Colegio de Registradores POLÍTICAS DE CERTIFICACIÓN DE CERTIFICADOS EXTERNOS DEL CORPME Prestador del Servicio de Certificación de CORPME Código: REG-PKI-DPC03 Versión: 1.0.1 Fecha: 19/09/16 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 1 de 67 Control documental Do c u m e n to / Fic h e ro Título: Políticas de Certificación de Certificados Externos del CORPME Nombre fichero: REG-PKI-DPC03v.1.0.1 Políticas de Certificación de Certificados Externos del CORPME.pdf Código: REG-PKI-DPC03 Soporte lógico: MS-DOCX y PDF Fecha: 19/09/2016 Ubicación física: http://pki.registradores.org/normativa/index.htm Versión: 1.0.1 Re g is tro d e c a m b io s Versión Fecha Motivo del cambio 0.0.2 17/06/2016 Revisión y envío para aprobación del documento. 1.0.0 20/06/2016 Aprobación del documento 1.0.1 19/09/2016 Añadido “IDCES” a Representante con y sin pers. Jurídica. Modificaciones LFE/2016/0071 Dis trib u c ió n d e l d o c u m e n to Nombre Área Público Público / Internet Co n tro l d e l d o c u m e n to Preparado Revisado Aprobado Aceptado Daniel Burgos Antonio Alé Óscar Yagüe Luis Alberto Lahoz 13/09/2016 14/09/2016 19/09/2016 19/09/2016 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 2 de 67 Índice 1. INTRODUCCIÓN 9 1.1. Visión general ............................................................................................................................. 9 1.2. Nombre del documento e identificación de la PC .................................................................... 10 1.3. Participantes en la infraestructura de clave pública (PKI) del prestador del Servicio de Certificación del Colegio de Registradores ........................................................................................ 10 1.3.1. 1.3.2. 1.3.3. 1.3.4. 1.3.5. 1.3.6. 1.3.7. 1.3.8. Prestador de Servicios de Certificación (PSC) ................................................................ 10 Autoridad de Aprobación de Políticas ............................................................................. 11 Autoridad de Certificación Raíz ....................................................................................... 11 Autoridades de Certificación Subordinadas .................................................................... 12 Autoridad de Registro ...................................................................................................... 13 Autoridad de Validación (VA)........................................................................................... 14 Autoridad de Sellado de Tiempo (TSA) ........................................................................... 14 Entidades finales ............................................................................................................. 14 1.4. Uso de los certificados ............................................................................................................. 15 1.4.1. 1.4.2. Usos adecuados de los certificados ................................................................................ 15 Limitaciones y restricciones en el uso de los certificados ............................................... 15 1.5. Administración de las políticas ................................................................................................. 15 1.5.1. Entidad Responsable ....................................................................................................... 15 1.5.2. Procedimiento de aprobación y modificación de la Declaración de Prácticas de Certificación.................................................................................................................................... 16 1.6. Datos de Contacto .................................................................................................................... 16 1.7. Definiciones y Acrónimos ......................................................................................................... 16 1.7.1. 1.7.2. Definiciones ..................................................................................................................... 16 Acrónimos ........................................................................................................................ 19 2. REP OS ITORIOS Y P UBLICACIÓN DE INFORMACIÓN 21 2.1. Directorio de Validación de Certificados .................................................................................. 21 2.2. Publicación de información de certificación ............................................................................. 21 2.3. Frecuencia de publicación ........................................................................................................ 22 2.4. Controles de acceso a la información de certificación ............................................................. 22 3. IDENTIFICACIÓN Y AUTENTICACIÓN 23 3.1. Nombres ................................................................................................................................... 23 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.1.5. 3.1.6. Tipos de nombres ............................................................................................................ 23 Necesidad de que los nombres sean significativos ......................................................... 26 Reglas para interpretar varios formatos de nombres ...................................................... 26 Unicidad de los nombres ................................................................................................. 26 Procedimientos de resolución de conflictos sobre nombres ........................................... 27 Reconocimiento, autenticación y papel de las marcas registradas................................. 27 3.2. Validación inicial de la identidad .............................................................................................. 27 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.2.5. 3.2.6. 3.2.7. Fecha: 19/09/2016 Página 3 de 67 Medio de prueba de posesión de la clave privada .......................................................... 27 Autenticación de la identidad de una persona jurídica o entidad sin personalidad jurídica 27 Autenticación de la identidad de una persona física ....................................................... 27 Autenticación de la identidad de un dispositivo ............................................................... 29 Información no verificada sobre el solicitante.................................................................. 29 Comprobación de las facultades de representación ....................................................... 29 Criterios para operar con CA externas ............................................................................ 29 3.3. Identificación y autenticación para solicitudes de renovación.................................................. 29 3.4. Identificación y autenticación para solicitudes de revocación .................................................. 30 4. REQUIS ITOS OP ERACIONALES P ARA EL CICLO DE VIDA DE LOS CERTIFICADOS 31 4.1. Solicitud de certificados ............................................................................................................ 31 4.1.1. 4.1.2. Quién puede efectuar una solicitud ................................................................................. 31 Registro de las solicitudes de certificados y responsabilidades de los solicitantes ........ 37 4.2. Tramitación de las solicitudes de certificados .......................................................................... 37 4.2.1. 4.2.2. 4.2.3. Realización de las funciones de identificación y autenticación ....................................... 37 Aprobación o denegación de las solicitudes de certificados ........................................... 37 Plazo para la tramitación de las solicitudes de certificados ............................................ 37 4.3. Emisión de certificados............................................................................................................. 38 4.3.1. 4.3.2. Actuaciones de la CA durante la emisión del certificado ................................................ 38 Notificación al solicitante de la emisión por la CA del certificado .................................... 38 4.4. Aceptación del certificado ........................................................................................................ 38 4.4.1. 4.4.2. 4.4.3. Mecanismo de aceptación del certificado ........................................................................ 38 Publicación del certificado por la CA ............................................................................... 38 Notificación de la emisión del certificado por la CA a otras Autoridades ........................ 38 4.5. Par de claves y uso del certificado ........................................................................................... 38 4.5.1. 4.5.2. Uso de la clave privada y del certificado por el titular ..................................................... 38 Uso de la clave pública y del certificado por los terceros aceptantes ............................. 39 4.6. Renovación de certificados sin cambio de claves .................................................................... 39 4.6.1. 4.6.2. 4.6.3. 4.6.4. 4.6.5. 4.6.6. 4.6.7. Circunstancias para la renovación de certificados sin cambio de claves........................ 39 Quién puede solicitar la renovación de los certificados sin cambio de claves ................ 39 Tramitación de las peticiones de renovación de certificados sin cambio de claves ....... 39 Notificación de la emisión de un nuevo certificado al titular ............................................ 39 Forma de aceptación del certificado sin cambio de claves ............................................. 39 Publicación del certificado sin cambio de claves por la CA ............................................ 39 Notificación de la emisión del certificado por la CA a otras Autoridades ........................ 39 4.7. Renovación de certificados con cambio de claves .................................................................. 39 4.7.1. 4.7.2. 4.7.3. 4.7.4. 4.7.5. 4.7.6. Circunstancias para una renovación con cambio claves de un certificado ..................... 40 Quién puede pedir la renovación de los certificados ....................................................... 40 Tramitación de las peticiones de renovación de certificados con cambio de claves ...... 40 Notificación de la emisión de un nuevo certificado al titular ............................................ 40 Forma de aceptación del certificado con las claves cambiadas ..................................... 40 Publicación del certificado con las nuevas claves por la CA ........................................... 40 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 4.7.7. Fecha: 19/09/2016 Página 4 de 67 Notificación de la emisión del certificado por la CA a otras Autoridades ........................ 40 4.8. Modificación de certificados ..................................................................................................... 40 4.8.1. 4.8.2. 4.8.3. 4.8.4. 4.8.5. 4.8.6. 4.8.7. Circunstancias para la modificación de un certificado .................................................... 40 Quién puede solicitar la modificación de los certificados ................................................ 40 Tramitación de las peticiones de modificación de certificados ........................................ 40 Notificación de la emisión de un certificado modificado al titular .................................... 40 Forma de aceptación del certificado modificado ............................................................. 40 Publicación del certificado modificado por la CA............................................................. 40 Notificación de la modificación del certificado por la CA a otras Autoridades ................ 40 4.9. Revocación y suspensión de certificados ................................................................................ 41 4.9.1. 4.9.2. 4.9.3. 4.9.4. 4.9.5. 4.9.6. 4.9.7. 4.9.8. 4.9.9. 4.9.10. 4.9.11. 4.9.12. 4.9.13. 4.9.14. 4.9.15. 4.9.16. Circunstancias para la revocación ................................................................................... 41 Quién puede solicitar la revocación ................................................................................. 41 Procedimiento de solicitud de revocación ....................................................................... 41 Periodo de gracia de la solicitud de revocación .............................................................. 41 Plazo en el que la CA debe resolver la solicitud de revocación ...................................... 41 Requisitos de verificación de las revocaciones por los terceros que confían ................. 41 Frecuencia de emisión de CRL ....................................................................................... 41 Tiempo máximo entre la generación y la publicación de las CRL................................... 41 Disponibilidad de un sistema en línea de verificación del estado de los certificados ..... 41 Requisitos de comprobación en línea de revocación ...................................................... 41 Otras formas de divulgación de información de revocación disponibles......................... 42 Requisitos especiales de revocación de claves comprometidas .................................... 42 Causas para la suspensión ............................................................................................. 42 Quién puede solicitar la suspensión ................................................................................ 42 Procedimiento para la solicitud de suspensión ............................................................... 42 Límites del periodo de suspensión .................................................................................. 42 4.10. Servicios de información del estado de certificados ................................................................ 42 4.10.1. Características operativas ............................................................................................... 42 4.10.2. Disponibilidad del servicio ............................................................................................... 42 4.10.3. Características adicionales .............................................................................................. 42 4.11. Extinción de la validez de un certificado .................................................................................. 42 4.12. Custodia y recuperación de claves .......................................................................................... 42 4.12.1. Prácticas y políticas de custodia y recuperación de claves ............................................ 42 4.12.2. Prácticas y políticas de protección y recuperación de la clave de sesión ....................... 42 5. CONTROLES DE S EGURIDAD 43 5.1. Controles Físicos ...................................................................................................................... 43 5.1.1. 5.1.2. 5.1.3. 5.1.4. 5.1.5. 5.1.6. 5.1.7. 5.1.8. Ubicación y medidas de seguridad física de las instalaciones de CORPME .................. 43 Acceso físico .................................................................................................................... 43 Suministro eléctrico y acondicionamiento ambiental de las instalaciones del CORPME 43 Exposición al agua ........................................................................................................... 43 Medidas contra incendios e inundaciones....................................................................... 43 Sistema de almacenamiento ........................................................................................... 43 Eliminación de residuos ................................................................................................... 43 Política de Respaldo de Información. .............................................................................. 43 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 5 de 67 5.2. Controles de procedimiento ..................................................................................................... 43 5.2.1. 5.2.2. 5.2.3. Roles responsables del control y gestión de la PKI del CORPME.................................. 43 Número de personas requeridas por tarea ...................................................................... 43 Roles que requieren segregación de funciones .............................................................. 43 5.3. Controles de personal .............................................................................................................. 44 5.3.1. 5.3.2. 5.3.3. 5.3.4. 5.3.5. 5.3.6. 5.3.7. 5.3.8. Requisitos relativos a la cualificación, conocimiento y experiencia profesionales .......... 44 Procedimientos de comprobación de antecedentes........................................................ 44 Requerimientos de formación .......................................................................................... 44 Requerimientos y frecuencia de actualización de la formación ...................................... 44 Frecuencia y secuencia de rotación de tareas ................................................................ 44 Sanciones por actuaciones no autorizadas ..................................................................... 44 Requisitos de contratación de terceros ........................................................................... 44 Documentación proporcionada al personal ..................................................................... 44 5.4. Procedimientos de auditoría de seguridad ............................................................................... 44 5.4.1. 5.4.2. 5.4.3. 5.4.4. 5.4.5. 5.4.6. 5.4.7. 5.4.8. Tipos de eventos registrados........................................................................................... 44 Frecuencia de procesado de registros de auditoría ........................................................ 44 Periodo de conservación de los registros de auditoría ................................................... 44 Protección de los registros de auditoría .......................................................................... 44 Procedimientos de respaldo de los registros de auditoría .............................................. 45 Sistema de recogida de información de auditoría (interno vs externo) ........................... 45 Notificación al sujeto causa del evento ........................................................................... 45 Análisis de vulnerabilidades ............................................................................................ 45 5.5. Archivado de registros .............................................................................................................. 45 5.5.1. 5.5.2. 5.5.3. 5.5.4. 5.5.5. 5.5.6. 5.5.7. Tipo de eventos archivados ............................................................................................. 45 Periodo de conservación de registros ............................................................................. 45 Protección del archivo ..................................................................................................... 45 Procedimientos de copia de respaldo del archivo ........................................................... 45 Requerimientos para el sellado de tiempo de los registros ............................................. 45 Sistema de archivo de información de auditoría (interno vs externo) ............................. 45 Procedimientos para obtener y verificar información archivada ...................................... 45 5.6. Cambio de claves ..................................................................................................................... 45 5.7. Recuperación ante compromiso de clave o catástrofe ............................................................ 45 5.7.1. 5.7.2. 5.7.3. 5.7.4. Procedimientos de gestión de incidentes y compromisos ............................................... 46 Alteración de los recursos hardware, software y/o datos ................................................ 46 Procedimiento de actuación ante el compromiso de la clave privada de una Autoridad 46 Instalación después de un desastre natural u otro tipo de catástrofe ............................. 46 5.8. Cese de una CA o RA .............................................................................................................. 46 5.8.1. 5.8.2. Autoridad de Certificación ................................................................................................ 46 Autoridad de Registro ...................................................................................................... 46 6. CONTROLES DE S EGURIDAD TÉCNICA 47 6.1. Generación e instalación del par de claves ............................................................................. 47 6.1.1. 6.1.2. Generación del par de claves .......................................................................................... 47 Entrega de la clave privada al titular ............................................................................... 47 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 6.1.3. 6.1.4. 6.1.5. 6.1.6. 6.1.7. Fecha: 19/09/2016 Página 6 de 67 Entrega de la clave pública al emisor del certificado ...................................................... 47 Entrega de la clave pública de la CA a los terceros que confían .................................... 47 Tamaño de las claves ...................................................................................................... 47 Parámetros de generación de la clave pública y verificación de la calidad .................... 47 Usos admitidos de la clave (campo KeyUsage de X.509 v3) .......................................... 47 6.2. Protección de la clave privada y controles de ingeniería de los módulos ................................ 47 6.2.1. 6.2.2. 6.2.3. 6.2.4. 6.2.5. 6.2.6. 6.2.7. 6.2.8. 6.2.9. 6.2.10. 6.2.11. Estándares para los módulos criptográficos .................................................................... 47 Control multipersona (k de n) de la clave privada ........................................................... 48 Custodia de la clave privada............................................................................................ 48 Copia de seguridad de la clave privada .......................................................................... 48 Archivo de la clave privada .............................................................................................. 48 Transferencia de la clave privada a o desde el módulo criptográfico ............................. 48 Almacenamiento de la clave privada en un módulo criptográfico ................................... 48 Método de activación de la clave privada ........................................................................ 48 Método de desactivación de la clave privada .................................................................. 48 Método de destrucción de la clave privada ..................................................................... 48 Clasificación de los módulos criptográficos ..................................................................... 48 6.3. Otros aspectos de la gestión del par de claves ....................................................................... 48 6.3.1. 6.3.2. Archivo de la clave pública .............................................................................................. 48 Periodos operativos de los certificados y periodo de uso para el par de claves ............. 48 6.4. Datos de activación .................................................................................................................. 49 6.4.1. 6.4.2. 6.4.3. Generación e instalación de los datos de activación ...................................................... 49 Protección de los datos de activación ............................................................................. 49 Otros aspectos de los datos de activación ...................................................................... 49 6.5. Controles de seguridad informática.......................................................................................... 49 6.5.1. 6.5.2. Requerimientos técnicos de seguridad específicos ........................................................ 49 Evaluación de la seguridad informática ........................................................................... 49 6.6. Controles de seguridad del ciclo de vida.................................................................................. 49 6.6.1. 6.6.2. 6.6.3. Controles de desarrollo de sistemas ............................................................................... 49 Controles de gestión de seguridad .................................................................................. 49 Controles de seguridad del ciclo de vida ......................................................................... 49 6.7. Controles de seguridad de la red ............................................................................................. 49 6.8. Sellado de tiempo ..................................................................................................................... 49 7. P ERFILES DE LOS CERTIFICADOS , CRL Y OCS P 50 7.1. Perfil de certificado ................................................................................................................... 50 7.1.1. 7.1.2. 7.1.3. 7.1.4. 7.1.5. 7.1.6. 7.1.7. 7.1.8. Número de versión .......................................................................................................... 50 Extensiones del certificado .............................................................................................. 50 Identificadores de objeto (OID) de los algoritmos ........................................................... 60 Formatos de nombres ...................................................................................................... 60 Restricciones de los nombres.......................................................................................... 60 Identificador de objeto (OID) de la Política de Certificación ............................................ 60 Uso de la extensión “PolicyConstraints” .......................................................................... 61 Sintaxis y semántica de los “PolicyQualifier” ................................................................... 61 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 7.1.9. Fecha: 19/09/2016 Página 7 de 67 Tratamiento semántico para la extensión crítica “Certificate Policy”............................... 61 7.2. Perfil de CRL ............................................................................................................................ 61 7.2.1. 7.2.2. Número de versión .......................................................................................................... 61 CRL y extensiones ........................................................................................................... 61 7.3. Perfil de OCSP ......................................................................................................................... 61 7.3.1. 7.3.2. Número(s) de versión ...................................................................................................... 61 Extensiones OCSP .......................................................................................................... 61 8. AUDITORÍAS DE CUMP LIMIENTO Y OTROS CONTROLES 62 8.1. Frecuencia o circunstancias de los controles para cada Autoridad ......................................... 62 8.2. Identificación/cualificación del auditor ...................................................................................... 62 8.3. Relación entre el auditor y la Autoridad auditada .................................................................... 62 8.4. Aspectos cubiertos por los controles ........................................................................................ 62 8.5. Acciones a tomar como resultado de la detección de deficiencias .......................................... 62 8.6. Comunicación de resultados .................................................................................................... 62 9. OTRAS CUES TIONES LEGALES Y DE ACTIVIDAD 63 9.1. Tarifas ....................................................................................................................................... 63 9.1.1. 9.1.2. 9.1.3. 9.1.4. 9.1.5. Tarifas de emisión o renovación de certificado ............................................................... 63 Tarifas de acceso a los certificados ................................................................................ 63 Tarifas de acceso a la información de estado o revocación ........................................... 63 Tarifas de otros servicios tales como información de políticas ....................................... 63 Política de reembolso ...................................................................................................... 63 9.2. Responsabilidades económicas ............................................................................................... 63 9.3. Confidencialidad de la información .......................................................................................... 63 9.3.1. 9.3.2. 9.3.3. Ámbito de la información confidencial ............................................................................. 63 Información no confidencial ............................................................................................. 63 Deber de secreto profesional........................................................................................... 63 9.4. Protección de la información personal ..................................................................................... 63 9.5. Derechos de propiedad intelectual ........................................................................................... 64 9.6. Representaciones y garantías .................................................................................................. 64 9.6.1. 9.6.2. 9.6.3. 9.6.4. 9.6.5. Obligaciones de las CA ................................................................................................... 64 Obligaciones de las RA ................................................................................................... 64 Obligaciones de los titulares de los certificados .............................................................. 64 Obligaciones de los terceros que confían o aceptan los certificados del CORPME ....... 64 Obligaciones de otros participantes................................................................................. 64 9.7. Exención de responsabilidades ................................................................................................ 64 9.8. Limitaciones de las responsabilidades ..................................................................................... 64 9.9. Indemnizaciones ....................................................................................................................... 64 9.10. Período de validez .................................................................................................................... 64 9.10.1. Plazo ................................................................................................................................ 64 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 8 de 67 9.10.2. Sustitución y derogación de la PC ................................................................................... 64 9.10.3. Efectos de la finalización ................................................................................................. 65 9.11. Notificaciones individuales y comunicaciones con los participantes ....................................... 65 9.12. Procedimientos de cambios en las especificaciones ............................................................... 65 9.12.1. Procedimiento para los cambios...................................................................................... 65 9.12.2. Circunstancias en las que el OID debe ser cambiado..................................................... 65 9.13. Reclamaciones ......................................................................................................................... 65 9.14. Normativa aplicable .................................................................................................................. 65 9.15. Cumplimiento de la normativa aplicable................................................................................... 65 9.16. Estipulaciones diversas ............................................................................................................ 65 9.16.1. Cláusula de aceptación completa .................................................................................... 65 9.16.2. Independencia ................................................................................................................. 65 9.16.3. Resolución por la vía judicial ........................................................................................... 66 9.17. Otras estipulaciones ................................................................................................................. 66 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 9 de 67 1. INTRODUCCIÓN 1.1. Vis ió n g e n e ra l El Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España (en adelante CORPME), Corporación de Derecho Público adscrita a la Dirección General de los Registros y el Notariado del Ministerio de Justicia, se constituye como Prestador de Servicios de Certificación de Firma Electrónica en virtud del mandato efectuado por el Legislador en la disposición adicional 26ª de la Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social. Nace con la finalidad de ofrecer los mecanismos y sistemas necesarios para garantizar la seguridad de las comunicaciones telemáticas en las que intervengan los Registradores, las Administraciones Publicas, los profesionales que se relacionan con los Registros y los ciudadanos en general. El Reglamento interno del PSC del CORPME es la norma básica del Servicio de Certificación, en la que se establecen su naturaleza, estructura y organización, así como los criterios y procedimientos que el Servicio se compromete a seguir en el ejercicio de su actividad, incluyendo desde la solicitud de los certificados y generación de las claves, hasta la posterior emisión, distribución, uso, revocación y renovación de los mismos. La Declaración de Prácticas de Certificación (en adelante DPC), emitida de conformidad con el Art.19 de la Ley 59/2003, de Firma Electrónica, , define y documenta un marco normativo general, conforme al cual se desarrollará la actividad de Prestador del Servicio de Certificación del CORPME, en relación con los procesos de solicitud, emisión y gestión del ciclo de vida de los certificados digitales, incluyendo los procedimientos de verificación de la vigencia, revocación y renovación de certificados. Los estándares y normativas que se aplican y cumplen con el presente documento son: RFC3647: X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework ETSI TS 102 042: Policy requirements for certification authorities issuing public key certificates ETSI TS 101 456: Policy requirements for certification authorities issuing public key certificates ETSI TS 102 023: Mobile Signatures; Business and Functional Requirements ETSI TS 101 862: Qualified Certificate profile ETSI TS 101 861: Time stamping profile. ETSI TS 319 412-2: Certificate profile for certificates issued to natural persons CA/Browser Forum: Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates Las Políticas de Certificación (en adelante PC’s) aplicables a cada clase de certificado complementan lo dispuesto con carácter general en la DPC. En caso de conflicto o contradicción entre lo dispuesto en la Declaración de Prácticas de Certificación y las citadas Políticas, prevalecerá lo preceptuado en estas últimas. Las PC’s también definen el ámbito de potenciales titulares de los certificados, así como los usos previstos de los certificados emitidos por el CORPME. La actividad del CORPME se desarrollará con plena sujeción a las prescripciones de la Ley 24/2001, de 27 de diciembre, la ley 59/2003 de Firma Electrónica, de 20 de diciembre, todas de ámbito estatal; al reglamento EU 910/2014 de Identificación electrónica y de servicios de confianza, y al Reglamento interno del PSC. Esta PC asume que el lector conoce los conceptos de PKI, certificado y Firma Electrónica; en caso contrario se recomienda al lector que se forme en el conocimiento de los anteriores conceptos antes de continuar con la lectura del presente documento. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 10 de 67 1.2. No m b re d e l d o c u m e n to e id e n tific a c ió n d e la P C El presente documento se denomina POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS EXTERNOS DEL CORPME. Identificación del Documento: Nombre del documento Políticas de Certificación de Certificados Externos del CORPME Versión del documento 1.0.1 Estado del documento Versión Fecha de emisión 19/09/2016 Fecha de expiración No aplicable OID (Object Identifier) Ubicación de la PC DPC Relacionada 1.3.6.1.4.1.17276.0.2.0.1.1 http://pki.registradores.org/normativa/index.htm Declaración de Prácticas de Certificación del CORPME 1.3. P a rtic ip a n te s e n la in fra e s tru c tu ra d e c la ve p ú b lic a (P KI) d e l p re s ta d o r d e l S e rvic io d e Ce rtific a c ió n d e l Co le g io d e Re g is tra d o re s 1.3.1. P re s ta d o r de S e rvic io s d e Ce rtific a c ió n (P S C) Es la entidad responsable de la emisión, bajo la jerarquía de su certificado raíz, de los certificados digitales destinados a entidades finales, así como de la gestión del ciclo de vida de los certificados digitales. La información legal y datos identificativos del Prestador de Servicios de Certificación del CORPME estarán siempre disponibles en http://pki.registradores.org/normativa/index.htm. También podrá solicitarse una copia impresa de dicha documentación previa solicitud del interesado en la dirección siguiente: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de España. Prestador del Servicio de Certificación del Colegio de Registradores C/ DIEGO DE LEON, 21. 28006-MADRID En el CORPME concurre además de la condición de prestador (PSC), la de CA (Certification Authority), desarrollando su actividad de conformidad con la legislación vigente en la materia, señaladamente la ley 59/2003, de 20 de diciembre de Firma Electrónica y el reglamento EU 910/2014 de identificación electrónica y de servicios de confianza La arquitectura general, a nivel jerárquico, de la PKI del CORPME es la siguiente: Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Página 11 de 67 AC Raí z NIVEL 0 NIVEL 1 Fecha: 19/09/2016 AC Subordinada C. Internos AC Subordinada C. Externos 1.3.2. Au to rid a d d e Ap ro b a c ió n d e P o lític a s La Autoridad de Aprobación de Políticas (en adelante AAP) es la organización responsable de la aprobación de la DPC y de las Políticas de Certificación del CORPME, así como de la aprobación de las modificaciones de dichos documentos. Asimismo, la AAP es la responsable, en caso de que se tuviese que evaluar la posibilidad de que una CA externa interactúe con la PKI del CORPME, de determinar la adecuación de la DPC de dicha CA a la Política de Certificación afectada. La AAP es responsable de analizar los informes de las auditorías, ya sean estos totales o parciales que se hagan de la PKI, así como de determinar en caso necesario, las acciones correctoras a ejecutar. La AAP estará formada por la Comisión Directora, órgano máximo directivo del CORPME constituida por los siguientes vocales: Vocal del Servicio de Coordinación de las Oficinas Liquidadoras del CORPME, que actúa como Presidente del Comité. Vocal Secretario del CORPME. Vocal del Servicio de Coordinación de Registros Mercantiles del CORPME. Vocal del Servicio de Sistemas de Información del CORPME. 1.3.3. Au to rid a d d e Ce rtific a c ió n Ra íz El CORPME emite todos los certificados objeto de la DPC bajo la jerarquía del Certificado de la clave principal, o certificado raíz. El certificado raíz es un certificado auto-firmado, con el que se inicia la cadena de confianza. De manera subordinada a la Raíz, se encuentran los certificados de jerarquía o de clave secundaria, que serán uno para los Certificados Internos y otro para los Certificados Externos. El titular del certificado Raíz es el propio CORPME, y se emite y revoca por la Unidad de Tramitación Central, a solicitud de la Comisión Directora, de conformidad con el procedimiento definido en el Reglamento interno del PSC. La información más relevante de la Autoridad de Certificación Raíz del CORPME es la siguiente: Nombre distintivo Número de serie CN = Autoridad de Certificación Raíz de los Registradores, O = Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = VATES-Q2863012G, C = ES 3b 38 d3 bf 57 b2 94 43 57 55 5d 78 9c fd 5e 5f Nombre distintivo del emisor CN = Autoridad de Certificación Raíz de los Registradores, O = Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 12 de 67 VATES-Q2863012G, C = ES Fecha de emisión Fecha de expiración Longitud de clave RSA Huella digital (SHA-1) URL de publicación del certificado lunes, 06 de junio de 2016 13:24:40 miércoles, 06 de junio de 2040 13:24:40 4096 Bits 97 4e 26 df 10 d2 c2 00 24 b2 1c 4a 0e b9 c7 ef 5c 06 80 d4 http://pki.registradores.org/certificados/ac_raiz_psc_corpme.crt 1.3.4. Au to rid a d e s d e Ce rtific a c ió n S u b o rd in a d a s Bajo la jerarquía de la clave principal o certificado Raíz del CORPME, se encuentran los certificados de la Clave Secundaria para Certificados Internos y de la Clave Secundaria para Certificados Externos, bajo cuyas respectivas jerarquías se emiten a su vez todos los certificados que el CORPME emite a entidades finales. La información más relevante de la CA subordinada para Certificados Internos es la siguiente: Nombre distintivo Número de serie CN = Autoridad de Certificación de los Registradores - AC Interna, O = Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = VATES-Q2863012G, C = ES 19 03 bc e3 42 82 77 60 57 55 8a f9 e9 b7 7e 2b CN = Autoridad de Certificación Raíz de los Registradores, O = Nombre distintivo del emisor Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = VATES-Q2863012G, C = ES Fecha de emisión Fecha de expiración Longitud de clave RSA Huella digital (SHA-1) URL de publicación del certificado URL de publicación de la CRL lunes, 06 de junio de 2016 16:38:48 martes, 06 de junio de 2028 16:38:48 4096 Bits 11 bb d7 b4 a3 08 05 6e 15 13 20 1e 36 b6 9e a9 4e a9 f2 f9 http://pki.registradores.org/certificados/ac_int_psc_corpme.crt http://pki.registradores.org/crls/crl_int_psc_corpme.crl Certificado Reconocido de Registrador Certificado Reconocido para Personal Interno Tipos de certificados emitidos Certificado Reconocido de Sello para Facturación Electrónica Certificado Reconocido de Sede Electrónica Certificado no Reconocido para Procedimientos Registrales Certificado no Reconocido de SSL genérico La información más relevante de la CA subordinada para Certificados Externos es la siguiente: Nombre distintivo CN = Autoridad de Certificación de los Registradores - AC Externa, O = Colegio de Registradores de la Propiedad y Mercantiles, Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 13 de 67 2.5.4.97 = VATES-Q2863012G, C = ES Número de serie 0f 58 42 bf f2 91 93 45 57 55 91 64 34 56 36 54 CN = Autoridad de Certificación Raíz de los Registradores, O = Nombre distintivo del emisor Colegio de Registradores de la Propiedad y Mercantiles, 2.5.4.97 = VATES-Q2863012G, C = ES Fecha de emisión Fecha de expiración Longitud de clave RSA Huella digital (SHA-1) URL de publicación del certificado URL de publicación de la CRL lunes, 06 de junio de 2016 17:06:11 martes, 06 de junio de 2028 17:06:11 4096 Bits e1 37 72 e5 a9 d6 2f 3f 5a 0a b1 ad ec 80 51 68 75 96 fb 70 http://pki.registradores.org/certificados/ac_ext_psc_corpme.crt http://pki.registradores.org/crls/crl_ext_psc_corpme.crl Certificado Reconocido Personal Certificado Reconocido de Representante de Persona Jurídica Tipos de certificados emitidos Certificado Reconocido Personalidad Jurídica de Representante de Entidad sin Certificado Reconocido de Cargo Administrativo Certificado Reconocido de Administración Local Certificado Reconocido de Profesional 1.3.5. Au to rid a d d e Re g is tro La Autoridad de Registro del PSC del CORPME, está formada por sus Unidades de Tramitación, y engloban a: Registros Mercantiles Decanatos Registros de la Propiedad Unidad de Tramitación Central Éstas redactan el contenido de los certificados tras realizar las comprobaciones precisas y autorizan su emisión o revocación. Para los certificados personales, las Unidades de Tramitación generarán en un dispositivo seguro los pares de claves criptográficas para su entrega a los solicitantes. Todas las Unidades de Tramitación estarán bajo la supervisión y dirección de un registrador titular, interino o accidental, salvo; Los Decanatos, cuyo responsable será el Decano territorial, o un registrador asignado por él. La Unidad de Tramitación Central, cuyo responsable será cualquier miembro de la Junta de Gobierno, designado por el vocal del Servicio de Sistemas de Información, (en adelante SSI). La Unidad de Tramitación Central será la encargada de la emisión o revocación de los certificados de dispositivos (SSL), bajo solicitud aprobada según el procedimiento de gestión de solicitudes y validada esta solicitud por el Director Técnico del SSI del CORPME. Todas las Autoridades de Registro funcionan bajo la supervisión y coordinación de la Comisión Directora y precisan de la previa habilitación de la Junta de Gobierno del CORPME, para la emisión de cada una de las clases de certificados. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 14 de 67 La expedición de determinados certificados digitales del CORPME se verificará, previa petición de cita en línea del solicitante, en la dirección de Internet https://www.registradores.org/scr/agenda, en una única comparecencia, el día y hora de su elección en la Unidad de Tramitación. 1.3.6. Au to rid a d d e Va lid a c ió n (VA) La Autoridad de Validación (VA) tiene como función facilitar el estado de los certificados emitidos por el PSC del CORPME, mediante el protocolo Online Certificate Status Protocol (OCSP), que determina el estado actual de un certificado electrónico a solicitud de un tercero aceptante sin requerir el acceso a listas de certificados revocados por éstas. Este mecanismo de validación es complementario a la publicación de las listas de certificados revocados (CRL). 1.3.7. Au to rid a d d e S e lla d o d e Tie m p o (TS A) La Autoridad de Sellado de Tiempo (TSA) es la responsable de la prestación de los servicios recogidos a continuación, de forma que proporcione confianza a sus usuarios: solicitantes, suscriptores y terceros aceptantes. Los servicios de sellado de tiempo se estructuran en dos partes: Suministro de los sellos de tiempo: los componentes técnicos y organizativos que emiten los sellos de tiempo (TST). Gestión del sellado de tiempo: los componentes técnicos y organizativos que supervisan y controlan la operativa del sellado de tiempo, incluyendo la sincronización temporal con la fuente de referencia UTC. La TSA tiene la responsabilidad de operar una o varias Unidades de Sellado de Tiempo (TSU) las cuales crearán y firmarán los sellos de tiempo (TST) en nombre de la TSA. La TSA queda identificada en el certificado electrónico de firma que se utilice en el servicio de sellado de tiempo. 1.3.8. En tid a d e s fin a le s Se definen como entidades finales aquellas personas físicas sujetos de derechos, con capacidad suficiente para solicitar y obtener un certificado digital del CORPME, a título propio o en su condición de representante de una persona jurídica o entidad sin personalidad jurídica. También se consideran entidades finales los Terceros de buena fe que confían en los certificados del CORPME. A los efectos anteriores tendrán la consideración de Entidades Finales: Solicitante Suscriptor Tercero que confía en los certificados de CORPME. 1.3.8.1. Solicitante Cuando un interesado en obtener un certificado emitido por el CORPME, cumplimenta el formulario de petición de cita de https://www.registradores.org/scr/agenda, adquiere la condición de Solicitante. La mera solicitud de un certificado no implica la concesión del mismo, la cual queda supeditada al éxito de procedimiento de Registro ante la Unidad de Tramitación correspondiente, previa verificación de la información correspondiente al certificado que el solicitante facilita. Sólo las personas mayores de edad podrán solicitar y, en su caso, obtener certificados digitales del CORPME. 1.3.8.2. Suscriptor Se denomina suscriptor, de conformidad con lo dispuesto en el artículo 6 de la Ley 59/2003 y del reglamento EU 910/2014, a la persona física cuya identidad se vincula a unos Datos de creación y Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 15 de 67 verificación de Firma, a través de una Clave Pública certificada (firmada digitalmente) por el Prestador de Servicios de Certificación. Los datos de identificación del Suscriptor están contenidos en el campo “Subject” del certificado definido dentro del estándar X509 de la ITU. Igualmente, tendrá la consideración de Suscriptor a los efectos de la Ley de Firma Electrónica la persona física indicada en los siguientes casos: • • • En caso de la emisión de Certificados de Representante de Persona Jurídica, la persona física que en virtud de apoderamiento inscrito en el Registro Mercantil ostente la representación de una persona jurídica, incluyéndose los datos de ésta en el certificado. En caso de la emisión de Certificados de Representante de Entidad sin Personalidad Jurídica, la persona física, en virtud del nombramiento publicado en el Boletín Oficial del Estado, incluyéndose los datos de éste en el certificado. En el caso de aquellos perfiles específicos de certificados de sello emitidos a personas jurídicas, la persona física solicitante que acreditará su capacidad para su solicitud y tramitación en la Unidad de Tramitación Central. La identidad del Suscriptor en tanto que titular del certificado figurara en el campo Distinguished Name del certificado digital en los campos CN (Common Name), SN (Serial Number), G (Given Name), S (Surname), , dentro de la extensión Subject del certificado. Los datos identificativos del Suscriptor podrán ser así mismo incluidos, dependiendo del tipo de certificado, con formato RFC6854 en una extensión de nombre alternativo subjectAltName, de conformidad con lo que se estipule en las políticas particulares aplicables a cada certificado. En los casos de la representación de Personas Jurídicas o de Entidades sin Personalidad Jurídica, los datos de la representación quedarán reflejados en el apartado Description del campo Distinguished Name del certificado digital. 1.3.8.3. Tercero que confía en los Certificados de CORPME A los efectos de esta PC, Tercero es cualquier usuario que deposita su confianza en los certificados emitidos por el CORPME, y utilizados para la firma de comunicaciones, documentos electrónicos, o en la autenticación ante sistemas basada en certificados digitales. El CORPME no asume ningún tipo de responsabilidad ante terceros, incluso de buena fe, que no hayan aplicado la diligencia debida para la verificación de la vigencia de los Certificados. 1.4. Us o d e lo s c e rtific a d o s 1.4.1. Us o s a d e c u a d o s de lo s c e rtific a d o s Los certificados regulados por esta PC se utilizarán para: Certificados de Autenticación y Firma: Estos certificados se utilizarán para la autenticación de personas frente a los Sistemas de Información del CORPME, la Administración General del Estado y otro tipo de Organismos y Entidades, así como para la generación de firmas electrónicas avanzadas. 1.4.2. Lim ita c io n e s y re s tric c io n e s e n e l u s o de lo s c e rtific a d o s Cualquier uso no incluido en el apartado anterior queda excluido. 1.5. Ad m in is tra c ió n d e la s p o lític a s 1.5.1. En tid a d Re s p o n s a b le El Servicio de Sistemas de la Información (en adelante SSI) a través de su Comité técnico de Asesoramiento y Cumplimiento Normativo, constituido por; Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 16 de 67 El Director de Tecnología y Sistemas, que actúa como Presidente del Comité. El Director de la Oficina de Seguridad y Cumplimiento Normativo, que actuará como Secretario. El Director de Infraestructuras, Ingeniería de la Seguridad y Comunicaciones El Director de Tecnologías Wintel y Virtualización El Director de Operaciones Un Director de Proyectos y Servicios, en representación de los directores de Proyectos y Servicios Establecerá los términos y redacción de la PC del CORPME. En aquellos casos en que de conformidad con lo dispuesto en el Reglamento interno del PSC sea preceptivo, la Comisión Directora actuará por mandato de la Junta de Gobierno del Colegio de Registradores, o recabará su autorización en aquellas materias cuya competencia esté reservada al máximo órgano de gobierno de los Registradores. El Comité técnico de Asesoramiento y Cumplimiento Normativo realizará, al menos, una revisión anual de los documentos de la Declaración de Prácticas de Certificación y de las Políticas de Certificación del PSC del CORPME. 1.5.2. P ro c e d im ie n to d e a p ro b a c ió n y m o d ific a c ió n d e la De c la ra c ió n d e P rá c tic a s d e Ce rtific a c ió n . La aprobación y subsiguientes modificaciones de la presente PC, corresponde en exclusiva a la Comisión Directora, en virtud de las facultades delegadas por la Junta de Gobierno del CORPME, de conformidad con las disposiciones del Reglamento interno del PSC. Cualquier modificación en la presente PC será introducida y publicada en la página Web del CORPME (http://pki.registradores.org/normativa/index.htm). Los suscriptores disconformes con las modificaciones introducidas, podrán solicitar la revocación de su certificado digital. La revocación interesada y voluntaria por el usuario disconforme con las disposiciones incorporadas con carácter sobrevenido a esta PC, no otorgará al suscriptor ningún derecho a ser compensado por tal motivo. 1.6. Da to s d e Co n ta c to Para consultas o comentarios relacionados con la presente PC el interesado deberá dirigirse al CORPME a través de alguno de los siguientes medios: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de España Prestador del Servicio de Certificación del Colegio de Registradores C/ DIEGO DE LEON, 21 28006-MADRID Email: psc@registradores.org Tlf: 902181442 o 912701699 1.7. De fin ic io n e s y Ac ró n im o s 1.7.1. De fin ic io n e s Agencia Española de Protección de Datos: Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada cuya finalidad es velar por el cumplimiento de la legislación sobre protección de datos personales Autoridad de Certificación: es aquella persona física o jurídica que, de conformidad con la legislación sobre Firma Electrónica expide Certificados electrónicos, pudiendo prestar además otros servicios en relación con la Firma Electrónica. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 17 de 67 Autoridad de Registro: entidad, con la que CORPME ha establecido un convenio, que realiza la comprobación de la identidad de los Solicitantes y Suscriptores de Certificados, y en su caso de la vigencia de facultades de representantes y subsistencia de la personalidad jurídica o de la representación voluntaria Cadena de certificación: lista de Certificados que contiene al menos un Certificado y el Certificado raíz de CORPME Certificado: documento electrónico firmado electrónicamente por un Prestador de Servicios de Certificación que vincula al Suscriptor unos Datos de verificación de Firma y confirma su identidad. En la presente Política de Certificación, cuando se haga referencia a Certificado se entenderá realizada a un Certificado emitidos por cualquier Autoridad de Certificación de CORPME Certificado raíz: Certificado cuyo Suscriptor es una Autoridad de Certificación perteneciente a la jerarquía de CORPME como Prestador de Servicios de Certificación, y que contiene los Datos de verificación de Firma de dicha Autoridad firmado con los Datos de creación de Firma de la misma como Prestador de Servicios de Certificación Certificado reconocido: Certificado expedido por un Prestador de Servicios de Certificación que cumple los requisitos establecidos en la Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten Clave: secuencia de símbolos Datos de creación de Firma (Clave Privada): son datos únicos, como códigos o claves criptográficas privadas, que el signatario utiliza para crear la Firma Electrónica Datos de verificación de Firma (Clave Pública): son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la Firma Electrónica Declaración de Prácticas de Certificación (DPC): declaración de CORPME puesta a disposición del público por vía electrónica y de forma gratuita realizada en calidad de Prestador de Servicios de Certificación en cumplimiento de lo dispuesto por la Ley Dispositivo seguro de creación de Firma: instrumento que sirve para aplicar los Datos de creación de Firma cumpliendo con los requisitos establecidos en el Anexo III de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999, y con lo establecido en las normas específicas de aplicación en España Directorio de Certificados: repositorio de información que sigue el estándar X.500 del ITU-T Documento electrónico: conjunto de registros lógicos almacenado en soporte susceptible de ser leído por equipos electrónicos de procesamiento de datos, que contiene información Documento de seguridad: documento exigido por la LOPD cuyo objetivo es establecer las medidas de seguridad implantadas, a los efectos de este documento, por CORPME como Prestador de Servicios de Certificación, para la protección de los datos de carácter personal contenidos en los Ficheros de la actividad de certificación que contienen datos personales (en adelante los Ficheros). Encargado del Tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del Responsable del tratamiento de los Ficheros Firma Electrónica reconocida: es aquella Firma Electrónica avanzada basada en un Certificado reconocido y generada mediante un Dispositivo seguro de creación de Firma Firma Electrónica avanzada: es aquella Firma Electrónica que permite establecer la identidad personal del Suscriptor respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al Suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que éste puede mantener bajo su exclusivo control Firma Electrónica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación personal Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 18 de 67 Función hash: es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Función hash Hash o Huella digital: resultado de tamaño fijo que se obtiene tras aplicar una Función hash a un mensaje y que cumple la propiedad de estar asociado unívocamente a los datos iniciales Infraestructura de Claves Públicas (PKI, Public key Infrastructure): infraestructura que soporta la gestión de Claves Públicas para los servicios de autenticación, cifrado, integridad, o no repudio Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal: ley que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar Listas de Revocación de Certificados o Listas de Certificados Revocados (CRL): lista donde figuran exclusivamente las relaciones de Certificados revocados o suspendidos (no los caducados) Módulo Criptográfico Hardware de Seguridad (HSM): módulo hardware utilizado para realizar funciones criptográficas y almacenar Claves en modo seguro. -Número de serie de Certificado: valor entero y único que está asociado inequívocamente con un Certificado expedido por CORPME OCSP (Online Certificate Status Protocol): protocolo informático que permite la comprobación del estado de un Certificado en el momento en que éste es utilizado OCSP Responder: servidor informático que responde, siguiendo el protocolo OCSP, a las Peticiones OCSP con el estado del Certificado por el que se consulta OID (Object IDentifier): valor, de naturaleza jerárquica y comprensivo de una secuencia de componentes variables, aunque siempre constituidos por enteros no negativos separados por un punto, que pueden ser asignados a objetos registrados y que tienen la propiedad de ser únicos entre el resto de OID Petición OCSP: petición de consulta de estado de un Certificado a OCSP Responder siguiendo el protocolo OCSP PIN: (Personal Identification Number) número específico sólo conocido por la persona que tiene que acceder a un recurso que se encuentra protegido por este mecanismo Prestador de Servicios de Certificación: es aquella persona física o jurídica que, de conformidad con la legislación sobre Firma Electrónica expide Certificados electrónicos, pudiendo prestar además otros servicios en relación con la Firma Electrónica. En la presente Política de Certificación, se corresponderá con las Autoridades de Certificación pertenecientes a la jerarquía de CORPME Política de Certificación (PC): documento que completa la Declaración de Prácticas de Certificación, estableciendo las condiciones de uso y los procedimientos seguidos por CORPME para emitir Certificados Póliza: a efectos de la presente Política de Certificación se entenderá por la Póliza el documento notarial que el Notario autoriza ante el Suscriptor de un Certificado que documenta la intervención notarial como Autoridad de Registro, así como su intervención en el caso de revocación del mismo PKCS#10 (Certification Request Syntax Standard): estándar desarrollado por RSA Labs, y aceptado internacionalmente como estándar, que define la sintaxis de una petición de Certificado PUK: (Personal Unblocking Key) número o clave específica sólo conocido por la persona que tiene que acceder a un recurso que se utiliza para desbloquear el acceso a dicho recurso Responsable del Fichero (o del Tratamiento del Fichero): persona que decide sobre la finalidad, contenido y uso del tratamiento de los Ficheros. -Responsable de Seguridad: encargado de coordinar y controlar las medidas que impone el Documento de seguridad en cuanto a los Ficheros Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 19 de 67 SHA-1: Secure Hash Algorithm (algoritmo seguro de resumen –hash-). Desarrollado por el NIST y revisado en 1994 (SHA-1). El algoritmo consiste en tomar mensajes de menos de 264 bits y generar un resumen de 160 bits de longitud. La probabilidad de encontrar dos mensajes distintos que produzcan un mismo resumen es prácticamente nula. Por este motivo se usa para asegurar la Integridad de los documentos durante el proceso de Firma Electrónica Sellado de Tiempo: constatación de la fecha y hora en un documento electrónico mediante procedimientos criptográficos indelebles, basándose en las especificaciones Request For Comments: 3161 – “Internet X.509 Public Key Infrastructure Time–Stamp Protocol (TSP)”, que logra datar el documento de forma objetiva Solicitante: persona física que previa identificación, solicita la emisión de un Certificado Suscriptor (o Subject): el titular o firmante del Certificado. La persona cuya identidad personal queda vinculada mediatamente a los datos firmados electrónicamente, a través de una Clave Pública certificada por el Prestador de Servicios de Certificación. El concepto de Suscriptor, será referido en los Certificados y en las aplicaciones informáticas relacionadas con su emisión como Subject, por estrictas razones de estandarización internacional Tarjeta criptográfica: tarjeta utilizada por el Suscriptor para almacenar claves privadas de firma y descifrado, para generar firmas electrónicas y descifrar mensajes de datos. Tiene la consideración de Dispositivo seguro de creación de Firma de acuerdo con la Ley y permite la generación de Firma Electrónica reconocida Terceros que confían en Certificados: aquellas personas que depositan su confianza en un Certificado de CORPME, comprobando la validez y vigencia del Certificado según lo descrito en esta Declaración de Prácticas de Certificación UIT (Unión Internacional de Telecomunicaciones): organización internacional del sistema de las Naciones Unidas en la cual los gobiernos y el sector privado coordinan los servicios y redes mundiales de telecomunicaciones X.500: estándar desarrollado por la UIT que define las recomendaciones del directorio. Se corresponde con el estándar ISO/IEC 9594-1: 1993. Da lugar a la serie de recomendaciones siguientes: X.501, X.509, X.511, X.518, X.519, X.520, X.521 y X.525 X.509: estándar desarrollado por la UIT, que define el formato electrónico básico para Certificados electrónicos 1.7.2. Ac ró n im o s AAP: Autoridad de Aprobación de Políticas C: Country (País). Atributo del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500 CA: Certification Authority (Autoridad de Certificación). CDP: CRL Distribution Point (Punto de Distribución de CRL). CN: Common Name (Nombre Común). Atributo del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500. CP: Certificate Policy (Política de Certificación). CPS: Certification Practice Statement (Declaración de Prácticas de Certificación) CORPME: Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles de España CRL: Certificate Revocation List (Lista de Revocación de Certificados) CSR: Certificate Signing Request (petición de certificado). Conjunto de datos, que contienen una clave pública y su Firma Electrónica utilizando la clave privada asociada, enviado a la Autoridad de Certificación para la emisión de un certificado electrónico que contenga dicha clave pública. CWA: CEN Workshop Agreement Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 20 de 67 DN: Distinguished Name (Nombre Distintivo). Identificación unívoca de una entrada dentro de un directorio X.500 FIPS: Federal Information Processing Standard HSM: Hardware Security Module. Módulo de seguridad criptográfica almacenamiento de claves y realización de operaciones criptográficas seguras empleado para el IANA: Internet Assigned Numbers Authority IETF: Internet Engineering Task Force (Organismo de estandarización de Internet) ITU: International Telecommunication Union O: Organisation (Organización). Atributo del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500 OCSP: Online Certificate Status Protocol. Protocolo para la verificación online de la validez de un certificado electrónico OID: Object Identifier (Identificador Único de Objeto) OU: Organisational Unit (Unidad Organizativa). Atributo del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500 PSC: Proveedor de Servicios de Certificación PIN: Personal Identification Number (Número de Identificación Personal). Password que protege el acceso a un dispositivo criptográfico PKCS: Public Key Cryptography Standards. Estándares de PKI desarrollados por los laboratorios de RSA aceptados internacionalmente PKI: Public Key Infrastructure (Infraestructura de Clave Pública) PUK: PIN Unlock Key. Password que permite desbloquear un dispositivo criptográfico bloqueado por haber introducido en repetidas ocasiones un PIN erróneo de forma consecutiva RA: Registration Authority (Autoridad de Registro) RFC: Request For Comments. Standard desarrollado por el IETF ROA: Real Observatorio de la Armada Española SSI: Servicio de Sistemas de Información del Colegio de Registradores SSL: Secure Sockets Layer (Capa de Conexión Segura) TSA: TimeStamp Authority (Autoridad de Sellado de Tiempo) TST: TimeStamp Token (Token de Sellado de Tiempo) TSU: TimeStamp Unit (Unidad de Sellado de Tiempo) UTC: Universal Time Coordinated VA: Validation Authority (Autoridad de Validación) Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 21 de 67 2. REP OS ITORIOS Y P UBLICACIÓN DE INFORMACIÓN 2.1. Dire c torio d e Va lid a c ió n d e Ce rtific a d o s El CORPME mantiene un Directorio de Validación de Certificados permanentemente disponible y accesible a cualquier interesado, de conformidad con la normativa vigente. Para garantizar un acceso continuado y sin disrupciones al servicio de verificación de certificados, el Servidor de directorio está duplicado y balanceado, de tal forma que, en caso de fallo o caída del servicio, el segundo directorio será inmediatamente puesto en línea garantizándose de este modo la disponibilidad del mismo. El Directorio de Validación de Certificados es un directorio público de consulta, en el que se encuentran todas las Listas de Certificados Revocados (CRL’s) emitidas por el Prestador del Servicio de Certificación, cuyo plazo de caducidad aún no ha vencido, que incluyen la fecha y hora en el que tuvo lugar la revocación. No se establecerán más limitaciones de acceso al Directorio que las impuestas por razones de seguridad. ARL http://pki.registradores.org/crls/arl_psc_corpme.crl CRL CA Certificados Internos http://pki.registradores.org/crls/crl_int_psc_corpme.crl CRL CA Certificados Externos http://pki.registradores.org/crls/crl_ext_psc_corpme.crl Servicio de validación en línea que implementa el protocolo OCSP http://ocsp.registradores.org y https://ocsp.registradores.org Servicio de Sello de Tiempo http://tsa.registradores.org y https://tsa.registradores.org (Time Stamping Protocol) Certificado Autoridad Certificadora CORPME http://pki.registradores.org/certificados/ac_raiz_psc_corpme.crt Certificado CA Internos http://pki.registradores.org/certificados/ac_int_psc_corpme.crt Certificado CA Externos http://pki.registradores.org/certificados/ac_ext_psc_corpme.crt Prácticas y Políticas de Certificación http://pki.registradores.org/normativa/index.htm 2.2. P u b lic a c ió n d e in fo rm a c ió n d e c e rtific a c ió n El Directorio se publica de acuerdo con el estándar LDAP (Lightweight Directory Access Protocol) y dispondrá de la ARL publicada y las CRL’s publicadas, que siguen la norma correspondiente (Certificate Revocation List, versión 2) del estándar X.509. También podrá utilizarse el estándar OCSP (Online Certificate Status Protocol). Las listas de certificados revocados se actualizarán con la periodicidad indicada en el apartado 4.9.7 del presente documento. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 22 de 67 2.3. Fre c u e n c ia d e p u b lic a c ió n La DPC y las Políticas de Certificación se publicarán en el momento de su creación y se volverán a publicar en el momento en que se apruebe cualquier modificación sobre las mismas. Las modificaciones se harán públicas en el Directorio web referenciado en el apartado 2.1 del presente documento. La CA añadirá los certificados revocados a la CRL pertinente dentro del periodo de tiempo estipulado en el apartado 4.9.7 del presente documento. 2.4. Co n tro le s d e a c c e s o a la in fo rm a c ión d e c e rtific a c ió n El acceso para la consulta de la DPC y PCs es público para todo interesado que lo desee. El CORPME dispondrá de las medidas de seguridad necesarias para evitar la manipulación no autorizada de estos documentos. Así mismo, estarán firmados digitalmente mediante un certificado emitido del CORPME para garantizar su integridad. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 23 de 67 3. IDENTIFICACIÓN Y AUTENTICACIÓN 3.1. No m b re s 3.1.1. Tip o s d e n o m b re s Todos los titulares de certificados requieren un nombre distintivo (Distinguished Name) conforme con el estándar X.500. 3.1.1.1. Certificado Reconocido Personal La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C Valor Descripción ES País serialNumber IDCES-NIF Requerido por ETSI EN 319 412-2 surname APELLIDOS Requerido por ETSI EN 319 412-2 NOMBRE Requerido por ETSI EN 319 412-2 NOMBRE nombre apellidos– NIF nif Todos estos datos deben ir en MAYÚSCULAS. givenName CN 3.1.1.2. Certificado Reconocido de Representante de Persona Jurídica La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C description organizationIdentifier O 1.3.6.1.4.1.18838.1.1 Valor Descripción ES País Reg: XXX /Hoja: XXX /Tomo:XXX /Sección:XXX /Libro:XXX /Folio:XXX /Fecha: dd-mm-aaaa /Inscripción: XXX Codificación del documento público que acredita las facultades del firmante o los datos registrales VATES-nif CIF de la entidad (@firma y requerido por ETSI 319 412-2) Razón social Organización para @firma (Requerido por ETSI 319 412-2) Dni / nie / pasaporte del OID AEAT Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 24 de 67 Representante serialNumber surname givenName CN 3.1.1.3. IDCES-Dni / nie / pasaporte Requerido por ETSI EN 319 412-2 APELLIDOS Requerido por ETSI EN 319 412-2 NOMBRE Requerido por ETSI EN 319 412-2 DNI NOMBRE APELLIDOS (R: NIF) Todos estos datos deben ir en MAYÚSCULAS. El campo tiene un tamaño máximo de 64 caracteres según la RFC 5280. Certificado Reconocido de Representante de Entidad sin Personalidad Jurídica La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C description organizationIdentifier O 1.3.6.1.4.1.18838.1.1 serialNumber surname givenName CN 3.1.1.4. Valor Descripción ES País CVE Codificación del documento público que acredita las facultades del firmante o los datos registrales (CVEBOE) VATES-nif CIF (Requerido por @firma y ETSI 319 412-2) Razón social Organización para @firma (Requerido por ETSI 319 412-2) Dni / nie / pasaporte del Representante OID AEAT IDCES-Dni / nie / pasaporte Requerido por ETSI EN 319 412-2 APELLIDOS Requerido por ETSI EN 319 412-2 NOMBRE Requerido por ETSI EN 319 412-2 DNI NOMBRE APELLIDOS (R: NIF) Todos estos datos deben ir en MAYÚSCULAS. El campo tiene un tamaño máximo de 64 caracteres según la RFC 5280. Certificado Reconocido de Cargo Administrativo La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo Valor Descripción Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 C organizationIdentifier O Página 25 de 67 ES País NIF de la Administración NIF de la Administración Administración Representada Organización OU Órgano Administrativo OU Unidad Local serialNumber Fecha: 19/09/2016 Requerido por ETSI EN 319 412-2 IDCES-NIF Nif del suscriptor surname givenName CN APELLIDOS Requerido por ETSI EN 319 412-2 NOMBRE Requerido por ETSI EN 319 412-2 NOMBRE APELLIDOS – DNI nif Todos estos datos deben ir en MAYÚSCULAS. Nif del suscriptor 3.1.1.5. Certificado Reconocido de Administración Local La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C organizationIdentifier O OU Valor Descripción ES País NIF de la Administración NIF de la Administración (LAESCP) Administración Representada (Unidad Local) Organización CERTIFICADO ELECTRONICO DE EMPLEADO PUBLICO Requerido por RD 668/2015 serialNumber IDCES-NIF Requerido por ETSI EN 319 412-2 y RD 668/2015 surname APELLIDOS Requerido por ETSI EN 319 412-2 NOMBRE Requerido por ETSI EN 319 412-2 givenName Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 CN 3.1.1.6. Fecha: 19/09/2016 NOMBRE APELLIDOS – DNI nif Página 26 de 67 Todos estos datos deben ir en MAYÚSCULAS. Certificado Reconocido de Profesional La estructura del certificado, referente a la extensión subject del certificado, es la que se describe en la siguiente tabla: Campo C Valor Descripción ES País serialNumber IDCES-NIF Requerido por ETSI EN 319 412-2 y RD 668/2015 surname APELLIDOS Requerido por ETSI EN 319 412-2 NOMBRE Requerido por ETSI EN 319 412-2 NOMBRE nombre apellidos – NIF nif Todos estos datos deben ir en MAYÚSCULAS. givenName CN 3.1.2. Ne c e s id a d d e q ue lo s n o m b re s s e a n s ig n ific a tivo s En todos los casos los nombres distintivos de los titulares de los certificados deben ser significativos, ajustándose a las normas impuestas en el apartado anterior. 3.1.3. Re g la s pa ra in te rp re ta r va rio s fo rm a to s d e n o m b re s La regla utilizada por el PSC del CORPME para interpretar los nombres distintivos de los titulares de certificados que emite es ISO/IEC 9595 (X.500) Distinguished Name (DN). 3.1.4. Un ic id a d d e lo s n o m b re s El conjunto de nombre distintivo (Distinguished Name) más el contenido de la extensión Policy Identifier debe ser único y no ambiguo. Para Certificados Reconocidos de Personal, el uso del nombre (compuesto por los apellidos y el nombre), y del NIF (compuesto por el NIF, NIE, pasaporte u otro) en el CN garantiza la unicidad del mismo. Para Certificados Reconocidos de Representante de Persona Jurídica, el uso de la entidad (compuesto de la razón social), del NIF, del nombre (compuesto por los apellidos y el nombre), y del NIF (compuesto por el NIF, NIE, pasaporte u otro) en el CN garantiza la unicidad del mismo. Para Certificados Reconocidos de Representante de Entidad sin Personalidad Jurídica, el uso de la entidad (compuesto de la razón social), del Identificador univoco oficial, del nombre (compuesto por los apellidos y el nombre), y del NIF (compuesto por el NIF, NIE, pasaporte u otro) en el CN garantiza la unicidad del mismo. Para Certificados Reconocidos de Cargo Administrativo, el uso del nombre (compuesto por los apellidos y el nombre), y del NIF (compuesto por el NIF, NIE, pasaporte u otro) en el CN garantiza la unicidad del mismo. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 27 de 67 Para Certificados Reconocidos de Administración Local, el uso del nombre (compuesto por los apellidos y el nombre), y del NIF (compuesto por el NIF, NIE, pasaporte u otro) en el CN garantiza la unicidad del mismo. Para Certificados Reconocidos de Profesional, el uso del nombre (compuesto por los apellidos y el nombre), y del NIF (compuesto por el NIF, NIE, pasaporte u otro) en el CN garantiza la unicidad del mismo. 3.1.5. P ro c e d im ie n to s d e re s o lu c ió n d e c o n flic tos s o b re n o m b re s Cualquier conflicto concerniente a la propiedad de nombres se resolverá según lo estipulado en el punto 9.13 del presente documento. 3.1.6. Re c o n o c im ie n to , a u te n tic a c ió n y p a p e l d e la s m a rc a s re g is tra d a s No estipulado. 3.2. Va lid a c ió n in ic ia l d e la id e n tid a d 3.2.1. Me d io d e p ru e b a d e p o s e s ió n d e la c la ve p riva d a Las claves de los certificados externos: Certificado Reconocido Personal Certificado Reconocido de Representante de Persona Jurídica Certificado Reconocido de Representante de Entidad sin Personalidad Jurídica Certificado Reconocido de Cargo Administrativo Certificado Reconocido de Administración Local Certificado Reconocido de Profesional Serán generadas por el dispositivo criptográfico seguro del solicitante estando bajo la custodia de éste, por lo que, la posesión de la clave privada correspondiente a la clave pública para la que el solicitante solicita que se genere el certificado, quedará probada mediante el envío de la petición de firma del certificado (CSR). 3.2.2. Au te n tic a c ió n de la id e n tid a d d e u n a p e rs o n a ju ríd ic a o e n tid a d s in p e rs o n a lida d ju ríd ic a Los solicitantes nacionales de Certificados del CORPME, deberán comparecer ante la Unidad de Tramitación de su elección, provistos de su NIF, NIE, pasaporte u otro documento identificativo. Los solicitantes extranjeros de Certificados del CORPME, deberán comparecer, provistos de su número de identificación de extranjeros (NIE), o el de su pasaporte, o el de su tarjeta de residencia o el de cualquier otro documento legal de identificación. Además de la identificación del solicitante como persona física mediante la comprobación de la documentación señalada anteriormente, el Operador del Registro correspondiente solicitará la documentación acreditativa de sus facultades de representación sobre la persona jurídica o entidad sin personalidad jurídica. El solicitante del certificado se constituirá como suscriptor del certificado emitido. 3.2.3. Au te n tic a c ió n d e la id e n tid a d d e u n a pe rs o n a fís ic a El solicitante deberá proporcionar la siguiente información, en función del certificado que solicite: Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 3.2.3.1. Nombre y apellidos y NIF del suscriptor. Correo electrónico. Dirección postal (opcional). Certificado Reconocido de Representante de Persona Jurídica Nombre y apellidos y DNI/NIE/Pasaporte del suscriptor. Correo electrónico. Dirección postal (opcional). Razón Social y NIF de la Entidad Representada. Cargo o apoderamiento. Datos de inscripción: o 3.2.3.3. Página 28 de 67 Certificado Reconocido Personal 3.2.3.2. Fecha: 19/09/2016 Inscripción en el Registro Mercantil: Código LEI (opcional), Registro, Hoja, Tomo, Sección, Libro, Folio, Inscripción y fecha de inscripción. Certificado Reconocido de Representante de Entidad sin Personalidad Jurídica Nombre y apellidos y DNI/NIE/Pasaporte del suscriptor. CVE del documento del Boletín Oficial del Estado (BOE) en el que se publica el otorgamiento de la representación o titularidad sobre la entidad. Correo electrónico. Dirección postal (opcional). Razón Social y NIF de la Entidad Representada. Cargo o apoderamiento. 3.2.3.4. Certificado Reconocido de Cargo Administrativo Nombre del registro (registro en el que se emite el certificado) Nombre y apellidos y NIF del suscriptor. Correo electrónico. Dirección postal (opcional). Cargo administrativo que ostenta, correspondiente con su categoría Administración representada y NIF. Órgano administrativo representado Unidad local 3.2.3.5. Certificado Reconocido de Administración Local Nombre del registro (registro en el que se emite el certificado) Nombre y apellidos y NIF del suscriptor. Correo electrónico. Dirección postal (opcional). Cargo administrativo que ostenta, correspondiente con su categoría Provincia de la Administración Local Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 29 de 67 Unidad Local y NIF 3.2.3.6. Certificado Reconocido de Profesional Nombre del registro (registro en el que se emite el certificado) Nombre y apellidos y NIF del suscriptor. Correo electrónico. Dirección postal (opcional). Profesión, entendida como el colectivo profesional al que está adscrito el titular del certificado. 3.2.4. Au te n tic a c ió n d e la id e n tid a d d e u n d is p os itivo No estipulado. 3.2.5. In fo rm a c ió n n o ve rific a d a s o b re e l s o lic ita n te Toda la información presentada por el solicitante es verificada antes de la emisión del certificado que solicita. 3.2.6. Co m p ro b a c ió n d e la s fa c u lta d e s d e re p re s e n ta c ió n Los solicitantes nacionales de Certificados del CORPME, deberán comparecer ante la Unidad de Tramitación de su elección, provistos de su NIF, NIE, pasaporte u otro documento identificativo. Los solicitantes extranjeros de Certificados del CORPME, deberán comparecer, provistos de su número de identificación de extranjeros (NIE), o el de su pasaporte, o el de su tarjeta de residencia o el de cualquier otro documento legal de identificación. Además de la identificación del solicitante como persona física mediante la comprobación de la documentación señalada anteriormente, el Operador del Registro correspondiente solicitará la documentación acreditativa de sus facultades de representación sobre la persona jurídica o entidad sin personalidad jurídica. 3.2.7. Crite rio s p a ra o p e ra r c o n CA e xte rn a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 3.3. Id e n tific a c ió n y a u te n tic a c ió n p a ra s o lic itu d e s d e re n ova c ió n La identificación y autenticación de los titulares de los certificados para las solicitudes de renovación por cualquier motivo, que se encuentran especificados en el apartado 4.7 del presente documento, se realizará a través del proceso de emisión de certificados, es decir, mediante el NIF, NIE, pasaporte u otro documento identificativo del titular. Además, el Operador de la Unidad de Tramitación correspondiente, solicitará la documentación acreditativa del atributo certificable de que se trate en virtud del Tipo de Certificado, salvo para los Certificados Reconocidos de representante de persona jurídica, donde el Operador confirmará por sus medios la documentación acreditativa del solicitante. De igual manera, las Unidades de Tramitación serán responsables del archivado de toda documentación relacionada con los certificados y sus solicitudes, debiendo archivarse por un mínimo de quince (15) años. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 30 de 67 3.4. Id e n tific a c ió n y a u te n tic a c ió n p a ra s o lic itu d e s d e re vo c a c ió n La identificación y autenticación de los titulares de los certificados para las solicitudes de revocación por cualquier motivo, que se encuentran especificados en el apartado 4.9 del presente documento, se realizará mediante el NIF, NIE, pasaporte u otro documento identificativo del titular. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 31 de 67 4. REQUIS ITOS OP ERACIONALES PARA EL CICLO DE VIDA DE LOS CERTIFICADOS 4.1. S o lic itu d d e c e rtific a d o s 4.1.1. Qu ié n p u e d e e fe c tu a r u n a s o lic itu d La solicitud variaría en función del tipo de Certificado Reconocido solicitado, a continuación se diferencia el procedimiento según el tipo solicitado: 4.1.1.1. Certificado Reconocido Personal En el presente caso, es necesaria la petición de cita a través de la página web para la comparecencia. El procedimiento de emisión se realizará de acuerdo con las siguientes fases: 1. Solicitud: El solicitante se conecta a la página Web https://www.registradores.org/scr/agenda. En caso de no estar dado de alta en el sistema, se debe de registrar como usuario del mismo. Una vez registrado debe cumplimentar un formulario en línea, con la información necesaria (día y hora en la Unidad de Tramitación elegida) para la expedición del certificado, a partir de la cual se rellenarán los campos del mismo y se generará la Licencia de Uso del Certificado. Dado que la Licencia de Uso del Certificado deberá ser firmada por el Operador de Registro a cargo de la Unidad de Tramitación correspondiente, es imperativo que la comparecencia personal del solicitante coincida con la presencia del Registrador en la Unidad de Tramitación, por ello el solicitante deberá seleccionar día y hora, de entre los disponibles y previamente habilitados por el Operador de la misma, como hábiles para la expedición de certificados digitales. Una vez fijada fecha y hora para la comparecencia, el solicitante recibirá por correo electrónico un justificante de la cita concertada. Posteriormente, el solicitante se persona en la unidad de tramitación con el identificador de la cita, y con un documento de identificación; NIF, NIE, pasaporte u otro. Dicho identificador será entregado al Oficial de Registro quien lo introduce en el sistema (recupera los datos previamente introducidos). De nuevo, se vuelven a hacer las comprobaciones de autenticación descritas en el apartado 3.2.3 de la presente PC y que en el caso de ser correctas se pasará al siguiente punto. Con la comparecencia del usuario, en única instancia, en la Unidad de Tramitación correspondiente se da paso, de ser positivo el trámite de verificación de identidad y atributos certificables, al proceso de emisión del Certificado Digital de suscriptor, el cual ira firmado por la CA a fin de establecer la cadena de confianza en la que se basa la Firma Electrónica Reconocida. Para la autenticación de la persona física, tanto para nacionales como para extranjeros, y de la documentación acreditativa del atributo certificable de que se trate en virtud del tipo de certificado, se seguirá el procedimiento recogido en el apartado denominado “Autenticación del solicitante cuando sea persona física” de la DPC. 2. Aceptación de la solicitud y de la licencia: Una vez realizado el trámite de identificación y, en su caso, el de comprobación de atributos del solicitante, el operador imprimirá dos copias de la licencia de uso y de la solicitud de revocación, en los casos que proceda... Ambas copias deberán ser firmadas por el solicitante y el operador, quedando una copia en poder de cada uno de ellos. La Unidad de Tramitación correspondiente deberá conservar la licencia Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 32 de 67 firmada durante un plazo de quince años, a contar desde la caducidad o revocación del certificado. 3. Generación de claves y asignación de contraseñas: La Unidad de Tramitación correspondiente entregará al suscriptor un dispositivo criptográfico sin inicializar y este introducirá la contraseña de acceso y ordenará la generación de las claves dentro del dispositivo criptográfico. El suscriptor deberá introducir personalmente la contraseña de acceso al dispositivo criptográfico, de modo que esta no sea conocida en ningún momento por el CORPME. El Registrador al frente de la Unidad de Tramitación correspondiente certificará que la firma ha sido creada con la intervención personal del solicitante, generándose la clave privada en el interior del dispositivo criptográfico (el registrador introducirá personalmente las contraseñas que dan acceso al sistema de generación de certificados y requiriendo al solicitante la introducción de la clave de acceso al dispositivo que protege la clave privada del certificado), así como que éste acepta los requisitos de asunción de la firma electrónica. Emisión e instalación del certificado: La solicitud de certificado, conteniendo la clave pública, se enviará telemáticamente a la Unidad Técnica, que remitirá inmediatamente el certificado. A continuación, el certificado se introducirá en el dispositivo criptográfico. 4.1.1.2. Certificado Reconocido de Representante de Persona Jurídica En el presente caso, es necesaria la petición de cita a través de la página web para la comparecencia. El procedimiento de emisión se realizará de acuerdo con las siguientes fases: 1. Solicitud: El solicitante se conecta a la página Web https://www.registradores.org/scr/agenda. En caso de no estar dado de alta en el sistema, se debe de registrar como usuario del mismo. Una vez registrado debe cumplimentar un formulario en línea, con la información necesaria (día y hora en la unidad de tramitación elegida) para la expedición del certificado. 2. Aceptación de la solicitud y de la licencia: Después de rellenar el formulario con los datos necesarios, firmará una declaración con sus datos identificativos y los de la persona jurídica representada, inscripción registral en la que basa su representación y duración de la misma. El Operador del Registro comprobará a partir de los datos aportados por el solicitante, la existencia y la vigencia del poder. A partir de la declaración presentada, servirá para rellenarán los campos del certificado y se generará la Licencia de Uso del Certificado. Dado que la Licencia de Uso del Certificado deberá ser firmada por el Operador de Registro a cargo de la Unidad de Tramitación correspondiente es imperativo que la comparecencia personal del solicitante coincida con la presencia del Registrador en la Unidad de Tramitación, por ello el solicitante deberá seleccionar día y hora, de entre los disponibles y previamente habilitados por el Operador de la misma, como hábiles para la expedición de certificados digitales. Una vez fijada fecha y hora para la comparecencia, el solicitante recibirá por correo electrónico un justificante de la cita concertada. Posteriormente, el solicitante se persona en la unidad de tramitación con el identificador de la cita, y con un documento de identificación con el NIF, NIE, pasaporte u otro documento identificativo equivalente. Dicho identificador será entregado al Oficial de Registro quien lo introduce en el sistema (recupera los datos previamente introducidos). De nuevo, se vuelven a hacer las comprobaciones de autenticación descritas en el apartado 3.2.3 de la presente PC, y el Operador del Registro comprobará a partir de los datos aportados, la existencia y la vigencia del poder, y que en el caso de ser correcta la información se pasará al siguiente punto. También comprobará si existe otro certificado de la misma clase, a nombre del mismo titular y acreditativo de la misma representación y, de ser así, procederá a su revocación previa a la emisión del nuevo certificado. NOTA: Cuando se solicite el certificado en una Unidad de Tramitación distinta de la del Registro en que esté inscrita la representación, el registrador Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 33 de 67 correspondiente a la Unidad de Tramitación certificará la vigencia de la representación del solicitante. Sin perjuicio de ello, se entregará al solicitante su certificado según lo dispuesto anteriormente. Con la comparecencia del usuario, en única instancia, en la Unidad de Tramitación correspondiente se da paso, de ser positivo el trámite de verificación de identidad y atributos certificables, al proceso de emisión del Certificado Digital de suscriptor, el cual ira firmado por la CA a fin de establecer la cadena de confianza en la que se basa la Firma Electrónica Reconocida. Una vez realizado el trámite de identificación y, en su caso, el de comprobación de atributos del solicitante, el operador imprimirá dos copias de la licencia de uso y de la solicitud de revocación, en los casos que proceda. Ambas copias deberán ser firmadas por el solicitante y el operador, quedando una copia en poder de cada uno de ellos. La Unidad de Tramitación deberá conservar la licencia firmada durante un plazo de quince años, a contar desde la caducidad o revocación del certificado. 3. Generación de claves y asignación de contraseñas: la Unidad de Tramitación correspondiente entregará al suscriptor un dispositivo criptográfico sin inicializar y este introducirá la contraseña de acceso y ordenará la generación de las claves dentro del dispositivo criptográfico. El suscriptor deberá introducir personalmente la contraseña de acceso al dispositivo criptográfico, de modo que esta no sea conocida en ningún momento por el CORPME. El Registrador al frente de la Unidad de Tramitación correspondiente certificará que la firma ha sido creada con la intervención personal del solicitante, generándose la clave privada en el interior del dispositivo criptográfico (el registrador introducirá personalmente las contraseñas que dan acceso al sistema de generación de certificados y requiriendo al solicitante la introducción de la clave de acceso al dispositivo que protege la clave privada del certificado), así como que éste acepta los requisitos de asunción de la firma electrónica. Emisión e instalación del certificado: la solicitud de certificado, conteniendo la clave pública, se enviará telemáticamente a la Unidad Técnica, que remitirá inmediatamente el certificado. A continuación, el certificado se introducirá en el dispositivo criptográfico. 4.1.1.3. Certificado Reconocido de Representante de Persona sin Entidad Jurídica En el presente caso, es necesaria la petición de cita a través de la página web para la comparecencia. El procedimiento de emisión se realizará de acuerdo con las siguientes fases: 1. Solicitud: El solicitante se conecta a la página Web https://www.registradores.org/scr/agenda. En caso de no estar dado de alta en el sistema, se debe de registrar como usuario del mismo. Una vez registrado debe cumplimentar un formulario en línea, con la información necesaria (día y hora en la unidad de tramitación elegida) para la expedición del certificado. 2. Aceptación de la solicitud y de la licencia: Después de rellenar el formulario con los datos necesarios, firmará una declaración con sus datos identificativos y los de la entidad sin persona jurídica representada, así como el CVE del BOE donde conste el nombramiento sobre la entidad sin personalidad Jurídica. El Operador del Registro comprobará a partir de los datos aportados por el solicitante, la existencia de la titularidad o capacidad de actuación en nombre de la entidad. A partir de la declaración presentada, servirá para rellenar los campos del certificado y se generará la Licencia de Uso del Certificado. Dado que la Licencia de Uso del Certificado deberá ser firmada por el Operador de Registro a cargo de la Unidad de Tramitación correspondiente es imperativo que la comparecencia personal del solicitante coincida con la presencia del Registrador en la Unidad de Tramitación, por ello el solicitante deberá seleccionar día y hora, de entre los disponibles y previamente habilitados por el Operador de la misma, como hábiles para la expedición de certificados Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 34 de 67 digitales. Una vez fijada fecha y hora para la comparecencia, el solicitante recibirá por correo electrónico un justificante de la cita concertada. Posteriormente, el solicitante se persona en la unidad de tramitación con el identificador de la cita, y con un documento de identificación con el NIF, NIE, pasaporte u otro documento identificativo equivalente. Dicho identificador será entregado al Oficial de Registro quien lo introduce en el sistema (recupera los datos previamente introducidos). De nuevo, se vuelven a hacer las comprobaciones de autenticación descritas en el apartado 3.2.3 de la presente PC, y el Operador del Registro comprobará a partir de los datos aportados, la existencia y la vigencia de la titularidad o capacidad de actuación en nombre de la entidad, y que en el caso de ser correcta la información se pasará al siguiente punto. También comprobará si existe otro certificado de la misma clase, a nombre del mismo titular y acreditativo de la misma representación y, de ser así, procederá a su revocación previa a la emisión del nuevo certificado. Con la comparecencia del usuario, en única instancia, en la Unidad de Tramitación correspondiente se da paso, de ser positivo el trámite de verificación de identidad y atributos certificables, al proceso de emisión del Certificado Digital de suscriptor, el cual ira firmado por la CA a fin de establecer la cadena de confianza en la que se basa la Firma Electrónica Reconocida. Una vez realizado el trámite de identificación y, en su caso, el de comprobación de atributos del solicitante, el operador imprimirá dos copias de la licencia de uso y de la solicitud de revocación, en los casos que proceda. Ambas copias deberán ser firmadas por el solicitante y el operador, quedando una copia en poder de cada uno de ellos. La Unidad de Tramitación deberá conservar la licencia firmada durante un plazo de quince años, a contar desde la caducidad o revocación del certificado. 3. Generación de claves y asignación de contraseñas: la Unidad de Tramitación correspondiente entregará al suscriptor un dispositivo criptográfico sin inicializar y este introducirá la contraseña de acceso y ordenará la generación de las claves dentro del dispositivo criptográfico. El suscriptor deberá introducir personalmente la contraseña de acceso al dispositivo criptográfico, de modo que esta no sea conocida en ningún momento por el CORPME. El Registrador al frente de la Unidad de Tramitación correspondiente certificará que la firma ha sido creada con la intervención personal del solicitante, generándose la clave privada en el interior del dispositivo criptográfico (el registrador introducirá personalmente las contraseñas que dan acceso al sistema de generación de certificados y requiriendo al solicitante la introducción de la clave de acceso al dispositivo que protege la clave privada del certificado), así como que éste acepta los requisitos de asunción de la firma electrónica. Emisión e instalación del certificado: la solicitud de certificado, conteniendo la clave pública, se enviará telemáticamente a la Unidad Técnica, que remitirá inmediatamente el certificado. A continuación, el certificado se introducirá en el dispositivo criptográfico. 4.1.1.4. Certificados Reconocidos de Cargo Administrativo En el presente caso, no es necesaria la petición de cita a través de la página web para la comparecencia. El procedimiento de emisión se realizará de acuerdo con las siguientes fases: 1. Solicitud: Debido a que no es necesaria una cita previa, se creará una falsa para solicitar y validar los datos del usuario y proceder a la invocación de la emisión del certificado. El solicitante se persona en la unidad de tramitación con el identificador de la cita, con el NIF, NIE, pasaporte u otro, y una certificación expedida por la administración representada acreditativa de su cargo y de estar en activo. Dicho identificador será entregado al Oficial de Registro quien lo introduce en el sistema (recupera los datos previamente introducidos). Para la autenticación de la persona física, tanto para nacionales como para extranjeros, y de la documentación acreditativa del atributo certificable de que se trate en virtud del tipo de Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 35 de 67 certificado, se seguirá el procedimiento recogido en el apartado denominado “Autenticación del solicitante cuando sea persona física”. Previamente a la emisión del certificado, la Unidad de Tramitación comprobará si existe otro certificado de la misma clase y a nombre del mismo titular y, de ser así, procederá a su revocación. 2. Aceptación de la licencia: Una vez realizado el trámite de identificación y, en su caso, el de comprobación de atributos del solicitante, el operador imprimirá dos copias de la licencia de uso y de la solicitud de revocación, en los casos que proceda. Ambas copias deberán ser firmadas por el solicitante y el operador, quedando una copia en poder de cada uno de ellos. La Unidad de Tramitación deberá conservar la licencia firmada durante un plazo de quince años, a contar desde la caducidad o revocación del certificado. 3. Generación de claves y asignación de contraseñas: la Unidad de Tramitación correspondiente entregará al suscriptor un dispositivo criptográfico sin inicializar y este introducirá la contraseña de acceso y ordenará la generación de las claves dentro del dispositivo criptográfico. El suscriptor deberá introducir personalmente la contraseña de acceso al dispositivo criptográfico, de modo que esta no sea conocida en ningún momento por el CORPME. El Registrador al frente de la Unidad de Tramitación correspondiente certificará que la firma ha sido creada con la intervención personal del solicitante, generándose la clave privada en el interior del dispositivo criptográfico (el registrador introducirá personalmente las contraseñas que dan acceso al sistema de generación de certificados y requiriendo al solicitante la introducción de la clave de acceso al dispositivo que protege la clave privada del certificado), así como que éste acepta los requisitos de asunción de la firma electrónica. 4. Emisión e instalación del certificado: la solicitud de certificado, conteniendo la clave pública, se enviará telemáticamente a la Unidad Técnica, que remitirá inmediatamente el certificado. A continuación, el certificado se introducirá en el dispositivo criptográfico. Además, el CORPME notificará electrónicamente a la administración representada, en la dirección electrónica por ella facilitada, la emisión del certificado, a los efectos de darle conocimiento y posibilitar la comunicación de revocación del certificado por cese del funcionario titular. 4.1.1.5. Certificados Reconocidos de Administración Local En el presente caso, no es necesaria la petición de cita a través de la página web para la comparecencia. El procedimiento de emisión se realizará de acuerdo con las siguientes fases: 1. Solicitud: Debido a que no es necesaria una cita previa, se creará una falsa para solicitar y validar los datos del usuario y proceder a la invocación de la emisión del certificado. El solicitante se persona en la unidad de tramitación con el identificador de la cita, con el NIF, NIE, pasaporte u otro, y una certificación expedida por la administración representada acreditativa de su cargo y de estar en activo. Dicho identificador será entregado al Oficial de Registro quien lo introduce en el sistema (recupera los datos previamente introducidos). Para la autenticación de la persona física, tanto para nacionales como para extranjeros, y de la documentación acreditativa del atributo certificable de que se trate en virtud del tipo de certificado, se seguirá el procedimiento recogido en el apartado denominado “Autenticación del solicitante cuando sea persona física”. Previamente a la emisión del certificado, la Unidad de Tramitación comprobará si existe otro certificado de la misma clase y a nombre del mismo titular y, de ser así, procederá a su revocación. 2. Aceptación de la licencia: Una vez realizado el trámite de identificación y, en su caso, el de comprobación de atributos del solicitante, el operador imprimirá dos copias de la licencia de uso y de la solicitud de revocación, en los casos que proceda. Ambas copias deberán ser firmadas por el solicitante y el operador, quedando una copia en poder de cada uno de ellos. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 36 de 67 La Unidad de Tramitación deberá conservar la licencia firmada durante un plazo de quince años, a contar desde la caducidad o revocación del certificado. 3. Generación de claves y asignación de contraseñas: la Unidad de Tramitación correspondiente entregará al suscriptor un dispositivo criptográfico sin inicializar y este introducirá la contraseña de acceso y ordenará la generación de las claves dentro del dispositivo criptográfico. El suscriptor deberá introducir personalmente la contraseña de acceso al dispositivo criptográfico, de modo que esta no sea conocida en ningún momento por el CORPME. El Registrador al frente de la Unidad de Tramitación correspondiente certificará que la firma ha sido creada con la intervención personal del solicitante, generándose la clave privada en el interior del dispositivo criptográfico (el registrador introducirá personalmente las contraseñas que dan acceso al sistema de generación de certificados y requiriendo al solicitante la introducción de la clave de acceso al dispositivo que protege la clave privada del certificado), así como que éste acepta los requisitos de asunción de la firma electrónica. 4. Emisión e instalación del certificado: la solicitud de certificado, conteniendo la clave pública, se enviará telemáticamente a la Unidad Técnica, que remitirá inmediatamente el certificado. A continuación, el certificado se introducirá en el dispositivo criptográfico. Además, el CORPME notificará electrónicamente a la administración representada, en la dirección electrónica por ella facilitada, la emisión del certificado, a los efectos de darle conocimiento y posibilitar la comunicación de revocación del certificado por cese del funcionario titular. 4.1.1.6. Certificados Reconocidos de Profesional En el presente caso, es necesaria la petición de cita a través de la página web para la comparecencia. El procedimiento de emisión se realizará de acuerdo con las siguientes fases: 1. Solicitud: El solicitante se conecta a la página Web https://www.registradores.org/scr/agenda. En caso de no estar dado de alta en el sistema, se debe de registrar como usuario del mismo. Una vez registrado debe cumplimentar un formulario en línea, con la información necesaria (día y hora en la unidad de tramitación elegida) para la expedición del certificado, a partir de la cual se rellenarán los campos del mismo y se generará la Licencia de Uso del Certificado. Dado que la Licencia de Uso del Certificado deberá ser firmada por el Operador de Registro a cargo de la Unidad de Tramitación correspondiente es imperativo que la comparecencia personal del solicitante coincida con la presencia del Registrador en la Unidad de Tramitación, por ello el solicitante deberá seleccionar día y hora, de entre los disponibles y previamente habilitados por el Operador de la misma, como hábiles para la expedición de certificados digitales. Una vez fijada fecha y hora para la comparecencia, el solicitante recibirá por correo electrónico un justificante de la cita concertada. Posteriormente, el solicitante se persona en la unidad de tramitación con el identificador de la cita, con el NIF, NIE, pasaporte u otro, y una certificación expedida por su colegio profesional acreditativa de su profesión y de estar en activo. La certificación expedida por el colegio profesional podrá ser sustituida por la validación electrónica de la pertenencia al colegio o colectivo profesional, realizada mediante servicios Web en virtud de convenios existentes con dichas corporaciones profesionales. Dicho identificador será entregado al Oficial de Registro quien lo introduce en el sistema (recupera los datos previamente introducidos). Con la comparecencia del usuario, en única instancia, en la Unidad de Tramitación correspondiente se da paso, de ser positivo el trámite de verificación de identidad y atributos certificables, al proceso de emisión del Certificado Digital de suscriptor, el cual ira firmado por la CA a fin de establecer la cadena de confianza en la que se basa la Firma Electrónica Reconocida. Para la autenticación de la persona física, tanto para nacionales como para extranjeros, y de la documentación acreditativa del atributo certificable de que se trate en virtud del tipo de Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 37 de 67 certificado, se seguirá el procedimiento recogido en el apartado denominado “Autenticación del solicitante cuando sea persona física” de la DPC. Previamente a la emisión del certificado, la Unidad de Tramitación comprobará si existe otro certificado de la misma clase y a nombre del mismo titular y, de ser así, procederá a su revocación. 2. Aceptación de la solicitud y de la licencia: Una vez realizado el trámite de identificación y, en su caso, el de comprobación de atributos del solicitante, el operador imprimirá dos copias de la licencia de uso y de la solicitud de revocación, en los casos que proceda. Ambas copias deberán ser firmadas por el solicitante y el operador, quedando una copia en poder de cada uno de ellos. La Unidad de Tramitación deberá conservar la licencia firmada durante un plazo de quince años, a contar desde la caducidad o revocación del certificado. 3. Generación de claves y asignación de contraseñas: La Unidad de Tramitación correspondiente entregará al suscriptor un dispositivo criptográfico sin inicializar y este introducirá la contraseña de acceso y ordenará la generación de las claves dentro del dispositivo criptográfico. El suscriptor deberá introducir personalmente la contraseña de acceso al dispositivo criptográfico, de modo que esta no sea conocida en ningún momento por el CORPME. El Registrador al frente de la Unidad de Tramitación correspondiente certificará que la firma ha sido creada con la intervención personal del solicitante, generándose la clave privada en el interior del dispositivo criptográfico (el registrador introducirá personalmente las contraseñas que dan acceso al sistema de generación de certificados y requiriendo al solicitante la introducción de la clave de acceso al dispositivo que protege la clave privada del certificado), así como que éste acepta los requisitos de asunción de la firma electrónica. 4. Emisión e instalación del certificado: La solicitud de certificado, conteniendo la clave pública, se enviará telemáticamente a la Unidad Técnica, que remitirá inmediatamente el certificado. A continuación, el certificado se introducirá en el dispositivo criptográfico. Además, el CORPME notificará electrónicamente al Colegio Profesional respectivo, en la dirección electrónica por éste facilitada, la emisión del certificado, a los efectos de darle conocimiento y posibilitar la comunicación de revocación del certificado derivada de un posible cese en la actividad del titular. 4.1.2. Re g is tro d e la s s o lic itu d e s d e c e rtific a do s y re s p o n s a b ilid a d e s d e lo s s o lic ita n te s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.2. Tra m ita c ió n d e la s s o lic itu d e s d e c e rtific a d o s 4.2.1. Re a liza c ió n d e la s fu n c io n e s de id e n tific a c ió n y a u te n tic a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.2.2. Ap ro b a c ió n o d e n e g a c ió n d e la s s o lic itu d e s d e c e rtific a d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.2.3. P la zo p a ra la tra m ita c ió n d e la s s o lic itu d e s d e c e rtific a d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 38 de 67 4.3. Em is ió n d e c e rtific a d o s 4.3.1. Ac tu a c io n e s d e la CA d u ra n te la e m is ió n de l c e rtific a d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.3.2. No tific a c ió n a l s o lic ita n te d e la e m is ió n p or la CA d e l c e rtific a do En las solicitudes de los certificados en las que se incluya el correo electrónico del interesado, se enviará un email notificando al solicitante la emisión del certificado por parte de la CA. Este email solamente será a título informativo. Esta notificación es aplicable a los siguientes certificados: Certificado Reconocido Personal Certificado Reconocido de Representante de Persona Jurídica Certificado Reconocido de Representante de Entidad sin Personalidad Jurídica Certificado Reconocido de Cargo Administrativo Certificado Reconocido de Administración Local Certificado Reconocido de Profesional 4.4. Ac e p ta c ió n d e l c e rtific a d o 4.4.1. Me c a n is m o d e a c e p ta c ió n d e l c e rtific a d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.4.2. P u b lic a c ió n d e l c e rtific a d o p o r la CA Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.4.3. No tific a c ió n d e la e m is ió n d e l c e rtific a d o p o r la CA a o tra s Au to rid a d e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.5. P a r d e c la ve s y u s o d e l c e rtific a d o 4.5.1. Us o d e la c la ve p riva d a y d e l c e rtific a d o po r e l titu la r El solicitante deberá firmar la licencia de uso del certificado, aceptando el mismo y la presente PC. La licencia incluirá necesariamente los siguientes contenidos: Los datos personales del titular: nombre y apellidos, teléfono y dirección de correo electrónico. Una declaración del titular en la que, en su caso, manifiesta haber recibido el dispositivo criptográfico conteniendo la clave privada y el certificado y en la que se compromete a utilizar ésta de acuerdo con lo dispuesto en la DPC, en el Reglamento interno del PSC y en la presente PC. El consentimiento del solicitante para la cesión de sus datos de carácter personal al CORPME en la medida en que sean necesarios para que éste preste los servicios de certificación. Estos datos se mantendrán confidencialmente en el CORPME, y nunca serán cedidos a terceros. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 39 de 67 4.5.2. Us o d e la c la ve p ú b lic a y d e l c e rtific a d o po r lo s te rc e ro s a c e p ta n te s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.6. Re n o va c ió n d e c e rtific a d o s s in c a m b io d e c la ve s 4.6.1. Circ u n s ta n c ia s pa ra la re n o va c ió n d e c e rtific a d o s s in c a m b io de c la ve s No estipulado. 4.6.2. Qu ié n p u e d e s o lic ita r la re n o va c ió n d e lo s c e rtific a d o s s in c a m b io d e c la ve s No estipulado. 4.6.3. Tra m ita c ió n de la s pe tic io n e s d e re n o va c ió n d e c e rtific a d os s in c a m b io d e c la ve s No estipulado. 4.6.4. No tific a c ió n d e la e m is ió n d e u n n u e vo c e rtific a d o a l titu la r No estipulado. 4.6.5. Fo rm a d e a c e p ta c ió n d e l c e rtific a d o s in c a m b io d e c la ve s No estipulado. 4.6.6. P u b lic a c ió n d e l c e rtific a d o s in c a m b io d e c la ve s p o r la CA No estipulado. 4.6.7. No tific a c ió n d e la e m is ió n d e l c e rtific a d o p o r la CA a o tra s Au to rid a d e s No estipulado. 4.7. Re n o va c ió n d e c e rtific a d o s c o n c a m b io d e c la ve s Los certificados digitales que emite el CORPME son susceptibles de renovación siempre con cambio de claves. Caducado o extinguido un certificado digital, por agotarse el periodo de vigencia del mismo o por concurrir alguna de las causas de extinción recogidas en la Declaración de Practicas de Certificación del CORPME, únicamente cabrá solicitar un nuevo certificado digital. El procedimiento será el mismo que para la emisión de un nuevo certificado. De todas formas, la Unidad de Tramitación Central notificará al suscriptor por correo electrónico la futura expiración de los certificados, con al menos dos (2) meses de antelación a la fecha en que se produzca, indicando al suscriptor los pasos a seguir para la obtención de un nuevo certificado. La solicitud de renovación del certificado puede ser: Presencial: Se tratará igual que una emisión inicial. No presencial: Se aplica a usuarios con un certificado activo, dentro del período de renovación definido como dos (2) meses antes de la fecha de caducidad del certificado. Únicamente se permitirá realizar una renovación no presencial una vez, la siguiente el usuario está obligado a renovar presencialmente su certificado, según dicta la normativa de firma digital. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 40 de 67 4.7.1. Circ u n s ta n c ia s pa ra u n a re n o va c ió n c o n c a m b io c la ve s d e u n c e rtific a d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.7.2. Qu ié n p u e d e pe d ir la re n o va c ió n d e lo s c e rtific a d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.7.3. Tra m ita c ió n d e la s pe tic io n e s de re n o va c ió n d e c e rtific a d o s c o n c a m b io d e c la ve s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.7.4. No tific a c ió n d e la e m is ió n d e u n n u e vo c e rtific a d o a l titu la r Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.7.5. Fo rm a d e a c e p ta c ió n d e l c e rtific a d o c o n la s c la ve s c a m b ia da s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.7.6. P u b lic a c ió n d e l c e rtific a d o c o n la s n u e va s c la ve s p o r la CA Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.7.7. No tific a c ió n d e la e m is ió n d e l c e rtific a d o p o r la CA a o tra s Au to rid a d e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.8. Mo d ific a c ió n d e c e rtific a d o s 4.8.1. Circ u n s ta n c ia s pa ra la m o d ific a c ió n d e u n c e rtific a d o No estipulado. 4.8.2. Qu ié n p u e d e s o lic ita r la m o d ific a c ió n de los c e rtific a d o s No estipulado. 4.8.3. Tra m ita c ió n de la s p e tic io n e s de m o d ific a c ió n d e c e rtific a d o s No estipulado. 4.8.4. No tific a c ió n d e la e m is ió n d e u n c e rtific a do m o d ific a d o a l titu la r No estipulado. 4.8.5. Fo rm a d e a c e p ta c ió n d e l c e rtific a d o m o d ific a d o No estipulado. 4.8.6. P u b lic a c ió n d e l c e rtific a d o m o d ific a d o p o r la CA No estipulado. 4.8.7. No tific a c ió n d e la m o d ific a c ió n d e l c e rtific a d o p o r la CA a o tra s Au to rid a d e s No estipulado. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 41 de 67 4.9. Re vo c a c ió n y s u s p e n s ió n d e c e rtific a d o s 4.9.1. Circ u n s ta n c ia s pa ra la re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.2. Qu ié n p u e d e s o lic ita r la re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.3. P ro c e d im ie n to d e s olic itu d d e re vo c a c ió n La revocación puede hacerse de dos formas: Forma presencial: Para solicitar la revocación del certificado de forma presencial el suscriptor deberá personarse ante la Unidad de Tramitación Central o ante aquella que emitió el certificado. El operador comprobará la identidad del solicitante y procederá a la revocación del certificado, guardando la solicitud de revocación firmada durante quince (15) años. Forma remota: Por causa de urgencia mediante una llamada telefónica a su Servicio de Asistencia Telefónica, como así queda recogido en el procedimiento interno que dispone el CORPME. Igualmente la revocación se podrá realizar firmando una solicitud electrónica de revocación con certificado reconocido vigente del mismo titular. La revocación se realizará de forma automática, bajo la única responsabilidad del suscriptor. 4.9.4. P e rio d o d e g ra c ia d e la s o lic itu d d e re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.5. P la zo e n e l q u e la CA d e b e re s o lve r la s o lic itu d d e re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.6. Re q u is ito s d e ve rific a c ió n d e la s re vo c a c io n e s p o r lo s te rc e ro s q u e c o n fía n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.7. Fre c u e n c ia d e e m is ión d e CRL Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.8. Tie m p o m á xim o e n tre la ge n e ra c ió n y la p u b lic a c ió n d e la s CRL Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.9. Dis p o n ib ilid a d d e u n s is te m a e n lín e a d e ve rific a c ió n de l e s ta d o d e los c e rtific a d os Además de la publicación de las CRL’s, el CORPME dispone de un servicio OCSP de validación de certificados, que implementa la “RFC6960 - X.509 Internet Public Key Infrastructure Online Certificate Status Protocol”, en los que se puede consultar el estado de revocación de un determinado certificado emitido por el PSC del CORPME. La dirección URL de acceso se encuentra publicada en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.10. Re q u is ito s d e c o m p ro b a c ió n e n lín e a d e re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 42 de 67 4.9.11. Otra s fo rm a s d e d ivu lg a c ió n d e in fo rm a c ió n d e re vo c a c ió n d is p o n ib le s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.12. Re q u is ito s e s p e c ia le s d e re vo c a c ió n d e c la ve s c o m p ro m e tid a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.13. Ca u s a s pa ra la s u s p e n s ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.14. Qu ié n p u e d e s o lic ita r la s us p e n s ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.15. P ro c e d im ie n to p a ra la s o lic itu d d e s us p e ns ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.9.16. Lím ite s d e l p e rio d o de s u s pe n s ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.10. S e rvic io s d e in fo rm a c ió n d e l e s ta d o d e c e rtific a d o s 4.10.1. Ca ra c te rís tic a s o p e ra tiva s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.10.2. Dis p o n ib ilid a d d e l s e rvic io Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.10.3. Ca ra c te rís tic a s a d ic io n a le s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.11. Extin c ió n d e la va lid e z d e u n c e rtific a d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 4.12. Cu s to d ia y re c u p e ra c ió n d e c la ve s 4.12.1. P rá c tic a s y p o lític a s d e c u s to d ia y re c u p e ra c ió n d e c la ve s No estipulado. 4.12.2. P rá c tic a s y p o lític a s d e p ro te c c ió n y re c u p e ra c ió n de la c la ve d e s e s ió n No estipulado. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 5. Fecha: 19/09/2016 Página 43 de 67 CONTROLES DE S EGURIDAD 5.1. Co n tro le s Fís ic o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.1. Ub ic a c ió n y m e d id a s d e s e g u rid a d fís ic a de la s in s ta la c io n e s d e CORP ME Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.2. Ac c e s o fís ic o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.3. S u m in is tro e lé c tric o y a c o n d ic io n a m ie n to a m b ie n ta l d e la s ins ta la c io n e s d e l CORP ME Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.4. Exp o s ic ió n a l a g u a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.5. Me d id a s c o n tra in c e n d io s e in u n d a c io n e s . Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.6. S is te m a d e a lm a c e n a m ie n to Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.7. Elim in a c ió n d e re s idu o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.1.8. P o lític a de Re s p a ld o d e In fo rm a c ió n . Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.2. Co n tro le s d e pro c e d im ie n to 5.2.1. Ro le s re s p o n s a b le s d e l c o n tro l y g e s tió n d e la P KI d e l CORP ME Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.2.2. Nú m e ro d e p e rs o n a s re q u e rid a s p o r ta re a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.2.3. Ro le s q u e re q u ie re n s e g re g a c ió n d e fu n c io n e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 44 de 67 5.3. Co n tro le s d e p e rs o n a l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.1. Re q u is ito s re la tivo s a la c u a lific a c ió n , c o n o c im ie n to y e xp e rie nc ia p ro fe s io n a le s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.2. P ro c e d im ie n to s d e c o m p ro b a c ió n d e a n te c e d e n te s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.3. Re q u e rim ie n to s de form a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.4. Re q u e rim ie n to s y fre c u e n c ia d e a c tu a liza c ió n d e la fo rm a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.5. Fre c u e n c ia y s e c u e n c ia d e ro ta c ió n de ta re a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.6. S a n c io n e s p o r a c tu a c io n e s n o a u to riza d a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.7. Re q u is ito s d e c o n tra ta c ió n d e te rc e ro s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.3.8. Do c u m e n ta c ió n p ro po rc io n a d a a l p e rs o n a l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4. P ro c e d im ie n to s de a u d ito ría d e s e gu rid a d Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.1. Tip o s d e e ve n to s re gis tra d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.2. Fre c u e n c ia d e p ro c e s a d o d e re g is tro s d e a u d ito ría Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.3. P e rio d o d e c o n s e rva c ió n d e los re g is tro s d e a u d ito ría Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.4. P ro te c c ió n de lo s re gis tro s d e a u d ito ría Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 45 de 67 5.4.5. P ro c e d im ie n to s d e re s p a ld o d e lo s re g is tro s d e a u d ito ría Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.6. S is te m a d e re c o g id a d e in fo rm a c ió n de a ud ito ría (in te rn o vs e xte rn o ) Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.7. No tific a c ió n a l s u je to c a u s a d e l e ve n to Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.4.8. An á lis is d e vu ln e ra b ilid a d e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5. Arc h iva d o d e re g is tro s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.1. Tip o d e e ve n to s a rc hiva d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.2. P e rio d o d e c o n s e rva c ió n d e re g is tro s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.3. P ro te c c ió n de l a rc h ivo Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.4. P ro c e d im ie n to s d e c o p ia d e re s p a ld o de l a rc h ivo Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.5. Re q u e rim ie n to s pa ra e l s e lla d o de tie m p o d e lo s re g is tro s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.6. S is te m a d e a rc h ivo d e in fo rm a c ió n de a u dito ría (in te rn o vs e xte rn o ) Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.5.7. P ro c e d im ie n to s p a ra o b te n e r y ve rific a r in fo rm a c ió n a rc h iva d a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.6. Ca m b io d e c la ve s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.7. Re c u p e ra c ió n a n te c o m p ro m is o d e c la ve o c a tá s tro fe Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 46 de 67 5.7.1. P ro c e d im ie n to s d e ge s tió n d e inc id e n te s y c o m p ro m is o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.7.2. Alte ra c ió n d e lo s re c u rs o s h a rdwa re , s o ftwa re y/o d a to s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.7.3. P ro c e d im ie n to d e a c tu a c ió n a n te e l c o m p ro m is o d e la c la ve p riva d a d e u n a Au to rid a d Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.7.4. In s ta la c ió n d e s p ué s d e u n d e s a s tre na tu ra l u o tro tip o d e c a tá s tro fe Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.8. Ce s e d e u n a CA o RA Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.8.1. Au to rid a d d e Ce rtific a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 5.8.2. Au to rid a d d e Re g is tro Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 47 de 67 6. CONTROLES DE S EGURIDAD TÉCNICA 6.1. Ge n e ra c ió n e in s ta la c ió n d e l p a r d e c la ve s 6.1.1. Ge n e ra c ió n d e l p a r de c la ve s Las claves de suscriptor, que tendrán una longitud de 2048 bits para todos los certificados, son generadas siempre durante la comparecencia del solicitante en la Unidad de Tramitación y con su intervención personal en el proceso de asignación de claves. La generación se realiza en todo caso dentro de un dispositivo criptográfico con un nivel de seguridad certificado como: FIPS 140-1 nivel 2, o superior, CC EAL4+ u otro con características análogas. 6.1.2. En tre g a d e la c la ve p riva d a a l titu la r La clave privada de los certificados externos es generada por el propio titular en su dispositivo criptográfico, por lo que en ningún caso será entregada al mismo. 6.1.3. En tre g a d e la c la ve p ú b lic a a l e m is o r de l c e rtific a d o La clave pública de los certificados de funcionario público se genera en el dispositivo criptográfico del titular en el puesto de emisión siendo la RA la responsable de entregar dicha clave pública a la CA. 6.1.4. En tre g a d e la c la ve p ú b lic a d e la CA a lo s te rc e ro s q u e c o n fía n La clave pública de las CA del PSC del CORPME está a disposición de los terceros que confían en el directorio web del CORPME, definido en el apartado 2.1 de esta PC. 6.1.5. Ta m a ñ o d e la s c la ve s El tamaño de las claves de los certificados externos es de 2048 bits. 6.1.6. P a rá m e tro s d e ge n e ra c ió n d e la c la ve p ú b lic a y ve rific a c ió n d e la c a lid a d La clave pública de los certificados internos está codificada de acuerdo con RFC6818. 6.1.7. Us o s a d m itid o s d e la c la ve (c a m p o Ke yUs a g e d e X.509 v3) Los usos admitidos de la clave para los certificados internos vienen dados por el valor de las extensiones Key Usage y Extended Key Usage de los mismos. El contenido de dichas extensiones para cada uno de los tipos de certificados externos se puede consultar en el apartado 7.1.2 del presente documento. 6.2. P ro te c c ió n d e la c la ve p riva d a y c o n tro le s d e in g e n ie ría d e los m ó d u lo s 6.2.1. Es tá n d a re s p a ra los m ó d u lo s c rip to g rá fic o s Los módulos utilizados para la creación de claves utilizadas por las CA del PSC del CORPME cumplan con la certificación FIPS 140-2 de nivel 3. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 48 de 67 6.2.2. Co n tro l m u ltip e rs o n a (k d e n ) d e la c la ve p riva d a Las claves privadas de los certificados externos no se encuentran bajo control multipersona. El control de dicha clave privada recae enteramente sobre el suscriptor. 6.2.3. Cu s to d ia d e la c la ve p riva d a La custodia de las claves privadas de los certificados externos la realizan los propios titulares de las mismas. 6.2.4. Co p ia d e s e g u rid a d de la c la ve p riva d a En ningún caso se realizarán copias de seguridad de las claves privadas de firma de los certificados externos para garantizar el no repudio. 6.2.5. Arc h ivo d e la c la ve p riva d a Las claves privadas de firma de los certificados externos nunca serán archivadas para garantizar el no repudio. 6.2.6. Tra n s fe re nc ia de la c la ve p riva d a a o d e s de e l m ó d u lo c rip to g rá fic o En ningún caso es posible transferir las claves privadas de firma de los certificados externos para garantizar el no repudio. 6.2.7. Alm a c e n a m ie n to d e la c la ve p riva d a e n u n m ó d u lo c rip to g rá fic o Las claves privadas de firma de los certificados externos se generan en el dispositivo criptográfico en el momento de la generación de los certificados. 6.2.8. Mé to d o d e a c tiva c ió n d e la c la ve p riva d a La activación de la clave privada la podrá efectuar el titular de la misma mediante el uso de su PIN. 6.2.9. Mé to d o d e d e s a c tiva c ió n d e la c la ve p riva d a No estipulado 6.2.10. Mé to d o d e d e s tru c c ió n d e la c la ve p riva d a No estipulado 6.2.11. Cla s ific a c ió n de lo s m ó d u lo s c rip to g rá fic o s Los módulos criptográficos utilizados cumplen el estándar FIPS 140-2 nivel 3. 6.3. Otro s a s p e c to s d e la g e s tió n d e l p a r d e c la ve s 6.3.1. Arc h ivo d e la c la ve p ú b lic a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.3.2. P e rio d o s o pe ra tivo s d e lo s c e rtific a d o s y p e rio d o d e u s o pa ra e l pa r d e c la ve s El periodo de validez de los certificados externos es de dos (2) años desde el momento de emisión del mismo. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 49 de 67 6.4. Da to s d e a c tiva c ió n 6.4.1. Ge n e ra c ió n e in s ta la c ió n d e los d a to s de a c tiva c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.4.2. P ro te c c ió n de lo s d a to s d e a c tiva c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.4.3. Otro s a s pe c to s d e los d a to s d e a c tiva c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.5. Co n tro le s d e s e g u rid a d in fo rm á tic a 6.5.1. Re q u e rim ie n to s té c n ic o s d e s e g u rida d e s pe c ífic os Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.5.2. Eva lu a c ió n d e la s e gu rid a d in fo rm á tic a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.6. Co n tro le s d e s e g u rid a d d e l c ic lo d e vid a 6.6.1. Co n tro le s d e d e s a rrollo d e s is te m a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.6.2. Co n tro le s d e g e s tió n d e s e g u rida d Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.6.3. Co n tro le s d e s e g u rida d d e l c ic lo de vid a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.7. Co n tro le s d e s e g u rid a d d e la re d Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 6.8. S e lla d o d e tie m p o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 50 de 67 7. P ERFILES DE LOS CERTIFICADOS , CRL Y OCS P 7.1. P e rfil d e c e rtific a d o 7.1.1. Nú m e ro d e ve rs ió n Los certificados están firmados electrónicamente por el CORPME con la clave privada correspondiente a la clase de los certificados externos y se emiten de acuerdo con el estándar de la Unión Internacional de Telecomunicaciones, número X-509, versión 3. 7.1.2. Exte n s io n e s d e l c e rtific a d o Las extensiones utilizadas de forma genérica en los certificados son: Subject Key Identifier Certificate Policies Basic Constraints Key Usage Thumbprint algorithm Thumbprint Subject Alternative Names CRL Distribution Points Extensiones de certificado cualificado EU (EU-qualified) 7.1.2.1. o Qualified Certificate Statements o QCSyntax v2 o EU Qualified Certificate Policy Identifier Certificado Reconocido Personal A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Campo Contenido Propuesto Crítica Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Externa 3. Validity 2 años 4. Subject Public Key Info Algoritmo: RSA Encryption de los Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 51 de 67 Longitud: 2048 bits 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1. 17276.0.2.1.2 5.2 Policy Qualifier ID 5.2.1 CPS Pointer http://pki.registradores.org/normativa/ind ex.htm NO 5.2.2 User Notice 5.3 EU Qualified Certificate Policy Identifier 6. Subject Alternative Names Certificado Reconocido Personal, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QCP-natural-qscd (0.4.0.194112.1.2) Rfc822Name=correo_personal@domain.co m 1.3.6.1.4.1.17276.1.0.0.1: Dirección Postal 1.3.6.1.4.1.17276.1.0.0.2: Nombre NO 1.3.6.1.4.1.17276.1.0.0.3: Apellido1 Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. 1.3.6.1.4.1.17276.1.0.0.4: Apellido2 1.3.6.1.4.1.17276.1.0.0.5: NIF 7. crlDistributionPoint 8. Authority Information Access (AIA) 9. KeyUsage 10. extKeyUsage 11. Qualified Certificate Statements (1) HTTP: http://pki.registradores.org/crls/crl_ext_p sc_corpme.crl (2) LDAP: ldap://ldap.registradores.org/ CN=AC%20EXTERNA, O=Colegio%20de%20Registradores% 20–%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Externa): http://pki.registradores.org/certificados/a c_ext_psc_corpme.crt Digital Signature Non Repudiation Key Agreement clientAuth emailProtection QCCompliance (0.4.0.1862.1.1) QcEuRetentionPeriod (0.4.0.1862.1.3) = 15 años QCSSCD (0.4.0.1862.1.4) QcPDS (0.4.0.1862.1.5) = [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such identities. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. SI NO NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 https://pki.registradores.org/norma tiva/en/tsp_information.htm QcType-esign (0.4.0.1862.1.6.1) establecidas por la norma ETSI 12. QCSyntax-v2 id-etsi-qcs-SemanticsId-Natural (0.4.0.194121.1.1) NO 13. Restricciones básicas Entidad Final = TRUE SI 7.1.2.2. Página 52 de 67 QcSemantics para persona física Certificado Reconocido de Representante de Persona Jurídica A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Campo Contenido Propuesto Crítica Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Externa 3. Validity 4. Subject Public Key Info de los 2 años Algoritmo: RSA Encryption Longitud: 2048 bits 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1.17276.0.2.2.2 5.2 Policy Qualifier ID 5.2.1 CPS Pointer 5.2.2 User Notice http://pki.registradores.org/normativa/ind ex.htm Certificado Reconocido de Representante de Entidad Jurídica, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) NO 5.3 EU Qualified Certificate Policy Identifier QCP-natural-qscd (0.4.0.194112.1.2) En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI 5.4 Policy Identifier 2.16.724.1.3.5.8 Certificado de representante de persona jurídica reconocido por el Ministerio de Hacienda. 6. Subject Alternative Names Rfc822Name = correo_representante@domain.com NO 1.3.6.1.4.1.17276.1.0.0.1: Dirección Postal [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 1.3.6.1.4.1.17276.1.0.0.2 Nombre Página 53 de 67 4.2.1.7) to identities. 1.3.6.1.4.1.17276.1.0.0.3 Apellido1 describe such Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. 1.3.6.1.4.1.17276.1.0.0.4 Apellido2 1.3.6.1.4.1.17276.1.0.0.5 NIF 1.3.6.1.4.1.17276.1.2.2.3: Cargo 1.3.6.1.4.1.17276.1.2.2.4: Datos de Inscripción: Código LEI 1.3.6.1.4.1.17276.1.2.2.5: Código Registro 1.3.6.1.4.1.17276.1.2.2.6: Hoja 1.3.6.1.4.1.17276.1.2.2.7: Tomo 1.3.6.1.4.1.17276.1.2.2.8: Sección 1.3.6.1.4.1.17276.1.2.2.9: Libro 1.3.6.1.4.1.17276.1.2.2.10: Folio 1.3.6.1.4.1.17276.1.2.2.11: Inscripción 7. crlDistributionPoint 8. Authority Information Access (AIA) 9. KeyUsage 10. extKeyUsage 11. Qualified Certificate Statements (1) HTTP: http://pki.registradores.org/crls/crl_ext_p sc_corpme.crl (2) LDAP: ldap://ldap.registradores.org/ CN=AC%20EXTERNA, O=Colegio%20de%20Registradores% 20–%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Externa): http://pki.registradores.org/certificados/a c_ext_psc_corpme.crt Digital Signature Non Repudiation Key Agreement clientAuth emailProtection QCCompliance (0.4.0.1862.1.1) QcEuRetentionPeriod (0.4.0.1862.1.3) = 15 años QCSSCD (0.4.0.1862.1.4) QcPDS (0.4.0.1862.1.5) = https://pki.registradores.org/norma tiva/en/tsp_information.htm QcType-esign (0.4.0.1862.1.6.1) NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. SI NO NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QcSemantics para persona física 12. QCSyntax-v2 id-etsi-qcs-SemanticsId-Natural (0.4.0.194121.1.1) NO 13. Restricciones básicas Entidad Final = TRUE SI 7.1.2.3. Certificado Reconocido de Representante de Entidad sin Personalidad Jurídica A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Campo Fecha: 19/09/2016 Contenido Propuesto Crítica Página 54 de 67 Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Externa 3. Validity 4. Subject Public Key Info de los 2 años Algoritmo: RSA Encryption Longitud: 2048 bits 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1.17276.0.2.6.1 5.2 Policy Qualifier ID 5.2.1 CPS Pointer 5.2.2 User Notice http://pki.registradores.org/normativa/ind ex.htm Certificado Reconocido de Representante de Entidad sin Personalidad Jurídica, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) NO QCP-natural-qscd (0.4.0.194112.1.2) En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI 5.4 Policy Identifier 2.16.724.1.3.5.9 Certificado de representante de entidad sin personalidad jurídica reconocido por el Ministerio de Hacienda. 6. Subject Alternative Names Rfc822Name = correo_representante@domain.com 5.3 EU Qualified Certificate Policy Identifier 1.3.6.1.4.1.17276.1.0.0.1: Dirección Postal 1.3.6.1.4.1.17276.1.0.0.2 Nombre NO 1.3.6.1.4.1.17276.1.0.0.3 Apellido1 Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. 1.3.6.1.4.1.17276.1.0.0.4 Apellido2 1.3.6.1.4.1.17276.1.0.0.5 NIF 1.3.6.1.4.1.17276.1.2.6.1: Cargo 7. crlDistributionPoint (1) HTTP: http://pki.registradores.org/crls/crl_ext_p sc_corpme.crl [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such identities. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 8. Authority Information Access (AIA) 9. KeyUsage 10. extKeyUsage 11. Qualified Certificate Statements Fecha: 19/09/2016 (2) LDAP: ldap://ldap.registradores.org/ CN=AC%20EXTERNA, O=Colegio%20de%20Registradores% 20–%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Externa): http://pki.registradores.org/certificados/a c_ext_psc_corpme.crt Digital Signature Non Repudiation Key Agreement clientAuth emailProtection QCCompliance (0.4.0.1862.1.1) QcEuRetentionPeriod (0.4.0.1862.1.3) = 15 años QCSSCD (0.4.0.1862.1.4) QcPDS (0.4.0.1862.1.5) = https://pki.registradores.org/norma tiva/en/tsp_information.htm QcType-esign (0.4.0.1862.1.6.1) Por tanto, se utilizarán los protocolos HTTP y LDAP. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. SI NO NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QcSemantics para persona física 12. QCSyntax-v2 id-etsi-qcs-SemanticsId-Natural (0.4.0.194121.1.1) NO 13. Restricciones básicas Entidad Final = TRUE SI 7.1.2.4. Página 55 de 67 Certificado Reconocido de Cargo Administrativo A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Campo Contenido Propuesto Crítica Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Externa 3. Validity 4. Subject Public Key Info de los 2 años Algoritmo: RSA Encryption Longitud: 2048 bits 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1. 17276.0.2.3.2 NO Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 56 de 67 5.2 Policy Qualifier ID 5.2.1 CPS Pointer 5.2.2 User Notice 5.3 EU Qualified Certificate Policy Identifier 6. Subject Alternative Names http://pki.registradores.org/normativa/ind ex.htm Certificado Reconocido de Cargo Administrativo, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QCP-natural-qscd (0.4.0.194112.1.2) Rfc822Name=correo_cargo@domain.com 1.3.6.1.4.1.17276.1.0.0.1: Dirección Postal 1.3.6.1.4.1.17276.1.0.0.2 Nombre 1.3.6.1.4.1.17276.1.0.0.3 Apellido1 1.3.6.1.4.1.17276.1.0.0.4 Apellido2 1.3.6.1.4.1.17276.1.0.0.5 NIF 1.3.6.1.4.1.17276.1.2.3.1: Cargo Administrativo NO [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such identities. Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. 1.3.6.1.4.1.17276.1.2.3.2: Administración 1.3.6.1.4.1.17276.1.2.3.3: Órgano administrativo representado 1.3.6.1.4.1.17276.1.2.3.4: Unidad local 7. crlDistributionPoint 8. Authority Information Access (AIA) 9. KeyUsage 10. extKeyUsage 11. Qualified Certificate Statements (1) HTTP: http://pki.registradores.org/crls/crl_ext_p sc_corpme.crl (2) LDAP: ldap://ldap.registradores.org/ CN=AC%20EXTERNA, O=Colegio%20de%20Registradores% 20–%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Externa): http://pki.registradores.org/certificados/ http://pki.registradores.org/certificados/ ac_ext_psc_corpme.crt Digital Signature Non Repudiation Key Agreement clientAuth emailProtection QCCompliance (0.4.0.1862.1.1) QcEuRetentionPeriod (0.4.0.1862.1.3) = 15 años NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. SI NO NO En cumplimiento de la normativa Europea 910/2014 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 QCSSCD (0.4.0.1862.1.4) QcPDS (0.4.0.1862.1.5) = https://pki.registradores.org/norma tiva/en/tsp_information.htm QcType-esign (0.4.0.1862.1.6.1) y siguiendo las recomendaciones establecidas por la norma ETSI 12. QCSyntax-v2 id-etsi-qcs-SemanticsId-Natural (0.4.0.194121.1.1) NO 13. Restricciones básicas Entidad Final = TRUE SI 7.1.2.5. Página 57 de 67 QcSemantics para persona física Certificado Reconocido de Administración Local A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Campo Contenido Propuesto Crítica Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Externa 3. Validity 4. Subject Public Key Info de los 2 años Algoritmo: RSA Encryption Longitud: 2048 bits 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1. 17276.0.2.4.2 5.2 Policy Qualifier ID 5.2.1 CPS Pointer 5.2.2 User Notice 5.3 EU Qualified Certificate Policy Identifier 6. Subject Alternative Names http://pki.registradores.org/normativa/ind ex.htm Certificado Reconocido de Administración Local, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QCP-natural-qscd (0.4.0.194112.1.2) Rfc822Name=correo_cargo@domain.com 1.3.6.1.4.1.17276.1.2.4.1: Cargo 1.3.6.1.4.1.17276.1.2.4.2: Provincia de la Administración Local 1.3.6.1.4.1.17276.1.2.4.3: Unidad local NO [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 58 de 67 1.3.6.1.4.1.17276.1.0.0.1: Dirección Postal identities. 1.3.6.1.4.1.17276.1.0.0.2: Nombre Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. 1.3.6.1.4.1.17276.1.0.0.3: Apellido1 1.3.6.1.4.1.17276.1.0.0.4: Apellido2 1.3.6.1.4.1.17276.1.0.0.5: NIF 2.16.724.1.3.5.7.1.1: CERTIFICADO ELECTRONICO DE EMPLEADO PUBLICO 2.16.724.1.3.5.7.1.2: Entidad propietaria 2.16.724.1.3.5.7.1.3: NIF Entidad Propietaria Requerido (LAESCP) 2.16.724.1.3.5.7.1.4: DNI del responsable del certificado por RD 668/2015 2.16.724.1.3.5.7.1.6: Nombre 2.16.724.1.3.5.7.1.7: Apellido1 2.16.724.1.3.5.7.1.8: Apellido2 7. crlDistributionPoint 8. Authority Information Access (AIA) 9. KeyUsage 10. extKeyUsage 11. Qualified Certificate Statements (1) HTTP: http://pki.registradores.org/crls/crl_ext_p sc_corpme.crl (2) LDAP: ldap://ldap.registradores.org/ CN=AC%20EXTERNA, O=Colegio%20de%20Registradores% 20–%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Externa): http://pki.registradores.org/certificados/a c_ext_psc_corpme.crt Digital Signature Non Repudiation Key Agreement clientAuth emailProtection QCCompliance (0.4.0.1862.1.1) QcEuRetentionPeriod (0.4.0.1862.1.3) = 15 años QCSSCD (0.4.0.1862.1.4) QcPDS (0.4.0.1862.1.5) = https://pki.registradores.org/norma tiva/en/tsp_information.htm QcType-esign (0.4.0.1862.1.6.1) NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. NO Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. SI NO NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QcSemantics para persona física 12. QCSyntax-v2 id-etsi-qcs-SemanticsId-Natural (0.4.0.194121.1.1) NO 13. Restricciones básicas Entidad Final = TRUE SI 7.1.2.6. Certificado Reconocido de Profesional A continuación se presenta un detalle de las extensiones del certificado X.509 v3 más significativas: Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Campo Fecha: 19/09/2016 Contenido Propuesto Crítica Página 59 de 67 Observaciones OID: 1.2.840.113549.1.1.11 1. Signature Algorithm sha256WithRSAEncryption Norma PKCS#1 v2.1 y RFC 3447. C=ES, organizationIdentifier=VATES-Q2863012G, 2. Issuer O=Colegio de Registradores de la Propiedad y Mercantiles, CN=Autoridad de Certificación Registradores - AC Externa 3. Validity 4. Subject Public Key Info de los 2 años Algoritmo: RSA Encryption Longitud: 2048 bits 5. Certificate Policies Se utilizará 5.1 Policy Identifier 1.3.6.1.4.1.17276.0.2.5.2 5.2 Policy Qualifier ID 5.2.1 CPS Pointer 5.2.2 User Notice http://pki.registradores.org/normativa/ind ex.htm Certificado Reconocido de Profesional, sujeto a la Declaración de Prácticas de Certificación del Colegio de Registradores de la Propiedad y Mercantiles de España (© 2016) 5.3 EU Qualified Certificate Policy Identifier QCP-natural-qscd (0.4.0.194112.1.2) 6. Subject Alternative Names Rfc822Name=correo_profesional@domain.c om NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI 1.3.6.1.4.1.17276.1.2.5.1: Colectivo profesional al que está adscrito el titular del certificado 1.3.6.1.4.1.17276.1.0.0.1: Dirección Postal NO 1.3.6.1.4.1.17276.1.0.0.2 Nombre Simultaneous inclusion of the EmailAddress attribute in the subject distinguished name to support legacy implementations is deprecated but permitted. 1.3.6.1.4.1.17276.1.0.0.3 Apellido1 1.3.6.1.4.1.17276.1.0.0.4 Apellido2 1.3.6.1.4.1.17276.1.0.0.5 NIF 7. crlDistributionPoint (1) HTTP: http://pki.registradores.org/crls/crl_ext_p sc_corpme.crl NO (2) LDAP: ldap://ldap.registradores.org/ CN=AC%20EXTERNA, [RFC5280]: Conforming implementations generating new certificates with electronic mail addresses MUST use the rfc822Name in the subject alternative name field (section 4.2.1.7) to describe such identities. Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 8. Authority Information Access (AIA) 9. KeyUsage 10. extKeyUsage 11. Qualified Certificate Statements Fecha: 19/09/2016 O=Colegio%20de%20Registradores% 20–%20Q2863012G, C=ES?certificateRevocationList?base ?objectclass=cRLDistributionPoint Access Method: id-ad-ocsp Access Location: http://ocsp.registradores.org/ Access Method: id-ad-calssuers Access Location (AC Subordinada Externa): http://pki.registradores.org/certificados/a c_ext_psc_corpme.crt Digital Signature Non Repudiation Key Agreement clientAuth emailProtection QCCompliance (0.4.0.1862.1.1) QcEuRetentionPeriod (0.4.0.1862.1.3) = 15 años QCSSCD (0.4.0.1862.1.4) QcPDS (0.4.0.1862.1.5) = https://pki.registradores.org/norma tiva/en/tsp_information.htm QcType-esign (0.4.0.1862.1.6.1) NO Página 60 de 67 Las últimas versiones de Microsoft CryptoAPI no aceptan ni HTTPS ni LDAPS. Por tanto, se utilizarán los protocolos HTTP y LDAP. SI NO NO En cumplimiento de la normativa Europea 910/2014 y siguiendo las recomendaciones establecidas por la norma ETSI QcSemantics para persona física 12. QCSyntax-v2 id-etsi-qcs-SemanticsId-Natural (0.4.0.194121.1.1) NO 13. Restricciones básicas Entidad Final = TRUE SI 7.1.3. Id e n tific a d o re s d e o bje to (OID) d e lo s a lg oritm o s Identificador de Objeto (OID) de los algoritmos Criptográficos: 1.3.6.1.4.1.17276.0.1.0.1.0 7.1.4. Fo rm a to s d e n o m b re s Los certificados internos contienen el distinguished name X.500 del emisor y del titular del certificado en los campos issuer name y subject name respectivamente. 7.1.5. Re s tric c io n e s de lo s n o m b re s Las restricciones de los nombres se encuentran descritas en el apartado 3.1.1 del presente documento. 7.1.6. Id e n tific a d o r d e o b je to (OID) d e la P olític a d e Ce rtific a c ió n Los OID para esta PC son los siguientes: Certificado Reconocido Personal: 1.3.6.1.4.1.17276.0.2.1.2 Certificados Reconocidos de Representante de Persona Jurídica: 1.3.6.1.4.1.17276.0.2.2.2 Certificados Reconocidos de Representante de Entidad sin Personalidad Jurídica: 1.3.6.1.4.1.17276.0.2.6.1 Certificados Reconocidos de Cargo Administrativo: 1.3.6.1.4.1.17276.0.2.3.2 Certificados Reconocidos de Administración local: 1.3.6.1.4.1.17276.0.2.4.2 Certificados Reconocidos de Profesional: 1.3.6.1.4.1.17276.0.2.5.2 Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 61 de 67 7.1.7. Us o d e la e xte ns ió n “P o lic yCo n s tra in ts ” No estipulado. 7.1.8. S in ta xis y s e m á n tic a d e lo s “P olic yQu a lifie r” El contenido de la extensión Certificate Policies puede consultarse en el apartado 7.1.2 del presente documento. 7.1.9. Tra ta m ie n to s e m á n tic o p a ra la e xte n s ió n c rític a “Ce rtific a te P olic y” No estipulado. 7.2. P e rfil d e CRL 7.2.1. Nú m e ro d e ve rs ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 7.2.2. CRL y e xte n s io n e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 7.3. P e rfil d e OCS P 7.3.1. Nú m e ro (s ) d e ve rs ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 7.3.2. Exte n s io n e s OCS P Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 62 de 67 8. AUDITORÍAS DE CUMP LIMIENTO Y OTROS CONTROLES 8.1. Fre c u e n c ia o c irc u n s ta n c ia s d e lo s c o n trole s p a ra c a d a Au to rid a d Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 8.2. Id e n tific a c ió n /c u a lific a c ió n d e l a u d ito r Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 8.3. Re la c ió n e n tre e l a u d ito r y la Au to rid a d a u d ita d a Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 8.4. As p e c to s c u b ie rto s p o r lo s c o n tro le s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 8.5. Ac c io n e s d e fic ie n c ia s a to m a r c o m o re s u lta d o d e la d e te c c ió n d e Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 8.6. Co m u n ic a c ió n d e re s u lta d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 63 de 67 9. OTRAS CUES TIONES LEGALES Y DE ACTIVIDAD 9.1. Ta rifa s 9.1.1. Ta rifa s de e m is ió n o re n o va c ió n d e c e rtific a d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.1.2. Ta rifa s de a c c e s o a lo s c e rtific a d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.1.3. Ta rifa s de a c c e s o a la in fo rm a c ió n de e s ta d o o re vo c a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.1.4. Ta rifa s de o tro s s e rvic io s ta le s c o m o in fo rm a c ió n d e p o lític a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.1.5. P o lític a de re e m b o ls o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.2. Re s p o n s a b ilid a d e s e c o n ó m ic a s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.3. Co n fid e n c ia lid a d d e la in fo rm a c ió n Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.3.1. Ám b ito d e la in fo rm a c ió n c o n fid e n c ia l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.3.2. In fo rm a c ió n n o c o n fid e n c ia l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.3.3. De b e r d e s e c re to p rofe s io n a l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.4. P ro te c c ió n d e la in fo rm a c ió n p e rs on a l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 64 de 67 9.5. De re c h o s d e pro p ie d a d in te le c tu a l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.6. Re p re s e n ta c io n e s y g a ra n tía s 9.6.1. Ob lig a c io ne s d e la s CA Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.6.2. Ob lig a c io ne s d e la s RA Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.6.3. Ob lig a c io ne s d e lo s titu la re s de lo s c e rtific a d o s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.6.4. Ob lig a c io ne s d e lo s te rc e ro s q u e c o n fía n o a c e p ta n lo s c e rtific a d o s d e l CORP ME Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.6.5. Ob lig a c io ne s d e o tro s p a rtic ipa n te s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.7. Exe n c ió n d e re s po n s a b ilid a d e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.8. Lim ita c io n e s d e la s re s p o n s a b ilid a de s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.9. In d e m n iza c io n e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.10. P e río d o d e va lid e z 9.10.1. P la zo Esta PC entra en vigor desde el momento de su publicación en el directorio web del PSC del CORPME y se mantendrá vigente mientras no se derogue expresamente por la emisión de una nueva versión o por la renovación de las claves de la Autoridad Certificadora de CORPME, momento en que obligatoriamente se dictará una nueva versión. 9.10.2. S u s titu c ió n y d e ro g a c ió n d e la P C Esta PC será sustituida por una nueva versión con independencia de la trascendencia de los cambios efectuados en la misma, de forma que siempre será de aplicación en su totalidad. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 65 de 67 Cuando la PC quede derogada se retirará del directorio web del PSC del CORPME, si bien se conservará durante quince (15) años. 9.10.3. Efe c to s d e la fin a liza c ió n Las obligaciones y restricciones que establece esta PC, en referencia a auditorías, información confidencial, obligaciones y responsabilidades del PSC del CORPME, nacidas bajo su vigencia, subsistirán tras su sustitución o derogación por una nueva versión en todo en lo que no se oponga a ésta. 9.11. No tific a c io n e s p a rtic ip a n te s in d ivid u a le s y c o m u n ic a c io n e s con lo s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.12. P ro c e d im ie n to s de c a m bio s e n la s e s p e c ific a c io n e s 9.12.1. P ro c e d im ie n to p a ra lo s c a m b ios Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.12.2. Circ u n s ta n c ia s e n la s q u e e l OID d e be s e r c a m b ia d o Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.13. Re c la m a c io n e s Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.14. No rm a tiva a p lic a ble Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.15. Cu m p lim ie n to d e la n o rm a tiva a p lic a b le Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.16. Es tip u la c io n e s d ive rs a s 9.16.1. Clá u s u la de a c e p ta c ió n c o m p le ta Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.16.2. In d e p e n d e n c ia En el caso de que una o más estipulaciones de esta PC sean o llegasen a ser inválidas, nulas, o inexigibles legalmente, se entenderá por no puesta, salvo que dichas estipulaciones fueran esenciales de manera que al excluirlas de la PC careciera ésta de toda eficacia. Prestador del Servicio de Certificación de Registradores Políticas de Certificación de Certificados Externos del CORPME Código: REG-PKI-DPC03v1.0.1 Fecha: 19/09/2016 Página 66 de 67 9.16.3. Re s o lu c ió n p o r la vía ju d ic ia l Según lo especificado en la Declaración de Prácticas de Certificación (DPC) del CORPME. 9.17. Otra s e s tip u la c io n e s No estipulado.