Anexo único Protocolo de identificación y firma electrónicas de la Administracion general y del sector público autonómico

1. Identificación electrónica.

De conformidad con el Decreto 198/2010, de 2 de diciembre, por el que se regula el desarrollo de la Administración electrónica en la Xunta de Galicia y en los organismos de ella dependientes, los ciudadanos podrán utilizar los siguientes instrumentos de identificación para relacionarse con la Administración general y el sector público autonómico de Galicia:

• En todo caso, los sistemas de firma electrónica incorporados al documento nacional de identidad, para personas físicas.

• Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las administraciones públicas que tengan validez para la Administración general de la Comunidad Autónoma de Galicia y que se especifiquen en la sede electrónica.

• Otros sistemas de identificación que resulten proporcionales y seguros para la identificación de las personas interesadas.

1.1. Identificación a través de sistemas de firma electrónica avanzada.

La relación de sistemas de firma electrónica avanzada admitidos, con carácter general, por la Administración general y el sector público autonómico de Galicia, será pública y accesible a través de la sede electrónica de la Xunta de Galicia, donde también se incluirá información sobre los elementos de identificación utilizados, así como las características de los certificados electrónicos admitidos, los prestadores que los expiden y las especificaciones de la firma electrónica que pueden realizarse con los dichos certificados.

Se recomienda que todas las plataformas, que utilicen sistemas de firma electrónica avanzada para la identificación, publiquen el listado de certificados admitidos para su uso.

1.2. Otros sistemas de identificación.

Los ciudadanos podrán utilizar sistemas de identificación y firma no basados en el uso de certificados electrónicos reconocidos en las actuaciones administrativas para las que resulten proporcionales y seguros teniendo en cuenta los datos e intereses afectados. Para la evaluación de la proporcionalidad se atenderá a lo dispuesto en el Real decreto 3/2010, de 8 de enero, por el que se regula el Esquema nacional de seguridad en el ámbito de la Administración electrónica.

En virtud del principio de proporcionalidad recogido en el artículo 4 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, los sistemas de acceso y firma descritos en el presente protocolo ofrecerán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los trámites y actuaciones para los que se autorice su utilización.

Así, se habilitan como mecanismos alternativos de identificación y firma electrónicas los recogidos a continuación.

1.2.1. Claves concertadas.

1.2.1.1. Descripción del sistema de claves concertadas Chave365.

El sistema de claves concertadas Chave365 se basa en un mecanismo de clave disociada compuesta por tres partes diferenciadas: un identificador de persona usuaria, una clave de acceso -o contraseña- y códigos de firma de un solo uso. La clave de acceso inicial y los códigos de firma se generarán de forma automática y en un entorno seguro.

El identificador de persona usuaria será el NIF para las personas residentes en España, y un identificador en el sistema para las personas no residentes en España que no dispongan de NIF.

La utilización del sistema de claves concertadas tendrá carácter voluntario. El consentimiento de las personas interesadas para el uso de este sistema de firma se producirá mediante su registro previo como usuarios o usuarias, de conformidad con lo previsto en este protocolo.

La sede electrónica de la Xunta de Galicia recogerá las actuaciones electrónicas en las que es posible el uso de las claves concertadas como sistema de acceso y firma.

1.2.1.2. Procedimiento de alta en el sistema.

La persona usuaria podrá solicitar en la sede electrónica de la Xunta de Galicia o en las oficinas de registro habilitadas a tal efecto, que se publicarán en dicha sede, el uso del sistema de claves concertadas Chave365.

Para completar el alta en el sistema será necesaria la verificación de la identidad de la persona solicitante. Esta verificación podrá realizarse presencialmente en las oficinas de registro habilitadas, en la sede electrónica utilizando un certificado reconocido, por medios de vídeo identificación o por otros medios que ofrezcan garantías equivalentes.

En caso de verificación positiva, se desencadenará un proceso automatizado que generará y comunicará una clave de acceso que será enviada al teléfono móvil de la persona solicitante del servicio. Alternativamente, se podrán emplear otros mecanismos que resulten proporcionales y seguros para realizar esta comunicación.

1.2.1.3. Uso de Chave365 como mecanismo de identificación y firma.

La persona usuaria utilizará su identificador y la clave de acceso para identificarse ante los sistemas para los que se hubiese habilitado el mecanismo de clave concertada.

El sistema podrá incorporar mecanismos adicionales que refuercen la verificación de la identidad en el acceso al sistema.

El sistema limitará el número de intentos errados de acceso de una persona usuaria, bloqueándolo automáticamente en caso de superarlo.

En los supuestos donde la tipología del procedimiento o actuación así lo permita, de conformidad con lo dispuesto en el Esquema Nacional de Seguridad, el ciudadano o ciudadana podrá emplear su identificador y la clave de acceso para la firma electrónica de una actuación concreta.

En virtud de las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los trámites y actuaciones, se habilitarán mecanismos adicionales de seguridad en el momento de la firma:

- El procedimiento general consistirá en el empleo de un código de firma de un solo uso que se enviará al teléfono móvil o correo electrónico de la persona usuaria en el momento de la firma. Este código se generará y será comunicado de forma automática, y permitirá firmar la actuación en cuestión. Será un código de un solo uso y tendrá una duración máxima de 24 horas. El sistema limitará el número de intentos errados de firma de la actuación, bloqueando a la persona usuaria en caso de superarlo.

- El sistema acreditará la correcta realización de los trámites o actuaciones. Igualmente, deberá quedar constancia del empleo de este mecanismo en el documento firmado.

- Podrán habilitarse otros mecanismos alternativos al procedimiento general que garanticen las mismas condiciones de seguridad, integridad y no repudio.

1.2.1.4. Procedimiento de modificación de datos o baja en el sistema.

Las personas usuarias podrán solicitar, ante las oficinas de registro habilitadas o de forma electrónica, la baja en el servicio de claves concertadas o la modificación de los datos asociados.

1.2.1.5. Período de validez.

La validez del mecanismo de claves concertadas será de un máximo de cuatro años desde la verificación de la identidad. Transcurrido dicho período, será necesario solicitar una nueva alta utilizando alguno de los mecanismos establecidos en el procedimiento de alta inicial. Para evitar períodos sin servicio, la renovación a través de una nueva alta podrá solicitarse con antelación a la fecha de caducidad.

1.2.1.6. Garantías de funcionamiento.

Las características del sistema garantizarán su funcionamiento conforme a los criterios de seguridad, integridad y no repudio previstos en la normativa vigente y de acuerdo con las opciones tecnológicas disponibles en cada momento.

Se establecerán exigencias rigurosas de calidad y renovación de la clave de acceso. La sede electrónica de la Xunta de Galicia permitirá a las personas usuarias del sistema la modificación de su clave de acceso.

En el supuesto de bloqueo de una persona usuaria, podrá desbloquearla y regenerar la clave de acceso previa verificación de su identidad. Esta verificación podrá realizarse presencialmente en las oficinas de registro habilitadas, en la sede electrónica utilizando un certificado reconocido, por medios de vídeo identificación o por otros medios que ofrezcan garantías equivalentes.

1.2.2. Aportación de información conocida por ambas partes.

1.2.2.1. Descripción del sistema.

Este sistema consiste en la aportación por el ciudadano de determinados datos que sean requeridos para la realización, por vía electrónica, de algunos trámites o actuaciones que no impliquen acceso o consulta de datos personales más allá de los propios del procedimiento y de la identificación de la persona interesada a la que va referido el dicho trámite o actuación. Estos datos deben ser conocidos exclusivamente por esa persona y la unidad administrativa responsable del trámite o actuación y serán distintos de la clave de acceso del sistema de claves concertadas expuesto anteriormente.

Mediante la aportación de los datos indicados, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se habilitó este sistema.

La validez del sistema podrá estar limitada temporalmente en función de los plazos asociados a los trámites o actuaciones para los que se determinó su utilización.

El empleo del sistema descrito implicará el consentimiento por parte del ciudadano para su uso como sistema de firma electrónica.

El sistema acreditará la correcta realización de los trámites o actuaciones y deberá quedar constancia en un justificante en el que se especifique la utilización de este mecanismo.

1.2.2.2. Garantías de funcionamiento.

Conforme a los principios de seguridad y proporcionalidad, este sistema garantizará adecuadamente su funcionamiento según los criterios de integridad, confidencialidad y no repudio previstos en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.

La confidencialidad y no repudio se garantizarán mediante el conocimiento exclusivo de los datos requeridos por parte del ciudadano y de la unidad administrativa responsable del trámite o actuación.

2. Autenticación de documentos.

La Administración general y el sector público autonómico de Galicia aceptarán, con carácter general, documentos electrónicos de un tercero, incluidas otras administraciones públicas, siempre que se pueda verificar su autoría e integridad a través de los medios técnicos disponibles:

• Plataforma de validación de documentos del Ministerio de Hacienda y Administraciones Públicas.

• Plataformas de validación de documentos de la Administración general de la Comunidad Autónoma de Galicia. Estas plataformas atenderán a lo previsto en el Esquema nacional de interoperabilidad, sus normas técnicas y el resto de normativa general y específica aplicable.

• Plataformas de consulta de códigos de verificación electrónica (CVE) habilitados por la entidad autora del documento.

3. Firma electrónica.

La entidad con competencias en materia de administración electrónica de la Administración general y del sector público autonómico de Galicia será la responsable de detallar la estructura y contenido básico que deben tener las firmas electrónicas generadas en cualquier sistema de firma electrónica de la Administración general y el sector público autonómico de Galicia. Estas estructuras formarán parte de la política de firma electrónica y de certificados, de conformidad con lo dispuesto en la Norma técnica de interoperabilidad de política de firma electrónica y de certificados, que deberán ser publicadas en la sede electrónica de la Xunta de Galicia.

Como consecuencia de la continua evolución tecnológica, dicha entidad evaluará periódicamente la conveniencia de actualizar las normas publicadas.

3.1. Reglas de uso de firma electrónica.

Debido a su amplia difusión, y a que este formato cumple con las condiciones previstas en la Ley 11/2007, de 22 de junio, de acceso de los ciudadanos a los servicios públicos, se establece cómo de uso obligatorio, en la Administración general y del sector público autonómico de Galicia, el formato PDF/A con firma electrónica PAdES para todos los documentos que tengan como destinatarios a ciudadanos u otras administraciones públicas, salvo restricciones de formato o por la utilización de otros estándares de interoperabilidad ya establecidos. De igual modo, se recomienda este mismo formato para otros documentos que, sin estar específicamente destinados a ciudadanos u otras administraciones públicas, puedan ser puestos a su disposición.

De igual modo, en virtud de la Norma técnica de interoperabilidad de política de firma electrónica y de certificados de la Administración general del Estado, aprobada con Resolución de 19 de julio de 2011, de la Secretaría de Estado para la Función Pública, se establece la obligatoriedad de que el firmante asegure que el fichero no tiene contenido dinámico que afecte a su validez y que pudiera modificar el resultado de la firma a lo largo del tiempo. Dado que este punto resulta de difícil aplicación práctica, se establece cómo obligatorio el uso del formato PDF/A (que no permite contenidos dinámicos) en todas las firmas realizadas en actuación no automatizada (firma atendida) en el ámbito de actuación de este protocolo y siempre que el documento lo permita.

3.2. Reglas de confianza sobre las plataformas que generan y/o convalidan firmas electrónicas.

Para la creación y validación de firmas electrónicas se recomienda el uso de la plataforma corporativa de firma electrónica de la Administración general y del sector público autonómico de Galicia.

La entidad con competencias en materia de administración electrónica de la Administración general y del sector público autonómico de Galicia podrá autorizar la instalación de otras plataformas de creación de firma y validación, previo informe justificativo de las razones que recomiendan el uso de una plataforma diferente realizado por la consellería correspondiente antes de la adquisición o desarrollo de la plataforma.

Para aquellas plataformas implantadas con anterioridad a la aprobación de este protocolo, su continuación estará supeditada a la autorización de las mismas por parte de la entidad con competencias en materia de administración electrónica de la Administración general y del sector público autonómico de Galicia que, asimismo, llevará un registro de todas las plataformas y sistemas que creen o convaliden firmas electrónicas en la Administración general y del sector público autonómico de Galicia.

En cualquier caso, estas plataformas deberán cumplir el Esquema nacional de interoperabilidad, la política de firma y certificados de la Administración general y del sector público autonómico de Galicia y el presente protocolo.

Las aplicaciones microinformáticas y otras herramientas de escritorio, incluyendo el correo electrónico, aplicaciones ofimáticas y navegadores de internet, entre otros, deberán tener instalados los certificados de las autoridades de certificación admitidas en la Administración general y el sector público autonómico de Galicia y estar configurados, en la medida de sus posibilidades, para el cumplimiento de este protocolo, sobre todo en lo relativo a la creación y validación de firmas electrónicas.

La decisión sobre la adquisición, instalación y actualización de este tipo de herramientas deberá considerar las funcionalidades de firma disponible y el cumplimiento de la Política de firma y certificados de la Administración general y del sector público autonómico de Galicia y el presente protocolo.

3.3. Certificados de sede.

Los certificados de sede electrónica utilizados en la Administración general y en el sector público autonómico de Galicia sólo podrán utilizarse para la identificación de sede electrónica conforme a lo dispuesto en el artículo 17.3 del Decreto 198/2010, de 2 de diciembre, por el que se regula el desarrollo de la Administración electrónica en la Xunta de Galicia y en los organismos de ella dependientes. De esta forma, queda explícitamente prohibido su uso para la firma de contenido de documentos electrónicos.

Para la correcta identificación de la sede electrónica, el certificado deberá contener los siguientes metadatos:

a) Descripción del tipo de certificado: «sede electrónica».

b) Nombre descriptivo de la sede electrónica: «nombre de la sede».

c) Denominación del nombre del dominio: «url de la sede».

d) Número de identificación fiscal de la entidad suscriptora: «NIF».

e) Unidad administrativa suscriptora del certificado: «unidad administrativa».

3.4. Certificados de sello electrónico.

Los certificados de sello electrónico se utilizarán exclusivamente para la actuación administrativa automatizada, en los que no exista intervención directa de ninguna persona. Estos certificados deberán contener los siguientes metadatos:

a) Descripción del tipo de certificado: «sello electrónico».

b) Nombre de la persona suscriptora: «nombre de la persona suscriptora».

c) Número de identificación fiscal de la persona suscriptora: «NIF de la persona suscriptora».

La creación de sellos electrónicos se realizará mediante resolución de las secretarías generales, secretarías generales técnicas, direcciones generales o persona titular de la dirección de la entidad pública instrumental competente, que deberá ser publicada en sede electrónica y en la que deberá constar:

a) Órgano superior o de dirección de la Administración general o entidad pública instrumental titular del sello que será el responsable de su utilización.

b) Características técnicas generales del sistema de firma y certificado aplicable.

c) Servicio de validación para la verificación del certificado.

d) Actuaciones y procedimientos en los que podrá ser utilizado.

Las solicitudes de certificado de sello electrónico deberán remitirse a la entidad con competencias en materia de administración electrónica de la Administración general y del sector público autonómico de Galicia, que será la encargada de convalidar la solicitud y coordinar la tramitación con el suministrador de sellos electrónicos corporativos. La solicitud deberá incluir el nombre de la persona titular del certificado, los motivos de la petición, el uso previsto del certificado y el borrador de la resolución de creación, debiendo estar firmada por el titular.

Con carácter general, el nivel organizativo mínimo para la obtención de un sello electrónico será el de secretarías generales, secretarías generales técnicas, direcciones generales u órganos de dirección de una entidad pública instrumental según corresponda.

La entidad con competencias en materia de administración electrónica de la Administración general y del sector público autonómico de Galicia será responsable de la custodia centralizada de los certificados de sello electrónico de la Administración general y del sector público autonómico de Galicia, con el objetivo de controlar de forma exhaustiva su uso. La mencionada entidad podrá autorizar excepciones a esta gestión centralizada, permitiendo una custodia descentralizada cuando razones técnicas así lo aconsejen.

En cualquier caso, para realizar la custodia de los certificados se hará uso de un dispositivo criptográfico específico para esta finalidad.

Para el uso de los certificados de sello electrónico en actuaciones administrativas automatizadas, la unidad responsable deberá enviar a la entidad con competencias en materia de administración electrónica de la Administración general y del sector público autonómico de Galicia la solicitud aprobada por la persona titular del sello, indicando la actuación específica que se realizará, así como sus principales características.

La entidad con competencias en materia de administración electrónica de la Administración general y del sector público autonómico de Galicia instrumentará un sistema de alertas que permitirá recibir avisos antes de la caducidad de los certificados y en el momento del cese de personas titulares de un sello electrónico.

La tramitación de la renovación de los certificados de sello electrónico se solicitará directamente por la entidad con competencias en materia de administración electrónica de la Administración general y del sector público autonómico de Galicia, previa aprobación de la persona titular del mismo. En caso de cese de la persona titular de un sello electrónico, la entidad indicada anteriormente deberá contactar directamente con el responsable de la unidad para determinar la persona titular del nuevo sello electrónico de órgano. De manera transitoria podrán realizarse firmas con el sello antiguo durante un período de un mes.

3.5. Sellos de tiempo.

La Administración general y del sector público autonómico de Galicia deberá asociar a los documentos administrativos firmados con certificados electrónicos una de las siguientes modalidades de referencia temporal:

a) «Marca de tiempo» entendiendo por tal la asignación por medios electrónicos de la fecha y, en su caso, la hora a un documento electrónico. La marca de tiempo será utilizada en todos aquellos casos en los que las normas reguladoras no establezcan la utilización de un sello de tiempo.

b) «Sello de tiempo», entendiendo por tal la asignación por medios electrónicos de una fecha y hora a un documento electrónico con la intervención de un prestador de servicios de certificación que asegure la exactitud e integridad de la marca de tiempo del documento.

Se utilizarán sellos de tiempos en los siguientes casos:

a) Cuando la norma que regula el procedimiento establezca la necesidad de determinar fehacientemente el momento del trámite.

b) En las firmas electrónicas, cuando se requiera garantizar la autenticidad e integridad de un trámite que, según la caracterización del Esquema nacional de seguridad, sea de nivel medio o alto, en cumplimiento del apartado 5.7.4, del anexo II de medidas de seguridad del Esquema nacional de seguridad.

c) Cuando se requiera garantizar la trazabilidad en un sistema que, según la caracterización del Esquema nacional de seguridad, sea de nivel alto, en cumplimiento del apartado 5.7.5, del anexo II, de medidas de seguridad del Esquema nacional de seguridad.

d) Cuando concurran circunstancias que requieran de la utilización de firmas longevas.

e) Cuando la unidad responsable de un procedimiento, transacción o documento lo considere necesario, en función de los requerimientos normativos, funcionales y de rendimiento.

En el caso de no utilizar un sello, se podrá utilizar una marca de tiempo que en cualquier caso deberá estar sincronizada con la hora del servicio corporativo «hora.xunta.es» o, en su defecto, con «hora.roa.es».

4. Gestión de los códigos seguros de verificación.

Los códigos seguros de verificación podrán utilizarse:

a) Como sistema de firma electrónica en actuación administrativa automatizada.

b) Como sistema que otorga validez a las copias realizadas en soporte papel de documentos públicos administrativos emitidos por medios electrónicos y firmados electrónicamente.

La Administración general y del sector público autonómico de Galicia dispondrá de una plataforma corporativa de generación y verificación de códigos seguros de verificación predecibles y no predecibles cuyo responsable será la entidad con competencias en materia de administración electrónica.

La entidad con competencias en materia de administración electrónica de la Administración general y del sector público autonómico de Galicia podrá autorizar la existencia de plataformas adicionales cuando lo aconsejen razones técnicas.

En cualquier caso, deberá existir un punto de acceso centralizado para ciudadanos y otras administraciones públicas desde el cual se podrá acceder a documentos en tramitación, en archivo y en archivo histórico, independientemente de la plataforma que haya generado el código, facilitando de esta forma la consulta y verificación de dichos documentos con independencia de su origen y estado.

Dado el carácter confidencial de alguno de los documentos a gestionar, cada uno de los gestores de dicha documentación será responsable de garantizar el cumplimiento de la normativa vigente en materia de protección de datos y confidencialidad. Para ello, cada una de estas unidades trasladará a la entidad con competencias en materia de administración electrónica las medidas de seguridad o restricciones necesarias de acceso para su implementación en la plataforma corporativa.

5. Archivado y custodia de firmas.

La entidad con competencias en materia de administración electrónica de la Administración general y del sector público autonómico de Galicia deberá habilitar un servicio que mantenga las evidencias de validez de las firmas longevas y actualizará las firmas antes de que las claves y el material criptográfico asociado sean vulnerables.