Texto Divulgativo de la Política

Anuncio
SERVICIOS DE CERTIFICACIÓN DIGITAL
PARA UNIVERSIDADES
TEXTO DIVULGATIVO DE POLÍTICA
Referencia: TDP PKI WG10 QUALIFIED SAN
Versión: 1.0.2
Fecha: 30/01/2009
TEXTO DIVULGATIVO DE POLÍTICA
El presente documento contiene información de su interés relativa a los servicios de certificación
digital que Banco Santander, S.A. (en adelante Santander o el Banco) presta a las Universidades
asociadas al carnet universitario, con el fin de facilitar el empleo de dichos servicios a los usuarios
finales de los certificados digitales y todo ello conforme a la normativa sobre firma electrónica.
Estos servicios se regulan en un Acuerdo Marco para la prestación de Servicios de Certificación
Digital X509v3 firmado entre el Banco y las Universidades (en adelante el Acuerdo), en los contratos
que suscriban los firmantes (en adelante, Contrato de Firmante), en la Declaración de Prácticas de
Certificación PKI WG10 QUALIFIED (DPC PKI WG10 QUALIFIED), en la Política de Certificación PKI
WG10 QUALIFIED (DPC PKI WG10 QUALIFIED) y, en caso de renovación del certificado, en la Hoja
de Entrega y Aceptación.
Este texto, cuyo contenido sigue el esquema del Anexo B del documento ETSI TS 101 456 V1.2.1
(2002-04), tiene carácter meramente divulgativo y en ningún caso sustituye a lo dispuesto en los
citados documentos.
1. Autoridad de Certificación y Oficina de Registro
Santander es la Autoridad de Certificación que emite los certificados digitales, utilizando su
infraestructura de certificación digital llamada Autoridad de Certificación Raíz “WG10 QUALIFIED
Identification Root CA”. Los certificados digitales se emiten exclusivamente a los Firmantes, personas
físicas que mantienen una determinada relación profesional, estudiantil o investigadora con la
Universidad.
Los procedimientos que la Autoridad de Certificación se compromete a cumplir para desarrollar sus
actividades se detallan en la DPC PKI WG10 QUALIFIED que el Firmante deberá conocer.
La Oficina de Registro (ver apartado 8) se encarga de las tareas operativas y de información
relacionadas con los Firmantes: información previa; comprobación de la identidad; contratación;
emisión, revocación y renovación de los certificados; consultas.
2. Certificados digitales y usos autorizados
Los certificados digitales cumplen el formato X.509 versión 3 (en adelante, los certificados) son
emitidos a personas físicas, los Firmantes, por un periodo de validez máximo de cuatro años y que se
pueden utilizar para:
• Autenticación
• Firma de mensajes, documentos y formularios Web
• Firma de correo electrónico seguro
• Integridad de los datos
Los certificados se emplearán en el ámbito universitario, en aplicaciones debidamente autorizadas
por Santander y la Universidad. Así mismo, los certificados podrán ser utilizados en la relación del
firmante con todos los organismos y empresas en los que esté homologada su utilización como, por
ejemplo, la Agencia Estatal de la Administración Tributaria (AEAT).
Cada Firmante dispondrá de una clave pública y de una clave privada, generadas en el entorno
seguro de la Oficina de Registro. Con la clave pública se genera su certificado y, a continuación, se
almacenan de forma segura en su carnet universitario la clave privada y el certificado. Por lo tanto,
cualquier incidencia o daño relacionado con su carnet universitario puede afectar al uso de su
certificado.
Para poder obtener el certificado, el Firmante tiene que personarse en la Oficina de Registro con un
documento original que permita comprobar su identidad (DNI, Pasaporte o Tarjeta de Residencia)
junto con su carnet universitario y suscribir con el Banco el Contrato de Firmante.
Texto Divulgativo de Política
Página 2 de 4
Santander
Siempre que el Firmante pretenda utilizar su clave privada para autenticarse ante una aplicación o
para firmar digitalmente, será necesario que teclee la clave de activación de firma (PIN Universitario)
que protege el acceso a su clave privada.
Para revocar el certificado, será necesario que el Firmante rellene una Solicitud de Revocación y la
entregue en la Oficina de Registro. Una vez revocado el certificado, no podrá volver a utilizarse y será
necesario completar el proceso de Registro y firmar un nuevo contrato de firmante.
Para renovar el certificado, una vez transcurrido el periodo de validez, el Firmante deberá repetir el
proceso de registro y suscribir la Hoja de Entrega y Aceptación.
3. Obligaciones de la Universidad y del Firmante
Para solicitar la emisión de certificados al Banco, la Universidad enviará a la Oficina de Registro una
petición que deberá contener ciertos datos del Firmante necesarios para identificarle y para la
generación del certificado. Por lo tanto:
• La Universidad se hace responsable de que toda la información proporcionada al Banco sea
veraz, completa y actualizada. La Universidad deberá comunicar al Banco cualquier error,
inexactitud o cambio de la información facilitada a la Oficina de Registro.
• La Universidad se compromete a utilizar los servicios de certificación digital sin infringir lo
establecido en el Acuerdo firmado con el Banco, y en la DPC PKI WG10 QUALIFIED.
Las obligaciones del Firmante que se detallan en el Contrato de Firmante son:
• Responsabilizarse de que toda la información que se proporcione al Banco en la solicitud de
certificado o que figure en el mismo, es veraz, completa y actualizada, debiendo notificar a la
Oficina de Registro cualquier error, inexactitud o cambio de la información facilitada.
• Aceptar que la firma digital generada con su clave privada es su firma electrónica y equivale a
su firma manuscrita.
• Hacer uso de los servicios de certificación digital, el par clave pública/clave privada, el
certificado y el carnet universitario (o cualquier otro soporte técnico equivalente facilitado por
el Banco) de acuerdo con los usos permitidos en el Contrato de Firmante.
• Custodiar adecuadamente su clave de activación de firma (el PIN Universitario), la clave
privada del certificado y su carnet universitario o cualquier otro soporte técnico que le haya
entregado el Banco. En consecuencia, deberá notificar al Banco cualquier hecho o incidente
que implique la pérdida o daño de su carnet universitario, o la sospecha de que un tercero no
autorizado conoce su PIN Universitario.
• En los supuestos de robo, pérdida o sustracción del carnet universitario, o en el supuesto de
que la Universidad y/o el Firmante tuviese/n indicios de que la clave privada ha perdido
fiabilidad por cualquier circunstancia, entretanto no se solicite al Banco la revocación del
certificado, la posible responsabilidad que pudiera derivarse del uso no autorizado y/o
indebido del certificado corresponderá al Firmante y a la Universidad si tuviera conocimiento
de estas circunstancias.
• No debe alterar, monitorizar o descompilar los servicios de certificación digital del Banco.
4. Obligaciones de Santander
Por su parte, Santander se obliga a:
• Proporcionar la infraestructura y los servicios de certificación digital acordados con la
Universidad en las condiciones técnicas y operativas previstas en la DPC PKI WG10
QUALIFIED.
• Realizar las comprobaciones necesarias al objeto de que en los certificados no existan
falsedades, errores fácticos u omisiones de hechos fundamentales.
• Garantizar que los certificados se adaptan al contenido de la DPC PKI WG10 QUALIFIED.
• Poner a disposición de la Universidad un sistema que permita comprobar la validez de los
certificados que haya emitido, según lo pactado con la Universidad mediante anexo al
Acuerdo.
• Revocar puntualmente los certificados conforme a lo previsto en la DPC PKI WG10
QUALIFIED, en el Acuerdo y en los respectivos contratos de firmante. Además, notificará a la
Universidad y al Firmante cualquier hecho conocido por el Banco que afecte sustancialmente
a la validez y a la fiabilidad de los certificados emitidos.
Texto Divulgativo de Política
Página 3 de 4
Santander
•
Por último, excepto lo expresamente previsto en la DPC PKIWG10 QUALIFIED, en las
cláusulas del Acuerdo y en el Contrato de Firmante, Santander no garantiza la exactitud,
autenticidad, fiabilidad, totalidad, actualidad, o idoneidad de cualquier información contenida
en los certificados, o compilada, publicada, o distribuida por, o en nombre de Santander.
5. Protección de datos personales
El tratamiento de los datos personales se efectúa de conformidad con lo dispuesto en la Ley Orgánica
15/1999, de 13 de Diciembre, sobre Protección de Datos de Carácter Personal, informando al
Firmante de la posible incorporación de sus datos personales en ficheros, del tratamiento informático
a que van a ser sometidos, así como de la finalidad para la que son recogidos y tratados y de sus
derechos de acceso, rectificación, cancelación y oposición.
Santander, como responsable del fichero, cuenta con los medios técnicos y organizativos necesarios
para garantizar la seguridad y protección de sus sistemas de información así como de los datos e
información que en ellos se almacenan.
Sin embargo, la siguiente información se considera no confidencial:
• Todos los datos incluidos en los certificados emitidos por la Autoridad de Certificación, entre
ellos, el nombre y los apellidos del Firmante y la dirección de correo electrónico que haya
indicado.
• La vinculación del Firmante a un certificado emitido por la Autoridad de Certificación.
• Los diferentes estados o situaciones del certificado y la fecha del inicio de cada uno de ellos,
en concreto: válido, revocado o caducado y el motivo que provocó el cambio de estado.
• Las informaciones de estado de revocación de los certificados.
• La información contenida en los depósitos de certificados.
• Toda otra información que no esté indicada como confidencial en la DPC PKI WG10
QUALIFIED.
6. Coste del servicio
En el caso de que los servicios a los Firmantes no sean gratuitos, este hecho, junto con el detalle de
las cuotas a pagar, se reflejará en el Acuerdo y en el Contrato de Firmante y en la información previa
al registro que tanto el Banco como la Universidad suministren al futuro Firmante.
7. Auditorías de conformidad
Anualmente, la Autoridad de Certificación llevará a cabo una auditoría de conformidad, sin perjuicio
de cualesquiera otras auditorías internas que pueda llevar a cabo bajo su propio criterio en cualquier
momento, a causa de una sospecha de incumplimiento de alguna medida de seguridad o por un
compromiso de claves. La auditoría de conformidad la puede realizar bien el departamento de
auditoría interna del Banco, o bien un auditor independiente.
La DPC PKI WG10 QUALIFIED contiene más detalles sobre los criterios de auditoría que sigue la
Autoridad de Certificación.
8. Datos de contacto
Para obtener el certificado, y para cualquier consulta o incidencia sobre los servicios de certificación
digital prestados por el Banco, puede dirigirse, durante el horario de atención al público, a una Oficina
de Registro.
Asimismo, para cualquier consulta se encuentra a su disposición la siguiente dirección de correo
electrónico:
certificació[email protected]
Texto Divulgativo de Política
Página 4 de 4
Santander
Descargar