios de CIPSC para la prestación de algunos de sus servicios, como actaNavegacion, actaFirma o actaSMS, entre otros. En estos casos Coloriuris actúa como creador de sellos electrónicos de los servicios y tiene las obligaciones establecidas para los mismos en este documento.

2.2.2.- Partes usuarias

Las partes usuarias son las personas físicas o jurídicas que confían en la identificación electrónica y los servicios de confianza de CIPSC y en las evidencias generadas por CIPSC como resultado de los mismos, especialmente firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, documentos autenticados, certificaciones de remisión y recepción de entrega electrónica certificada y diligencias de registro.

2.2.3.- Aceptación de las Políticas y declaración de prácticas

Todos los firmantes y creadores de sellos de los servicios de CIPSC, por el mero hecho de utilizarlos, así como las partes usuarias, asumen en su totalidad lo dispuesto en la versión de las Políticas y declaración de prácticas vigentes en el momento en el que se recibió el servicio solicitado o se aceptaron las evidencias resultantes del mismo, respectivamente.

El OID de estas Políticas y declaración de prácticas se incluirá en todas las evidencias que se generen y emitan en la prestación de los servicios del CIPSC como acreditación de su conformidad con la misma. Con este mismo fin, CIPSC sólo aceptará las peticiones de servicios que incluyan el OID de estas Políticas y declaración de prácticas o que, como mínimo exigible, no incluyan la mención a otra u otras políticas en forma tal que pudiera deducirse la conformidad con las mismas.

2.2.4.- Verificación de las evidencias

Los firmantes, creadores de sellos y partes usuarias deberán actuar con la debida diligencia para comprobar la autenticidad de las evidencias provenientes de los servicios de CIPSC, verificando que han sido firmadas correctamente y que la clave privada utilizada para su firma no estaba comprometida en el momento de la verificación. Durante el periodo de validez de los certificados utilizados por las autoridades prestadoras de los servicios de CIPSC, el estado de las claves privadas podrá verificarse en las direcciones indicadas en el apartado 1.6.3.

Una vez que caduquen los certificados utilizados por CIPSC las partes usuarias podrán confiar en las firmas respaldadas por los mismos si en el momento de la verificación se conoce que la clave privada correspondiente no ha sido comprometida en ningún momento y que tanto la función hash utilizada para la generación de la evidencia, así como el algoritmo criptográfico y el tamaño de la clave utilizados para firmarla electrónicamente se consideran todavía seguros.

2.3.- Obligaciones

2.3.1.- Coloriuris

Coloriuris asume la responsabilidad de que los servicios prestados por CIPSC se realizan de acuerdo con lo dispuesto en estas Políticas y declaración de prácticas, y del cumplimiento, tanto de los requisitos y controles establecidos en las mismas, como de las disposiciones legales que sean aplicables. En particular, asume las siguientes obligaciones:

  1. Prestar los servicios de acuerdo con lo dispuesto en estas Políticas y declaración de prácticas.
  2. Garantizar que las evidencias emitidas no contienen ningún dato erróneo o falso.
  3. Utilizar tecnologías y equipos adecuados, y contar con personal con formación específica e informado de sus obligaciones.
  4. Proporcionar acceso ininterrumpido a sus servicios, excepto en caso de interrupciones programadas o incidencias graves.
  5. Llevar a cabo las revisiones y auditorías precisas para asegurar el cumplimiento de la legislación aplicable, de las Políticas y declaración de prácticas y de la normativa interna.
  6. Publicar en su web información sobre las incidencias que hayan podido afectar a los servicios de forma que sea posible conocer cuáles han sido, en su caso, las evidencias afectadas.

2.3.2.- Obligaciones de los firmantes y creadores de sellos

Es obligación de los firmantes y creadores de sellos de los servicios de CIPSC:

  1. Utilizar medios adecuados para la solicitud de los servicios y, en su caso, para la obtención de las evidencias resultantes del mismo.
  2. Verificar la validez de las evidencias, según lo dispuesto en el apartado 2.2.4.
  3. Conocer y aceptar las condiciones y limitaciones de utilización de las evidencias que se hayan establecido en la Política correspondiente.
  4. Limitar y adecuar el uso de las evidencias resultantes del servicio a lo permitido por la Política que las regule.
  5. No monitorizar la prestación de los servicios del CIPSC, ni manipularlos o alterar su correcto funcionamiento, ni realizar actos de ingeniería inversa sobre su implementación.

2.3.3.- Obligaciones de las partes usuarias

Es obligación de las partes usuarias que acepten y confíen en las evidencias emitidas por CIPSC:

  1. Verificar la validez de las evidencias, según lo dispuesto en el apartado 2.2.4.
  2. No confiar en las evidencias para usos distintos de los permitidos en la Política correspondiente.
  3. Tener conocimiento de lo dispuesto en las presentes Políticas, aceptando y sujetándose a lo dispuesto en las mismas y, en particular, a las responsabilidades aplicables en la aceptación y uso de los servicios del CIPSC y de las evidencias resultantes de los mismos.
  4. Notificar cualquier hecho o situación anómala relativa a los servicio del CIPSC y/o a las evidencias emitidas, y que pueda ser considerado como causa de revocación de las mismas.

2.4.- Responsabilidad de CIPSC

CIPSC sólo responderá en el caso de incumplimiento de las obligaciones contenidas en la legislación aplicable y en las presentes Políticas y declaración de prácticas.

CIPSC no asumirá responsabilidad alguna respecto a la utilización de las evidencias emitidas para cualquier uso no autorizado en las presentes Políticas y declaración de prácticas.

CIPSC no se responsabiliza del contenido de los documentos y datos a los que se apliquen sus servicios, y no responde de posibles daños y perjuicios en transacciones en las que se hayan utilizado.

CIPSC no representa en forma alguna a los firmantes, creadores de sellos ni partes usuarias de las evidencias que emite.

CIPSC no da ninguna garantía ni asume responsabilidad alguna, ante titulares de certificados o cualquier otra evidencia emitida ni ante las partes usuarias de las mismas, fuera de lo establecido en las presentes Políticas y declaración de prácticas.

CIPSC dispone de un seguro de responsabilidad civil, con una cobertura de tres millones de euros (3.000.000,00 €).

2.5.- Datos personales y confidencialidad

2.5.1.- Protección de datos de carácter personal

CIPSC aplica lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su normativa de desarrollo, garantizando las normas y procedimientos internos de Coloriuris a la aplicación del nivel de seguridad exigido por esta normativa.

Cuando para la prestación de un determinado servicio sea necesario recabar datos personales del firmante, se verificará que éste es informado y presta su consentimiento al tratamiento de sus datos personales, a la finalidad de éste, y a su inclusión en el fichero declarado al efecto por Coloriuris.

Los datos de carácter personal no serán comunicados a terceros sin el consentimiento expreso del titular, salvo en el supuesto de que una Ley lo autorice expresamente.

2.5.2.- Información confidencial

Se considerará confidencial toda información que no sea declarada expresamente por CIPSC como pública. En particular, tiene carácter confidencial la siguiente información:

  • Las claves privadas utilizadas por CIPSC y por sus administradores y operarios.
  • La información sobre las operaciones que lleve a cabo CIPSC.
  • La información sobre seguridad, control y procedimientos de auditoría.
  • La información de carácter personal de los firmantes.

Se considerará información pública y por lo tanto accesible por terceros la contenida en las presentes Políticas y declaración de prácticas, y aquella otra que así sea declarada por CIPSC.

2.5.3.- Deber de secreto

Todas las personas que tengan relación laboral o profesional con CIPSC están obligadas a guardar secreto de toda la información confidencial a la que tuvieran acceso en virtud de dicha relación. CIPSC les informará por escrito, al menos en el comienzo de la relación, guardando constancia de que dicha información ha sido recibida por el destinatario. Esta obligación persistirá una vez finalidad la vinculación con CIPSC.

2.6.- Auditorías

Coloriuris realizará auditorías del funcionamiento del CIPSC y de las autoridades encargadas de prestar los distintos servicios, al menos con periodicidad anual. Las auditorías deberán ser realizadas por un auditor independiente. Asimismo, y como se dispone en el apartado 2.1.3, se realizarán auditorías a las Autoridades de Registro, tanto a las integradas en la estructura de CIPSC como a las externas. Estas auditorías se realizarán como mínimo cada dos años y podrán ser realizadas por CIPSC o por una entidad externa.

En todas las auditorías se verificará, como mínimo, que las prácticas de CIPSC y sus autoridades prestadoras de servicios se ajustan a lo establecido en estas Políticas, a lo dispuesto por las autoridades administrativas y a lo establecido en la normativa vigente, así como que disponen de una metodología que garantiza la calidad de los servicios prestados.

2.7.- Tarifas

CIPSC publicará en el repositorio mencionado en el apartado 1.6.3 las tarifas que aplica para la prestación de cada uno de sus servicios.

CIPSC no aplicará ninguna tarifa por el acceso a la información necesaria para verificar la validez las evidencias emitidas, ni a las presentes Políticas y declaración de prácticas, ni a la información que, en virtud de lo dispuesto en las mismas, deba hacerse pública.

2.8.- Reclamaciones y jurisdicción

2.8.1.- Comunicación de las reclamaciones

Cuando un firmante, creador de sellos o parte usuaria tengan una reclamación respecto a los servicios de CIPSC deberá comunicársela por cualquiera de los medios de contacto indicados en el apartado 1.6.4 de este documento. CIPSC contestará a la reclamación en el plazo máximo de una semana.

2.8.2.- Jurisdicción

Los firmantes, creadores de sellos y partes usuarias de los servicios de CIPSC aceptan la jurisdicción de los juzgados y tribunales de Zaragoza para cualquier controversia que pudiera suscitarse en relación con la prestación de servicios por parte de CIPSC, con expresa renuncia de cualquier otro fuero que pudiera corresponderles.