SERVICIOS DE CERTIFICACIÓN DIGITAL PARA UNIVERSIDADES TEXTO DIVULGATIVO DE POLÍTICA Referencia: TDP PKI WG10 QUALIFIED SAN Versión: 1.0.2 Fecha: 30/01/2009 TEXTO DIVULGATIVO DE POLÍTICA El presente documento contiene información de su interés relativa a los servicios de certificación digital que Banco Santander, S.A. (en adelante Santander o el Banco) presta a las Universidades asociadas al carnet universitario, con el fin de facilitar el empleo de dichos servicios a los usuarios finales de los certificados digitales y todo ello conforme a la normativa sobre firma electrónica. Estos servicios se regulan en un Acuerdo Marco para la prestación de Servicios de Certificación Digital X509v3 firmado entre el Banco y las Universidades (en adelante el Acuerdo), en los contratos que suscriban los firmantes (en adelante, Contrato de Firmante), en la Declaración de Prácticas de Certificación PKI WG10 QUALIFIED (DPC PKI WG10 QUALIFIED), en la Política de Certificación PKI WG10 QUALIFIED (DPC PKI WG10 QUALIFIED) y, en caso de renovación del certificado, en la Hoja de Entrega y Aceptación. Este texto, cuyo contenido sigue el esquema del Anexo B del documento ETSI TS 101 456 V1.2.1 (2002-04), tiene carácter meramente divulgativo y en ningún caso sustituye a lo dispuesto en los citados documentos. 1. Autoridad de Certificación y Oficina de Registro Santander es la Autoridad de Certificación que emite los certificados digitales, utilizando su infraestructura de certificación digital llamada Autoridad de Certificación Raíz “WG10 QUALIFIED Identification Root CA”. Los certificados digitales se emiten exclusivamente a los Firmantes, personas físicas que mantienen una determinada relación profesional, estudiantil o investigadora con la Universidad. Los procedimientos que la Autoridad de Certificación se compromete a cumplir para desarrollar sus actividades se detallan en la DPC PKI WG10 QUALIFIED que el Firmante deberá conocer. La Oficina de Registro (ver apartado 8) se encarga de las tareas operativas y de información relacionadas con los Firmantes: información previa; comprobación de la identidad; contratación; emisión, revocación y renovación de los certificados; consultas. 2. Certificados digitales y usos autorizados Los certificados digitales cumplen el formato X.509 versión 3 (en adelante, los certificados) son emitidos a personas físicas, los Firmantes, por un periodo de validez máximo de cuatro años y que se pueden utilizar para: • Autenticación • Firma de mensajes, documentos y formularios Web • Firma de correo electrónico seguro • Integridad de los datos Los certificados se emplearán en el ámbito universitario, en aplicaciones debidamente autorizadas por Santander y la Universidad. Así mismo, los certificados podrán ser utilizados en la relación del firmante con todos los organismos y empresas en los que esté homologada su utilización como, por ejemplo, la Agencia Estatal de la Administración Tributaria (AEAT). Cada Firmante dispondrá de una clave pública y de una clave privada, generadas en el entorno seguro de la Oficina de Registro. Con la clave pública se genera su certificado y, a continuación, se almacenan de forma segura en su carnet universitario la clave privada y el certificado. Por lo tanto, cualquier incidencia o daño relacionado con su carnet universitario puede afectar al uso de su certificado. Para poder obtener el certificado, el Firmante tiene que personarse en la Oficina de Registro con un documento original que permita comprobar su identidad (DNI, Pasaporte o Tarjeta de Residencia) junto con su carnet universitario y suscribir con el Banco el Contrato de Firmante. Texto Divulgativo de Política Página 2 de 4 Santander Siempre que el Firmante pretenda utilizar su clave privada para autenticarse ante una aplicación o para firmar digitalmente, será necesario que teclee la clave de activación de firma (PIN Universitario) que protege el acceso a su clave privada. Para revocar el certificado, será necesario que el Firmante rellene una Solicitud de Revocación y la entregue en la Oficina de Registro. Una vez revocado el certificado, no podrá volver a utilizarse y será necesario completar el proceso de Registro y firmar un nuevo contrato de firmante. Para renovar el certificado, una vez transcurrido el periodo de validez, el Firmante deberá repetir el proceso de registro y suscribir la Hoja de Entrega y Aceptación. 3. Obligaciones de la Universidad y del Firmante Para solicitar la emisión de certificados al Banco, la Universidad enviará a la Oficina de Registro una petición que deberá contener ciertos datos del Firmante necesarios para identificarle y para la generación del certificado. Por lo tanto: • La Universidad se hace responsable de que toda la información proporcionada al Banco sea veraz, completa y actualizada. La Universidad deberá comunicar al Banco cualquier error, inexactitud o cambio de la información facilitada a la Oficina de Registro. • La Universidad se compromete a utilizar los servicios de certificación digital sin infringir lo establecido en el Acuerdo firmado con el Banco, y en la DPC PKI WG10 QUALIFIED. Las obligaciones del Firmante que se detallan en el Contrato de Firmante son: • Responsabilizarse de que toda la información que se proporcione al Banco en la solicitud de certificado o que figure en el mismo, es veraz, completa y actualizada, debiendo notificar a la Oficina de Registro cualquier error, inexactitud o cambio de la información facilitada. • Aceptar que la firma digital generada con su clave privada es su firma electrónica y equivale a su firma manuscrita. • Hacer uso de los servicios de certificación digital, el par clave pública/clave privada, el certificado y el carnet universitario (o cualquier otro soporte técnico equivalente facilitado por el Banco) de acuerdo con los usos permitidos en el Contrato de Firmante. • Custodiar adecuadamente su clave de activación de firma (el PIN Universitario), la clave privada del certificado y su carnet universitario o cualquier otro soporte técnico que le haya entregado el Banco. En consecuencia, deberá notificar al Banco cualquier hecho o incidente que implique la pérdida o daño de su carnet universitario, o la sospecha de que un tercero no autorizado conoce su PIN Universitario. • En los supuestos de robo, pérdida o sustracción del carnet universitario, o en el supuesto de que la Universidad y/o el Firmante tuviese/n indicios de que la clave privada ha perdido fiabilidad por cualquier circunstancia, entretanto no se solicite al Banco la revocación del certificado, la posible responsabilidad que pudiera derivarse del uso no autorizado y/o indebido del certificado corresponderá al Firmante y a la Universidad si tuviera conocimiento de estas circunstancias. • No debe alterar, monitorizar o descompilar los servicios de certificación digital del Banco. 4. Obligaciones de Santander Por su parte, Santander se obliga a: • Proporcionar la infraestructura y los servicios de certificación digital acordados con la Universidad en las condiciones técnicas y operativas previstas en la DPC PKI WG10 QUALIFIED. • Realizar las comprobaciones necesarias al objeto de que en los certificados no existan falsedades, errores fácticos u omisiones de hechos fundamentales. • Garantizar que los certificados se adaptan al contenido de la DPC PKI WG10 QUALIFIED. • Poner a disposición de la Universidad un sistema que permita comprobar la validez de los certificados que haya emitido, según lo pactado con la Universidad mediante anexo al Acuerdo. • Revocar puntualmente los certificados conforme a lo previsto en la DPC PKI WG10 QUALIFIED, en el Acuerdo y en los respectivos contratos de firmante. Además, notificará a la Universidad y al Firmante cualquier hecho conocido por el Banco que afecte sustancialmente a la validez y a la fiabilidad de los certificados emitidos. Texto Divulgativo de Política Página 3 de 4 Santander • Por último, excepto lo expresamente previsto en la DPC PKIWG10 QUALIFIED, en las cláusulas del Acuerdo y en el Contrato de Firmante, Santander no garantiza la exactitud, autenticidad, fiabilidad, totalidad, actualidad, o idoneidad de cualquier información contenida en los certificados, o compilada, publicada, o distribuida por, o en nombre de Santander. 5. Protección de datos personales El tratamiento de los datos personales se efectúa de conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de Diciembre, sobre Protección de Datos de Carácter Personal, informando al Firmante de la posible incorporación de sus datos personales en ficheros, del tratamiento informático a que van a ser sometidos, así como de la finalidad para la que son recogidos y tratados y de sus derechos de acceso, rectificación, cancelación y oposición. Santander, como responsable del fichero, cuenta con los medios técnicos y organizativos necesarios para garantizar la seguridad y protección de sus sistemas de información así como de los datos e información que en ellos se almacenan. Sin embargo, la siguiente información se considera no confidencial: • Todos los datos incluidos en los certificados emitidos por la Autoridad de Certificación, entre ellos, el nombre y los apellidos del Firmante y la dirección de correo electrónico que haya indicado. • La vinculación del Firmante a un certificado emitido por la Autoridad de Certificación. • Los diferentes estados o situaciones del certificado y la fecha del inicio de cada uno de ellos, en concreto: válido, revocado o caducado y el motivo que provocó el cambio de estado. • Las informaciones de estado de revocación de los certificados. • La información contenida en los depósitos de certificados. • Toda otra información que no esté indicada como confidencial en la DPC PKI WG10 QUALIFIED. 6. Coste del servicio En el caso de que los servicios a los Firmantes no sean gratuitos, este hecho, junto con el detalle de las cuotas a pagar, se reflejará en el Acuerdo y en el Contrato de Firmante y en la información previa al registro que tanto el Banco como la Universidad suministren al futuro Firmante. 7. Auditorías de conformidad Anualmente, la Autoridad de Certificación llevará a cabo una auditoría de conformidad, sin perjuicio de cualesquiera otras auditorías internas que pueda llevar a cabo bajo su propio criterio en cualquier momento, a causa de una sospecha de incumplimiento de alguna medida de seguridad o por un compromiso de claves. La auditoría de conformidad la puede realizar bien el departamento de auditoría interna del Banco, o bien un auditor independiente. La DPC PKI WG10 QUALIFIED contiene más detalles sobre los criterios de auditoría que sigue la Autoridad de Certificación. 8. Datos de contacto Para obtener el certificado, y para cualquier consulta o incidencia sobre los servicios de certificación digital prestados por el Banco, puede dirigirse, durante el horario de atención al público, a una Oficina de Registro. Asimismo, para cualquier consulta se encuentra a su disposición la siguiente dirección de correo electrónico: certificación.universitaria@gruposantander.com Texto Divulgativo de Política Página 4 de 4 Santander