Política de Certificación del Servicio de Firma Electrónica

Política de Certificación del Servicio de Firma Electrónica

Política de Certificación del Servicio
de Firma Electrónica Grafométrica
con Componente Biométrico
Versión 1.0
Ecertic Digital Solutions, S.L. - B-87428728 - Avda. Europa, 26, 2ª. Pozuelo de Alarcón (Madrid)
www.ecertic.com
Índice
1
2
3
4
5
6
Introducción ......................................................................................................................... 3
1.1
1.2
Descripción general del servicio .................................................................................. 3
Identificación del documento ...................................................................................... 4
Acrónimos ............................................................................................................................. 4
Objeto de este documento................................................................................................... 5
Marco general de prestación del servicio ............................................................................ 5
Descripción del servicio ........................................................................................................ 5
5.1
5.2
Necesidad de un servicio de firma electrónica grafométrica de documentos ............ 6
Elementos que forman parte del servicio.................................................................... 6
6.1
6.2
Protección de datos ..................................................................................................... 7
Administración ............................................................................................................. 7
Registros de actividad y auditoria ........................................................................................ 7
6.2.1
6.2.2
Políticas de sellado .............................................................................................................................. 8
Personal de administración ................................................................................................................. 8
7
Controles de seguridad física, de gestión y de operaciones ................................................ 8
9
Fin de la prestación del servicio ........................................................................................... 9
8
10
Resolución de disputas ......................................................................................................... 8
Contingencias frente a desastres ......................................................................................... 9
Página 2 de 9
1 Introducción
1.1 Descripción general del servicio
Según la evolución de los mercados y las tecnologías, desde Ecertic se ha detectado la
necesidad de construir una solución que permita a las distintas empresas y usuarios, la
firma electrónica de documentos con un grado de seguridad y usabilidad similar a la
firma manuscrita tradicional. Adicionalmente, ofrece la guarda y custodia de sus
documentos digitales, de forma segura, robusta, y con el más alto grado de garantía,
aportando componentes básicos de la firma electrónica, lo que permite garantizar la
auditoría y titularidad de los procesos de firma.
Al margen de los condicionantes técnicos, un aspecto diferenciador de la solución radica
en que Ecertic es un prestador de servicios de certificación que ha realizado la
comunicación prevista en el artículo 30.2 de la Ley 59/2003, de 19 de diciembre, de firma
electrónica. Lo que le permite actuar como Tercero de Confianza ante, en este caso, las
firmas que aplica y los propios documentos que puede llegar a custodiar.
A continuación, se describen algunas características del sistema de Firma Grafométrica
de Ecertic:
o Sistema directamente vinculado a las operaciones realizadas desde sus propios
canales comunicación, ya sean aplicaciones propias, o acceso a las
funcionalidades mediante las API´s dispuestas.
o Captura de los componentes biométricos propios de la firma manuscrita, sobre
dispositivos electrónicos dotados con las características necesarias.
o Firma electrónica de los elementos procesados por medio de certificados X509,
lo que aporta garantías adicionales de identificación del titular, no repudio,
inviolabilidad del documento, así como sello de tiempo en formato simple o
longevo.
o Custodia de los documentos por un tiempo mínimo de 5 años, tal como exige la
ley vigente, y capacidad por parte de los clientes de acceder al sistema para
eliminar documentos custodiados.
o Inserción de las firmas capturadas en los documentos procesados por medio de
aplicaciones y metodologías propias.
o Integración por medio de API´s con sistemas de terceros para garantizar la
usabilidad del servicio de firma.
o Gestión y custodia de los documentos por medio de un entorno especifico donde
se podrán realizar acciones tales como:
Página 3 de 9




Parametrizaciones de los procesos de firma
Envío de documentos a firmar
Gestión de estados y documentos firmados
Descarga de documentos firmados
o Procedimiento de custodia se realizará de manera automático desde la propia
Plataforma. Cualquier sistema eterno puede enviar un documento en formato
registrable (actualmente xml o pdf), para que, tras ser recogida la firma
grafométrica e insertada de manera segura en el mismo documento, y ser
firmado electrónicamente con un certificado digital, el sistema recoja el
documento original y lo cumplimente para su custodia.
El documento original siempre queda vinculado al custodiado, por medio de un
token de recuperación que es devuelto en el proceso de custodia, y debe ser
registrado por la empresa o usuario que requiera esa custodia.
o Acceso restringido a la recuperación de los documentos. Para realizar las tareas
de recuperación, la aplicación de custodia exige unas credenciales de acceso
específicas para los distintos clientes, y la inserción del token del documento
custodiado, y tras su validación se pueden realizar las tareas de recuperación, o
consulta.
1.2 Identificación del documento
o Nombre del documento: Política de Certificación del Servicio de Firma
Electrónica Grafométrica con Componente Biométrico.
o Versión: 1.0
o Descripción: Política de Certificación del Servicio de Firma Electrónica
Grafométrica con Componente Biométrico.
o Fecha de emisión: 6 de mayo de 2016
o Referencia del documento: Ecertic-politica-firma-electrónica-grafométrica 1_0
o Localización: http://www.Ecertic.es/pscfeg
2 Acrónimos
o
o
o
o
o
o
o
CPD: Centro de Procesamiento de Datos
DPC: Declaración de Prácticas de Certificación
CP: Política de Certificación
LTA: Long Term Archive
PSC: Prestador de Servicios de Certificación
SVA: SemanticValidationAuthority
TSA: Time StampAuthority
Página 4 de 9
o PKI: Public key infrastructure.
3 Objeto de este documento
El objeto de este documento es recoger las características del servicio de firma
electrónica grafométrica de Ecertic, la descripción técnica y funcional del servicio.
4 Marco general de prestación del servicio
Este documento añade aquellas particularidades específicas del servicio de firma
electrónica de documentos por medio de los componentes propios de la firma
biométrica manuscrita realizada por medios electrónicos recogido en la DPC de Ecertic,
con referencia a la prestación de servicios basados en firma electrónica.
De este modo, el marco general de prestación de este servicio está definido y descrito
en la DPC de Ecertic.
5 Descripción del servicio
El servicio de firma electrónica de Ecertic permite la explotación del servicio de dos
maneras diferenciadas:
o Mediante la explotación directa desde una aplicación ya sea desarrollada por
Ecertic o por terceros.
o Por medio de la integración con sistemas de terceros gracias a las API´s de
integración de las que dispone.
El Sistema de Custodia provee un entorno seguro a los clientes que requieran guardar
de manera segura sus documentos digitales, y se diferencia de otros productos ya que
se prioriza en la seguridad, la traza, la garantía, por encima de la usabilidad o la puesta
a disposición de los documentos, esto es debido a que la lógica del sistema está diseñada
para entender el Sistema de Custodia como un entorno seguro que sólo ha de ser
consultado, para la recuperación de archivos, en caso de extrema necesidad, y no como
una herramienta del día a día.
Adicionalmente, la firma electrónica que aporta la plataforma garantiza la identificación
del titular de dicho documento, así como la fecha exacta de su entrada en el sistema de
custodia.
Página 5 de 9
5.1 Necesidad de un servicio de firma electrónica grafométrica de
documentos
Ecertic ha detectado la necesidad real del mercado, de una solución de firma electrónica
de documentos, protegidos por los datos biométricos residentes en la firma manuscrita,
que pueden ser recogidos y procesados por dispositivos electrónicos, como pueden ser
PC´s, portátiles, smartphones, y que a su vez permita garantizar la integridad y la validez
de dicha firma a través del tiempo.
Actualmente son muchas las entidades que se encuentran en un periodo de
transformación de procesos de un entorno tradicional en papel, a una gestión
electrónica de algunos de sus trámites, atraídos principalmente por la reducción de
costes y la optimización de las tareas.
La Plataforma de firma electrónica presentada por Ecertic pretende acercar la firma
electrónica a los entornos productivos, proporcionando un sistema fácil, seguro,
económico, distribuido, multicanal, y sobre todo, que cumpla con todos los
requerimientos de la sociedad de la información actual, tanto en términos legales, como
técnicos y funcionales.
5.2 Elementos que forman parte del servicio
Una de las características principales del servicio de firma electrónica grafométrica
radica en el uso de distintas tecnologías para garantizar la identidad del firmante, así
como la integridad del documento que se firma, estas características se basan en:
-
Recogida de los datos biométricos obtenidos en un proceso de firma manuscrita
sobre dispositivo electrónico.
Inserción de datos biométricos recogidos, y evidencias adicionales a la firma
como parte del propio documento a firmar.
Firmado y cifrado de los componentes biométricos recogidos mediante un
certificado reconocido, custodiado a su vez por un tercero debidamente
acreditado.
Generación de certificados digitales privados por medio de un servicio PKI, a
nombre del firmante y vinculado a sus datos biométricos
Firma electrónica del documento y sus evidencias mediante el certificado
generado a nombre del firmante.
Firma con sello de tiempo oficial.
El servicio TSA que utiliza Ecertic, está subcontratado a uno de los PSC que han realizado
la comunicación prevista en el artículo 30.2 de la Ley 59/2003, de 19 de diciembre, de
firma electrónica. Y que utiliza el día y la hora consultado en el Real Observatorio de la
Armada, referencia horaria en España.
El servicio ofrecido por ECERTIC está compuesto por la mejor tecnología asociada a este
tipo de operaciones de firma electrónica según los modelos de estándares actuales y las
Página 6 de 9
mayores garantías de accesibilidad y recuperación ante desastres, aportando entre
otros:
Conexión cifrada HTTPS.
Filtros XSS.
Filtros SQL injection.
Control de acceso a contenidos de la Base de Datos.
Protección contra ataques CSRF.
Cifrado de Base de Datos.
Alta disponibilidad.
Balanceo de carga.
ISO 9001 y 27001.
Cifrado y concatenación de logs.
Base de datos redundada separando índices y ficheros, para garantizar la
integridad de los documentos introducidos.
o Acorde a la LOPD ya que el proceso de contratación del servicio identificará a
ECERTIC como responsable del tratamiento del fichero de las distintas
compañías que adquieran en sistema de custodia.
o Librería de firma electrónica compatible con certificados X509.
o Servicio TSA subcontratado a uno de los PSC que han realizado la comunicación
prevista en el artículo 30.2 de la Ley 59/2003, de 19 de diciembre, de firma
electrónica.
o
o
o
o
o
o
o
o
o
o
o
6 Registros de actividad y auditoria
Cualquier registro de actividad en el servicio de firma electrónica de documentos, se
realiza de la manera en la que se describe en la DPC de Ecertic.
6.1 Protección de datos
En lo que se refiere a la protección de las evidencias generadas por el servicio de firma
electrónica de documentos, se aplican las medidas de control y protección definidas
para el manejo de las evidencias de servicio descritas en la DPC de Ecertic.
6.2 Administración
La aplicación de gestión permite el acceso al Servicio de firma electrónica grafométrica,
para llevar a cabo trabajos administrativos sobre los documentos que contiene.
El sistema de autenticación de la aplicación requerirá que los Administradores de las
compañías se autentiquen con sus propias credenciales para realizar cualquier acción.
Página 7 de 9
Una vez se haya autenticado al Administrador, el sistema requerirá la inserción del
Token, o código identificativo del documento requerido para realizar las operaciones
disponibles. Como mínimo, las operaciones que se pueden ejecutar con la herramienta
de gestión son las siguientes:
o Consulta de informe de estado. El administrador se podrá descargar un
documento con el estado del fichero, indicando:
Fecha de entrada
Registro de operaciones
Nombre del documento original
o Descarga del fichero custodiado. El administrador se descargará el documento
custodiado.
6.2.1 Políticas de sellado
Ecertic subcontrata el servicio de sellado de tiempo a un prestador de servicios de
certificación que han realizado la comunicación prevista en el artículo 30.2 de la Ley
59/2003, de 19 de diciembre, de firma electrónica. Por tanto, el servicio de sellado de
tiempo dispondrá de una política de certificación propia del proveedor de este
servicio.
6.2.2 Personal de administración
La administración, monitorización y mantenimiento de los sistemas que soportan el
servicio de firma electrónica de documentos de Ecertic pueden ser realizados por
personal perteneciente a Ecertic o por personal subcontratado.
7 Controles de seguridad física, de gestión y de
operaciones
Los controles de seguridad física, de gestión y de operaciones que afectan al servicio
de custodia de documentos se describen en la DPC de Ecertic.
8 Resolución de disputas
Lo relativo a la resolución de disputas, en lo que respecta al servicio de firma
electrónica grafométrica de documentos, se puede encontrar detallado en el apartado
“Acceso a las evidencias generadas”, de la DPC de Ecertic.
Página 8 de 9
9 Fin de la prestación del servicio
La forma de actuar si se llegara a la finalización de la prestación del servicio de custodia
de documentos, se describe en la DPC de Ecertic.
En cualquier caso, se notificará a los clientes mediante el canal de comunicación más
adecuada unas instrucciones precisas sobre cómo recuperar los documentos
almacenados, con una suficiente antelación antes de la finalización de la prestación de
servicios.
10 Contingencias frente a desastres
En lo relacionado a las contingencias frente a desastres, se atenderá lo expuesto en la
DPC de Ecertic.
Página 9 de 9