Colegio de Registradores POLÍTICAS DE CERTIFICACIÓN DE CERTIFICADOS INTERNOS DEL CORPME Prestador del Servicio de Certificación de CORPME Código: REG-PKI-DPC02 Versión: 1.0.1 Fecha: 19/09/16 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 1 de 63 Control documental Do c u m e n to / Fic h e ro Título: Políticas de Certificación de Certificados Internos del CORPME Nombre fichero: REG-PKI-DPC02v 1 0 1 Políticas de Certificación de Certificados Internos del CORPME.pdf Código: REG-PKI-DPC02 Soporte lógico: MS-DOCX y PDF Fecha: 19/09/2016 Ubicación física: http://pki.registradores.org/normativa/index.htm Versión: 1.0.1 Re g is tro d e c a m b io s Versión Fecha Motivo del cambio 0.0.3 17/06/2016 Revisión y envío para aprobación del documento. 1.0.0 20/06/2016 Aprobación del documento 1.0.1 19/09/2016 Modificaciones LFE/2016/0071 Dis trib u c ió n d e l d o c u m e n to Nombre Área Público Público / Internet Co n tro l d e l d o c u m e n to Preparado Revisado Aprobado Aceptado Daniel Burgos Antonio Alé Óscar Yagüe Luis Alberto Lahoz 13/09/2016 14/09/2016 19/09/2016 19/09/2016 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 2 de 63 Índice 1. INTRODUCCIÓN 9 1.1. Visión general ............................................................................................................................. 9 1.2. Nombre del documento e identificación de la PC .................................................................... 10 1.3. Participantes en la infraestructura de clave pública (PKI) del prestador del Servicio de Certificación del Colegio de Registradores ........................................................................................ 10 1.3.1. 1.3.2. 1.3.3. 1.3.4. 1.3.5. 1.3.6. 1.3.7. 1.3.8. Prestador de Servicios de Certificación (PSC) ................................................................ 10 Autoridad de Aprobación de Políticas ............................................................................. 11 Autoridad de Certificación Raíz ....................................................................................... 11 Autoridades de Certificación Subordinadas .................................................................... 12 Autoridad de Registro ...................................................................................................... 13 Autoridad de Validación (VA)........................................................................................... 14 Autoridad de Sellado de Tiempo (TSA) ........................................................................... 14 Entidades finales ............................................................................................................. 14 1.4. Uso de los certificados ............................................................................................................. 15 1.4.1. 1.4.2. Usos adecuados de los certificados ................................................................................ 15 Limitaciones y restricciones en el uso de los certificados ............................................... 15 1.5. Administración de las políticas ................................................................................................. 16 1.5.1. Entidad Responsable ....................................................................................................... 16 1.5.2. Procedimiento de aprobación y modificación de la Declaración de Prácticas de Certificación.................................................................................................................................... 16 1.6. Datos de Contacto .................................................................................................................... 16 1.7. Definiciones y Acrónimos ......................................................................................................... 17 1.7.1. 1.7.2. Definiciones ..................................................................................................................... 17 Acrónimos ........................................................................................................................ 19 2. REP OS ITORIOS Y P UBLICACIÓN DE INFORMACIÓN 21 2.1. Directorio de Validación de Certificados .................................................................................. 21 2.2. Publicación de información de certificación ............................................................................. 21 2.3. Frecuencia de publicación ........................................................................................................ 22 2.4. Controles de acceso a la información de certificación ............................................................. 22 3. IDENTIFICACIÓN Y AUTENTICACIÓN 23 3.1. Nombres ................................................................................................................................... 23 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.1.5. 3.1.6. Tipos de nombres ............................................................................................................ 23 Necesidad de que los nombres sean significativos ......................................................... 25 Reglas para interpretar varios formatos de nombres ...................................................... 25 Unicidad de los nombres ................................................................................................. 26 Procedimientos de resolución de conflictos sobre nombres ........................................... 26 Reconocimiento, autenticación y papel de las marcas registradas................................. 26 3.2. Validación inicial de la identidad .............................................................................................. 26 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.2.5. 3.2.6. 3.2.7. Fecha: 19/09/2016 Página 3 de 63 Medio de prueba de posesión de la clave privada .......................................................... 26 Autenticación de la identidad de una persona jurídica .................................................... 26 Autenticación de la identidad de una persona física ....................................................... 27 Autenticación de la identidad de un dispositivo ............................................................... 27 Información no verificada sobre el solicitante.................................................................. 28 Comprobación de las facultades de representación ....................................................... 28 Criterios para operar con CA externas ............................................................................ 28 3.3. Identificación y autenticación para solicitudes de renovación.................................................. 28 3.4. Identificación y autenticación para solicitudes de revocación .................................................. 28 4. REQUIS ITOS OP ERACIONALES P ARA EL CICLO DE VIDA DE LOS CERTIFICADOS 29 4.1. Solicitud de certificados ............................................................................................................ 29 4.1.1. 4.1.2. Quién puede efectuar una solicitud ................................................................................. 29 Registro de las solicitudes de certificados y responsabilidades de los solicitantes ........ 32 4.2. Tramitación de las solicitudes de certificados .......................................................................... 32 4.2.1. 4.2.2. 4.2.3. Realización de las funciones de identificación y autenticación ....................................... 32 Aprobación o denegación de las solicitudes de certificados ........................................... 32 Plazo para la tramitación de las solicitudes de certificados ............................................ 32 4.3. Emisión de certificados............................................................................................................. 32 4.3.1. 4.3.2. 4.3.3. Actuaciones de la CA durante la emisión del certificado ................................................ 32 Notificación al solicitante de la emisión por la CA del certificado .................................... 32 Licencia de Uso ............................................................................................................... 32 4.4. Aceptación del certificado ........................................................................................................ 34 4.4.1. 4.4.2. 4.4.3. Mecanismo de aceptación del certificado ........................................................................ 34 Publicación del certificado por la CA ............................................................................... 34 Notificación de la emisión del certificado por la CA a otras Autoridades ........................ 34 4.5. Par de claves y uso del certificado ........................................................................................... 34 4.5.1. 4.5.2. Uso de la clave privada y del certificado por el titular ..................................................... 34 Uso de la clave pública y del certificado por los terceros aceptantes ............................. 34 4.6. Renovación de certificados sin cambio de claves .................................................................... 34 4.6.1. 4.6.2. 4.6.3. 4.6.4. 4.6.5. 4.6.6. 4.6.7. Circunstancias para la renovación de certificados sin cambio de claves........................ 34 Quién puede solicitar la renovación de los certificados sin cambio de claves ................ 34 Tramitación de las peticiones de renovación de certificados sin cambio de claves ....... 34 Notificación de la emisión de un nuevo certificado al titular ............................................ 34 Forma de aceptación del certificado sin cambio de claves ............................................. 35 Publicación del certificado sin cambio de claves por la CA ............................................ 35 Notificación de la emisión del certificado por la CA a otras Autoridades ........................ 35 4.7. Renovación de certificados con cambio de claves .................................................................. 35 4.7.1. 4.7.2. 4.7.3. 4.7.4. 4.7.5. Circunstancias para una renovación con cambio claves de un certificado ..................... 35 Quién puede pedir la renovación de los certificados ....................................................... 35 Tramitación de las peticiones de renovación de certificados con cambio de claves ...... 35 Notificación de la emisión de un nuevo certificado al titular ............................................ 35 Forma de aceptación del certificado con las claves cambiadas ..................................... 36 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 4.7.6. 4.7.7. Fecha: 19/09/2016 Página 4 de 63 Publicación del certificado con las nuevas claves por la CA ........................................... 36 Notificación de la emisión del certificado por la CA a otras Autoridades ........................ 36 4.8. Modificación de certificados ..................................................................................................... 36 4.8.1. 4.8.2. 4.8.3. 4.8.4. 4.8.5. 4.8.6. 4.8.7. Circunstancias para la modificación de un certificado .................................................... 36 Quién puede solicitar la modificación de los certificados ................................................ 36 Tramitación de las peticiones de modificación de certificados ........................................ 36 Notificación de la emisión de un certificado modificado al titular .................................... 36 Forma de aceptación del certificado modificado ............................................................. 36 Publicación del certificado modificado por la CA............................................................. 36 Notificación de la modificación del certificado por la CA a otras Autoridades ................ 36 4.9. Revocación y suspensión de certificados ................................................................................ 37 4.9.1. 4.9.2. 4.9.3. 4.9.4. 4.9.5. 4.9.6. 4.9.7. 4.9.8. 4.9.9. 4.9.10. 4.9.11. 4.9.12. 4.9.13. 4.9.14. 4.9.15. 4.9.16. Circunstancias para la revocación ................................................................................... 37 Quién puede solicitar la revocación ................................................................................. 37 Procedimiento de solicitud de revocación ....................................................................... 37 Periodo de gracia de la solicitud de revocación .............................................................. 37 Plazo en el que la CA debe resolver la solicitud de revocación ...................................... 37 Requisitos de verificación de las revocaciones por los terceros que confían ................. 37 Frecuencia de emisión de CRL ....................................................................................... 37 Tiempo máximo entre la generación y la publicación de las CRL................................... 37 Disponibilidad de un sistema en línea de verificación del estado de los certificados ..... 37 Requisitos de comprobación en línea de revocación ...................................................... 38 Otras formas de divulgación de información de revocación disponibles......................... 38 Requisitos especiales de revocación de claves comprometidas .................................... 38 Causas para la suspensión ............................................................................................. 38 Quién puede solicitar la suspensión ................................................................................ 38 Procedimiento para la solicitud de suspensión ............................................................... 38 Límites del periodo de suspensión .................................................................................. 38 4.10. Servicios de información del estado de certificados ................................................................ 38 4.10.1. Características operativas ............................................................................................... 38 4.10.2. Disponibilidad del servicio ............................................................................................... 38 4.10.3. Características adicionales .............................................................................................. 38 4.11. Extinción de la validez de un certificado .................................................................................. 38 4.12. Custodia y recuperación de claves .......................................................................................... 38 4.12.1. Prácticas y políticas de custodia y recuperación de claves ............................................ 38 4.12.2. Prácticas y políticas de protección y recuperación de la clave de sesión ....................... 38 5. CONTROLES DE S EGURIDAD 39 5.1. Seguridad física ........................................................................................................................ 39 5.1.1. 5.1.2. 5.1.3. 5.1.4. 5.1.5. 5.1.6. 5.1.7. Ubicación y medidas de seguridad física de las instalaciones de CORPME .................. 39 Acceso físico .................................................................................................................... 39 Suministro eléctrico y acondicionamiento ambiental de las instalaciones del CORPME 39 Exposición al agua ........................................................................................................... 39 Medidas contra incendios e inundaciones....................................................................... 39 Sistema de almacenamiento ........................................................................................... 39 Eliminación de residuos ................................................................................................... 39 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 5.1.8. Fecha: 19/09/2016 Página 5 de 63 Política de Respaldo de Información. .............................................................................. 39 5.2. Controles de procedimiento ..................................................................................................... 39 5.2.1. 5.2.2. 5.2.3. Roles responsables del control y gestión de la PKI del CORPME.................................. 39 Número de personas requeridas por tarea ...................................................................... 39 Roles que requieren segregación de funciones .............................................................. 40 5.3. Controles de personal .............................................................................................................. 40 5.3.1. 5.3.2. 5.3.3. 5.3.4. 5.3.5. 5.3.6. 5.3.7. 5.3.8. Requisitos relativos a la cualificación, conocimiento y experiencia profesionales .......... 40 Procedimientos de comprobación de antecedentes........................................................ 40 Requerimientos de formación .......................................................................................... 40 Requerimientos y frecuencia de actualización de la formación ...................................... 40 Frecuencia y secuencia de rotación de tareas ................................................................ 40 Sanciones por actuaciones no autorizadas ..................................................................... 40 Requisitos de contratación de terceros ........................................................................... 40 Documentación proporcionada al personal ..................................................................... 40 5.4. Procedimientos de auditoría de seguridad ............................................................................... 40 5.4.1. 5.4.2. 5.4.3. 5.4.4. 5.4.5. 5.4.6. 5.4.7. 5.4.8. Tipos de eventos registrados........................................................................................... 40 Frecuencia de procesado de registros de auditoría ........................................................ 40 Periodo de conservación de los registros de auditoría ................................................... 40 Protección de los registros de auditoría .......................................................................... 41 Procedimientos de respaldo de los registros de auditoría .............................................. 41 Sistema de recogida de información de auditoría (interno vs externo) ........................... 41 Notificación al sujeto causa del evento ........................................................................... 41 Análisis de vulnerabilidades ............................................................................................ 41 5.5. Archivado de registros .............................................................................................................. 41 5.5.1. 5.5.2. 5.5.3. 5.5.4. 5.5.5. 5.5.6. 5.5.7. Tipo de eventos archivados ............................................................................................. 41 Periodo de conservación de registros ............................................................................. 41 Protección del archivo ..................................................................................................... 41 Procedimientos de copia de respaldo del archivo ........................................................... 41 Requerimientos para el sellado de tiempo de los registros ............................................. 41 Sistema de archivo de información de auditoría (interno vs externo) ............................. 41 Procedimientos para obtener y verificar información archivada ...................................... 41 5.6. Cambio de claves ..................................................................................................................... 41 5.7. Recuperación ante compromiso de clave o catástrofe ............................................................ 42 5.7.1. 5.7.2. 5.7.3. 5.7.4. Procedimientos de gestión de incidentes y compromisos ............................................... 42 Alteración de los recursos hardware, software y/o datos ................................................ 42 Procedimiento de actuación ante el compromiso de la clave privada de una Autoridad 42 Instalación después de un desastre natural u otro tipo de catástrofe ............................. 42 5.8. Cese de una CA o RA .............................................................................................................. 42 5.8.1. 5.8.2. Autoridad de Certificación ................................................................................................ 42 Autoridad de Registro ...................................................................................................... 42 6. CONTROLES DE S EGURIDAD TÉCNICA 43 6.1. Generación e instalación del par de claves ............................................................................. 43 6.1.1. Generación del par de claves .......................................................................................... 43 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 6.1.2. 6.1.3. 6.1.4. 6.1.5. 6.1.6. 6.1.7. Fecha: 19/09/2016 Página 6 de 63 Entrega de la clave privada al titular ............................................................................... 43 Entrega de la clave pública al emisor del certificado ...................................................... 43 Entrega de la clave pública de la CA a los terceros que confían .................................... 43 Tamaño de las claves ...................................................................................................... 43 Parámetros de generación de la clave pública y verificación de la calidad .................... 43 Usos admitidos de la clave (campo KeyUsage de X.509 v3) .......................................... 43 6.2. Protección de la clave privada y controles de ingeniería de los módulos ................................ 43 6.2.1. 6.2.2. 6.2.3. 6.2.4. 6.2.5. 6.2.6. 6.2.7. 6.2.8. 6.2.9. 6.2.10. 6.2.11. Estándares para los módulos criptográficos .................................................................... 43 Control multipersona (k de n) de la clave privada ........................................................... 43 Custodia de la clave privada............................................................................................ 44 Copia de seguridad de la clave privada .......................................................................... 44 Archivo de la clave privada .............................................................................................. 44 Transferencia de la clave privada a o desde el módulo criptográfico ............................. 44 Almacenamiento de la clave privada en un módulo criptográfico ................................... 44 Método de activación de la clave privada ........................................................................ 44 Método de desactivación de la clave privada .................................................................. 44 Método de destrucción de la clave privada ..................................................................... 44 Clasificación de los módulos criptográficos ..................................................................... 44 6.3. Otros aspectos de la gestión del par de claves ....................................................................... 44 6.3.1. 6.3.2. Archivo de la clave pública .............................................................................................. 44 Periodos operativos de los certificados y periodo de uso para el par de claves ............. 44 6.4. Datos de activación .................................................................................................................. 45 6.4.1. 6.4.2. 6.4.3. Generación e instalación de los datos de activación ...................................................... 45 Protección de los datos de activación ............................................................................. 45 Otros aspectos de los datos de activación ...................................................................... 45 6.5. Controles de seguridad informática.......................................................................................... 45 6.5.1. 6.5.2. Requerimientos técnicos de seguridad específicos ........................................................ 45 Evaluación de la seguridad informática ........................................................................... 45 6.6. Controles de seguridad del ciclo de vida.................................................................................. 45 6.6.1. 6.6.2. 6.6.3. Controles de desarrollo de sistemas ............................................................................... 45 Controles de gestión de seguridad .................................................................................. 45 Controles de seguridad del ciclo de vida ......................................................................... 45 6.7. Controles de seguridad de la red ............................................................................................. 45 6.8. Sellado de tiempo ..................................................................................................................... 45 7. P ERFILES DE LOS CERTIFICADOS , CRL Y OCS P 46 7.1. Perfil de certificado ................................................................................................................... 46 7.1.1. 7.1.2. 7.1.3. 7.1.4. 7.1.5. 7.1.6. 7.1.7. Número de versión .......................................................................................................... 46 Extensiones del certificado .............................................................................................. 46 Identificadores de objeto (OID) de los algoritmos ........................................................... 56 Formatos de nombres ...................................................................................................... 56 Restricciones de los nombres.......................................................................................... 56 Identificador de objeto (OID) de la Política de Certificación ............................................ 56 Uso de la extensión “PolicyConstraints” .......................................................................... 56 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 7.1.8. 7.1.9. Fecha: 19/09/2016 Página 7 de 63 Sintaxis y semántica de los “PolicyQualifier” ................................................................... 56 Tratamiento semántico para la extensión crítica “Certificate Policy”............................... 56 7.2. Perfil de CRL ............................................................................................................................ 56 7.2.1. 7.2.2. Número de versión .......................................................................................................... 56 CRL y extensiones ........................................................................................................... 56 7.3. Perfil de OCSP ......................................................................................................................... 57 7.3.1. 7.3.2. Número(s) de versión ...................................................................................................... 57 Extensiones OCSP .......................................................................................................... 57 8. AUDITORÍAS DE CUMP LIMIENTO Y OTROS CONTROLES 58 8.1. Frecuencia o circunstancias de los controles para cada Autoridad ......................................... 58 8.2. Identificación/cualificación del auditor ...................................................................................... 58 8.3. Relación entre el auditor y la Autoridad auditada .................................................................... 58 8.4. Aspectos cubiertos por los controles ........................................................................................ 58 8.5. Acciones a tomar como resultado de la detección de deficiencias .......................................... 58 8.6. Comunicación de resultados .................................................................................................... 58 9. OTRAS CUES TIONES LEGALES Y DE ACTIVIDAD 59 9.1. Tarifas ....................................................................................................................................... 59 9.1.1. 9.1.2. 9.1.3. 9.1.4. 9.1.5. Tarifas de emisión o renovación de certificado ............................................................... 59 Tarifas de acceso a los certificados ................................................................................ 59 Tarifas de acceso a la información de estado o revocación ........................................... 59 Tarifas de otros servicios tales como información de políticas ....................................... 59 Política de reembolso ...................................................................................................... 59 9.2. Responsabilidades económicas ............................................................................................... 59 9.3. Confidencialidad de la información .......................................................................................... 59 9.3.1. 9.3.2. 9.3.3. Ámbito de la información confidencial ............................................................................. 59 Información no confidencial ............................................................................................. 59 Deber de secreto profesional........................................................................................... 59 9.4. Protección de la información personal ..................................................................................... 59 9.5. Derechos de propiedad intelectual ........................................................................................... 59 9.6. Representaciones y garantías .................................................................................................. 60 9.6.1. 9.6.2. 9.6.3. 9.6.4. 9.6.5. Obligaciones de las CA ................................................................................................... 60 Obligaciones de las RA ................................................................................................... 60 Obligaciones de los titulares de los certificados .............................................................. 60 Obligaciones de los terceros que confían o aceptan los certificados del CORPME ....... 60 Obligaciones de otros participantes................................................................................. 60 9.7. Exención de responsabilidades ................................................................................................ 60 9.8. Limitaciones de las responsabilidades ..................................................................................... 60 9.9. Indemnizaciones ....................................................................................................................... 60 9.10. Período de validez .................................................................................................................... 60 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 8 de 63 9.10.1. Plazo ................................................................................................................................ 60 9.10.2. Sustitución y derogación de la PC ................................................................................... 60 9.10.3. Efectos de la finalización ................................................................................................. 61 9.11. Notificaciones individuales y comunicaciones con los participantes ....................................... 61 9.12. Procedimientos de cambios en las especificaciones ............................................................... 61 9.12.1. Procedimiento para los cambios...................................................................................... 61 9.12.2. Circunstancias en las que el OID debe ser cambiado..................................................... 61 9.13. Reclamaciones ......................................................................................................................... 61 9.14. Normativa aplicable .................................................................................................................. 61 9.15. Cumplimiento de la normativa aplicable................................................................................... 61 9.16. Estipulaciones diversas ............................................................................................................ 61 9.16.1. Cláusula de aceptación completa .................................................................................... 61 9.16.2. Independencia ................................................................................................................. 61 9.16.3. Resolución por la vía judicial ........................................................................................... 61 9.17. Otras estipulaciones ................................................................................................................. 62 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 9 de 63 1. INTRODUCCIÓN 1.1. Vis ió n g e n e ra l El Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España (en adelante CORPME), Corporación de Derecho Público adscrita a la Dirección General de los Registros y el Notariado del Ministerio de Justicia, se constituye como Prestador de Servicios de Certificación de Firma Electrónica en virtud del mandato efectuado por el Legislador en la disposición adicional 26ª de la Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social. Nace con la finalidad de ofrecer los mecanismos y sistemas necesarios para garantizar la seguridad de las comunicaciones telemáticas en las que intervengan los Registradores, las Administraciones Publicas, los profesionales que se relacionan con los Registros y los ciudadanos en general. El Reglamento interno del PSC del CORPME es la norma básica del Servicio de Certificación, en la que se establecen su naturaleza, estructura y organización, así como los criterios y procedimientos que el Servicio se compromete a seguir en el ejercicio de su actividad, incluyendo desde la solicitud de los certificados y generación de las claves, hasta la posterior emisión, distribución, uso, revocación y renovación de los mismos. La Declaración de Prácticas de Certificación (en adelante DPC), emitida de conformidad con el Art.19 de la Ley 59/2003, de Firma Electrónica, , define y documenta un marco normativo general, conforme al cual se desarrollará la actividad de Prestador del Servicio de Certificación del CORPME, en relación con los procesos de solicitud, emisión y gestión del ciclo de vida de los certificados digitales, incluyendo los procedimientos de verificación de la vigencia, revocación y renovación de certificados. Los estándares y normativas que se aplican y cumplen con el presente documento son: RFC3647: X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework ETSI TS 102 042: Policy requirements for certification authorities issuing public key certificates ETSI TS 101 456: Policy requirements for certification authorities issuing public key certificates ETSI TS 102 023: Mobile Signatures; Business and Functional Requirements ETSI TS 101 862: Qualified Certificate profile ETSI TS 101 861: Time stamping profile. ETSI TS 319 412-2: Certificate profile for certificates issued to natural persons CA/Browser Forum: Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates Las Políticas de Certificación (en adelante PC’s) aplicables a cada clase de certificado complementan lo dispuesto con carácter general en la DPC. En caso de conflicto o contradicción entre lo dispuesto en la Declaración de Prácticas de Certificación y las citadas Políticas, prevalecerá lo preceptuado en estas últimas. Las PC’s también definen el ámbito de potenciales titulares de los certificados, así como los usos previstos de los certificados emitidos por el CORPME. La actividad del CORPME se desarrollará con plena sujeción a las prescripciones de la Ley 24/2001, de 27 de diciembre, la ley 59/2003 de Firma Electrónica, de 20 de diciembre, todas de ámbito estatal; al reglamento EU 910/2014 de Identificación electrónica y de servicios de confianza, y al Reglamento interno del PSC. Esta PC asume que el lector conoce los conceptos de PKI, certificado y Firma Electrónica; en caso contrario se recomienda al lector que se forme en el conocimiento de los anteriores conceptos antes de continuar con la lectura del presente documento. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 10 de 63 1.2. No m b re d e l d o c u m e n to e id e n tific a c ió n d e la P C El presente documento se denomina POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS INTERNOS DEL CORPME. Identificación del Documento: Nombre del documento Políticas de Certificación de Certificados Internos del CORPME Versión del documento 1.0.1 Estado del documento Versión Fecha de emisión 19/09/2016 Fecha de expiración No aplicable OID (Object Identifier) Ubicación de la PC DPC Relacionada 1.3.6.1.4.1.17276.0.1.0.1.1 http://pki.registradores.org/normativa/index.htm Declaración de Prácticas de Certificación del CORPME 1.3. P a rtic ip a n te s e n la in fra e s tru c tu ra d e c la ve p ú b lic a (P KI) d e l p re s ta d o r d e l S e rvic io d e Ce rtific a c ió n d e l Co le g io d e Re g is tra d o re s 1.3.1. P re s ta d o r de S e rvic io s d e Ce rtific a c ió n (P S C) Es la entidad responsable de la emisión, bajo la jerarquía de su certificado raíz, de los certificados digitales destinados a entidades finales, así como de la gestión del ciclo de vida de los certificados digitales. La información legal y datos identificativos del Prestador de Servicios de Certificación del CORPME estarán siempre disponibles en http://pki.registradores.org/normativa/index.htm. También podrá solicitarse una copia impresa de dicha documentación previa solicitud del interesado en la dirección siguiente: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de España. Prestador del Servicio de Certificación del Colegio de Registradores C/ DIEGO DE LEON, 21. 28006-MADRID En el CORPME concurre además de la condición de prestador (PSC), la de CA (Certification Authority), desarrollando su actividad de conformidad con la legislación vigente en la materia, señaladamente la ley 59/2003, de 20 de diciembre de Firma Electrónica y el reglamento EU 910/2014 de identificación electrónica y de servicios de confianza La arquitectura general, a nivel jerárquico, de la PKI del CORPME es la siguiente: Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Página 11 de 63 AC Raí z NIVEL 0 NIVEL 1 Fecha: 19/09/2016 AC Subordinada C. Internos AC Subordinada C. Externos 1.3.2. Au to rid a d d e Ap ro b a c ió n d e P o lític a s La Autoridad de Aprobación de Políticas (en adelante AAP) es la organización responsable de la aprobación de la DPC y de las Políticas de Certificación del CORPME, así como de la aprobación de las modificaciones de dichos documentos. Asimismo, la AAP es la responsable, en caso de que se tuviese que evaluar la posibilidad de que una CA externa interactúe con la PKI del CORPME, de determinar la adecuación de la DPC de dicha CA a la Política de Certificación afectada. La AAP es responsable de analizar los informes de las auditorías, ya sean estos totales o parciales que se hagan de la PKI, así como de determinar en caso necesario, las acciones correctoras a ejecutar. La AAP estará formada por la Comisión Directora, órgano máximo directivo del CORPME constituida por los siguientes vocales: Vocal del Servicio de Coordinación de las Oficinas Liquidadoras del CORPME, que actúa como Presidente del Comité. Vocal Secretario del CORPME. Vocal del Servicio de Coordinación de Registros Mercantiles del CORPME. Vocal del Servicio de Sistemas de Información del CORPME. 1.3.3. Au to rid a d d e Ce rtific a c ió n Ra íz El CORPME emite todos los certificados objeto de la DPC bajo la jerarquía del Certificado de la clave principal, o certificado raíz. El certificado raíz es un certificado auto-firmado, con el que se inicia la cadena de confianza. De manera subordinada a la Raíz, se encuentran los certificados de jerarquía o de clave secundaria, que serán uno para los Certificados Internos y otro para los Certificados Externos. El titular del certificado Raíz es el propio CORPME, y se emite y revoca por la Unidad de Tramitación Central, a solicitud de la Comisión Directora, de conformidad con el procedimiento definido en el Reglamento interno del PSC. La información más relevante de la Autoridad de Certificación Raíz del CORPME es la siguiente: Nombre distintivo Número de serie CN = Autoridad de Certificación Raíz de los Registradores, O = Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = VATES-Q2863012G, C = ES 3b 38 d3 bf 57 b2 94 43 57 55 5d 78 9c fd 5e 5f Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Nombre distintivo del emisor Fecha de emisión Fecha de expiración Longitud de clave RSA Huella digital (SHA-1) URL de publicación del certificado Fecha: 19/09/2016 Página 12 de 63 CN = Autoridad de Certificación Raíz de los Registradores, O = Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = VATES-Q2863012G, C = ES lunes, 06 de junio de 2016 13:24:40 miércoles, 06 de junio de 2040 13:24:40 4096 Bits 97 4e 26 df 10 d2 c2 00 24 b2 1c 4a 0e b9 c7 ef 5c 06 80 d4 http://pki.registradores.org/certificados/ac_raiz_psc_corpme.crt 1.3.4. Au to rid a d e s d e Ce rtific a c ió n S u b o rd in a d a s Bajo la jerarquía de la clave principal o certificado Raíz del CORPME, se encuentran los certificados de la Clave Secundaria para Certificados Internos y de la Clave Secundaria para Certificados Externos, bajo cuyas respectivas jerarquías se emiten a su vez todos los certificados que el CORPME emite a entidades finales. La información más relevante de la CA subordinada para Certificados Internos es la siguiente: Nombre distintivo Número de serie Nombre distintivo del emisor Fecha de emisión Fecha de expiración Longitud de clave RSA Huella digital (SHA-1) URL de publicación del certificado URL de publicación de la CRL CN = Autoridad de Certificación de los Registradores - AC Interna, O = Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = VATES-Q2863012G, C = ES 19 03 bc e3 42 82 77 60 57 55 8a f9 e9 b7 7e 2b CN = Autoridad de Certificación Raíz de los Registradores, O = Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = VATES-Q2863012G, C = ES lunes, 06 de junio de 2016 16:38:48 martes, 06 de junio de 2028 16:38:48 4096 Bits 11 bb d7 b4 a3 08 05 6e 15 13 20 1e 36 b6 9e a9 4e a9 f2 f9 http://pki.registradores.org/certificados/ac_int_psc_corpme.crt http://pki.registradores.org/crls/crl_int_psc_corpme.crl Certificado Reconocido de Registrador Certificado Reconocido para Personal Interno Tipos de certificados emitidos Certificado Reconocido de Sello para Facturación Electrónica Certificado Reconocido de Sede Electrónica Certificado no Reconocido para Procedimientos Registrales Certificado no Reconocido de SSL genérico La información más relevante de la CA subordinada para Certificados Externos es la siguiente: Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Nombre distintivo Número de serie Nombre distintivo del emisor Fecha de emisión Fecha de expiración Longitud de clave RSA Huella digital (SHA-1) URL de publicación del certificado URL de publicación de la CRL Fecha: 19/09/2016 Página 13 de 63 CN = Autoridad de Certificación de los Registradores - AC Externa, O = Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = VATES-Q2863012G, C = ES 0f 58 42 bf f2 91 93 45 57 55 91 64 34 56 36 54 CN = Autoridad de Certificación Raíz de los Registradores, O = Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = VATES-Q2863012G, C = ES lunes, 06 de junio de 2016 17:06:11 martes, 06 de junio de 2028 17:06:11 4096 Bits e1 37 72 e5 a9 d6 2f 3f 5a 0a b1 ad ec 80 51 68 75 96 fb 70 http://pki.registradores.org/certificados/ac_ext_psc_corpme.crt http://pki.registradores.org/crls/crl_ext_psc_corpme.crl Certificado Reconocido Personal Certificado Reconocido de Representante de Persona Jurídica Tipos de certificados emitidos Certificado Reconocido Personalidad Jurídica de Representante de Entidad sin Certificado Reconocido de Cargo Administrativo Certificado Reconocido de Administración Local Certificado Reconocido de Profesional 1.3.5. Au to rid a d d e Re g is tro La Autoridad de Registro del PSC del CORPME, está formada por sus Unidades de Tramitación, y engloban a: Registros Mercantiles Decanatos Registros de la Propiedad Unidad de Tramitación Central Éstas redactan el contenido de los certificados tras realizar las comprobaciones precisas y autorizan su emisión o revocación. Para los certificados personales, las Unidades de Tramitación generarán en un dispositivo seguro los pares de claves criptográficas para su entrega a los solicitantes. Todas las Unidades de Tramitación estarán bajo la supervisión y dirección de un registrador titular, interino o accidental, salvo; Los Decanatos, cuyo responsable será el Decano territorial, o un registrador asignado por él. La Unidad de Tramitación Central, cuyo responsable será cualquier miembro de la Junta de Gobierno, designado por el vocal del Servicio de Sistemas de Información, (en adelante SSI). La Unidad de Tramitación Central será la encargada de la emisión o revocación de los certificados de dispositivos (SSL), bajo solicitud aprobada según el procedimiento de gestión de solicitudes y validada esta solicitud por el Director Técnico del SSI del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 14 de 63 Todas las Autoridades de Registro funcionan bajo la supervisión y coordinación de la Comisión Directora y precisan de la previa habilitación de la Junta de Gobierno del CORPME, para la emisión de cada una de las clases de certificados. La expedición de determinados certificados digitales del CORPME se verificará, previa petición de cita en línea del solicitante, en la dirección de Internet https://www.registradores.org/scr/agenda, en una única comparecencia, el día y hora de su elección en la Unidad de Tramitación. 1.3.6. Au to rid a d d e Va lid a c ió n (VA) La Autoridad de Validación (VA) tiene como función facilitar el estado de los certificados emitidos por el PSC del CORPME, mediante el protocolo Online Certificate Status Protocol (OCSP), que determina el estado actual de un certificado electrónico a solicitud de un tercero aceptante sin requerir el acceso a listas de certificados revocados por éstas. Este mecanismo de validación es complementario a la publicación de las listas de certificados revocados (CRL). 1.3.7. Au to rid a d d e S e lla d o d e Tie m p o (TS A) La Autoridad de Sellado de Tiempo (TSA) es la responsable de la prestación de los servicios recogidos a continuación, de forma que proporcione confianza a sus usuarios: solicitantes, suscriptores y terceros aceptantes. Los servicios de sellado de tiempo se estructuran en dos partes: Suministro de los sellos de tiempo: los componentes técnicos y organizativos que emiten los sellos de tiempo (TST). Gestión del sellado de tiempo: los componentes técnicos y organizativos que supervisan y controlan la operativa del sellado de tiempo, incluyendo la sincronización temporal con la fuente de referencia UTC. La TSA tiene la responsabilidad de operar una o varias Unidades de Sellado de Tiempo (TSU) las cuales crearán y firmarán los sellos de tiempo (TST) en nombre de la TSA. La TSA queda identificada en el certificado electrónico de firma que se utilice en el servicio de sellado de tiempo. 1.3.8. En tid a d e s fin a le s Se definen como entidades finales aquellas personas físicas sujetos de derechos, con capacidad suficiente para solicitar y obtener un certificado digital del CORPME, a título propio o en su condición de representante de una persona jurídica o entidad sin personalidad jurídica. También se consideran entidades finales los Terceros de buena fe que confían en los certificados del CORPME. A los efectos anteriores tendrán la consideración de Entidades Finales: Solicitante Suscriptor Tercero que confía en los certificados de CORPME. 1.3.8.1. Solicitante Cuando un interesado en obtener un certificado emitido por el CORPME, cumplimenta el formulario de petición de cita de https://www.registradores.org/scr/agenda, adquiere la condición de Solicitante. La mera solicitud de un certificado no implica la concesión del mismo, la cual queda supeditada al éxito de procedimiento de Registro ante la Unidad de Tramitación correspondiente, previa verificación de la información correspondiente al certificado que el solicitante facilita. Sólo las personas mayores de edad podrán solicitar y, en su caso, obtener certificados digitales del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 1.3.8.2. Fecha: 19/09/2016 Página 15 de 63 Suscriptor Se denomina suscriptor, de conformidad con lo dispuesto en el artículo 6 de la Ley 59/2003 y del reglamento EU 910/2014, a la persona física cuya identidad se vincula a unos Datos de creación y verificación de Firma, a través de una Clave Pública certificada (firmada digitalmente) por el Prestador de Servicios de Certificación. Los datos de identificación del Suscriptor están contenidos en el campo “Subject” del certificado definido dentro del estándar X509 de la ITU. Igualmente, tendrá la consideración de Suscriptor a los efectos de la Ley de Firma Electrónica y del reglamento EU 910/2014 la persona física indicada en los siguientes casos: • • • En caso de la emisión de Certificados de Representante de Persona Jurídica, la persona física que en virtud de apoderamiento inscrito en el Registro Mercantil ostente la representación de una persona jurídica, incluyéndose los datos de ésta en el certificado. En caso de la emisión de Certificados de Representante de Entidad sin Personalidad Jurídica, la persona física, en virtud del nombramiento publicado en el Boletín Oficial del Estado, incluyéndose los datos de éste en el certificado. En el caso de aquellos perfiles específicos de certificados de sello emitidos a personas jurídicas, la persona física solicitante que acreditará su capacidad para su solicitud y tramitación en la Unidad de Tramitación Central. La identidad del Suscriptor en tanto que titular del certificado figurara en el campo Distinguished Name del certificado digital en los campos CN (Common Name), SN (Serial Number), G (Given Name), S (Surname), , dentro de la extensión Subject del certificado. Los datos identificativos del Suscriptor podrán ser así mismo incluidos, dependiendo del tipo de certificado, con formato RFC6854 en una extensión de nombre alternativo subjectAltName, de conformidad con lo que se estipule en las políticas particulares aplicables a cada certificado. En los casos de la representación de Personas Jurídicas o de Entidades sin Personalidad Jurídica, los datos de la representación quedarán reflejados en el apartado Description del campo Distinguished Name del certificado digital. 1.3.8.3. Tercero que confía en los Certificados de CORPME A los efectos de esta PC, Tercero es cualquier usuario que deposita su confianza en los certificados emitidos por el CORPME, y utilizados para la firma de comunicaciones, documentos electrónicos, o en la autenticación ante sistemas basada en certificados digitales. El CORPME no asume ningún tipo de responsabilidad ante terceros, incluso de buena fe, que no hayan aplicado la diligencia debida para la verificación de la vigencia de los Certificados. 1.4. Us o d e lo s c e rtific a d o s 1.4.1. Us o s a d e c u a d o s de lo s c e rtific a d o s Los certificados regulados por esta PC se utilizarán para: Certificados de Autenticación y Firma: Estos certificados se utilizarán para la autenticación de personas frente a los Sistemas de Información del CORPME, la Administración General del Estado y otro tipo de Organismos y Entidades, así como para la generación de firmas electrónicas avanzadas. Certificados de Componente: El uso de estos certificados se establece para vincular unos datos de verificación de la firma, que podrá ser del servidor donde está instalado o de la aplicación correspondiente, a un suscriptor que tiene el control del funcionamiento del componente que utiliza el certificado. 1.4.2. Lim ita c io n e s y re s tric c io n e s e n e l u s o de lo s c e rtific a d o s Cualquier uso no incluido en el apartado anterior queda excluido. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 16 de 63 1.5. Ad m in is tra c ió n d e la s p o lític a s 1.5.1. En tid a d Re s p o n s a b le El Servicio de Sistemas de la Información (en adelante SSI) a través de su Comité técnico de Asesoramiento y Cumplimiento Normativo, constituido por; El Director de Tecnología y Sistemas, que actúa como Presidente del Comité. El Director de la Oficina de Seguridad y Cumplimiento Normativo, que actuará como Secretario. El Director de Infraestructuras, Ingeniería de la Seguridad y Comunicaciones El Director de Tecnologías Wintel y Virtualización El Director de Operaciones Un Director de Proyectos y Servicios, en representación de los directores de Proyectos y Servicios Establecerá los términos y redacción de la PC del CORPME. En aquellos casos en que de conformidad con lo dispuesto en el Reglamento interno del PSC sea preceptivo, la Comisión Directora actuará por mandato de la Junta de Gobierno del Colegio de Registradores, o recabará su autorización en aquellas materias cuya competencia esté reservada al máximo órgano de gobierno de los Registradores. El Comité técnico de Asesoramiento y Cumplimiento Normativo realizará, al menos, una revisión anual de los documentos de la Declaración de Prácticas de Certificación y de las Políticas de Certificación del PSC del CORPME. 1.5.2. P ro c e d im ie n to d e a p ro b a c ió n y m o d ific a c ió n d e la De c la ra c ió n d e P rá c tic a s d e Ce rtific a c ió n . La aprobación y subsiguientes modificaciones de la presente PC, corresponde en exclusiva a la Comisión Directora, en virtud de las facultades delegadas por la Junta de Gobierno del CORPME, de conformidad con las disposiciones del Reglamento interno del PSC. Cualquier modificación en la presente PC será introducida y publicada en la página Web del CORPME (http://pki.registradores.org/normativa/index.htm). Los suscriptores disconformes con las modificaciones introducidas, podrán solicitar la revocación de su certificado digital. La revocación interesada y voluntaria por el usuario disconforme con las disposiciones incorporadas con carácter sobrevenido a esta PC, no otorgará al suscriptor ningún derecho a ser compensado por tal motivo. 1.6. Da to s d e Co n ta c to Para consultas o comentarios relacionados con la presente PC el interesado deberá dirigirse al CORPME a través de alguno de los siguientes medios: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de España Prestador del Servicio de Certificación del Colegio de Registradores C/ DIEGO DE LEON, 21 28006-MADRID Email: psc@registradores.org Tlf: 902181442 o 912701699 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 17 de 63 1.7. De fin ic io n e s y Ac ró n im o s 1.7.1. De fin ic io n e s Agencia Española de Protección de Datos: Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada cuya finalidad es velar por el cumplimiento de la legislación sobre protección de datos personales Autoridad de Certificación: es aquella persona física o jurídica que, de conformidad con la legislación sobre Firma Electrónica expide Certificados electrónicos, pudiendo prestar además otros servicios en relación con la Firma Electrónica. Autoridad de Registro: entidad, con la que CORPME ha establecido un convenio, que realiza la comprobación de la identidad de los Solicitantes y Suscriptores de Certificados, y en su caso de la vigencia de facultades de representantes y subsistencia de la personalidad jurídica o de la representación voluntaria Cadena de certificación: lista de Certificados que contiene al menos un Certificado y el Certificado raíz de CORPME Certificado: documento electrónico firmado electrónicamente por un Prestador de Servicios de Certificación que vincula al Suscriptor unos Datos de verificación de Firma y confirma su identidad. En la presente Política de Certificación, cuando se haga referencia a Certificado se entenderá realizada a un Certificado emitidos por cualquier Autoridad de Certificación de CORPME Certificado raíz: Certificado cuyo Suscriptor es una Autoridad de Certificación perteneciente a la jerarquía de CORPME como Prestador de Servicios de Certificación, y que contiene los Datos de verificación de Firma de dicha Autoridad firmado con los Datos de creación de Firma de la misma como Prestador de Servicios de Certificación Certificado reconocido: Certificado expedido por un Prestador de Servicios de Certificación que cumple los requisitos establecidos en la Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten Clave: secuencia de símbolos Datos de creación de Firma (Clave Privada): son datos únicos, como códigos o claves criptográficas privadas, que el signatario utiliza para crear la Firma Electrónica Datos de verificación de Firma (Clave Pública): son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la Firma Electrónica Declaración de Prácticas de Certificación (DPC): declaración de CORPME puesta a disposición del público por vía electrónica y de forma gratuita realizada en calidad de Prestador de Servicios de Certificación en cumplimiento de lo dispuesto por la Ley Dispositivo seguro de creación de Firma: instrumento que sirve para aplicar los Datos de creación de Firma cumpliendo con los requisitos establecidos en el Anexo III de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999, y con lo establecido en las normas específicas de aplicación en España Directorio de Certificados: repositorio de información que sigue el estándar X.500 del ITU-T Documento electrónico: conjunto de registros lógicos almacenado en soporte susceptible de ser leído por equipos electrónicos de procesamiento de datos, que contiene información Documento de seguridad: documento exigido por la LOPD cuyo objetivo es establecer las medidas de seguridad implantadas, a los efectos de este documento, por CORPME como Prestador de Servicios de Certificación, para la protección de los datos de carácter personal contenidos en los Ficheros de la actividad de certificación que contienen datos personales (en adelante los Ficheros). Encargado del Tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del Responsable del tratamiento de los Ficheros Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 18 de 63 Firma Electrónica reconocida: es aquella Firma Electrónica avanzada basada en un Certificado reconocido y generada mediante un Dispositivo seguro de creación de Firma Firma Electrónica avanzada: es aquella Firma Electrónica que permite establecer la identidad personal del Suscriptor respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al Suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que éste puede mantener bajo su exclusivo control Firma Electrónica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación personal Función hash: es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Función hash Hash o Huella digital: resultado de tamaño fijo que se obtiene tras aplicar una Función hash a un mensaje y que cumple la propiedad de estar asociado unívocamente a los datos iniciales Infraestructura de Claves Públicas (PKI, Public key Infrastructure): infraestructura que soporta la gestión de Claves Públicas para los servicios de autenticación, cifrado, integridad, o no repudio Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal: ley que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar Listas de Revocación de Certificados o Listas de Certificados Revocados (CRL): lista donde figuran exclusivamente las relaciones de Certificados revocados o suspendidos (no los caducados) Módulo Criptográfico Hardware de Seguridad (HSM): módulo hardware utilizado para realizar funciones criptográficas y almacenar Claves en modo seguro. -Número de serie de Certificado: valor entero y único que está asociado inequívocamente con un Certificado expedido por CORPME OCSP (Online Certificate Status Protocol): protocolo informático que permite la comprobación del estado de un Certificado en el momento en que éste es utilizado OCSP Responder: servidor informático que responde, siguiendo el protocolo OCSP, a las Peticiones OCSP con el estado del Certificado por el que se consulta OID (Object IDentifier): valor, de naturaleza jerárquica y comprensivo de una secuencia de componentes variables, aunque siempre constituidos por enteros no negativos separados por un punto, que pueden ser asignados a objetos registrados y que tienen la propiedad de ser únicos entre el resto de OID Petición OCSP: petición de consulta de estado de un Certificado a OCSP Responder siguiendo el protocolo OCSP PIN: (Personal Identification Number) número específico sólo conocido por la persona que tiene que acceder a un recurso que se encuentra protegido por este mecanismo Prestador de Servicios de Certificación: es aquella persona física o jurídica que, de conformidad con la legislación sobre Firma Electrónica expide Certificados electrónicos, pudiendo prestar además otros servicios en relación con la Firma Electrónica. En la presente Política de Certificación, se corresponderá con las Autoridades de Certificación pertenecientes a la jerarquía de CORPME Política de Certificación (PC): documento que completa la Declaración de Prácticas de Certificación, estableciendo las condiciones de uso y los procedimientos seguidos por CORPME para emitir Certificados Póliza: a efectos de la presente Política de Certificación se entenderá por la Póliza el documento notarial que el Notario autoriza ante el Suscriptor de un Certificado que documenta la intervención notarial como Autoridad de Registro, así como su intervención en el caso de revocación del mismo Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 19 de 63 PKCS#10 (Certification Request Syntax Standard): estándar desarrollado por RSA Labs, y aceptado internacionalmente como estándar, que define la sintaxis de una petición de Certificado PUK: (Personal Unblocking Key) número o clave específica sólo conocido por la persona que tiene que acceder a un recurso que se utiliza para desbloquear el acceso a dicho recurso Responsable del Fichero (o del Tratamiento del Fichero): persona que decide sobre la finalidad, contenido y uso del tratamiento de los Ficheros. -Responsable de Seguridad: encargado de coordinar y controlar las medidas que impone el Documento de seguridad en cuanto a los Ficheros SHA-1: Secure Hash Algorithm (algoritmo seguro de resumen –hash-). Desarrollado por el NIST y revisado en 1994 (SHA-1). El algoritmo consiste en tomar mensajes de menos de 264 bits y generar un resumen de 160 bits de longitud. La probabilidad de encontrar dos mensajes distintos que produzcan un mismo resumen es prácticamente nula. Por este motivo se usa para asegurar la Integridad de los documentos durante el proceso de Firma Electrónica Sellado de Tiempo: constatación de la fecha y hora en un documento electrónico mediante procedimientos criptográficos indelebles, basándose en las especificaciones Request For Comments: 3161 – “Internet X.509 Public Key Infrastructure Time–Stamp Protocol (TSP)”, que logra datar el documento de forma objetiva Solicitante: persona física que previa identificación, solicita la emisión de un Certificado Suscriptor (o Subject): el titular o firmante del Certificado. La persona cuya identidad personal queda vinculada mediatamente a los datos firmados electrónicamente, a través de una Clave Pública certificada por el Prestador de Servicios de Certificación. El concepto de Suscriptor, será referido en los Certificados y en las aplicaciones informáticas relacionadas con su emisión como Subject, por estrictas razones de estandarización internacional Tarjeta criptográfica: tarjeta utilizada por el Suscriptor para almacenar claves privadas de firma y descifrado, para generar firmas electrónicas y descifrar mensajes de datos. Tiene la consideración de Dispositivo seguro de creación de Firma de acuerdo con la Ley y permite la generación de Firma Electrónica reconocida Terceros que confían en Certificados: aquellas personas que depositan su confianza en un Certificado de CORPME, comprobando la validez y vigencia del Certificado según lo descrito en esta Declaración de Prácticas de Certificación UIT (Unión Internacional de Telecomunicaciones): organización internacional del sistema de las Naciones Unidas en la cual los gobiernos y el sector privado coordinan los servicios y redes mundiales de telecomunicaciones X.500: estándar desarrollado por la UIT que define las recomendaciones del directorio. Se corresponde con el estándar ISO/IEC 9594-1: 1993. Da lugar a la serie de recomendaciones siguientes: X.501, X.509, X.511, X.518, X.519, X.520, X.521 y X.525 X.509: estándar desarrollado por la UIT, que define el formato electrónico básico para Certificados electrónicos 1.7.2. Ac ró n im o s AAP: Autoridad de Aprobación de Políticas C: Country (País). Atributo del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500 CA: Certification Authority (Autoridad de Certificación). CDP: CRL Distribution Point (Punto de Distribución de CRL). CN: Common Name (Nombre Común). Atributo del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500. CP: Certificate Policy (Política de Certificación). Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 20 de 63 CPS: Certification Practice Statement (Declaración de Prácticas de Certificación) CORPME: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de España CRL: Certificate Revocation List (Lista de Revocación de Certificados) CSR: Certificate Signing Request (petición de certificado). Conjunto de datos, que contienen una clave pública y su Firma Electrónica utilizando la clave privada asociada, enviado a la Autoridad de Certificación para la emisión de un certificado electrónico que contenga dicha clave pública. CWA: CEN Workshop Agreement DN: Distinguished Name (Nombre Distintivo). Identificación unívoca de una entrada dentro de un directorio X.500 FIPS: Federal Information Processing Standard HSM: Hardware Security Module. Módulo de seguridad criptográfica empleado para el almacenamiento de claves y realización de operaciones criptográficas seguras IANA: Internet Assigned Numbers Authority IETF: Internet Engineering Task Force (Organismo de estandarización de Internet) ITU: International Telecommunication Union O: Organisation (Organización). Atributo del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500 OCSP: Online Certificate Status Protocol. Protocolo para la verificación online de la validez de un certificado electrónico OID: Object Identifier (Identificador Único de Objeto) OU: Organisational Unit (Unidad Organizativa). Atributo del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500 PSC: Proveedor de Servicios de Certificación PIN: Personal Identification Number (Número de Identificación Personal). Password que protege el acceso a un dispositivo criptográfico PKCS: Public Key Cryptography Standards. Estándares de PKI desarrollados por los laboratorios de RSA aceptados internacionalmente PKI: Public Key Infrastructure (Infraestructura de Clave Pública) PUK: PIN Unlock Key. Password que permite desbloquear un dispositivo criptográfico bloqueado por haber introducido en repetidas ocasiones un PIN erróneo de forma consecutiva RA: Registration Authority (Autoridad de Registro) RFC: Request For Comments. Standard desarrollado por el IETF ROA: Real Observatorio de la Armada Española SSI: Servicio de Sistemas de Información del Colegio de Registradores SSL: Secure Sockets Layer (Capa de Conexión Segura) TSA: TimeStamp Authority (Autoridad de Sellado de Tiempo) TST: TimeStamp Token (Token de Sellado de Tiempo) TSU: TimeStamp Unit (Unidad de Sellado de Tiempo) UTC: Universal Time Coordinated VA: Validation Authority (Autoridad de Validación) Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 21 de 63 2. REP OS ITORIOS Y P UBLICACIÓN DE INFORMACIÓN 2.1. Dire c torio d e Va lid a c ió n d e Ce rtific a d o s El CORPME mantiene un Directorio de Validación de Certificados permanentemente disponible y accesible a cualquier interesado, de conformidad con la normativa vigente. Para garantizar un acceso continuado y sin disrupciones al servicio de verificación de certificados, el Servidor de directorio está duplicado y balanceado, de tal forma que, en caso de fallo o caída del servicio, el segundo directorio será inmediatamente puesto en línea garantizándose de este modo la disponibilidad del mismo. El Directorio de Validación de Certificados es un directorio público de consulta, en el que se encuentran todas las Listas de Certificados Revocados (CRL’s) emitidas por el Prestador del Servicio de Certificación, cuyo plazo de caducidad aún no ha vencido, que incluyen la fecha y hora en el que tuvo lugar la revocación. No se establecerán más limitaciones de acceso al Directorio que las impuestas por razones de seguridad. ARL http://pki.registradores.org/crls/arl_psc_corpme.crl CRL CA Certificados Internos http://pki.registradores.org/crls/crl_int_psc_corpme.crl CRL CA Certificados Externos http://pki.registradores.org/crls/crl_ext_psc_corpme.crl Servicio de validación en línea que implementa el protocolo OCSP http://ocsp.registradores.org y https://ocsp.registradores.org Servicio de Sello de Tiempo http://tsa.registradores.org y https://tsa.registradores.org (Time Stamping Protocol) Certificado Autoridad Certificadora CORPME http://pki.registradores.org/certificados/ac_raiz_psc_corpme.crt Certificado CA Internos http://pki.registradores.org/certificados/ac_int_psc_corpme.crt Certificado CA Externos http://pki.registradores.org/certificados/ac_ext_psc_corpme.crt Prácticas y Políticas de Certificación http://pki.registradores.org/normativa/index.htm 2.2. P u b lic a c ió n d e in fo rm a c ió n d e c e rtific a c ió n El Directorio se publica de acuerdo con el estándar LDAP (Lightweight Directory Access Protocol) y dispondrá de la ARL publicada y las CRL’s publicadas, que siguen la norma correspondiente (Certificate Revocation List, versión 2) del estándar X.509. También podrá utilizarse el estándar OCSP (Online Certificate Status Protocol). Las listas de certificados revocados se actualizarán con la periodicidad indicada en el apartado 4.9.7 del presente documento. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 22 de 63 2.3. Fre c u e n c ia d e p u b lic a c ió n La DPC y las Políticas de Certificación se publicarán en el momento de su creación y se volverán a publicar en el momento en que se apruebe cualquier modificación sobre las mismas. Las modificaciones se harán públicas en el Directorio web referenciado en el apartado 2.1 del presente documento. La CA añadirá los certificados revocados a la CRL pertinente dentro del periodo de tiempo estipulado en el apartado 4.9.7 del presente documento. 2.4. Co n tro le s d e a c c e s o a la in fo rm a c ión d e c e rtific a c ió n El acceso para la consulta de la DPC y PCs es público para todo interesado que lo desee. El CORPME dispondrá de las medidas de seguridad necesarias para evitar la manipulación no autorizada de estos documentos. Así mismo, estarán firmados digitalmente mediante un certificado emitido del CORPME para garantizar su integridad. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 23 de 63 3. IDENTIFICACIÓN Y AUTENTICACIÓN 3.1. No m b re s 3.1.1. Tip o s d e n o m b re s Todos los titulares de certificados requieren un nombre distintivo (Distinguished Name) conforme con el estándar X.500. 3.1.1.1. Certificado Reconocido de Registrador La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C organizationIdentifier O Valor Descripción ES País VATES-Q2863012G CIF (Requerido por ETSI 319 412-2) Colegio de Registradores de la Propiedad y Mercantiles Organización <Nombre Registro> Registro en el que ejerce su función el titular del certificado serialNumber IDCES-NIF Requerido por ETSI EN 319 412-2 surname APELLIDOS Requerido por ETSI EN 319 412-2 NOMBRE Requerido por ETSI EN 319 412-2 NOMBRE nombre apellidos – NIF nif Todos los datos deben ir en MAYÚSCULAS OU givenName CN 3.1.1.2. Certificado Reconocido de Personal Interno La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C organizationIdentifier O Valor Descripción ES País VATES-Q2863012G CIF (Requerido por ETSI 319 412-2) Colegio de Registradores de la Propiedad y Mercantiles Organización Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 OU Fecha: 19/09/2016 Página 24 de 63 <Nombre Registro o Unidad Destino> serialNumber IDCES-NIF Requerido por ETSI EN 319 412-2 surname APELLIDOS Requerido por ETSI EN 319 412-2 NOMBRE Requerido por ETSI EN 319 412-2 NOMBRE nombre apellidos – NIF nif Todos los datos deben ir en MAYÚSCULAS givenName CN 3.1.1.3. Certificado Reconocido de Sello para Facturación Electrónica La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C organizationIdentifier O OU SerialNumber CN 3.1.1.4. Valor Descripción ES País VATES-Q2863012G Requerido por @firma Colegio de Registradores de la Propiedad y Mercantiles de España - DIEGO DE LEÓN 21, 28006 MADRID Requerido por @firma SELLO ELECTRONICO Requerido por RD 668/2015 NIF de la Entidad Requerido por RD 668/2015 <Sociedad Colegial> - NIF nif Todos los datos deben ir en MAYÚSCULAS Certificado Reconocido de Sede Electrónica La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C organizationIdentifier Valor Descripción ES País VATES-Q2863012G CIF (Requerido por ETSI 319 412-2) O Colegio de Registradores de la Propiedad y Mercantiles Organización L Madrid Requerido por RD 668/2015 SEDE ELECTRONICA Requerido por RD 668/2015 OU Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 OU SerialNumber Fecha: 19/09/2016 Página 25 de 63 SEDE ELECTRÓNICA DEL COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES Requerido por RD 668/2015 IDCES-nif Requerido por RD 668/2015 Requerido por RD 668/2015. CN 3.1.1.5. Debe coincidir con el establecido en la extensión SAN www.registradores.org Certificado No Reconocido para Procedimientos Registrales La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C organizationIdentifier O CN 3.1.1.6. Valor Descripción ES País VATES-Q2863012G CIF (Requerido por ETSI 319 412-2) Colegio de Registradores de la Propiedad y Mercantiles Organización Nombre del Registro Titular Certificado No Reconocido de SSL genérico La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C organizationIdentifier O CN Valor Descripción ES País VATES-Q2863012G CIF (Requerido por ETSI 319 412-2) Colegio de Registradores de la Propiedad y Mercantiles Organización <Nombre Máquina / Nombre DNS> 3.1.2. Ne c e s id a d d e q ue lo s n o m b re s s e a n s ig n ific a tivo s En todos los casos los nombres distintivos de los titulares de los certificados deben ser significativos, ajustándose a las normas impuestas en el apartado anterior. 3.1.3. Re g la s pa ra in te rp re ta r va rio s fo rm a to s d e n o m b re s La regla utilizada por el PSC del CORPME para interpretar los nombres distintivos de los titulares de certificados que emite es ISO/IEC 9595 (X.500) Distinguished Name (DN). Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 26 de 63 3.1.4. Un ic id a d d e lo s n o m b re s El conjunto de nombre distintivo (Distinguished Name) más el contenido de la extensión Policy Identifier debe ser único y no ambiguo. Para Certificados Reconocidos de Registrador, el uso del nombre (compuesto por los apellidos y el nombre), y del NIF en el CN garantiza la unicidad del mismo. Para Certificados Reconocidos de Personal Interno, el uso del nombre (compuesto por los apellidos y el nombre), y del NIF, NIE, pasaporte u otro documento identificativo en el CN garantiza la unicidad del mismo. Para Certificado No Reconocido de Procedimientos Registrales, el uso del nombre del registro titular del certificado en el CN, garantiza la unicidad del mismo. Para Certificado No Reconocido de Servidor de SSL, el uso del nombre de máquina en el CN, garantiza la unicidad del mismo. Para los Certificados Reconocidos de Sello para Facturación Electrónica, el uso del nombre de la Sociedad Colegial en conjunción con su NIF, garantiza la unicidad del mismo Para Certificados Reconocidos de Sede Electrónica, www.registradores.org garantiza la unicidad del mismo. el uso del CN como 3.1.5. P ro c e d im ie n to s d e re s o lu c ió n d e c o n flic tos s o b re n o m b re s Cualquier conflicto concerniente a la propiedad de nombres se resolverá según lo estipulado en el punto 9.13 del presente documento. 3.1.6. Re c o n o c im ie n to , a u te n tic a c ió n y p a p e l d e la s m a rc a s re g is tra d a s No estipulado. 3.2. Va lid a c ió n in ic ia l d e la id e n tid a d 3.2.1. Me d io d e p ru e b a d e p o s e s ió n d e la c la ve p riva d a Las claves de los certificados internos: Certificado Reconocido de Registrador Certificado Reconocido de Personal Interno Certificado Reconocido de Sello para Facturación Electrónica Serán generadas por el dispositivo criptográfico seguro del solicitante estando bajo la custodia de éste, por lo que, la posesión de la clave privada correspondiente a la clave pública para la que el solicitante solicita que se genere el certificado, quedará probada mediante el envío de la petición de firma del certificado (CSR). Para los Certificados no Reconocidos de servidor SSL el CORPME comprobará que el solicitante posee la clave privada correspondiente a la clave pública para la que solicita que se genere el certificado. Para los Certificados no Reconocidos para Procedimientos Registrales, el CORPME comprobará mediante la recepción de la licencia de uso firmada por el titular del registro correspondiente, que el solicitante posee la clave privada correspondiente a la clave pública para la que solicita que se genere el certificado. 3.2.2. Au te n tic a c ió n d e la id e n tid a d d e u n a pe rs o n a ju ríd ic a Los solicitantes nacionales de Certificados del CORPME, deberán comparecer ante la Unidad de Tramitación de su elección, provistos de su NIF, NIE, pasaporte u otro documento identificativo. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 27 de 63 Los solicitantes extranjeros de Certificados del CORPME, deberán comparecer, provistos de su número de identificación de extranjeros (NIE), o el de su pasaporte, o el de su tarjeta de residencia o el de cualquier otro documento legal de identificación. Además de la identificación del solicitante como persona física mediante la comprobación de la documentación señalada anteriormente, el Operador del Registro correspondiente solicitará la documentación acreditativa de sus facultades de representación sobre la persona jurídica o entidad sin personalidad jurídica. El solicitante del certificado se constituirá como suscriptor del certificado emitido. 3.2.3. Au te n tic a c ió n d e la id e n tid a d d e u n a pe rs o n a fís ic a El solicitante deberá proporcionar la siguiente información, en función del certificado que solicite: 3.2.3.1. Certificado Reconocido de Registrador Nombre del registro (registro en el que ejerce su función el titular del certificado). Nombre y apellidos y documento identificativo (NIF) del suscriptor Correo electrónico Dirección postal Nombre Principal de Windows (UPN) Situación del registrador: Activo. 3.2.3.2. Certificado Reconocido de Personal Interno Nombre y apellidos y documento identificativo (NIF, NIE, pasaporte u otros) del suscriptor Nombre del registro (registro en el que ejerce su función el titular del certificado) Correo electrónico (opcional) Dirección postal Nombre Principal de Windows (UPN) (opcional) Subtipo: Registro, Colegio, Organización, Decanato, Registrador Aspirante, Registrador Jubilado, Registrador Excedente Organización, nombre de la Organización (si el subtipo es Organización). Cargo que ocupa en la organización: si el subtipo es Registro, Colegio, Organización o Decanato. 3.2.4. Au te n tic a c ió n d e la id e n tid a d d e u n d is p os itivo 3.2.4.1. Certificado Reconocido de Sede Electrónica NIF del Responsable del Certificado titular de la dirección electrónica de la sede. 3.2.4.2. Certificado no Reconocido para Procedimientos Registrales Nombre del registro titular del certificado Correo electrónico (opcional) Dirección postal operador 3.2.4.3. Certificado no Reconocido de SSL genérico Nombres de la Máquina o Nombres DNS Correo electrónico Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 28 de 63 3.2.5. In fo rm a c ió n n o ve rific a d a s o b re e l s o lic ita n te Toda la información presentada por el solicitante es verificada antes de la emisión del certificado que solicita. 3.2.6. Co m p ro b a c ió n d e la s fa c u lta d e s d e re p re s e n ta c ió n Los solicitantes nacionales de Certificados del CORPME, deberán comparecer ante la Unidad de Tramitación de su elección, provistos de su NIF, NIE, pasaporte u otro documento identificativo. Los solicitantes extranjeros de Certificados del CORPME, deberán comparecer, provistos de su número de identificación de extranjeros (NIE), o el de su pasaporte, o el de su tarjeta de residencia o el de cualquier otro documento legal de identificación. Además de la identificación del solicitante como persona física mediante la comprobación de la documentación señalada anteriormente, el Operador del Registro correspondiente solicitará la documentación acreditativa de sus facultades de representación sobre la persona jurídica o entidad sin personalidad jurídica o su capacidad para solicitar los certificados de dispositivos contemplados en la presente PC. 3.2.7. Crite rio s p a ra o p e ra r c o n CA e xte rn a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 3.3. Id e n tific a c ió n y a u te n tic a c ió n p a ra s o lic itu d e s d e re n ova c ió n La identificación y autenticación de los titulares de los certificados para las solicitudes de renovación por cualquier motivo, que se encuentran especificados en el apartado 4.7 del presente documento, se realizará a través del proceso de emisión de certificados, es decir, mediante el NIF, NIE, pasaporte u otro documento identificativo del titular. Además, el Operador de la Unidad de Tramitación correspondiente, solicitará la documentación acreditativa del atributo certificable de que se trate en virtud del Tipo de Certificado, salvo para los Certificados Reconocidos de representante de persona jurídica, donde el Operador confirmará por sus medios la documentación acreditativa del solicitante. De igual manera, las Unidades de Tramitación serán responsables del archivado de toda documentación relacionada con los certificados y sus solicitudes, debiendo archivarse por un mínimo de quince (15) años. Para los Certificados Internos no Reconocidos (Procedimientos Registrales y SSL genérico), la Unidad de Tramitación Central notificará al titular por correo electrónico corporativo la futura expiración del certificado, con al menos un mes de antelación a la fecha en que se produzca. Siempre bajo petición del titular del certificado del dispositivo, la Unidad de Tramitación Central procederá a la emisión de un nuevo certificado con un contenido equivalente al del que va a caducar y lo enviará a su titular mediante correo electrónico corporativo, con antelación suficiente para evitar la interrupción del servicio. 3.4. Id e n tific a c ió n y a u te n tic a c ió n p a ra s o lic itu d e s d e re vo c a c ió n La identificación y autenticación de los titulares de los certificados para las solicitudes de revocación por cualquier motivo, que se encuentran especificados en el apartado 4.9 del presente documento, se realizará mediante el NIF, NIE, pasaporte u otro documento identificativo del titular. Para los Certificados Internos no Reconocidos (Procedimientos Registrales y SSL genérico), la Unidad de Tramitación Central identificará al titular mediante el correo electrónico corporativo utilizado en la solicitud del certificado. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 29 de 63 4. REQUIS ITOS OP ERACIONALES PARA EL CICLO DE VIDA DE LOS CERTIFICADOS 4.1. S o lic itu d d e c e rtific a d o s 4.1.1. Qu ié n p u e d e e fe c tu a r u n a s o lic itu d La solicitud variaría en función del tipo de Certificado Reconocido solicitado, a continuación, se diferencia el procedimiento según el tipo solicitado: 4.1.1.1. Certificado Reconocido de Registrador En el presente caso, no es necesaria la petición de cita a través de la página web para la comparecencia. El Registrador solicitante deberá comparecer ante la Unidad de Tramitación correspondiente al Registro del que haya tomado posesión, en un plazo no superior a tres días desde la toma de posesión del Registro, aportando un documento identificativo (NIF, NIE, pasaporte u otro) y copia original del nombramiento. La Unidad de Tramitación dispondrá de los medios necesarios para comprobar la condición de registrador del solicitante y de la situación de servicio activo del mismo, consultándolo en la Guía colegial para comprobarlo. El procedimiento de emisión se realizará de acuerdo con las siguientes fases: 1. Solicitud: El Registrador se persona en la Unidad de Tramitación de los Registros con su NIF o pasaporte. El Operador del Registro correspondiente introducirá los datos de la solicitud en la aplicación y comprobará si existe algún certificado vigente de la misma clase al que se pretende expedir y a nombre del mismo titular y, de ser así, procederá a su revocación. 2. Aceptación de la solicitud y de la licencia: se imprimirán dos copias de la licencia de uso, y de la solicitud de revocación, en los casos que proceda, que firmará el solicitante. 3. Generación de claves y asignación de contraseñas: la Unidad de Tramitación correspondiente entregará al suscriptor un dispositivo criptográfico sin inicializar y este introducirá la contraseña de acceso y ordenará la generación de las claves dentro del dispositivo criptográfico. El suscriptor deberá introducir personalmente la contraseña de acceso al dispositivo criptográfico, de modo que esta no sea conocida en ningún momento por el CORPME. El Registrador al frente de la Unidad de Tramitación correspondiente certificará que la firma ha sido creada con la intervención personal del solicitante, generándose la clave privada en el interior del dispositivo criptográfico (la autoridad de registro – el registrador - introducirá personalmente las contraseñas que dan acceso al sistema de generación de certificados y requiriendo al solicitante la introducción de la clave de acceso al dispositivo que protege la clave privada del certificado), así como que éste acepta los requisitos de asunción de la firma electrónica. 4. Emisión e instalación del certificado: la solicitud de certificado, conteniendo la clave pública, se enviará telemáticamente a la Unidad Técnica, que remitirá inmediatamente el certificado. A continuación, el certificado se introducirá en el dispositivo criptográfico. Una copia de la solicitud y de la licencia quedará en poder del titular y la otra será archivada en la Unidad de Tramitación, junto a la referida certificación y, por un periodo de quince (15) años. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 4.1.1.2. Fecha: 19/09/2016 Página 30 de 63 Certificado Reconocido de Personal Interno En el presente caso, no es necesaria la petición de cita a través de la página web para la comparecencia. El solicitante, empleado del Colegio o de los Registros, deberá comparecer ante la Unidad de Tramitación de los Registros correspondiente, aportando un documento identificativo (NIF, NIE, pasaporte u otros). El procedimiento de emisión se realizará de acuerdo con las siguientes fases: 1. Solicitud: El solicitante del certificado se persona en la Unidad de Tramitación con su NIF, NIE, pasaporte u otro. El Operador del Registro correspondiente introducirá los datos de la solicitud y comprobará si existe algún certificado vigente de la misma clase al que se pretende expedir y a nombre del mismo titular y, de ser así, procederá a su revocación. 2. Aceptación de la solicitud y de la licencia: se imprimirán dos copias de la licencia de uso, y de la solicitud de revocación, en los casos que proceda, que firmará el solicitante. 3. Generación de claves y asignación de contraseñas: la Unidad de Tramitación correspondiente entregará al suscriptor un dispositivo criptográfico sin inicializar y este introducirá la contraseña de acceso y ordenará la generación de las claves dentro del dispositivo criptográfico. El suscriptor deberá introducir personalmente la contraseña de acceso al dispositivo criptográfico, de modo que esta no sea conocida en ningún momento por el CORPME. El Registrador al frente de la Unidad de Tramitación correspondiente certificará que la firma ha sido creada con la intervención personal del solicitante, generándose la clave privada en el interior del dispositivo criptográfico (el registrador introducirá personalmente las contraseñas que dan acceso al sistema de generación de certificados y requiriendo al solicitante la introducción de la clave de acceso al dispositivo que protege la clave privada del certificado), así como que éste acepta los requisitos de asunción de la firma electrónica. 4. Emisión e instalación del certificado: la solicitud de certificado, conteniendo la clave pública, se enviará telemáticamente a la Unidad Técnica, que remitirá inmediatamente el certificado. A continuación, el certificado se introducirá en el dispositivo criptográfico. Una copia de la solicitud y de la licencia quedará en poder del titular y la otra será archivada en la Unidad de Tramitación, junto a la referida certificación y, por un periodo de quince (15) años. 4.1.1.3. Certificado Reconocido de Sello para Facturación Electrónica En el presente caso, no es necesaria la petición de cita a través de la página web para la comparecencia. El solicitante, empleado o cargo del Colegio o de los Registros, deberá comparecer ante la Unidad de Tramitación Central o en su caso la competente, aportando un documento identificativo (NIF, NIE, pasaporte u otro) y copia original del nombramiento o acreditación como empleado o cargo. Una vez comprobada la condición del solicitante, se comprueba que la Sociedad para la que se solicita la emisión del certificado de Sello para Facturación Electrónica no dispone de un certificado de igual tipo emitido anteriormente. El procedimiento de emisión se realizará de acuerdo con las siguientes fases: 1. Solicitud: El Solicitante se persona en la Unidad de Tramitación de los Registros con su NIF o pasaporte, y el NIF de la Sociedad Colegial a la que va a estar asignado el certificado a emitir. El Operador del Registro correspondiente introducirá los datos de la solicitud en la aplicación y comprobará si existe algún certificado vigente de la misma clase al que se pretende expedir y a nombre del mismo titular (Sociedad Colegial) y, de ser así, procederá a su revocación. 2. Aceptación de la solicitud y de la licencia: se imprimirán dos copias de la licencia de uso, y de la solicitud de revocación, en los casos que proceda, que firmará el solicitante. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 31 de 63 3. Generación de claves y asignación de contraseñas: El Solicitante es el encargado de proporcionar a la Unidad de Tramitación la prueba de generación de claves o de petición de certificación en formato PKCS#10 para que sea emitido el certificado correspondiente. El Solicitante debe proporcionar evidencias de que la clave criptográfica ha sido generada en un dispositivo criptográfico seguro, portando dicho dispositivo en el momento de la solicitud. 4. Emisión e instalación del certificado: El Solicitante proporciona la solicitud de certificado, conteniendo la clave pública. Esta se envía telemáticamente a la Unidad Técnica, que remitirá inmediatamente el certificado. A continuación, el certificado se introducirá en el dispositivo criptográfico. Una copia de la solicitud y de la licencia quedará en poder del titular y la otra será archivada en la Unidad de Tramitación, junto a la referida certificación y, por un periodo de quince (15) años. 4.1.1.4. Certificado Reconocido de Sede Electrónica Para la emisión de certificados reconocidos de Sede Electrónica se deberá enviar una solicitud mediante correo electrónico corporativo a la Unidad de Tramitación Central del CORPME. La Unidad de Tramitación Central procederá a dar trámite a la solicitud del certificado, validando esta solicitud el Director Técnico del SSI y comprobando si existe otro certificado de la misma clase y a nombre del mismo titular y, de ser así, proceder a la denegación de la solicitud. Finalmente, la Unidad de Tramitación Central notificará al solicitante la aprobación o denegación de la solicitud del certificado. En caso que la validación de la solicitud haya sido favorable, se proporcionará el certificado emitido, y se le remitirá la licencia de uso por duplicado, en formato electrónico, debiendo firmar ambas el solicitante y devolver uno de los ejemplares. Una copia de la solicitud y de la licencia quedará en poder del titular y la otra será archivada en la Unidad de Tramitación Central, por un periodo de quince (15) años. 4.1.1.5. Certificado No Reconocido para Procedimientos Registrales Los Certificados no Reconocidos para Procedimientos Registrales serán emitidos desde la Unidad de Tramitación Central. Se generarán lotes de emisión de certificados y una vez generados se ejecutará un script para cambiar la contraseña de los PKCS #12 con una contraseña aleatoria y única para cada uno de ellos. Desde los servicios centrales del CORPME se procederá a instalar los certificados en los servidores de integración de cada registro y una vez finalizada la operación se notificará la contraseña del PKCS #12 al responsable de seguridad del registro para que procedan a la instalación del mismo en los puestos clientes del registro. Pasado el periodo de una semana se procederá a la revocación de los certificados que han sido renovados. La Unidad de Tramitación Central, una vez que los certificados hayan sido instalados, borrará cualquier referencia a éstos y sus respectivas contraseñas, para garantizar el no repudio. 4.1.1.6. Certificado No Reconocido de SSL genérico Para la emisión de certificados no reconocidos de SSL genérico se deberá enviar una solicitud mediante correo electrónico corporativo a la Unidad de Tramitación Central del CORPME. La Unidad de Tramitación Central procederá a dar trámite a la solicitud del certificado, validando esta solicitud el Director Técnico del SSI y comprobando si existe otro certificado de la misma clase y a nombre del mismo titular y, de ser así, proceder a la denegación de la solicitud. Finalmente, la Unidad de Tramitación Central notificará al solicitante la aprobación o denegación de la solicitud del certificado. En caso que la validación de la solicitud haya sido favorable, se proporcionará el certificado emitido, y se le remitirá la licencia de uso por duplicado, en formato electrónico, debiendo firmar ambas el solicitante y devolver uno de los ejemplares. Una copia de la solicitud y de la licencia quedará en poder Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 32 de 63 del titular y la otra será archivada en la Unidad de Tramitación Central, por un periodo de quince (15) años. 4.1.2. Re g is tro d e la s s o lic itu d e s d e c e rtific a do s y re s p o n s a b ilid a d e s d e lo s s o lic ita n te s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.2. Tra m ita c ió n d e la s s o lic itu d e s d e c e rtific a d o s 4.2.1. Re a liza c ió n d e la s fu n c io n e s de id e n tific a c ió n y a u te n tic a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.2.2. Ap ro b a c ió n o d e n e g a c ió n d e la s s o lic itu d e s d e c e rtific a d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.2.3. P la zo p a ra la tra m ita c ió n d e la s s o lic itu d e s d e c e rtific a d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.3. Em is ió n d e c e rtific a d o s 4.3.1. Ac tu a c io n e s d e la CA d u ra n te la e m is ió n de l c e rtific a d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.3.2. No tific a c ió n a l s o lic ita n te d e la e m is ió n p or la CA d e l c e rtific a do En las solicitudes de los certificados en las que se incluya el correo electrónico del interesado, se enviará un email notificando al solicitante la emisión del certificado por parte de la CA. Este email solamente será a título informativo. Esta notificación es aplicable a los siguientes certificados: Certificados Reconocidos de Registrador. Certificados Reconocidos para Personal Interno. Certificado Reconocido de Sello para Facturación Electrónica Certificado Reconocido de Sede Electrónica Certificados no Reconocidos para procedimientos registrales. Certificados no Reconocidos de servidor de SSL. 4.3.3. Lic e n c ia d e Us o 4.3.3.1. Certificado Reconocido de Registrador La firma de la licencia de uso del certificado implicará la aceptación del mismo, de la DPC y de la presente PC. Incluirá necesariamente los siguientes contenidos: Los datos personales del Registrador: nombre y apellidos, Registro donde desempeña su función, teléfono y dirección de correo electrónico. Una declaración del Registrador en la que manifiesta haber generado en el dispositivo criptográfico la clave privada y recibido ésta con el certificado y en la que se compromete a utilizar ésta de acuerdo con lo dispuesto en la DPC, el Reglamento interno del PSC y la presente PC. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 33 de 63 El consentimiento del solicitante para la cesión de sus datos de carácter personal al CORPME en la medida en que sean necesarios para que éste preste los servicios de certificación. Estos datos se mantendrán confidencialmente en el CORPME, y nunca serán cedidos a terceros. 4.3.3.2. Certificado Reconocido de Personal Interno La firma de la licencia de uso del certificado implicará la aceptación del mismo, de la DPC y de la PC correspondiente. Incluirá necesariamente los siguientes contenidos: Los datos personales del solicitante: nombre y apellidos, Registro, Decanato, Colegio o Sociedades Colegiales donde desempeña su función, teléfono y dirección de correo electrónico. Una declaración del personal interno en la que manifiesta haber generado en el dispositivo criptográfico la clave privada y recibido ésta con el certificado y en la que se compromete a utilizar ésta de acuerdo con lo dispuesto en la DPC, en el Reglamento interno del PSC y la presente PC. El consentimiento del solicitante para la cesión de sus datos de carácter personal al CORPME en la medida en que sean necesarios para que éste preste los servicios de certificación. Estos datos se mantendrán confidencialmente en el CORPME, y nunca serán cedidos a terceros. 4.3.3.3. Certificado Reconocido de Sello para Facturación Electrónica La firma de la licencia de uso del certificado implicará la aceptación del mismo, de la DPC y de la presente PC. Incluirá necesariamente los siguientes contenidos: Los datos personales del solicitante: nombre y apellidos, Registro, Decanato, Colegio o Sociedades Colegiales donde desempeña su función, teléfono y dirección de correo electrónico junto con su DNI o equivalente. Una declaración del personal interno en la que manifiesta haber generado en el dispositivo criptográfico la clave privada y recibido ésta con el certificado y en la que se compromete a utilizar ésta de acuerdo con lo dispuesto en la DPC, en el Reglamento interno del PSC y la presente PC. El consentimiento del solicitante para la cesión de sus datos de carácter personal al CORPME en la medida en que sean necesarios para que éste preste los servicios de certificación. Estos datos se mantendrán confidencialmente en el CORPME, y nunca serán cedidos a terceros. 4.3.3.4. Certificado No Reconocido para Procedimientos Registrales La firma de la licencia de uso del certificado será firmada por el titular del registro correspondiente e implicará la aceptación del mismo, de la DPC y de la presente PC. Una vez firmada, la licencia será remitida a la Unidad de Tramitación Central e incluirá necesariamente los siguientes contenidos: Los datos personales del titular: nombre y apellidos del titular, nombre oficial del Registro destino, teléfono y dirección de correo electrónico. Una declaración del titular en la que manifiesta haber recibido el certificado y en la que se compromete a utilizar de acuerdo con lo dispuesto en el Reglamento y en las presentes Condiciones de Certificación. El consentimiento del solicitante para la cesión de sus datos de carácter personal al Servicio en la medida en que sean necesarios para que éste preste los servicios de certificación. La licencia firmada quedará archivada en la Unidad de Tramitación Central durante quince (15) años. 4.3.3.5. Certificado No Reconocido de Servidor de SSL El solicitante deberá firmar la licencia de uso del certificado, aceptando el mismo y de las presentes Condiciones de Certificación. La licencia incluirá necesariamente los siguientes contenidos: Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 34 de 63 Los datos personales del Solicitante: nombre y apellidos del Solicitante, Departamento, Empresa o Entidad final a la que pertenece, dirección de correo electrónico, y la dirección (URL) de la máquina donde va a instalarse. Una declaración del Solicitante en la que manifiesta haber recibido el certificado y en la que se compromete a utilizar de acuerdo con lo dispuesto en el Reglamento y en las presentes Condiciones de Certificación. El consentimiento del solicitante para la cesión de sus datos de carácter personal al Servicio en la medida en que sean necesarios para que éste preste los servicios de certificación. La licencia firmada quedará archivada en la Unidad de Tramitación Central durante quince (15) años. 4.4. Ac e p ta c ió n d e l c e rtific a d o 4.4.1. Me c a n is m o d e a c e p ta c ió n d e l c e rtific a d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.4.2. P u b lic a c ió n d e l c e rtific a d o p o r la CA Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.4.3. No tific a c ió n d e la e m is ió n d e l c e rtific a d o p o r la CA a o tra s Au to rid a d e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.5. P a r d e c la ve s y u s o d e l c e rtific a d o 4.5.1. Us o d e la c la ve p riva d a y d e l c e rtific a d o po r e l titu la r Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.5.2. Us o d e la c la ve p ú b lic a y d e l c e rtific a d o po r lo s te rc e ro s a c e p ta n te s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.6. Re n o va c ió n d e c e rtific a d o s s in c a m b io d e c la ve s 4.6.1. Circ u n s ta n c ia s pa ra la re n o va c ió n d e c e rtific a d o s s in c a m b io de c la ve s No estipulado. 4.6.2. Qu ié n p u e d e s o lic ita r la re n o va c ió n d e lo s c e rtific a d o s s in c a m b io d e c la ve s No estipulado. 4.6.3. Tra m ita c ió n de la s pe tic io n e s d e re n o va c ió n d e c e rtific a d os s in c a m b io d e c la ve s No estipulado. 4.6.4. No tific a c ió n d e la e m is ió n d e u n n u e vo c e rtific a d o a l titu la r No estipulado. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 35 de 63 4.6.5. Fo rm a d e a c e p ta c ió n d e l c e rtific a d o s in c a m b io d e c la ve s No estipulado. 4.6.6. P u b lic a c ió n d e l c e rtific a d o s in c a m b io d e c la ve s p o r la CA No estipulado. 4.6.7. No tific a c ió n d e la e m is ió n d e l c e rtific a d o p o r la CA a o tra s Au to rid a d e s No estipulado. 4.7. Re n o va c ió n d e c e rtific a d o s c o n c a m b io d e c la ve s Los certificados digitales que emite el CORPME son susceptibles de renovación siempre con cambio de claves. Caducado o extinguido un certificado digital, por agotarse el periodo de vigencia del mismo o por concurrir alguna de las causas de extinción recogidas en la Declaración de Practicas de Certificación del CORPME, únicamente cabrá solicitar un nuevo certificado digital. El procedimiento será el mismo que para la emisión de un nuevo certificado. De todas formas, la Unidad de Tramitación Central notificará al suscriptor por correo electrónico la futura expiración de los certificados, con al menos dos (2) meses de antelación a la fecha en que se produzca, indicando al suscriptor los pasos a seguir para la obtención de un nuevo certificado. La solicitud de renovación del certificado puede ser: Presencial: Se tratará igual que una emisión inicial. No presencial: Se aplica a usuarios con un certificado activo, dentro del período de renovación definido como dos (2) meses antes de la fecha de caducidad del certificado. Únicamente se permitirá realizar una renovación no presencial una vez, la siguiente el usuario está obligado a renovar presencialmente su certificado, según dicta la normativa de firma digital. 4.7.1. Circ u n s ta n c ia s pa ra u n a re n o va c ió n c o n c a m b io c la ve s d e u n c e rtific a d o Algunos de los motivos, entre otros, por los que se puede renovar un certificado son: Expiración del periodo de validez. Cambio de datos contenidos en el certificado. Claves comprometidas o pérdida de fiabilidad de las mismas. Cambio de formato. Todas las renovaciones de certificados del PSC del CORPME se realizarán con cambio de claves. 4.7.2. Qu ié n p u e d e pe d ir la re n o va c ió n d e lo s c e rtific a d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.7.3. Tra m ita c ió n d e la s pe tic io n e s d e re n o va c ió n d e c e rtific a d o s c o n c a m b io d e c la ve s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.7.4. No tific a c ió n d e la e m is ió n d e u n n u e vo c e rtific a d o a l titu la r Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 36 de 63 4.7.5. Fo rm a d e a c e p ta c ió n d e l c e rtific a d o c o n la s c la ve s c a m b ia da s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.7.6. P u b lic a c ió n d e l c e rtific a d o c o n la s n u e va s c la ve s p o r la CA Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.7.7. No tific a c ió n d e la e m is ió n d e l c e rtific a d o p o r la CA a o tra s Au to rid a d e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.8. Mo d ific a c ió n d e c e rtific a d o s Se habla de modificación de un certificado cuando se emite uno nuevo debido a cambios en la información del certificado no relacionados con su clave pública o expiración del periodo de validez. Las modificaciones de los certificados pueden venir dadas por diferentes motivos tales como: Cambio de nombre. Cambio en las funciones dentro de la organización. Reorganización como resultado del cambio en el nombre distintivo. Todas las modificaciones de certificados realizadas en el ámbito de esta PC se tratarán como una renovación de certificados, por lo que son de aplicación los apartados anteriores al respecto. 4.8.1. Circ u n s ta n c ia s pa ra la m o d ific a c ió n d e u n c e rtific a d o No estipulado. 4.8.2. Qu ié n p u e d e s o lic ita r la m o d ific a c ió n de los c e rtific a d o s No estipulado. 4.8.3. Tra m ita c ió n de la s p e tic io n e s de m o d ific a c ió n d e c e rtific a d o s No estipulado. 4.8.4. No tific a c ió n d e la e m is ió n d e u n c e rtific a do m o d ific a d o a l titu la r No estipulado. 4.8.5. Fo rm a d e a c e p ta c ió n d e l c e rtific a d o m o d ific a d o No estipulado. 4.8.6. P u b lic a c ió n d e l c e rtific a d o m o d ific a d o p o r la CA No estipulado. 4.8.7. No tific a c ió n d e la m o d ific a c ió n d e l c e rtific a d o p o r la CA a o tra s Au to rid a d e s No estipulado. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 37 de 63 4.9. Re vo c a c ió n y s u s p e n s ió n d e c e rtific a d o s 4.9.1. Circ u n s ta n c ia s pa ra la re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.2. Qu ié n p u e d e s o lic ita r la re vo c a c ió n Solamente podrá solicitar la revocación de los certificados el titular de los mismos. Para el caso particular de los Certificados no Reconocidos SSL, la revocación se solicitará mediante el representante de los mismos. 4.9.3. P ro c e d im ie n to d e s olic itu d d e re vo c a c ió n La revocación puede hacerse de dos formas: Forma presencial: Para solicitar la revocación del certificado de forma presencial el suscriptor deberá personarse ante la Unidad de Tramitación Central o ante aquella que emitió el certificado. El operador comprobará la identidad del solicitante y procederá a la revocación del certificado, guardando la solicitud de revocación firmada durante quince (15) años. Forma remota: Por causa de urgencia mediante una llamada telefónica a su Servicio de Asistencia Telefónica, como así queda recogido en el procedimiento interno que dispone el CORPME. Igualmente, la revocación se podrá realizar firmando una solicitud electrónica de revocación con certificado reconocido vigente del mismo titular. La revocación se realizará de forma automática, bajo la única responsabilidad del suscriptor. 4.9.4. P e rio d o d e g ra c ia d e la s o lic itu d d e re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.5. P la zo e n e l q u e la CA d e b e re s o lve r la s o lic itu d d e re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.6. Re q u is ito s d e ve rific a c ió n d e la s re vo c a c io n e s p o r lo s te rc e ro s q u e c o n fía n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.7. Fre c u e n c ia d e e m is ión d e CRL Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.8. Tie m p o m á xim o e n tre la ge n e ra c ió n y la p u b lic a c ió n d e la s CRL Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.9. Dis p o n ib ilid a d d e u n s is te m a e n lín e a d e ve rific a c ió n de l e s ta d o d e los c e rtific a d os Además de la publicación de las CRL’s, el CORPME dispone de un servicio OCSP de validación de certificados, que implementa la “RFC6960 - X.509 Internet Public Key Infrastructure Online Certificate Status Protocol”, en los que se puede consultar el estado de revocación de un determinado certificado emitido por el PSC del CORPME. La dirección URL de acceso se encuentra publicada en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 38 de 63 4.9.10. Re q u is ito s d e c o m p ro b a c ió n e n lín e a d e re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.11. Otra s fo rm a s d e d ivu lg a c ió n d e in fo rm a c ió n d e re vo c a c ió n d is p o n ib le s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.12. Re q u is ito s e s p e c ia le s d e re vo c a c ió n d e c la ve s c o m p ro m e tid a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.13. Ca u s a s pa ra la s u s p e n s ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.14. Qu ié n p u e d e s o lic ita r la s us p e n s ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.15. P ro c e d im ie n to p a ra la s o lic itu d d e s us p e ns ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.16. Lím ite s d e l p e rio d o de s u s pe n s ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.10. S e rvic io s d e in fo rm a c ió n d e l e s ta d o d e c e rtific a d o s 4.10.1. Ca ra c te rís tic a s o p e ra tiva s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.10.2. Dis p o n ib ilid a d d e l s e rvic io Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.10.3. Ca ra c te rís tic a s a d ic io n a le s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.11. Extin c ió n d e la va lid e z d e u n c e rtific a d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.12. Cu s to d ia y re c u p e ra c ió n d e c la ve s 4.12.1. P rá c tic a s y p o lític a s d e c u s to d ia y re c u p e ra c ió n d e c la ve s No estipulado. 4.12.2. P rá c tic a s y p o lític a s d e p ro te c c ió n y re c u p e ra c ió n de la c la ve d e s e s ió n No estipulado. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 5. Fecha: 19/09/2016 Página 39 de 63 CONTROLES DE S EGURIDAD Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1. S e g u rid a d fís ic a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.1. Ub ic a c ió n y m e d id a s d e s e g u rid a d fís ic a de la s in s ta la c io n e s de CORP ME Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.2. Ac c e s o fís ic o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.3. S u m in is tro e lé c tric o y a c o n d ic io n a m ie n to a m b ie n ta l d e la s ins ta la c io n e s d e l CORP ME Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.4. Exp o s ic ió n a l a g u a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.5. Me d id a s c o n tra in c e n d io s e in u n d a c io n e s . Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.6. S is te m a d e a lm a c e n a m ie n to Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.7. Elim in a c ió n d e re s idu o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.8. P o lític a de Re s p a ld o d e In fo rm a c ió n . Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.2. Co n tro le s d e pro c e d im ie n to Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.2.1. Ro le s re s p o n s a b le s d e l c o n tro l y g e s tió n d e la P KI d e l CORP ME Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.2.2. Nú m e ro d e p e rs o n a s re q u e rid a s p o r ta re a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 40 de 63 5.2.3. Ro le s q u e re q u ie re n s e g re g a c ió n d e fu n c io n e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3. Co n tro le s d e p e rs o n a l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.1. Re q u is ito s re la tivo s a la c u a lific a c ió n , c o n o c im ie n to y e xp e rie nc ia p ro fe s io n a le s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.2. P ro c e d im ie n to s d e c o m p ro b a c ió n d e a n te c e d e n te s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.3. Re q u e rim ie n to s de form a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.4. Re q u e rim ie n to s y fre c u e n c ia d e a c tu a liza c ió n d e la fo rm a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.5. Fre c u e n c ia y s e c u e n c ia d e ro ta c ió n de ta re a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.6. S a n c io n e s p o r a c tu a c io n e s n o a u to riza d a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.7. Re q u is ito s d e c o n tra ta c ió n d e te rc e ro s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.8. Do c u m e n ta c ió n p ro po rc io n a d a a l p e rs o n a l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4. P ro c e d im ie n to s de a u d ito ría d e s e gu rid a d Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.1. Tip o s d e e ve n to s re gis tra d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.2. Fre c u e n c ia d e p ro c e s a d o d e re g is tro s d e a u d ito ría Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.3. P e rio d o d e c o n s e rva c ió n d e los re g is tro s d e a u d ito ría Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 41 de 63 5.4.4. P ro te c c ió n de lo s re gis tro s d e a u d ito ría Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.5. P ro c e d im ie n to s d e re s p a ld o d e lo s re g is tro s d e a u d ito ría Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.6. S is te m a d e re c o g id a d e in fo rm a c ió n de a ud ito ría (in te rn o vs e xte rn o ) Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.7. No tific a c ió n a l s u je to c a u s a d e l e ve n to Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.8. An á lis is d e vu ln e ra b ilid a d e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5. Arc h iva d o d e re g is tro s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.1. Tip o d e e ve n to s a rc hiva d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.2. P e rio d o d e c o n s e rva c ió n d e re g is tro s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.3. P ro te c c ió n de l a rc h ivo Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.4. P ro c e d im ie n to s d e c o p ia d e re s p a ld o de l a rc h ivo Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.5. Re q u e rim ie n to s pa ra e l s e lla d o de tie m p o d e lo s re g is tro s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.6. S is te m a d e a rc h ivo d e in fo rm a c ió n de a u dito ría (in te rn o vs e xte rn o ) Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.7. P ro c e d im ie n to s p a ra o b te n e r y ve rific a r in fo rm a c ió n a rc h iva d a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.6. Ca m b io d e c la ve s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 42 de 63 5.7. Re c u p e ra c ió n a n te c o m p ro m is o d e c la ve o c a tá s tro fe Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.7.1. P ro c e d im ie n to s d e ge s tió n d e inc id e n te s y c o m p ro m is o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.7.2. Alte ra c ió n d e lo s re c u rs o s h a rdwa re , s o ftwa re y/o d a to s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.7.3. P ro c e d im ie n to d e a c tu a c ió n a n te e l c o m p ro m is o d e la c la ve p riva d a d e u n a Au to rid a d Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.7.4. In s ta la c ió n d e s p ué s d e u n d e s a s tre na tu ra l u o tro tip o d e c a tá s tro fe Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.8. Ce s e d e u n a CA o RA Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.8.1. Au to rid a d d e Ce rtific a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.8.2. Au to rid a d d e Re g is tro Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 43 de 63 6. CONTROLES DE S EGURIDAD TÉCNICA 6.1. Ge n e ra c ió n e in s ta la c ió n d e l p a r d e c la ve s 6.1.1. Ge n e ra c ió n d e l p a r de c la ve s Las claves de suscriptor, que tendrán una longitud de 2048 bits para todos los certificados. Para los Certificados Reconocidos (Registradores, Personal Interno, y Sello para Facturación Electrónica) son generadas siempre durante la comparecencia del solicitante y con su intervención personal en el proceso de asignación de claves. Para los Certificados no Reconocidos (Procedimientos Registrales y SSL) y el Reconocido de Sede Electrónica no es necesaria la comparecencia personal del solicitante y se generarán las claves en el dispositivo y una petición de certificado que se facilitará a la Unidad de Tramitación Central. 6.1.2. En tre g a d e la c la ve p riva d a a l titu la r Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.1.3. En tre g a d e la c la ve p ú b lic a a l e m is o r de l c e rtific a d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.1.4. En tre g a d e la c la ve p ú b lic a d e la CA a lo s te rc e ro s q u e c o n fía n La clave pública de las CA del PSC del CORPME está a disposición de los terceros que confían en el directorio web del CORPME, definido en el apartado 2.1 de esta PC. 6.1.5. Ta m a ñ o d e la s c la ve s El tamaño de las claves de los certificados internos es de 2048 bits. 6.1.6. P a rá m e tro s d e ge n e ra c ió n d e la c la ve p ú b lic a y ve rific a c ió n d e la c a lid a d La clave pública de los certificados internos está codificada de acuerdo con RFC6818. 6.1.7. Us o s a d m itid o s d e la c la ve (c a m p o Ke yUs a g e d e X.509 v3) Los usos admitidos de la clave para los certificados internos vienen dados por el valor de las extensiones Key Usage y Extended Key Usage de los mismos. El contenido de dichas extensiones para cada uno de los tipos de certificados externos se puede consultar en el apartado 7.1.2 del presente documento. 6.2. P ro te c c ió n d e la c la ve p riva d a y c o n tro le s d e in g e n ie ría d e lo s m ó d u lo s 6.2.1. Es tá n d a re s p a ra los m ó d u lo s c rip to g rá fic o s Los módulos utilizados para la creación de claves utilizadas por las CA del PSC del CORPME cumplan con la certificación FIPS 140-2 de nivel 3. 6.2.2. Co n tro l m u ltip e rs o n a (k d e n ) d e la c la ve p riva d a Las claves privadas de los certificados internos no se encuentran bajo control multipersona. El control de dicha clave privada recae enteramente sobre el suscriptor. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 44 de 63 6.2.3. Cu s to d ia d e la c la ve p riva d a La custodia de las claves privadas de los certificados internos la realizan los propios titulares de las mismas. 6.2.4. Co p ia d e s e g u rid a d de la c la ve p riva d a En ningún caso se realizarán copias de seguridad de las claves privadas de firma de los certificados internos para garantizar el no repudio. 6.2.5. Arc h ivo d e la c la ve p riva d a Las claves privadas de firma de los certificados internos nunca serán archivadas para garantizar el no repudio. 6.2.6. Tra n s fe re nc ia de la c la ve p riva d a a o d e s de e l m ó d u lo c rip to g rá fic o En ningún caso es posible transferir las claves privadas de firma de los certificados internos para garantizar el no repudio. 6.2.7. Alm a c e n a m ie n to d e la c la ve p riva d a e n u n m ó d u lo c rip to g rá fic o Las claves privadas de firma de los certificados internos se generan en el dispositivo criptográfico en el momento de la generación de los certificados. 6.2.8. Mé to d o d e a c tiva c ió n d e la c la ve p riva d a La activación de la clave privada la podrá efectuar el titular de la misma mediante el uso de su PIN. 6.2.9. Mé to d o d e d e s a c tiva c ió n d e la c la ve p riva d a No estipulado 6.2.10. Mé to d o d e d e s tru c c ió n d e la c la ve p riva d a No estipulado 6.2.11. Cla s ific a c ió n de lo s m ó d u lo s c rip to g rá fic o s Los módulos criptográficos utilizados cumplen el estándar FIPS 140-2 nivel 3. 6.3. Otro s a s p e c to s d e la g e s tió n d e l p a r d e c la ve s 6.3.1. Arc h ivo d e la c la ve p ú b lic a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.3.2. P e rio d o s o pe ra tivo s d e lo s c e rtific a d o s y p e rio d o d e u s o pa ra e l pa r d e c la ve s El periodo de validez de los certificados internos es de dos (2) años desde el momento de emisión del mismo, salvo para los certificados SSL, que será bajo petición del solicitante entre una vigencia mínima de un (1) año, y una vigencia máxima de cinco (5) años, así como los certificados de procedimientos registrales cuya duración será de (3) años. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 45 de 63 6.4. Da to s d e a c tiva c ió n 6.4.1. Ge n e ra c ió n e in s ta la c ió n d e los d a to s de a c tiva c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.4.2. P ro te c c ió n de lo s d a to s d e a c tiva c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.4.3. Otro s a s pe c to s d e los d a to s d e a c tiva c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.5. Co n tro le s d e s e g u rid a d in fo rm á tic a 6.5.1. Re q u e rim ie n to s té c n ic o s d e s e g u rida d e s pe c ífic os Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.5.2. Eva lu a c ió n d e la s e gu rid a d in fo rm á tic a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.6. Co n tro le s d e s e g u rid a d d e l c ic lo d e vid a 6.6.1. Co n tro le s d e d e s a rrollo d e s is te m a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.6.2. Co n tro le s d e g e s tió n d e s e g u rida d Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.6.3. Co n tro le s d e s e g u rida d d e l c ic lo de vid a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.7. Co n tro le s d e s e g u rid a d d e la re d Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.8. S e lla d o d e tie m p o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 46 de 63 7. P ERFILES DE LOS CERTIFICADOS , CRL Y OCS P 7.1. P e rfil d e c e rtific a d o 7.1.1. Nú m e ro d e ve rs ió n Los certificados están firmados electrónicamente por el CORPME con la clave privada correspondiente a la clase de los certificados internos y se emiten de acuerdo con el estándar de la Unión Internacional de Telecomunicaciones, número X-509, versión 3. 7.1.2. Exte n s io n e s d e l c e rtific a d o Las extensiones utilizadas de forma genérica en los certificados son: Subject Key Identifier Certificate Policies Basic Constraints Key Usage Thumbprint algorithm Thumbprint Subject Alternative Names CRL Distribution Points Extensiones de certificado cualificado EU (EU-qualified) 7.1.2.1. o Qualified Certificate Statements o QCSyntax v2 o EU Qualified Certificate Policy Identifier Certificado Reconocido de Registrador A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Campo Contenido Propuesto Crítica Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Interna 3. Validity 2 años 4. Subject Public Key Info Algoritmo: RSA Encryption Longitud: 2048 bits de los Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1.17276.0.1.1.2 Fecha: 19/09/2016 Página 47 de 63 5.2 Policy Qualifier ID 5.2.1 CPS Pointer http://pki.registradores.org/normativa/index.h tm 5.2.2 User Notice Certificado Reconocido de Registrador, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) NO 5.3 EU Qualified Certificate Policy Identifier En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QCP-natural-qscd (0.4.0.194112.1.2) Rfc822Name = correo_registrador@registradores.org UPN = UserID@Domain UPN OtherName OID es: “1.3.6.1.4.1.311.20.2.3” El valor “UPN OtherName“ se debe codificar en UTF8 6. Subject Alternative Names 1.3.6.1.4.1.17276.1.0.0.1:Dirección Postal NO 1.3.6.1.4.1.17276.1.0.0.2 Nombre [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such identities. Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. 1.3.6.1.4.1.17276.1.0.0.3 Apellido1 1.3.6.1.4.1.17276.1.0.0.4 Apellido2 1.3.6.1.4.1.17276.1.0.0.5 NIF 1.3.6.1.4.1.17276.1.1.1.1:Situación del Registrador (1) HTTP: http://pki.registradores.org/crls/crl_int_psc_c orpme.crl NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. (2) LDAP: 7. crlDistributionPoint 8. Authority Information Access (AIA) ldap://ldap.registradores.org/ CN=AC%20INTERNA, O=Colegio%20de%20Registradores%20– %20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Interna): http://pki.registradores.org/certificados/ac_int _psc_corpme.crt 9. KeyUsage 10. extKeyUsage Digital Signature Non Repudiation Key Agreement clientAuth emailProtection Microsoft SmartCardLogon SI NO Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 48 de 63 11. Qualified Certificate Statements QCCompliance (0.4.0.1862.1.1) QcEuRetentionPeriod (0.4.0.1862.1.3) = 15 años QCSSCD (0.4.0.1862.1.4) QcPDS (0.4.0.1862.1.5) = https://pki.registradores.org/normativa/ en/tsp_information.htm QcType-esign (0.4.0.1862.1.6.1) NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI 12. QCSyntax-v2 id-etsi-qcs-SemanticsId-Natural (0.4.0.194121.1.1) NO QcSemantics para persona física 13. Restricciones básicas Entidad Final = TRUE SI 7.1.2.2. Certificado Reconocido de Personal Interno A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Campo Contenido Propuesto Crítica Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Interna 3. Validity 4. Subject Public Key Info de los 2 años Algoritmo: RSA Encryption Longitud: 2048 bits 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1.17276.0.1.2.2 5.2 Policy Qualifier ID 5.2.1 CPS Pointer 5.2.2 User Notice http://pki.registradores.org/normativa/ind ex.htm Certificado Reconocido de Personal Interno de los Registros, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) 5.3 EU Qualified Certificate Policy Identifier QCP-natural-qscd (0.4.0.194112.1.2) 6. Subject Alternative Names Rfc822Name = correo_corporativo@domain.com UPN = UserID@Domain NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI NO [RFC5280]: Conforming implementations generating new certificates with electronic mail Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 UPN OtherName OID es: “1.3.6.1.4.1.311.20.2.3” El valor “UPN OtherName“ se debe codificar en UTF8 Página 49 de 63 addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such identities. 1.3.6.1.4.1.17276.1.0.0.1: Dirección Postal Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. 1.3.6.1.4.1.17276.1.0.0.2: Nombre 1.3.6.1.4.1.17276.1.0.0.3: Apellido1 1.3.6.1.4.1.17276.1.0.0.4: Apellido2 1.3.6.1.4.1.17276.1.0.0.5: NIF 1.3.6.1.4.1.17276.1.1.2.1: Subtipo 1.3.6.1.4.1.17276.1.1.2.2: Organización 1.3.6.1.4.1.17276.1.1.2.3: Cargo 7. crlDistributionPoint (1) HTTP: http://pki.registradores.org/crls/crl_int_p sc_corpme.crl NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. (2) LDAP: ldap://ldap.registradores.org/ CN=AC%20INTERNA, O=Colegio%20de%20Registradores% 20–%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint 8. Authority Information Access (AIA) Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Interna): http://pki.registradores.org/certificados/a c_int_psc_corpme.crt 9. KeyUsage 10. extKeyUsage 11. Qualified Certificate Statements Digital Signature Non Repudiation Key Agreement clientAuth emailProtection Microsoft SmartCardLogon QCCompliance (0.4.0.1862.1.1) QcEuRetentionPeriod (0.4.0.1862.1.3) = 15 años QCSSCD (0.4.0.1862.1.4) QcPDS (0.4.0.1862.1.5) = https://pki.registradores.org/norma tiva/en/tsp_information.htm QcType-esign (0.4.0.1862.1.6.1) SI NO NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QcSemantics para persona física 12. QCSyntax-v2 id-etsi-qcs-SemanticsId-Natural (0.4.0.194121.1.1) NO 13. Restricciones básicas Entidad Final = TRUE SI 7.1.2.3. Certificado Reconocido de Sello para Facturación Electrónica A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Campo Fecha: 19/09/2016 Contenido Propuesto Crítica Página 50 de 63 Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Interna 3. Validity 4. Subject Public Key Info de los 2 años Algoritmo: RSA Encryption Longitud: 2048 bits 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1.17276.0.1.4.1 5.2 Policy Qualifier ID 5.2.1 CPS Pointer 5.2.2 User Notice 5.3 EU Qualified Certificate Policy Identifier http://pki.registradores.org/normativa/ind ex.htm Certificado Reconocido de Sello para Facturación Electrónica, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QCP-l-qscd (0.4.0.194112.1.3) 6. Subject Alternative Names [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such identities. Rfc822Name = correo_cargo@domain.org 1.3.6.1.4.1.17276.1.0.0.1: Dirección Postal NO Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. 2.16.724.1.3.5.6.1.1: SELLO ELECTRONICO Requerido por RD 668/2015 (LAESCP) 2.16.724.1.3.5.6.1.2: Organización 2.16.724.1.3.5.6.1.3: NIF Entidad Propietaria 7. crlDistributionPoint (1) HTTP: http://pki.registradores.org/crls/crl_int_p sc_corpme.crl NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 (2) LDAP: Por tanto, se utilizarán los protocolos HTTP y LDAP. ldap://ldap.registradores.org/ CN=AC%20INTERNA, O=Colegio%20de%20Registradores% 20–%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint 8. Authority Information Access (AIA) Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Interna): NO http://pki.registradores.org/certificados/a c_int_psc_corpme.crt 9. KeyUsage 10. extKeyUsage 11. Qualified Certificate Statements Digital Signature Non Repudiation Key Encipherment clientAuth emailProtection QCCompliance (0.4.0.1862.1.1) QcEuRetentionPeriod (0.4.0.1862.1.3) = 15 años QCSSCD (0.4.0.1862.1.4) QcPDS (0.4.0.1862.1.5) = https://pki.registradores.org/norma tiva/en/tsp_information.htm QcType-eseal (0.4.0.1862.1.6.2) Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. SI NO NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QcSemantics para persona jurídica 12. QCSyntax-v2 id-etsi-qcs-SemanticsId-Legal (0.4.0.194121.1.2) NO 13. Restricciones básicas Entidad Final = TRUE SI 7.1.2.4. Página 51 de 63 Certificado Reconocido de Sede Electrónica A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Campo Contenido Propuesto Crítica Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Interna 3. Validity 2 años de los Coincide con el campo asunto del certificado de la AC Subordinada Interna. Todos los DirectoryString codificados en UTF8. El atributo “C” (countryName) se codificará de acuerdo a “ISO code 3166-1-alpha-2 elements”, en PrintableString. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 4. Subject Public Key Info Fecha: 19/09/2016 Página 52 de 63 Algoritmo: RSA Encryption Longitud: 2048 bits 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1.17276.0.1.8.1 5.2 Policy Qualifier ID 5.2.1 CPS Pointer http://pki.registradores.org/ normativa/index.htm 5.2.2 User Notice Certificado de Sede Electrónica, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) 5.3 EU Qualified Certificate Policy Identifier QCP-w (0.4.0.194112.1.4) RFC 5280:. “PolicyInformation SHOULD only contain an OID.” NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such identities. Rfc822Name=correo_responsable@do main.com dnsName=igual al establecido en el CN del certificado 6. Subject Names Alternative NO Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. 2.16.724.1.3.5.5.2.1: SEDE ELECTRONICA 2.16.724.1.3.5.5.2.2: Entidad propietaria 2.16.724.1.3.5.5.2.3: NIF Entidad Propietaria Requerido (LAESCP) 2.16.724.1.3.5.5.2.4: Nombre descriptivo de la Sede electrónica. por RD 668/2015 2.16.724.1.3.5.5.2.5: Nombre DNS tal y como aparece en el CN (1) HTTP: http://pki.registradores.org/crls/crl_int_p sc_corpme.crl 7. crlDistributionPoint 8. Authority Information Access (AIA) (2) LDAP: ldap://ldap.registradores.org/ CN=AC%20INTERNA, O=Colegio%20de%20Registradores% 20–%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Access Location (AC Subordinada Interna): http://pki.registradores.org/certificados/a c_int_psc_corpme.crt Digital Signature Key Encipherment 9. KeyUsage Por tanto, se utilizarán los protocolos HTTP y LDAP. SI 10. extKeyUsage serverAuth 11. Qualified Statements QCCompliance (0.4.0.1862.1.1) QcEuRetentionPeriod (0.4.0.1862.1.3) = 15 años QcPDS (0.4.0.1862.1.5) = https://pki.registradores.org/norma tiva/en/tsp_information.htm QcType-web (0.4.0.1862.1.6.3) NO Entidad Final = TRUE SI Certificate 12. Restricciones básicas 7.1.2.5. Página 53 de 63 NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI Certificado No Reconocido para Procedimientos Registrales A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Campo Contenido Propuesto Crítica Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. Coincide con el campo asunto del certificado de la AC Subordinada Interna. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer Todos los DirectoryString codificados en UTF8. El atributo “C” (countryName) se codificará de acuerdo a “ISO code 3166-1-alpha-2 elements”, en PrintableString. O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Interna 3. Validity 3 años 4. Subject Public Key Info Algoritmo: RSA Encryption 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1.17276.0.1.3.2 de los Longitud: 2048 bits 5.2 Policy Qualifier ID 5.2.1 CPS Pointer http://pki.registradores.org/normativa/index .htm 5.2.2 User Notice Certificado de Procedimientos Registrales, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) NO RFC 5280: “PolicyInformation SHOULD only contain an OID.” Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Rfc822Name=correo_responsable@doma in.com 6. Subject Alternative Names NO 1.3.6.1.4.1.17276 .1.0.0.1: Dirección Página 54 de 63 [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such identities. Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. Postal 1.3.6.1.4.1.17276 .1.1.6.1: operador (1) HTTP: http://pki.registradores.org/crls/crl_int_psc _corpme.crl 7. crlDistributionPoint 8. Authority Information Access (AIA) 9. KeyUsage 10. extKeyUsage 11. Restricciones básicas 7.1.2.6. (2) LDAP: ldap://ldap.registradores.org/ CN=AC%20INTERNA, O=Colegio%20de%20Registradores%20 –%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Interna): http://pki.registradores.org/certificados/ac_ int_psc_corpme.crt Digital Signature Non Repudiation Key Agreement clientAuth serverAuth Entidad Final = TRUE NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. SI NO SI Certificado No Reconocido de SSL genérico A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Campo Contenido Propuesto Crítica Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption C=ES, 2. Issuer organizationIdentifier=VATES-Q2863012G, O=Colegio de Registradores de la Propiedad y Mercantiles, Norma PKCS#1 v2.1 y RFC 3447. Coincide con el campo asunto del certificado de la AC Subordinada Interna. Todos los DirectoryString codificados en UTF8. El atributo “C” (countryName) se Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 CN=Autoridad de Certificación Registradores - AC Interna de Fecha: 19/09/2016 los Página 55 de 63 codificará de acuerdo a “ISO 3166-1-alpha-2 code elements”, en PrintableString. 2 años 3. Validity 4. Subject Public Key Info Algoritmo: RSA Encryption Longitud: 2048 bits 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1.17276.0.1.6.2 5.2 Policy Qualifier ID 5.2.1 CPS Pointer http://pki.registradores.org/ normativa/index.htm 5.2.2 User Notice Certificado de SSL genérico para Procesos Automatizados de los Servicios Centrales, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) 6. Subject Names Alternative Rfc822Name=correo_responsable@do main.com DNSName=al menos el nombre DNS del CN así como otros nombres DNS NO NO RFC 5280:. “PolicyInformation SHOULD only contain an OID.” [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such identities. Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. (1) HTTP: http://pki.registradores.org/crls/crl_int_p sc_corpme.crl 7. crlDistributionPoint 8. Authority Information Access (AIA) 9. KeyUsage (2) LDAP: ldap://ldap.registradores.org/ CN=AC%20INTERNA, O=Colegio%20de%20Registradores% 20–%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Interna): http://pki.registradores.org/certificados/a c_int_psc_corpme.crt Digital Signature Key Encipherment NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. SI Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 10. extKeyUsage 11. Restricciones básicas Fecha: 19/09/2016 Key Agreement clientAuth serverAuth Entidad Final = TRUE Página 56 de 63 NO SI 7.1.3. Id e n tific a d o re s d e o bje to (OID) d e lo s a lg oritm o s Identificador de Objeto (OID) de los algoritmos Criptográficos: 1.3.6.1.4.1.17276.0.1.0.1.0 7.1.4. Fo rm a to s d e n o m b re s Los certificados internos contienen el distinguished name X.500 del emisor y del titular del certificado en los campos issuer name y subject name respectivamente. 7.1.5. Re s tric c io n e s de lo s n o m b re s Las restricciones de los nombres se encuentran descritas en el apartado 3.1.1 del presente documento. 7.1.6. Id e n tific a d o r d e o b je to (OID) d e la P olític a d e Ce rtific a c ió n Los OID para esta PC son los siguientes: Certificado Reconocido Registradores: 1.3.6.1.4.1.17276.0.1.1.2 Certificados Reconocidos de Personal Interno: 1.3.6.1.4.1.17276.0.1.2.2 Certificados Reconocidos de Sello para Facturación Electrónica: 1.3.6.1.4.1.17276.0.1.4.1 Certificado Reconocido de Sede Electrónica: 1.3.6.1.4.1.17276.0.1.8.1 Certificados no Reconocidos para Procedimientos Registrales: 1.3.6.1.4.1.17276.0.1.3.2 Certificados no Reconocidos de servidores SSL: 1.3.6.1.4.1.17276.0.1.6.2 7.1.7. Us o d e la e xte ns ió n “P o lic yCo n s tra in ts ” No estipulado. 7.1.8. S in ta xis y s e m á n tic a d e lo s “P olic yQu a lifie r” El contenido de la extensión Certificate Policies puede consultarse en el apartado 7.1.2 del presente documento. 7.1.9. Tra ta m ie n to s e m á n tic o p a ra la e xte n s ió n c rític a “Ce rtific a te P olic y” No estipulado. 7.2. P e rfil d e CRL 7.2.1. Nú m e ro d e ve rs ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 7.2.2. CRL y e xte n s io n e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 57 de 63 7.3. P e rfil d e OCS P 7.3.1. Nú m e ro (s ) d e ve rs ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 7.3.2. Exte n s io n e s OCS P Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 58 de 63 8. AUDITORÍAS DE CUMP LIMIENTO Y OTROS CONTROLES 8.1. Fre c u e n c ia o c irc u n s ta n c ia s d e lo s c o n trole s p a ra c a d a Au to rid a d Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 8.2. Id e n tific a c ió n /c u a lific a c ió n d e l a u d ito r Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 8.3. Re la c ió n e n tre e l a u d ito r y la Au to rid a d a u d ita d a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 8.4. As p e c to s c u b ie rto s p o r lo s c o n tro le s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 8.5. Ac c io n e s d e fic ie n c ia s a to m a r c o m o re s u lta d o d e la d e te c c ió n d e Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 8.6. Co m u n ic a c ió n d e re s u lta d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 59 de 63 9. OTRAS CUES TIONES LEGALES Y DE ACTIVIDAD 9.1. Ta rifa s 9.1.1. Ta rifa s de e m is ió n o re n o va c ió n d e c e rtific a d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.1.2. Ta rifa s de a c c e s o a lo s c e rtific a d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.1.3. Ta rifa s de a c c e s o a la in fo rm a c ió n de e s ta d o o re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.1.4. Ta rifa s de o tro s s e rvic io s ta le s c o m o in fo rm a c ió n d e p o lític a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.1.5. P o lític a de re e m b o ls o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.2. Re s p o n s a b ilid a d e s e c o n ó m ic a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.3. Co n fid e n c ia lid a d d e la in fo rm a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.3.1. Ám b ito d e la in fo rm a c ió n c o n fid e n c ia l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.3.2. In fo rm a c ió n n o c o n fid e n c ia l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.3.3. De b e r d e s e c re to p rofe s io n a l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.4. P ro te c c ió n d e la in fo rm a c ió n p e rs on a l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.5. De re c h o s d e pro p ie d a d in te le c tu a l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 60 de 63 9.6. Re p re s e n ta c io n e s y g a ra n tía s 9.6.1. Ob lig a c io ne s d e la s CA Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.6.2. Ob lig a c io ne s d e la s RA Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.6.3. Ob lig a c io ne s d e lo s titu la re s de lo s c e rtific a d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.6.4. Ob lig a c io ne s d e lo s te rc e ro s q u e c o n fía n o a c e p ta n lo s c e rtific a d o s d e l CORP ME Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.6.5. Ob lig a c io ne s d e o tro s p a rtic ipa n te s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.7. Exe n c ió n d e re s po n s a b ilid a d e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.8. Lim ita c io n e s d e la s re s p o n s a b ilid a de s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.9. In d e m n iza c io n e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.10. P e río d o d e va lid e z 9.10.1. P la zo Esta PC entra en vigor desde el momento de su publicación en el directorio web del PSC del CORPME y se mantendrá vigente mientras no se derogue expresamente por la emisión de una nueva versión o por la renovación de las claves de la Autoridad Certificadora de CORPME, momento en que obligatoriamente se dictará una nueva versión. 9.10.2. S u s titu c ió n y d e ro g a c ió n d e la P C Esta PC será sustituida por una nueva versión con independencia de la trascendencia de los cambios efectuados en la misma, de forma que siempre será de aplicación en su totalidad. Cuando la PC quede derogada se retirará del directorio web del PSC del CORPME, si bien se conservará durante quince (15) años. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 Fecha: 19/09/2016 Página 61 de 63 9.10.3. Efe c to s d e la fin a liza c ió n Las obligaciones y restricciones que establece esta PC, en referencia a auditorías, información confidencial, obligaciones y responsabilidades del PSC del CORPME, nacidas bajo su vigencia, subsistirán tras su sustitución o derogación por una nueva versión en todo en lo que no se oponga a ésta. 9.11. No tific a c io n e s p a rtic ip a n te s in d ivid u a le s y c o m u n ic a c io n e s con lo s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.12. P ro c e d im ie n to s de c a m bio s e n la s e s p e c ific a c io n e s 9.12.1. P ro c e d im ie n to p a ra lo s c a m b ios Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.12.2. Circ u n s ta n c ia s e n la s q u e e l OID d e be s e r c a m b ia d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.13. Re c la m a c io n e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.14. No rm a tiva a p lic a ble Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.15. Cu m p lim ie n to d e la n o rm a tiva a p lic a b le Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.16. Es tip u la c io n e s d ive rs a s 9.16.1. Clá u s u la de a c e p ta c ió n c o m p le ta Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.16.2. In d e p e n d e n c ia En el caso de que una o más estipulaciones de esta PC sean o llegasen a ser inválidas, nulas, o inexigibles legalmente, se entenderá por no puesta, salvo que dichas estipulaciones fueran esenciales de manera que al excluirlas de la PC careciera ésta de toda eficacia. 9.16.3. Re s o lu c ió n p o r la vía ju d ic ia l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Internos del CORPME Código: REG-PKI-DPC02v1.0.1 9.17. Otra s e s tip u la c io n e s No estipulado. Fecha: 19/09/2016 Página 62 de 63