Política de Certificado de la Autoridad de Certificación Raíz “WG10 QUALIFIED IDENTIFICATION ROOT CA” Referencia: PC PKI WG10 QUALIFIED SAN Versión: 1.0.2 Fecha: 30/01/2009 Política de Certificado Información General Control Documental Proyecto: Certificación digital en Universidades Autoridad de destino: Santander Título: Política de Certificado Código de referencia: PC PKI WG10 QUALIFIED Versión: 1.0.2 Fecha edición: 30/01/2009 Autor: Santander Derechos de Uso Este documento y la información que contiene son propiedad de Banco Santander, S.A., titular del Copyright. Este documento tiene carácter público y no podrá ser objeto de reproducción total o parcial, tratamiento informático ni transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, registro o cualquiera otro, sin permiso previo por escrito de Banco Santander, S.A. Asimismo, tampoco podrá ser objeto de préstamo, alquiler o cualquier forma de cesión de uso sin permiso previo por escrito de Banco Santander, S.A. El incumplimiento de las limitaciones señaladas por cualquier persona que tenga acceso a este documento se perseguirá conforme a ley. Control de Versiones Versión Fecha Autor(es) Cambios/Comentarios 1.0 3-4-2006 J. Cuesta Versión Inicial 1.01 15-11-2006 J. Cuesta Ampliación del uso de los certificados fuera del ámbito universitario (apartado 3.1). 1.0.2 30-01-2009 J. Cuesta Adaptación a Requisitos de homologación MICYT Ref.: Versión: 1.0.2 Página: 2 de 22 Fecha 30/01/2009 Público Política de Certificado Índice 1. Identificación de la Política........................................................................................................................... 5 1.1 2. 3. Detalles de contacto.............................................................................................................................. 5 Resumen de la Política .................................................................................................................................. 5 2.1 Breve resumen ...................................................................................................................................... 5 2.2 Estándares y documentos relacionados.............................................................................................. 6 2.3 Aviso importante para los Firmantes ................................................................................................. 6 Disposiciones de la Política de Certificado ................................................................................................... 6 3.1 Comunidad y aplicabilidad ................................................................................................................. 6 3.2 Derechos y obligaciones ....................................................................................................................... 6 3.3 3.4 3.5 3.2.1 Obligaciones ............................................................................................................................... 6 3.2.2 Responsabilidad .......................................................................................................................... 9 3.2.3 Responsabilidad financiera ......................................................................................................... 9 3.2.4 Interpretación y ejecución......................................................................................................... 10 3.2.5 Cuotas ....................................................................................................................................... 10 3.2.6 Publicación y depósito .............................................................................................................. 10 3.2.7 Auditoría de conformidad ......................................................................................................... 11 3.2.8 Confidencialidad....................................................................................................................... 11 3.2.9 Derechos sobre la Propiedad Intelectual ................................................................................... 11 Identificación y autenticación ........................................................................................................... 12 3.3.1 Registro inicial.......................................................................................................................... 12 3.3.2 Renovación ............................................................................................................................... 12 3.3.3 Generación después de la revocación ....................................................................................... 12 3.3.4 Solicitud de revocación............................................................................................................. 12 Requisitos operativos ......................................................................................................................... 12 3.4.1 Solicitud del certificado, autorización, emisión y aceptación ................................................... 12 3.4.2 Revocación del certificado........................................................................................................ 13 3.4.3 Renovación del certificado ....................................................................................................... 13 3.4.4 Procedimientos de auditoría de seguridad................................................................................. 13 3.4.5 Archivo de informaciones......................................................................................................... 13 3.4.6 Reemplazo de las claves ........................................................................................................... 13 3.4.7 Compromiso y recuperación de desastres ................................................................................. 13 3.4.8 Terminación de la Autoridad de Certificación.......................................................................... 13 Controles de seguridad física, de procedimientos y de personal .................................................... 14 3.5.1 Controles de seguridad física .................................................................................................... 14 3.5.2 Controles de procedimientos..................................................................................................... 15 Ref.: Versión: 1.0.2 Página: 3 de 22 Fecha 30/01/2009 Público Política de Certificado 3.5.3 3.6 Controles de personal................................................................................................................ 15 Controles de seguridad técnica ......................................................................................................... 17 3.6.1 Generación del par de claves e instalación ............................................................................... 17 3.6.2 Protección de la clave privada .................................................................................................. 17 3.6.3 Datos de activación de firma..................................................................................................... 17 3.7 Perfiles de certificados ....................................................................................................................... 18 3.8 Administración del documento ......................................................................................................... 18 3.8.1 Procedimientos de cambio ........................................................................................................ 18 3.8.2 Políticas de publicación y de notificación................................................................................. 18 3.8.3 Procedimiento de aprobación.................................................................................................... 18 3.8.4 Distribución y comunicación .................................................................................................... 19 Glosario ................................................................................................................................................................ 20 Ref.: Versión: 1.0.2 Página: 4 de 22 Fecha 30/01/2009 Público Política de Certificado 1. Identificación de la Política Nombre Política de Certificado PKI WG10 QUALIFIED Calificador Podrán utilizar este certificado solamente los Firmantes cuya identidad se haya comprobado y hayan suscrito un Contrato de Firmante con Santander. Versión 1.0.2 Situación En vigor OID de la Política 1.3.6.1.4.1.6714.1.1.2.1 Fecha de emisión 31/01/2009 Fecha de finalización No aplica DPC asociada DPC PKI WG10 QUALIFIED versión 1.0.2 1.1 Detalles de contacto Cualquier consulta o comunicación relativa al contenido de este documento debe enviarse a la dirección de correo electrónico: certificacion.universitaria@gruposantander.com 2. Resumen de la Política 2.1 Breve resumen Esta Política de Certificado PKI WG10 QUALIFIED (en adelante, PC PKI WG10 QUALIFIED o Política de Certificado) se aplica a los servicios de certificación digital que Banco Santander S.A. (en adelante Santander, o el Banco) preste a una Universidad con quien haya suscrito un Acuerdo para la prestación de servicios de certificación digital (en adelante, Acuerdo de certificación digital). Estos servicios utilizan certificados digitales (en adelante, certificados) emitidos por la Autoridad de Certificación Raíz “WG10 QUALIFIED Identification Root CA” del Banco (en adelante, Autoridad de Certificación) para proveer autenticación del Firmante y firma digital de documentos y formularios web. La emisión de certificados se restringe a las personas físicas que mantengan una determinada relación con una Universidad y hayan firmado un Contrato de Firmante con Santander. El Banco lleva a cabo un proceso de registro estricto de los futuros Firmantes que requiere su personación ante una Oficina de Registro. Por lo tanto, garantiza un nivel alto de confianza en la asociación de la identidad de la persona física y una clave pública y, consecuentemente, en la correcta autenticación del Firmante y de la Universidad con la que mantiene una determinada relación. Salvo que el Banco y una Universidad acuerden por escrito otra cosa, para confiar en los certificados es necesario comprobar si se encuentran en vigor, es decir, verificar o validar su vigencia. Pueden actuar como verificadores una Universidad y cada uno de los Firmantes asociados a la misma. Ref.: Versión: 1.0.2 Página: 5 de 22 Fecha 30/01/2009 Público Política de Certificado 2.2 Estándares y documentos relacionados La estructura y el contenido de esta PC PKI WG10 QUALIFIED se basan en el documento “Request for Comments 3647, Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework”. S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu. 2.3 Aviso importante para los Firmantes Antes de utilizar el certificado, asegúrese de que comprende todo lo dispuesto en este documento. 3. Disposiciones de la Política de Certificado 3.1 Comunidad y aplicabilidad Esta PC PKI WG10 QUALIFIED se aplica al servicio de validación de certificados prestado por Santander, basado en el uso de certificados que ofrecen autenticación del firmante y firma digital de documentos y formularios web. El Banco emite certificados y presta servicios de certificación digital solamente a las personas físicas que han aceptado los términos y condiciones de estos servicios al suscribir un Contrato de Firmante. En dicho Contrato figura expresamente la aceptación de lo dispuesto en esta CP PKI WG10 QUALIFIED. La Autoridad de Certificación no emite certificados a personas jurídicas, sino únicamente a personas físicas que mantienen una determinada relación con una Universidad. Un Firmante puede utilizar su certificado y su clave privada para autenticarse y/o para firmar digitalmente un mensaje. Por ejemplo, la Universidad u otro Firmante podrán validar la autenticación y/o la firma digital con la correspondiente clave pública del Firmante, que figura en su certificado. Los certificados restringen los servicios que ofrecen a los mencionados anteriormente mediante los campos Key usage, que figuran en el perfil del certificado (Ver Perfil del certificado). Los términos contenidos en esta PC PKI WG10 QUALIFIED tendrán las definiciones contenidas en el apartado “Glosario” que aparece al final de este documento. 3.2 Derechos y obligaciones 3.2.1 Obligaciones 3.2.1.1 Obligaciones de la Autoridad de Certificación La Autoridad de Certificación deberá: 1. Comprobar que sus certificados cumplen los términos y condiciones establecidos en esta PC PKI WG10 QUALIFIED y en la DPC PKI WG10 QUALIFIED. 2. Generar certificados solamente tras recibir una solicitud de certificado debidamente autorizada y en el formato correcto. 3. Disponer de un repositorio, accesible desde Internet, donde se publican las distintas CRL. Además mantendrá operativo un sistema de consultas online del estado de los certificados según el protocolo estándar OCSP. Ref.: Versión: 1.0.2 Página: 6 de 22 Fecha 30/01/2009 Público Política de Certificado 4. Aprobar la creación de Oficinas de Registro. 5. Emitir certificados cuyos datos sean correctos, de acuerdo con la información conocida en el momento de emisión y sin errores producidos al introducir los datos en la aplicación. 6. Recibir y procesar solicitudes de revocación. 7. Emitir un nuevo certificado al operador de una Oficina de Registro que sospeche que sus claves o su certificado puedan estar comprometidos. 8. Previa solicitud por la Universidad, emitir un nuevo certificado a un Firmante que sospeche que la seguridad de sus claves o de su certificado está comprometida. 9. Notificar simultáneamente a un Firmante la revocación del certificado. 10. Mantener una lista de las claves y Firmantes cuya seguridad está comprometida. 11. Cuando resulte de aplicación, realizar auditorías de cumplimiento tanto de Autoridades de Certificación subordinadas como de Oficinas de Registro, antes de renovar sus certificados. 3.2.1.2 Obligaciones de la Oficina de Registro La Oficina de Registro deberá: 1. Cumplir dentro del ámbito de sus operaciones las prácticas definidas en esta PC PKI WG10 QUALIFIED y en la DPC PKI WG10 QUALIFIED. 2. Recibir solicitudes de certificados, comprobar su origen y los datos que se incluirán en el certificado, y aceptar o rechazar la solicitud. 3. Durante el proceso de registro, generar de forma segura el par de claves que corresponderá al futuro Firmante. 4. Recordar a los Firmantes sus obligaciones, derivadas de este documento y de la DPC PKI WG10 QUALIFIED, y suministrarles copias de este documento y de la DPC PKI WG10 QUALIFIED, o informarles de cómo pueden acceder a ellos. 5. Enviar solicitudes de emisión de certificados que cumplan los estándares X.509 y los requisitos establecidos para la aplicación de certificación digital. 6. Enviar solicitudes de emisión de certificados cuyos datos sean correctos, de acuerdo con la información conocida en el momento de emisión y sin errores producidos al introducir los datos en la aplicación. 7. Cuando haya recibido el certificado emitido, deberá almacenar el certificado y la clave privada en el carnet universitario del Firmante, garantizando que ningún mecanismo bajo control de la Oficina de Registro captura o almacena la clave privada del Firmante. 8. Antes de finalizar el proceso de registro, ofrecer al Firmante la posibilidad de cambiar en dicho momento la clave de activación de firma, denominada PIN Universitario. 9. Investigar cualquier sospecha de compromiso que amenace la integridad de la infraestructura de certificación, que se produzca en un nivel subordinado de su cadena de confianza. 10. Tramitar solicitudes de revocación de certificados de acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED. 11. Mantener una lista de las claves y de los Firmantes cuya seguridad está comprometida. 12. Mantener registros de su actividad, de acuerdo con los requisitos establecidos en la DPC PKI WG10 QUALIFIED. 13. De forma periódica, monitorizar el sistema y revisar los logs del sistema. 14. Cuando sea de aplicación, colaborar en las auditorías que realice la Autoridad de Certificación antes de renovar la autorización de la Oficina de Registro. Ref.: Versión: 1.0.2 Página: 7 de 22 Fecha 30/01/2009 Público Política de Certificado Cuando las funciones de Oficina de Registro no las asuma un departamento o sucursal de Santander, la Oficina de Registro deberá contar con la autorización de la Autoridad de Certificación antes de iniciar sus operaciones. 3.2.1.3 Obligaciones del Firmante El Firmante deberá: 1. Facilitar a la Autoridad de Certificación información completa y adecuada, conforme a los requisitos de la DPC PKI WG10 QUALIFIED, en especial, en lo relativo al procedimiento de registro. 2. Manifestar su consentimiento previo a la emisión de un certificado. 3. Cumplir las obligaciones que se establecen en la DPC PKI WG10 QUALIFIED y en el Contrato de Firmante. 4. Emplear el certificado de acuerdo con lo establecido en esta PC PKI WG10 QUALIFIED, la DPC PKI WG10 QUALIFIED y el Contrato de Firmante. 5. Ser razonablemente diligente en la custodia de su clave privada, con el fin de evitar usos no autorizados, de acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED y el Contrato de Firmante. 6. Notificar a la Autoridad de Certificación o al personal de una Oficina de Registro, inmediatamente: La pérdida, robo o extravío de su carnet universitario. El compromiso potencial de su clave privada. La pérdida de control sobre su clave privada, debido al compromiso de los datos de activación (por ejemplo, el PIN universitario) o por cualquier otra causa. Las inexactitudes o cambios en el contenido del certificado que conozca o pudiera conocer el Firmante. 7. Dejar de utilizar la clave privada transcurrido el plazo de vigencia del certificado. 8. No monitorizar, manipular o realizar actos de ingeniería reversa sobre la implantación técnica de Santander, sin permiso previo por escrito del CAP PKI WG10 QUALIFIED. 9. No comprometer intencionadamente la seguridad de la Jerarquía de Santander. 3.2.1.4 Obligaciones del Verificador El Verificador deberá: 1. Antes de confiar en la firma digital de un Firmante, obtener de Santander la Lista de Certificados Revocados más reciente o utilizar el protocolo OCSP para comprobar el estado del certificado, y confiará en un certificado solamente si, realizadas estas comprobaciones, el certificado no ha expirado o no ha sido revocado. 2. Aceptar que todas las transmisiones que se autentiquen con la firma digital creada con la clave privada del Firmante (remitente de la transmisión) tendrán el mismo efecto, validez legal y ejecutabilidad que si la transmisión se hubiese realizado por escrito por el Firmante (remitente de la transmisión), y que el Verificador no discutirá el efecto legal, la validez y ejecutabilidad de una transmisión exclusivamente porque esté en forma digital en vez de por escrito. 3. No monitorizar, manipular o realizar actos de ingeniería reversa sobre la implantación técnica de la Santander, sin permiso previo por escrito del CAP PKI WG10 QUALIFIED. 4. No comprometer intencionadamente la seguridad de la Jerarquía de Santander. Ref.: Versión: 1.0.2 Página: 8 de 22 Fecha 30/01/2009 Público Política de Certificado 3.2.1.5 Obligaciones de depósito Santander prestará un servicio de depósito que contenga información acerca de los servicios de certificación digital que ofrece y del estado de validez de los certificados (comprobación de si se han revocado o no). Santander prestará el servicio de consulta del estado de validez de los certificados mediante la emisión periódica de Listas de Revocación de Certificados (LRCs) o bien a través de un sistema de consultas online del estado de los certificados según el protocolo estándar OCSP, de acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED. 3.2.2 Responsabilidad La Autoridad de Certificación responderá por los daños y perjuicios que causen a cualquier persona en el ejercicio de su actividad cuando incumpla las obligaciones asumidas en este documento y en la normativa aplicable. La Autoridad de Certificación responderá de los perjuicios que se causen al Firmante o a terceros de buena fe por la falta o el retraso en la inclusión en el servicio de consulta sobre la vigencia de los certificados, de la extinción o dispersión de la vigencia del certificado electrónico. La Autoridad de Certificación asumirá toda responsabilidad frente a terceros por la actuación de las personas en las que delegue la gestión de alguna o algunas de las funciones necesarias para la prestación de los servicios de certificación. Santander introducirá en el Contrato de Firmante cláusulas de exclusión y cláusulas de limitación de responsabilidad, de acuerdo con lo permitido por la legislación española. La Autoridad de Certificación no concede ninguna otra garantía, excepto las contempladas en la DPC PKI WG10 QUALIFIED, excluyendo especialmente la garantía de adaptabilidad para un propósito particular o garantía de uso mercantil del certificado. Además, Santander introduce ciertas medidas para reducir o limitar su responsabilidad en el supuesto de que fallen las medidas que ha implementado para proteger sus sistemas: Dificultar el mal uso de los sistemas por personal autorizado. Prohibir el acceso a estos sistemas a personas no autorizadas. Estas medidas incluyen, a título enumerativo: La identificación, en un Plan de Continuidad de Negocio, de los supuestos de contingencia y de las medidas de recuperación apropiadas. La realización de forma periódica de copias de respaldo de los sistemas. La realización de copias de respaldo del software en uso actualmente y de ciertos archivos de configuración. El almacenamiento de las copias de respaldo en lugares seguros, dentro y fuera de las instalaciones. El mantenimiento de cualquier otro material almacenado en otros lugares seguros, necesario para recuperarse de un desastre. La prueba periódica de las copias de respaldo almacenadas en las instalaciones y fuera de ellas, para comprobar que se puede recuperar la información en caso de fallo o desastre. La revisión periódica del Plan de Continuidad de Negocio, incluyendo la identificación, el análisis, la evaluación y la priorización de los riesgos. 3.2.3 Responsabilidad financiera De acuerdo con la legislación aplicable, la Autoridad de Certificación mantiene recursos financieros suficientes para mantener sus operaciones y cumplir sus obligaciones. Además, es capaz de asumir Ref.: Versión: 1.0.2 Página: 9 de 22 Fecha 30/01/2009 Público Política de Certificado el riesgo de su responsabilidad frente a la Universidad, los Firmantes y los Verificadores para lo cual tiene suscrito un Seguro de Responsabilidad Civil de acuerdo con lo previsto en la normativa vigente. La Autoridad de Certificación incluye, en el Acuerdo de certificación digital que le vincula con una Universidad, una cláusula por la cual el Solicitante se compromete a mantener indemne a la Autoridad de Certificación de todo daño proveniente de cualquier acción u omisión que resulte en responsabilidad, daño o pérdida, gasto de cualquier tipo, incluyendo los judiciales y de representación letrada en que pueda incurrir, por la publicación y uso del certificado, cuando concurra alguna de las siguientes causas: Falsedad o manifestación errónea realizada por el Solicitante del certificado. Error del Solicitante del certificado al facilitar los datos de la solicitud, si en la acción u omisión medió dolo o negligencia con respecto a la Autoridad de Certificación, la Oficina de Registro o cualquier persona que confía en el certificado. La Autoridad de Certificación incluye, en el contrato que le vincula con el Firmante, una cláusula por la cual el Firmante se compromete a mantener indemne a la Autoridad de Certificación de todo daño proveniente de cualquier acción u omisión que resulte en responsabilidad, daño o pérdida, gasto de cualquier tipo, incluyendo los judiciales y de representación letrada en que pueda incurrir, por la publicación y uso del certificado, cuando concurra alguna de las siguientes causas: Negligencia en la protección de la clave privada, en el empleo de un sistema fiable o en el mantenimiento de las precauciones necesarias para evitar el compromiso, la pérdida, la divulgación, la modificación o el uso no autorizado de dicha clave. Empleo por el Firmante de un nombre (incluyendo nombres comunes, dirección de correo electrónico y nombres de dominio), u otras informaciones en el certificado, que infrinja derechos de propiedad intelectual o industrial de terceros. 3.2.4 Interpretación y ejecución La legislación española es la ley aplicable a los servicios que presta la Autoridad de Certificación y rige los documentos contractuales de los que ésta es parte, en especial la presente PC PKI WG10 QUALIFIED. La competencia territorial y funcional se determinará en virtud de las reglas de derecho internacional privado y reglas de derecho procesal que resulten de aplicación. La Autoridad de Certificación establece, en sus contratos con los Firmantes, los procedimientos de mediación y resolución de conflictos aplicables. Las situaciones de discrepancia que se deriven de la utilización de los certificados emitidos por la Autoridad de Certificación, se resuelven aplicando los mismos criterios de competencia que en los casos de los documentos firmados manuscritamente. 3.2.5 Cuotas Santander acordará con cada Universidad, en el Acuerdo de certificación digital, el coste de los servicios que corresponde soportar a la Universidad. En el caso de que los servicios a los Firmantes no sean gratuitos, este hecho, junto con el detalle de las cuotas a pagar, deberá reflejarse en el Contrato de Firmante y en la información previa al registro que tanto el Banco como la Universidad suministren al futuro Firmante. 3.2.6 Publicación y depósito La Autoridad de Certificación publica las siguientes informaciones en su depósito: La Política de Certificado PKI WG10 QUALIFIED y, si existieran, subpolíticas de certificados, con mención, en su caso, de su adhesión a la Política de Certificado PKI WG10 QUALIFIED. La Declaración de Prácticas de Certificación PKI WG10 QUALIFIED. Texto Divulgativo de la DPC PKI WG10 QUALIFIED. Ref.: Versión: 1.0.2 Página: 10 de 22 Fecha 30/01/2009 Público Política de Certificado Los certificados emitidos por la Autoridad de Certificación incluyen en las extensiones apropiadas del certificado una referencia a la Política de Certificado PKI WG10 QUALIFIED. 3.2.7 Auditoría de conformidad La Autoridad de Certificación lleva a cabo una auditoría de conformidad anualmente, además de las auditorías internas que pueda llevar a cabo bajo su propio criterio o en cualquier momento, a causa de una sospecha de incumplimiento de alguna medida de seguridad o por un compromiso de claves. La auditoría de conformidad la puede realizar bien el departamento de auditoría interna del Banco, o bien la Autoridad de Certificación puede acudir a un auditor independiente, el cual debe demostrar experiencia en seguridad informática, en seguridad de Sistemas de Información y en auditorías de conformidad de PKI. Los detalles de cómo llevar a cabo la auditoría de conformidad se detallarán en la Guía de Auditoría de la Autoridad de Certificación. 3.2.8 Confidencialidad Santander recoge cierta información personal del Firmante (por ejemplo: nombre y apellidos, nombre de la Universidad, dirección de correo electrónico, etc.). El tratamiento de estos datos respeta la protección de la intimidad del Firmante, de acuerdo con lo establecido por la Ley Orgánica 15/99 de 13 de diciembre de Protección de Datos de Carácter Personal y las normas que la desarrollen. La información que recoja el Banco se utilizará exclusivamente para soportar las operaciones de la infraestructura de certificación PKI WG10 QUALIFIED. De acuerdo con esta PC PKI WG10 QUALIFIED, la información personal que se recoge está dentro de estas categorías: Información de prueba de la identidad, por ejemplo, archivos del proceso de registro. Información del certificado, por ejemplo, la información necesaria para rellenar un campo en un certificado digital X.509. La DPC PKI WG10 QUALIFIED contiene más detalles acerca del tratamiento de la información confidencial. 3.2.9 Derechos sobre la Propiedad Intelectual La Autoridad de Certificación ostenta los derechos de propiedad intelectual sobre los certificados que emita. La Autoridad de Certificación podrá conceder licencias no exclusivas para reproducir y distribuir certificados, sin coste alguno, siempre y cuando la reproducción sea íntegra y no altere elemento alguno del certificado y sea necesaria en relación con firmas digitales y/o sistemas de cifrado dentro del ámbito de aplicación de la DPC PKI WG10 QUALIFIED, y de acuerdo con el correspondiente contrato entre la Autoridad de Certificación y la parte que reproduzca y/o distribuya el certificado. Las mismas reglas resultan de aplicación al uso de información de revocación de certificados. La DPC PKI WG10 QUALIFIED contiene más detalles acerca de los derechos sobre la Propiedad Intelectual. Ref.: Versión: 1.0.2 Página: 11 de 22 Fecha 30/01/2009 Público Política de Certificado 3.3 Identificación y autenticación 3.3.1 Registro inicial La DPC PKI WG10 QUALIFIED asociada con esta PC PKI WG10 QUALIFIED detalla cómo se realiza el registro inicial de los futuros Firmantes. Antes de emitir un certificado, la Oficina de Registro comprobará: que la solicitud de emisión del certificado proviene de una persona autorizada en representación de una Universidad. la identidad del Firmante, de acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED. que los datos del Firmante que se consignen en el certificado son correctos. que el Firmante conoce y ha firmado los documentos contractuales necesarios, de acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED. que no hay otro certificado vivo con los datos del Firmante. 3.3.2 Renovación Los pares de claves y los certificados expirarán al mismo tiempo. De acuerdo con la DPC PKI WG10 QUALIFIED, para renovar un certificado se exigirá la generación de un nuevo par de claves. 3.3.3 Generación después de la revocación Cuando un certificado se haya revocado, no se permitirá generar un nuevo certificado con el par de claves utilizado para el certificado revocado. Los Firmantes que deseen un nuevo certificado deberán: 1. Solicitar la emisión de un nuevo certificado a su Universidad, cumpliendo lo establecido en la DPC PKI WG10 QUALIFIED, y 2. Volver a realizar el proceso inicial de registro en una Oficina de Registro. 3.3.4 Solicitud de revocación De acuerdo con la DPC PKI WG10 QUALIFIED, para revocar un certificado será necesario realizar una solicitud por escrito y deberá presentarse en una Oficina de Registro. La solicitud debe identificar la persona que la realiza, el certificado que se quiere revocar, y una causa para la revocación. La Oficina de Registro deberá comprobar la identidad o la autorización del solicitante, hecho lo cual, procederá inmediatamente a revocar el certificado. Así mismo, de acuerdo con la DPC PKI WG10 QUALIFIED, punto 4.8, existen otros motivos que pueden motivar la revocación de un certificado. 3.4 Requisitos operativos 3.4.1 Solicitud del certificado, autorización, emisión y aceptación Las solicitudes de emisión de certificados deberán provenir de una Universidad que haya suscrito un Acuerdo de certificación digital con Santander y deberán dirigirse a una Oficina de Registro. Cuando el futuro Firmante se presente en una Oficina para iniciar el proceso de registro, se comprobará la información del Firmante. A continuación, la Oficina generará el par de claves, el certificado, y se almacenará de forma segura en el carnet universitario del Firmante su clave privada y Ref.: Versión: 1.0.2 Página: 12 de 22 Fecha 30/01/2009 Público Política de Certificado el certificado. La Oficina recomendará al Firmante que cambie la clave de activación de firma (el PIN Universitario). Por último, la firma del Contrato de Firmante por el interesado constituirá la aceptación de su certificado. 3.4.2 Revocación del certificado Las causas de revocación de un certificado se definen en la DPC PKI WG10 QUALIFIED y en el Contrato de Firmante. Desde el momento en que se revoca, el Firmante no podrá utilizar el certificado ni la clave privada de firma. Cuando el Firmante haya perdido por cualquier causa o extraviado su carnet universitario, se haya bloqueado el acceso a los datos que contiene, o se encuentre dañado de forma que impida su uso normal, la Autoridad de Certificación no podrá emitir un nuevo certificado al Firmante sin que previamente éste no revoque el contenido en el carnet universitario perdido o dañado. 3.4.3 Renovación del certificado De acuerdo con la DPC PKI WG10 QUALIFIED, al menos 45 días antes de la fecha en la que expira el periodo de validez del certificado, la Autoridad de Certificación avisará al Firmante para que tramite la solicitud de emisión de un nuevo certificado. 3.4.4 Procedimientos de auditoría de seguridad La Autoridad de Certificación registrará y mantendrá archivos de información sobre las operaciones de su infraestructura de certificación digital. En la DPC PKI WG10 QUALIFIED se detallan los requerimientos de la Autoridad de Certificación relativos a la contabilidad y auditoría. 3.4.5 Archivo de informaciones La Autoridad de Certificación mantendrá un archivo de los registros que considere importantes o que legalmente deba custodiar, de acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED. 3.4.6 Reemplazo de las claves El cambio de las claves no es automático y expiran a la vez que los certificados asociados a ellas. De acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED, el reemplazo del par de claves requiere la personación del Firmante en una Oficina de Registro, provisto de su carnet universitario, donde debe repetir el proceso inicial de registro. 3.4.7 Compromiso y recuperación de desastres Santander se asegurará de que su infraestructura de certificación digital dispone de procesos adecuados que garanticen la continuidad de negocio. De acuerdo con la DPC PKI WG10 QUALIFIED, la Autoridad de Certificación dispondrá de un Plan de Continuidad de Negocio que contendrá unas medidas que habrán de someterse a prueba y revisarse regularmente para comprobar que son efectivas y están actualizadas. 3.4.8 Terminación de la Autoridad de Certificación Cuando sea necesario terminar el servicio de la Autoridad de Certificación, se minimizará en lo posible su impacto, teniendo en cuenta las circunstancias en las que se produzca. La Autoridad de Certificación velará por: 1. Ofrecer, con la antelación de dos meses, cuanta información se halle disponible a las Autoridades de Certificación subordinadas, a las Universidades y a los Firmantes; Ref.: Versión: 1.0.2 Página: 13 de 22 Fecha 30/01/2009 Público Política de Certificado 2. Transferir progresivamente los servicios y los registros de las operaciones a la Autoridad de Certificación sucesora; 3. Conservar cuantos archivos y registros no se hayan transferido a la Autoridad de Certificación sucesora. La Autoridad de Certificación deberá comunicar a la Administración competente, con una antelación mínima de dos meses, el cese de su actividad y el destino que vaya a dar a los certificados, especificando, en su caso, si va a transferir la gestión y a quién o si extinguirá su vigencia. Igualmente comunicará cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad. La Autoridad de Certificación remitirá a la Administración competente, con carácter previo al cese definitivo de su actividad, la información relativa a los certificados electrónicos cuya vigencia haya sido extinguida para que ésta se haga cargo de su custodia 3.5 Controles de seguridad física, de procedimientos y de personal En la DPC PKI WG10 QUALIFIED se detallan los controles de seguridad física, de procedimientos y de personal que aplica la Autoridad de Certificación para desarrollar su actividad de forma suficientemente segura. 3.5.1 Controles de seguridad física La Autoridad de Certificación dispone de instalaciones que protegen físicamente la prestación de, al menos, los servicios de generación de certificados, de dispositivos criptográficos y de gestión de revocación, del compromiso causado por acceso no autorizado a los sistemas o a los datos. La protección física se logra mediante la creación de perímetros de seguridad claramente definidos en torno a los servicios de generación de certificados, de dispositivos criptográficos y de gestión de revocación. La parte de las instalaciones compartida con otras organizaciones se encuentra fuera de estos perímetros. La Autoridad de Certificación establece controles de seguridad física y ambiental para proteger los recursos de las instalaciones donde se encuentran los sistemas, los propios sistemas y los equipamientos empleados para las operaciones. La política de seguridad física y ambiental aplicable a los servicios de generación de certificados, de dispositivos criptográficos y de gestión de revocación establecerá prescripciones para las siguientes contingencias: Controles de acceso físico Protección frente a desastres naturales Medidas de protección frente a incendios Fallo de los sistemas de apoyo (energía eléctrica, telecomunicaciones, etc.) Derrumbamiento de la estructura Inundaciones Protección antirrobos Allanamiento y entrada no autorizada Recuperación del desastre Salida no autorizada de equipamientos, informaciones, soportes y aplicaciones relativos a componentes empleados para los servicios de la Autoridad de Certificación. Ref.: Versión: 1.0.2 Página: 14 de 22 Fecha 30/01/2009 Público Política de Certificado 3.5.1.1 Localización y construcción de las instalaciones La localización de las instalaciones permite la presencia de fuerzas de seguridad en un plazo de tiempo razonablemente inmediato desde que una incidencia fuera notificada a las mismas (en el caso de no contar con presencia física permanente de personal de seguridad de la Autoridad de Certificación). El centro de proceso está compuesto por diferentes estancias, cada una con diferente nivel de seguridad. Todas ellas, están construidas con materiales suficientemente robustos para impedir la penetración forzada en ellas sin el concurso de herramientas específicas y mediante la inversión de un considerable esfuerzo y tiempo (lo que, en cualquier caso, sería detectado inmediatamente). 3.5.1.2 Acceso físico El acceso físico a los equipos de las Autoridades de Certificación está restringido a personal debidamente acreditado y previamente autorizado. El sistema de control de accesos regula los permisos según horarios, calendario e identidad del individuo que accede. Esta identidad debe validarse ante el sistema mediante un doble mecanismo: presentación de un elemento personal (tarjeta magnética individual) y reconocimiento de parámetros biométricos (geometría de la palma de la mano) para el caso de personal registrado. Las visitas no necesitan de ninguno de estos dos controles, pero siempre acceden acompañadas de personal registrado. Todo acceso a cualquiera de las áreas del centro queda registrado en un archivo y grabado por un sistema de video vigilancia. El acceso físico a las áreas donde tiene lugar la generación y manipulación de hardware y claves criptográficos de las Autoridades de Certificación, requiere la participación y permanencia continua de al menos dos personas autorizadas. 3.5.2 Controles de procedimientos Con el fin de asegurar que una sola persona no puede actuar infringiendo los controles de seguridad de la infraestructura de certificación digital, en Santander las tareas críticas están compartidas por diferentes roles y distintas personas. Para las tareas que presentan riesgos de seguridad importantes se han implementado procedimientos de control dual. Ninguna persona podrá realizar sola más de una de las siguientes tareas o pares de tareas: 1. Revocación del certificado de la Autoridad de Certificación y de los certificados de los Firmantes; 2. Acceso a sistemas críticos para operar o para administrarlos; 3. Acceso a soportes de copias de respaldo; 4. Realización de tareas al mismo tiempo en la Oficina de Registro y en la Autoridad de Certificación; 5. Administración de los cortafuegos o de los servidores bastión, y de los componentes del sistema objeto de protección; En la DPC PKI WG10 QUALIFIED se definen los roles y el número de personas necesario para realizar las tareas antes mencionadas, y cualquier otra que se considere crítica. 3.5.3 Controles de personal 3.5.3.1 Requisitos de historial, calificaciones, experiencia y autorización Para prestar los servicios de certificación digital, la Autoridad de Certificación emplea personal cualificado y con la experiencia necesaria en el ámbito de la firma electrónica y de los procedimientos adecuados de seguridad y gestión. Ref.: Versión: 1.0.2 Página: 15 de 22 Fecha 30/01/2009 Público Política de Certificado Este requisito se aplica al personal que gestiona la Autoridad de Certificación, especialmente en relación con procedimientos de personal de seguridad. La cualificación y la experiencia pueden suplirse mediante una formación y entrenamiento apropiados. El personal de los puestos de confianza debe encontrarse libre de intereses personales que entren en conflicto con el desarrollo de la función que tenga encomendada. 3.5.3.2 Procedimientos de investigación de historial La Autoridad de Certificación no asignará un puesto de confianza o de gestión a una persona que no sea idónea para el puesto, especialmente con motivo de haber sido condenada por delito o falta que afecte a su idoneidad para el puesto. Por esta razón, la Autoridad de Certificación realiza una investigación sobre los siguientes aspectos: Estudios, incluyendo titulación alegada Trabajos anteriores, hasta cinco años, incluyendo referencias profesionales y comprobación de que realmente se hizo el trabajo alegado Morosidad Registros de la Seguridad Social Las razones para rechazar a los candidatos a posiciones de confianza o para tomar medidas contra quien ya sea persona de confianza incluyen, generalmente, las siguientes: Falsa declaración realizada por el candidato o persona de confianza Referencias personales altamente desfavorables o poco fiables Condenas criminales demostradas Indicios de falta de responsabilidad financiera Recursos Humanos y el personal de seguridad evalúan los informes que contienen esa información y determinan las acciones a llevar a cabo, las cuales pueden incluir la cancelación de las ofertas de empleo hechas a los candidatos a puestos de confianza o la finalización del contrato con la persona de confianza. En la solicitud para el puesto de trabajo se informa acerca de la necesidad de someterse a una investigación previa. Se debe advertir de que la negativa a someterse a la investigación implicará el rechazo de la solicitud. La Autoridad de Certificación obtendrá el consentimiento inequívoco del afectado por la investigación previa y procesará y protegerá todos sus datos personales de acuerdo con la LOPD y el Reglamento de Medidas de Seguridad de la LORTAD. La investigación se repite cada tres años. 3.5.3.3 Requisitos de formación La Autoridad de Certificación forma al personal en puestos de confianza y de gestión, hasta que alcancen la cualificación necesaria. La formación incluye los siguientes contenidos: Principios y mecanismos de seguridad de la jerarquía de certificación, así como el entorno de usuario de la persona a formar Versiones de maquinaria y aplicaciones en uso Tareas que debe realizar la persona Gestión y tramitación de incidentes y compromisos de seguridad Procedimientos de continuidad de negocio y de emergencia Ref.: Versión: 1.0.2 Página: 16 de 22 Fecha 30/01/2009 Público Política de Certificado 3.5.3.4 Sanciones para acciones no autorizadas La Autoridad de Certificación dispone de un sistema sancionador para depurar las responsabilidades derivadas de acciones no autorizadas. Las acciones disciplinarias pueden incluir la suspensión y el despido de la persona responsable de la acción dañosa. 3.5.3.5 Requisitos de contratación de personal La Autoridad de Certificación puede contratar profesionales para cualquier función, incluso para un puesto de confianza, en cuyo caso se someten a los mismos controles que los restantes empleados. En el caso de que el profesional no se someta a tales controles, está constantemente acompañado por un empleado de confianza. 3.5.3.6 Suministro de documentación al personal La Autoridad de Certificación suministra la documentación que estrictamente precise su personal en cada momento, al objeto de que sea suficientemente competente a tenor de lo establecido en esta política. 3.6 Controles de seguridad técnica 3.6.1 Generación del par de claves e instalación La Oficina de Registro genera en un entorno seguro el par de claves del Firmante, realizándose este proceso por el módulo criptográfico del navegador de un equipo informático exclusivamente dedicado a las tareas competencia de la Oficina. Este software debe cumplir el estándar FIPS 140-1 nivel 1. La relación de Productos que cumplen este estándar se puede consultar en el registro del NIST (National Institute of Standars and Technology). El tamaño de las claves es de, al menos, 1024 bits. Los usos permitidos de las claves se indican en la extensión del certificado Key Usage y comprenden la firma digital, el cifrado de claves y el cifrado de mensajes. Con la clave pública la Oficina realiza la petición de emisión del certificado. Cuando recibe el certificado, procede a almacenar en el carnet universitario del Firmante la clave privada y el certificado. Para realizar esta operación se precisa que el Firmante introduzca el PIN Universitario que permite acceder al directorio donde se almacenará de forma segura la clave privada. 3.6.2 Protección de la clave privada El acceso a la clave privada del Firmante, almacenada en su carnet universitario, está protegido por unos datos de activación de firma denominados PIN Universitario. Cualquier uso de la clave privada requiere previamente que se teclee correctamente dicho PIN Universitario. El Firmante debe custodiar de forma segura y proteger adecuadamente los datos de activación de firma (su PIN Universitario). 3.6.3 Datos de activación de firma Los datos de activación de la clave privada del Firmante (denominados PIN Universitario) se han generado al crearse el carnet universitario, de forma totalmente independiente de la Autoridad de Certificación, en un momento anterior a la emisión del certificado. Ref.: Versión: 1.0.2 Página: 17 de 22 Fecha 30/01/2009 Público Política de Certificado Al terminar el proceso de emisión y aceptación del certificado, el Firmante podrá cambiar su PIN Universitario, si así lo desea, en la Oficina de Registro. 3.7 Perfiles de certificados Todos los certificados, tanto de la Autoridad de Certificación como de los Firmantes, cumplen los estándares desarrollados por IETF-PKIX, de acuerdo con el documento RFC3280. Los perfiles y extensiones de los certificados se detallan en la DPC PKI WG10 QUALIFIED. 3.8 Administración del documento 3.8.1 Procedimientos de cambio La Autoridad de Certificación puede modificar de forma unilateral la PC PKI WG10 QUALIFIED, siempre y cuando cumpla según el siguiente procedimiento: La modificación está justificada desde el punto de vista técnico, legal o comercial debiendo, por lo tanto, estar avalada por la firma de los miembros del CAP PKI WG10 QUALIFIED, Se contemplan todas las implicaciones técnicas y legales de la nueva versión de especificaciones, Se establece un control de modificaciones para garantizar, en todo caso, que las especificaciones resultantes cumplen con los requisitos que se intentan cumplir y que han dado pie al cambio. Se establecen las implicaciones que el cambio de especificaciones tiene sobre el Solicitante y el Firmante, contemplando la necesidad de notificarles dichas modificaciones. 3.8.2 Políticas de publicación y de notificación Todo cambio en las especificaciones o condiciones del servicio se comunica a los usuarios por la Autoridad de Certificación, a través del depósito. En todos los casos se hace una referencia explícita a los cambios en la página principal del Web del servicio. No se retira la versión anterior del documento objeto del cambio, pero se indica que ha sido sustituida por la versión nueva. Al cabo de 15 (quince) días desde la publicación de la nueva versión, se retira la referencia al cambio de la página principal y se inserta en el depósito. Las versiones antiguas de la documentación se conservan, por un periodo mínimo de 15 (quince) años por la Autoridad de Certificación, pudiendo ser consultadas, por causa razonada, por los interesados. 3.8.3 Procedimiento de aprobación Santander ha establecido un CAP PKI WG10 QUALIFIED para aprobar, seguir y mantener la integridad de la infraestructura de políticas. Este Comité se reúne al menos una vez al año, y cada vez que se convoca de forma extraordinaria, para revisar y aprobar la PC PKI WG10 QUALIFIED, tras comprobar el cumplimiento de los requisitos establecidos en las secciones anteriores. Ref.: Versión: 1.0.2 Página: 18 de 22 Fecha 30/01/2009 Público Política de Certificado 3.8.4 Distribución y comunicación Santander distribuirá esta Política de Certificación a todos los Firmantes. Ref.: Versión: 1.0.2 Página: 19 de 22 Fecha 30/01/2009 Público Política de Certificado Glosario Acuerdo de certificación digital Acuerdo firmado entre el Banco y una Universidad donde se regulan los servicios de certificación digital que el Banco prestará a la Universidad. Es un documento indispensable para que la Autoridad de Certificación PKI WG10 QUALIFIED pueda prestar sus servicios a una Universidad y sus Firmantes. Autoridad de Certificación (AC) En inglés “Certification Authority”, CA. Es la entidad que emite y revoca los certificados digitales X509 versión 3, en este caso es la Autoridad de Certificación Raíz “WG10 QUALIFIED Identification Root” de Santander. La Autoridad de Certificación sólo emite y revoca certificados cuando recibe una petición que comprueba procede de una Oficina de Registro autorizada. CAP PKI WG10 QUALIFIED Abreviatura de Comité de Aprobación de Política de la Autoridad de Certificación PKI WG10 QUALIFIED. Es el órgano del Banco encargado de la aprobación y administración de los documentos DPC PKI WG10 QUALIFIED y PC PKI WG10 QUALIFIED. En inglés “Policy Approval Authority”, PAA. Carnet Universitario Tarjeta con chip donde se almacenan de forma segura la clave privada y el certificado digital del Firmante. Emitida por el Banco, está personalizada para cada Universidad con la que mantiene un acuerdo de colaboración. El Firmante necesita llevar su carnet universitario para realizar el proceso de registro y debe tenerlo cada vez que quiera utilizar su certificado. Certificado Certificado digital emitido por la Autoridad de Certificación siguiendo el formato estándar X509 versión 3. El certificado digital es el documento electrónico mediante el cual una Autoridad de Certificación vincula a la persona identificada en el certificado con la clave pública que figura en él. Todos los certificados se emiten con un periodo de validez determinado y están firmados digitalmente por la Autoridad de Certificación que los ha emitido. DPC PKI WG10 QUALIFIED Abreviatura de Declaración de Prácticas de Certificación de la Autoridad de Certificación Raíz “WG10 QUALIFIED Identification Root” de Santander. Este documento detalla y describe las prácticas que sigue la Autoridad de Certificación para emitir y revocar certificados digitales. En inglés “Certification Practices Statement”, CPS. Emisor En inglés “Issuer”. Campo de un certificado digital X509 versión 3 donde se consignan los datos de la Autoridad de Certificación que ha emitido y firma el certificado. Firmante En el caso de la Autoridad de Certificación PKI WG10 QUALIFIED, persona física para quien se ha solicitado la emisión de un certificado, ha realizado el proceso de registro en una Oficina de Registro y ha suscrito un Contrato de Firmante con el Banco. El certificado emitido contiene ciertos datos identificativos del Firmante. Para utilizar el certificado, el Firmante utiliza su clave privada que se corresponde con la clave pública incluida en el certificado. Para convertirse en Firmante se requiere que la persona física mantenga una determinada relación con una Universidad que haya suscrito con el Banco un Acuerdo de certificación digital. Hoja de Entrega y Aceptación Ref.: Versión: 1.0.2 Página: 20 de 22 Fecha 30/01/2009 Público Política de Certificado Documento utilizado exclusivamente en el momento de renovar un certificado, donde el Firmante acepta por escrito su nuevo certificado. LCRs Abreviatura de Lista de Certificados Revocados. Se trata de un documento electrónico emitido con carácter periódico por la Autoridad de Certificación y firmado por ella, donde figuran los datos identificativos de los certificados que ha revocado. Quien quiera confiar en un certificado debe consultar la última LCR disponible o bien hacer una consulta online para comprobar que un certificado continúa en vigor al no haber sido revocado. En inglés se denomina “Certificate Revocation List”, CRL. Nombre Diferenciado En inglés “Distinguished Name”, DN. Sistema para consignar en el campo Sujeto de un certificado los datos identificativos del Firmante, de forma que los datos que figuran en el certificado identifiquen de forma inequívoca a ese Firmante dentro del conjunto de todos los certificados en vigor que ha emitido la Autoridad de Certificación. OCSP El servicio OCSP (Online Certificate Status Protocol) permite utilizar un protocolo estándar para realizar consultas online al servidor de la Autoridad de Certificación sobre el estado de un certificado. Las consultas se realizan en base al número de serie y al Firmante del certificado. La dirección del servidor OCSP vendrá reflejada en la extensión “Acceso a la información de autorización” del certificado. Este servicio se prestará bajo las condiciones suscritas en los acuerdos firmados entre el Banco y la Universidad. Oficina de Registro En inglés “Registration Authority”, RA. Entidad en la que la Autoridad de Certificación delega la realización del proceso de registro de los Firmantes para la emisión inicial de un certificado y para su renovación, junto con la tramitación de las solicitudes de revocación y las funciones de información y enlace con los Firmantes y las Universidades. Las Oficinas de Registro de la Autoridad de Certificación PKI WG10 QUALIFIED pueden ser tanto departamentos o sucursales de Santander, como departamentos u oficinas de una Universidad, siempre que previamente así lo hayan acordado el Banco y la Universidad. OID Abreviatura en inglés de “Object Identifier”, identificador de objeto. Es una cadena de números, asignada por un organismo internacional, que identifica de forma única a un objeto. En el caso de la certificación digital, los OIDs se utilizan para identificar las Políticas de Certificado. La Autoridad de Certificación PKI WG10 QUALIFIED incluye el OID correspondiente a la PC PKI WG10 QUALIFIED en uno de los campos del certificado. PC PKI WG10 QUALIFIED Abreviatura de Política de Certificado de la Autoridad de Certificación Raíz “WG10 QUALIFIED Identification Root” de Santander. Este documento detalla y describe el ámbito en el que puede utilizarse un certificado, junto con los usos permitidos y prohibidos del certificado. Cada Política de Certificado se identifica con un OID único, número que figura en uno de los campos del certificado. En inglés “Certificate Policy”, CP. PIN Universitario El PIN (abreviatura en inglés de “Personal Identification Number”, número de identificación personal) es una clave numérica que protege el acceso a determinada información del titular almacenada en un carnet universitario. En el caso de la certificación digital, este PIN protege el acceso para lectura y escritura a la clave privada del Firmante. El titular puede cambiar este PIN cuando quiera, y siempre se le dará la opción de hacerlo como último paso del proceso de registro del Firmante. Solicitante Es la persona u organización que solicita a una Oficina de Registro la emisión de un certificado. En el caso de la Autoridad de Certificación PKI WG10 QUALIFIED, solamente las Universidades que Ref.: Versión: 1.0.2 Página: 21 de 22 Fecha 30/01/2009 Público Política de Certificado tengan en vigor un Acuerdo de certificación digital con el Banco pueden solicitar válidamente certificados. Sujeto En inglés “Subject”. Campo de un certificado digital X509 versión 3 donde se consignan ciertos datos que identifican a la persona que va a utilizar el certificado, cuya clave pública se incluye en el certificado. En el caso de la Autoridad de Certificación PKI WG10 QUALIFIED, en este campo figuran ciertos datos identificativos del Firmante. Texto Divulgativo de Política En inglés “Policy Disclosure Statement”, PDS. Las Declaraciones de Prácticas de Certificación (DPC) suelen ser textos largos y prolijos, difíciles de leer por los usuarios de los certificados. Por esta razón, la Autoridad de Certificación suele preparar un resumen de su DPC centrado en los aspectos que atañen directamente al titular del certificado (proceso de registro, operativa a seguir, responsabilidades que asume, etc.), que se pone a disposición del futuro titular antes de que firme cualquier contrato con la Autoridad de Certificación. En el caso de la DPC PKI WG10 QUALIFIED, este texto es un resumen del documento que la Oficina de Registro pone a disposición de los futuros Firmantes antes de que inicien el proceso de registro. Ref.: Versión: 1.0.2 Página: 22 de 22 Fecha 30/01/2009 Público