Sistema Integral Multicanal de Atención al Ciudadano e-SIRCA-PROCEDIMIENTO AUTORIZACIÓN CONSUMO DE SERVICIOS DE LA PLATAFORMA AUTONÓMICA DE INTERMEDIACIÓN DE DATOS SEGURA Versión v4 Noviembre de 2014 Índice Índice ....................................................................................................................................... 2 1 Introducción ..................................................................................................................... 3 2 Propósito .......................................................................................................................... 4 3 Roles ................................................................................................................................. 5 4 Tipos de Servicios ........................................................................................................... 6 5 Modos de Consulta de los Servicios .............................................................................. 7 6 Prerrequisitos del Modelo de Autorización.................................................................... 8 7 Consumo de Servicios de Verificación de Datos o Intermediación desde el Cliente de la PAI................................................................................................................................... 9 8 Consumo de Servicios desde una aplicación propia .................................................. 11 8.1 Mapa de Actividades.......................................................................................................... 11 8.2 Detalle Proceso de Consumo ........................................................................................... 11 8.2.1 8.2.2 9 Entorno de Preproducción.................................................................................. 13 Entorno de Producción ....................................................................................... 14 Anexo I: Modo de recabar el consentimiento .............................................................. 16 Procedimiento de autorización de consumo de servicios de la PAI 2/17 1. Introducción La Plataforma Autonómica de Interoperabilidad de la Comunidad Valenciana, en adelante PAI, es una plataforma de interoperabilidad de servicios horizontales que ofrece la posibilidad de compartir e integrar servicios entre entidades públicas. El objetivo principal de la plataforma es impulsar el concepto de e-Administración proporcionando: • Soporte único a peticiones de tipo síncrono, asíncrono. • Firma de mensaje variable y soporte WSS completo. • Orquestación de procesos implementada en el propio bus. • Consola de alertas y monitorización configurable. • Gestión de políticas extensible y configurables a grupos de servicios. • Funcionalidades de gestión y administración de las peticiones realizadas, a partir de una herramienta a medida de administración de la plataforma. La plataforma de Interoperabilidad se sostiene gracias a una arquitectura implementada bajo tecnología SOA. La plataforma está disponible para todas las Consellerias y Organismos dependientes de la Generalitat, así como para Entidades Locales de la Comunitat Valenciana y otras Administraciones Públicas del Estado y Comunidades Autónomas, tanto para Proveer servicios como para Consumirlos. Cuanto mayor sea la aportación de servicios por parte de todos, mayor será el valor añadido aportado por la plataforma. Procedimiento de autorización de consumo de servicios de la PAI 3/17 2. Propósito El presente documento trata de describir el procedimiento de solicitud de acceso a la consulta de datos ofrecidos a través de la PAI. El intercambio de datos entre Administraciones se puede entender como un proceso dividido en tres etapas: 1) Solicitud de acceso y autorización a consumir el servicio de intercambio de datos. 2) Uso del servicio o intercambio de datos propiamente dicho. PROVEEDOR (ORGANISMO CEDENTE) CONSUMIDOR (ORGANISMO CESIONARIO) 3) Auditoría y control de uso de los servicios. Figura 1. Procedimiento de intercambio de datos Estas tres etapas o actividades deben realizarse necesariamente en este orden y la precedencia entre ellas es inevitable. No se puede usar el servicio si no se nos ha autorizado previamente a usarlo. Se analiza el cumplimiento de los requisitos exigidos por parte del organismo proveedor y que vienen recogidos en el formulario de acceso al servicio. Procedimiento de autorización de consumo de servicios de la PAI 4/17 3. Roles Las Consellerias y Entidades Públicas pueden participar en la PAI con uno de los siguientes roles: - Consumiendo servicios existentes. - Proveyendo servicios. Consumidor de Servicios, (u Organismo Cesionario según el Esquema Nacional de Interoperabilidad – Norma Técnica de Interoperabilidad de Protocolos de Intermediación de Datos), es la entidad que decide consumir un servicio concreto. Las Consellerias o Entidades Públicas para consumir los servicios de la plataforma deberán generar una petición, respetando las reglas establecidas por el proveedor del servicio y la plataforma, una vez procesada, la plataforma les devolverá la respuesta. Proveedor de Servicios, (u Organismo Cedente según el Esquema Nacional de Interoperabilidad – Norma Técnica de Interoperabilidad de Protocolos de Intermediación de Datos), es la entidad que ofrece un servicio a terceros. Procedimiento de autorización de consumo de servicios de la PAI 5/17 4. Tipos de Servicios Los servicios publicados en la PAI se pueden catalogar en dos grupos de servicios, cuyas características presentan diferencias sensibles y que afectan al modo en que se consumen dichos servicios, por tanto, nos podemos encontrar: - Servicios de Intermediación/Verificación de Datos: Estos servicios hacen referencia a las capacidades de verificación que la Administración, (local, autonómica y central), tiene para evitar solicitar al ciudadano documentación que pueda obrar en su poder en el proceso de interacción entre ambos. - Servicios Instrumentales. Estos servicios hacen referencia a servicios que permiten realizar procesos instrumentales a las distintas entidades de la Administración Pública en su gestión con el ciudadano, como puedan ser notificaciones, pagos, etc.. Procedimiento de autorización de consumo de servicios de la PAI 6/17 5. Modos de Consulta de los Servicios En función del servicio que se quiera consultar, podemos hacer uso de dos formas diferentes de consulta. Los servicios de verificación de datos publicados en la PAI se pueden consultar: − Desde el Cliente de la PAI CV: frontal web que se proporciona a todos aquellos que requieren hacer una consulta a un servicio de verificación de datos, pero no disponen de una aplicación que les permita realizar esta consulta o no disponen de recursos para adaptar su aplicación para consultar dicha información. − Desde una aplicación propia que tenga el organismo consumidor. En este caso la integración se realizará a nivel de Web Service y será el organismo consumidor el encargado de adaptarla, para llevar a cabo la consulta de los servicios necesarios. Por otra parte, el uso y consulta de los servicios instrumentales siempre se realiza desde una aplicación propia que tenga el organismo consumidor. La integración se realizará a nivel de Web Service y será el organismo consumidor el encargado de adaptarla para llevar a cabo la consulta de los servicios necesarios. A continuación, se detallan los pasos que se deben seguir para poder realizar las consultas de los servicios requeridos desde el Cliente de la PAI CV, así como desde una aplicación propia del organismo consumidor. Procedimiento de autorización de consumo de servicios de la PAI 7/17 6. Prerrequisitos del Modelo de Autorización De manera general, para autorizar el acceso a la PLATAFORMA AUTONÓMICA DE INTEROPERABILIDAD a un Organismo Consumidor, éste debe enviar una solicitud firmada por el responsable del organismo consumidor, (con rango de Subdirector equivalente o superior), según modelos publicados en el portal de documentación de la plataforma, dentro de la documentación asociada a cada servicio. Para los SERVICIOS DE VERIFICACIÓN DE DATOS, se debe indicar obligatoriamente: 1. El procedimiento administrativo cuya documentación requerida al ciudadano se sustituye por el servicio de verificación. 2. La Norma que establece el procedimiento, (o en la que se ampara el mismo), y los artículos de la misma en los que figure la necesidad de justificar o acreditar como requisito el dato o certificado para el cual se quiere realizar la consulta en el procedimiento indicado en el punto anterior. También se indicará si la consulta requiere el consentimiento expreso o está eximido de recabarlo por ley. 3. Modelo o formulario mediante el cual se solicita el consentimiento expreso del ciudadano para acceder a los datos “requeridos” en el procedimiento indicado en los casos en los que se requiera consentimiento. La presentación de la solicitud por parte del Organismo Consumidor, (y el uso del servicio), conlleva la asunción de las responsabilidades recogidas en el formulario de acceso al servicio, y las que se derivan de la normativa vigente, a fecha actual, al menos: - LOPD: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Ver Artículo 6. Consentimiento del afectado y Artículo 11. Comunicación de datos. - Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. - Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Ver Artículo 6.2b. - Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. - Decreto 165/2010, de 8 de octubre, del Consell, por el que se establecen medidas de simplificación y de reducción de cargas administrativas en los procedimientos gestionados por la administración de la Generalitat y su sector público. Por el hecho de consultar los datos, las responsabilidades que según la LOPD corresponden al Organismo Proveedor se trasladan al Consumidor, en calidad de encargado de tratamiento, en caso de utilización indebida o falta de custodia de la información recibida. Procedimiento de autorización de consumo de servicios de la PAI 8/17 7. Consumo de Servicios de Verificación de Datos o Intermediación desde el Cliente de la PAI CV En caso de que se quieran consultar los Servicios de Verificación de Datos a través del Cliente de la PAI CV, se deberá seguir el flujo indicado a continuación: 1. Cada organismo designará un Administrador Delegado encargado de la gestión de usuarios del Cliente de la PAI CV, para ello, cumplimentará el formulario <Formulario Solicitud Alta Administrador Delegado> firmado electrónicamente a [email protected] 2. Se cumplimentará/n el/los Formulario/s de Solicitud de Acceso a los Servicios de Verificación a los que se quiere solicitar el acceso y se remitirá/n firmado/s electrónicamente por el titular del órgano solicitante a [email protected].(*) (*)Verificar la validación de la firma de las solicitudes de los servicios estado en: https://valide.redsara.es/valide/ Debe tenerse en cuenta que en el apartado de “procedimientos administrativos” deben borrarse los ejemplos que aparecen en el formulario y es imprescindible la cumplimentación de los siguientes datos: - Código de cada uno de los procedimientos administrativos recogidos en el formulario. El código del procedimiento deberá ir precedido por el CIF del Organismo siguiendo el siguiente formato: [CIF] + '_' + [Código procedimiento]. Por ejemplo: SXXXX_12345 - Datos del procedimiento: o Norma legal del procedimiento (nombre y enlace http o adjuntar documento). o Artículos de la Norma Legal donde se requiere la información a consultar. o Consentimiento. Indicar si debe existir un consentimiento expreso del ciudadano (enlace http del formulario o documento adjunto) o Si se trata de un procedimiento que caduca o no, en caso de que el procedimiento caduque se deberá indicar la fecha de caducidad. 3. La PAI verificará el formulario recibido, en función del tipo del servicio solicitado: - Si es un servicio de verificación del Estado: solicitará acceso a la Plataforma de Intermediación de Datos (PID) a los servicios indicados para el procedimiento administrativo correspondiente, con su normativa legal asociada. - Si es un servicio de verificación Autonómico: se informa al Organismo/Conselleria proveedora del servicio, para su autorización. 4. Tras recibir la autorización de acceso, la PAI informará por correo electrónico al Administrador Delegado de que ya tiene autorizado el acceso al servicio para que 1 En caso de no disponer de herramienta para http://www.accv.es/administracion-publica/firma-on-line-pdf/ firmar documentos Procedimiento de autorización de consumo de servicios de la PAI acceder a 9/17 proceda a dar de alta en el Cliente PAI CV el procedimiento para el que ha solicitado el acceso. 5. El Administrador Delegado solicitará, verificará y custodiará las credenciales de cada uno de los usuarios. 6. El Administrador Delegado cumplimentará y remitirá el formulario de solicitud de alta usuarios cliente, firmado electrónicamente por el titular del órgano solicitante, mediante correo electrónico a [email protected].(*) (*)Verificar la validación de la firma de las solicitudes de los servicios estado en: https://valide.redsara.es/valide/ 7. El Administrador Delegado dará de alta en el Cliente PAI CV los usuarios, asignándoles los procedimientos a los que están autorizados y los servicios. Hay que tener en cuenta que para poder acceder al cliente de la PAI CV se debe disponer de un certificado personal o empleado público emitido. Procedimiento de autorización de consumo de servicios de la PAI 10/17 8. Consumo de Servicios desde una aplicación propia Las actividades concretas de un consumidor desde una aplicación propia están orientadas a: - Consumo del servicio en preproducción, documentación disponible, autorización, ejecución y prueba. - Consumo del servicio en producción, autorización, y puesta en producción. De manera esquemática, se presenta a continuación el ciclo completo que se debe seguir para el consumo de servicios por parte de Consellerias, Organismos Autónomos y resto de clientes potenciales de la plataforma, en el que se muestra el orden de los flujos principales de acción. Indicar que los pasos que a continuación se detallan pueden variar dependiendo del servicio consumido, debido a que el proveedor del servicio puede establecer necesidades adicionales para la aprobación de aplicaciones consumidoras. En cualquier caso la DGTI actuará como mediador para la aprobación de los requisitos. 8.1 Mapa de Actividades Se detallan a continuación las actividades relacionadas con el consumo de servicios desde una aplicación propia. Se identifican las actividades cuyos responsables son el organismo consumidor y las actividades propias de la DGTI o entidades responsables del Servicio, (en cualquier caso, serán asumidas directamente por la DGTI como mediador). Acción Descripción Responsable Observaciones PREPRODUCCIÓN 1 Recopilación de información técnica del servicio Consumidor En el portal de la plataforma se puede descargar la información referente al servicio que se desea Procedimiento de autorización de consumo de servicios de la PAI 11/17 consumir. 2 Solicitud de certificado de sello de órgano para servicios de verificación. Para servicios instrumentales se puede utilizar certificado de aplicación Consumidor Certificado de sello de órgano para el entorno de preproducción, en el caso de consultar servicios de verificación. Para servicios instrumentales se puede utilizar certificado de aplicación. 3 Envío solicitud firmada petición de acceso Consumidor Cumplimentación de la solicitud de acceso al servicio que se desea consumir y envío a la DGTI del formulario firmado 2 electrónicamente , a la dirección de correo: 3 [email protected] • Envío de la parte pública del certificado a la DGTI, a la dirección de correo: [email protected] de 4 Alta de la aplicación en la plataforma DGTI Habilitación de la aplicación para consumir el servicio. 5 Ejecución aplicación Consumidor Ejecución de pruebas de la aplicación contra el entorno de preproducción de la plataforma. 6 Aportación documentación la Consumidor En los casos en los que fuera necesario, aportación de la documentación necesaria para la aprobación del consumo y el paso a producción. 7 Aprobación producción a DGTI Aprobación del paso a producción. del de pase PRODUCCIÓN 8 Solicitud de certificado de sello de órgano para servicios de verificación. Para servicios instrumentales se puede utilizar certificado de aplicación DGTI (GVA) Consumidor (EELL) Certificado de sello de órgano para el entorno de preproducción, en el caso de consultar servicios de verificación. Para servicios instrumentales se puede utilizar certificado de aplicación. (Se recomienda realizarlo junto con el certificado de preproducción). 9 Envío solicitud firmada petición de acceso Consumidor Cumplimentación de la solicitud de acceso al servicio que se desea consumir y envío del formulario firmado electrónicamente a la DGTI, a la dirección de correo: [email protected] • Envío de la parte pública del certificado a la DGTI, a la dirección de correo: [email protected] de 10 Alta de la aplicación en la plataforma (producción) DGTI 11 Promoción a producción. Ejecución de pruebas de validación Consumidor 2 3 Habilitación de la aplicación en producción para consumir el servicio. En caso de no disponer de herramienta para http://www.accv.es/administracion-publica/firma-on-line-pdf/ Verificar la validación de https://valide.redsara.es/valide/ la firma de las firmar solicitudes de documentos los Procedimiento de autorización de consumo de servicios de la PAI servicios acceder estado a en: 12/17 8.2 Detalle Proceso de Consumo A continuación, se detalla el proceso de consumo anterior: 8.2.1 Entorno de Preproducción 1. Recopilación de información técnica del servicio (Consumidor): - En el portal de la plataforma se puede acceder a la información referente a todos los servicios: Estructura de peticiones y respuestas. Parámetros de configuración de la petición. URLs de acceso Ayudas y soporte al desarrollo. - Adicionalmente se pueden identificar necesidades adicionales para la aprobación del consumo del servicio en la documentación del propio servicio. 2. Solicitud de certificado digital (Consumidor) - Se requerirá el uso de un certificado de sello de órgano para servicios de verificación. Para servicios instrumentales se puede utilizar certificado de aplicación emitido por la ACCV. - A tener en cuenta que es necesaria la solicitud de un certificado para preproducción y otro para producción. 3. Envío de la solicitud firmada de petición de acceso (Consumidor): - Cumplimentación de la solicitud de acceso al servicio que se desea consumir y envío a la DGTI del formulario firmado electrónicamente4, a la dirección de correo [email protected] 5. - Para los servicios de verificación de datos se deberá indicar en la solicitud: Procedimiento para el que se solicita el permiso Norma y artículo en el que se justifica la necesidad de pedir el certificado o dato requerido, (nombre y enlace http o adjuntar documento). Consentimiento, hay que indicar si debe existir un consentimiento expreso del ciudadano o no es necesario por estar reflejado en la norma indicada, (enlace http del formulario o documento adjunto). Descripción del Procedimiento. Si se trata de un procedimiento que caduca o no, en caso de que el procedimiento caduque se deberá indicar la fecha de caducidad. - Envío de la parte pública del certificado a la DGTI, a la dirección de correo: [email protected] 4. Alta de la aplicación en la plataforma (DGTI). 4 5 En caso de no disponer de herramienta para http://www.accv.es/administracion-publica/firma-on-line-pdf/ Verificar la validación de https://valide.redsara.es/valide/ la firma de las firmar solicitudes de documentos los Procedimiento de autorización de consumo de servicios de la PAI servicios acceder estado a en: 13/17 Se realizará una revisión formal de la solicitud, validando que la información suministrada por los organismos consumidores es conforme a los requisitos indicados por el organismo proveedor. - En caso de que la resolución de dicha solicitud sea negativa, se indicará la causa por la se ha rechazado la solicitud y, en caso de requerir información de subsanación, la información necesaria. - Se autoriza el acceso a la plataforma para consumir el servicio solicitado en caso de que todo sea correcto. 5. Realización de las pruebas por parte del Consumidor en el entorno de preproducción, (el consumidor es autónomo para realizar pruebas en el entorno de preproducción. 6. Aportación de la documentación (Consumidor): En los casos en los que fuera necesario, aportación de la documentación necesaria para la aprobación del consumo y el paso a producción. Dicha documentación será aportada por el Consumidor a la DGTI en los servicios en los que fuera necesario. 7. Aprobación del pase a producción: Acción de la DGTI que permite el acceso de la aplicación al entorno de Producción. Será necesario haber aportado la documentación necesaria para el acceso al servicio concreto y la solicitud de acceso. Entorno de Producción - 8.2.2 Entorno de Producción 1. Solicitud de certificado para producción: Consumidor 2. Envío de la solicitud firmada de petición de acceso (Consumidor): - Cumplimentación de la solicitud de acceso al servicio que se desea consumir y envío a la DGTI del formulario firmado electrónicamente6, a la dirección de correo [email protected]. - Para los servicios de verificación de datos se deberá remitir el formulario original a las dependencias de la DGTI e indicar en la solicitud: Procedimiento para el que se solicita el permiso. Norma y artículo en el que se justifica la necesidad de pedir el certificado o dato requerido, (nombre y enlace http o adjuntar documento). Consentimiento, hay que indicar si debe existir un consentimiento expreso del ciudadano o no es necesario por estar reflejado en la norma indicada, (enlace http del formulario o documento adjunto). Descripción del Procedimiento. Si se trata de un procedimiento que caduca o no, en caso de que el procedimiento caduque se deberá indicar la fecha de caducidad. 6 7 En caso de no disponer de herramienta para http://www.accv.es/administracion-publica/firma-on-line-pdf/ Verificar la validación de https://valide.redsara.es/valide/ la firma de las firmar solicitudes de documentos los Procedimiento de autorización de consumo de servicios de la PAI servicios acceder estado a en: 14/17 Envío de la parte pública del certificado a la DGTI, a la dirección de correo: [email protected] 3. Alta de la aplicación en la plataforma de producción (DGTI). Para autorizar el acceso a la aplicación, será necesario: - Se realizará una revisión formal de la solicitud, validando que la información suministrada por los organismos consumidores es conforme a los requisitos indicados por el organismo proveedor. - En caso de que la resolución de dicha solicitud sea negativa, se indicará la causa por la se ha rechazado la solicitud y, en caso de requerir información de subsanación, la información necesaria. - Aportar la documentación para realizar el pase al entorno de producción (en los casos en que fuera necesario). - Se autoriza el acceso a la plataforma para consumir el servicio solicitado en caso de que todo sea correcto. 4. Promoción a producción (Consumidor). - Realización de la promoción de la aplicación consumidora por parte de la Conselleria. - Prueba del servicio para verificar su correcto funcionamiento. Será necesario tener en cuenta que los servicios tienen terceras entidades, (proveedoras y participantes), cuyos servicios están en producción. - Procedimiento de autorización de consumo de servicios de la PAI 15/17 9. Anexo I: Modo de recabar el consentimiento Como ejemplos se muestran a continuación ejemplos correctos de recabar el consentimiento del ciudadano para poder consultar sus datos (aplicable a cualquier tipo de dato). En este caso la normativa aplicable y que tendrá validez mientras no sea derogada será: - LOPD: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Ver Artículo 6. Consentimiento del afectado. - Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. - Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. - Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. - Decreto 165/2010, de 8 de octubre, del Consell, por el que se establecen medidas de simplificación y de reducción de cargas administrativas en los procedimientos gestionados por la administración de la Generalitat y su sector público. Ejemplos correctos para recabar el consentimiento: 1. Esta solicitud autoriza a la Generalitat para que requiera electrónicamente los datos relativos al cumplimiento de las obligaciones tributarias y frente a la Seguridad Social. Si el solicitante deniega este consentimiento, deberá aportar, en su consecuencia, la documentación acreditativa de estar al corriente de dichas obligaciones. [ ] Sí [ ] No 2. D'acord amb el que disposa l'article 5 del DECRET 165/2010, de 8 d'octubre, del Consell, pel que s'establixen mesures de simplificació i de reducció de càrregues administratives en els procediments gestionats per l'administració de la Generalitat i el seu sector públic (DOCV núm 6.376 de 14.10.2010), done la meua autorització perquè l'administració obtinga directament l'acreditació del compliment de les obligacions tributàries i amb la Seguretat Social, com també per a la comprovació directa de les dades d'identitat (DNI) i, si és el cas, de residència. En cas de no subscriure la corresponent autorització, l'interessat estarà obligat a aportar els documents en els termes exigits per les normes reguladores del procediment. De acuerdo con lo dispuesto en el artículo 5 del DECRETO 165/2010, de 8 de octubre, del Consell, por el que se establecen medidas de simplificación y de Procedimiento de autorización de consumo de servicios de la PAI 16/17 reducción de cargas administrativas en los procedimientos gestionados por la administración de la Generalitat y su sector público (DOCV núm 6.376 de 14.10.2010), doy mi autorización para que la administración obtenga directamente la acreditación del cumplimiento de las obligaciones tributarias y con la Seguridad Social, así como para la comprobación directa de los datos de identidad (DNI) y, en su caso, de residencia. Caso de no suscribir la correspondiente autorización, el interesado estará obligado a aportar los documentos en los términos exigidos por las normas reguladoras del procedimiento. Procedimiento de autorización de consumo de servicios de la PAI 17/17