Agencia Estatal Boletín Oficial del Estado
El Reglamento Delegado (UE) 2021/1244 de la Comisión (1) modifica el anexo X del Reglamento (UE) 2018/858 (2) y, en particular, añade un nuevo apéndice que establece el procedimiento de aprobación y autorización de los agentes independientes para acceder a las características de seguridad del vehículo.
Las obligaciones legales del procedimiento relativas a la función y las responsabilidades de los organismos que participan en la aprobación y autorización de los agentes independientes y de sus empleados para que se les conceda acceso a la información sobre la reparación y el mantenimiento de los vehículos relacionada con la seguridad se establecen en el anexo X, apéndice 3, del Reglamento (UE) 2018/858. De conformidad con lo dispuesto en el anexo X, punto 6.3, los requisitos funcionales relativos a la aplicación del procedimiento se facilitan en apoyo de las obligaciones legales mediante ejemplos y casos de uso que se recogen en el anexo de la presente Comunicación de la Comisión.
(1) Reglamento Delegado (UE) 2021/1244 de la Comisión, de 20 de mayo de 2021, por el que se modifica el anexo X del Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo en lo que respecta al acceso normalizado a la información del sistema de diagnóstico a bordo y a la información sobre la reparación y el mantenimiento del vehículo, así como a los requisitos y procedimientos de acceso a la información sobre seguridad del vehículo (DO L 272 de 30.7.2021, p. 16).
(2) Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos, por el que se modifican los Reglamentos (CE) n.o 715/2007 y (CE) n.o 595/2009 y por el que se deroga la Directiva 2007/46/CE (DO L 151 de 14.6.2018, p. 1).
CASO DE USO SERMI 1. Solicitudes de modificación del proceso de acreditación y seguimiento de la aplicación en todos los Estados miembros:
|
Agente |
Miembros del «Foro para el Acceso a la IRM de los vehículos relacionada con la seguridad» o «SERMI» y la Comisión |
|
Objetivo |
Los agentes pueden presentar una solicitud para modificar el régimen. |
|
Punto de partida del caso de uso |
Una solicitud de modificación del régimen para recibir información sobre la reparación y el mantenimiento (IRM) relacionada con la seguridad |
|
Resultado del caso de uso |
Régimen actualizado para recibir IRM relacionada con la seguridad cuando proceda |
|
Descripción |
El SERMI tramita las solicitudes de modificación del régimen. Sus miembros evalúan y actualizan el régimen. El SERMI asesora a la Comisión sobre las solicitudes de modificación del proceso de acreditación. |
CASO DE USO SERMI 2. Selección de centros de confianza
|
Agente |
Centro de confianza (CC) |
|
Objetivo |
Designar un CC. |
|
Punto de partida del caso de uso |
Solicitud del CC al SERMI, que evalúa si el CC cumple todos los requisitos funcionales y técnicos. |
|
Resultado del caso de uso |
Solicitud del CC aceptada o rechazada. Lista actualizada de los CC seleccionados. |
|
Descripción |
El SERMI procesa las solicitudes presentadas por los CC para ser seleccionados, de acuerdo con los criterios del anexo X, apéndice 3, punto 4.1.2, del Reglamento (UE) 2018/858; y crea y actualiza la lista de CC seleccionados. Se notifica a la Comisión. |
CASO DE USO SERMI 3. Adopción de la guía de aplicación para la interacción entre las entidades implicadas
|
Agente |
El SERMI y la Comisión |
|
Objetivo |
Uso de la guía de aplicación por parte de los fabricantes de vehículos y el CC para lograr la correcta aplicación de las normas de comunicación obligatorias: Protocolo de Comprobación del Estado de un Certificado en Línea (OCSP, por sus siglas en inglés) y Protocolo Simple de Acceso a Objetos (SOAP, por sus siglas en inglés). |
|
Punto de partida del caso de uso |
Información y normas conocidas. |
|
Resultado del caso de uso |
Guía de aplicación que proporciona toda la información necesaria para las interfaces de comunicación. |
|
Descripción |
El SERMI aporta información a la Comisión sobre la posibilidad de crear y mantener la aplicación habida cuenta de la mejora de los requisitos de seguridad y la mejora de las tecnologías a lo largo del tiempo. |
CASO DE USO ONA 1. Acreditación de un organismo de evaluación de la conformidad
|
Agente |
Organismo de evaluación de la conformidad (OEC) |
|
Objetivo |
Acreditar a un OEC. |
|
Punto de partida del caso de uso |
Formulario de solicitud presentado por un OEC para su tramitación por el organismo nacional de acreditación (ONA). |
|
Resultado del caso de uso |
Se acredita o no se acredita al OEC. Informe de acreditación del ONA sobre el OEC. |
|
Descripción |
Formulario de acreditación facilitado por el ONA para su cumplimentación por un OEC. La organización que solicita ser un OEC cumplimenta el formulario de acreditación. El ONA evalúa que la organización cumpla todos los requisitos especificados. La acreditación tiene por objeto garantizar que el OEC sea evaluado en cuanto al cumplimiento de la norma «Evaluación de la conformidad. Requisitos para el funcionamiento de diferentes tipos de organismos que realizan la inspección» (ISO/IEC 17020:2012) como organismo de control de tipo A. El OEC solicita acreditación con arreglo al artículo 7 del Reglamento (CE) n.o 765/2008. |
CASO DE USO ONA 2. Tramitación de las reclamaciones contra los OEC
De conformidad con el artículo 9, apartado 4, del Reglamento (CE) n.o 765/2008, los organismos nacionales de acreditación establecen los procedimientos necesarios para tramitar las reclamaciones contra los organismos de evaluación de la conformidad que hayan acreditado.
Las responsabilidades del ONA son las siguientes:
|
a) |
pronunciarse sobre la admisibilidad de la reclamación; |
|
b) |
garantizar que una reclamación relativa a un OEC acreditado se aborde en primer lugar por el OEC; |
|
c) |
adoptar las medidas correctoras adecuadas en un plazo razonable en caso necesario; |
|
d) |
registrar todas las reclamaciones y las medidas adoptadas; y |
|
e) |
responder al reclamante. |
Durante el proceso de reclamación a través del ONA, todas las aprobaciones de agentes independientes existentes, así como todas las autorizaciones de los empleados, los certificados de inspección y las medidas correctoras que el OEC haya expedido seguirán siendo válidos.
En caso de que el ONA decida retirar la acreditación del OEC, todas las aprobaciones de agentes independientes y los certificados de inspección de aprobación correspondientes, así como todos los certificados de inspección de autorización de empleados que hayan sido expedidos por este OEC, dejarán de ser válidos. Posteriormente, el OEC informa al agente independiente aprobado de dicha decisión. El ONA informa al SERMI y a la Comisión de dicha decisión.
|
Agente |
Agente independiente, CC, fabricante del vehículo, autoridades pertinentes. |
|
Objetivo |
Tramitar las reclamaciones. |
|
Punto de partida del caso de uso |
Reclamación contra un OEC. |
|
Resultado del caso de uso |
Resolución de una reclamación contra un OEC. |
|
Descripción |
Las reclamaciones se resuelven a escala local entre el OEC y el reclamante. Las reclamaciones que no se resuelvan a escala local podrán remitirse al ONA para su ulterior examen, de conformidad con lo previsto en el artículo 9, apartado 4, del Reglamento (CE) n.o 765/2008. |
CASO DE USO ONA 3. Listado del ONA de los OEC acreditados
|
Agente |
ONA |
|
Objetivo |
El mantenimiento por parte del ONA de una lista actualizada de todos los OEC acreditados. |
|
Punto de partida del caso de uso |
OEC acreditados. |
|
Resultado del caso de uso |
Una lista de los OEC acreditados en cada país. |
|
Descripción |
El ONA crea, mantiene y publica una lista de todos los OEC acreditados en cada país. |
CASO DE USO OEC 1. Formalización de una relación empresarial del OEC con un centro de confianza
|
Agente |
OEC |
||||||
|
Objetivo |
El OEC suscribe un acuerdo contractual con un CC seleccionado publicado en la lista de CC seleccionados por el SERMI. |
||||||
|
Punto de partida del caso de uso |
Contrato entre el OEC y un CC seleccionado elegido a partir de la lista de CC aceptados publicada por el SERMI (véase el CASO DE USO SE2). |
||||||
|
Resultado del caso de uso |
Un contrato firmado entre el OEC y el CC. |
||||||
|
Descripción |
El OEC formaliza una relación empresarial con un CC seleccionado de acuerdo con la lista publicada por el SERMI para:
Un OEC suscribe un único acuerdo contractual con un CC. |
CASO DE USO OEC 2. El OEC inspecciona al agente independiente para su aprobación
|
Agente |
Agente independiente |
|
Objetivo |
Aprobación del agente independiente, de modo que un agente independiente pueda designar empleados para que reciban autorización para acceder a la IRM relacionada con la seguridad. |
|
Punto de partida del caso de uso |
Formulario de solicitud cumplimentado según lo requerido por el OEC. El formulario de solicitud contiene los criterios enumerados en el anexo X, apéndice 3, punto 4.3.3, del Reglamento (UE) 2018/858 |
|
Resultado del caso de uso |
Certificado en papel con el resultado de la inspección de aprobación del agente independiente. |
|
Descripción |
El agente independiente envía el formulario de solicitud y todos los documentos necesarios al OEC por medios auditables. El OEC verifica los documentos y comprueba si otro OEC ya ha realizado la inspección al agente independiente. Si se cumplen los criterios para la aprobación del agente independiente [anexo X, apéndice 3, punto 4.3.3, del Reglamento (UE) 2018/858], el OEC envía al agente independiente el certificado de inspección de aprobación en formato papel. Si el agente independiente no supera la inspección del OEC, este último lo notifica por medios auditables a los demás OEC del país correspondiente. El OEC verifica que los datos facilitados por el agente independiente son coherentes a lo largo de todo el proceso. Todo empleado de un agente independiente que obtenga autorización para acceder a la información de seguridad estará registrado en el mismo OEC y CC. Todo agente independiente aprobado puede ser sometido a inspecciones in situ aleatorias sin previo aviso. Esto ocurrirá una vez durante el período de validez de la aprobación del agente independiente. |
CASO DE USO OEC 3. Inspecciones in situ del OEC
|
Agente |
OEC |
|
Objetivo |
Como mínimo, una inspección in situ aleatoria y sin previo aviso a cada uno de los agentes independientes aprobados durante el período de validez y una inspección in situ solicitada por los agentes independientes en los últimos seis meses del período de validez para garantizar que la información facilitada durante la solicitud es correcta y que los requisitos de procedimiento se aplican y se ponen en práctica en las operaciones cotidianas, según lo declarado por el agente independiente en la solicitud de aprobación. La inspección realizada en los últimos seis meses también se utilizará para decidir si se renueva la aprobación de un agente independiente. Cuando se presente una reclamación contra un agente independiente aprobado o un empleado autorizado del agente independiente, se decidirá si es necesario llevar a cabo una inspección in situ. |
|
Punto de partida del caso de uso |
Visita sin previo aviso a las instalaciones del agente independiente. Visita a las instalaciones del agente independiente a petición de este en los últimos seis meses de validez de la aprobación del agente independiente En respuesta a una reclamación. |
|
Resultado del caso de uso |
Se confirma o revoca la aprobación del agente independiente. En caso de que se revoque la aprobación del agente independiente, se revocarán también las autorizaciones de sus empleados y se ordenará al CC que revoque los certificados digitales correspondientes. Se renueva la aprobación del agente independiente (CASO DE USO OEC 4). |
|
Descripción |
El OEC visita al agente independiente y lleva a cabo una inspección in situ en la que verifica si se cumplen los criterios establecidos en el anexo X, apéndice 3, punto 4.3.3, del Reglamento (UE) 2018/858. El OEC podrá solicitar la asistencia de las autoridades de vigilancia del mercado del Estado miembro en el que esté establecido para llevar a cabo una inspección in situ. Según los resultados de la inspección, se confirma o revoca la aprobación del agente independiente. El OEC permite que el agente independiente corrija deficiencias menores tras el resultado negativo de una inspección in situ, de conformidad con el anexo X, apéndice 3, punto 4.3.1, del Reglamento (UE) 2018/858. Un resultado final negativo de la inspección tendrá como consecuencia la revocación de la aprobación del agente independiente y de las autorizaciones y los certificados digitales de sus empleados por parte del CC. |
CASO DE USO OEC 4. El OEC inspecciona al agente independiente para la renovación de la aprobación
|
Agente |
Agente independiente |
|
Objetivo |
Renovación de la aprobación del agente independiente. |
|
Punto de partida del caso de uso |
Solicitud cumplimentada según lo requerido por el OEC. El formulario de solicitud contiene los criterios enumerados en el anexo X, apéndice 3, punto 4.3.2, del Reglamento (UE) 2018/858. Resultado positivo de una inspección in situ solicitada por un agente independiente realizada por el OEC en los seis meses anteriores al plazo de expiración de la aprobación. |
|
Resultado del caso de uso |
Certificado en papel con el resultado de la inspección para la renovación de la aprobación de un agente independiente. Expiración de la aprobación del agente independiente y revocación de la autorización y de los certificados digitales de sus empleados en caso de resultado negativo de la inspección o de denegación de la solicitud de renovación. |
|
Descripción |
La aprobación deberá renovarse tras un período de tiempo de sesenta meses. Antes de que expire la aprobación, el OEC notifica el próximo vencimiento al agente independiente. El plazo notificación es seis meses antes de que venza la aprobación. El agente independiente solicita una inspección in situ del OEC. El OEC realiza la inspección in situ. Si el resultado de la inspección es negativo, el OEC revoca la aprobación del agente independiente y la autorización de sus empleados. El OEC ordena al CC que revoque el certificado o los certificados de los empleados del agente independiente. El agente independiente envía todos los documentos por medios auditables al OEC dos meses antes de que expire la aprobación. El OEC verifica los documentos y comprueba si el agente independiente ya ha sido aprobado o rechazado por otro OEC. El OEC verifica el cumplimiento del concepto de actividad empresarial legítima al que hace referencia el anexo X, punto 6.3, párrafo segundo, del Reglamento (UE) 2018/858. El OEC podrá recibir asistencia de la autoridad de vigilancia del mercado del Estado miembro en el que esté establecido. Si se cumplen los criterios para la aprobación del agente independiente [véase el anexo X, apéndice 3, punto 4.3.3, del Reglamento (UE) 2018/858], el OEC enviará al agente independiente el certificado de inspección de aprobación en formato papel. Si el agente independiente no supera la inspección del OEC, este último lo notifica por medios auditables a los demás OEC del país correspondiente. El OEC verifica que los datos facilitados por el agente independiente son coherentes a lo largo de todo el proceso. Todo empleado de un agente independiente que obtenga autorización para acceder a la información de seguridad tras la inspección de autorización descrita en el caso de uso CA6 estará registrado en el mismo OEC y CC. |
CASO DE USO OEC 5. Tramitación de datos del agente independiente por parte del OEC
|
Agente |
Agente independiente |
|
Objetivo |
Corregir los datos del agente independiente. |
|
Punto de partida del caso de uso |
El agente independiente solicita al OEC correspondiente que modifique sus datos. El agente independiente aporta al OEC una justificación adecuada de esta modificación. |
|
Resultado del caso de uso |
Se actualizan los datos del agente independiente. |
|
Descripción |
El agente independiente envía todos los documentos necesarios al OEC por medios auditables. El OEC comprueba los documentos. Si el OEC determina que la solicitud está justificada, se modifican los datos y el OEC emite al agente independiente el certificado modificado en papel. |
CASO DE USO OEC 6. El OEC inspecciona al empleado del agente independiente para su autorización
|
Agente |
Empleado del agente independiente |
||||
|
Objetivo |
Autorización de uno o varios empleados del agente independiente. |
||||
|
Punto de partida del caso de uso |
Formulario de solicitud de inspección cumplimentado según lo requerido por el OEC. El formulario de solicitud cumple los criterios enumerados en el anexo X, apéndice 3, punto 4.3.4, del Reglamento (UE) 2018/858 |
||||
|
Resultado del caso de uso |
El OEC envía el resultado de la inspección al CC para que este último:
|
||||
|
Descripción |
El empleado del agente independiente envía la solicitud y todos los documentos necesarios al OEC por medios auditables. El OEC comprueba si el empleado del agente independiente ha presentado una solicitud anterior que hubiera sido rechazada por el propio OEC o por cualquier otro OEC a escala de la Unión. El OEC comprueba los documentos. Si se cumplen los criterios para la autorización del empleado del agente independiente [véase el anexo X, apéndice 3, punto 4.3.4, del Reglamento (UE) 2018/858], el OEC informa al CC para que se emita un certificado digital (caso de uso CC1). Todo empleado de un agente independiente solicitará autorización al OEC de modo que su agente independiente esté registrado en el OEC. La norma ISO 17020:2012, cláusula 7.1.6, prevé la verificación de la exactitud y la integridad de la información que presenta el agente independiente en nombre de sus empleados |
CASO DE USO OEC 7. Seudonimización de datos personales en el OEC
|
Agente |
OEC |
|
Objetivo |
Seudonimización de los datos personales de los empleados del agente independiente. |
|
Punto de partida del caso de uso |
Nombre y apellidos del empleado del agente independiente. |
|
Resultado del caso de uso |
Identificador único del empleado del agente independiente que se utilizará de la misma manera que en el certificado digital. |
|
Descripción |
El nombre y apellidos del empleado del agente independiente se transfiere a un identificador único del empleado del agente independiente, que se utilizará a lo largo de todo el proceso para acceder a la IRM pertinente relacionada con la seguridad. El caso de uso garantiza que el tratamiento de datos personales cumple las normas de la UE en materia de protección de los derechos y libertades fundamentales de las personas físicas, tal como establece el Reglamento (UE) 2016/679 y en la Directiva 2002/58/CE. |
CASO DE USO OEC 8. El OEC informa al CC para que emita un certificado digital
|
Agente |
OEC |
|
Objetivo |
Proporcionar al empleado del agente independiente un certificado digital. |
|
Punto de partida del caso de uso |
Se envía al CC el resultado de la inspección del OEC para autorizar a un empleado. |
|
Resultado del caso de uso |
Se envía al OEC un testigo seguro con un certificado digital y un PIN independiente para el empleado del agente independiente. El empleado del agente independiente recibe el PIN asociado al certificado digital enviado por el OEC por medios auditables. |
|
Descripción |
El OEC envía todos los datos necesarios al CC para que este pueda generar el certificado digital, el testigo seguro y el PIN. |
CASO DE USO OEC 9. Inspección del OEC a un empleado del agente independiente para renovar la autorización
|
Agente |
Empleado del agente independiente |
|
Objetivo |
Renovación de la autorización de un empleado. |
|
Punto de partida del caso de uso |
Formulario de solicitud de inspección cumplimentado según lo requerido por el OEC. El formulario de solicitud contiene los criterios enumerados en el anexo X, apéndice 3, punto 4.3.4, del Reglamento (UE) 2018/858 |
|
Resultado del caso de uso |
Resultado de la inspección de la renovación de la autorización de un empleado del agente independiente. |
|
Descripción |
El OEC informa al agente independiente de la fecha de expiración de la autorización de los empleados seis meses antes de la fecha efectiva de expiración de la autorización. El empleado del agente independiente envía todos los documentos por medios auditables al OEC dos meses antes de que expire la autorización. Se lleva a cabo el proceso de inspección de autorización descrito en el CASO DE USO OEC 6. |
CASO DE USO OEC 10. Tramitación de los datos de los empleados por parte del OEC
|
Agente |
Empleado del agente independiente |
|
Objetivo |
Los datos del empleado del agente independiente son correctos. |
|
Punto de partida del caso de uso |
Solicitud al OEC correspondiente para que actualice los datos del empleado del agente independiente. El empleado del agente independiente cumplimenta y firma el formulario correspondiente antes de presentarlo al OEC. |
|
Resultado del caso de uso |
Datos del empleado del agente independiente actualizados. |
|
Descripción |
El empleado del agente independiente envía todos los documentos necesarios al OEC por medios auditables. El OEC comprueba los documentos. Si la solicitud de actualización afecta a los datos almacenados en el certificado digital, el OEC informará al CC para expedir un certificado digital nuevo (CASO DE USO CC 1). |
CASO DE USO OEC 11. Procedimiento del OEC para los procesos de reclamación
|
Agente |
OEC |
|
Objetivo |
El OEC dispone de un proceso documentado para recibir, evaluar y tomar decisiones sobre reclamaciones; este proceso se ajusta a las legislaciones nacionales correspondientes. |
|
Punto de partida del caso de uso |
Reglamentos, normas y régimen del SERMI. |
|
Resultado del caso de uso |
Proceso documentado para reclamaciones. |
|
Descripción |
El OEC desarrolla y documenta un proceso para la tramitación de reclamaciones. Las reclamaciones se resuelven a escala local entre el OEC y el reclamante. Las partes que deseen presentar observaciones respecto a un problema detectado en el régimen deben poder ponerse en contacto con el OEC correspondiente y facilitar toda la información necesaria. El OEC establece los procedimientos y recursos necesarios para llevar a cabo una inspección in situ cuando lo considere conveniente para evaluar una reclamación. Las reclamaciones que no se resuelvan a escala local podrán remitirse al ONA para su ulterior examen, de conformidad con lo previsto en el artículo 9, apartado 4, del Reglamento (CE) n.o 765/2008. |
CASO DE USO OEC 12. El OEC tramita una reclamación relativa a la aprobación de un agente independiente
|
Agente |
Fabricante del vehículo, CC, autoridad competente |
||||||
|
Objetivo |
El OEC tramita reclamaciones relativas a la aprobación de un agente independiente. Una vez obtenido el resultado del proceso, se revoca o confirma la aprobación del agente independiente. La base de datos de aprobaciones se mantiene actualizada. |
||||||
|
Punto de partida del caso de uso |
Reclamación con la información necesaria de acuerdo con el proceso descrito en el CASO DE USO OEC 11. |
||||||
|
Resultado del caso de uso |
Desestimación de la reclamación. O Decisión de revocar la aprobación de un agente independiente como resultado de un proceso de reclamación:
|
||||||
|
Descripción |
El OEC investiga la reclamación evaluando, en particular, si el agente independiente ha seguido cumpliendo los criterios enumerados en el anexo X, apéndice 3, punto 4.3.3, del Reglamento (UE) 2018/858 y el concepto de actividad empresarial legítima establecido en el anexo X, punto 6.3, párrafo segundo, del Reglamento (UE) 2018/858. El OEC podrá recibir asistencia de la autoridad de vigilancia del mercado del Estado miembro en el que esté establecido. Si no pueden confirmarse los motivos de la reclamación, se desestima la reclamación. El OEC decide si es necesaria una inspección in situ. El OEC evalúa, en particular, si el agente independiente ha seguido cumpliendo los puntos anteriores. Si se confirman los motivos, se revoca la aprobación del agente independiente. En caso de revocación, el OEC:
|
CASO DE USO OEC 13. El OEC tramita una reclamación relativa a la autorización de un empleado del agente independiente
|
Agente |
Fabricante del vehículo, agente independiente, CC, autoridad competente |
||||
|
Objetivo |
El OEC tramita las reclamaciones relativas a la autorización de un empleado de un agente independiente. Una vez obtenido el resultado del proceso, el CC revoca o confirma la autorización del empleado del agente independiente. Se actualiza la lista de revocación de certificados digitales y la base de datos de autorizaciones. |
||||
|
Punto de partida del caso de uso |
Reclamación con la información requerida de acuerdo con el proceso descrito en el CASO DE USO CA11. |
||||
|
Resultado del caso de uso |
Desestimación de la reclamación. O Notificación al CC para que revoque la autorización del empleado del agente independiente tras un proceso de reclamación:
|
||||
|
Descripción |
El OEC investiga la reclamación. El OEC evalúa, en particular, si el empleado del agente independiente sigue cumpliendo los criterios descritos en el anexo X, apéndice 3, punto 4.3.4, del Reglamento (UE) 2018/858 o si ha participado en actividades que no se ajustan al concepto de actividad empresarial legítima establecido en el anexo X, punto 6.3, párrafo segundo, del Reglamento (UE) 2018/858. El OEC decide si es necesaria una inspección in situ. El OEC podrá recibir asistencia de la autoridad de vigilancia del mercado del Estado miembro en el que esté establecido. Si no pueden confirmarse los motivos de la reclamación, se desestima la reclamación. En caso de que se confirmen los motivos, se revoca la autorización del empleado del agente independiente. El OEC informa al correspondiente CC para que este revoque inmediatamente el certificado digital del empleado y su autorización. El OEC informa al agente independiente sobre la revocación de la autorización de su empleado. |
CASO DE USO OEC 14. Entrega de estadísticas por parte del OEC
|
Agente |
OEC |
||||||||||||||||
|
Objetivo |
El OEC supervisa las aprobaciones y las autorizaciones. |
||||||||||||||||
|
Punto de partida del caso de uso |
Resultado de la aprobación, las autorizaciones y las inspecciones in situ. |
||||||||||||||||
|
Resultado del caso de uso |
El OEC presenta un informe al SERMI y a la Comisión (que se publica en el sitio web del SERMI) cada trimestre durante su primer año de actividad y, posteriormente, una vez al año. |
||||||||||||||||
|
Descripción |
El OEC analiza los resultados del proceso de inspección de aprobación/autorización y presenta un informe que contiene:
|
CASO DE USO AGENTE INDEPENDIENTE 1. Solicitudes de aprobación del agente independiente
|
Agente |
Agente independiente |
|
Objetivo |
El agente independiente cumple todos los requisitos establecidos en el anexo X, apéndice 3, del Reglamento (UE) 2018/858 para trabajar con IRM relacionada con la seguridad. |
|
Punto de partida del caso de uso |
Todos los documentos necesarios y el formulario de solicitud (facilitados por el OEC) en formato auditable. |
|
Resultado del caso de uso |
Se aprueba al agente independiente o no se aprueba al agente independiente. |
|
Descripción |
El agente independiente utiliza el sitio web del ONA para obtener una lista de OEC acreditados. El agente independiente se pone en contacto con el OEC correspondiente. El agente independiente recibe el formulario de solicitud del OEC. El agente independiente rellena el formulario de solicitud y lo envía junto con todos los documentos necesarios al OEC por medios auditables. Cuando el OEC ha inspeccionado al agente independiente, el OEC registra el resultado de la inspección de aprobación en su base de datos para que en el futuro el OEC pueda comprobar si una solicitud de un agente independiente ya ha sido objeto de inspección anteriormente. Todos los empleados de un agente independiente estarán registrados en el mismo OEC. Si no se aprueba al agente independiente, el OEC lo notifica a todos los demás OEC pertenecientes a la jurisdicción de su ONA. |
CASO DE USO AGENTE INDEPENDIENTE 2. Registro del agente independiente en el fabricante del vehículo
(véase la norma EN/ISO 18541-1:2014, caso de uso 1.1)
CASO DE USO AGENTE INDEPENDIENTE 3. El agente independiente cesa su actividad empresarial
|
Agente |
Agente independiente |
|
Objetivo |
El OEC actualiza la base de datos de aprobaciones. |
|
Punto de partida del caso de uso |
Información sobre el agente independiente y el cese de su actividad empresarial. o el agente independiente informa al OEC del cese de su negocio. |
|
Resultado del caso de uso |
Se actualiza la base de datos de aprobaciones, se revocan todos los certificados conexos y las autorizaciones emitidos a los empleados de dicho agente independiente. |
|
Descripción |
El OEC recibe información sobre el cese de la actividad del agente independiente. El OEC informa al CC para que este revoque todos los certificados y las autorizaciones que se hayan emitido a los empleados de dicho agente independiente. |
CASO DE USO AGENTE INDEPENDIENTE 4. Pedido de piezas
|
Agente |
Agente independiente |
|
Objetivo |
Suministrar una pieza encargada al agente independiente. |
|
Punto de partida del caso de uso |
Autenticación del empleado del agente independiente. Pedido de piezas relacionadas con la seguridad. |
|
Resultado del caso de uso |
Pieza relacionada con la seguridad. |
|
Descripción |
El fabricante del vehículo ofrece un servicio para pedir piezas relacionadas con la seguridad a los empleados del agente independiente autorizados. Los fabricantes ofrecen un servicio que permite pedir en línea piezas relacionadas con la seguridad utilizando el certificado digital para confirmar la identidad de la persona que solicita la pieza. Como alternativa, podrán exigir que las piezas relacionadas con la seguridad se obtengan de distribuidores autorizados siempre que existan procedimientos de autenticación establecidos. Los fabricantes de vehículos o sus agentes/distribuidores autorizados suministran las piezas de seguridad a los agentes independientes a su debido tiempo. |
CASO DE USO AGENTE INDEPENDIENTE 5. El agente independiente recibe un testigo seguro
|
Agente |
OEC |
|
Objetivo |
El agente independiente recibe un testigo seguro con un certificado digital. |
|
Punto de partida del caso de uso |
El OEC envía un testigo seguro con un certificado digital. |
|
Resultado del caso de uso |
El agente independiente recibe un testigo seguro con un certificado digital. |
|
Descripción |
El agente independiente recibe un certificado digital del CC. El agente independiente entrega el certificado digital a su empleado correspondiente (véase el CASO DE USO EM 6). |
CASO DE USO AGENTE INDEPENDIENTE 6. Requisitos de conservación de registros del agente independiente
|
Agente |
Agente independiente |
||||||
|
Objetivo |
El agente independiente conserva un registro auditable de las transacciones. |
||||||
|
Punto de partida del caso de uso |
Documentos/Información proporcionada por la orden de reparación. |
||||||
|
Resultado del caso de uso |
Pista de auditoría y datos del trabajo de reparación. |
||||||
|
Descripción |
El agente independiente almacena datos que podrían ser necesarios en caso de auditoría. Antes de emitir una orden de reparación, el agente independiente se asegura de que se recopila la siguiente información:
|
CASO DE USO AGENTE INDEPENDIENTE 7. Cese de la relación laboral de un empleado de un agente independiente en un agente independiente
|
Agente |
Agente independiente |
|
Objetivo |
Mantener actualizados los datos de aprobación/autorización en el OEC. |
|
Punto de partida del caso de uso |
Información sobre el fin del contrato con el empleado del agente independiente. |
|
Resultado del caso de uso |
Se actualiza la base de datos de autorizaciones y se solicita al CC que revoque el certificado digital correspondiente. |
|
Descripción |
El agente independiente informa al OEC del cambio en la situación laboral en un plazo de tres días laborables. El OEC informa al CC para que este actualice la base de datos de autorizaciones y revoque el certificado digital correspondiente. Se informa al agente independiente de estos cambios. |
CASO DE USO AGENTE INDEPENDIENTE 8. Requisitos de procedimiento para las operaciones relacionadas con la seguridad
1. Conducta general
Solo tendrán acceso a la IRM relacionada con la seguridad los empleados del agente independiente aprobado que hayan sido debidamente autorizados y estén en posesión de un certificado de inspección de autorización y de un certificado digital válido emitido por el centro de confianza correspondiente.
El empleado del agente independiente es responsable de la correcta utilización del certificado y del PIN.
Los agentes independientes y sus empleados siguen los procedimientos para configurar el dispositivo del usuario final (PC, ordenador portátil, etc.), tal como se especifica en la norma ISO 18541-2:2014.
2. Procedimiento para llevar a cabo una operación relacionada con la seguridad
Si un empleado lleva a cabo una actualización del software relacionada con la seguridad o necesita otra información sobre la reparación y el mantenimiento relacionada con la seguridad para llevar a cabo una operación en el vehículo, se sigue el procedimiento descrito en los puntos 3 a 5 y que se muestra a continuación en el gráfico 1.
Gráfico 1
Esquema básico del procedimiento para llevar a cabo una operación relacionada con la seguridad
3. Verificación del cliente
El empleado del agente independiente verifica la identificación del cliente que ha traído el vehículo.
Posibles fuentes de identificación: documento de identidad, pasaporte, permiso de conducir, tarjeta de cliente de asistencia en carretera.
El agente independiente se ocupa de registrar la información de identidad.
En este proceso pueden utilizarse los datos facilitados en el gráfico 2.
Gráfico 2
Referencia del campo para la inspección del cliente obtenida del permiso de circulación del vehículo
|
Documentos de matriculación del vehículo |
|
|
Datos (parte I) |
Campo (Parte I) |
|
Apellido(s) o razón social |
C.1.1 |
|
Otro(s) nombre(s) o inicial(es) (si procede) |
C.1.2 |
|
Dirección en el Estado miembro de matriculación en la fecha de expedición del documento |
C.1.3 |
|
Datos (parte II) |
Campo (Parte II) |
|
Apellido(s) o razón social |
C.3.1 y C.6.1 |
|
Otros nombres o iniciales (si procede) |
C.3.2 y C.6.2 |
|
Dirección en el Estado miembro de matriculación en la fecha de expedición del documento |
C.3.3 y C.6.3 |
En la medida de lo posible, el empleado del agente independiente anotará los siguientes datos:
|
1) |
nombre y apellidos del cliente; |
|
2) |
número del documento de identidad/pasaporte o número de la tarjeta de cliente de asistencia en carretera; |
|
3) |
nombre de la empresa gestora de flota o de alquiler de vehículos; |
|
4) |
nombre de contacto de la empresa correspondiente; |
|
5) |
dirección de la empresa correspondiente; |
|
6) |
número de teléfono de la empresa correspondiente; |
|
7) |
identificación de la empresa del conductor. |
En el caso de que el cliente no disponga de documentos de matriculación del vehículo, se solicita esta información adicional:
|
8) |
gestor de flota; |
|
9) |
coche de alquiler; |
|
10) |
préstamo. |
4. Verificación del vehículo
El empleado del agente independiente se asegura de que el número de identificación del vehículo (NIV) se corresponde con el que figura en los documentos de matriculación (véase el gráfico 3).
Gráfico 3
Códigos comunitarios obtenidos de los documentos de matriculación para la inspección de vehículos
|
Documentos de matriculación del vehículo |
|
|
Datos (parte I) |
Campo (Parte I) |
|
Número de identificación del vehículo |
E |
5. Emitir la orden de reparación
El siguiente paso consiste en emitir la orden de reparación utilizando un sistema de gestión de concesionarios. La orden de reparación contiene, al menos, los datos que figuran en el gráfico 4 y los datos utilizados para identificar al cliente y a su autoridad.
Gráfico 4
Códigos comunitarios obtenidos de los documentos de matriculación para emitir una orden de reparación
|
Documentos de matriculación del vehículo |
|
|
Datos |
Campo |
|
Número de matrícula |
A |
|
Marca |
D.1 |
|
Tipo, variante, versión |
D.2 |
Se anotan la cifra actual del cuentakilómetros y el motivo de la reparación. Además, el cliente debe firmar la orden de reparación (el propietario o la persona que lleva el vehículo al agente independiente). En el gráfico 5 se describe el procedimiento para el agente independiente y el empleado.
El agente independiente conserva las órdenes de reparación firmadas durante un mínimo de cinco años.
Gráfico 5
Requisitos de procedimiento para el agente independiente
CASO DE USO EM 1. El empleado del agente independiente solicita autorización
|
Agente |
Empleado del agente independiente |
|
Objetivo |
El empleado del agente independiente recibe autorización para trabajar con IRM relacionada con la seguridad. |
|
Punto de partida del caso de uso |
El empleado del agente independiente cumple todos los requisitos especificados en el apéndice. El empleado del agente independiente rellena el formulario de solicitud del OEC. |
|
Resultado del caso de uso |
Se autoriza a un empleado del agente independiente, de modo que este pueda recibir el certificado digital para acceder a IRM relacionada con la seguridad. |
|
Descripción |
Cuando el agente independiente solicita la autorización del empleado en cuestión, dicho empleado recibe el formulario de solicitud del OEC. El empleado del agente independiente cumplimenta el formulario de solicitud y lo envía junto con todos los documentos necesarios al OEC por medios auditables. El OEC expide un certificado de inspección de autorización al empleado del agente independiente y comunica el resultado positivo de la inspección al CC para que este cree un registro de autorización y expida un certificado digital para este empleado del agente independiente. Si en la inspección no se obtiene un resultado positivo, el OEC también realiza el seguimiento de la denegación de autorización del empleado del agente independiente. |
CASO DE USO EM 2. Registro de un empleado de un agente independiente en el sistema de un fabricante de vehículos
(véase la norma EN/ISO 18541-1:2014, caso de uso 1.2)
|
Agente |
Agente independiente o empleado del agente independiente |
|
Objetivo |
Registrar al empleado del agente independiente para que utilice el sistema de IRM del fabricante del vehículo, conforme defina el agente independiente. |
|
Punto de partida del caso de uso |
— El agente independiente solicita el registro de uno de sus nuevos empleados. Es necesario aportar el identificador de usuario y la contraseña del agente independiente. — Un empleado de un agente independiente solicita el registro, indicando que está asociado a un agente independiente, y solicita la confirmación del representante legal del agente independiente para completar el registro. |
|
Resultado del caso de uso |
Se registra al empleado del agente independiente como usuario autorizado en el sistema de IRM del fabricante del vehículo. |
|
Descripción |
El fabricante del vehículo solicita al agente independiente que confirme la validez de los datos del agente independiente. El fabricante del vehículo acepta al empleado del agente independiente como usuario y e informa de ello a dicho usuario. El sistema de IRM del fabricante del vehículo pide al usuario que elija un identificador de usuario y le asigna una contraseña inicial o le permite introducir una que cumpla los requisitos de seguridad de la contraseña del fabricante del vehículo. El fabricante del vehículo puede cobrar al agente independiente una tasa de registro razonable. |
CASO DE USO EM 3. Acceso de los empleados a la IRM relacionada con la seguridad
(véase la norma EN/ISO 18541:2014, todas las partes)
CASO DE USO EM 4. Recepción del PIN del OEC
|
Agente |
OEC |
|
Objetivo |
Facilitar al empleado del agente independiente la carta con el PIN para el testigo seguro con el certificado digital. |
|
Punto de partida del caso de uso |
PIN del CC. |
|
Resultado del caso de uso |
Entrega de una carta con el PIN al empleado del agente independiente. |
|
Descripción |
El OEC prepara una carta PIN con el PIN suministrado por el CC para esta identidad y la envía por medios auditables al domicilio del empleado del agente independiente. |
CASO DE USO EM 5. El empleado del agente independiente recibe el certificado digital del agente independiente
|
Agente |
Agente independiente, empleado del agente independiente |
|
Objetivo |
Facilitar el certificado digital al empleado del agente independiente. |
|
Punto de partida del caso de uso |
Certificado digital. |
|
Resultado del caso de uso |
El empleado de agente independiente recibe el certificado digital facilitado por el agente independiente. |
|
Descripción |
El empleado del agente independiente recibe el certificado digital facilitado por el agente independiente con la identidad correspondiente. |
CASO DE USO CC 1. El centro de confianza crea y envía un certificado
|
Agente |
OEC |
||||
|
Objetivo |
El OEC recibe los certificados y los códigos PIN y los distribuye entre los empleados del agente independiente. |
||||
|
Punto de partida del caso de uso |
Solicitud de creación de un certificado digital. |
||||
|
Resultado del caso de uso |
Certificado digital y PIN. |
||||
|
Descripción |
El OEC se pone en contacto con el CC (véase CASO DE USO OEC 11 para el procedimiento). El CC crea el certificado digital y se lo entrega al OEC para que este se lo entregue al empleado del agente independiente siguiendo el procedimiento descrito a continuación:
|
CASO DE USO CC 2. El centro de confianza evalúa la validez del certificado digital
|
Agente |
Fabricante del vehículo |
||||||||
|
Objetivo |
Validación del estado de un certificado digital. |
||||||||
|
Punto de partida del caso de uso |
Número de serie del certificado digital. |
||||||||
|
Resultado del caso de uso |
El estado que comunica el CC es el siguiente:
|
||||||||
|
Descripción |
El fabricante del vehículo consulta al CC el estado del certificado digital de los empleados para la autenticación mediante la comunicación definida en el protocolo OCSP. El CC responde al estado del respondedor OCSP. Con este fin, el CC conserva una base de datos de revocación con arreglo al protocolo OCSP. |
CASO DE USO CC 3. Concesión del estado de autorización del empleado del agente independiente por parte del centro de confianza
|
Agente |
Fabricante del vehículo |
||||||||
|
Objetivo |
Validación del estado de la autorización mediante API que utiliza SOAP/RESTful. |
||||||||
|
Punto de partida del caso de uso |
Número de serie del certificado digital y atributos. |
||||||||
|
Resultado del caso de uso |
La respuesta ofrecida por el CC sobre el estado es la siguiente:
|
||||||||
|
Descripción |
El fabricante del vehículo consulta el estado de autorización de los empleados del agente independiente. El CC responde al estado de autorización. |
CASO DE USO CC 4. Suspensión de los certificados emitidos por el centro de confianza
|
Agente |
Fabricante del vehículo, agente independiente, OEC, autoridad competente |
||||||||||
|
Objetivo |
Suspender el certificado digital para evitar un uso indebido en el futuro por parte del titular del certificado en caso de que se detecte un mal uso. |
||||||||||
|
Punto de partida del caso de uso |
El proceso es iniciado por un empleado del agente que dispone de un número de serie o de otros medios para identificar el certificado. |
||||||||||
|
Resultado del caso de uso |
Se suspende el certificado y se actualiza su estado según el protocolo OCSP. El CC envía información al OEC. Se informa al empleado del agente independiente sobre el motivo de la suspensión del certificado digital. |
||||||||||
|
Descripción |
Empleado adecuado del participante en cuestión. Este empleado de un OEC envía un mensaje al CC por medios auditables. El mensaje contiene:
Se inicia el proceso de suspensión inmediatamente después de la recepción de la solicitud de suspensión. El CC inspecciona el origen del mensaje y:
|
CASO DE USO CC 5. Suspensión de la aprobación de un agente independiente por parte del centro de confianza
|
Agente |
Fabricante del vehículo, OEC, autoridad competente |
||||||||
|
Objetivo |
Cuando se detecten usos indebidos, suspender la autorización de todos los empleados para un agente independiente específico (más todas las autorizaciones pertenecientes a dicho agente) para evitar futuros usos indebidos por parte de los empleados de un agente independiente. |
||||||||
|
Punto de partida del caso de uso |
Solicitud de suspensión del representante del empleado de un agente autenticado (es decir, con un certificado adecuado), por ejemplo, un empleado de un OEC que sea responsable de la suspensión y que disponga del identificador único del agente independiente o de otros medios para identificar a dicho agente independiente. |
||||||||
|
Resultado del caso de uso |
Se actualiza la autorización o autorizaciones suspendidas. El CC envía información al OEC. |
||||||||
|
Descripción |
El empleado autenticado del agente correspondiente envía un mensaje al CC por medios auditables. El mensaje contiene:
La suspensión se tramita tras la recepción de la solicitud de suspensión. El CC verifica el origen del mensaje. El CC suspende todas las autorizaciones pertenecientes al agente independiente. El CC informa al OEC de la suspensión para iniciar el proceso de reclamación en papel o en formato electrónico. |
CASO DE USO CC 6. El centro de confianza suspende la autorización del empleado del agente independiente
|
Agente |
Fabricante del vehículo, agente independiente, OEC, autoridades competentes |
||||||||||
|
Objetivo |
Cuando se detecten usos indebidos, suspender la autorización de un empleado del agente independiente para evitar usos indebidos en el futuro. |
||||||||||
|
Punto de partida del caso de uso |
Solicitud de suspensión de un representante de un participante autenticado. |
||||||||||
|
Resultado del caso de uso |
Se suspende la autorización y se actualiza la base de datos de autorizaciones. Se notifica la suspensión al OEC. Se informa al empleado del agente independiente del motivo de la suspensión de la autorización. |
||||||||||
|
Descripción |
Un empleado autenticado del participante en cuestión, por ejemplo, un empleado de un OEC responsable de la suspensión, envía información al CC (utilizando un método común). La información contiene:
La suspensión se tramita tras la recepción de la solicitud de suspensión. El CC verifica el origen de la información. El CC suspende una autorización que pertenece a un empleado. El CC informa al OEC de la suspensión para iniciar el proceso de reclamación en papel o en formato electrónico. |
CASO DE USO CC 7. El centro de confianza revoca la aprobación del agente independiente
|
Agente |
OEC |
|
Objetivo |
Mantener actualizada la base de datos de aprobaciones. |
|
Punto de partida del caso de uso |
El OEC notifica la decisión de revocar la aprobación del agente independiente. |
|
Resultado del caso de uso |
Se clasifica la aprobación del agente independiente como revocada en la base de datos. |
|
Descripción |
Una vez recibe la notificación del OEC en la que se le comunica la decisión de revocar la aprobación de un agente independiente determinado, el CC actualiza la base de datos de aprobaciones. Se clasifica la aprobación del agente independiente como revocada. Se clasifican como revocados los certificados digitales y las autorizaciones de todos los empleados de este agente independiente en las correspondientes bases de datos. |
CASO DE USO CC 8. El centro de confianza revoca la autorización del empleado del agente independiente
|
Agente |
OEC |
|
Objetivo |
Mantener actualizadas las bases de datos de certificados digitales y autorizaciones. |
|
Punto de partida del caso de uso |
El OEC notifica la decisión de revocar la autorización del agente independiente. |
|
Resultado del caso de uso |
El certificado digital del empleado del agente independiente se clasifica como revocado. La autorización del empleado del agente independiente se clasifica como revocada. |
|
Descripción |
Una vez reciba la notificación del OEC en la que se le comunica la decisión de revocar la autorización de un empleado determinado del agente independiente, el CC actualiza las bases de datos de certificados digitales y autorizaciones. El certificado digital y la autorización de los empleados de este agente independiente se clasifican como revocados en las bases de datos correspondientes. |
CASO DE USO CC 9. El centro de confianza ofrece medios para comprobar la preparación de un certificado y el método de autenticación multifactor proporcionado por el CC
|
Agente |
Empleado del agente independiente |
|
Objetivo |
Confirmar al empleado del agente independiente que el certificado digital funciona. |
|
Punto de partida del caso de uso |
Certificado digital del empleado del agente independiente + PIN y autenticación multifactor en los dispositivos del cliente. |
|
Resultado del caso de uso |
Prueba ok / no ok. Mensaje con información sobre el error en caso de que el resultado sea «no ok». |
|
Descripción |
El empleado se conecta al sitio web del CC. El empleado del agente independiente se conecta al sitio web de prueba del CC con su certificado digital. El empleado del agente independiente ve el resultado de la prueba (ok / no ok.) El CC registra las acciones para continuar el proceso de asistencia (por ejemplo, el fabricante del vehículo). |
CASO DE USO CC 10. El CC proporciona una interfaz en relación con las especificaciones del caso de uso CA1
|
Agente |
CC |
|
Objetivo |
Prestación de apoyo por parte del CC para la creación de una interfaz de comunicación normalizada entre el CC y el OEC (servicio web). |
|
Punto de partida del caso de uso |
Información y normas conocidas para desarrollar una interfaz de comunicación (servicio web). |
|
Resultado del caso de uso |
Interfaz de comunicación entre el CC y el OEC. |
|
Descripción |
El CC desarrolla y gestiona una interfaz de comunicación normalizada para el OEC. El OEC utiliza esta interfaz de comunicación normalizada. Puede utilizarse para encargar el certificado digital. |
CASO DE USO CC 11. El CC proporciona a los usuarios de la prueba certificados de prueba para validar la comunicación (API OCSP & SOAP/RESTful)
|
Agente |
Fabricante del vehículo |
|
Objetivo |
La comunicación funcional entre un fabricante de vehículos y un CC. |
|
Punto de partida del caso de uso |
Solicitud a la interfaz del CC. |
|
Resultado del caso de uso |
Datos de la prueba: usuarios participantes en la prueba, certificados de prueba, contenido de la base de datos de autorizaciones de prueba. |
|
Descripción |
El fabricante del vehículo solicita los datos de la prueba en todas las lenguas apropiadas para todos los mercados apropiados. El CC envía información (usuarios de prueba/certificados de prueba) al fabricante del vehículo que incluye todos los resultados posibles de la prueba. |
CASO DE USO FABRICANTE DEL VEHÍCULO 1. Investigación de la aprobación de un agente independiente
|
Agente |
Fabricante del vehículo |
|
Objetivo |
Investigar si una aprobación existente debe seguir siendo válida. |
|
Punto de partida del caso de uso |
El fabricante del vehículo advierte posibles abusos o indicios de abuso. |
|
Resultado del caso de uso |
Se confirma o rechaza el posible abuso o indicio de abuso. |
|
Descripción |
En caso de incumplimiento de los criterios recogidos en el anexo X, apéndice 3, punto 4.3.3, del Reglamento (UE) 2018/858 o del concepto de actividad empresarial legítima establecido en el anexo X, punto 6.3, párrafo segundo, del Reglamento (UE) 2018/858, el fabricante del vehículo notifica este incumplimiento por parte de un agente independiente al OEC. El fabricante del vehículo inicia el proceso de reclamación informando al OEC correspondiente. El fabricante del vehículo tiene libertad para notificarlo a las autoridades pertinentes, si procede. |
CASO DE USO FABRICANTE DEL VEHÍCULO 2. Investigación de la autorización de un empleado del agente independiente
|
Agente |
Fabricante del vehículo |
|
Objetivo |
Investigar si la autorización existente debe seguir siendo válida. |
|
Punto de partida del caso de uso |
El fabricante del vehículo advierte posibles abusos o indicios de abuso. |
|
Resultado del caso de uso |
Se confirma o rechaza el posible abuso o indicio de abuso. |
|
Descripción |
En caso de incumplimiento de los criterios recogidos en el anexo X, apéndice 3, punto 4.3.3, del Reglamento (UE) 2018/858 o del concepto de actividad empresarial legítima establecido en el anexo X, punto 6.3, párrafo segundo, del Reglamento (UE) 2018/858, el fabricante del vehículo notifica estos indicios de abuso al OEC. En caso necesario, el fabricante del vehículo podrá bloquear internamente al empleado del agente independiente. El fabricante del vehículo inicia el proceso de reclamación informando al OEC correspondiente. El fabricante del vehículo tiene libertad para notificarlo a las autoridades competentes. |
CASO DE USO FABRICANTE DEL VEHÍCULO 3. El fabricante del vehículo bloquea el acceso del agente independiente
|
Agente |
Fabricante del vehículo, OEC |
|
Objetivo |
Denegar el acceso del agente independiente (y, posteriormente, de todos los empleados de dicho agente independiente conectados) a la información relacionada con la seguridad. |
|
Punto de partida del caso de uso |
El fabricante del vehículo registra el incumplimiento de los términos y condiciones por parte del agente independiente. |
|
Resultado del caso de uso |
Se bloquea el acceso del agente independiente (y de todos los empleados de este) a la información relacionada con la seguridad. |
|
Descripción |
Tras su investigación, el OEC decide que debe revocarse la aprobación. A continuación, el fabricante del vehículo puede bloquear internamente el acceso del agente independiente. El fabricante del vehículo bloquea el acceso de ese agente independiente a la información relacionada con la seguridad. |
CASO DE USO FABRICANTE DEL VEHÍCULO 4. El fabricante del vehículo bloquea el acceso del empleado del agente independiente
|
Agente |
Fabricante del vehículo, OEC |
|
Objetivo |
Los fabricantes de vehículos tienen la oportunidad de bloquear el acceso a la IRM relacionada con la seguridad de un empleado del agente independiente. |
|
Punto de partida del caso de uso |
El fabricante del vehículo registra los motivos para bloquear al empleado del agente independiente. |
|
Resultado del caso de uso |
Se bloquea el acceso del empleado de agente independiente a la información relacionada con la seguridad. |
|
Descripción |
Tras su investigación, el OEC decide que debe revocarse la aprobación. A continuación, el fabricante del vehículo puede bloquear internamente el acceso del empleado. El fabricante del vehículo bloquea el acceso de ese empleado del agente independiente a la información relacionada con la seguridad. |
CASO DE USO FABRICANTE DEL VEHÍCULO 5. Estado de la autorización del empleado del agente independiente en las inspecciones del fabricante del vehículo
|
Agente |
Fabricante del vehículo |
||||
|
Objetivo |
El fabricante del vehículo verifica el estado de la autorización cuando el empleado utiliza el certificado de autenticación para acceder a la IRM relacionada con la seguridad. |
||||
|
Punto de partida del caso de uso |
Información de contenido del certificado digital del empleado. |
||||
|
Resultado del caso de uso |
Estado de la autorización. |
||||
|
Descripción |
El fabricante del vehículo verifica la validez del certificado (CC, OCSP.) El fabricante del vehículo verifica si el empleado está bloqueado (bloqueo interno del fabricante del vehículo). El fabricante del vehículo verifica la validez de la autorización del empleado:
|
CASO DE USO FABRICANTE DEL VEHÍCULO 6. Descarga de la guía de aplicación del sitio web del SERMI por parte del fabricante del vehículo (actualmente API OCSP & SOAP/RESTful)
|
Agente |
Fabricante del vehículo |
|
Objetivo |
La inspección conforme del empleado del agente independiente permite conceder un certificado digital de autorización y un certificado de inspección de autorización. |
|
Punto de partida del caso de uso |
Solicitud de guía de aplicación. |
|
Resultado del caso de uso |
Guía de ejecución descargada. |
|
Descripción |
Se descarga la guía de aplicación del sitio web del SERMI. El fabricante del vehículo inspecciona el certificado digital y la autorización del empleado del agente independiente mediante la guía de aplicación (API OCSP, SOAP/RESTful). |
CASO DE USO FABRICANTE DEL VEHÍCULO 7. El fabricante del vehículo facilita información a las autoridades locales
|
Agente |
Fabricante del vehículo |
|
Objetivo |
Suministro de información a la autoridad competente. |
|
Punto de partida del caso de uso |
El cliente se pone en contacto con las autoridades locales. Investigación por parte de las autoridades competentes a través de un proceso manual (no es necesario un servicio informático adicional). |
|
Resultado del caso de uso |
Información sobre el vehículo (por ejemplo, historial de las acciones llevadas a cabo en un NIV específico). |
|
Descripción |
El cliente denuncia un delito punible con arreglo a la legislación nacional. Proporciona información sobre el NIV o la transacción. La autoridad competente se pone en contacto con el fabricante del vehículo concreto para investigar un NIV específico. En el caso de un vehículo robado, si se recupera el vehículo, la autoridad competente informa al fabricante del vehículo y el vehículo recupera su estado habitual (la pista de auditoría contiene información sobre el suceso). |
CASO DE USO. Requisitos técnicos
1.1. Requisitos de comunicación segura
Cualquier comunicación electrónica o transferencia de datos de identificación, aprobación y autorización entre el OEC, el CC y el fabricante del vehículo se realiza a través de medios seguros, es decir, utilizando https-ssl/TLS y autenticación mutua basada en certificados X.509.
1.2. Descripción de la gestión de datos
En el régimen del SERMI, solo el OEC recopila y utiliza datos personales. El gráfico siguiente describe un conjunto mínimo de atributos que deben almacenarse en el sistema de información de cada entidad para poder aplicar los procesos y casos de uso definidos.
Gráfico 6
Ejemplo de almacenamiento de datos con arreglo a la norma ISO 18541-1, caso de uso para el grupo 1
|
OEC |
CC |
Fabricante del vehículo |
||||||||||||||||||||||||||||||||
|
El OEC recopilará y utilizará los datos que se describen en el capítulo 6.3.3 para la inspección de aprobación del representante legal del agente independiente y los datos que se describen en el capítulo 6.3.5 para la inspección de autorización de los empleados del agente independiente. El OEC envía los datos siguientes a través del servicio web:
|
El CC recibe los datos siguientes del OEC:
Además, el CC genera y utiliza los datos siguientes:
|
El fabricante del vehículo genera y utiliza los datos siguientes:
|
Descripción del atributo
|
1) |
Identificador único del empleado del agente independiente (OIEUID): secuencia generada por el OEC que identifica exclusivamente al empleado del agente independiente. |
|
2) |
Identificador único del agente independiente (OIUID): valor generado por el OEC que identifica exclusivamente al agente independiente como entidad jurídica. |
|
3) |
Identificador único del OEC (CABUID): valor generado por el centro de confianza que identifica exclusivamente al OEC. |
|
4) |
Número de serie: contiene el número de serie del certificado X509, que es único para cada certificado y se genera automáticamente durante la emisión del certificado. |
Autorización X/Estado de la Autorización X:
describe la autorización o autorizaciones y de un usuario y el estado de estas.
1.3. Diseño del certificado
La norma del certificado x509.V3 (RFC 5280 e ISO 9594-8.2017) define una lista de campos y valores comunes que deben cumplimentarse en un certificado digital.
El certificado digital debe cumplir los requisitos de seguridad de la Oficina Federal de Seguridad de la Información (BSI) de Alemania (http://www.bsi.de) en relación con la longitud de las claves y los algoritmos criptográficos. El momento en que deben aplicarse los requisitos de la BSI debe determinarlo el Foro para el Acceso a la IRM de los vehículos relacionada con la seguridad.
Al conectarse a un servidor utilizando un certificado digital, el servidor comprueba un campo normalizado denominado «Nombre Distintivo de Firmante» que le permite establecer un vínculo con la identidad del agente independiente en el sistema interno del fabricante del vehículo.
El gráfico siguiente contiene un resumen de los campos de contenido necesarios para la identificación mediante un sistema de un fabricante de vehículos. El resumen no representa la estructura completa del certificado x509.V3 definida en la norma RFC 5280.
Gráfico 7
Campos de contenido del certificado digital
|
Campo |
Valor |
Observaciones |
|
Número de serie |
XXX |
Número de serie del certificado. |
|
Emisor |
XXX |
Nombre descriptivo del CC. |
|
Validez |
X años (desde/hasta) |
Vigencia del certificado desde la emisión hasta que termina su validez. |
|
Nombre Distintivo de Firmante |
IOEUID=<IdentificadorÚnicoUsuario>, IOUID=<IdentificadorÚnicoAgenteIndependiente>, CABUID=<IdentificadorÚnicoOEC>, |
Información verificada por el sistema del fabricante del vehículo tras la fase de autenticación para identificar al usuario. |
|
Clave Pública del Firmante |
Cifrado RSA 4 096 bits |
Algoritmo y valor de la clave pública incluida en el certificado. |
|
Identificador de método de acceso |
http://XXX |
Ubicación del servidor OCSP, que será definida por el CC. |
Validez
Período de validez conforme a lo definido en este régimen. Cada certificado digital tendrá una validez máxima de sesenta meses. Este período no podrá ser superior al período de validez restante de la aprobación del agente independiente empleador.
Nombre Distintivo de Firmante
|
1) |
IOEUID: contiene un valor generado por el OEC que representa la identidad del empleado del agente independiente. Este valor es único para cada usuario autorizado: si un usuario solicita un certificado digital nuevo al mismo OEC o a otro OEC (a raíz de una renovación o revocación), se le asignará el mismo identificador único de usuario. El IOEUID se forma como sigue: < ISO-3166-1-CÓDIGO DE PAÍS DE LA UBICACIÓN DEL OEC/NOMBRE DEL OEC/CÓDIGO ALFANUMÉRICO DE CARACTERES> Ejemplo: BE/CAB-CERT/1234567890A. Este valor tiene un máximo de 64 bits. |
|
2) |
IOUID: contiene un valor generado por el OEC, que representa el nombre legal del agente independiente, la dirección y el número de identificación a efectos del IVA. EJEMPLO: <RAZÓNSOCIAL AGENTEINDEPENDIENTE: TALLER_DE_JOHN/DIRECCIÓN:MAINSTREET1BRUSSELS12345/CIF:BE12345678910> |
|
3) |
CABUID: Contiene un valor generado por el CC que es único para cada OEC acreditado. Este valor tiene un máximo de 64 bits. El OEC se ocupa de gestionar los identificadores únicos para los usuarios. El CC se encarga de gestionar los identificadores únicos para las entidades jurídicas del agente independiente y el OEC. |
Clave Pública del Firmante
Define el algoritmo y la longitud de la clave pública incluida en el certificado digital. Para garantizar suficiente confianza en la solidez del algoritmo, se utilizará una longitud de clave de 4 096 bits.
Identificador de método de acceso
El centro de confianza debe proporcionar un acceso OCSP a la lista de revocación de certificados, con el fin de proporcionar un acceso automático al estado de revocación del certificado. El servicio OCSP se presta las 24 horas del día los 7 días de la semana.
1.4. Servicio web de comprobación de la autorización basado en API que utiliza SOAP/RESTful
El sistema del fabricante del vehículo puede comprobar el estado de la autorización del usuario que solicita acceso a la información relacionada con la seguridad.
Esta comprobación ofrece un servicio mediante una API que utiliza SOAP normalizado con XML o RESTful basado en el protocolo HTTPS. El acceso a este servicio requiere de autenticación mediante un certificado digital. La solicitud en el servidor del CC se basa en la información siguiente:
Gráfico 8
Datos de partida
|
Datos de partida |
||
|
Campo |
Valor |
Observaciones |
|
Identificador único del empleado del agente independiente (IOEUID) |
<IdentificadorÚnicoUsuario> |
|
|
Identificador único del agente independiente (IOUID) |
<IdentificadorÚnicoAgenteIndependiente> |
|
|
Identificador de la autorización |
<IdentificadorÚnicoAutorización> |
|
Gráfico 9
Datos resultantes recuperación de los datos del usuario durante el registro basada en la API que utiliza SOAP/RESTful
|
Datos resultantes |
||||||||||
|
Campo |
Valor |
Observaciones |
||||||||
|
Estado del usuario |
|
|
||||||||
|
Identificador único del empleado del agente independiente |
<IdentificadorÚnicoUsuario> |
|
Esta comprobación ofrece un servicio mediante una API que utiliza SOAP normalizado con XML o RESTful basado en el protocolo HTTPS. Se requiere un certificado digital específico del fabricante del vehículo para autenticar el acceso a este servicio.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
