Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2017-8393

Resolucin de 14 de julio de 2017, de la Secretara General de Administracin Digital, por la que se establecen las condiciones de uso de firma electrnica no criptogrfica, en las relaciones de los interesados con los rganos administrativos de la Administracin General del Estado y sus organismos pblicos.

TEXTO

El artculo 10 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas, enumera los sistemas vlidos a efectos de firma, que los interesados podrn utilizar para relacionarse con las Administraciones Pblicas.

El citado precepto se refiere expresamente a los sistemas de firma electrnica reconocida o cualificada y avanzada basados en certificados electrnicos reconocidos o cualificados de firma electrnica, a los sistemas de sello electrnico reconocido o cualificado y de sello electrnico avanzado basados en certificados electrnicos reconocidos o cualificados de sello electrnico y a cualquier otro sistema que las Administraciones Pblicas consideren vlido, en los trminos y condiciones que se establezcan, recogiendo asimismo la posibilidad de admitir los sistemas de identificacin contemplados en la Ley como sistemas de firma.

En cualquier caso, todos los sistemas de firma electrnica admitidos debern garantizar el cumplimiento de los requisitos recogidos en el apartado primero del artculo 10 de la citada Ley. Esto es, que estos sistemas permitan acreditar la autenticidad de la expresin de la voluntad y consentimiento de los interesados, as como la integridad e inalterabilidad del documento.

A estos sistemas de firma electrnica han de reconocrsele efectos jurdicos y son conformes a lo establecido en el artculo 25.1 del Reglamento (UE) N o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificacin electrnica y los servicios de confianza para las transacciones electrnicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrnica, sin menoscabo de lo recogido en el artculo 27 de la propia norma Firmas electrnicas en servicios pblicos.

El artculo 11 de la Ley 39/2015, de 1 de octubre regula el uso de los medios de identificacin y firma en el procedimiento administrativo estableciendo que, con carcter general, para realizar cualquier actuacin prevista en el procedimiento administrativo slo ser necesario identificarse, y limitando la obligatoriedad de la firma para los supuestos previstos en el apartado segundo del artculo: Formular solicitudes, presentar declaraciones responsables o comunicaciones, interponer recursos, desistir de acciones y renunciar a derechos. Esta importante novedad en la regulacin aconseja establecer las cautelas mnimas que permitan normalizar el uso de estos sistemas evitando la heterogeneidad de su implementacin tcnica entre las Administraciones.

As, y en aplicacin de lo dispuesto en el artculo 10.3 de la Ley 39/2015, de 1 de octubre, que faculta a las Administraciones Pblicas a admitir los sistemas de identificacin contemplados en esta Ley como sistema de firma cuando permitan acreditar la autenticidad de la expresin de la voluntad y consentimiento de los interesados, siempre que as lo disponga la normativa reguladora, se procede con esta resolucin a indicar los requisitos que se tienen que cumplir, no slo con este objetivo, sino para asegurar tambin la integridad e inalterabilidad de los datos firmados, as como los requisitos para comprobar que se realiz dicho acto. Por lo tanto, se sientan las bases de uso de sistemas de identificacin basados en la plataforma Cl@ve, para la realizacin de la firma, as como se establece una recomendacin para recoger las evidencias de actos de relevancia jurdica, como las notificaciones, que si bien no necesitan firma, s pueden necesitar unos requisitos de seguridad reforzados, manteniendo siempre el espritu de la ley por el que no se haga en ningn caso ms complejo para el ciudadano la recepcin de la notificacin o la realizacin de un trmite.

Es importante subrayar adems, la complementariedad de esta resolucin con el proyecto Cl@ve firma, que provee sencillos mecanismos para facilitar la firma electrnica criptogrfica, de manera que se evitan los principales problemas, como la necesidad de disponer de hardware y/o software especfico para realizar la firma en el ordenador del interesado, ya que toda esa complejidad queda resuelta por el sistema Cl@ve firma. Si bien este sistema es ptimo desde el punto de vista de uso de firma criptogrfica, requiere que el ciudadano tenga activa la identificacin por Cl@ve Permanente que le permite acceder a su certificado electrnico centralizado, en el caso de no tener activa esta identificacin y siempre que el servicio lo permita esta nueva forma de firma no basada en certificado electrnico es una facilidad ms para el ciudadano.

Por ello se ha tenido a bien el complementar este sistema de firma criptogrfica sencilla para el ciudadano, con un sistema de medidas de seguridad, trazabilidad e integridad suficientes para los procedimientos que hagan uso de l, pero sin necesidad de recordar o tener activa una contrasea ni un certificado electrnico centralizado.

Tambin resulta apropiado el uso de este sistema cuando, aun habindose utilizado un certificado electrnico en el proceso de identificacin, no se quiera realizar una firma electrnica local con dicho certificado, para evitar los problemas de restricciones de compatibilidad de navegadores, mquinas virtuales Java y versiones de sistemas operativos.

Por tanto, el objeto de esta Resolucin es establecer los criterios de uso y las condiciones tcnicas de implementacin de los sistemas de firma electrnica no criptogrfica, previstos en el artculo 10.2.c) de la Ley 39/2015, de 1 de octubre, que se considerarn vlidos a efectos de firma en la Administracin General del Estado y sus organismos pblicos, as como en aquellas otras Administraciones Pblicas que adopten estos criterios y condiciones tcnicas.

En virtud de lo anterior, y de acuerdo con el Real Decreto 424/2016, de 11 de noviembre, por el que se establece la estructura orgnica bsica de los Departamentos ministeriales,

Esta Secretara General de Administracin Digital, en el ejercicio de las competencias atribuidas para la definicin de estndares, de directrices tcnicas y de gobierno TIC, de normas de seguridad y calidad tecnolgicas y de la informacin a los que debern ajustarse todas las Unidades de la Administracin General del Estado y sus organismos pblicos, dispone:

Primero.

1. Aprobar los trminos y condiciones de uso de firma electrnica no criptogrfica en las relaciones de los interesados con los rganos administrativos de la Administracin General del Estado y sus organismos pblicos, de acuerdo con el artculo 10.2 de la Ley 39/2015, de 1 de octubre, que se incluyen como anexo.

2. Ordenar su publicacin en el Boletn Oficial del Estado.

Segundo.

La presente Resolucin entra en vigor a partir del da siguiente a su publicacin en el Boletn Oficial del Estado.

Madrid, 14 de julio de 2017.–El Secretario General de Administracin Digital, Domingo Javier Molina Moscoso.

ANEXO
Trminos y condiciones de uso de la firma electrnica no criptogrfica en las relaciones de los interesados con los rganos administrativos de la Administracin General del Estado y sus organismos pblicos

I. Objeto

Los presentes trminos y condiciones tienen como objeto determinar las circunstancias en las que un sistema de firma electrnica no basado en certificados electrnicos ser considerado como vlido en las relaciones de los interesados con los rganos administrativos de la Administracin General del Estado y sus organismos pblicos, de acuerdo con el artculo 10.2.c) de la Ley 39/2015, de 1 de octubre. Sin perjuicio, de otros sistemas de firma implantados, de acuerdo con el artculo 10.2.c) y 10.3 y que ofrezcan las garantas de seguridad suficientes para gestionar la integridad y el no repudio, segn el principio de proporcionalidad recogido en el artculo 13.3, Gestin de Riesgos del Seguridad del Esquema Nacional de Seguridad.

II. mbito de aplicacin

Los presentes trminos y condiciones sern de aplicacin a los rganos administrativos de la Administracin General del Estado y organismos pblicos y entidades de Derecho Pblico vinculados o dependientes, que habiliten nuevos sistemas de firma electrnica no criptogrfica destinados a ser usados por los interesados en sus relaciones con los mismos, y sin perjuicio de la posibilidad de utilizacin en tales trmites de los sistemas de firma contemplados en el artculo 10.2.a) de la Ley 39/2015, de 1 de octubre.

III. Criterios para la utilizacin de sistemas de firma electrnica no criptogrfica

El esquema nacional de seguridad (en adelante ENS), regulado por el Real Decreto 3/2010, de 8 de enero, y modificado por Real Decreto 951/2015, de 23 de octubre, de modificacin del Real Decreto 3/2010, de 8 de enero, por el que se regula el esquema nacional de seguridad en el mbito de la Administracin electrnica constituye el marco legal que permite definir y establecer las medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrnicos, que permita a los interesados y a las Administraciones Pblicas, el ejercicio de derechos y el cumplimiento de deberes a travs de estos medios.

En la implantacin de un sistema de firma electrnica no criptogrfica se deber cumplir con el ENS para garantizar la seguridad de los datos y los servicios, como un instrumento capaz de permitir la comprobacin de la autenticidad de la procedencia y la integridad de la informacin ofreciendo las bases para evitar el repudio.

El ENS establece la necesidad de categorizar los sistemas de informacin, siendo la categora de un sistema de informacin, en materia de seguridad, la que permite modular el equilibrio entre la importancia de la informacin que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en funcin de los riesgos a los que est expuesto, bajo el principio de proporcionalidad.

En aplicacin de esta norma, se podrn utilizar sistemas de firma electrnica no criptogrfica cuando el sistema de informacin asociado al procedimiento haya sido categorizado, segn el esquema nacional de seguridad, de categora bsica y aquellos de categora media en los que no sea necesario utilizar la firma avanzada, cuando as lo disponga la normativa reguladora aplicable.

IV. Garanta de funcionamiento

Cuando la actuacin realizada por el interesado, en su relacin con la Administracin, implique la presentacin en una sede electrnica de documentos electrnicos utilizando los sistemas de firma electrnica contemplados en la presente Resolucin, se garantizar la integridad de la informacin presentada mediante el sellado realizado con el sello electrnico cualificado o reconocido del organismo competente para la gestin del procedimiento, a la que se aadir un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y su incorporacin inmediata al sistema de informacin asociado a dicho procedimiento. El organismo deber disponer de las medidas tcnicas, organizativas y procedimentales necesarias para garantizar dicha integridad a lo largo del tiempo.

Asimismo, se garantizar tambin la integridad, mediante el sellado realizado con el sello electrnico cualificado o reconocido del organismo y la adicin de un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, de las evidencias necesarias para la verificacin de la identidad, recopiladas inmediatamente antes del acto de la firma, as como, posteriormente, del consentimiento explcito del interesado con el contenido firmado, almacenando dichas evidencias en el sistema de informacin junto con la informacin presentada. La integridad y conservacin de los documentos electrnicos almacenados y de sus metadatos asociados obligatorios quedar garantizada a travs del sellado con el sello electrnico cualificado o reconocido del organismo y del resto de medidas tcnicas que aseguren su inalterabilidad.

El organismo responsable del procedimiento emitir un justificante de firma sellado con su sello electrnico de rgano y generando el cdigo seguro de verificacin o CSV, que ser el documento con valor probatorio de la actuacin realizada. La integridad de los documentos electrnicos autenticados mediante CSV podr comprobarse mediante el acceso directo y gratuito a la sede electrnica del organismo y en el punto de acceso general de la Administracin General del Estado, en tanto no se acuerde la destruccin de dichos documentos con arreglo a la normativa que resulte de aplicacin o por decisin judicial.

V. Acreditacin de la autenticidad de la expresin de la voluntad y consentimiento del interesado

Para acreditar la autenticidad de la expresin de la voluntad y consentimiento del interesado se requerir:

1. La autenticacin del interesado, inmediatamente previa a la firma utilizando la plataforma Cl@ve, de identificacin electrnica.

2. La verificacin previa por parte del interesado de los datos a firmar.

Estos datos se obtendrn a partir de aquella informacin presentada por el ciudadano y de cuya veracidad se hace responsable, as como de los documentos electrnicos que, eventualmente, presente en el procedimiento.

3. La accin explcita por parte del interesado de manifestacin de consentimiento y expresin de su voluntad de firma.

V.1. Autenticacin del interesado. La identificacin y autenticacin del interesado deber hacerse, en todo caso, a travs de la plataforma Cl@ve, sistema de identificacin, autenticacin y firma electrnica basado en claves concertadas, comn para todo el sector pblico administrativo estatal, aprobado por Acuerdo de Consejo de Ministros de 19 de septiembre de 2014.

Dicha autenticacin del interesado con el sistema Cl@ve, inmediatamente previa al acto de firma, deber de hacerse con un nivel de calidad en la autenticacin sustancial o alto.

V.2. Verificacin previa de los datos a firmar. El interesado debe ser consciente de los datos que va a firmar y deber ofrecrsele de un modo visible la posibilidad de consultarlo en un formato legible y, preferiblemente, con el mismo formato del documento que posteriormente se entregue al interesado como justificante de la firma.

V.3. Expresin del consentimiento y de la voluntad de firma de los interesados. Las aplicaciones que hagan uso de un sistema de firma, ajustado a los criterios de uso y condiciones tcnicas de esta Resolucin, debern requerir de forma expresa la expresin del consentimiento y la voluntad de firma del interesado en el procedimiento, mediante la inclusin de frases que pongan aqullos de manifiesto de manera inequvoca, y la exigencia de acciones explcitas de aceptacin por parte del interesado (por ejemplo, mediante una casilla junto al texto Declaro que son ciertos los datos a firmar/muestro mi conformidad con el contenido del documento y confirmo mi voluntad de firmar que el interesado debe marcar, y un botn Firmar y enviar que debe pulsar para realizar la firma).

VI. Garanta de no repudio

VI.1. Garantas en el proceso de firma. Para garantizar el no repudio de la firma por parte del ciudadano, el sistema de firma deber acreditar la vinculacin de la expresin de la voluntad y los datos firmados con la misma persona. Para ello se volver a solicitar la autenticacin del ciudadano en el momento de proceder a la firma.

Asimismo, la garanta de no repudio exige que el sistema de firma asegure una adecuada trazabilidad en el caso de que sea necesario auditar una operacin de firma en particular, para lo cual obtendr, por cada firma y por tanto por cada proceso de autenticacin, la siguiente informacin:

– Fecha y hora de la autenticacin.

– Nombre y apellidos del interesado.

– NIF/NIE del interesado.

– Proveedor de identidad empleado (certificado electrnico, Cl@vePIN o Cl@vePermanente) y nivel de seguridad de identificacin (sustancial o alto).

– Resultado de la autenticacin (con xito o fallida).

– Respuesta devuelta y firmada por la plataforma Cl@ve. Esta respuesta deber incluir el campo opcional que contiene la respuesta devuelta y firmada por el Proveedor de Identificacin.

– Fecha y hora de la firma.

– Resumen criptogrfico de los datos firmados, con un algoritmo de hash que cumpla las especificaciones del esquema nacional de seguridad.

– Referencia al justificante de firma, mediante el CSV asociado a dicho justificante.

– Direccin IP origen desde la que se realiz la firma.

Esta informacin ser sellada con un certificado electrnico cualificado o reconocido de sello del organismo, a la que se aadir un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y ser almacenada por el sistema de informacin asociado al procedimiento electrnico para el que se requiere la firma, como evidencia de la verificacin de la identidad previa al acto de la firma, vinculada a los datos firmados.

En el caso de que los datos de identificacin obtenidos en la autenticacin inmediatamente anterior a la firma no coincidan con los datos de identificacin obtenidos en autenticaciones previas, el sistema de firma no permitir la realizacin de la misma, informando de esa eventualidad al sistema de informacin asociado al procedimiento electrnico que requiere dicha firma.

VI.2. Gestin de las evidencias de autenticacin. A pesar de que el sistema de firma proporcionar a los sistemas de informacin asociados al procedimiento electrnico que requiere la firma la informacin relativa a la autenticacin vinculada a dicha firma, en ocasiones puede ser necesario, por motivos de auditora, recuperar las evidencias completas del proceso de autenticacin.

Al utilizar el sistema Cl@ve como mecanismo de identificacin y autenticacin, las evidencias ltimas no residen en el propio sistema de firma, sino en los sistemas de los proveedores de servicios de identificacin integrados en Cl@ve.

Con objeto de que los proveedores de esos servicios de identificacin puedan recuperar las evidencias necesarias para acreditar la realizacin de la identificacin y autenticacin previas ligadas a la realizacin de una firma en el sistema, se deber facilitar a dichos proveedores la informacin de autenticacin almacenada como evidencia de la verificacin previa de la identidad en los sistemas de informacin asociados al procedimiento administrativo que requiere la firma, descrita en el apartado VI.1.

A tal efecto, los proveedores de servicios de identificacin debern salvaguardar dichas evidencias durante el plazo mnimo de cinco aos. La solicitud de certificacin de dichas evidencias se realizar conforme al procedimiento y las condiciones que se publicarn en el portal de Administracin electrnica.

VII. Garanta de la integridad de los datos y documentos firmados

VII.1. Sellado de la informacin presentada. Una vez acreditada la expresin de la voluntad y el consentimiento y para firmar del interesado, se debern establecer los mecanismos para garantizar la integridad e inalterabilidad de los datos y, en su caso, de los documentos electrnicos presentados por el interesado, para lo cual el sistema de firma sellar los datos a firmar, con un sello de rgano y la adicin de un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y la pondr a disposicin del sistema de informacin asociado al procedimiento electrnico que requiere la firma.

VII.2. Justificante de firma. En el proceso de firma se entregar al interesado un justificante de firma, que ser un documento legible, de acuerdo con la norma tcnica de interoperabilidad de catlogo de estndares y preferiblemente en formato PDF y que deber cumplir estos requisitos:

– Garantizar la autenticidad del organismo emisor mediante un sellado electrnico con el certificado de sello del mismo, en formato PAdES en el caso de que el justificante tenga el formato PDF.

– Contener los datos del firmante y, en el caso de que el documento firmado haya pasado por un Registro de entrada, los datos identificativos de su inscripcin en el Registro.

– Contener los datos a firmar expresamente por el interesado. Si se ha anexado algn documento electrnico se incluir una referencia al mismo.

– Garantizar el instante en que se realiz la firma, mediante sello de tiempo del justificante, realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado.

– Garantizar la autenticidad del justificante de firma, incluyendo en el justificante de firma un cdigo seguro de verificacin (CSV), y garantizando que este justificante se pueda consultar en lnea mediante un sistema de cotejo de CSV cuya direccin se incluya en el propio justificante de firma.

– Alternativamente, la autenticidad del organismo emisor y del justificante de firma se podr garantizar mediante dos documentos: uno de ellos con sellado electrnico del justificante en formato PAdES (en el caso de que el justificante tenga formato PDF) y otro con la utilizacin de un cdigo seguro de verificacin (CSV) del justificante.

Análisis

  • Rango: Resolucin
  • Fecha de disposición: 14/07/2017
  • Fecha de publicación: 18/07/2017
  • Entrada en vigor: 19 de julio de 2017.
Referencias anteriores
  • DE CONFORMIDAD con el art. 10.2.c) de la Ley 39/2015, de 1 de octubre (Ref. BOE-A-2015-10565).
  • CITA Reglamento (UE) 910/2014, de 23 de julio (Ref. DOUE-L-2014-81822).
Materias
  • Administracin electrnica
  • Administraciones Pblicas
  • Documentos
  • Firma electrnica
  • Normas de calidad
  • Redes de telecomunicacin
  • Registros telemticos

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid