Secció III. Altres disposicions i actes administratius
AJUNTAMENT DE CALVIÀ
Núm. 382424
Encomana gestió FNMT
ENCÀRREC DE GESTIÓ QUE L'AJUNTAMENT DE CALVIÀ FA A LA FÁBRICA NACIONAL DE MONEDA I TIMBRE - REAL CASA DE LA MONEDA PER A L'EXECUCIÓ D'ACTIVITATS DE CARÀCTER MATERIAL I TÈCNIC AMB LA FINALITAT D'ESTENDRE ELS SERVEIS PÚBLICS ELECTRÒNICS
REUNITS
D'una part, Marcos Pecos Quintans, en nom i representació de l'Ajuntament de Calvià en virtut de les competències i facultats que li atribueix el Decret de Batlia de delegació de competències en les tinences de Batlia de data 17/06/2019, amb domicili institucional al carrer Julià Bujosa Sans Batle, 1, i NIF P0701100J.
I d'altra part, María Isabel Valldecabres Ortiz, directora general de la Fábrica Nacional de Moneda i Timbre - Real Casa de la Moneda, nomenada per Reial decret 726/2021, de 3 d'agost (BOE núm. 185, de 4 d'agost), en nom i representació d'aquesta entitat, segons l'article 19.2 del Reial decret 1114/1999, de 25 de juny, pel qual s'aprova l'Estatuto de la Fábrica Nacional de Moneda i Timbre - Real Casa de la Moneda (BOE núm. 161, de 7 de juliol), amb domicili institucional a Madrid, carrer de Jorge Juan, 106, i NIF Q2826004J.
Totes dues parts, reconeixent-se respectivament capacitat legal i competència suficients per a formalitzar la present encomanda,
EXPOSEN
I. En l'àmbit d'identificació electrònica dels interessats en un procediment, els arts. 9 i 10 de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques, estableixen que, entre altres sistemes utilitzats pels interessats i admesos per les administracions públiques, «els interessats podran identificar-se electrònicament […]. Sistemes basats en certificats electrònics qualificats de signatura electrònica expedits per prestadors inclosos en la ‘Llista de confiança de prestadors de serveis de certificació”.
Aquesta llista de confiança s'elabora segons el que preveu la Decisió d'Execució (UE) 2015/1505 de la Comissió, de 8 de setembre de 2015, per la qual s'estableixen les especificacions tècniques i els formats relacionats amb les llistes de confiança. La Fábrica Nacional de Moneda i Timbre-Real Casa de la Moneda (FNMT-RCM) és un dels prestadors de serveis de certificació inclosos en aquesta llista de confiança gestionada pel Ministeri d'Assumptes Econòmics i Transformació Digital (Secretaria d'Estat de Digitalització i Intel·ligència Artificial - SGAD):
https://avancedigital.gob.es/es-es/servicios/firmaelectronica/paginas/prestadores.aspx
D'altra banda, la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, estableix el funcionament electrònic del sector públic, essent l'habitual la utilització dels mitjans electrònics per part de les administracions públiques, com ara la signatura i seus electròniques, l'intercanvi electrònic de dades en entorns tancats de comunicació i l'actuació administrativa automatitzada. S'estableix així mateix l'obligació que les administracions públiques es relacionin entre si per mitjans electrònics, previsió que es desenvolupa posteriorment en el títol referent a la cooperació interadministrativa mitjançant una regulació específica de les relacions electròniques entre les administracions. Per a això, també es contempla com a nou principi d'actuació la interoperabilitat dels mitjans electrònics i sistemes i la prestació conjunta de serveis als ciutadans.
El Capítol V del títol preliminar de la Llei 40/2015, d'1 d'octubre, regula, específicament, el funcionament electrònic del sector públic, integrat per l'Administració General de l'Estat, les administracions de les comunitats autònomes, les entitats que integren l'Administració Local i el Sector Públic Institucional.
El Reial decret 203/2021, de 30 de març, pel qual s'aprova el Reglament d'actuació i funcionament del sector públic per mitjans electrònics, desenvolupa i concreta les previsions legals, abans esbossades, amb la finalitat, entre altres aspectes, de facilitar als agents involucrats en l'ús de mitjans tecnològics la seva utilització efectiva, i aclareix i precisa, al mateix temps, les matèries regulades en aquestes lleis que permeten un marge d'actuació reglamentària. L'Agenda España Digital 2025 conté un eix estratègic específic sobre la Transformació Digital del Sector Públic, la plasmació del qual es concreta en el compliment d'un conjunt de mesures entre les quals hi ha la millora del marc regulador de l'administració digital i el Pla de Recuperació, Transformació i Resiliència (España Pot) inclou entre les seves deu polítiques palanca de reforma estructural per a un creixement sostenible i inclusiu aconseguir una administració modernitzada a través de la seva digitalització, tant en l'àmbit transversal com en àmbits estratègics.
En relació amb la matèria d'aquesta encomanda de gestió, el Reial decret 203/2021, de 30 de març, desenvolupa l'activitat d'identificació electrònica de les administracions públiques i l'autenticació de l'exercici de la seva competència, que comprèn la identificació de les seus electròniques i seus associades, la identificació mitjançant segell electrònic basat en certificat electrònic qualificat, els sistemes de signatura electrònica per a l'actuació administrativa automatitzada, la identificació i signatura del personal al servei de les administracions públiques (inclosos els certificats d'empleat públic amb número d'identificació professional i amb pseudònim) i també regula la identificació i signatura dels interessats i la seva representació.
II. La realització d'aquestes activitats està regulada pel Reglament (UE) 910/2014 del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i per la qual es deroga la Directiva 1999/93/CE.
En l'àmbit del dret intern sobre aquesta matèria, s'ha aprovat la Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança. La funció d'aquesta llei és complementar al reglament europeu en els aspectes concrets que no han estat harmonitzats i el desenvolupament dels quals es preveu en els ordenaments dels diferents estats membres, les disposicions dels quals han de ser interpretades d'acord amb dit reglament.
En relació amb l'activitat i efectes dels sistemes d'identificació i altres serveis, la disposició addicional segona d'aquesta Llei 6/2020, d'11 de novembre, estableix que tots els sistemes d'identificació, signatura i segell electrònic prevists en la Llei 39/2015, d'1 d'octubre, i en la Llei 40/2015, d'1 d'octubre, tindran plens efectes jurídics.
III. Com a regulació especial de l'FNMT-RCM, incorporada a l'article 2 del seu estatut, es va aprovar, i manté la seva vigència, l'article 81 de la Llei 66/1997, de 30 de desembre, de mesures fiscals, administratives i de l'ordre social, sota el títol «Prestació de serveis de seguretat per la Fábrica Nacional de Moneda i Timbre per a les comunicacions a través de tècniques i mitjans electrònics, informàtics i telemàtics», faculta la Fábrica Nacional de Moneda i Timbre - Real Casa de la Moneda (FNMT-RCM) per a la prestació dels serveis tècnics i administratius necessaris per a garantir la seguretat, validesa i eficàcia de l'emissió i recepció de comunicacions i documents a través de tècniques i mitjans electrònics, informàtics i telemàtics (apartat 1r), i l'habilita, després de la modificació operada per la Llei 44/2002, de 22 de novembre, de mesures de reforma del sistema financer, amb formalització prèvia del corresponent conveni (o un altre instrument de relacions), a prestar a les persones, entitats i corporacions que exerceixin funcions públiques els citats serveis i a la seva participació en els tràmits d'identificació i registre.
El Reial decret 1317/2001, de 30 de novembre, pel qual es desenvolupa l'article 81, abans citat, regula el règim de prestació de serveis de seguretat per l'FNMT-RCM en l'emissió i recepció de comunicacions i escrits a través de mitjans i tècniques electròniques, informàtiques i telemàtiques. El seu article 6, faculta l'FNMT-RCM per a establir els termes que han de regir la prestació dels seus serveis en relació amb les comunicacions emprant tècniques i mitjans electrònics, informàtics i telemàtics, així com la col·laboració mútua en matèria de registre i acreditació (tant dels interessats com de la pròpia institució i els seus empleats).
L'FNMT-RCM, des de mitjan anys noranta, ha desenvolupat, millorat i actualitzat diverses infraestructures de clau pública (PKI) que cobreixen les necessitats de la Llei 39/2015, d'1 d'octubre, i de la Llei 40/2015, d'1 d'octubre, solucions que són potencialment extensibles a altres administracions públiques, ens, entitats i resta d'òrgans i poders de l'Estat. Aquestes PKI s'han posat en marxa obeint als següents criteris:
• Aprofitament de l'experiència acumulada en el projecte de Certificació Espanyola CERES, que constitueix el nucli de la infraestructura de clau pública.
• Reducció de riscos en la consolidació de l'«Administració sense papers».
• Economia de mitjans, derivada de l'experiència acumulada i transferència de tecnologies entre administracions públiques.
• Reutilització de tecnologies, equipaments, targetes i aplicacions actualment en ús.
IV. L'article 11 de la Llei 40/2015, d'1 d'octubre, disposa que la realització d'activitats de caràcter material o tècnic de la competència dels òrgans administratius o de les entitats de dret públic podrà ser encomanada a altres òrgans o entitats de dret públic de la mateixa o de diferent administració, sempre que entre les seves competències hi hagi aquestes activitats, per raons d'eficàcia o quan no es posseeixin els mitjans tècnics idonis per al seu acompliment. Per mitjà del present instrument, es pretén encomanar a la Fábrica Nacional de Moneda i Timbre - Real Casa de la Moneda la realització de les activitats necessàries per al compliment dels fins de l'encomandant.
Atès que és d'interès de l'Ajuntament de Calvià garantir que els interessats puguin relacionar-se a través de mitjans electrònics, així com poder identificar-se i establir comunicacions amb els interessats i altres administracions, i que la Fábrica Nacional de Moneda i Timbre - Real Casa de la Moneda està en disposició de fer les activitats tècniques i de seguretat relatives a la certificació, signatura electrònica i resta d'actuacions previstes en aquest document, segons els seus fins institucionals; l'Ajuntament de Calvià encomana a l'FNMT-RCM la seva realització sobre la base de les següents
CLÀUSULES
PRIMERA. OBJECTE
Constitueix la finalitat d'aquesta encomanda de gestió la realització, per part de l'FNMT-RCM a l'Ajuntament de Calvià, d'activitats de caràcter material o tècnic amb la finalitat que sigui possible l'exercici de les funcions i competències de la part encomandant. Aquestes activitats permetran la creació d'un marc d'actuació institucional que faciliti l'impuls de serveis públics electrònics de l'Ajuntament de Calvià, a través de l'extensió al seu àmbit de competència, de les activitats de la Plataforma Pública de Certificació i de serveis electrònics, informàtics i telemàtics desenvolupats per la Fábrica Nacional de Moneda i Timbre - Real Casa de la Moneda (FNMT-RCM) per al seu ús per part de les diferents administracions.
En particular, l'activitat de l'FNMT-RCM comprendrà:
1. L'extensió de la Plataforma Pública de Certificació mitjançant la implementació de les activitats que a aquest efecte s'enumeren en els capítols II i III, de l'annex I, d'aquesta encomanda, per a identificació de les administracions públiques. Especialment, es faran les següents activitats de caràcter material o tècnic:
1.1. Expedició i gestió del cicle de vida de certificats d'usuari per a persones físiques, a través de l'AC USUARIS. Manteniment de les plataformes segures de gestió de certificats.
1.2. Expedició i gestió del cicle de vida de certificats recollits en la Llei 40/2015, d'1 d'octubre, i manteniment de les plataformes segures de gestió de certificats: Certificats de Personal (sw, amb pseudònim i signatura centralitzada), 1 certificat de seu electrònica (autenticació de lloc web) i 1 certificat de segell electrònic d'administració pública.
També podrà integrar a petició de l'Ajuntament de Calvià qualsevol, o la totalitat, de les funcionalitats i activitats que s'enumeren en els capítols I i II, del mateix annex I, d'aquesta encomanda.
2. Reconeixement i validació de certificats a través de la Plataforma de Validació Multi-AC de l'FNMT-RCM, que és plenament interoperable i redundant respecte de la plataforma de verificació de l'Administració General de l'Estat.
3. L'FNMT-RCM també podrà realitzar, amb caràcter instrumental de les anteriors i amb petició prèvia de l'Ajuntament de Calvià, les següents activitats addicionals: 1 certificat de component (Wildcard) segons les característiques de l'annex II.
SEGONA. ÀMBIT SUBJECTIU D'APLICACIÓ
1. Dins de l'àmbit d'aplicació subjectiu d'aquesta encomanda hi queda inclòs l'Ajuntament de Calvià i els seus òrgans i unitats administratives.
2. No podran adherir-se a la present encomanda els organismes i entitats dependents de l'encomandant.
TERCERA. ACTIVITATS A DESENVOLUPAR
D'acord amb el règim de competències i funcions pròpies de cada part, correspon a l'FNMT-RCM, d'acord amb el que es disposa en l'objecte d'aquesta encomanda i en la normativa referida en aquesta, la posada a la disposició de l'Ajuntament de Calvià de la Plataforma Pública de Certificació desenvolupada per al funcionament de l'Administració Electrònica, per a oferir seguretat en la utilització d'instruments d'identificació electrònica per part dels interessats i de les administracions i altres ens de l'Estat. Aquestes plataformes, juntament amb altres funcionalitats addicionals, com el segellament de temps, permeten, a l'FNMT-RCM, la realització de les activitats de caràcter material i tècnic en l'àmbit de la securització de les comunicacions, de la certificació i signatura electrònica, complint el seu mandat d'extensió de l'Administració Electrònica.
D'altra banda, correspon a l'Ajuntament de Calvià la realització de les actuacions administratives i el desenvolupament de les seves funcions i competències dirigides a la implementació de les plataformes en els seus procediments. Per a l'adequada consecució de l'objecte d'aquesta encomanda, les parts han de desplegar una sèrie d'actuacions:
1. L'FNMT-RCM, realitzarà les següents activitats:
1.1. De caràcter material, administratiu i tècnic:
Aportar la infraestructura tècnica i organitzativa adequada per a procurar l'extensió i implementació de les Plataformes, amb les funcionalitats previstes per al desenvolupament de les relacions administratives dels ciutadans, a través de sistemes EIT i de conformitat amb el contingut en els Annexos i l'estat de la tècnica.
Aportar els drets de propietat industrial i intel·lectual necessaris per a tal implementació, garantint el seu ús pacífic. L'FNMT-RCM, exclou qualssevol llicències o subllicències, a terceres parts o a Ajuntament de Calvià per a aplicacions i sistemes d'Ajuntament de Calvià o de tercers, diferents de les aportades per a ser utilitzades, en qualitat d'usuaris, directament per l'FNMT-RCM, en virtut d'aquesta encomanda.
Assistència tècnica, de conformitat amb el que s'estableix en els Annexos, a fi de facilitar a Ajuntament de Calvià la informació necessària per al bon funcionament dels sistemes.
Actualització tecnològica dels sistemes, d'acord amb l'estat de la tècnica i els Esquemes Nacionals d'Interoperabilitat i Seguretat, sense perjudici de l'aprovació dels requisits tècnics corresponents per la Comissió d'Estratègia TIC o, en el seu cas, per l'òrgan competent.
Aportar la tecnologia necessària perquè les obligacions d'Ajuntament de Calvià, puguin ser realitzades; en particular les aplicacions necessàries per a la constitució de les Oficines de Registre i Acreditació i la tramitació de les sol·licituds d'emissió de certificats electrònics.
Emissió d'informes, a petició d'Ajuntament de Calvià, acreditatius de les activitats realitzades per l'FNMT-RCM.
Tenir disponible per a consulta d'Ajuntament de Calvià i dels usuaris una Declaració de Pràctiques de Certificació o del Servei de Confiança (DPC), que contindrà, almenys, les especificacions establertes en el Reglament (UE) 910/2014 i en la Llei 6/2020, d'11 de novembre. La DPC i altra informació d'interès, estarà disponible en l'adreça electrònica (URL) següent:
https://www.sede.fnmt.gob.es/normativa/declaracion-de-practicas-de-certificacion
Aquesta DPC, podrà ser consultada per tots els interessats i podrà ser modificada per l'FNMT-RCM, per raons legals o de procediment. Les modificacions en la DPC seran comunicades als usuaris a través d'avisos en la seva adreça electrònica.
En relació amb la DPC i els seus annexos és necessari tenir en compte la Declaració de Pràctiques de Certificació General i les Polítiques i Pràctiques de Certificació Particulars per a cada tipus de certificat o àmbit d'aquests.
En tot cas, els mitjans tècnics i tecnologia emprats per l'FNMT-RCM permetran demostrar la fiabilitat de l'activitat de certificació electrònica, la constatació de la data i hora d'expedició, suspensió o revocació d'un certificat, la fiabilitat dels sistemes i productes (els quals comptaran amb la deguda protecció contra alteracions, així com amb els nivells de seguretat tècnica i criptogràfica idonis depenent dels procediments on s'utilitzin), la comprovació de la identitat del titular del certificat, a través de les Oficines de Registre i Acreditació autoritzades i, si escau, —exclusivament enfront de la part o entitat a través de la qual s'ha identificat i registrat al titular del certificat— els atributs pertinents, així com, en general, els que resultin d'aplicació de conformitat amb la normativa comunitària o nacional corresponent.
No obstant l'anterior, en la realització d'actuacions de l'àmbit de la Llei 40/2015, les Oficines de Registre (per les especialitats de gestió i del dret administratiu, i de conformitat amb l'article 11 del Reial decret 1317/2001, de 30 de novembre) no dependran directament de l'FNMT-RCM sinó de l'òrgan, organisme o entitat de la qual orgànicament depenguin, sense perjudici de les funcions de comprovació, coordinació, control de gestió i dels protocols i directrius sobre registre i acreditació que realitzi l'FNMT-RCM, en la seva condició de Prestador de Serveis de Confiança.
L'FNMT-RCM es compromet, en el desenvolupament i execució de l'Encàrrec a l'aplicació, quan sigui procedent d'acord amb la mena d'activitat realitzada, de les disposicions i recomanacions relatives als àmbits normatius o programàtics sobre protecció del medi ambient, prevenció de riscos laborals, igualtat i no discriminació.
1.2. De desenvolupament de les facultats establertes en la seva normativa específica, realitzant la seva activitat en els termes i amb els efectes previstos en el Reial decret 1317/2001, de 30 de novembre, especialment:
Funcions de comprovació, coordinació i control de les Oficines de Registre i Acreditació, sense perjudici de la seva dependència, orgànica i funcional, de l'Administració o organisme públic a què pertanyin.
Resolució dels recursos i reclamacions de competència de l'FNMT-RCM derivades de l'activitat convinguda.
Comunicació al Ministeri d'Hisenda, a l'efecte de coordinació i interoperabilitat, per al desenvolupament de l'administració electrònica i accés electrònic dels ciutadans als serveis públics.
Mesures de Seguretat. L'FNMT-RCM adoptarà mesures amb vista a mantenir el secret de les característiques tècniques de seguretat que han de reunir els productes, serveis i procediments aplicats, tant en les seves instal·lacions i personal, com, en el seu cas, en les d'entitats col·laboradores, aplicant, de conformitat amb la normativa especial corresponent, els Esquemes Nacionals de Seguretat i Interoperabilitat i les normes sobre contractació pública, així com les obligacions de confidencialitat pertinents establertes i regulades en el seu Estatut, restringint la informació i la publicitat dels diferents elements de seguretat, segons els estàndards aplicables i, en general, realitzant l'activitat encarregada implantant mesures especials de seguretat, de conformitat amb l'estat de la tècnica.
2. Ajuntament de Calvià, per a una adequada funcionalitat dels sistemes, realitzarà les següents actuacions:
Activitats d'autoritat de registre, amb les actuacions establertes en el següent apartat, consistents en la identificació prèvia a l'obtenció del certificat electrònic i, en el seu cas, de comprovació i suficiència dels atributs corresponents, càrrec i competència dels signants/custodis, a través de l'Oficina de Registre acreditada davant l'FNMT-RCM.
Reconeix el caràcter universal dels certificats de signatura electrònica que expedeix l'FNMT-RCM.
Resoldre els recursos i reclamacions de la seva competència.
3. Règim de les Oficines de Registre i Acreditació:
General: El número i ubicació de les Oficines de Registre i Acreditació d'Ajuntament de Calvià, serà el que es recull en l'Annex II d'aquesta encomanda. En tals oficines es duran a terme les activitats d'identificació, recepció i tramitació de sol·licituds d'expedició de certificats electrònics. Qualsevol modificació o alteració d'aquesta relació o de la ubicació de les Oficines haurà de ser comunicada a l'FNMT-RCM, que haurà d'acceptar la seva alta o modificació, qui donarà l'oportuna difusió per a mantenir permanentment actualitzada la relació de la xarxa d'Oficines de Registre i Acreditació per a l'obtenció de certificats electrònics en els termes previstos en el Reial decret 1317/2001, de 30 de novembre i resta de normativa aplicable.
Les aplicacions informàtiques necessàries per a dur a terme les activitats d'acreditació i identificació seran facilitades per l'FNMT-RCM. Tals aplicacions seran tecnològicament compatibles en funció dels avanços tecnològics i l'estat de la tècnica i comptaran amb sistemes per a assegurar la confidencialitat i seguretat de les comunicacions.
Les sol·licituds d'emissió i revocació i/o suspensió, en el seu cas, de certificats s'ajustaran als models establerts per l'FNMT-RCM i a la Declaració de Pràctiques de Certificació de l'Entitat accessible com en l'adreça:
https://www.sede.fnmt.gob.es/normativa/declaracion-de-practicas-de-certificacion
Per a actuacions en l'àmbit de l'article 81 de la Llei 66/1997, de 30 de desembre, de Mesures Fiscals, Administratives i de l'Ordre Social: Ajuntament de Calvià disposarà d'Oficina o Oficines de Registre i Acreditació que hauran de comptar amb els mitjans informàtics i sistemes de seguretat precisos per a connectar-se telemàticament amb l'FNMT-RCM, prèvia acceptació de les condicions d'ús del sistema de registre. En elles, l'acreditació i identificació dels sol·licitants dels certificats (ciutadans) exigirà la comprovació de la seva identitat i de la seva voluntat que sigui expedit un certificat electrònic i, en el seu cas, de les facultats de representació, competència i idoneïtat per a l'obtenció del certificat corresponent, verificant-se de conformitat i amb ple respecte al que es disposa en la normativa aplicable.
Les acreditacions realitzades assortiran plens efectes i seran vàlides per a la seva acceptació per qualsevol Administració Pública o una altra entitat que admeti els certificats emesos per l'FNMT-RCM.
Per a actuacions en l'àmbit de la Llei 40/2015, d'1 d'octubre: Les Oficines de Registre i Acreditació d'Ajuntament de Calvià dependran orgànica i funcionalment d'aquest (sense perjudici de les funcions de comprovació, coordinació i control de l'FNMT-RCM) i determinaran la identitat i competència de la pròpia Ajuntament de Calvià i la dels diferents usuaris (signants/custodis) designats per l'Administració titular dels certificats, de conformitat amb la DPC General i les Polítiques i Pràctiques de Certificació Particulars d'Administració Pública, disponibles per a consulta en la Web: https://www.sede.fnmt.gob.es/dpcs/acap corresponents als certificats i sistemes de signatura electrònica d'aquest àmbit d'aplicació i amb els formularis i condicions d'utilització de cada tipus de certificat.
A aquest efecte, Ajuntament de Calvià disposarà de les Oficines de Registre i Acreditació que consideri necessàries per a l'acreditació d'aquesta mena de certificats i hauran de comptar amb els mitjans informàtics precisos per a connectar-se telemàticament amb l'FNMT-RCM i realitzar les sol·licituds d'emissió dels certificats, prèvia acceptació de les condicions d'ús del sistema de registre. En aquestes Oficines de Registre, on s'acreditaran i identificaran als titulars i custodis dels certificats, s'exigirà la comprovació de la seva identitat, del càrrec i de les facultats de representació, competència i idoneïtat per a l'obtenció del certificat corresponent i de la voluntat del titular del certificat, verificant-se de conformitat i amb ple respecte al que es disposa en la normativa aplicable.
QUARTA. FINANÇAMENT
Les parts d'aquesta encomanda assumiran, cadascuna, els costos per l'activitat desplegada en el mateix d'acord amb les seves competències. No obstant això, Ajuntament de Calvià assumeix l'obligació de finançar les actuacions específiques desenvolupades per l'FNMT-RCM, en el marc competencial d'actuació de l'administració encomandant, tenint en compte que l'activitat de l'FNMT-RCM està orientades a costos i el seu règim s'estableix en l'Estatut de l'Entitat i en la Llei.
1.REEMBORSAMENT DE DESPESES PER LA REALITZACIÓ D'ACTIVITATS EN MATÈRIA DE CERTIFICACIÓ ELECTRÒNICA. L'FNMT-RCM com a compensació per les activitats, de caràcter material o tècnic, realitzades segons el Capítol I (Serveis EIT), Capítol II (Serveis avançats) i en el Capítol III (Serveis AP) de l'Annex I, a Ajuntament de Calvià, percebrà, anualment, la quantitat total de nou-cents quaranta euros a l'any (940,00 euros/any), imposats no inclosos. Amb l'IVA d'aplicació vigent a aquest import (197,40 euros), la compensació anual és de (1.137,40 euros/any), IVA inclòs.
En cas que el període inicial de durada de l'Encàrrec sigui inferior a un any, la quantitat anterior es prorratejarà, reduint-se proporcionalment.
Si hi hagués petició expressa, per part d'Ajuntament de Calvià, d'extensió d'altres activitats o funcionalitats, entre les recollides en els Capítols I, II i III, de l'Annex II, la quantitat anterior quedaria incrementada per l'import corresponent que es deduís de l'aplicació de les taules, contingudes en aquest Annex II, del present Encàrrec.
2. REEMBORSAMENT EN ANYS SUCCESSIUS. En cas de pròrroga de l'Encàrrec, s'aplicarà el mateix criteri en funció de les compensacions a percebre, activitats sol·licitades i durada de les pròrrogues.
3. FACTURACIÓ. El finançament de les activitats tècniques realitzades per l'FNMT-RCM (que inclourà, en el seu cas, les actuacions addicionals sol·licitades), s'efectuarà al començament de la realització de tals activitats i en cada anualitat. En funció de la mena de prestació (subministraments o serveis), a les quantitats finals acordades entre les parts com a finançament de les activitats, s'aplicarà l'IVA legalment vigent a cada moment.
L'abonament de les factures es realitzarà, en un termini no superior a trenta dies de la data de factura, mitjançant transferència bancària al compte de l'FNMT-RCM:
CCC: 0182 2370 49 0208501334
IBAN: ES28 0182 2370 4902 0850 1334
Codi BIC: BBVAESMM,
Les factures de l'FNMT-RCM s'emetran a nom de:
Denominació: Ajuntament de Calvià
Calle: Julià Bujosa Sans Batle, 1
Població: Calvià
Província: Illes Balears
NIF: P0701100J
Departament o persona de contacte: Serveis d'Informàtica i Noves Tecnologies
Dades per a facturació electrònica (en el seu cas): LA0003583
CINQUENA. TERMINI DE DURADA
aquesta encomanda entrarà en vigor el dia de la seva signatura, i la seva durada s'estendrà durant quatre (4) anys.
Si es mantingués la necessitat de realització de les activitats de caràcter material o tècnic per part de l'FNMT-RCM, la encomendante podrà acordar la seva pròrroga pel període que estimi necessari fins a un màxim de quatre anys, que serà assumida per l'FNMT-RCM sempre que compti amb els recursos suficients, de conformitat amb la Llei.
Per a materialitzar les pròrrogues, abans del venciment inicial de l'Encàrrec, o el de les seves pròrrogues, totes dues parts subscriuran una addenda que estableixi la durada de cada pròrroga i, en el seu cas, les seves condicions.
SISENA. REVISIÓ
Les parts podran proposar la revisió o actualització de l'Encàrrec en qualsevol moment de la seva vigència, a l'efecte d'incloure les modificacions que resultin pertinents.
SETENA. COMISSIÓ
A instàncies de qualsevol de les parts, podrà constituir-se una Comissió Mixta amb funcions de vigilància i control, així com de resolució de qüestions derivades dels problemes d'interpretació i compliment del present Encàrrec. Aquesta Comissió tindrà caràcter d'òrgan col·legiat i en les seves funcions es regirà pel que s'estableix en la Llei 40/2015, d'1 d'octubre.
OCTAVA. RESPONSABILITAT
L'FNMT-RCM, com a prestador de les activitats descrites en el present Encàrrec, i Ajuntament de Calvià, com a destinatari de les mateixes i encarregat de les funcions incloses en el procediment d'identificació, acreditació i registre dels usuaris i, si escau, de les administracions i signants/custodis, respondran, cadascuna en l'àmbit de les seves respectives funcions, dels danys i perjudicis que causés el funcionament del sistema d'acord amb les regles generals de l'ordenament jurídic que resultessin d'aplicació i de conformitat amb les obligacions assumides a través del present Encàrrec.
L'FNMT-RCM, donat el mandat legal d'extensió d'aquests serveis i activitats, limita la seva responsabilitat, sempre que la seva actuació o la dels seus empleats no es degui a dol o negligència greu, fins a un import anual d'aquesta encomanda incrementat en un 10% com a màxim.
NOVENA. RESOLUCIÓ I EXTINCIÓ
Causes de resolució. L'FNMT-RCM estarà obligada a la realització de les activitats previstes en aquesta encomanda, a tenor del que es disposa en la legislació citada en aquest document, per tant, l'Encàrrec podrà resoldre's, per part d'Ajuntament de Calvià, quan existís manifesta falta de qualitat en la realització de les activitats, per part de l'FNMT-RCM, o incompliment greu de les obligacions d'aquesta en el desenvolupament de la seva actuació.
L'FNMT-RCM podrà instar la resolució de l'Encàrrec per falta de pagament del preu acordat, per falta de consignació pressupostària / reserva de crèdit o per incompliment greu de les obligacions que corresponen a Ajuntament de Calvià.
Causes d'extinció. Seran causes d'extinció:
- El compliment del termini previst en aquest document i, si escau, les seves pròrrogues.
- El mutu acord de les parts.
DÈCIMA. PROTECCIÓ DE DADES
RÈGIM. El règim de protecció de dades de caràcter personal derivat d'aquesta encomanda i de l'actuació conjunta de les parts, serà el previst en el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades - RGPD); en la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD), i en el Reial decret 1720/2007, de 21 de desembre, en el que no s'oposi a les normes abans citades.
L'FNMT-RCM ha creat un Registre d'Activitats de Tractament i nomenat a un Delegat de Protecció de Dades, amb la finalitat d'adaptar-se al RGPD, que poden consultar-se en: http://www.fnmt.es/rgpd . L'Ajuntament de Calvià ha creat un Registre d'Activitats de Tractament i nomenat a un Delegat de Protecció de Dades, amb la finalitat d'adaptar-se al RGPD, que poden consultar-se en: http://www.calvia.com
COMUNICACIÓ DE DADES. La comunicació de dades de caràcter personal que Ajuntament de Calvià realitzi a l'FNMT-RCM sobre les dades dels empleats públics d'aquella per a l'emissió de certificats de signatura electrònica en l'àmbit de la Llei 40/2015, d'1 d'octubre, de Règim Jurídic del Sector Públic (i, en el seu cas, en el de l'art. 81 de la Llei 66/1997, de 30 de desembre, de Mesures Fiscals, Administratives i de l'Ordre Social), compta amb el consentiment de l'interessat que ha acceptat les condicions d'emissió del certificat en sol·licitar el mateix i ha estat informat sobre les finalitats del tractament de les seves dades, sobre els possibles destinataris i de la resta de finalitats i informació establerts en les normes d'aplicació (RGPD, art. 13 i LOPDGDD, art. 11), segons consta en el Registre d'Activitats de Tractament abans assenyalat (Tractament núm. 15).
Tot això de conformitat amb l'art. 6.1. del RGPD, existint un interès legítim de l'Entitat ja que, a més, tal comunicació resulta ineludible perquè l'FNMT-RCM expedeixi els certificats de signatura electrònica als empleats d'Ajuntament de Calvià i, en el seu cas, a tercers.
COMPTE DE TERCERS (ENCARREGAT DEL TRACTAMENT)
En termes generals i de conformitat amb l'art. 11.2 de la Llei 40/2015, d'1 d'octubre, l'FNMT-RCM com a entitat encomanada tindrà la condició d'encarregat del tractament de les dades de caràcter personal als quals pogués tenir accés en execució de l'encàrrec de gestió, sent-li aplicable el que es disposa en la normativa de protecció de dades de caràcter personal.
De manera específica, donats els mecanismes de gestió de la Plataforma de Registre i Acreditació, el encomendante també tindrà caràcter d'encarregat del tractament en relació amb el d'accés a dades personals si actués com a Oficina de Registre i Acreditació, per compte de l'FNMT-RCM, de conformitat amb els següents criteris i condicions:
1) No tindrà caràcter de comunicació de dades l'accés que Ajuntament de Calvià, en qualitat d'Oficina de Registre i Acreditació de l'FNMT-RCM, realitzi sobre les dades de caràcter personal que l'FNMT-RCM manté, com a Responsable del tractament, sobre els seus usuaris, persones físiques, amb la finalitat de sol·licitar els serveis EIT en l'àmbit de l'art. 81 de la Llei 66/1997, de 30 de desembre, descrits en aquest document. Tals dades són els que figuren en el tractament núm. 15 del Registre d'Activitats de Tractament (RAT) de l'FNMT-RCM, descrit en l'enllaç anterior.
2) Per tant, i de conformitat amb l'article 28 del RGPD, Ajuntament de Calvià actuarà en qualitat d'Encarregat del tractament per compte de l'FNMT-RCM i assumirà les obligacions que s'estableixen en aquesta condició i en la legislació d'aplicació.
3) Les actuacions concretes que sobre el Tractament núm. 15 del RAT de l'FNMT-RCM que Ajuntament de Calvià realitzarà sobre les dades seran els següents:
(X) |
Recollida |
(X) |
Registre |
(X) |
Estructuració |
(X) |
Modificació |
(X) |
Conservació |
(X) |
Extracció |
(X) |
Consulta |
( ) |
Comunicació |
( ) |
Difusió |
(X) |
Interconnexió |
(X) |
Acarament |
(X) |
Limitació |
(X) |
Supressió |
( ) |
Destrucció |
( ) |
Altres… |
( ) |
Altres… |
4) L'encarregat del tractament, respecte de la seva actuació en aquesta encomanda, s'obliga a:
a) Utilitzar les dades personals objecte de tractament, o les que reculli per a la seva inclusió, només per a la finalitat objecte d'aquesta encomanda. En cap cas no podrà utilitzar les dades per a fins propis.
b) Tractar les dades d'acord amb les instruccions del responsable del tractament. Si l'encarregat del tractament considera que alguna de les instruccions infringeix el RGPD o qualsevol altra disposició en matèria de protecció de dades de la Unió o dels estats membres, l'encarregat n'informarà immediatament el responsable.
c) Adoptar les mesures de seguretat que exigeix el Reglament de desenvolupament de la LOPD, el RGPD i les recomanacions de l'AEPD. Les mesures de seguretat es determinen en funció del nivell de seguretat dels fitxers de l'FNMT-RCM abans comunicades i en funció de la manera i lloc d'accés a les dades personals pels encarregats.
Les mesures de seguretat implantades per al tractament podran ser objecte de modificació, supressió i/o novació amb l'objectiu de donar compliment a les exigències que imposa el Reglament general de protecció de dades i resta de normativa vigent relacionada. A aquest efecte es durà a terme una avaluació de riscos, i avaluació d'impacte i/o consulta prèvia, si s'escau, en la qual es determinarà si es requereix implementar altres mesures més adequades per a garantir la seguretat del tractament, les quals hauran de ser adoptades, documentant tot l'actuat. En qualsevol cas, podran acordar-se les mesures que s'estableixin en codis de conducta, segells, certificacions o qualsevol norma o estàndard internacional actualitzat de compliment de protecció de dades i seguretat de la informació, a les quals el responsable o encarregat estigui adherit.
Tot el personal al qual l'encarregat proporcioni accés a les dades personals haurà de ser informat, de manera expressa, que ha de respectar la confidencialitat i complir les mesures de seguretat corresponents, de les quals cal informar-los convenientment.
d) Portar per escrit i tenir disponible un Registre Activitats de Tractament efectuats per compte del responsable, que contingui (si n'és el cas): les transferències de dades personals a un tercer país o organització internacional, inclosa la identificació de dit tercer país o organització internacional i, en el cas de les transferències indicades en l'article 49 apartat 1, paràgraf segon del RGPD, la documentació de garanties adequades.
En aquest registre, també s'inclourà una descripció general de les mesures tècniques, organitzatives i de seguretat relatives a:
- La pseudonimització i el xifratge de dades personals (si n'és el cas).
- La capacitat de garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament.
- La capacitat de restaurar la disponibilitat i l'accés a les dades personals de manera ràpida, en cas d'incident físic o tècnic.
- El procés de verificació, avaluació i valoració regulars de l'eficàcia de les mesures tècniques i organitzatives per a garantir la seguretat del tractament.
e) No comunicar les dades a terceres persones, tret que es compti amb l'autorització expressa del responsable del tractament, en els supòsits legalment admesos.
Si l'Encarregat ha de transferir dades personals a un tercer país o a una organització internacional, en virtut del Dret de la Unió o dels estats membres que li sigui aplicable, informarà el responsable d'aquesta exigència legal de manera prèvia, tret que aquest Dret ho prohibeixi per raons importants d'interès públic.
f) No subcontractar cap de les prestacions que formin part de l'objecte d'aquest contracte que comportin el tractament de dades personals, excepte els serveis auxiliars necessaris per al normal funcionament dels serveis de l'encarregat. L'encarregat podrà comunicar les dades a altres encarregats del tractament del mateix responsable, amb consentiment previ i d'acord amb les instruccions del responsable, indicant els tractaments que es pretenen subcontractar i identificant, de manera clara i inequívoca, l'empresa subcontractista i les seves dades de contacte.
En cas que el Responsable autoritzi la subcontractació dels serveis per part de l'encarregat, aquest es compromet a traslladar les obligacions d'aquest contracte als subencarregats.
g) Mantenir el deure de secret respecte a les dades de caràcter personal a les quals hagi tingut accés en virtut de la present encomanda, fins i tot després que finalitzi l'objecte d'aquesta.
h) Mantenir a la disposició del responsable la documentació acreditativa del compliment de l'obligació establerta en l'apartat anterior.
i) Garantir la formació necessària en matèria de protecció de dades personals de les persones autoritzades per a tractar dades personals.
j) Assistir al Responsable del tractament en la resposta a l'exercici dels drets de:
1. Accés, rectificació, supressió i oposició
2. Limitació del tractament
3. Portabilitat de dades
4. A no ser objecte de decisions individualitzades automatitzades (inclosa l'elaboració de perfils)
k) Si n'és el cas, designar un delegat de protecció de dades i comunicar la seva identitat i dades de contacte al responsable.
l) Retornar al responsable les dades de caràcter personal que hagin estat objecte de tractament. En tot cas, l'encarregat podrà conservar degudament bloquejades les dades que sigui necessari, si poden derivar-se responsabilitats de la seva relació amb el responsable del tractament.
5) El responsable del tractament, respecte de la seva actuació en aquesta encomanda, s'obliga a:
a) Facilitar a l'encarregat l'accés a les dades que formen part dels seus fitxers o lliurar-les-hi de la manera que resulti oportú per a la correcta prestació del servei.
b) Informar conforme a la normativa als interessats les dades dels quals siguin objecte de tractament i haver obtingut d'aquests lícitament el seu consentiment exprés o comptar amb motius legítims i acreditables per a aquest consentiment.
c) Tenir establerta la base legal que legitima el tractament.
d) Disposar de mecanismes senzills perquè els interessats puguin exercitar els seus drets.
e) Comptar amb anàlisi de riscos, amb un registre dels tractaments i avaluacions d'impacte si fos necessari per la naturalesa de les dades tractades.
f) Tenir habilitades les mesures de seguretat adequades per a salvaguardar les dades en la transmissió de les dades a l'encarregat.
g) Nomenar un delegat de protecció de dades en els casos que sigui obligatori i comunicar-ne la identitat a l'encarregat. Actualment, i a la data de subscripció del contracte actual, les dades del delegat de protecció de dades nomenat per l'FNMT-RCM són les següents:
Delegat de protecció de dades de l'FNMT-RCM
E-mail: dpd@fnmt.es
Adreça: Carrer Jorge Juan, 106, CP: 28009 Madrid
En allò no previst en aquest document serà aplicable, en tot cas, la normativa vigent en matèria de protecció de dades personals.
ONZENA. DRET APLICABLE I RESOLUCIÓ DE CONFLICTES
La present encomanda que fa l'Ajuntament de Calvià a l'FNMT-RCM, de conformitat amb l'article 11 de la Llei 40/2015, d'1 d'octubre, té naturalesa administrativa, i es regirà per l'expressament pactat per les parts en aquest document, per les normes que s'hi citen i, en defecte d'això, per les normes de dret administratiu que hi resultin d'aplicació.
Sense perjudici de la facultat de les parts de constituir la comissió mixta establerta en la clàusula setena, la realització d'activitats previstes en aquesta encomanda i annexos, quant al contingut i característiques d'aquests, es farà amb subjecció a la regulació continguda en la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques; en la Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança; en l'article 81 de la Llei 66/1997, de 30 de desembre, de mesures fiscals, administratives i de l'ordre social, i la seva normativa de desenvolupament.
Les parts es comprometen a resoldre de mutu acord les incidències que puguin sorgir en la seva interpretació i compliment. Les qüestions litigioses que se suscitin entre les parts durant el desenvolupament i execució de l'encomanda se sotmetran, en cas que sigui aplicable la seva intervenció, al Servei Jurídic de l'Estat i, en cas contrari, a la jurisdicció contenciosa administrativa, conforme al que es disposa en la llei reguladora d'aquesta.
DOTZENA. EFICÀCIA
De conformitat amb l'article 11 de la Llei 40/2015, d'1 d'octubre, aquesta encomanda farà efecte des del moment de la seva signatura i, per a la seva eficàcia plena, s'ha de publicar en el Boletín Oficial del Estado, o en el Butlletí oficial de la Comunitat Autònoma o en el de la Província, segons l'administració a què pertanyi l'òrgan encomandant.
I, en prova de conformitat, totes dues parts subscriuen la present encomanda i tots els seus annexos, en el lloc i data indicats en l'encapçalament.
(Signat electrònicament:27 de maig de 2022)
Ajuntament de Calvià |
Fábrica Nacional de Moneda i Timbre - Real Casa De La Moneda |
Marcos Pecos |
Quintans María Isabel Valldecabres Ortiz |
ANNEX I
CAPÍTOL I.
SERVEIS EIT
La Fábrica Nacional de Moneda i Timbre - Real Casa de la Moneda (FNMT-RCM), com a prestadora de serveis de certificació, emetrà per a tots els usuaris que ho sol·licitin un conjunt de certificats, denominat «Certificat Bàsic» o «Títol d'Usuari», que permet al seu titular comunicar-se amb altres usuaris, de manera segura.
El format dels certificats utilitzats per l'FNMT-RCM es basa en el definit per la Unió Internacional de Telecomunicacions, sector de normalització de les telecomunicacions, en la Recomanació UIT-T X.509, de 31 de març de 2000 o superiors (ISO/IEC 9594-8 de 2001). El format serà el corresponent a la versió 3 del certificat, especificat en aquesta norma.
El certificat serà vàlid per a l'ús amb protocols de comunicació estàndard de mercat, tipus SSL, TLS, etc.
Com a serveis de certificació associats per a l'ús dels certificats per part dels seus titulars, l'FNMT-RCM oferirà els següents serveis tècnics:
- Registre d'usuaris
- Emissió, revocació i arxiu de certificats de clau pública
- Publicació de certificats i del Registre de Certificats
- Registre d'esdeveniments significatius
Generació i gestió de les claus
Generació i gestió de les claus
En el procediment d'obtenció de certificats, l'FNMT-RCM desenvoluparà els elements necessaris per a activar, en el lloc del sol·licitant, el programari que generi a través del seu navegador web, un parell de claus, pública i privada, que li permetrà signar i identificar-se, així com protegir la seguretat de les seves comunicacions a través de mecanismes de xifratge.
Les claus privades seran utilitzades sota el control del programari de navegació web de què disposi el propi usuari, enviant totes les claus públiques a l'FNMT-RCM amb la finalitat d'integrar-les en un certificat.
Les claus privades de signatura romandran sempre sota el control exclusiu del seu titular, i guardades en el suport corresponent. L'FNMT-RCM no en guardarà còpia.
L'FNMT-RCM garantirà que l'usuari, titular del certificat, pot tenir el control exclusiu de les claus privades corresponents a les claus públiques que es consignen en el certificat, mitjançant l'obtenció de les proves de possessió oportunes, a través de l'adjudicació del número d'identificació únic.
Arxiu de les claus públiques
Les claus públiques dels usuaris romandran arxivades, per si en fos necessària la recuperació, en arxius segurs, tant físicament com lògicament, durant un període no menor de 15 anys.
Exclusivitat de les claus
Les claus privades són exclusives per als titulars dels certificats i són d'ús personal i intransferible.
Les claus públiques són exclusives per als titulars dels certificats, independentment del suport físic en què estiguin emmagatzemades i protegides.
Renovació de claus
L'FNMT-RCM identifica una relació un a un entre la clau pública d'un usuari i el seu certificat de clau pública. No es preveu utilitzar diferents certificats per a una mateixa clau. És per això que les claus es renovaran amb els certificats quan aquesta renovació estigui contemplada en la normativa específica aplicable.
Registre d'usuaris
Registre d'usuaris
El registre d'usuaris és el procediment a través del qual s'identifica al sol·licitant d'un certificat electrònic, es comprova la seva personalitat i es constata la seva efectiva voluntat que li sigui emès el «Certificat Bàsic» o «Títol d'Usuari» per part de l'FNMT-RCM.
Aquest registre podrà ser fet per la pròpia FNMT-RCM o per qualsevol altra administració pública i, si n'és el cas, per les altres persones, entitats o corporacions habilitades a aquest efecte per les normes que resultin d'aplicació. En tot cas, el registre es durà a terme segons el que disposa l'FNMT-RCM, a fi que aquest registre es faci d'acord amb el que estableix la normativa específica aplicable i homogeni en tots els casos. D'igual manera serà l'FNMT-RCM la que defineixi i aporti els mitjans necessaris per fer aquest registre.
En el cas que el registre el faci una administració pública diferent de l'FNMT-RCM, la persona que s'encarregui de l'activitat de registre ha de ser personal al servei de l'administració pública. En aquests casos l'FNMT-RCM donarà suport a la implantació de les diferents oficines de registre que s'estableixin, quan sigui necessari, en els següents termes:
a) Aportació de l'aplicació informàtica de registre.
b) Aportació de la documentació relativa a la instal·lació i maneig de l'aplicació, així com tota la referent als procediments i normes sobre el registre.
c) Registre i formació dels encarregats del registre, la qual cosa suposa l'emissió d'un certificat emès per l'FNMT-RCM per a cada encarregat del registre, que permeti garantir la seguretat de les comunicacions amb l'FNMT-RCM, incloent-hi la signatura electrònica de les sol·licituds de registre.
Identificació dels sol·licitants dels certificats, comprovació de la seva personalitat i constatació de la seva voluntat
La identificació dels sol·licitants dels certificats en les oficines de registre i la comprovació de la seva personalitat es farà mitjançant l'exhibició del document nacional d'identitat, passaport o altres mitjans admesos en dret.
En l'acte de registre, el personal encarregat de les oficines d'acreditació constatarà que el sol·licitant té la voluntat de sol·licitar que li sigui emès un certificat electrònic per l'FNMT-RCM i que aquest reuneix els requisits exigits per l'ordenament jurídic.
En cas que sol·liciti un certificat de persona jurídica, serà aplicable el procediment de verificació de la identitat del sol·licitant i de comprovació de les dades de constitució de la persona jurídica i de la suficiència, extensió i vigència de les facultats de representació del sol·licitant que s'estableix en l'apartat 4 de l'article 7 de la Llei 6/2020, d'11 de novembre. El detall del procediment figura en la Declaració de Pràctiques de Certificació: https://www.sede.fnmt.gob.es/normativa/declaracion-de-practicas-de-certificacion
Necessitat de presentar-se en persona
El procediment de registre requereix presència física de l'interessat per a formalitzar el procediment de registre en l'oficina d'acreditació. No obstant això, seran vàlides i es donarà el curs corresponent a les sol·licituds d'emissió de certificats electrònics emplenades segons el model aprovat per l'FNMT-RCM per a aquest fi sempre que la signatura de l'interessat hagi estat legitimada notarialment en els termes assenyalats en el referit model.
Necessitat de confirmar la identitat dels components per part de l'FNMT-RCM
Si es tracta de sol·licituds relatives a certificats electrònics a descarregar en un servidor o un altre component, l'FNMT-RCM requerirà l'aportació de la documentació necessària que l'acrediti com a responsable d'aquest component i, si n'és el cas, la propietat del nom del domini o adreça IP (el Certificat de Component no és un certificat reconegut ni es recull en la legislació espanyola).
Incorporació de l'adreça de correu electrònic del titular al certificat
Si n'és el cas, la incorporació de l'adreça de correu electrònic del titular al certificat es farà a l'efecte que el certificat pugui suportar el protocol S/ACARONI en el cas que l'aplicació utilitzada per l'usuari així ho requereixi.
Quan l'adreça del correu electrònic del titular del certificat consti en una de les extensions del propi certificat, ni l'FNMT-RCM, com a signant i responsable d'aquest, ni l'Ajuntament de Calvià com a encarregat del registre d'usuaris respondran de la vinculació d'aquesta adreça amb el titular del certificat.
Obtenció del «Certificat Bàsic» o «Títol d'usuari»
Per a l'obtenció d'aquest certificat, així com per a la seva revocació o suspensió, el sol·licitant haurà d'observar les normes i procediments desenvolupats amb aquesta finalitat per l'FNMT-RCM de conformitat amb la normativa vigent aplicable.
Emissió, revocació i arxiu de certificats de clau pública
Emissió dels certificats
L'emissió de certificats suposa la generació de documents electrònics que acrediten la identitat o altres propietats de l'usuari i la seva correspondència amb la clau pública associada; de la mateixa manera, l'emissió dels certificats implica el seu posterior enviament al directori de manera que sigui accessible per totes les persones interessades a fer ús de les seves claus públiques.
L'emissió de certificats per part de l'FNMT-RCM només pot fer-la aquesta mateixa entitat. No existeix cap altra entitat o organisme amb capacitat d'emissió d'aquests certificats.
L'FNMT-RCM, per mitjà de la seva signatura electrònica, garantirà els certificats, així com la verificació de la identitat i qualssevol altres circumstàncies personals dels seus titulars. D'altra banda, i amb la finalitat d'evitar la manipulació de la informació continguda en els certificats, l'FNMT-RCM utilitzarà mecanismes criptogràfics per a assegurar l'autenticitat i integritat d'aquest certificat.
L'FNMT-RCM, una vegada emès el certificat, el publicarà i mantindrà una relació de certificats emesos durant tot el període de vida d'aquest en un servei d'accés telemàtic, universal, en línia i sempre disponible.
L'FNMT-RCM garanteix per a un certificat emès:
a) Que l'usuari disposa de la clau privada corresponent a la clau pública del certificat, en el moment de la seva emissió.
b) Que la informació inclosa en el certificat es basa en la informació proporcionada per l'usuari.
c) Que no omet fets coneguts que puguin afectar la fiabilitat del certificat.
Acceptació de certificats
Perquè un certificat sigui publicat per l'FNMT-RCM, aquesta comprovarà prèviament:
a) Que el signatari és la persona identificada en el certificat.
b) Que el signatari té un identificatiu únic.
c) Que el signatari disposa de la clau privada.
L'Ajuntament de Calvià garantirà que, en sol·licitar un certificat electrònic, el seu titular accepta que:
a) La clau privada amb la qual es genera la signatura electrònica correspon a la clau pública del certificat.
b) Únicament el titular del certificat té accés a la seva clau privada.
c) Tota la informació lliurada durant el registre per part del titular és exacta.
d) El certificat serà usat exclusivament per a fins legals i autoritzats i d'acord amb el que estableix l'FNMT-RCM.
e) L'usuari final del certificat no és un Prestador de Serveis de Certificació i no utilitzarà la seva clau privada associada a la clau pública que apareix en el certificat per a signar altres certificats (o altres formats de certificats de clau pública), o llistats de certificats, com un Prestador de Serveis de Certificació o d'una altra manera.
L'Ajuntament de Calvià garantirà que, en sol·licitar un certificat electrònic, el seu titular assumeix les següents obligacions sobre la seva clau privada:
a) A conservar el seu control.
b) A prendre les precaucions suficients per a prevenir-ne la pèrdua, revelació, modificació o ús no autoritzat.
En sol·licitar el certificat, el titular haurà de prestar la seva conformitat amb els termes i condicions del seu règim i utilització.
Revocació i suspensió de certificats electrònics
La Fábrica Nacional de Moneda i Timbre - Real Casa de la Moneda deixarà sense efecte els certificats electrònics atorgats als usuaris quan concorri alguna de les següents circumstàncies:
a) Sol·licitud de revocació de l'usuari, per la persona física o jurídica representada per aquest o per un tercer autoritzat.
b) Resolució judicial o administrativa que ho ordeni.
c) Defunció o extinció de la personalitat de l'usuari o incapacitat sobrevinguda.
d) Finalització del termini de vigència del certificat.
e) Pèrdua o inutilització per danys en el suport del certificat.
f) Utilització indeguda per un tercer.
g) Inexactituds greus en les dades aportades per l'usuari per a l'obtenció del certificat.
h) Qualsevol altra prevista en la normativa vigent.
L'extinció de l'eficàcia d'un certificat produirà efectes des de la data en què la Fábrica Nacional de Moneda i Timbre - Real Casa de la Moneda tingui coneixement cert de qualsevol dels fets determinants de l'extinció prevists en l'apartat anterior i així ho faci constar en el seu registre de certificats. En el supòsit d'expiració del període de validesa del certificat, l'extinció farà efecte des que acabi el termini de validesa.
La Fábrica Nacional de Moneda i Timbre - Real Casa de la Moneda podrà suspendre temporalment l'eficàcia dels certificats si així ho sol·licita l'usuari o ho ordena una autoritat judicial o administrativa, o quan existeixin dubtes raonables, per part de qualsevol usuari públic, sobre la vigència de les dades declarades i la seva verificació requereixi la presència física de l'interessat. En aquest cas, l'FNMT-RCM podrà requerir, de forma motivada, la seva compareixença davant l'oficina d'acreditació on es va fer l'activitat d'identificació prèvia a l'obtenció del certificat o, excepcionalment, davant una altra oficina d'acreditació a aquest efecte de la pràctica de les comprovacions que procedeixin. L'incompliment d'aquest requeriment per un període de deu dies podrà donar lloc a la revocació del certificat.
La suspensió dels certificats farà efecte en la forma prevista per a l'extinció de la seva vigència.
L'extinció de la condició d'usuari públic es regirà pel que disposa la present ordre per encomanda o el que determini, si n'és el cas, la normativa vigent o una resolució judicial o administrativa.
Comunicació i publicació en el Registre de Certificats de circumstàncies determinants de la suspensió i extinció de la vigència d'un certificat ja expedit
L'FNMT-RCM subministrarà a l'Ajuntament de Calvià els mecanismes de la transmissió segura per a l'establiment d'un servei continu i ininterromput de comunicació entre totes dues a fi que, per mitjans telemàtics o a través d'un centre d'atenció telefònica a usuaris, posi immediatament en coneixement de l'FNMT-RCM qualsevol circumstància de què tingui coneixement i que sigui determinant per a la suspensió, revocació o extinció de la vigència dels certificats ja expedits, a fi que es pugui donar publicitat d'aquest fet, de manera immediata, en el directori actualitzat de certificats a què es refereix l'apartat 4 de l'article 9 de la Llei 6/2020, d'11 de novembre, de serveis electrònics de confiança.
L'FNMT-RCM posarà a la disposició dels titulars dels certificats un centre d'atenció d'usuaris que permetrà resoldre qualsevol dubte o incidència relativa a la validesa o utilització dels certificats.
A més, el citat centre d'atenció als usuaris permetrà resoldre qualsevol dubte o incidència relativa a la validesa o utilització dels certificats.
L'Ajuntament de Calvià i l'FNMT-RCM respondran dels danys i perjudicis causats per qualsevol dilació que els sigui imputable en la comunicació i publicació en el Registre de Certificats, respectivament, de les circumstàncies que tinguin coneixement i que siguin determinants de la suspensió, revocació o extinció d'un certificat expedit.
PUBLICACIÓ DE CERTIFICATS DE CLAU PÚBLICA I REGISTRE DE CERTIFICATS
Publicació de certificats de clau pública
L'FNMT-RCM publicarà els certificats emesos en un directori segur.
Quan el certificat sigui revocat, temporalment o definitivament, aquest serà publicat en el Registre de Certificats, que inclourà una llista de certificats revocats, comprensiva dels certificats expedits per l'FNMT-RCM, la vigència de la qual s'hagi extingit o suspès almenys fins a un any després de la seva data de caducitat.
Aquesta publicació pot ser:
a) Publicació directa per part de l'FNMT-RCM. Aquesta operació la fa l'FNMT-RCM a través de la publicació en un directori propi. L'actualització en el directori segur de les llistes de revocació es farà de forma continuada.
La consulta d'aquest directori es farà en línia, per accés directe de l'usuari. Aquest servei permet la disponibilitat contínua i la integritat de la informació emmagatzemada en el directori. Les llistes de revocació seran signades amb la clau privada de signatura de l'FNMT-RCM.
b) Publicació en directoris externs. L'FNMT-RCM podrà publicar externament, en directoris públics oferts per altres entitats o organismes, mitjançant replicació periòdica o en línia, tant certificats com llistes de certificats revocats. Aquestes llistes, igual que les publicades internament, aniran signades amb la clau privada de signatura de l'FNMT-RCM.
Freqüència de la publicació en directoris externs
La publicació en directoris externs a l'FNMT-RCM podrà ser realitzada periòdicament o en línia, en funció dels requeriments de l'entitat o Organisme que ofereixi el directori.
Control d'accés
En la publicació directa per part de l'FNMT-RCM, l'accés al directori es farà amb autenticació prèvia. Aquest accés estarà restringit a només lectura i cerca, i podrà utilitzar com a clau de cerca qualsevol informació continguda en una entrada d'un usuari.
Quant a les llistes de revocació, tant les publicades internament com externament, l'accés hi serà públic i universal, per a verificar aquest fet.
Registre d'esdeveniments significatius
Tipus d'esdeveniments registrats
L'FNMT-RCM registrarà tots els esdeveniments relacionats amb els seus serveis que puguin ser rellevants amb la finalitat de verificar que tots els procediments interns necessaris per al desenvolupament de l'activitat es desenvolupen d'acord amb la normativa legal aplicable i al que s'estableix en el Pla de Seguretat Interna, i permetin esbrinar les causes d'una anomalia detectada.
Tots els esdeveniments registrats són susceptibles d'auditar-se per mitjà d'una auditoria interna o externa.
Freqüència i període d'arxiu d'un registre d'un esdeveniment
La freqüència de realització de les operacions de registre dependrà de la importància i característiques dels esdeveniments registrats (bé sigui per a salvaguardar la seguretat del sistema o dels procediments), garantint sempre la conservació de totes les dades rellevants per a la verificació del funcionament correcte dels serveis.
El període d'arxiu de les dades corresponents a cada registre dependrà així mateix de la importància dels esdeveniments registrats.
Arxiu d'un registre d'esdeveniments
L'FNMT-RCM farà un enregistrament segur i constant de tots els esdeveniments rellevants des del punt de vista de la seguretat i auditoria (operacions realitzades) que vagi fent, amb la finalitat de reduir els riscos de vulneració, mitigar qualsevol mal que es produeixi per una violació de la seguretat i detectar possibles atacs.
Aquest arxiu està proveït d'un nivell alt d'integritat, confidencialitat i disponibilitat per a evitar intents de manipulació dels certificats i esdeveniments emmagatzemats.
L'FNMT-RCM mantindrà arxivats tots els esdeveniments registrats més importants, i en mantindrà l'accessibilitat durant un període mai no inferior a 15 anys.
En el cas de l'arxiu històric dels certificats, aquests romandran arxivats durant almenys 15 anys.
Dades rellevants que seran registrades
Seran registrats els següents esdeveniments rellevants:
a) L'emissió i revocació i altres esdeveniments rellevants relacionats amb els certificats.
b) Totes les operacions referents a la signatura dels certificats per part de l'FNMT-RCM.
c) Les signatures i altres esdeveniments rellevants relacionats amb les llistes de certificats revocats.
d) Totes les operacions d'accés a l'arxiu de certificats.
e) Esdeveniments rellevants de la generació de claus.
f) Totes les operacions del servei d'arxiu de claus i de l'accés a l'arxiu de claus pròpies expirades.
g) Totes les operacions relacionades amb la recuperació de claus.
Les funcions d'administració i operació dels sistemes d'arxiu i auditoria d'esdeveniments seran sempre encomanades a personal especialitzat de l'FNMT-RCM.
Protecció d'un registre d'activitat
Una vegada registrada l'activitat dels sistemes, els registres no podran ser modificats, ni esborrats, i romandran arxivats en les condicions originals durant el període assenyalat.
Aquest registre tindrà només accés de lectura, i l'accés estarà restringit a les persones autoritzades per l'FNMT-RCM.
L'enregistrament del registre, amb la finalitat que no s'hi pugui manipular cap dada, es farà automàticament mitjançant un programari específic que a aquest efecte l'FNMT-RCM estimi oportú.
El registre auditat, a més de les mesures de seguretat establertes en el seu enregistrament i posterior verificació, estarà protegit de qualsevol contingència, modificació, pèrdua i revelació de les seves dades durant el seu enregistrament en suports externs, canvi d'aquest suport i emmagatzematge d'aquests.
L'FNMT-RCM garanteix l'existència de còpies de seguretat de tots els registres auditats.
CAPÍTOL II
SERVEIS AVANÇATS
Certificats de component
L'FNMT-RCM emet certificats de component genèric, de servidor i de signatura de codi, per la qual cosa s'hereta la confiança que representa l'FNMT-RCM com a Autoritat de Certificació instal·lada en els navegadors principals.
Certificat SSL/TLS estàndard: és el que permet establir comunicacions segures amb els seus clients utilitzant el protocol SSL/TLS. Aquest tipus de certificats garanteix la identitat del domini on es troba el seu servei web.
Certificat Wildcard: identifica tots els subdominis associats a un domini determinat, sense necessitat d'adquirir i gestionar múltiples certificats electrònics. Per exemple, el certificat Wildcard emès a "*.ejemplo.es" garanteix la identitat de dominis com ara compras.ejemplo.es, ventas.ejemplo.es o altas.ejemplo.es.
Certificat SANT: el certificat de tipus SANT, també conegut com«certificat multidomini, UC o Unified Communications Certificates, permet securitzar amb un sol certificat fins a dotze dominis diferents.
Certificat de segell d'entitat: és el que s'utilitza habitualment per a establir connexions segures entre components informàtics genèrics. La seva configuració flexible permet dotar-lo de diferents usos:
- Autenticació de components informàtics d'una entitat en el seu accés a serveis informàtics, o a altres infraestructures tecnològiques, amb accés restringit o identificació de client.
- Intercanvi de missatges o dades xifrades amb garanties de confidencialitat, autenticació i integritat.
Servei de Segellament de Temps
L'FNMT-RCM és un Prestador de Serveis de Confiança, entre els quals s'inclou el Segellament de Temps o creació de segells qualificats de temps electrònics, conforme al Reglaments elDAS, l'objecte dels quals és donar fe de l'existència d'un conjunt de dades en un instant determinat en la línia de temps. Per a això utilitza com a font d'informació temporal vinculada al Temps Universal Coordinat (UTC) la proporcionada per la Secció d'Hora del Real Institutp y Observatorio de l'Armada (ROA) a Sant Ferran, mitjançant l'acord aconseguit entre aquesta entitat i l'FNMT-RCM per a la sincronització contínua dels seus sistemes. El ROA té com a missió el manteniment de la unitat bàsica de temps, declarat a efectes legals com a patró nacional d'aquesta unitat, així com el manteniment i difusió oficial de l'escala «Temps Universal Coordinat» (UTC-ROA), considerada amb caràcter general com la base de l'hora legal en tot el territori espanyol (Reial decret 1308/1992, de 23 octubre 1992).
El Sistema de Sincronisme amb el Real Observatorio de la Armada (SS-ROA) instal·lat en el Centre de Procesament de Dades (CPD) de l'FNMT-RCM té com a objectiu proporcionar una font de referència temporal traçable a l'escala de temps UTC (ROA), per a la prestació del Servei de Segellament de Temps de l'FNMT-RCM.
Aquest sistema produeix una sèrie de fitxers que contenen les dades dels seguiments efectuats en un dia i són utilitzats pel ROA per a elaborar els informes de diferència de fase del patró amb l'escala UTC (ROA).
La precisió declarada per a la sincronització de la TSU amb UTC és de 100 mil·lisegons, de manera que compleix àmpliament els requisits de l'estàndard europeu [ETSI EN 319 421]. Per tant, el Servei de Segellament de Temps de l'FNMT-RCM no expedirà cap segell de temps electrònic durant el període de temps en què existeixi un desfasament major de 100 mil·lisegons entre els rellotges de la TSU i la font de temps UTC del ROA.
L'FNMT-RCM subministrarà als departaments, organismes i entitats del sector públic destinataris dels serveis de la present encomanda que així ho sol·licitin l'accés a aquest servei de Segellament de Temps.
Tant les peticions de Segellament de Temps com les respostes es gestionaran conforme al descrit en la recomanació RFC 3161.
Les respostes de l'Autoritat de Segellament de Temps, del tipus «application/timestamp reply», aniran signades amb un certificat amb una grandària de claus RSA de 3072 bits i algorisme de signatura SHA-256 i podran validar-se mitjançant qualsevol dels mètodes de validació dels certificats que l'FNMT-RCM posa a la disposició dels usuaris i terceres parts que confien en els certificats i que es descriu en l'apartat anterior.
CAPÍTOL III.
SERVEIS ADMINISTRACIÓ PÚBLICA (LLEI 40/2015)
Servei de Validació del Certificat de l'AC Administració Pública / Sector Públic
Per a comprovar la validesa del certificat de l'Autoritat de Certificació de l'Administració Pública / Sector Públic s'han disposat dos mecanismes per a la descàrrega de la CRL associada a aquest certificat. Ambdós es troben disponibles en el propi certificat de l'AC, com CRLDistributionPoints i són, per aquest ordre:
LDAP
Localització del servei ldap per a la descàrrega de la CRL de l'AC ARREL de l'FNMT-RCM:
ldap://ldapfnmt.cert.fnmt.es/cn=crl,ou=ac RAIZ FNMT-RCM, O=FNMT-RCM, C=ÉS ?authorityRevocationList ?base ?objectclass=cRLDistributionPoint
Aquest servei ldap es prestarà en la seva versió 3, en manera binària, estant disponible en el port estàndard per al servei ldap (389), i sense requerir cap mena d'autenticació.
La prestació del servei serà de caràcter universal i sense control d'accés, tenint únicament la restricció de poder descarregar-se una única crl en cada connexió feta, que en aquest cas només existeix una CRL, l'ARL.
L'accés a aquest servei estarà disponible a través d'Internet, així com a través de la Xarxa SARA.
La CRL emesa per a aquesta infraestructura tindrà un període de validesa de 3 mesos i es publicarà 10 dies abans de la seva caducitat i, en qualsevol cas, sempre que es revoqui algun certificat emès per l'AC ARREL de l'FNMT-RCM.
L'FNMT-RCM es reserva el dret a bloquejar l'accés a les adreces IP per a les quals s'observi un ús indegut o abusiu d'aquest servei.
HTTP
Localització del servei http per a la descàrrega de la CRL de l'AC ARREL de l'FNMT-RCM:
http://www.cert.fnmt.es/crls/arlfnmtrcm.crl
La CRL emesa per a aquesta infraestructura tindrà un període de validesa de 3 mesos i es publicarà 10 dies abans de la seva caducitat i, en qualsevol cas, sempre que es revoqui algun certificat emès per l'AC ARREL de l'FNMT-RCM.
La prestació del servei serà de caràcter universal, gratuït, i sense control d'accés, tenint únicament la restricció de poder descarregar-se una única crl en cada connexió realitzada.
L'accés a aquest servei estarà disponible a través d'Internet, així com a través de la Xarxa SARA.
L'FNMT-RCM es reserva el dret a bloquejar l'accés a les adreces IP per a les quals s'observi un ús indegut o abusiu d'aquest servei.
Servei de Validació de Certificats d'Entitat Final per a Administració Pública
El Servei de Validació de Certificats per a la infraestructura Administració Pública es prestarà mitjançant els següents serveis:
- Servei de descàrrega de CRL d'AC Administració Pública / Sector Públic mitjançant protocol LDAP.
- Servei de descàrrega de CRL d'AC Administració Pública mitjançant protocol http.
La disponibilitat de múltiples serveis per a la validació de certificats proporciona compatibilitat total amb les diferents necessitats de les aplicacions en les quals hauran d'integrar-se els certificats d'entitat final emesos per la infraestructura de l'administració pública.
Servei de descàrrega de CRL mitjançant protocol LDAP
Aquest servei serà de caràcter universal, anònim, gratuït i sense cap mena d'autenticació, de forma que qualsevol client podrà descarregar-se la CRL per a poder validar un certificat d'entitat final emès per l'AC Administració Pública / Sector Públic.
Aquest servei es prestarà des de la següent URL en el port estàndard ldap 389:
ldap://ldapape.cert.fnmt.és/CN=CRLnnn,OU=AC APE/SP, O=FNMT-RCM, C=ÉS ?certificateRevocationList ?base ?objectclass=cRLDistributionPoint
Aquest punt de distribució de CRL anirà inserit en tots els certificats d'Entitat Final emesos per l'AC de l'Administració Pública / Sector Públic, essent en cada cas CRLnnn el número de CRL que li correspon a aquest certificat.
L'accés a aquest servei estarà disponible a través d'Internet, així com a través de la Xarxa SARA.
L'FNMT-RCM es reserva el dret a bloquejar l'accés a les adreces IP per a les quals s'observi un ús indegut o abusiu d'aquest servei.
Servei de descàrrega de CRL mitjançant protocol HTTP
Aquest servei serà de caràcter universal, anònim, gratuït i sense cap mena d'autenticació, de forma que qualsevol client podrà descarregar-se la CRL per a poder validar un certificat d'entitat final emès per l'AC Administració Pública / Sector Públic.
Aquest servei es prestarà des de la següent URL en el port estàndard http 80:
http://www.cert.fnmt.es/crlsape/crlnnn.crl
http://www.cert.fnmt.es/crlssp/crlnnn.crl
Aquest punt de distribució de CRL anirà inserit en tots els certificats d'entitat final emesos per l'AC de l'Administració Pública, essent en cada cas CRLnnn el número de CRL que li correspon a aquest certificat, a l'igual que el descrit anteriorment.
L'accés a aquest servei estarà disponible a través d'Internet, així com a través de la Xarxa SARA.
L'FNMT-RCM es reserva el dret a bloquejar l'accés a les adreces IP per a les quals s'observi un ús indegut o abusiu d'aquest servei.
CERTIFICAT DE SIGNATURA ELECTRÒNICA DEL PERSONAL Al SERVEI DE LES ADMINISTRACIONS PÚBLIQUES I CERTIFICAT DE SIGNATURA ELECTRÒNICA DEL PERSONAL Al SERVEI DE LES ADMINISTRACIONS PÚBLIQUES AMB PSEUDÒNIM
Aquest certificat l'emet l'FNMT-RCM per compte de l'administració pública corresponent en la qual l'FNMT-RCM presta els serveis tècnics, administratius i de seguretat necessaris com a Prestador Qualificat de Serveis de Confiança.
El certificat per a personal al servei de l'administració pública és desenvolupat per l'FNMT-RCM mitjançant una infraestructura PKI específica i ad hoc, basada en actuacions d'identificació i registre fetes per la xarxa d'oficines de registre designades per l'òrgan, organisme o entitat subscriptora del certificat. Els «procediments d'emissió» podran establir, en l'àmbit d'actuació de les administracions públiques, oficines de registre comunes per a aquest àmbit d'actuació amb efectes uniformes per a qualssevol administracions, organismes i/o entitats públiques.
Són expedits per l'FNMT-RCM com a Prestador Qualificat de Serveis de Confiança complint els criteris establerts en la Llei 6/2020, d'11 de novembre, citada, i en la normativa tècnica EESSI, concretament de conformitat amb l'estàndard europeu ETSI EN 319 411-2 «Requirements for trust service providers issuing EU qualified certificates» i ETSI EN 319 412-2 «Certificate profile for certificates issued to natural persons». Aquests certificats electrònics són emesos exclusivament al personal al servei de l'administració i, per tant, no s'emeten al públic general.
Els certificats de signatura electrònica del personal al servei de l'administració pública són qualificats conforme al Reglament (UE) núm. 910/2014, del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i als serveis de confiança per a les transaccions electròniques en el mercat interior. Pot comprovar-se la seva inclusió en la llista de confiança de prestadors de serveis de confiança (TSL, per les seves sigles en anglès) d'Espanya a través de l'enllaç https://sede.minetur.gob.es/es-es/datosabiertos/catalogo/lista-prestadores-tsl.
La grandària de les claus RSA relatives al certificat arrel de l'autoritat de certificació que emet els certificats electrònics és actualment de 4.096 bits.
La grandària de les claus RSA relatives als certificats electrònics qualificats per a identificar els empleats públics és actualment de 2.048 bits.
L'algorisme de xifratge de tots els certificats emesos és de SHA-265.
FNMT-RCM no regula l'ús d'aquest certificat, atès que s'estableix en la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, i altra legislació aplicable, sinó que es limita a crear una infraestructura tècnica a la disposició de l'administració, organisme o entitat pública titular corresponent. Així mateix, totes les circumstàncies i requisits referents als usuaris, per la pròpia naturalesa dels certificats d'empleat públic, seran controlats, exclusivament, per l'administració, informant l'FNMT-RCM de la seva alteració o modificació; tot això, a través de les oficines de registre habilitades per les administracions, organismes i entitats públiques.
Les administracions només podran requerir certificats amb pseudònim de signatura electrònica del personal al servei de l'administració pública i de l'administració de justícia per al seu ús en les actuacions que, fetes per mitjans electrònics, afectin informació classificada, la seguretat pública, la defensa nacional o altres actuacions en les quals estigui legalment justificat l'anonimat per a la seva realització.
El perfil del certificat és el descrit en les declaracions de pràctiques de certificació.
Servei de signatura electrònica centralitzada per a empleats públics (signatura en el núvol)
L'AC Sector Públic expedeix certificats de signatura electrònica centralitzada per a funcionaris, personal laboral, estatutari al seu servei i personal autoritzat, al servei de l'administració pública, òrgan, organisme públic o entitat de dret públic.
Aquests certificats són vàlids com a sistemes de signatura electrònica de conformitat amb la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, i de conformitat amb la Llei 18/2011, de 5 de juliol, reguladora de l'ús de les tecnologies de la informació i la comunicació en l'administració de justícia.
El certificat de signatura electrònica centralitzada per a empleats públics és un certificat qualificat per a la creació de signatures electròniques avançades generades en un dispositiu de creació de signatura remot, en un entorn segur i de confiança. Això és, la generació de les claus públiques i privades no es fa directament en el navegador d'Internet del signant o en un altre dispositiu en el seu poder, sinó que es generen i s'emmagatzemen en un entorn segur pertanyent a l'FNMT-RCM. Per a proveir aquest servei, s'ha integrat en la infraestructura de l'FNMT-RCM el mòdul TrustedX eIDAS de Safelayer.
El certificat de signatura electrònica centralitzada per a empleat públic, confirma de manera conjunta la identitat del personal al servei de les administracions públiques, i al subscriptor del certificat, que és l'òrgan, organisme o entitat de l'administració pública en què aquest personal exerceix les seves competències, presta els seus serveis o desenvolupa la seva activitat.
Així mateix, la signatura electrònica es fa de forma centralitzada, i es garanteix en tot moment el control exclusiu del procés de signatura per part del personal al servei de l'administració al qual se li ha expedit el certificat. L'accés a les claus privades del signant es durà a terme garantint sempre un nivell de seguretat ALT (usuari + password + 2n factor d'autenticació OTP).
Les funcionalitats i propòsits del certificat de signatura electrònica centralitzada per a empleat públic permeten garantir l'autenticitat, integritat i confidencialitat de les comunicacions. L'expedició i signatura del certificat es farà per la «AC Sector Públic» subordinada de la'«AC Arrel» de l'FNMT-RCM.
Els certificats de signatura electrònica centralitzada per a empleat públic expedits per l'FNMT-RCM tindran validesa durant un període màxim de tres (3) anys comptats a partir del moment de l'expedició del certificat, sempre que no se n'extingeixi la vigència. Transcorregut aquest període, i si el certificat continua actiu, caducarà, i en serà necessària l'expedició d'un de nou en cas de voler continuar utilitzant els serveis del Proveïdor de Serveis de Confiança.
La longitud de la clau utilitzada en l'«AC Sector Públic» és de 2048 bits i en l'«AC Arrel» és de 4096 bits.
La validació de l'estat de vigència d'aquesta mena de certificats es pot comprovar a través del servei d'informació i consulta de l'estat dels certificats que proveeix l'FNMT-RCM mitjançant el protocol OCSP, disponible en la ubicació especificada en el propi certificat.
SEGELL ELECTRÒNIC QUALIFICAT DE LES ADMINISTRACIONS PÚBLIQUES
Certificat qualificat de segell electrònic per a administració pública, òrgan, organisme públic o entitat de dret públic, com a sistema d'identificació i per a l'actuació administrativa automatitzada i per a l'actuació judicial automatitzada, que permet autenticar documents expedits per aquesta administració o qualsevol actiu digital.
S'expedeixen de conformitat amb l'estàndard europeu ETSI EN 319 411-2 «Requirements for trust service providers issuing EU qualified certificates», i ETSI EN 319 412-3 «Certificate profile for certificates issued to legal persons».
Els certificats de segell electrònic són qualificats conforme al Reglament (UE) núm. 910/2014, del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i als serveis de confiança per a les transaccions electròniques en el mercat interior. Pot comprovar-se la seva inclusió en la llista de confiança de prestadors de serveis de confiança (TSL, per les seves sigles en anglès) d'Espanya a través de l'enllaç https://sede.minetur.gob.es/es-es/datosabiertos/catalogo/lista-prestadores-tsl.
La seva durada s'estableix en 1 any i la longitud de clau RSA en 2.048 bits. Compten amb servei de validació mitjançant OCSP, de lliure accés per part de qualsevol interessat, operatiu les 24 hores del dia, tots els dies de l'any, i la seva URL, accessible des d'internet, es reflecteix en els propis certificats.
FNMT-RCM no regula l'ús d'aquest certificat, atès que s'estableix en la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, i altra legislació aplicable, sinó que es limita a crear una infraestructura tècnica a la disposició dels usuaris i custodis de l'administració, organisme o entitat pública titular del certificat, propietari o responsable de la unitat administrativa i del component informàtic corresponent. Així mateix, totes les circumstàncies i requisits referents als usuaris i custodis, per la pròpia naturalesa dels certificats de segell electrònic de les administracions públiques, seran controlats, exclusivament, per l'administració, informant l'FNMT-RCM de la seva alteració o modificació; tot això, a través a través de les oficines de registre habilitades per les administracions, organismes i entitats públiques.
El perfil del certificat és el descrit en les declaracions de pràctiques de certificació.
CERTIFICATS QUALIFICATS D'AUTENTICACIÓ DE LLOCS WEB PER A SEU ELECTRÒNICA DE LES ADMINISTRACIONS ELECTRÒNIQUES
Certificats per a la identificació de seus electròniques de l'administració pública, organismes i entitats públiques vinculades o dependents emesos per l'FNMT-RCM sota la denominació de certificats administració.
S'expedeixen de conformitat amb els estàndards europeus:
- ETSI EN 319 411-2 «Requirements for trust service providers issuing EU qualified certificates»
- ETSI EN 319 412-4 «Certificate profile for web site certificates».
Addicionalment, compleixen tots els requisits establerts pel CA / Browser Fòrum en les seves especificacions:
- «Baseline requirements for the issuance and management of publicly Trusted Certificates».
- «Guidelines for the issuance and management of esteneu validation certificates».
Aquests certificats s'expedeixen com a qualificats conforme al Reglament (UE) núm. 910/2014, del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i als serveis de confiança per a les transaccions electròniques en el mercat interior, de conformitat amb els estàndards europeus ETSI EN 319 411-1 «Policy and Security Requirements for Trust Services Providers issuing certificates - General Requirements». Pot comprovar-se la seva inclusió en la llista de confiança de prestadors de serveis de confiança (TSL, per les seves sigles en anglès) d'Espanya a través de l'enllaç https://sede.minetur.gob.es/es-es/datosabiertos/catalogo/lista-prestadores-tsl.
La seva durada s'estableix en 1 any i la longitud de la clau ECC (Elliptic Corbi Criptography) és de 384 bits. La utilització de la més moderna tecnologia criptogràfica de corbes el·líptiques, en substitució de l'anterior tecnologia basada en l'algorisme RSA, ha permès reduir considerablement la longitud de la clau, i mantenir, i fins i tot superar, les característiques de seguretat (una clau ECC de 384 bits és equivalent a una clau RSA d'aproximadament 7680 bits), la qual cosa assegura operacions criptogràfiques més ràpides i eficaces en entorns més segurs encara.
Aquests certificats compten amb servei de validació mitjançant OCSP, de lliure accés per part de qualsevol interessat, operatiu les 24 hores del dia, tots els dies de l'any, i la seva URL, accessible des d'internet, es reflecteix en els propis certificats.
FNMT-RCM no regula l'ús d'aquest certificat, atès que s'estableix en la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, i altra legislació aplicable, sinó que es limita a crear una infraestructura tècnica a la disposició dels usuaris i custodis de l'administració, organisme o entitat pública titular de la seu electrònica corresponent. Així mateix, totes les circumstàncies i requisits referents als usuaris i custodis, per la pròpia naturalesa dels certificats per a la identificació de seus electròniques, seran controlats, exclusivament, per l'administració, informant l'FNMT-RCM de la seva alteració o modificació; tot això, a través a través de les oficines de registre habilitades per les administracions, organismes i entitats públiques.
El perfil del certificat és el descrit en les declaracions de pràctiques de certificació.
ANNEX II
CAPÍTOL I. SERVEIS EIT
1. Preu anual dels serveis
En el preu indicat en la clàusula QUARTA s'inclou la prestació d'aquest servei.
2. Suport Tècnic
El cost del suport tècnic especialitzat fet per part de personal de l'FNMT-RCM serà de 122,64 euros/hora.
En el cas en què el suport tècnic es presti en les instal·lacions del convinent, a la tarifa anterior se li han d'afegir les despeses derivades de l'estada fixats en 204,38 euros/dia per persona, més els derivats del desplaçament i pernocta.
3. Condicions
A totes les quantitats exposades en el capítol I del present annex s'hi ha d'afegir l'IVA legalment establert.
CAPÍTOL II.
SERVEIS AVANÇATS
1. Certificats de component
En el preu indicat en la clàusula QUARTA s'inclou un certificat de component (Wildcard).
El preu dels certificats de components addicionals serà l'estipulat en l'apartat corresponent de la pàgina web de Ceres:
www.cert.fnmt.es/catalogo-de-servicios/certificados-electronicos
2. Servei de Segellament de Temps No Aplica
El servei de segellament de temps té una quota anual fixa de ______ € per a un consum real que no sobrepassi els 10.000 segellaments a l'any, estimats com a raonables per totes dues parts. La superació d'aquesta estimació de forma consolidada habilitarà la revisió d'aquesta tarifa plana i la seva adaptació als preus de mercat aplicats per l'FNMT-RCM.
3. Condicions
A totes les quantitats exposades en el capítol II del present Annex s'hi ha d'afegir l'IVA legalment establert.
CAPÍTOL III.
SERVEIS ADMINISTRACIÓ PÚBLICA (LLEI 40/2015)
1. Certificats per als serveis de l'àmbit de la Llei 40/2015
El preu anual pels serveis de l'àmbit de la Llei 40/2015 ascendeix a 590,00 euros/any, imposts no inclosos, que inclou l'emissió de tots els certificats d'empleat públic que el convinent requereixi (sw, amb pseudònim i signatura centralitzada), un certificat de seu electrònica i un certificat de segell electrònic.
2. Condicions
A totes les quantitats exposades en el capítol III del present Annex s'hi ha d'afegir l'IVA legalment establert.