5.- Servicios de sello electrónico

5.1.- Declaración básica del servicio de confianza de CIPSC

La Declaración básica de este servicio de confianza de CIPSC recoge las condiciones y aspectos fundamentales de uso de los servicios de certificación que, junto a otras condiciones y aspectos más específicos, se recogen en este documento. El contenido de esta declaración básica se corresponde con el del documento denominado PKI Disclosure Statement por los estándares ETSI EN 319 411-1 cuyas funciones el presente apartado cumple a todos los efectos.

Mediante la presente declaración básica, CIPSC afirma que:

Titularidad

CIPSC es un servicio del Coloriuris S.L., empresa cuyos datos de contacto se encuentran en el apartado 1.6.4 de este documento.

Disponibilidad del servicio

Los servicios de confianza de CIPSC están disponibles de forma ininterrumpida todos los días del año salvo la tramitación presencial de solicitudes de certificados, que únicamente estará disponible en el horario de oficina que establezca cada una de las Autoridades de Registro.

Podrán programarse interrupciones de los servicios cuando sea estrictamente necesario por razones técnicas, en cuyo caso estas deberán anunciarse con una antelación de al menos 24 horas en el directorio indicado en el epígrafe 1.6.3.

Cuando la interrupción se deba a causas de fuerza mayor o incidencias graves, CIPSC actuará con la máxima diligencia para conseguir la puesta en marcha de los servicios, así como para minimizar los posibles perjuicios que se hayan causado a los firmantes, creadores de sellos y/o partes usuarias.

Publicación de la Política

Todos y cada uno de los certificados emitidos por CIPSC-v3 contienen el enlace del documento PKI Disclosure Statement, accesible desde la url: https://cipsc.coloriuris.net/pds/en.pdf

Mecanismos criptográficos

Los algoritmos criptográficos y la longitud de las claves utilizadas en la emisión de los certificados por CIPSC cumplen con el estándar ETSI TS 119 312 Electronic Signatures and Infrastructures (ESI); Cryptographic Suites y son las siguientes:

• Para el cálculo del hash se admiten los siguientes algoritmos: SHA-256.
• La firma de los certificados emitidos se realiza calculando el hash mediante SHA-256 y cifrándolo con algoritmos RSA, utilizando para ello una clave cuya longitud es de al menos 2048 bits.

Validez de los certificados

CIPSC no establece otras limitaciones a la confianza que merecen sus servicios de certificación que las que son inherentes a las tecnologías utilizadas. Si se determinara que los algoritmos criptográficos o la longitud de claves utilizados han dejado de aportar un nivel adecuado de seguridad, CIPSC publicará inmediatamente dicha información en su página web.

Aplicabilidad

CIPSC considera que los usos más apropiados de los certificados que emite son la identificación de creadores de sellos y la firma por los mismos de documentos electrónicos (incluida factura electrónica).

Obligaciones

Las obligaciones de los creadores de sellos están descritas en el apartado 5.2.1.4 del presente documento y las de las partes usuarias en este último y en el apartado 2.3.3.

Registro de las operaciones

CIPSC registra sus operaciones y conserva esta información en adecuadas condiciones de seguridad, según lo previsto en los apartados 3.3.4 y 5.2.1.5 del presente documento.

Normativa

La prestación de los servicios de confianza por parte de CIPSC se realiza de acuerdo con la legislación española y europea aplicable a la materia, con las presentes Políticas y declaración de prácticas y con la normativa interna de CIPSC y de su Autoridad de Certificación.

Responsabilidad

Las responsabilidades de CIPSC y las limitaciones establecidas sobre la misma se describen en el apartado 2.4 del presente documento.

Reclamaciones

Todas las reclamaciones de usuarios y terceros sobre la prestación de servicios de certificación por CIPSC deberán serle comunicadas según lo establecido en el apartado 2.8.1 del presente documento. En el caso de que no se llegara a un acuerdo entre las partes estas se someterán a los juzgados y tribunales especificados en el apartado 2.8.2, con renuncia a cualquier otro fuero que pudiera corresponderles.

Garantía y auditorías

CIPSC garantiza que la prestación de los servicios de confianza es conforme con lo establecido en estas Políticas y declaración de prácticas. De acuerdo con las mismas Coloriuris lleva a cabo auditorías periódicas del funcionamiento de CIPSC y de las Autoridades de Certificación.

Tarifas

CIPSC podrá pedir una contraprestación económica por la emisión de sus certificados, de acuerdo con las tarifas que en cada momento se encuentren publicadas en su web.

5.2.- Política para la prestación de los servicios de certificación

5.2.1.- Aspectos generales

5.2.1.1.- Finalidad y alcance

La presente Política regula la generación y emisión de certificados por CIPSC. El servicio de confianza se presta por la Autoridad de certificación de CIPSC, en colaboración con las Autoridades de registro. Todos los certificados emitidos por CIPSC contienen un enlace a la la Política que se les aplica. La prestación del servicio de confianza se realiza conforme a la legislación y estándares de aplicación, los cuales se detallan en el anexo Referencias de este documento, destacándose los siguientes:

• IETF
  • RCF 3647, Internet X.509 Public Key Infrastructure Certificate Policy
  • RFC 3739 y 3039, Internet X.509 Public Key Infrastructure: Qualified Certificates Profile
  • RFC 5280 y 3280, Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL)
• ETSI
  • ETSI EN 319 412-1 Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures
  • ETSI EN 319 412-3 Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 3: Certificate profile for certificates issued to legal persons
  • ETSI EN 319 412-5 Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QCStatementss
  • ETSI TS 102 042 V1.1.1 Policy requirements for certification authorities issuing public key certificate
• CA/Browser
  • CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly Trusted Certificates V1
  • CA/Browser Forum EV SSL Certificate Guidelines V 1.3

5.2.1.2.- Clases de certificados

Todos los certificados emitidos por CIPSC vinculan unos datos de identificación y/o de creación de firma específicos y únicos con un creador de sellos concreto y también único.

En base a esta Política, la Autoridad de certificación del CIPSC emite los siguientes tipos de certificados:

• Certificados de sello electrónico (persona jurídica): acreditan la vinculación de una clave pública y una persona jurídica. Son válidos para la identificación y para la generación de sellos electrónicos.

5.2.1.3.- Comunidad

La comunidad para la generación, emisión y uso de los certificados son la Autoridad de Certificación v3 (ACv3), según se describe en los apartados 2.1.2.1 y 2.1.2.2, las Autoridades de registro (AR), según se describen en el apartado 2.1.3, los creadores de sellos, según se describen en el apartado 2.2.1, y las partes usuarias, según se describen en el apartado 2.2.2.

La AC es responsable de la emisión y gestión de los certificados, de la publicación de su estado y de la conservación de los certificados y de los registros sobre su actividad. Las AR recogen el compromiso del creador del sello con los datos de identificación y/o de creación de sellos y conservan el documento acreditativo del mismo, así como la restante documentación que se establezca en su normativa interna. El creador de sellos es la persona jurídica bajo cuyo control se encuentran los mencionados datos de identificación y/o de creación de firma y la única autorizada para su utilización. Las partes usuarias son aquellas personas que confían en la identificación electrónica y/o los servicios de confianza de CIPSC.

Todos ellos están sujetos a lo dispuesto en la presente Política.

5.2.1.4.- Obligaciones

Además de las obligaciones establecidas por ley y de las enumeradas en el apartado 2.3 de este documento, se establecen las siguientes obligaciones específicas para la prestación del servicio de sello electrónico.

Autoridad de certificación

6. Emitir certificados cuyo contenido mínimo sea el definido por la normativa vigente para los certificados reconocidos.
7. Revocar los certificados cuando así proceda según lo dispuesto en esta Política, informando en todo caso a su titular.
8. Publicar en forma apropiada los certificados emitidos y, en su caso, la revocación de los mismos.
9. No almacenar ni copiar en ningún caso los datos de identificación o de creación de firma del firmante ni del creador de sellos.
10. Conservar la información sobre los certificados emitidos, al menos durante el período mínimo exigido por la normativa.

Autoridades de Registro

4. Comprobar mediante documentos apropiados la identidad del firmante o del creador de sellos y, en su caso, los atributos del mismo que vayan a incorporarse a los certificados.
5. Conservar los documentos que se indique en esta Política y, en particular, los acreditativos del compromiso del firmante o del creador de sello del certificado con los datos de identificación y/o de creación de firma asociados al mismo.
6. Comunicar a la AC, en cuanto tenga conocimiento de las mismas, la existencia de causas de revocación que afecten a uno o más certificados emitidos por CIPSC.

Creador de sello

6. Proporcionar a la AR la información que resulte precisa para la emisión del certificado, justificándola documentalmente cuando así proceda y respondiendo de su veracidad y exactitud.
7. Comunicar a la AR los cambios que puedan producirse en la información incluida en los certificados, durante el periodo de validez de los mismos.
8. Custodiar los datos de identificación y/o de creación de sello electrónico con la debida diligencia.
9. Informar a la AR de la existencia de causas de revocación que afecten a su certificado, en cuanto tenga conocimiento de las mismas.
10. Utilizar el certificado únicamente para los usos y con los fines permitidos en la presente Política.

Partes usuarias

Verificar la validez de los certificados de forma previa a la aceptación de cualquier identificación, firma o sello basada en los mismos, así como la vinculación entre éstos y los datos de identificación y/o creación de firma utilizados.

5.2.1.5.- Publicación y conservación de los certificados

CIPSC publicará en un directorio accesible a través de Internet y basado en el estándar Online Certificate Status Protocol (OCSP) todos los certificados emitidos que se encuentren vigentes en cada momento, informando de su estado, que podrá ser: valido o revocado. También publicará la lista de certificados revocados mediante listas de certificados revocados (Certificate Revocation List, CRL). El directorio dispondrá de un certificado de servidor, que garantizará su pertenencia a CIPSC, y las CRL estarán firmadas por CIPSC.

La AC dispondrá de una CRL diferenciada para cada una de las clases de certificados que emita. En caso de revocarse un certificado esta información se hará constar inmediatamente en el directorio y la AC creará una nueva CRL en el mismo instante en que se produzca la revocación quedando disponible inmediatamente en la url de la CRL correspondiente. Cuando no se haya realizado ninguna revocación la CRL se actualizará con frecuencia semanal.

Las direcciones web (URL) para la publicación serán:

• https://ocsp.coloriuris.net
• https://cipsc.coloriuris.net/crl

Estas direcciones estarán activas permanentemente, en los términos establecidos en el apartado 3.2.10.2.

Las partes usuarias deberán comprobar la validez de los certificados, preferiblemente consultando el directorio y si no comprobando que el certificado no se encuentra incluido en la última CRL publicada.

El acceso al directorio y a las listas de certificados revocados será libre y gratuito, si bien la AC podrá exigir que se aporte algún dato del certificado a verificar, al objeto de evitar descargas masivas y accesos indiscriminados a la información.

Por otra parte, CIPSC conservará todos los certificados emitidos, con las adecuadas condiciones de seguridad y durante un periodo mínimo de veinte años, a lo largo del cual proporcionará a los creadores de sellos la posibilidad de recuperarlos.

5.2.1.6.- Registro de información y conservación de sellos electrónicos

La AC y las AR mantienen registros de toda la información relevante referente a sus operaciones, según lo establecido en los apartados 3.3.4 y 5.2.1.5. Los registros referentes a un certificado se conservarán durante todo el periodo de vigencia del mismo y durante los 15 años posteriores a la finalización del mismo.

Además de los previstos en dicho apartado, la AC mantiene registros de los siguientes eventos:

• Solicitudes de emisión y revocación de certificados
• Autorizaciones recibidas de la AR para la emisión y revocación de certificados
• Emisión y revocación de certificados

Las AR son responsables de la conservación del documento acreditativo del compromiso de los creadores de sellos con el certificado, así como la restante documentación que se establezca en estas Políticas y en su normativa interna.

5.2.2.- Certificado de sello electrónico

5.2.2.1.- Ámbito de aplicación y usos

Es una declaración electrónica que vincula los datos de validación de un sello con una persona jurídica y confirma el nombre de esa entidad con los efectos previstos en las leyes.

Los sellos podrán ser utilizados únicamente en actuaciones automatizadas, que serán las consistentes en la elaboración de documentos en base a información previamente obrante en el sistema como, por ejemplo, facturas o certificaciones, y aquellas otras cuyo contenido esté previamente determinado por la normativa o por la programación de los sistemas como, por ejemplo, la emisión de acuses de recibo.

5.2.2.2.- Contenido

El creador de sello electrónico quedará identificado por su denominación o razón social y su código de identificación fiscal. Dicha información quedará reflejada en el campo CN del certificado.

Asimismo, la misma información quedará reflejada por separado en los campos O para para la denominación o razón social y organizationIdentifier para el código de identificación fiscal, que quedará reflejado en el certificado con la notación indicada por el estándar ETSI EN 319 412-1 para las personas jurídicas.

El certificado también deberá incluir obligatoriamente el país de residencia de la persona jurídica, éste quedará reflejado mediante el código ISO 3166 de dos letras en el campo C.

Una misma persona jurídica podrá disponer de más de un certificado para distintas unidades organizacionales de la misma, que se harán constar en el campo OU, o para distintas funciones, que se harán constar en el campo T. En este caso se podrá añadir en el CN del certificado un acrónimo que permita diferenciar los distintos certificados, en la forma que se determine en la normativa interna de la AC.

Además los certificados de sello electrónico podrán contener alternativa o simultáneamente los siguientes atributos:

Forma jurídica de la organización

La naturaleza o forma jurídica de la organización como, por ejemplo, sociedad limitada, sociedad anónima, asociación, etc., solo se hará constar cuando esté justificada documentalmente y se utilizará la denominación precisa que conste en los documentos.

Fines sociales

Los fines sociales se incorporarán tal y como consten en la documentación justificativa de los mismos, aunque podrán abreviarse siempre que no se cambien o desvirtúen de forma significativa.

5.2.2.3.- Periodo de validez

Los certificados de sello electrónico tendrán un periodo de validez de cuatro años, que comenzará en todo caso en el mismo momento de su generación.

5.2.2.4.- Longitud de la clave

Las claves certificadas de acuerdo con la presente Política se ajustarán al estándar RSA y tendrán una longitud de 2048 Bits.

5.2.2.5.- Perfiles del certificado

El contenido del certificado será el indicado en este apartado, quedan marcados con letra cursiva los contenidos opcionales y se considera que existen dos tipos de perfiles disponibles, Certificado de sello electrónico y Certificado de sello electrónico en dispositivo seguro de creación de firma.

• Certificado de sello electrónico, identificado por el OID 1.3.6.1.4.1.37799.20.2.2.1, para aquellos certificados emitidos en soporte software.
• Certificado de sello electrónico en dispositivo seguro de creación de firma, identificado por el OID 1.3.6.1.4.1.37799.20.2.2.2, que corresponde a aquellos certificados que se emitan para ser utilizados en un dispositivo SSCD.

Perfil de certificado de sello electrónico

Emisor (Issuer)
E	cipsc@coloriuris.net
CN	CIPSC – Emisión de certificados de persona jurídica
oganizationIdentifier (2.5.4.97)	VATES-B99091696
OU	Prestador de servicios de Confianza
O	Coloriuris S.L.
L	Zaragoza
C	ES
Asunto
CN	razón social o denominación legal y código de identificación fiscal de la persona jurídica
E	correo electrónico del creador de sellos
oganizationIdentifier (2.5.4.97)	código de identificación fiscal del creador de sello con la semántica indicada por ETSI 319 412-1
OU	unidad organizacional
O	razón social, denominación legal del creador de sellos
GN	fines
T	función a la que se destina el certificado
C	País de residencia de la persona jurídica
Clave pública	RSA (2048 Bits)
Uso mejorado de clave	autenticación del cliente; correo seguro
AIA Acceso Información del Emisor	acceso id-ad-http https://cipsc.coloriuris.net/certificados/ac/subac/epj-v3.crt aceso id-ad-ocsp https://ocsp.coloriuris.net
Punto de distribución CRL	https://cipsc.coloriuris.net/crl/ac/subac/epj-v3.crl
Bases del certificado	[1]Directiva de certificados: Identificador de directiva=0.4.0.194112.1.1 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=Certificado cualificado de sello electrónico, antes de confiar en él compruebe la Política aplicable y la vigencia del mismo. [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/
1.3.6.1.5.5.7.1.3 -IETF / 0.4.0.1862.1.1-ETSI	Qualified Certificate Statements
QCSyntax-v2	id-etsi-qcs-SemanticsId-Legal (0.4.0.194121.1.2)
QcCompliance
QcLimitValue	50€
QcRetentionPeriod	15 años
QcPDS	{ https://cipsc.coloriuris.net/pds/en.pdf, en }
QcType	Id-etsi-qct-eseal (0.4.0.1862.1.6.2)
Uso de la clave	identificación, sello electrónico, no repudio, cifrado de clave, cifrado de datos

 

Perfil de certificado de sello electrónico en dispositivo seguro de creación de firma

 

Emisor (Issuer)
E	cipsc@coloriuris.net
CN	CIPSC – Emisión de certificados de persona jurídica
oganizationIdentifier (2.5.4.97)	VATES-B99091696
OU	Prestador de servicios de Confianza
O	Coloriuris S.L.
L	Zaragoza
C	ES
Asunto
CN	razón social o denominación legal y código de identificación fiscal de la persona jurídica
E	correo electrónico del creador de sellos
oganizationIdentifier (2.5.4.97)	código de identificación fiscal del creador de sello con la semántica indicada por ETSI 319 412-1
OU	unidad organizacional
O	razón social, denominación legal del creador de sellos
GN	fines
T	función a la que se destina el certificado
C	País de residencia de la persona jurídica
Clave pública	RSA (2048 Bits)
Uso mejorado de clave	autenticación del cliente; correo seguro
AIA Acceso Información del Emisor	acceso id-ad-http https://cipsc.coloriuris.net/certificados/ac/subac/epj-v3.crt aceso id-ad-ocsp https://ocsp.coloriuris.net
Punto de distribución CRL	https://cipsc.coloriuris.net/crl/ac/subac/epj-v3.crl
Bases del certificado	[1]Directiva de certificados: Identificador de directiva=0.4.0.194112.1.3 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=Certificado cualificado de sello electrónico con clave privada en DSCF, antes de confiar en él compruebe la Política aplicable y la vigencia del mismo. [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/
1.3.6.1.5.5.7.1.3 -IETF / 0.4.0.1862.1.1-ETSI	Qualified Certificate Statements
QCSyntax-v2	id-etsi-qcs-SemanticsId-Legal (0.4.0.194121.1.2)
QcCompliance
QcLimitValue	50€
QcRetentionPeriod	15 años
QcSSCD
QcPDS	{ https://cipsc.coloriuris.net/pds/en.pdf, en }
QcType	Id-etsi-qct-eseal (0.4.0.1862.1.6.2)
Uso de la clave	identificación, sello electrónico, no repudio, cifrado de clave, cifrado de datos

 

5.2.2.6.- Perfil de CRL

El contenido de la lista de certificados de sellos electrónicos revocados será el siguiente:

 

Emisor (Issuer)
E	cipsc@coloriuris.net
CN	CIPSC – Emisión de certificados de persona jurídica
oganizationIdentifier (2.5.4.97)	VATES-B99091696
OU	Prestador de servicios de Confianza
O	Coloriuris S.L.
L	Zaragoza
C	ES
Periodo máximo de validez	7 días
Punto de distribución CRL	https://cipsc.coloriuris.net/crl/ac/subac/epj-v3.crl

 

5.3.- Declaración de prácticas

5.3.1.- Generación y emisión

El trámite de registro se realizará en todo caso de forma presencial (salvo en el supuesto de generación de certificados a partir de otro certificado reconocido vigente del creador del sello). En este trámite el personal de la Autoridad de registro tomará las medidas necesarias a evitar la posible falsificación de un certificado reconocido, para ello comprobará la identidad del creador de sello electrónico y de la persona que lo represente, verificando en este caso la vigencia y suficiencia de la representación, y examinará la documentación que acredite la información a incluir en el certificado, conservando copia de la misma. El operador de la AR informará al creador de sello electrónico de la existencia de estas Políticas y le entregará una copia de las mismas si éste así lo solicita.

En el caso de certificados reconocidos de personas jurídicas (sellos electrónicos conforme a la denominación dada por R.U.E. 910/2014), el operador de registro de la A.R. de CIPSC (o de las A.R. externas que puedan crearse en el futuro) comprobará, además, los datos relativos a la constitución y personalidad jurídica y a la extensión y vigencia de las facultades de representación del solicitante mediante los documentos públicos que sirvan para acreditar los extremos citados de manera fehaciente y su inscripción en el correspondiente registro público.

Una vez realizadas estas comprobaciones la AR autorizará a la AC la generación del certificado, mediante una orden expresa en la que se incluirá el contenido del certificado y que deberá estar firmada por el operador de la AR responsable de la misma. CIPSC conservará dicha orden al menos durante todo el periodo de validez del certificado y 15 años más.

Seguidamente, el creador de sello electrónico deberá firmar la licencia de uso del certificado, que contendrá necesariamente los siguientes extremos:

• El número de serie único del certificado.
• Los datos identificativos del creador de sello incluidos en el certificado.
• En su caso, los atributos del creador de sello contenidos en el certificado.
• El compromiso con los actos de identificación y/o sellos electrónicos realizados a partir de ese momento con los datos vinculados al certificado.
• La expresa aceptación del contenido de estas Políticas y, en particular con las obligaciones que se establecen para éste.
• El reconocimiento de que los datos aportados en este trámite y en especial los incorporados al certificado son ciertos y correctos.
• El consentimiento – en su caso – para el tratamiento de los datos personales aportados, para su comunicación en caso de cese de actividad de la AC, y para la publicación del certificado y de su estado.

Las Claves Privadas de los creadores de sellos son de uso y control exclusivo de éstos y generadas por ellos mismos, bien a través de Dispositivos Seguros de Creación de Firma, bien en el equipo del propio usuario u otros medios equivalentes. Posteriormente se generan las Claves Pública y Privada (en un dispositivo criptográfico – Token o Tarjeta criptográfica – si el Solicitante dispone del mismo o en el navegador u otros medios equivalentes si no dispone de dicho dispositivo) que serán vinculadas al Certificado que se generará en una fase posterior. CIPSC asigna a la solicitud un código único.

La generación de los datos de identificación y/o creación de sello electrónico y de los correspondientes datos de validación, así como la posterior puesta a disposición podrá realizarse de tres modos:

Por el propio creador de sello

El creador de sello generará los datos de identificación y/o creación de sello-e de forma previa al trámite de registro, accediendo para ello a una operatoria que estará disponible en la web de CIPSC. Los datos serán generados dentro del equipo que el usuario utilice para el acceso y la solicitud para la generación del certificado conteniendo los datos de validación será remitida por un canal cifrado a la AC.

Una vez realizado íntegramente el trámite de registro, el certificado será puesto a su disposición por medios telemáticos. Previamente a la entrega se comprobará que éste tiene el control efectivo sobre los datos de identificación y/o creación de sello electrónico.

Si el creador de sello-e no comparece en el plazo de quince días, la solicitud se tendrá por abandonada y perderá su validez, sin que haya obligación de conservarla. Si el certificado no se entregara por resultar fallida la prueba mencionada en el párrafo anterior o por cualquier otro motivo, se tendrá por no emitido y no se publicará en la forma prevista en el apartado 4.2.1.5.

En el supuesto de generación del certificado a partir de otro certificado reconocido vigente no será precisa la comparecencia presencial a que se refiere el párrafo anterior.

En el trámite de registro

Se utilizará un token criptográfico, u otros medios equivalentes, que cumpla con los niveles de seguridad exigidos en la normativa interna de la AC y que será proporcionado al creador de sello-e por la AR, si éste así lo solicita. Los datos de identificación y/o creación de sello-e se generarán dentro del mismo, de forma tal que no sea posible su conocimiento por la AR. El creador de sello-e deberá introducir personalmente la contraseña que proteja el contenido del token, y la AR no deberá tener en ningún momento acceso a la misma. Una vez realizado íntegramente el trámite de registro, se emitirá el certificado y se introducirá en el token criptográfico, que quedará en posesión de éste.

Por lotes

Se utilizará un token criptográfico, u otros medios equivalentes, que cumpla con los niveles de seguridad exigidos en la normativa interna de la AC y que será proporcionado al creador de sello-e por la AR o el propio equipo del usuario. Los datos de identificación y/o creación de sello-e se generarán dentro de éste y de forma tal que la AR no pueda conocerlos. Asimismo la AR generará la contraseña o contraseñas que protejan el contenido del token, incorporándolas a un sobre ciego o a un medio similar que garantice la total confidencialidad de las mismas y sin guardar ninguna copia. El certificado se emitirá y se introducirá en el token criptográfico. Una vez realizado íntegramente el trámite de registro, el token se entregará al creador de sello-e junto al sobre ciego o soporte que contenga las contraseñas.

Si el token no se entregara por no realizarse correctamente el acto de registro o por cualquier otro motivo, el certificado se tendrá por no emitido y no se publicará en la forma prevista en el apartado 4.2.1.5.

En el momento de la emisión del certificado, el creador de sello-e podrá solicitar a la AR que con antelación suficiente a su caducidad, proceda a la renovación sin necesidad de que medie una solicitud expresa.

5.3.2.- Renovación

La renovación implica la generación de unos nuevos datos de identificación y/o de generación de sello-e y los correspondientes datos de validación, así como la emisión de un nuevo certificado. En ningún caso se autorizará un nuevo certificado vinculado a datos previamente certificados.

Tanto el nombre común como, en su caso, los atributos del creador de sello del nuevo certificado serán los mismos que en el certificado renovado, no siendo necesaria la realización del trámite de registro.

Podrán realizarse renovaciones sucesivas de un certificado, siempre que no hayan transcurrido más de cinco años desde la realización del último trámite de registro.

El procedimiento para la renovación será el indicado a continuación, en función de la forma en la que se realizó la solicitud y generación del certificado:

Por el propio creador de sello

La solicitud de renovación deberá generarse dentro de los sesenta días anteriores a la caducidad del certificado a renovar. Para ello, el creador de sello-e accederá a una operatoria que estará disponible en la web de CIPSC. Los datos de identificación y/o de generación de sello electrónico serán generados dentro del equipo que el usuario utilice para el acceso y se generará una solicitud para la renovación del certificado, que deberá firmarse con el certificado a renovar y que será remitida por un canal cifrado a la AC. Una vez recibida la solicitud se generará el certificado y será puesto a disposición del creador de sello-e por medios telemáticos. Previamente a la entrega se comprobará que éste tiene el control efectivo sobre los datos de identificación y/o creación de firma certificados.

En el trámite de registro o por lotes

La renovación podrá realizarse de forma presencial, utilizando un token criptográfico, u otros medios equivalentes, que cumplan con los niveles de seguridad exigidos en esta Política y que podrá ser el mismo que contenía el certificado a renovar o en remoto a partir del propio equipo del usuario. Una vez firmada por el creador de sello-e la solicitud de renovación utilizando el certificado a renovar, se generarán los nuevos datos de identificación y/o creación de firma, de forma que la AR no pueda acceder a los mismos. El creador de sello-e deberá introducir personalmente la contraseña que proteja el contenido del token, y la AR no deberá tener en ningún momento conocimiento de la misma. Finalmente, se emitirá el certificado y se introducirá en el token criptográfico, que quedará en posesión del creador de sello-e.

La renovación también podrá realizarse por la AR, cuando el creador de sello-e así lo hubiera solicitado en el trámite de registro en los certificados emitidos por lotes o si así lo solicita posteriormente a dicho trámite. En este caso se utilizará un token criptográfico, u otros medios equivalentes, que cumplan con los niveles de seguridad exigidos en esta Política y los datos de identificación y/o creación de sello electrónico se generarán en el mismo de forma que la AR no pueda acceder a los mismos. Asimismo, la AR generará la contraseña o contraseñas que protejan el contenido del token, incorporándolas a un sobre ciego o a un medio similar que garantice la total confidencialidad de las mismas y sin guardar ninguna copia. El nuevo certificado se emitirá y se introducirá en el token criptográfico, o medio equivalente, que se entregará al creador de sellos junto al sobre ciego o soporte que contenga las contraseñas. El creador de sello-e deberá acusar recibo de ambos elementos.

Si, por cualquier motivo, el certificado no fuera descargado con éxito por el creador de sello-e o el token no se le entregara, el certificado se tendrá por no emitido y no se publicará en la forma prevista en el apartado 5.2.1.5.

La AC o la AR deberán informar al creador de sello-e de las Políticas vigentes en el momento de la renovación. También deberán conservar las solicitudes de renovación y, en su caso, el acuse de recibo del token criptográfico durante el tiempo previsto en el apartado 5.2.1.6.

5.3.3.- Revocación

La revocación es la pérdida definitiva de validez de un certificado, por causa distinta de la caducidad. CIPSC no dispone de ningún mecanismo para la suspensión provisional de la validez de los certificados.

La AC procederá obligatoriamente a la revocación de los certificados cuando se de cualquiera de las siguientes causas:

• La solicitud del creador de sello-e, que deberá hacerse de forma que permita comprobar la identidad del mismo.
• El compromiso de los datos de identificación y/o de generación de sello-e, o la pérdida o avería del soporte en el que se conserven.
• La extinción del creador de sello electrónico.
• La inexactitud del contenido del certificado, tanto cuando esta tenga carácter originario y se detecte con posterioridad a la emisión del certificado como cuando se deba a una variación de las circunstancias.
• El incumplimiento grave por parte por parte de CIPSC o del creador de sello-e de las obligaciones establecidas en esta Política.
• El compromiso de las claves de la AC o cualquier otra causa por la que el certificado pierda su fiabilidad.
• Por resolución judicial expresa.
• El cese en la actividad de CIPSC, salvo cuando los certificados expedidos por aquel sean transferidos a otro prestador de servicios.

La AC deberá realizar los esfuerzos que razonablemente estén a su alcance para confirmar que las peticiones de revocación proceden del creador de sello-e o, en los demás supuestos, que están debidamente justificadas. Asimismo deberá proceder a la revocación con la máxima prontitud, publicándola por los medios previstos en el apartado 5.2.1.5.

Una vez revocado el certificado deberá informarse al creador de sello-e, aún cuando la solicitud de revocación hubiera procedido del mismo. En caso de error de la AC o si la revocación resultara injustificada por cualquier motivo se emitirá un nuevo certificado sin coste alguno para el creador de sellos, no aceptando CIPSC ninguna otra responsabilidad.

El servicio de gestión de las revocaciones estará disponible permanentemente en los términos previstos en el apartado 3.2.10.2.

5.3.4.- Certificado raíz y sellos de la AC

5.3.4.1.- Certificado raíz

El origen de la cadena de confianza de la AC es un certificado autofirmado emitido por CIPSC, con una longitud de clave de 4096 Bits y un periodo de validez de 20 años.

Su contenido es el siguiente:

 

Emisor (Issuer)
E	cipsc@coloriuris.net
CN	CIPSC – Raíz – Autoridad de Certificación
organizationIdentifier (2.5.4.97)	VATES-B99091696
OU	Prestador de servicios de Confianza
O	Coloriuris S.L.
L	Zaragoza
C	ES
Asunto
E	cipsc@coloriuris.net
CN	CIPSC – Raíz – Autoridad de Certificación
organizationIdentifier (2.5.4.97)	VATES-B99091696
OU	Prestador de servicios de Confianza
O	Coloriuris S.L.
L	Zaragoza
C	ES
Clave pública	RSA (4096 Bits)
AIA Acceso Información del Emisor	acceso id-ad-http https://cipsc.coloriuris.net/certificados/ac/raiz-v3.crt aceso id-ad-ocsp https://ocsp.coloriuris.net
Punto de distribución CRL	https://cipsc.coloriuris.net/crl/ac/ac-v3.crl
Bases del certificado	[1]Directiva de certificados: Identificador de directiva=2.5.29.32.0 [1,1]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/
Uso de la clave	firma de certificados, firma CRL sin conexión, firma de lista de revocación de certificados (CRL)
1.3.6.1.5.5.7.1.3 -IETF / 0.4.0.1862.1.1-ETSI	Qualified Certificate Statements
QCSyntax-v2	id-etsi-qcs-SemanticsId-Legal (0.4.0.194121.1.2)

 

5.3.4.2.- Certificado para la emisión de sellos electrónicos

El certificado para la emisión de sellos electrónicos es emitido por la AC de CIPSC utilizando el certificado raíz, con una longitud de clave de 2048 Bits y un periodo de validez de 10 años.

Su contenido es el siguiente:

 

Emisor (Issuer)
E	cipsc@coloriuris.net
CN	CIPSC – Raíz – Autoridad de Certificación
organizationIdentifier (2.5.4.97)	VATES-B99091696
OU	Prestador de servicios de Confianza
O	Coloriuris S.L.
L	Zaragoza
C	ES
Asunto
E	cipsc@coloriuris.net
CN	CIPSC – Emisión de certificados de persona jurídica
organizationIdentifier (2.5.4.97)	VATES-B99091696
OU	Prestador de servicios de Confianza
O	Coloriuris S.L.
L	Zaragoza
C	ES
Clave pública	RSA (2048 Bits)
AIA Acceso Información del Emisor	acceso id-ad-http https://cipsc.coloriuris.net/certificados/ac/raiz-v3.crt aceso id-ad-ocsp https://ocsp.coloriuris.net
Punto de distribución CRL	https://cipsc.coloriuris.net/crl/ac/ac-v3.crl
Bases del certificado	[1]Directiva de certificados: Identificador de directiva=2.5.29.32.0 [1,1]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/
1.3.6.1.5.5.7.1.3 -IETF / 0.4.0.1862.1.1-ETSI	Qualified Certificate Statements
QCSyntax-v2	id-etsi-qcs-SemanticsId-Legal (0.4.0.194121.1.2)
Uso de la clave	firma de certificados, firma CRL sin conexión, firma de lista de revocación de certificados (CRL)