4.1.- Declaración básica del servicio de confianza de CIPSC
4.2.- Política para la prestación de los servicios de certificación
4.2.1.2.- Clases de certificados
4.2.1.5.- Publicación y conservación de los certificados
4.2.1.6.- Registro de información y conservación de firmas
4.2.2.- Certificados de firma electrónica para persona física
4.2.2.1.- Ámbito de aplicación y usos
4.2.2.4.- Longitud de la clave
4.2.2.5.- Perfiles del certificado
4.2.3.- Certificados de firma electrónica para persona jurídica
4.2.3.1.- Ámbito de aplicación y usos
4.2.3.4.- Longitud de la clave
4.2.3.5.- Perfiles del certificado
4.3.- Declaración de prácticas
4.3.4.- Certificado raíz y sellos de la AC
4.3.4.2.- Certificado para la emisión de certificados de firma electrónica de persona física
4.3.4.4.- Certificado para la emisión de certificados de firma electrónica de persona jurídica
4.1.- Declaración básica del servicio de confianza de CIPSC
La Declaración básica del servicio de confianza de CIPSC recoge las condiciones y aspectos fundamentales de uso de los servicios de certificación que, junto a otras condiciones y aspectos más específicos, se recogen en este documento. El contenido de esta declaración básica se corresponde con el del documento denominado PKI Disclosure Statement por los estándares ETSI TS 102 042 y ETSI TS 101 456, cuyas funciones el presente apartado cumple a todos los efectos.
Mediante la presente declaración básica, CIPSC afirma que:
Titularidad
CIPSC es un servicio del Coloriuris S.L., empresa cuyos datos de contacto se encuentran en el apartado 1.6.4 de este documento.
Disponibilidad del servicio
Los servicios de confianza de CIPSC están disponibles de forma ininterrumpida todos los días del año salvo la tramitación presencial de solicitudes de certificados, que únicamente estará disponible en el horario de oficina que establezca cada una de las Autoridades de Registro.
Podrán programarse interrupciones de los servicios cuando sea estrictamente necesario por razones técnicas, en cuyo caso estas deberán anunciarse con una antelación de al menos 24 horas en el directorio indicado en el epígrafe 1.6.3.
Cuando la interrupción se deba a causas de fuerza mayor o incidencias graves, CIPSC actuará con la máxima diligencia para conseguir la puesta en marcha de los servicios, así como para minimizar los posibles perjuicios que se hayan causado a los firmantes, creadores de sellos y/o partes usuarias.
Publicación de la Política
Todos y cada uno de los certificados emitidos por CIPSC contiene el enlace a esta declaración de política y prácticas, el cual se encuentra indicado en el apartado 1.6.3 de este documento.
Mecanismos criptográficos
Los algoritmos criptográficos y la longitud de las claves utilizadas en la emisión de los certificados por CIPSC cumplen con el estándar ETSI TS 102 042 V2.4.1 Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates y son las siguientes:
- Para el cálculo del hash se admiten los siguientes algoritmos: SHA-256.
- La firma de los certificados emitidos se realiza calculando el hash mediante SHA-256 y cifrándolo con algoritmos RSA, utilizando para ello una clave cuya longitud es de al menos 2048 bits.
Validez de los certificados
CIPSC no establece otras limitaciones a la confianza que merecen sus servicios de certificación que las que son inherentes a las tecnologías utilizadas. Si se determinara que los algoritmos criptográficos o la longitud de claves utilizados han dejado de aportar un nivel adecuado de seguridad, CIPSC publicará inmediatamente dicha información en su página web.
Aplicabilidad
CIPSC considera que los usos más apropiados de los certificados que emite son la identificación de los firmantes y creadores de sellos y la firma por los mismos de documentos electrónicos.
Obligaciones
Las obligaciones de los firmantes y creadores de sellos están descritas en los apartados 2.3.2 y 4.2.1.4 del presente documento y las de las partes usuarias en este último y en el apartado 2.3.3.
Registro de las operaciones
CIPSC registra sus operaciones y conserva esta información en adecuadas condiciones de seguridad, según lo previsto en los apartados 3.3.4 y 4.2.1.5 del presente documento.
Normativa
La prestación de los servicios de confianza por parte de CIPSC se realiza de acuerdo con la legislación española y europea aplicable a la materia, con las presentes Políticas y declaración de prácticas y con la normativa interna de CIPSC y de su Autoridad de certificación.
Responsabilidad
Las responsabilidades de CIPSC y las limitaciones establecidas sobre la misma se describen en el apartado 2.4 del presente documento.
Reclamaciones
Todas las reclamaciones de usuarios y terceros sobre la prestación de servicios de certificación por CIPSC deberán serle comunicadas según lo establecido en el apartado 2.8.1 del presente documento. En el caso de que no se llegara a un acuerdo entre las partes estas se someterán a los juzgados y tribunales especificados en el apartado 2.8.2, con renuncia a cualquier otro fuero que pudiera corresponderles.
Garantía y auditorías
CIPSC garantiza que la prestación de los servicios de confianza es conforme con lo establecido en estas Políticas y declaración de prácticas. De acuerdo con las mismas Coloriuris lleva a cabo auditorías periódicas del funcionamiento de CIPSC y de las Autoridades de certificación.
Tarifas
CIPSC podrá pedir una contraprestación económica por la emisión de sus certificados, de acuerdo con las tarifas que en cada momento se encuentren publicadas en su web.
4.2.- Política para la prestación de los servicios de certificación
4.2.1.- Aspectos generales
4.2.1.1.- Finalidad y alcance
La presente Política regula la generación y emisión de certificados por CIPSC. El servicio de confianza se presta por la Autoridad de certificación de CIPSC, en colaboración con las Autoridades de registro. Todos los certificados emitidos por CIPSC contienen un enlace a la Política que se les aplica. La prestación del servicio de confianza se realiza conforme a la legislación y estándares de aplicación, los cuales se detallan en el anexo Referencias de este documento, destacándose los siguientes:
- IETF
- RCF 3647, Internet X.509 Public Key Infrastructure Certificate Policy
- RFC 3739 y 3039, Internet X.509 Public Key Infrastructure: Qualified Certificates Profile
- RFC 5280 y 3280, Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL)
- ETSI
- ETSI TS 101 456 V1.2.1 Policy requirements for certification authorities issuing qualified certificate
- ETSI TS 102 042 V1.1.1 Policy requirements for certification authorities issuing public key certificate
- ETSI TS 102 023 V1.2.1 Policy requirements for time-stamping authorities
- CA/Browser
- CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly Trusted Certificates V1
- CA/Browser Forum EV SSL Certificate Guidelines V 1.3
4.2.1.2.- Clases de certificados
Todos los certificados emitidos por CIPSC vinculan unos datos de identificación y/o de creación de firma específicos y únicos con un firmante concreto y también único.
En base a esta Política, la Autoridad de certificación del CIPSC emite los siguientes tipos de certificados:
- Certificados de firma electrónica de persona física: Acreditan la vinculación de una clave pública y una persona física. Son válidos para la identificación y para la generación de firmas electrónicas. Podrán contener como atributos:
- la vinculación de la persona física con una determinada organización y, opcionalmente, el cargo o puesto en la misma,
- la cualificación académica y/o la profesión u oficio.
- Certificados de firma electónica de persona jurídica: acreditan la vinculación de una clave pública y una persona jurídica. Son válidos para la identificación y para la generación de firmas electrónicas.
4.2.1.3.- Comunidad
La comunidad para la generación, emisión y uso de los certificados son la Autoridad de certificación (AC), según se describe en los apartados 2.1.2.1 y 2.1.2.2, las Autoridades de registro (AR), según se describen en el apartado 2.1.3, los firmantes, según se describen en el apartado 2.2.1, y las partes usuarias, según se describen en el apartado 2.2.2.
La AC es responsable de la emisión y gestión de los certificados, de la publicación de su estado y de la conservación de los certificados y de los registros sobre su actividad. Las AR recogen el compromiso del firmante con los datos de identificación y/o de creación de firma y conservan el documento acreditativo del mismo, así como la restante documentación que se establezca en su normativa interna. El firmante es la persona física o jurídica bajo cuyo control se encuentran los mencionados datos de identificación y/o de creación de firma y la única autorizada para su utilización. Las partes usuarias son aquellas personas que confían en la identificación electrónica y/o los servicios de confianza de CIPSC.
Todos ellos están sujeto a lo dispuesto en la presente Política.
4.2.1.4.- Obligaciones
Además de las obligaciones establecidas por la ley y de las enumeradas en el apartado 2.3 de este documento, se establecen las siguientes obligaciones específicas para la prestación de los servicios de firma electrónica y sello electrónico.
Autoridad de certificación
- Emitir certificados cuyo contenido mínimo sea el definido por la normativa vigente para los certificados reconocidos.
- Revocar los certificados cuando así proceda según lo dispuesto en esta Política, informando en todo caso a su titular.
- Publicar en forma apropiada los certificados emitidos y, en su caso, la revocación de los mismos.
- No almacenar ni copiar en ningún caso los datos de identificación o de creación de firma del firmante ni del creador de sellos.
- Conservar la información sobre los certificados emitidos, al menos durante el período mínimo exigido por la normativa.
Autoridades de Registro
- Comprobar mediante documentos apropiados la identidad del firmante o del creador de sellos y, en su caso, los atributos del mismo que vayan a incorporarse a los certificados.
- Conservar los documentos que se indique en esta Política y, en particular, los acreditativos del compromiso del firmante o del creador de sello del certificado con los datos de identificación y/o de creación de firma asociados al mismo.
- Comunicar a la AC, en cuanto tenga conocimiento de las mismas, la existencia de causas de revocación que afecten a uno o más certificados emitidos por CIPSC.
Firmante
- Proporcionar a la AR la información que resulte precisa para la emisión del certificado, justificándola documentalmente cuando así proceda y respondiendo de su veracidad y exactitud.
- Comunicar a la AR los cambios que puedan producirse en la información incluida en los certificados, durante el periodo de validez de los mismos.
- Custodiar los datos de identificación y/o de creación de firma o sello electrónico con la debida diligencia.
- Informar a la AR de la existencia de causas de revocación que afecten a su certificado, en cuanto tenga conocimiento de las mismas.
- Utilizar el certificado únicamente para los usos y con los fines permitidos en la presente Política.
Partes usuarias
Verificar la validez de los certificados de forma previa a la aceptación de cualquier identificación, firma o sello basada en los mismos, así como la vinculación entre éstos y los datos de identificación y/o creación de firma utilizados.
4.2.1.5.- Publicación y conservación de los certificados
CIPSC publicará en un directorio accesible a través de Internet y basado en el estándar Online Certificate Status Protocol (OCSP) todos los certificados emitidos que se encuentren vigentes en cada momento, informando de su estado, que podrá ser: valido o revocado. También publicará la lista de certificados revocados mediante listas de certificados revocados (Certificate Revocation List, CRL). El directorio dispondrá de un certificado de servidor, que garantizará su pertenencia a CIPSC, y las CRL estarán firmadas por CIPSC.
La AC dispondrá de una CRL diferenciada para cada una de las clases de certificados que emita. En caso de revocarse un certificado esta información se hará constar inmediatamente en el directorio y la AC creará una nueva CRL en el mismo instante en que se produzca la revocación quedando disponible inmediatamente en la url de la CRL correspondiente. Cuando no se haya realizado ninguna revocación la CRL se actualizará con frecuencia semanal.
Las direcciones web (URL) para la publicación serán:
Estas direcciones estarán activas permanentemente, en los términos establecidos en el apartado 3.2.10.2.
Las partes usuarias deberán comprobar la validez de los certificados, preferiblemente consultando el directorio y si no comprobando que el certificado no se encuentra incluido en la última CRL publicada.
El acceso al directorio y a las listas de certificados revocados será libre y gratuito, si bien la AC podrá exigir que se aporte algún dato del certificado a verificar, al objeto de evitar descargas masivas y accesos indiscriminados a la información.
Por otra parte, CIPSC conservará todos los certificados emitidos, con las adecuadas condiciones de seguridad y durante un periodo mínimo de veinte años, a lo largo del cual proporcionará a los firmantes y creadores de sellos la posibilidad de recuperarlos.
4.2.1.6.- Registro de información y conservación de firmas
La AC y las AR mantienen registros de toda la información relevante referente a sus operaciones, según lo establecido en los apartados 3.3.4 y 4.2.1.5. Los registros referentes a un certificado se conservarán durante todo el periodo de vigencia del mismo y durante los 15 años posteriores a la finalización del mismo.
Además de los previstos en dicho apartado, la AC mantiene registros de los siguientes eventos:
- Solicitudes de emisión y revocación de certificados
- Autorizaciones recibidas de la AR para la emisión y revocación de certificados
- Emisión y revocación de certificados
Las AR son responsables de la conservación del documento acreditativo del compromiso de los firmantes y creadores de sellos con el certificado, así como la restante documentación que se establezca en estas Políticas y en su normativa interna.
4.2.2.- Certificados de firma electrónica para persona física
4.2.2.1.- Ámbito de aplicación y usos
Es una declaración electrónica que vincula los datos de validación de una firma con una persona física y confirma, al menos, el nombre o el pseudónimo de esa persona y tendrá los efectos previstos en las leyes.
En esta Política no se establecen limitaciones respecto a los negocios jurídicos en los que estas firmas podrán ser utilizadas. Tampoco los certificados emitidos bajo la misma podrán contener ninguna restricción ni limitación.
4.2.2.2.- Contenido
El firmante quedará identificado por su nombre, apellido o apellidos, y número del documento de identificación personal, que será el documento nacional de identidad, en el caso de los españoles, y el código de identificación del país, según la norma ISO 3166-1 alfa-2 y el número de pasaporte en el caso de quienes tengan otra nacionalidad. Los firmantes no podrán identificarse mediante apodos, alias o seudónimos.
Los certificados de firma electrónica podrán contener alternativa o simultáneamente los siguientes atributos:
Vinculación a una organización
La organización se identificará por su denominación o razón social, de acuerdo con el tenor literal que conste en la documentación aportada como prueba de la vinculación. También podrán utilizarse números de identificación oficiales de la misma, como el Número de Identificación Fiscal. La función o cargo del firmante en la organización sólo se hará constar cuando esté justificada documentalmente y, asimismo, con la denominación exacta que se utilice en los documentos.
Cualificación académica, profesión u oficio
La cualificación académica, profesión u oficio se identificarán por la denominación que conste en la documentación justificativa que se aporte.
Una misma persona sólo podrá ser firmante de un único certificado de persona física sin atributos, pero podrá disponer de varios certificados que contengan atributos, siempre que éstos sean distintos en cada certificado. En este caso se podrá añadir en el CN del certificado un acrónimo que permita diferenciar los distintos certificados, en la forma que se determine en la normativa interna para cada tipo de organización, cualificación profesional, profesión u oficio.
4.2.2.3.- Periodo de validez
Los certificados para las firmas electrónicas tienen un periodo de validez de cuatro años, que comenzará en todo caso en el mismo momento de su generación.
4.2.2.4.- Longitud de la clave
Las claves certificadas de acuerdo con la presente Política se ajustarán al estándar RSA y podrán tener una longitud de 2048 Bits.
4.2.2.5.- Perfiles del certificado
El contenido de los certificados será el indicado en este apartado, quedan marcados con letra cursiva los contenidos opcionales y se considera que existen dos tipos de perfiles disponibles:
- Certificado de persona física, identificado por el OID 1.3.6.1.4.1.37799.20.1.1.1 para certificados emitidos en soporte software.
- Certificado de persona física en DSCF, identificado por el OID 1.3.6.1.4.1.37799.20.1.1.2 para certificados emitidos en un dispositivo seguro de creación de firma.
Perfil de certificado de persona física
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Subautoridad de emisión de certificados de persona física |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Asunto | |
CN |
nombre y apellido o apellidos del firmante – acrónimo identificativo del certificado |
E |
correo electrónico del firmante |
SerialNumber |
número identificativo del firmante (DNI o código país: nº pasaporte) |
Apellidos (Surname) |
apellido o apellidos del firmante |
Nombre (Given Name) |
nombre del firmante |
O |
denominación o razón social de la organización número identificativo de la organización |
OU |
función o cargo en la organización |
T |
cualificación profesional, profesión u oficio |
Clave pública |
RSA (2048 Bits) |
Uso mejorado de clave |
autenticación del cliente; correo seguro |
AIA Acceso Información del Emisor |
acceso id-ad-http https://cipsc.coloriuris.net/certificados/ac/subac/epf.crt aceso id-ad-ocsp https://ocsp.coloriuris.net |
Punto de distribución CRL |
https://cipsc.coloriuris.net/crl/ac/subac/epf.crl |
Bases del certificado |
[1]Directiva de certificados:
Identificador de directiva=1.3.6.1.4.1.37799.20.1.1.1 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=Certificado reconocido de persona física, antes de confiar en él compruebe la Política aplicable y la vigencia del mismo. [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/ |
1.3.6.1.5.5.7.1.3 -IETF / 0.4.0.1862.1.1-ETSI |
Qualified Certificate Statements |
QcCompliance |
|
QcLimitValue |
50€ |
QcRetentionPeriod |
15 años |
Uso de la clave |
identificación, firma digital, no repudio, cifrado de clave, cifrado de datos |
Perfil de certificado de persona física en DSCF
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Subautoridad de emisión de certificados de persona física |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Asunto | |
CN |
nombre y apellido o apellidos del firmante – acrónimo identificativo del certificado |
E |
correo electrónico del firmante |
SerialNumber |
número identificativo del firmante (DNI o código país: nº pasaporte) |
Apellidos (Surname) |
apellido o apellidos del firmante |
Nombre (Given Name) |
nombre del firmante |
O |
denominación o razón social de la organización
número identificativo de la organización |
OU |
función o cargo en la organización |
T |
cualificación profesional, profesión u oficio |
Clave pública |
RSA (2048 Bits) |
Uso mejorado de clave |
autenticación del cliente; correo seguro |
AIA Acceso Información del Emisor |
acceso id-ad-http https://cipsc.coloriuris.net/certificados/ac/subac/epf.crt
aceso id-ad-ocsp https://ocsp.coloriuris.net |
Punto de distribución CRL |
https://cipsc.coloriuris.net/crl/ac/subac/epf.crl |
Bases del certificado |
[1]Directiva de certificados:
Identificador de directiva=1.3.6.1.4.1.37799.20.1.1.2 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=Certificado reconocido de persona física, antes de confiar en él compruebe la Política aplicable y la vigencia del mismo. [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/ |
1.3.6.1.5.5.7.1.3 -IETF / 0.4.0.1862.1.1-ETSI |
Qualified Certificate Statements |
QcCompliance |
|
QcSSCD |
|
QcLimitValue |
50€ |
QcRetentionPeriod |
15 años |
Uso de la clave |
identificación, firma digital, no repudio, cifrado de clave, cifrado de datos |
4.2.2.6.- Perfil de CRL
El contenido de la lista de certificados de firma electrónica revocados será el siguiente:
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Subautoridad de emisión de certificados de persona física |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Periodo máximo de validez | 7 días |
Punto de distribución CRL | https://cipsc.coloriuris.net/crl/ac/subac/epf.crl |
4.2.3.- Certificados de firma electrónica para personas jurídicas
4.2.3.1.- Ámbito de aplicación y usos
Es una declaración electrónica que vincula los datos de validación de un sello con una persona jurídica y confirma el nombre de esa persona con los efectos previstos en las leyes.
Los sellos podrán ser utilizados únicamente en actuaciones automatizadas, que serán las consistentes en la elaboración de documentos en base a información previamente obrante en el sistema como, por ejemplo, facturas o certificaciones, y aquellas otras cuyo contenido esté previamente determinado por la normativa o por la programación de los sistemas como, por ejemplo, la emisión de acuses de recibo.
4.2.3.2.- Contenido
El firmante quedará identificado por su denominación o razón social y su código de identificación fiscal. Dicha información quedará reflejada en el campo CN del certificado.
Asimismo, la misma información quedará reflejada por separado en los campos O para para la denominación o razón social y SerialNumber para el código de identificación fiscal.
Una misma persona jurídica podrá disponer de más de un certificado para distintas unidades organizacionales de la misma, que se harán constar en el campo OU, o para distintas funciones, que se harán constar en el campo T. En este caso se podrá añadir en el CN del certificado un acrónimo que permita diferenciar los distintos certificados, en la forma que se determine en la normativa interna de la AC.
Además, de la información correspondiente a la persona jurídica, en el campo CN deberán incluirse el nombre y apellidos y el número de identificación fiscal del apoderado de la persona jurídica para el que se emite el certificado.
Además los certificados de persona jurídica podrán contener alternativa o simultáneamente los siguientes atributos:
Forma jurídica de la organización
La naturaleza o forma jurídica de la organización como, por ejemplo, sociedad limitada, sociedad anónima, asociación, etc., solo se hará constar cuando esté justificada documentalmente y se utilizará la denominación precisa que conste en los documentos.
Fines sociales
Los fines sociales se incorporarán tal y como consten en la documentación justificativa de los mismos, aunque podrán abreviarse siempre que no se cambien o desvirtúen de forma significativa.
4.2.3.3.- Periodo de validez
Los certificados de firma electrónica para personas jurídicas tendrán un periodo de validez de cuatro años, que comenzará en todo caso en el mismo momento de su generación.
4.2.3.4.- Longitud de la clave
Las claves certificadas de acuerdo con la presente Política se ajustarán al estándar RSA y tendrán una longitud de 2048 Bits.
4.2.3.5.- Perfiles del certificado
El contenido de los certificados será el indicado en este apartado, quedan marcados con letra cursiva los contenidos opcionales y se considera que existen dos tipos de perfiles disponibles:
- Certificado de persona jurídica, identificado por el OID 1.3.6.1.4.1.37799.20.1.2.1 para certificados emitidos en soporte software.
- Certificado de persona jurídica en DSCF, identificado por el OID 1.3.6.1.4.1.37799.20.1.2.2 para certificados emitidos en un dispositivo seguro de creación de firma.
Perfil del certificado de persona jurídica
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Subautoridad de emisión de certificados de persona jurídica |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Asunto | |
CN |
razón social o denominación legal, código de identificación fiscal de la persona jurídica, nombre y apellidos y número de identificación fiscal del apoderado. |
E |
correo electrónico del firmante |
SerialNumber |
código de identificación fiscal del firmante y forma jurídica |
OU |
unidad organizacional |
O |
razón social, denominación legal del firmante |
GN |
fines |
T |
función a la que se destina el certificado |
Clave pública | RSA (2048 Bits) |
AIA Acceso Información del Emisor | acceso id-ad-http https://cipsc.coloriuris.net/certificados/ac/subac/epj.crt
aceso id-ad-ocsp https://ocsp.coloriuris.net |
Punto de distribución CRL | https://cipsc.coloriuris.net/crl/ac/subac/epj.crl |
Bases del certificado | [1]Directiva de certificados:
Identificador de directiva=1.3.6.1.4.1.37799.0.3.1.2.0 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=Certificado cualificado de persona jurídica, antes de confiar en él compruebe la Política aplicable y la vigencia del mismo. [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/ |
1.3.6.1.5.5.7.1.3 -IETF / 0.4.0.1862.1.1-ETSI | Qualified Certificate Statements |
QcCompliance |
|
QcLimitValue |
50€ |
QcRetentionPeriod |
15 años |
Uso de la clave | identificación, firma digital, no repudio, cifrado de clave, cifrado de datos |
Perfil del certificado de persona jurídica en DSCF
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Subautoridad de emisión de certificados de persona jurídica |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Asunto | |
CN |
razón social o denominación legal, código de identificación fiscal de la persona jurídica, nombre y apellidos y número de identificación fiscal del apoderado. |
E |
correo electrónico del firmante |
SerialNumber |
código de identificación fiscal del firmante y forma jurídica |
OU |
unidad organizacional |
O |
razón social, denominación legal del firmante |
GN |
fines |
T |
función a la que se destina el certificado |
Clave pública | RSA (2048 Bits) |
AIA Acceso Información del Emisor | acceso id-ad-http https://cipsc.coloriuris.net/certificados/ac/subac/epj.crt
aceso id-ad-ocsp https://ocsp.coloriuris.net |
Punto de distribución CRL | https://cipsc.coloriuris.net/crl/ac/subac/epj.crl |
Bases del certificado | [1]Directiva de certificados:
Identificador de directiva=1.3.6.1.4.1.37799.0.3.1.2.0 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=Certificado cualificado de persona jurídica, antes de confiar en él compruebe la Política aplicable y la vigencia del mismo. [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/ |
1.3.6.1.5.5.7.1.3 -IETF / 0.4.0.1862.1.1-ETSI | Qualified Certificate Statements |
QcCompliance |
|
QcSSCD |
|
QcLimitValue |
50€ |
QcRetentionPeriod |
15 años |
Uso de la clave | identificación, firma digital, no repudio, cifrado de clave, cifrado de datos |
4.2.3.6.- Perfil de CRL
El contenido de la lista de certificados de sellos electrónicos revocados será el siguiente:
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Subautoridad de emisión de certificados de persona jurídica |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Periodo máximo de validez | 7 días |
Punto de distribución CRL | https://cipsc.coloriuris.net/crl/ac/subac/epj.crl |
4.3.- Declaración de prácticas
4.3.1.- Generación y emisión
El trámite de registro se realizará en todo caso de forma presencial (salvo en el supuesto de generación de certificados a partir de otro certificado reconocido vigente del firmante). En este trámite el personal de la Autoridad de registro tomará las medidas necesarias a evitar la posible falsificación de un certificado reconocido, para ello comprobará la identidad del firmante, o de la persona que lo represente, verificando en este caso la vigencia y suficiencia de la representación, y examinará la documentación que acredite la información a incluir en el certificado, conservando copia de la misma. El operador de la AR informará al firmante de la existencia de estas Políticas y le entregará una copia de las mismas si éste así lo solicita.
La identificación de las personas físicas que soliciten un certificado reconocido exigirá su personación ante el operador de registro de la Autoridad de Registro de CIPSC (o de las A.R. externas que puedan crearse en el futuro) y se acreditará mediante el documento nacional de identidad, pasaporte u otros medios admitidos en derecho. Podrá prescindirse de la personación si su firma en la solicitud de expedición de un certificado reconocido ha sido legitimada en presencia notarial.
En el caso de certificados reconocidos de personas jurídicas, el operador de registro de la A.R. de CIPSC (o de las A.R. externas que puedan crearse en el futuro) comprobará, además, los datos relativos a la constitución y personalidad jurídica y a la extensión y vigencia de las facultades de representación del solicitante mediante los documentos públicos que sirvan para acreditar los extremos citados de manera fehaciente y su inscripción en el correspondiente registro público.
Una vez realizadas estas comprobaciones la AR autorizará a la AC la generación del certificado, mediante una orden expresa en la que se incluirá el contenido del certificado y que deberá estar firmada por el operador de la AR responsable de la misma. CIPSC conservará dicha orden al menos durante todo el periodo de validez del certificado y 15 años más.
Seguidamente, el firmante deberá firmar la licencia de uso del certificado, que contendrá necesariamente los siguientes extremos:
- El número de serie único del certificado.
- Los datos identificativos del firmante incluidos en el certificado.
- En su caso, los atributos del firmante contenidos en el certificado.
- El compromiso con los actos de identificación y/o las firmas realizados a partir de ese momento con los datos vinculados al certificado.
- La expresa aceptación del contenido de estas Políticas y, en particular con las obligaciones que se establecen para éste.
- El reconocimiento de que los datos aportados en este trámite y en especial los incorporados al certificado son ciertos y correctos.
- El consentimiento para el tratamiento de los datos personales aportados, para su comunicación en caso de cese de actividad de la AC, y para la publicación del certificado y de su estado.
Las Claves Privadas de los firmantes son de uso y control exclusivo de éstos y generadas por ellos mismos, bien a través de Dispositivos Seguros de Creación de Firma, bien en el equipo del propio usuario u otros medios equivalentes. Posteriormente se generan las Claves Pública y Privada (en un dispositivo criptográfico – Token o Tarjeta criptográfica – si el Solicitante dispone del mismo o en el navegador u otros medios equivalentes si no dispone de dicho dispositivo) que serán vinculadas al Certificado que se generará en una fase posterior. CIPSC asigna a la solicitud un código único.
La generación de los datos de identificación y/o creación de firma y de los correspondientes datos de validación, así como la posterior puesta a disposición podrá realizarse de tres modos:
Por el propio firmante
El firmante generará los datos de identificación y/o creación de firma de forma previa al trámite de registro, accediendo para ello a una operatoria que estará disponible en la web de CIPSC. Los datos serán generados dentro del equipo que el usuario utilice para el acceso y la solicitud para la generación del certificado conteniendo los datos de validación será remitida por un canal cifrado a la AC.
Una vez realizado íntegramente el trámite de registro, el certificado será puesto a su disposición por medios telemáticos. Previamente a la entrega se comprobará que éste tiene el control efectivo sobre los datos de identificación y/o creación de firma certificados.
Si el firmante no comparece en el plazo de quince días, la solicitud se tendrá por abandonada y perderá su validez, sin que haya obligación de conservarla. Si el certificado no se entregara por resultar fallida la prueba mencionada en el párrafo anterior o por cualquier otro motivo, se tendrá por no emitido y no se publicará en la forma prevista en el apartado 4.2.1.5.
En el supuesto de generación del certificado a partir de otro certificado reconocido vigente no será precisa la comparecencia presencial a que se refiere el párrafo anterior.
En el trámite de registro
Se utilizará un token criptográfico, u otros medios equivalentes, que cumpla con los niveles de seguridad exigidos en la normativa interna de la AC y que será proporcionado al firmante por la AR, si este así lo solicita. Los datos de identificación y/o creación de firma se generarán dentro del mismo, de forma tal que no sea posible su conocimiento por la AR. El firmante deberá introducir personalmente la contraseña que proteja el contenido del token, y la AR no deberá tener en ningún momento acceso a la misma. Una vez realizado íntegramente el trámite de registro, se emitirá el certificado y se introducirá en el token criptográfico, que quedará en posesión de éste.
Por lotes
Se utilizará un token criptográfico, u otros medios equivalentes, que cumpla con los niveles de seguridad exigidos en la normativa interna de la AC y que será proporcionado al firmante por la AR o el propio equipo del usuario. Los datos de identificación y/o creación de firma se generarán dentro de éste y de forma tal que la AR no pueda conocerlos. Asimismo la AR generará la contraseña o contraseñas que protejan el contenido del token, incorporándolas a un sobre ciego o a un medio similar que garantice la total confidencialidad de las mismas y sin guardar ninguna copia. El certificado se emitirá y se introducirá en el token criptográfico. Una vez realizado íntegramente el trámite de registro, el token se entregará al firmante junto al sobre ciego o soporte que contenga las contraseñas.
Si el token no se entregara por no realizarse correctamente el acto de registro o por cualquier otro motivo, el certificado se tendrá por no emitido y no se publicará en la forma prevista en el apartado 4.2.1.5.
En el momento de la emisión del certificado, el firmante podrá solicitar a la AR que con antelación suficiente a su caducidad, proceda a la renovación sin necesidad de que medie una solicitud expresa.
4.3.2.- Renovación
La renovación implica la generación de unos nuevos datos de identificación y/o de generación de firma y los correspondientes datos de validación, así como la emisión de un nuevo certificado. En ningún caso se autorizará un nuevo certificado vinculado a datos previamente certificados.
Tanto el nombre común como, en su caso, los atributos del firmante del nuevo certificado serán los mismos que en el certificado renovado, no siendo necesaria la realización del trámite de registro.
Podrán realizarse renovaciones sucesivas de un certificado, siempre que no hayan transcurrido más de cinco años desde la realización del último trámite de registro.
El procedimiento para la renovación será el indicado a continuación, en función de la forma en la que se realizó la solicitud y generación del certificado:
Por el propio firmante
La solicitud de renovación deberá generarse dentro de los sesenta días anteriores a la caducidad del certificado a renovar. Para ello, el firmante accederá a una operatoria que estará disponible en la web de CIPSC. Los datos de identificación y/o de generación de firma serán generados dentro del equipo que el usuario utilice para el acceso y se generará una solicitud para la renovación del certificado, que deberá firmarse con el certificado a renovar y que será remitida por un canal cifrado a la AC. Una vez recibida la solicitud se generará el certificado y será puesto a disposición del firmante por medios telemáticos. Previamente a la entrega se comprobará que éste tiene el control efectivo sobre los datos de identificación y/o creación de firma certificados.
En el trámite de registro o por lotes
La renovación podrá realizarse de forma presencial, utilizando un token criptográfico, u otros medios equivalentes, que cumplan con los niveles de seguridad exigidos en esta Política y que podrá ser el mismo que contenía el certificado a renovar o en remoto a partir del propio equipo del usuario. Una vez firmada por el firmante la solicitud de renovación utilizando el certificado a renovar, se generarán los nuevos datos de identificación y/o creación de firma, de forma que la AR no pueda acceder a los mismos. El firmante deberá introducir personalmente la contraseña que proteja el contenido del token, y la AR no deberá tener en ningún momento conocimiento de la misma. Finalmente, se emitirá el certificado y se introducirá en el token criptográfico, que quedará en posesión del firmante.
La renovación también podrá realizarse por la AR, cuando el firmante así lo hubiera solicitado en el trámite de registro en los certificados emitidos por lotes o si así lo solicita posteriormente a dicho trámite. En este caso se utilizará un token criptográfico, u otros medios equivalentes, que cumplan con los niveles de seguridad exigidos en esta Política y los datos de identificación y/o creación de firma se generarán en el mismo de forma que la AR no pueda acceder a los mismos. Asimismo, la AR generará la contraseña o contraseñas que protejan el contenido del token, incorporándolas a un sobre ciego o a un medio similar que garantice la total confidencialidad de las mismas y sin guardar ninguna copia. El nuevo certificado se emitirá y se introducirá en el token criptográfico, o medio equivalente, que se entregará al firmante o creador de sellos junto al sobre ciego o soporte que contenga las contraseñas. El firmante deberá acusar recibo de ambos elementos.
Si, por cualquier motivo, el certificado no fuera descargado con éxito por el firmante o el token no se le entregara, el certificado se tendrá por no emitido y no se publicará en la forma prevista en el apartado 4.2.1.5.
La AC o la AR deberán informar al firmante de las Políticas vigentes en el momento de la renovación. También deberán conservar las solicitudes de renovación y, en su caso, el acuse de recibo del token criptográfico durante el tiempo previsto en el apartado 4.2.1.6.
4.3.3.- Revocación
La revocación es la pérdida definitiva de validez de un certificado, por causa distinta de la caducidad. CIPSC no dispone de ningún mecanismo para la suspensión provisional de la validez de los certificados.
La AC procederá obligatoriamente a la revocación de los certificados cuando se de cualquiera de las siguientes causas:
- La solicitud del firmante, que deberá hacerse de forma que permita comprobar la identidad del mismo.
- El compromiso de los datos de identificación y/o de generación de firma, o la pérdida o avería del soporte en el que se conserven.
- El fallecimiento o declaración de incapacidad del firmante, en el caso de las personas físicas, o la extinción, en el de las jurídicas.
- La inexactitud del contenido del certificado, tanto cuando esta tenga carácter originario y se detecte con posterioridad a la emisión del certificado como cuando se deba a una variación de las circunstancias.
- El incumplimiento grave por parte por parte de CIPSC o del firmante de las obligaciones establecidas en esta Política.
- El compromiso de las claves de la AC o cualquier otra causa por la que el certificado pierda su fiabilidad.
- Por resolución judicial expresa.
- El cese en la actividad de CIPSC, salvo cuando los certificados expedidos por aquel sean transferidos a otro prestador de servicios.
La AC deberá realizar los esfuerzos que razonablemente estén a su alcance para confirmar que las peticiones de revocación proceden del firmante o, en los demás supuestos, que están debidamente justificadas. Asimismo deberá proceder a la revocación con la máxima prontitud, publicándola por los medios previstos en el apartado 4.2.1.5.
Una vez revocado el certificado deberá informarse al firmante, aún cuando la solicitud de revocación hubiera procedido del mismo. En caso de error de la AC o si la revocación resultara injustificada por cualquier motivo se emitirá un nuevo certificado sin coste alguno para el firmante o creador de sellos, no aceptando CIPSC ninguna otra responsabilidad.
El servicio de gestión de las revocaciones estará disponible permanentemente en los términos previstos en el apartado 3.2.10.2.
4.3.4.- Certificado raíz y sellos de la AC
4.3.4.1.- Certificado raíz
El origen de la cadena de confianza de la AC es un certificado autofirmado emitido por CIPSC, con una longitud de clave de 4096 Bits y un periodo de validez de 20 años.
Su contenido es el siguiente:
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Raíz de la Autoridad de Certificación |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Asunto | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Raíz de la Autoridad de Certificación |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Clave pública | RSA (4096 Bits) |
AIA Acceso Información del Emisor | acceso id-ad-http https://cipsc.coloriuris.net/certificados/ac/raiz.crt
aceso id-ad-ocsp https://ocsp.coloriuris.net |
Punto de distribución CRL | https://cipsc.coloriuris.net/crl/ac/ac.crl |
Bases del certificado | [1]Directiva de certificados:
Identificador de directiva=1.3.6.1.4.1.37799.0.3.1.2.0 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=Certificado raíz de la Autoridad de Certificación de CIPSC. [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/ |
Uso de la clave | firma de certificados, firma CRL sin conexión, firma de lista de revocación de certificados (CRL) |
4.3.4.2.- Certificado para la emisión de certificados de firma electrónica de persona física
El certificado para la firma de certificados de persona física es emitido por la AC de CIPSC utilizando el certificado raíz, con una longitud de clave de 2048 Bits y un periodo de validez de 10 años.
Su contenido es el siguiente:
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Raíz de la Autoridad de Certificación |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Asunto | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Subautoridad de emisión de certificados de persona física |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Clave pública | RSA (2048 Bits) |
AIA Acceso Información del Emisor | acceso id-ad-http https://cipsc.coloriuris.net/certificados/ac/raiz.crt
aceso id-ad-ocsp https://ocsp.coloriuris.net |
Punto de distribución CRL | https://cipsc.coloriuris.net/crl/ac/ac.crl |
Bases del certificado | [1]Directiva de certificados:
Identificador de directiva=1.3.6.1.4.1.37799.0.3.1.2.0 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=SubAutoridad CIPSC para emisión de certificados de firma electrónica para persona física [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/ |
Uso de la clave | firma de certificados, firma CRL sin conexión, firma de lista de revocación de certificados (CRL) |
4.3.4.4.- Certificado para la emisión de certificados de firma electrónica para personas jurídicas
El certificado para la emisión de sellos electrónicos es emitido por la AC de CIPSC utilizando el certificado raíz, con una longitud de clave de 2048 Bits y un periodo de validez de 10 años.
Su contenido es el siguiente: