Política de Certificación del Servicio de Firma Electrónica
Transcripción
Política de Certificación del Servicio de Firma Electrónica
Política de Certificación del Servicio de Firma Electrónica Grafométrica con Componente Biométrico Versión 1.0 Ecertic Digital Solutions, S.L. - B-87428728 - Avda. Europa, 26, 2ª. Pozuelo de Alarcón (Madrid) www.ecertic.com Índice 1 2 3 4 5 6 Introducción ......................................................................................................................... 3 1.1 1.2 Descripción general del servicio .................................................................................. 3 Identificación del documento ...................................................................................... 4 Acrónimos ............................................................................................................................. 4 Objeto de este documento................................................................................................... 5 Marco general de prestación del servicio ............................................................................ 5 Descripción del servicio ........................................................................................................ 5 5.1 5.2 Necesidad de un servicio de firma electrónica grafométrica de documentos ............ 6 Elementos que forman parte del servicio.................................................................... 6 6.1 6.2 Protección de datos ..................................................................................................... 7 Administración ............................................................................................................. 7 Registros de actividad y auditoria ........................................................................................ 7 6.2.1 6.2.2 Políticas de sellado .............................................................................................................................. 8 Personal de administración ................................................................................................................. 8 7 Controles de seguridad física, de gestión y de operaciones ................................................ 8 9 Fin de la prestación del servicio ........................................................................................... 9 8 10 Resolución de disputas ......................................................................................................... 8 Contingencias frente a desastres ......................................................................................... 9 Página 2 de 9 1 Introducción 1.1 Descripción general del servicio Según la evolución de los mercados y las tecnologías, desde Ecertic se ha detectado la necesidad de construir una solución que permita a las distintas empresas y usuarios, la firma electrónica de documentos con un grado de seguridad y usabilidad similar a la firma manuscrita tradicional. Adicionalmente, ofrece la guarda y custodia de sus documentos digitales, de forma segura, robusta, y con el más alto grado de garantía, aportando componentes básicos de la firma electrónica, lo que permite garantizar la auditoría y titularidad de los procesos de firma. Al margen de los condicionantes técnicos, un aspecto diferenciador de la solución radica en que Ecertic es un prestador de servicios de certificación que ha realizado la comunicación prevista en el artículo 30.2 de la Ley 59/2003, de 19 de diciembre, de firma electrónica. Lo que le permite actuar como Tercero de Confianza ante, en este caso, las firmas que aplica y los propios documentos que puede llegar a custodiar. A continuación, se describen algunas características del sistema de Firma Grafométrica de Ecertic: o Sistema directamente vinculado a las operaciones realizadas desde sus propios canales comunicación, ya sean aplicaciones propias, o acceso a las funcionalidades mediante las API´s dispuestas. o Captura de los componentes biométricos propios de la firma manuscrita, sobre dispositivos electrónicos dotados con las características necesarias. o Firma electrónica de los elementos procesados por medio de certificados X509, lo que aporta garantías adicionales de identificación del titular, no repudio, inviolabilidad del documento, así como sello de tiempo en formato simple o longevo. o Custodia de los documentos por un tiempo mínimo de 5 años, tal como exige la ley vigente, y capacidad por parte de los clientes de acceder al sistema para eliminar documentos custodiados. o Inserción de las firmas capturadas en los documentos procesados por medio de aplicaciones y metodologías propias. o Integración por medio de API´s con sistemas de terceros para garantizar la usabilidad del servicio de firma. o Gestión y custodia de los documentos por medio de un entorno especifico donde se podrán realizar acciones tales como: Página 3 de 9 Parametrizaciones de los procesos de firma Envío de documentos a firmar Gestión de estados y documentos firmados Descarga de documentos firmados o Procedimiento de custodia se realizará de manera automático desde la propia Plataforma. Cualquier sistema eterno puede enviar un documento en formato registrable (actualmente xml o pdf), para que, tras ser recogida la firma grafométrica e insertada de manera segura en el mismo documento, y ser firmado electrónicamente con un certificado digital, el sistema recoja el documento original y lo cumplimente para su custodia. El documento original siempre queda vinculado al custodiado, por medio de un token de recuperación que es devuelto en el proceso de custodia, y debe ser registrado por la empresa o usuario que requiera esa custodia. o Acceso restringido a la recuperación de los documentos. Para realizar las tareas de recuperación, la aplicación de custodia exige unas credenciales de acceso específicas para los distintos clientes, y la inserción del token del documento custodiado, y tras su validación se pueden realizar las tareas de recuperación, o consulta. 1.2 Identificación del documento o Nombre del documento: Política de Certificación del Servicio de Firma Electrónica Grafométrica con Componente Biométrico. o Versión: 1.0 o Descripción: Política de Certificación del Servicio de Firma Electrónica Grafométrica con Componente Biométrico. o Fecha de emisión: 6 de mayo de 2016 o Referencia del documento: Ecertic-politica-firma-electrónica-grafométrica 1_0 o Localización: http://www.Ecertic.es/pscfeg 2 Acrónimos o o o o o o o CPD: Centro de Procesamiento de Datos DPC: Declaración de Prácticas de Certificación CP: Política de Certificación LTA: Long Term Archive PSC: Prestador de Servicios de Certificación SVA: SemanticValidationAuthority TSA: Time StampAuthority Página 4 de 9 o PKI: Public key infrastructure. 3 Objeto de este documento El objeto de este documento es recoger las características del servicio de firma electrónica grafométrica de Ecertic, la descripción técnica y funcional del servicio. 4 Marco general de prestación del servicio Este documento añade aquellas particularidades específicas del servicio de firma electrónica de documentos por medio de los componentes propios de la firma biométrica manuscrita realizada por medios electrónicos recogido en la DPC de Ecertic, con referencia a la prestación de servicios basados en firma electrónica. De este modo, el marco general de prestación de este servicio está definido y descrito en la DPC de Ecertic. 5 Descripción del servicio El servicio de firma electrónica de Ecertic permite la explotación del servicio de dos maneras diferenciadas: o Mediante la explotación directa desde una aplicación ya sea desarrollada por Ecertic o por terceros. o Por medio de la integración con sistemas de terceros gracias a las API´s de integración de las que dispone. El Sistema de Custodia provee un entorno seguro a los clientes que requieran guardar de manera segura sus documentos digitales, y se diferencia de otros productos ya que se prioriza en la seguridad, la traza, la garantía, por encima de la usabilidad o la puesta a disposición de los documentos, esto es debido a que la lógica del sistema está diseñada para entender el Sistema de Custodia como un entorno seguro que sólo ha de ser consultado, para la recuperación de archivos, en caso de extrema necesidad, y no como una herramienta del día a día. Adicionalmente, la firma electrónica que aporta la plataforma garantiza la identificación del titular de dicho documento, así como la fecha exacta de su entrada en el sistema de custodia. Página 5 de 9 5.1 Necesidad de un servicio de firma electrónica grafométrica de documentos Ecertic ha detectado la necesidad real del mercado, de una solución de firma electrónica de documentos, protegidos por los datos biométricos residentes en la firma manuscrita, que pueden ser recogidos y procesados por dispositivos electrónicos, como pueden ser PC´s, portátiles, smartphones, y que a su vez permita garantizar la integridad y la validez de dicha firma a través del tiempo. Actualmente son muchas las entidades que se encuentran en un periodo de transformación de procesos de un entorno tradicional en papel, a una gestión electrónica de algunos de sus trámites, atraídos principalmente por la reducción de costes y la optimización de las tareas. La Plataforma de firma electrónica presentada por Ecertic pretende acercar la firma electrónica a los entornos productivos, proporcionando un sistema fácil, seguro, económico, distribuido, multicanal, y sobre todo, que cumpla con todos los requerimientos de la sociedad de la información actual, tanto en términos legales, como técnicos y funcionales. 5.2 Elementos que forman parte del servicio Una de las características principales del servicio de firma electrónica grafométrica radica en el uso de distintas tecnologías para garantizar la identidad del firmante, así como la integridad del documento que se firma, estas características se basan en: - Recogida de los datos biométricos obtenidos en un proceso de firma manuscrita sobre dispositivo electrónico. Inserción de datos biométricos recogidos, y evidencias adicionales a la firma como parte del propio documento a firmar. Firmado y cifrado de los componentes biométricos recogidos mediante un certificado reconocido, custodiado a su vez por un tercero debidamente acreditado. Generación de certificados digitales privados por medio de un servicio PKI, a nombre del firmante y vinculado a sus datos biométricos Firma electrónica del documento y sus evidencias mediante el certificado generado a nombre del firmante. Firma con sello de tiempo oficial. El servicio TSA que utiliza Ecertic, está subcontratado a uno de los PSC que han realizado la comunicación prevista en el artículo 30.2 de la Ley 59/2003, de 19 de diciembre, de firma electrónica. Y que utiliza el día y la hora consultado en el Real Observatorio de la Armada, referencia horaria en España. El servicio ofrecido por ECERTIC está compuesto por la mejor tecnología asociada a este tipo de operaciones de firma electrónica según los modelos de estándares actuales y las Página 6 de 9 mayores garantías de accesibilidad y recuperación ante desastres, aportando entre otros: Conexión cifrada HTTPS. Filtros XSS. Filtros SQL injection. Control de acceso a contenidos de la Base de Datos. Protección contra ataques CSRF. Cifrado de Base de Datos. Alta disponibilidad. Balanceo de carga. ISO 9001 y 27001. Cifrado y concatenación de logs. Base de datos redundada separando índices y ficheros, para garantizar la integridad de los documentos introducidos. o Acorde a la LOPD ya que el proceso de contratación del servicio identificará a ECERTIC como responsable del tratamiento del fichero de las distintas compañías que adquieran en sistema de custodia. o Librería de firma electrónica compatible con certificados X509. o Servicio TSA subcontratado a uno de los PSC que han realizado la comunicación prevista en el artículo 30.2 de la Ley 59/2003, de 19 de diciembre, de firma electrónica. o o o o o o o o o o o 6 Registros de actividad y auditoria Cualquier registro de actividad en el servicio de firma electrónica de documentos, se realiza de la manera en la que se describe en la DPC de Ecertic. 6.1 Protección de datos En lo que se refiere a la protección de las evidencias generadas por el servicio de firma electrónica de documentos, se aplican las medidas de control y protección definidas para el manejo de las evidencias de servicio descritas en la DPC de Ecertic. 6.2 Administración La aplicación de gestión permite el acceso al Servicio de firma electrónica grafométrica, para llevar a cabo trabajos administrativos sobre los documentos que contiene. El sistema de autenticación de la aplicación requerirá que los Administradores de las compañías se autentiquen con sus propias credenciales para realizar cualquier acción. Página 7 de 9 Una vez se haya autenticado al Administrador, el sistema requerirá la inserción del Token, o código identificativo del documento requerido para realizar las operaciones disponibles. Como mínimo, las operaciones que se pueden ejecutar con la herramienta de gestión son las siguientes: o Consulta de informe de estado. El administrador se podrá descargar un documento con el estado del fichero, indicando: Fecha de entrada Registro de operaciones Nombre del documento original o Descarga del fichero custodiado. El administrador se descargará el documento custodiado. 6.2.1 Políticas de sellado Ecertic subcontrata el servicio de sellado de tiempo a un prestador de servicios de certificación que han realizado la comunicación prevista en el artículo 30.2 de la Ley 59/2003, de 19 de diciembre, de firma electrónica. Por tanto, el servicio de sellado de tiempo dispondrá de una política de certificación propia del proveedor de este servicio. 6.2.2 Personal de administración La administración, monitorización y mantenimiento de los sistemas que soportan el servicio de firma electrónica de documentos de Ecertic pueden ser realizados por personal perteneciente a Ecertic o por personal subcontratado. 7 Controles de seguridad física, de gestión y de operaciones Los controles de seguridad física, de gestión y de operaciones que afectan al servicio de custodia de documentos se describen en la DPC de Ecertic. 8 Resolución de disputas Lo relativo a la resolución de disputas, en lo que respecta al servicio de firma electrónica grafométrica de documentos, se puede encontrar detallado en el apartado “Acceso a las evidencias generadas”, de la DPC de Ecertic. Página 8 de 9 9 Fin de la prestación del servicio La forma de actuar si se llegara a la finalización de la prestación del servicio de custodia de documentos, se describe en la DPC de Ecertic. En cualquier caso, se notificará a los clientes mediante el canal de comunicación más adecuada unas instrucciones precisas sobre cómo recuperar los documentos almacenados, con una suficiente antelación antes de la finalización de la prestación de servicios. 10 Contingencias frente a desastres En lo relacionado a las contingencias frente a desastres, se atenderá lo expuesto en la DPC de Ecertic. Página 9 de 9