Anexo I

Acrónimos utilizados

• AC: Autoridad de CIPSC para la prestación de servicios de confianza
• AR: Autoridad de registro
• ASD: Autoridad de CIPSC para la prestación de servicios relativos a los documentos electrónicos
• CEN-CWA: Committee Européen de Normalisation- CEN Workshop Agreement
• CIPSC: Coloriuris Prestador de Servicios de Confianza
• CN: Common Name (Nombre Común). Atributo del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500
• CRL: Certificate Revocation List (Lista de Certificados Revocados)
• DSCF: Dispositivo Seguro de Creación de Firma
• EAL: Evaluation Assurance Level
• ETSI: European Telecommunications Standard Institute
• FIPS: Federal Information Processing Standard (Estándar USA de procesado de información)
• HSM: Hardware Security Module. Módulo de seguridad criptográfico empleado para almacenar claves y realizar operaciones criptográficas de modo seguro.
• IETF: Internet Engineering Task Force (Organismo de estandarización de Internet)
• OASIS: Organization for the Advancement of Structured Information Standard
• OCSP: Online Certificate Status Protocol. Este protocolo permite comprobar en línea la vigencia de un certificado electrónico.
• OID: Object identifier (Identificador de objeto único)
• PKI: Public Key Infrastructure (Infraestructura de Clave Pública)
• PSC: Prestador de Servicios de Confianza
• RFC: Request For Comments (Estándar emitido por la IETF)
• SSCD: Secure Signtature Creation Device (Dispositivo Seguro de Creación de Firma)
• TSA: Time-stamping Authority (Autoridad de Sellado de Tiempo)
• TSACI: Autoridad de CIPSC para la prestación del servicio de sellado de tiempo
• TST: Time-stamping Token (Sello de Tiempo)
• TSU: Time-stamping Unit (Unidad de Sellado de Tiempo)
• UTC: Coordinated Universal Time (Tiempo Universal Coordinado)
• XAdES: XML Advanced Electronic Signatures

Definiciones

• Autoridades prestadoras de servicios de CIPSC: son las autoridades que prestan cada uno de los servicios de confianza del CIPSC
• Certificado de firma electrónica: una declaración electrónica que vincula los datos de validación de una firma con una persona física o jurídica y confirma, al menos, el nombre o el seudónimo de esa persona;
• Certificado de sello electrónico: una declaración electrónica que vincula los datos de validación de un sello con una persona jurídica y confirma el nombre de esa persona.
• Clave de sesión: clave que se genera de forma específica para una comunicación o sesión, terminando su utilidad una vez finalizada ésta.
• Clave pública y clave privada: la criptografía asimétrica emplea un par de claves en la que lo que se cifra con una de ellas sólo se puede descifrar con la otra y viceversa, a una de esas claves se la denomina pública (coincide con los datos de creación de la firma electrónica) y se la incluye en el certificado electrónico, mientras que a la otra se la denomina privada y únicamente es conocida por el titular del certificado.
• Datos de identificación de la persona: un conjunto de datos que permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a una persona jurídica;
• Datos de validación: los datos utilizados para validar una firma electrónica o un sello electrónico.
• Declaración de prácticas: declaración de las prácticas que una Autoridad emplea para la prestación de sus servicios.
• Documento electrónico: todo contenido almacenado en formato electrónico, en particular, texto o registro sonoro, visual o audiovisual.
• Evidencia: Son los elementos auténticos emitidos por el CIPSC. Comprenden, en particular, los certificados electrónicos, los sellos de tiempo y los certificados de emisión y recepción de envíos electrónicos certificados y, en general, cualquier documento electrónico autentico emitido como resultado de la prestación de un servicio de confianza del CIPSC y contemplado expresamente en estas Políticas y declaración del prácticas.
• Identificación electrónica: el proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona jurídica;
• Política de sellado de tiempo: conjunto de reglas que establecen la aplicabilidad del sello de tiempo y sus características de emisión.
• Prestador de servicios de certificación: persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.
• Prestador de servicios de confianza: una persona física o jurídica que presta uno o más servicios de confianza, bien como prestador cualificado o como prestador no cualificado de servicios de confianzas.
• Sello de tiempo electrónico: datos en formato electrónico que vinculan otros datos en formato electrónico con un instante concreto, aportando la prueba de que estos últimos datos existían en ese instante.
• Sello de tiempo: estructura de datos que ligan unos datos determinados a un instante de tiempo particular, proporcionando evidencia de su existencia con anterioridad a ese instante.
• Sello electrónico: datos en formato electrónico anejos a otros datos en formato electrónico, o asociados de manera lógica con ellos, para garantizar el origen y la integridad de estos últimos.
• Servicio de confianza: el servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en: la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o la creación, verificación y validación de certificados para la autenticación de sitios web, o la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.
• Servicio de entrega electrónica certificada: un servicio que permite transmitir datos entre partes terceras por medios electrónicos y aporta pruebas relacionadas con la gestión de los datos transmitidos, incluida la prueba del envío y la recepción de los datos, y que protege los datos transmitidos frente a los riesgos de pérdida, robo, deterioro o alteración no autorizada.
• Firmante: persona física que crea una firma electrónica.
• Creador de sello: persona jurídica que crea un sello electrónico.
• Parte usuaria: persona física o jurídica que confía en la identificación electrónica o el servicio de confianza.
• Tiempo universal coordinado (UTC): escala de tiempo, basada en el segundo, definida por el Comité de Radio de la Unión Internacional de Telecomunicaciones (ITU-T) TF.460-5.
• Unidad de sellado de tiempo (Time-Stamp Unit ó TSU): conjunto de hardware y software que se gestiona como una unidad y que tiene una única clave privada de firma activa en cada momento.
• Validación: el proceso de verificar y confirmar la validez de una firma o sello electrónicos.

Normativa

La normativa básica aplicable es la siguiente:

• Reglamento (UE) 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE
• Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica
• Ley 59/2003, de 19 de diciembre, de firma electrónica
• Ley Orgánica 15/1999, de 13 de diciembre, de protección de los datos de carácter personal
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal
• Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico.
• Norma Técnica de Interoperabilidad (NTI) de Documento electrónico (Resolución de la Secretaría de Estado para la Función Pública, de 19 de julio de 2011)
• NTI de Reutilización de recursos de información (Resolución de 19 de febrero de 2013)
• NTI de Política de gestión de documentos electrónicos (Resolución de 28 de junio de 2012)

Estándares

El contenido de los siguientes documentos es relevante para el desarrollo y/o aplicación de las presentes Políticas y declaración de prácticas de Coloriuris Prestador de Servicios de Confianza:

• CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly Trusted Certificates V1
• CA/Browser Forum EV SSL Certificate Guidelines V 1.3
• ETSI EN 319 401, Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers supporting Electronic Signatures.
• ETSI TS 101 456, Electronic Signatures and Infrastructures (ESI); Policy requirements for certification Authorities issuing qualified certificates.
• ETSI TS 101 733, Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES)
• ETSI TS 101 861, Time-stamping Profile.
• ETSI TS 101 903, XML Advanced Electronic Signatures (XAdES)
• ETSI TS 102 023, Electronic Signatures and Infrastructures (ESI); Policy Requirements for Time-stamping Authorities.
• ETSI TS 102 042, Policy Requirements for certification authorities issuing public key certificates.
• ETSI TS 102 176.1, Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash Functions and Asymmetric Algorithms.
• ETSI TS 102 573, Electronic Signatures and Infrastructures (ESI); Policy requirements for trust service providers signing and/or storing data objects.
• ISO/IEC 18014-1, Time-stamping services — Part 1: Framework
• RCF 3647, Internet X.509 Public Key Infrastructure Certificate Policy
• RFC 3161, Internet X.509 Public Key Infrastructure Time-stamp Protocol (TSP).
• RFC 3628, Policy Requirements for Time-Stamping Authorities (TSAs)
• RFC 3739 y 3039, Internet X.509 Public Key Infrastructure: Qualified Certificates Profile
• RFC 5280 y 3280, Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL)