DECLARACIÓN DE PRACTICAS DE AUTENTICACIÓN Y FIRMA Referencia: Nº Versión: Fecha: Izenpe_DPAF v 1.0 12 de febrero de 2014. IZENPE 2014 Este documento es propiedad de Izenpe. Únicamente puede ser reproducido en su totalidad INDICE 1. INTRODUCCIÓN 6 1.1. Presentación 7 1.2. Elementos 8 ‐ Número de referencia 8 ‐ Coordenadas del Juego de Barcos 8 ‐ Contraseña 8 1.3. Soporte 8 1.4. Participantes 8 ‐ Prestador de Servicios de Confianza 8 ‐ Usuario 9 ‐ Entidad de Registro 9 ‐ Entidad generadora /Emisora ¿? de Juego de Barcos. 9 ‐ Prestadores de Servicios Electrónicos 9 1.5. Usos 9 1.6. Declaración de Prácticas de Autenticación y Firma 10 1.6.1. Entidad responsable 10 1.6.2. Datos de contacto 10 1.6.3. Gestión del cambio 10 1.6.4. Repositorio de información 10 1.6.5. Política de publicación y notificación 10 1.6.6. Frecuencia de publicación 11 1.6.7. Control de acceso al repositorio 11 2. 12 DISPOSICIONES GENERALES 2.1. Obligaciones 12 2.1.1. Prestador de Servicios de Confianza 12 2.1.1.1. Obligaciones de prestación del servicio 12 2.1.1.2. Obligaciones de operación fiable 12 2.1.1.3. Obligaciones de identificación presencial 13 2.1.1.4. Obligaciones de información a usuarios 13 Ref.: Izenpe_DPAF 1.0 Página 2 de 37 2.1.1.5. Obligaciones relativas a la regulación jurídica del Juego de Barcos para firma electrónica avanzada. 13 2.1.2. Usuario 13 2.1.3. Entidad de Registro 14 2.1.4. Obligaciones del Emisor. 15 2.1.5. Obligaciones de los Prestadores de Servicios Electrónicos. 15 2.2. Responsabilidad 15 2.2.1. Prestador de Servicios de Confianza 15 2.2.2. Responsabilidad del Usuario 16 2.2.3. Responsabilidad de la Entidad de Registro 17 2.2.4. Responsabilidad del Emisor 17 2.2.5. Responsabilidad de los terceros que confían en el Juego de Barcos para firma electrónica avanzada. 17 3. REQUISITOS OPERATIVOS DE LA FIRMA ELECTRÓNICA AVANZADA CON JUEGO DE BARCOS 19 3.1. Solicitud y acreditación de la identidad del solicitante 19 3.2. Generación y aceptación 19 3.3. Anulación 20 3.3.1. Causas 20 3.3.2. Solicitud 20 3.3.3. Procedimiento 21 3.3.4. Información 21 3.4. Renovación 21 4. 22 CONTROLES DE SEGURIDAD FÍSICA 4.1. Localización y construcción de las instalaciones 22 4.2. Acceso físico 22 4.3. Electricidad y aire acondicionado 22 4.4. Exposición al agua 23 4.5. Prevención y protección de incendios 23 4.6. Almacenamiento de soportes 23 4.7. Tratamiento de residuos 23 4.8. Copia de respaldo fuera de las instalaciones 23 Ref.: Izenpe_DPAF 1.0 Página 3 de 37 5. CONTROLES DE PERSONAL 24 5.1. Requisitos de historial, calificaciones, experiencia y autenticación 24 5.2. Procedimientos de investigación de historial 24 5.3. Requisitos de formación 24 5.4. Requisitos y frecuencia de actualización formativa 24 5.5. Secuencia y frecuencia de rotación laboral 24 5.6. Sanciones para acciones no autorizadas 24 5.7. Incidentes de seguridad de la información 24 5.8. Requisitos de contratación de personal 24 5.9. Suministro de documentación al personal 24 6. 26 AUDIT 6.1. Tipo de eventos registrados 26 6.2. Frecuencia de procesamiento de logs 26 6.3. Periodo de retención del audit log 26 6.4. Protección del audit log 26 6.5. Procedimiento de backup del audit log 26 6.6. Recolección de logs 26 6.7. Notificación de la acción causante de los logs 26 6.8. Análisis de vulnerabilidades 26 6.9. Sistema de archivo 27 6.10. Procedimientos para obtener y verificar la información del archivo 27 7. 28 PLAN DE CONTINGENCIAS 7.1. Continuidad de servicio después de un desastre 29 7.2. Terminación del Prestador de Servicios de Confianza 29 7.3. Terminación de una Entidad de Registro 29 8. CONTROLES DE SEGURIDAD 30 8.1. Ciclo de vida del Juego de Barcos 30 8.1.1. Generación y distribución de la contraseña 30 8.1.2. Distribución 30 8.1.3. Activación de la clave 30 8.1.4. Protección y Almacenamiento 30 Ref.: Izenpe_DPAF 1.0 Página 4 de 37 8.1.5. Protección de datos de activación 30 8.2. Requisitos de control de acceso 30 8.2.1. Controles administrativos 30 8.2.2. Controles físicos 31 8.2.3. Controles técnicos 31 8.3. Fuente de tiempo 31 9. 32 OTROS ASUNTOS LEGALES Y DE ACTIVIDAD 9.1. Tarifas 32 9.2. Responsabilidad 32 9.3. Confidencialidad de la información 32 9.3.1. Alcance de la información confidencial 32 9.3.2. Responsabilidad para proteger la información confidencial 33 9.4. Protección de datos de carácter personal 33 9.4.1. Introducción 33 9.4.2. Ámbito de aplicación 33 9.4.3. Organización de seguridad para la protección de los datos de carácter personal 34 9.4.4. Modelo organizativo de seguridad 34 9.4.5. Clasificación de las unidades para la organización de la seguridad 34 9.4.6. Estructura de los ficheros con datos de carácter personal 35 9.4.7. Normas y procedimientos de seguridad 35 9.5. Derechos de propiedad intelectual 36 9.5.1. Propiedad de los certificados 36 9.5.2. Propiedad de la Declaración de Prácticas de Autenticación y Firma 36 9.5.3. Propiedad de claves y material relacionado 36 9.6. Normativa aplicable 36 9.7. Cumplimiento de la normativa aplicable 37 Ref.: Izenpe_DPAF 1.0 Página 5 de 37 1. INTRODUCCIÓN Que los ciudadanos puedan realizar el 40% de los trámites con las Administraciones vascas de manera totalmente on line refleja el esfuerzo que éstas están realizando para que las relaciones telemáticas con la ciudadanía se realicen con facilidad y seguridad. La evolución de la administración electrónica es un claro ejemplo de avance y superación, de innovación y crecimiento y también de evolución normativa. Sin duda, uno de los mayores retos a los que se ha enfrentado la Administración electrónica ha sido el de la seguridad jurídica por lo que los conceptos de identificación y autenticación han adquirido una importancia decisiva. Desde el momento en que toda relación entre administracion y ciudadano por medios telemáticos depende de una identificación previa y reciproca de ambos y que la generalización de su uso será proporcional a la confianza generada, puede afirmarse que la identidad es una cuestión fundamental. La aprobación de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos de los Servicios Públicos (en adelante, LAECSP) da forma a una realidad existente al reconocer el derecho de los ciudadanos a acceder electrónicamente a las Administraciones Públicas y al regular de manera específica el uso de diferentes sistemas de firma electrónica, constituyendo junto con la Ley 59/2003, de 19 de diciembre de firma electrónica el marco normativo de autenticación de los ciudadanos ante las Administraciones públicas. La autenticación en cuanto a la comprobación de la identidad electrónica del firmante, se garantiza a través de sistemas de firma electrónica que permiten la identificación electrónica del firmante y la constatación de la expresión de su voluntad. Procede, por lo tanto, conocer cómo define la Ley 59/2003, de 19 de diciembre de firma electrónica (en adelante, LFE) el concepto de firma electrónica: - Firma electrónica, como el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como modo de identificación del firmante. - Firma avanzada: la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior en los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. - Firma electrónica reconocida: la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. La LAECSP opta por el reconocimiento de la firma electrónica avanzada al determinar que los ciudadanos podrán utilizar Sistemas de firma electrónica avanzada, incluidos los basados en certificado electrónico reconocido pero también sistemas basados en soluciones tecnológicamente neutrales. Así, las Administraciones vascas en su voluntad de acercar a toda la ciudadanía la administración electrónica ofreciendo diferentes soluciones fáciles pero también seguras, encomendaron a Ziurtapen eta Zerbitzu Enpresa‐Empresa de Certificación y Servicios, Izenpe, S.A. en su doble consideración de medio propio y de Prestador de Servicios de Confianza, el análisis de otros sistemas de identificación complementarios de la firma electrónica Ref.: Izenpe_DPAF 1.0 Página 6 de 37 reconocida que garantizaran el acceso a los servicios telemáticos del 100% de la ciudadanía con independencia de su madurez tecnológica. Con esta premisa Ziurtapen eta Zerbitzu Enpresa‐Empresa de Certificación y Servicios, Izenpe, S.A. (en adelante, Izenpe) ha desarrollado un sistema de firma electrónica avanzada con juego de barcos consistente en un juego de barcos y una contraseña. 1.1. Presentación - Servicio de Autenticación, permite la comprobación de la identidad del titular del Juego de Barcos. El Juego de Barcos tiene un periodo de validez, a contar desde la fecha de su activación, de cinco años. - Servicio de Firma, permite la generación de una firma electrónica avanzada generada en base a los datos identificativos proporcionados y comprobados por Izenpe y que cumple los requisitos necesarios para ser calificada como firma electrónica avanzada. La firma electrónica realizada a través de la solución Juego de Barcos para firma electrónica avanzada se basa en los tres pilares de la firma electrónica: autenticidad, integridad y no repudio a través de los cuales se garantiza, QUÉ CÓMO AUTENTICIDAD - Permite identificar al firmante. fe@ - Juego de barcos. - Clave de identificación generada previa identificación. - Creada por medios que el firmante puede mantener bajo su exclusivo control. NO REPUDIO - Firma vinculada al firmante de manera única. Utilización de criptográficas. técnicas - - que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control - Detectar cualquier cambio ulterior en los datos firmados. Entrega segura. INTEGRIDAD - Juego de barcos + número de referencia + contraseña exclusiva para cada firmante. Clave generada en base a datos identificativos del firmante. Clave entregada de manera segura al firmante. Vinculación única de la clave al signatario. A través de este Servicio Izenpe informará al Prestador de Servicios Electrónicos, entendido como entidad usuaria de la solución de Juego de Barcos para firma electrónica avanzada, sobre el estado del Juego de Barcos. Ref.: Izenpe_DPAF 1.0 Página 7 de 37 - Servicio de Validación, Acredita la identidad del firmante. Detecta si se han producido cambios en el documento o texto firmado. Informa de la fecha y hora de creación de la firma (en el caso de que la firma se hubiera realizado con sello de tiempo). Estos servicios están disponibles 24 horas X 7 días a la semana. - Servicio de Aceptación de Juegos de Barcos para firmas electrónicas avanzadas, permite validar, según lo determinado en el Procedimiento de Aceptación de Juegos de Barcos como herramienta para firmas electronicas avanzadas de Izenpe, que los juegos de barcos generados por terceros diferentes a Izenpe cumplan lo determinado en LFE en cuanto a firma electrónica avanzada. 1.2. Elementos La solución que utiliza el ciudadano para su autenticación electrónica y para realizar firmas avanzadas se compone de los siguientes elementos: - Número de referencia Es el identificador único del Juego de Barcos. Figura en el soporte de distribución del juego de barcos. ‐ Coordenadas del Juego de Barcos Formado por 16 caracteres con sus 16 correspondientes dígitos de respuesta. ‐ Contraseña Estará formada por 8 caracteres alfanuméricos, es secreta y modificable por el usuario. 1.3. Soporte Las coordenadas del Juego de Barcos, el número de referencia y la contraseña podrán figurar en soporte físico (tarjeta, papel, etc.) o en soporte electrónico (mail, SMS, etc.) en función de lo determinado en cada caso entre el Prestador de Servicios Electrónicos e Izenpe y que, en todo caso, permitirá al usuario tener acceso a los mismos. 1.4. Participantes Roles intervinientes, ‐ Prestador de Servicios de Confianza Ziurtapen eta Zerbitzu Enpresa‐Empresa de Certificación y Servicios, Izenpe, S.A. (en adelante, Izenpe) es la entidad que presta la solución de Juego de Barcos para firma electrónica avanzada. Ref.: Izenpe_DPAF 1.0 Página 8 de 37 ‐ Usuario Persona física solicitante de la solución de Juego de Barcos para firma electrónica avanzada, consta identificada como titular y responde de su correcta utilización. El Usuario será el firmante. Será requisito imprescindible que el Usuario sea mayor de 16 años. Cada Usuario dispondrá de un único Juego de Barcos. ‐ Entidad de Registro Las Entidades de Registro, de forma previa a la activación del Juego de Barcos, realizarán las tareas de comprobación de la identidad del Usuario así como la validación y aprobación de la solicitud, activación y anulación del Juego de Barcos. Esta Declaración de Prácticas de Autenticación y Firma se aplicará a las Entidades de Registro que realicen las tareas de emisión, activación y anulación. Tendrán la consideración de Entidad de Registro además de Izenpe, aquellas entidades con las que Izenpe suscriba el correspondiente instrumento legal. ‐ Entidad Emisora de juego de barcos. Tendrán la consideración de Entidad Emisora de Juegos de Barcos, aquella que emita y gestione Juegos de Barcos que hayan sido aceptados por Izenpe según lo determinado en el Procedimiento de Aceptación de Juegos de Barcos como herramienta para firmas electronicas avanzadas de Izenpe. Los juegos de barcos emitidos por una Entidad Emisora podrán ser utilizados por los servicios ofrecidos por cualquier Prestador de Servicios Electrónicos que haga uso de los servicios prestados por Izenpe. ‐ Prestadores de Servicios Electrónicos Tendrán la consideración de Prestadores de Servicios Electrónicos las entidades que hagan uso de los servicios de Autenticación, Firma y/o Validación prestados por Izenpe en relación a la solución de Juego de Barcos para firma electrónica avanzada. Estos Prestadores confían en la solución de Izenpe en función del empleo que de la misma realicen siéndoles de aplicación lo determinado en la presente Declaración de Prácticas de Autenticación y Firma. 1.5. Usos La solución de Juego de Barcos para firma electrónica avanzada permitirá al Usuario realizar firmas electrónicas avanzadas garantizando su identidad electrónica en las relaciones que mantenga con las entidades usuarias e instituciones públicas y privadas en general que hayan admitido su uso. Esta solución deberá emplearse según lo determinado en la legislación aplicable y en la presente Declaración de Prácticas de Autenticación y Firma, no pudiendo utilizarse en otras funciones y con otras finalidades. Ref.: Izenpe_DPAF 1.0 Página 9 de 37 1.6. Declaración de Prácticas de Autenticación y Firma 1.6.1. Entidad responsable Izenpe genera la solución de Juego de Barcos para firma electrónica avanzada a la cual se aplica la presente Declaración de Prácticas de Autenticación y Firma. 1.6.2. Datos de contacto Nombre del prestador Ziurtapen eta Zerbitzu Enpresa‐Empresa de Certificación y Servicios, Izenpe, S.A. NIF NIF A‐01337260 Domicilio social c/ Avenida Mediterráneo 14. 01010 Vitoria‐Gasteiz Dirección postal c/ Beato Tomás de Zumárraga, nº 71, 1ª planta. 01008 Vitoria‐ Gasteiz Dirección e‐mail [email protected] Teléfono 902 542 542 1.6.3. Gestión del cambio El Comité de Seguridad de Izenpe es el órgano responsable de la aprobación y gestión de la presente Declaración de Prácticas de Autenticación y Firma. Las modificaciones estarán recogidas en un Documento de Actualización. La versión actualizada de la Declaración de Prácticas de Autenticación y Firma estará publicada en el repositorio de información en la dirección www.izenpe.com. 1.6.4. Repositorio de información Izenpe dispone de un repositorio de información pública en la dirección http://www.Izenpe.com disponible las 24 horas del día, los 7 días de la semana en el que se publican informaciones relativas al Juego de Barcos para firma electrónica avanzada y servicios complementarios. 1.6.5. Política de publicación y notificación Izenpe garantiza la disponibilidad de la información on line. No obstante podrá proporcionarse una versión en soporte papel completa de dicho documento cuando sea necesario para propósitos de auditoría o cuando lo solicite el Usuario o un tercero interesado. Los cambios en las especificaciones o en las condiciones del servicio serán comunicados por Izenpe a los usuarios a través de la dirección http://www.Izenpe.com. Durante 30 días se hará referencia a los cambios realizados donde constará el documento objeto del cambio, el documento de actualización y la nueva versión. Ref.: Izenpe_DPAF 1.0 Página 10 de 37 Pasados los 30 días se retirará la referencia a los cambios realizados y la versión antigua de la documentación que deberá ser conservada durante un periodo mínimo de 7 años por Izenpe, pudiendo ser consultada, previa justificación razonada, por los interesados. 1.6.6. Frecuencia de publicación La Declaración de Prácticas de Autenticación y Firma se publica en el momento de su aprobación. Los cambios realizados se rigen por lo establecido en el presente documento. 1.6.7. Control de acceso al repositorio Izenpe permite el acceso de lectura a la información publicada en su repositorio y establece controles para impedir que personas no autorizadas puedan añadir, modificar o borrar registros y para proteger la integridad y autenticidad de la información depositada. Izenpe emplea sistemas fiables para el acceso al repositorio de información, de modo que: ‐ Únicamente personas autorizadas puedan hacer anotaciones y modificaciones. ‐ Pueda comprobarse la autenticidad de la información. ‐ Pueda detectarse cualquier cambio técnico que afecte a los requisitos de seguridad. Ref.: Izenpe_DPAF 1.0 Página 11 de 37 2. DISPOSICIONES GENERALES 2.1. Obligaciones 2.1.1. Prestador de Servicios de Confianza Izenpe, como Prestador de Servicios de Confianza generador de la solución de Juego de Barcos para firma electrónica avanzada asume las siguientes obligaciones: 2.1.1.1. Obligaciones de prestación del servicio ‐ Poner a disposición del Usuario los elementos de la solución del Juego de Barcos para firma electrónica avanzada. ‐ Asegurarse de la correcta recepción por el Usuario de los elementos necesarios para realizar firmas avanzadas con Juego de Barcos. ‐ Disponer de recursos necesarios para atender y resolver las consultas e incidencias derivadas del uso de la solución. ‐ Mantener un sistema en el que se indicará el estado del Juego de Barcos. ‐ Garantizar la complementariedad de cada elemento, siempre que éstos sean generados por Izenpe. ‐ Conservar registrada por cualquier medio seguro toda la información y documentación relativa al Juego de Barcos para firma electrónica avanzada y a las Declaraciones de Prácticas de Autenticación y Firma durante 7 años contados desde el momento de su generación. Obligaciones de operación fiable 2.1.1.2. Izenpe deberá, ‐ Garantizar la rapidez y seguridad en la prestación del servicio. ‐ Respecto a los requisitos técnicos y de personal, garantizar: - La fiabilidad necesaria para la prestación del servicio de Juego de Barcos para firma electrónica avanzada. - Poder determinar con precisión la fecha y hora en las que se emitió o anuló el Juego de Barcos. - Que el personal con funciones en esta solución cuenta con la cualificación, conocimientos y experiencia necesarios para la prestación del servicio. - La utilización de sistemas y productos fiables protegidos contra toda alteración y que garanticen la seguridad técnica y, en su caso, criptográfica de los procesos generación de firma electrónica avanzada con Juego de Barcos, de acuerdo con la Política de Seguridad de Izenpe. - La adopción de medidas contra la falsificación de esta solución y la confidencialidad en el proceso de generación de acuerdo con lo determinado en la presente Declaración. Ref.: Izenpe_DPAF 1.0 Página 12 de 37 - Realizar de forma periódica comprobaciones regulares de la seguridad, con el fin verificar la conformidad con los estándares establecidos. - Llevar a cabo una completa gestión de los sucesos de seguridad, con el fin de garantizar su detección, resolución y optimización. - Mantener los contactos y relaciones apropiadas con grupos de especial interés en materia de seguridad, con especialistas, foros de seguridad y asociaciones profesionales relacionadas con la seguridad de la información. - Planificar adecuadamente el mantenimiento y evolución de los sistemas, con el fin de garantizar en todo momento un rendimiento adecuado y un servicio que cumpla con todas las garantías de los participantes en la solución de Juego de Barcos para firma electrónica avanzada. - Disponer de un seguro de responsabilidad civil adecuado. Obligaciones de identificación presencial 2.1.1.3. Izenpe identificará de forma presencial al solicitante del Juego de Barcos de forma previa a su activación de acuerdo con lo determinado en la presente Declaración de Prácticas de Autenticación y Firma. Obligaciones de información al Usuario 2.1.1.4. Izenpe, ‐ Antes de la emisión y entrega del Juego de Barcos informará al Usuario de los términos y condiciones relativos a su uso y de los instrumentos jurídicos vinculantes referidos en la presente Declaración. ‐ Facilitará información básica sobre la utilizacion de la solución. ‐ Informará acerca de los cambios en la solución. ‐ Comunicará a los Usuarios el cese de su actividad de prestación de servicios de confianza con dos meses de antelación e informará, en su caso, sobre el destino de los juegos de barcos. ‐ Dispondrá de un plan de finalización de cese del servicio en el que se especificarán las condiciones en las que se realizaráa. 2.1.1.5. Obligaciones relativas a la regulación jurídica del Juego de Barcos para firma electrónica avanzada. El instrumento jurídico que vincula a Izenpe y al Usuario constará por escrito con información referente a las obligaciones y responsabilidades de los participantes, protección de datos, condiciones de uso, política de intimidad, legislación aplicable y jurisdicción competente. 2.1.2. Usuario El Usuario estará obligado a: Ref.: Izenpe_DPAF 1.0 Página 13 de 37 - Garantizar la veracidad, totalidad y actualidad de la información aportada en la solicitud de emisión conforme a lo determinado en la presente Declaración de Prácticas de Autenticación y Firma. - Cumplir el procedimiento de solicitud establecido. - Conocer y aceptar las Condiciones de Uso y el Contrato de Usuario, así como las modificaciones que se realicen sobre los mismos. - Garantizar el buen uso y la conservación de los soportes. - Emplear adecuadamente el Juego de Barcos y, en concreto, cumplir con las limitaciones de uso determinadas. - Ser diligente en la custodia de su contraseña, con el fin de evitar usos no autorizados, de acuerdo con lo establecido en la presente Declaración de Prácticas de Autenticación y Firma. - Notificar a Izenpe sin retrasos injustificables la pérdida, el robo o el compromiso potencial de su contraseña. - Dejar de emplearlo transcurrido su periodo de validez. - No monitorizar, manipular o realizar actos de ingeniería inversa. - No comprometer intencionadamente la seguridad del servicio. 2.1.3. Entidad de Registro Las Entidades de Registro realizarán las tareas de identificación y acreditación de la identidad del Usuario así como la validación y aprobación de las solicitudes de emisión y anulación del Juego de Barcos. Las Entidades de Registro propias de Izenpe o aquellas con las que Izenpe suscriba el correspondiente instrumento legal, deberán asumir las siguientes obligaciones: - Comprobar la identidad que conste en la solicitud de emisión y/o anulación del Juego de Barcos o sean relevantes, conforme a los procedimientos establecidos. - Conservar toda la información y documentación relativa a la solución del Juego de Barcos que gestiona. - Comunicar a Izenpe, con la debida diligencia, las solicitudes de emisión y anulación de Juego de Barcos de forma rápida y fiable. - Permitir a Izenpe el acceso a los archivos y la auditoría de sus procedimientos en la realización de sus funciones y en el mantenimiento de la información necesaria para las mismas. - Comprobar, con la diligencia debida, las causas de anulación que pudieran afectar a la vigencia de los Juegos de Barcos. - Cumplir, en el desempeño de sus funciones de gestión de emisión y anulación de los Juegos de Barcos, los procedimientos establecidos por Izenpe y la legislación vigente en esta materia. Ref.: Izenpe_DPAF 1.0 Página 14 de 37 2.1.4. Obligaciones de la Entidad Emisora del Juego de Barcos - Generar de forma adecuada el Juego de Barcos. - Garantizar la complementariedad de cada elemento. - Poder determinar con precisión la fecha y hora en las que se emitió o anuló Juego de Barcos. - Identificar de forma presencial al solicitante del Juego de Barcos de forma previa a su generación. - Asegurarse de la correcta recepción por el Usuario de los elementos necesarios para realizar firmas avanzadas con Juego de Barcos. - La adopción de medidas contra la falsificación de esta solución y la confidencialidad en el proceso de generación. - Que el personal con funciones en esta solución cuenta con la cualificación, conocimientos y experiencia necesarios para la prestación del servicio. - Cumplir el Procedimiento de Aceptación de juegos de barcos como herramienta para firmas electronicas avanzadas de izenpe. Responder a las solicitudes de autenticación e identificación de Izenpe. 2.1.5. Obligaciones de los Prestadores de Servicios Electrónicos. Los Prestadores de Servicios Electrónicos, como terceros que confían en la solución de Izenpe, deberán: - Asesorarse acerca del hecho de que la solución de Izenpe es apropiada para el uso que se pretende. - Conocer sus condiciones de utilización conforme a lo previsto en la Declaración de Prácticas de Autenticación y Firma. - Tener presente cualquier limitación en el uso de la solución. - Notificar cualquier hecho o situación anómala relativa a la solución y que pueda ser considerada como causa de anulación del Juego de Barcos. - No monitorizar, manipular o realizar actos de ingeniería inversa de la solución. - No comprometer intencionadamente la seguridad de la solución. 2.2. Responsabilidad 2.2.1. Prestador de Servicios de Confianza Izenpe responderá, - Por negligencia o falta de la debida diligencia en el servicio descrito en la presente Declaración de Prácticas de Autenticación y Firma así como cuando incumpla las obligaciones impuestas en la legislación sobre firma electrónica. Ref.: Izenpe_DPAF 1.0 Página 15 de 37 - Frente a terceros por la actuación de las personas en las que delegue para el ejercicio de las funciones necesarias para la prestación de la solución de Juego de Barcos para firma electrónica avanzada. Izenpe no responderá de los daños y perjuicios causados por, ‐ Por la extinción de la eficacia de los Juegos de Barcos, siempre que cumpla sustancialmente con las obligaciones de publicación previstas en esta Declaración de Prácticas. ‐ El Usuario o terceros de buena fe por la inexactitud de los datos que consten en el formulario de solicitud, si éstos le han sido acreditados mediante documento público notarial, judicial o administrativo. ‐ Por el incumplimiento de los deberes inherentes a la condición de Usuario o de Prestador de Servicios Electrónicos. ‐ Por el incumplimiento de las obligaciones de la Entidad Emisora del Juego de Barcos. 2.2.2. Responsabilidad del Usuario ‐ Mientras no se produzca la notificación de la pérdida o sustracción de los elementos del Juego de Barcos, la responsabilidad que pudiera derivarse del uso no autorizado y/o indebido del mismo, corresponderá, en todo caso, al Usuario. ‐ Mediante la aceptación de la solución del Juego de Barcos el Usuario se obliga a mantener indemne y, en su caso, a indemnizar a Izenpe, a las Entidades de Registro y a los Prestadores de Servicios Electrónicos de cualquier acto u omisión que provoque daños, pérdidas, deudas, gastos procesales o de cualquier tipo, incluyendo los honorarios profesionales, en los que Izenpe, las Entidades de Registro y los Prestadores de Servicios Electrónicos puedan incurrir, que sean causadas por la utilización o publicación de los componentes de la firma avanzada y que provenga: - Del incumplimiento de los términos previstos en el instrumento jurídico que le vincula con Izenpe. - Del uso del Juego de Barcos en comunicaciones electrónicas con personas no autorizadas. - De la falsedad o el error fáctico cometido por el usuario. - De toda omisión de un hecho fundamental en el Juego de Barcos realizada negligentemente o con la intención de engañar a Izenpe, los Prestadores de Servicios Electrónicos o a terceros que puedan confiar en la solución de Juego de Barcos para firma electrónica avanzada. - Del incumplimiento del deber de custodia de los elementos de esta solución y de tomar aquellas precauciones que sean razonables para prevenir la pérdida, revelación, alteración o uso no autorizado de sus elementos. - En este sentido Izenpe no será responsable de los daños y perjuicios ocasionados al Usuario o terceros de buena fe, por el incumplimiento de los siguientes deberes inherentes a la condición de Usuario: Ref.: Izenpe_DPAF 1.0 Página 16 de 37 - Proporcionar a Izenpe o a la Entidad de Registro información veraz, completa y exacta sobre los datos que deban constar en el Juego de Barcos o que sean necesarios para su emisión o anulación cuando su inexactitud no haya podido ser detectada por el Izenpe. ‐ Comunicar sin demora a Izenpe o a la Entidad de Registro cualquier modificación de las circunstancias reflejadas en el formulario de solicitud o en los componentes del Juego de Barcos. ‐ Conservar con diligencia los elementos del Juego de Barcos con el fin de asegurar su confidencialidad y protegerlos de todo acceso o revelación. ‐ Abstenerse de utilizar el Juego de Barcos desde el momento en que haya expirado su período de validez o Izenpe le notifique su pérdida de vigencia. ‐ Respetar los límites de uso del Juego de Barcos y utilizarlo conforme a las condiciones establecidas y comunicadas al Usuario. 2.2.3. Responsabilidad de la Entidad de Registro Cualquier organización distinta a Izenpe que actúe como Entidad de Registro será responsable frente a Izenpe de los daños causados en el ejercicio de las funciones que asuma, en los términos que se establezcan en el correspondiente instrumento legal. 2.2.4. Responsabilidad de la Entidad Emisora del Juego de Barcos El Emisor del Juego de Barcos responderá de, - La correcta generación del Juego Barcos. - La custodia segura de las coordenadas y contraseña de los juegos de barcos emitidos. - La seguridad y confidencialidad de los procesos de gestión y envío de contraseñas y otros procesos de gestión del Juego de Barcos. - Las identificaciones presenciales realizadas. - La exactitud de los datos que consten en el Juego de Barcos. - Las autenticaciones de Juegos de Barcos solicitadas por Izenpe. Los resultados de estas autenticaciones irán firmadas con un certificado de la entidad emisora. - Responder a izenpe en tiempo y forma, las 24 horas al día, los 7 días de la semana 2.2.5. Responsabilidad de los Prestadores de Servicios Electrónicos El Prestador de Servicios Electrónicos que confíe en la solución de Juego de Barcos para firma electrónica avanzada de Izenpe, asume todos los riesgos relacionados con la misma y no podrá exigir responsabilidad alguna a Izenpe, a las Entidades de Registro o a los Prestadores de Servicios Electrónicos por cualquier concepto derivado de su confianza en esta solución. En este sentido Izenpe tampoco será responsable por los daños y perjuicios ocasionados al Usuario o a terceros de buena fe, si el destinatario de los documentos firmados electrónicamente incumple alguno de los siguientes deberes de diligencia: Ref.: Izenpe_DPAF 1.0 Página 17 de 37 - Comprobar y tener en cuenta las restricciones que figuren en el Juego de Barcos en cuanto a sus posibles usos. - Cerciorarse de la validez del Juego de Barcos. Ref.: Izenpe_DPAF 1.0 Página 18 de 37 3. REQUISITOS OPERATIVOS DE LA FIRMA ELECTRÓNICA AVANZADA CON JUEGO DE BARCOS 3.1. Solicitud y acreditación de la identidad del solicitante El solicitante podrá tramitar la solicitud y acreditar su identidad, - De manera presencial personándose previa cita ante la Entidad de Registro y presentando, ‐ Solicitud de emisión debidamente cumplimentada y firmada. ‐ Original o copia autentica de la siguiente documentación en vigor, a) Ciudadano español: DNI, pasaporte o permiso de conducción en vigor. b) Ciudadano miembro UE/EEE: pasaporte en vigor o documento nacional de identidad equivalente en su país y certificado emitido por el Registro de Ciudadanos Miembros de la Unión. c) Ciudadanos extracomunitarios: Tarjeta de Residencia en vigor. Nota. - El solicitante, a través del formulario de solicitud, podrá autorizar a Izenpe la verificación de los datos de su DNI (nombre, apellidos, número de DNI/NIE y fecha de caducidad) ante la Administración competente. - En caso contrario deberá aportar copia de su documento de identificación. ‐ No presencial, remitiendo a Izenpe ‐ Vía telemática, solicitud de emisión firmada electrónicamente mediante un certificado reconocido de acuerdo con lo establecido en la Ley 59/2003, de 19 de diciembre de firma electrónica. ‐ Vía postal, solicitud de emisión firmada y legitimada en presencia notarial. No será necesaria nueva Solicitud de Emisión en el caso de emisiones realizadas como consecuencia de una anulación debida a fallos técnicos en la generación y/o distribución de los elementos del Juego de Barcos o documentación relacionada. 3.2. Generación y aceptación Una vez tramitada correctamente la solicitud, el solicitante recibirá, 1. Las COORDENADAS DEL JUEGO DE BARCOS, el NÚMERO DE REFERENCIA y la CONTRASEÑA en el soporte establecido en el momento de la emisión. 2. Un correo electrónico en la dirección indicada en la solicitud con un enlace a través del cual el solicitante iniciará el proceso de ACTIVACIÓN DEL JUEGO DE BARCOS. La activación del juego de barcos requerirá, a. Modificar la contraseña. Para garantizar su confidencialidad la aplicación de activación del juego de barcos requerirá al solicitante el cambio de contraseña. b. Aceptar el contrato de suscriptor y las condiciones de uso. Ref.: Izenpe_DPAF 1.0 Página 19 de 37 c. Firmar la entrega y activación del juego de barcos. Finalizado correctamente este paso, el Juego de Barcos quedará operativo para utilizarse. En el caso de que el proceso de generación de la firma no sea correcto, Izenpe denegará la generación. La aceptación del Contrato de Usuario y de las Condiciones de Uso supone que el Usuario está de acuerdo con los términos y condiciones establecidos en ambos documentos y que conoce la presente Declaración de Prácticas de Autenticación y Firma por la que se rige la solución del Juego de Barcos para firma electrónica avanzada prestada por Izenpe. 3.3. Anulación La anulación del juego de barcos implicará su inhabilitación definitiva. 3.3.1. Causas Izenpe anulará el Juego de Barcos en los siguientes casos, - Anulación solicitada por el Usuario o persona física o jurídica representada por éste. - Cuando se produzca la violación o puesta en peligro de los elementos del Juego de Barcos o utilización indebida por el Usuario o un tercero. - Cuando lo ordene una resolución judicial o administrativa. - Fallecimiento del Usuario o incapacidad sobrevenida total o parcial. - Cese en la actividad de Izenpe. - Alteración de los datos aportados para la obtención del Juego de Barcos o modificación de las circunstancias verificadas para su generación. - Cuando se produzca la pérdida, robo o se inutilice el Juego de Barcos por daños en el soporte o en el caso de modificación del soporte a otro soporte no previsto. - Cuando alguna de las partes incumpla sus obligaciones. - Cuando se haya producido un error en la generación del Juego de Barcos debido a una falta de adecuación al procedimiento establecido o a problemas técnicos durante el proceso de generación. - Cuando la seguridad de los sistemas y la fiabilidad del Juego de Barcos generados por Izenpe pueda verse afectada. - Cuando se produzcan fallos técnicos en la generación y/o distribución del Juego de Barcos o documentación relacionada. 3.3.2. Solicitud Podrán solicitar la anulación del juego de barcos, ‐ El Usuario. Ref.: Izenpe_DPAF 1.0 Página 20 de 37 ‐ Izenpe. ‐ Los administradores de Izenpe y las Entidades de Registro. 3.3.3. Procedimiento El solicitante tramitará ante Izenpe la Solicitud de Anulación a través de los siguientes canales, - De manera presencial y previa identificación a través de los elementos requeridos para la acreditación de su identidad. - O vía postal, remitiendo Solicitud de Anulación firmada y legitimada en presencia notarial o firmada electrónicamente mediante un certificado reconocido de acuerdo con lo establecido en la LFE. - Utilizando el servicio web proporcionado por Izenpe en www.izenpe.com y previa identificación mediante su juego de barcos. 3.3.4. Información Si en el momento de verificar una firma electrónica avanzada con Juego de Barcos ésta estuviera anulada, Izenpe informará al Prestador de Servicios Electrónicos sobre este extremo. 3.4. Renovación Transcurridos cinco años desde la solicitud inicial del Juego de Barcos para firma electrónica avanzada, el Usuario deberá proceder a su renovación siguiendo el proceso de solicitud establecido. Ref.: Izenpe_DPAF 1.0 Página 21 de 37 4. CONTROLES DE SEGURIDAD FÍSICA Se mantienen controles en todos aquellos lugares en los que Izenpe presta servicios. 4.1. Localización y construcción de las instalaciones Las instalaciones en las que se procesa información cumplen los siguientes requisitos físicos: - El edificio que contiene las instalaciones de procesamiento de información es físicamente sólido, los muros externos del emplazamiento son de construcción sólida y está permanentemente vigilado por cámaras de seguridad, permitiendo únicamente el acceso a personas debidamente autorizadas. - Todas las puertas y ventanas están cerradas y protegidas contra accesos no autorizados. 4.2. Acceso físico Instalaciones de Izenpe Las instalaciones de Izenpe disponen de un completo sistema de control de acceso físico compuesto por: - Un perímetro de seguridad que se extiende desde el suelo real hasta el techo real para evitar accesos no autorizados. - Control de acceso físico a las instalaciones, o Únicamente está permitido el acceso a personal autorizado. o Los derechos de acceso al área segura son revisados y actualizados periódicamente. o Se requiere que todo el personal porte algún elemento de identificación visible y se fomenta que el personal requiera dicha identificación a cualquiera que no disponga de la misma. o El personal ajeno a la operación de Izenpe que se encuentre trabajando en sus instalaciones es supervisado. Se mantiene de forma segura un fichero log de los accesos. Las puertas de entrada a Izenpe están dotadas con mecanismos de acceso. Un circuito cerrado de televisión que monitoriza los elementos con los que Izenpe presta la solución del Juego de Barcos para firma electrónica avanzada. 4.3. Electricidad y aire acondicionado El Centro de Proceso de Datos cuenta con sistemas de energía y aire acondicionado adecuados para garantizar un entorno operativo fiable. Así mismo las instalaciones de Izenpe disponen de una funcionalidad de alimentación ininterrumpida (SAI y grupo electrógeno) que mantiene los equipos en funcionamiento durante el tiempo necesario para el cierre ordenado de los sistemas en el caso en que un fallo de energía o aire acondicionado provocara la caída de los mismos. Ref.: Izenpe_DPAF 1.0 Página 22 de 37 4.4. Exposición al agua Izenpe ha adoptado las medidas necesarias para minimizar los riesgos derivados de los daños por agua. 4.5. Prevención y protección de incendios El Centro de Proceso de Datos de Izenpe dispone de barreras físicas, desde el suelo real hasta el techo real, así como de sistemas de detección automática de incendios con la finalidad de: – Avisar del inicio de un incendio al servicio de vigilancia y al personal de Izenpe. – Cumplir con las misiones de desconexión del sistema de ventilación, cierre de las compuertas contrafuego, corte de la energía eléctrica y el disparo de la instalación automática de extinción. 4.6. Almacenamiento de soportes Los soportes de las copias de seguridad se almacenan de forma segura. 4.7. Tratamiento de residuos Se ha establecido una política reguladora de los procedimientos de destrucción de los soportes de información. Los soportes que contengan información confidencial se destruyen de tal manera que la información sea irrecuperable con posterioridad a su desecho. 4.8. Copia de respaldo fuera de las instalaciones Izenpe almacena los soportes de las copias de seguridad de forma que se encuentren protegidos frente a accidentes y a una distancia suficiente para evitar que resulten dañados en el caso de un desastre en el emplazamiento principal. Ref.: Izenpe_DPAF 1.0 Página 23 de 37 5. CONTROLES DE PERSONAL 5.1. Requisitos de historial, calificaciones, experiencia y autenticación Izenpe emplea personal que posee la experiencia y calificación necesarias para los servicios que debe realizar. Todo el personal con roles fiables está libre de intereses que puedan perjudicar la imparcialidad de las operaciones de Izenpe. 5.2. Procedimientos de investigación de historial No aplica según la legislación española. 5.3. Requisitos de formación El personal de Izenpe recibe la formación requerida para asegurar su competencia en la realización de sus funciones. Se incluye en la formación los siguientes puntos: – Entrega de una copia de la Declaración de Prácticas de Autenticacion y Firma. – Concienciación sobre la seguridad – Procedimientos para la recuperación de desastres. 5.4. Requisitos y frecuencia de actualización formativa Cualquier cambio significativo en la operación del Juego de Barcos para firma electrónica avanzada de Izenpe requerirá un plan de formación y la ejecución del plan será documentada. 5.5. Secuencia y frecuencia de rotación laboral No aplicable. 5.6. Sanciones para acciones no autorizadas Existe un régimen disciplinario interno que define el proceso punitivo. 5.7. Incidentes de seguridad de la información Izenpe dispone de un Plan de gestión de incidentes de seguridad. 5.8. Requisitos de contratación de personal Izenpe dispone de una política de contratación de personal y de asignación de roles y responsabilidades. 5.9. Suministro de documentación al personal Todo el personal relacionado con roles fiables recibe: - Una copia de la Declaración de Prácticas de Autenticacion y Firma. Ref.: Izenpe_DPAF 1.0 Página 24 de 37 - La documentación que define las obligaciones y procedimientos de cada rol. - Tiene acceso a los manuales relativos a la operación de los diferentes componentes del sistema. Ref.: Izenpe_DPAF 1.0 Página 25 de 37 6. AUDIT Se utilizarán los ficheros de log para reconstruir los eventos significativos que han sido realizados por el software de Izenpe y las Entidades de Registro y el usuario o evento que los originó. Será también utilizado como un medio de arbitraje en posibles disputas mediante la comprobación de la validez de una firma en un momento determinado. 6.1. Tipo de eventos registrados Se almacenan en los logs: - Todos los eventos relativos al ciclo de vida de la solución de Juego de Barcos para firma electrónica avanzada. - Todos los eventos relativos a la administración de cuentas de operadores y administradores de Izenpe. Se graba la fecha y hora de cada evento, utilizando una base de tiempos fiable. 6.2. Frecuencia de procesamiento de logs Los ficheros log son revisados periódicamente por el auditor de Izenpe. 6.3. Periodo de retención del audit log La información generada en el fichero log se mantiene en línea hasta el momento de ser archivada. Una vez archivados, los ficheros log son mantenidos durante 7 años. 6.4. Protección del audit log Se asigna a los Auditores el derecho de lectura del registro de log. 6.5. Procedimiento de backup del audit log Se realizan copias de seguridad del log en línea con la misma planificación y controles que para el resto de elementos del sistema de Izenpe. 6.6. Recolección de logs Los archivos de log de Izenpe y RAs son almacenados en los sistemas internos de Izenpe. 6.7. Notificación de la acción causante de los logs No está contemplada la notificación de la acción de los ficheros log al origen del evento. 6.8. Análisis de vulnerabilidades Se realiza un análisis de vulnerabilidades periódico en los sistemas internos de Izenpe Ref.: Izenpe_DPAF 1.0 Página 26 de 37 6.9. Sistema de archivo El sistema de archivo se encuentra ubicado en las instalaciones de Izenpe y en las entidades que participan en la prestación del servicio. 6.10. Procedimientos para obtener y verificar la información del archivo El acceso a esta información está restringido al personal autorizado a tal efecto, protegiéndose frente a accesos físicos y lógicos. Ref.: Izenpe_DPAF 1.0 Página 27 de 37 7. PLAN DE CONTINGENCIAS Izenpe dispone de un Plan de Contingencias que define las acciones a realizar, recursos a utilizar y personal a emplear en el caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos y los servicios prestados por Izenpe. Los principales objetivos del Plan de Contingencias son: - Maximizar la efectividad de las operaciones de recuperación mediante el establecimiento de tres fases: ◦ ◦ ◦ Fase de Notificación/Evaluación/Activación para detectar, evaluar los daños y activar el plan. Fase de Recuperación para restablecer temporal y parcialmente los servicios hasta la recuperación de los daños provocados en el sistema original. Fase de Reconstitución para restaurar el sistema y los procesos a su operativa habitual. - Identificar las actividades, recursos y procedimientos necesarios para la prestación parcial de los servicios en un CPD alternativo durante interrupciones prolongadas de la operativa habitual. - Asignar responsabilidades al personal designado de Izenpe y facilitar una guía para la recuperación de la operativa habitual durante largos periodos de interrupción. - Asegurar la coordinación de todos los agentes (departamentos de la entidad, puntos de contacto externos y vendedores) que participen en la estrategia de contingencia planificada. - Información al Responsable de Seguridad: incluida la generación de un informe técnico de urgencia ante contingencias graves que puedan motivar la activación del Plan de Contingencias. El Plan de Contingencias de Izenpe es de aplicación al conjunto de funciones, operaciones y recursos necesarios para restaurar la prestación de los servicios de generación y uso de los juegos de barcos utilizados para firma electrónica avanzada. Dicho plan se aplica al personal de Izenpe asociado a la prestación de esta solución. En el caso de producirse cualquier circunstancia técnica que mermara significativamente la seguridad técnica del sistema se aplicará dicho Plan de Contingencia, para lo que se realizará un análisis de impacto. En ese análisis se estudiará la criticidad del problema de seguridad, su ámbito y la estrategia de recuperación ante la incidencia. Los puntos que se deben definir como mínimo en el informe de análisis de impacto son: - Descripción detallada de la contingencia, ámbito temporal, etc. - Criticidad. - Solución o soluciones propuestas - Plan de despliegue de la solución elegida, que incluirá al menos: - Se informará en la web de la contingencia producida Ref.: Izenpe_DPAF 1.0 Página 28 de 37 - Anulación de los Juegos de Barcos. - Estrategia de renovación 7.1. Continuidad de servicio después de un desastre Se activará el Plan de Continuidad de Negocio de Izenpe, el cual indica que se deberá suspender la operación de generación de Juego de Barcos y servicios de Autenticación, Firma y Validación hasta el momento en que se haya completado el procedimiento de recuperación de desastre, y se halle funcionando correctamente. 7.2. Terminación del Prestador de Servicios de Confianza En caso de cese de la prestación de la solución de Juego de Barcos para firma electrónica avanzada, Izenpe comunicará este hecho vía web al Usuario. De la misma manera se notificará a cualquier entidad con la que Izenpe mantenga alguna relación contractual de uso de Juego de Barcos. La responsabilidad de esta notificación corresponde a la Dirección General de Izenpe, quien decidirá el mecanismo más adecuado. 7.3. Terminación de una Entidad de Registro Una vez la Entidad de Registro cese en el ejercicio de las funciones que asuma transferirá la documentación que mantenga a Izenpe, mientras exista obligación de mantener archivada la información dado que en otro caso, será cancelada y destruida. Ref.: Izenpe_DPAF 1.0 Página 29 de 37 8. CONTROLES DE SEGURIDAD 8.1. Ciclo de vida del Juego de Barcos 8.1.1. Generación y distribución de la contraseña La contraseña asociada al juego de barcos es un valor aleatorio formado por 8 caracteres alfanuméricos. Se genera en el servidor de aplicaciones de Izenpe. 8.1.2. Distribución Esta contraseña generada aleatoriamente se puede distribuir de dos formas dependiendo del soporte en el que vaya impreso el juego de barcos. 1. Si es una tarjeta certificada, la contraseña se incluye en la hoja de claves junto con el PIN/PUK del certificado 2. Para el resto de soportes, se envía al poseedor del juego de barcos dicha contraseña a través de un SMS al teléfono facilitado por él mismo en la solicitud. 8.1.3. Activación de la clave El poseedor del juego de barcos debe activarlo para poder realizar firma electrónica avanzada. Esta activación lleva implícita un cambio de la contraseña generada aleatoriamente por Izenpe por otra elegida por el poseedor del juego de barcos, de forma que la generación de esta nueva contraseña sea un proceso controlado únicamente por él mismo. 8.1.4. Protección y almacenamiento Izenpe no guardará la contraseña asociada a un juego de barcos en claro, si no que calculará un resumen (Hash) de la misma de forma que se pueda validar a futuro aplicando el mismo algoritmo sobre la contraseña en claro. El algoritmo utilizado para el cálculo de dicho Hash es SHA2. El Hash de la contraseña se almacena en una base de datos de Izenpe. 8.1.5. Protección de datos de activación En relación a los elementos del Juego de Barcos será responsabilidad del Usuario mantener la confidencialidad de la contraseña. 8.2. Requisitos de control de acceso Existen una serie de controles administrativos, físicos y técnicos en el acceso a los sistemas de información de Izenpe: 8.2.1. Controles administrativos - Plan de Continuidad de Negocio - Políticas y procedimientos - Controles de personal - Estructura de supervisión - Formación del personal Ref.: Izenpe_DPAF 1.0 Página 30 de 37 - Testing 8.2.2. Controles físicos - Segregación de redes - Perímetro de seguridad - Controles en equipos - Separación de área trabajo - Backups - Cableado - Zona de control 8.2.3. Controles técnicos - Sistema de acceso. Permisos basados en los principios de“least privilege” y “need to know” - Arquitectura de red - Control de acceso de red - Protocolos de cifrado - Auditoría 8.3. Fuente de tiempo Izenpe obtiene el tiempo de sus sistemas de una conexión al Real Observatorio de la Armada siguiendo el protocolo NTP a través de la conexión establecida con el Gobierno Vasco. Ref.: Izenpe_DPAF 1.0 Página 31 de 37 9. OTROS ASUNTOS LEGALES Y DE ACTIVIDAD 9.1. Tarifas Izenpe recibirá las contraprestaciones económicas correspondientes de acuerdo con las tarifas aprobadas por su Consejo de Administración. 9.2. Responsabilidad Izenpe mantiene un seguro de responsabilidad civil que cubre los riesgos de error y/u omisión en la generación de la solución de Juego de Barcos para firma electrónica avanzada y que se extiende a las actividades que realiza exclusivamente. La relación que se establece entre Izenpe y las Entidades de Registro, cuando intervengan, y los Usuarios no es de mandato, ni de agente y principal. 9.3. Confidencialidad de la información 9.3.1. Alcance de la información confidencial Para la prestación del servicio, Izenpe y las Entidades de Registro precisan recabar y almacenar cierta información, que incluye datos de carácter personal. Tal información es recabada directamente de los Usuarios, obteniendo su consentimiento explícito. Izenpe y las Entidades de Registro recaban los datos exclusivamente necesarios para la activación y el mantenimiento de la solución de firma electrónica avanzada y la prestación de otros servicios en relación con la firma electrónica, no pudiendo tratarse con fines distintos sin el consentimiento expreso del firmante. Izenpe desarrolla una política de intimidad, de acuerdo con la legislación de protección de datos de carácter personal vigente. Izenpe y las Entidades de Registro no divulgan ni ceden datos de carácter personal. Las siguientes informaciones son mantenidas de forma confidencial por Izenpe y las Entidades de Registro: Solicitudes de Juegos de Barcos, aprobadas o denegadas, así como toda otra información personal obtenida para la activación del Juego de Barcos. Registros de transacciones, incluyendo los registros completos y los registros de auditoría de las transacciones. Registros de auditoría interna y externa, creados y/o mantenidos por Izenpe o las Entidades de Registro y sus auditores. Planes de continuidad de negocio y de emergencia. Política y planes de seguridad. Documentación de operaciones y restantes planes de operación, como archivo, monitorización y otros análogos. Ref.: Izenpe_DPAF 1.0 Página 32 de 37 9.3.2. Responsabilidad para proteger la información confidencial Izenpe o las Entidades de Registro divulgarán la información confidencial únicamente en los supuestos legalmente previstos para ello. 9.4. Protección de datos de carácter personal 9.4.1. Introducción Izenpe, como Prestador de Servicios de Confianza, protege sus ficheros de datos de carácter personal de acuerdo con lo previsto en la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y demás normativa de desarrollo. 9.4.2. Ámbito de aplicación Izenpe dispone de un Documento de Seguridad para la protección de los ficheros con datos de carácter personal. Izenpe establece las medidas de seguridad necesarias para garantizar la protección de datos de carácter personal contenidos en sus ficheros centrado en las instalaciones, plataformas de soporte y sistemas de información que tratan Datos de Carácter Personal, sean estos automatizados, no automatizados o mixtos. A tal fin, en el Documento de Seguridad se tratan los siguientes aspectos: Organización de seguridad para la protección de los datos de carácter personal. Estructura de los ficheros con datos de carácter personal y niveles de seguridad. Norma y procedimientos de seguridad. Por otro lado, la protección efectiva de los datos de carácter personal frente a tratamientos o accesos no autorizados, alteración o pérdida se realiza mediante el control de todas las vías por las que se pueda tener acceso a dicha información. Así, los recursos que sirven de medio directo o indirecto para acceder a los ficheros con datos de carácter personal de Izenpe, y que, por tanto, deben ser controlados por la normativa al efecto son: Las instalaciones o centros de tratamiento y locales donde se encuentran ubicados los ficheros y se almacenan los soportes y los documentos que los contengan. Los servidores, y el entorno de sistema operativo y de comunicaciones en el que se encuentran ubicados y se opera con los ficheros automatizados. Los archivos de documentación e información no automatizada. Los sistemas, ya sean automatizados, manuales o mixtos, establecidos para acceder a los datos. Ref.: Izenpe_DPAF 1.0 Página 33 de 37 9.4.3. Organización de seguridad para la protección de los datos de carácter personal El presente apartado describe la Organización de Seguridad establecida en Izenpe para garantizar la seguridad de los Datos de Carácter Personal. Se representa el Modelo Organizativo de Seguridad, identificando y mostrando las unidades implicadas y la dependencia jerárquica o funcional existente entre ellas. En el Documento de Seguridad de Izenpe se definen concretamente las funciones a desarrollar por cada una de las unidades de la organización de seguridad. 9.4.4. Modelo organizativo de seguridad El siguiente organigrama recoge la representación gráfica simplificada de la estructura de seguridad para gestionar y controlar la seguridad de los Datos de Carácter Personal en Izenpe. En ellos se representan las unidades Responsables involucradas en la organización de seguridad y las relaciones jerárquicas o funcionales existentes entre las mismas, en concreto, responsable de ficheros, comisión de seguridad, responsable de seguridad, responsables funcionales de los ficheros de Izenpe y usuarios. 9.4.5. Clasificación de las unidades para la organización de la seguridad De acuerdo a lo descrito anteriormente, las unidades y personal relacionado en el Documento de Seguridad para la organización de la seguridad se clasifican en las siguientes categorías: - Responsable del fichero, persona física o jurídica que decide sobre la finalidad, contenido y uso del fichero. Ref.: Izenpe_DPAF 1.0 Página 34 de 37 Es el encargado de la seguridad del fichero y adopta e implanta las medidas de seguridad necesarias para que el personal obligado por este documento conozca las normas que afectan al desarrollo de cada una de sus funciones. Mantiene actualizado el presente documento debiendo adecuar en todo momento el contenido del mismo a las disposiciones vigentes en materia de seguridad de datos. - Responsable de seguridad, es la persona a la que nombra el responsable del fichero y le asigna formalmente las funciones de coordinar y controlar las medidas de seguridad aplicables a los datos contenidos en el fichero. Colabora con el responsable del fichero en la difusión del documento de seguridad cooperando en el cumplimiento del mismo. - Comisión de seguridad, es el máximo órgano consultivo y de apoyo a las diversas unidades de la organización, en la toma de las decisiones referidas a la seguridad de la información y a la protección de datos. En el ejercicio de sus competencias, la Comisión actúa por delegación y con el respaldo manifiesto de la Dirección‐Gerencia, máxima representación de Izenpe, en su calidad de Responsable de los Ficheros que contengan datos de carácter personal, así como de los diversos órganos directivos a los que se adscriben dichos ficheros, en su calidad de órganos internos responsables de los mismos. - Responsable funcional de fichero, es la figura que se corresponde con la persona encargada de decidir en los aspectos operativos de los Sistemas de Información, desde el punto de vista funcional de los servicios. Estas figuras actuarán por delegación de Izenpe, como Responsable de Ficheros. Las personas de Izenpe que desempeñan esta función son básicamente las personas responsables de la gestión del servicio involucrado; es decir, los responsables de cada una de las áreas. - Usuario del fichero, personas que, en el desempeño de sus funciones, tratan o tienen acceso a los datos de carácter personal. Dichos usuarios, en materia de datos de carácter personal, están obligados a respetar las normas y procedimientos contenidos en el Documento de Seguridad, además de las que dimanan de la legislación vigente aplicable. 9.4.6. Estructura de los ficheros con datos de carácter personal Izenpe es responsable de ficheros de datos de carácter personal (en adelante, FICHEROS), inscritos en la Agencia Española de Protección de Datos: Los ficheros contienen datos de carácter personal, por lo que, según lo determinado en el artículo 81 del Real Decreto 1720/2007 serán aplicables todas medidas de seguridad correspondientes. La descripción de la estructura de los ficheros se encuentra detallada en el Documento de Seguridad de la Organización. 9.4.7. Normas y procedimientos de seguridad Los datos de carácter personal cuentan con medidas, normas y procedimientos precisos que garanticen su seguridad. Ref.: Izenpe_DPAF 1.0 Página 35 de 37 Para ello, el Documento de Seguridad presta especial atención al entorno del sistema operativo así como a los locales y puestos de trabajo en los que se ubiquen ordenadores que contengan el fichero objeto de protección por el Documento de Seguridad. Normas Izenpe dispone de las normas necesarias para garantizar la protección de los Datos de Carácter Personal que trata, en el ejercicio de sus funciones, y, así, dar cumplimiento a la legislación aplicable a este tipo de datos. Dichas Normas se aplican a todos los servicios, dependencias y sistemas de información de Izenpe, a todos los Datos de Carácter Personal contenidos en aquéllos en cualquier formato (informático, papel, video…) y a cualquier persona (interna o externa) que haga uso de estos elementos. Procedimientos Por otro lado, Izenpe dispone de los procedimientos necesarios para garantizar la protección de los Datos de Carácter Personal. Estos procedimientos son aplicables a todos los servicios, dependencias y sistemas de información de Izenpe, a todos los datos de carácter personal contenidos en aquéllos en cualquier formato (informático, papel, video…) y a cualquier persona (interna o externa) que haga uso de estos elementos. 9.5. Derechos de propiedad intelectual 9.5.1. Propiedad del sistema para firma electrónica avanzada con Juego de Barcos Izenpe es la única entidad que goza de los derechos de propiedad intelectual sobre el Juego de Barcos para firma electrónica avanzada. Quedan excluidos los derechos de propiedad intelectual e industrial derivados de aplicaciones que integran el sistema la firma electrónica avanzada con Juego de Barcos y que sean propiedad de un tercero. 9.5.2. Propiedad de la Declaración de Prácticas de Autenticación y Firma Izenpe es la propietaria de la presente Declaración de Prácticas de Autenticación y Firma. 9.5.3. Propiedad de claves y material relacionado La contraseña, el juego de barcos y el número de referencia son propiedad de los usuarios. 9.6. Normativa aplicable La ley española de firma electrónica se aplica en todo lo referente a la ejecución, elaboración, interpretación y validez de esta Declaración de Prácticas de Autenticación y Firma. La normativa aplicable al presente documento, y a las operaciones que derivan de ellas, es la siguiente: Ref.: Izenpe_DPAF 1.0 Página 36 de 37 Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica. Ley 59/2003, de 19 de diciembre, de firma electrónica. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal 9.7. Cumplimiento de la normativa aplicable La jurisdicción competente será aquella a la que en cada momento remita la legislación procesal española. En cualquier caso, Izenpe manifiesta el cumplimiento de las normativas indicadas en el apartado anterior. Ref.: Izenpe_DPAF 1.0 Página 37 de 37