La Ley 66/1997, de 30 de diciembre, de Medidas fiscales, administrativas y del orden social, atribuye a la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, en su artículo 81, apartado uno (Título IV, capítulo II), la facultad de prestar servicios técnicos y administrativos en orden a garantizar la seguridad, validez y eficacia de la emisión y recepción de comunicaciones y documentos a través de técnicas y medios electrónicos, informáticos y telemáticos (EIT), en las relaciones que se produzcan, por un lado, entre los órganos de la Administración General del Estado, entre sí o con los organismos públicos vinculados o dependientes de aquella, así como la de estos organismos entre sí; y, por otro, entre las personas físicas y jurídicas con la Administración General del Estado y sus Organismos públicos vinculados y dependientes de ella.
El apartado 2 del citado artículo habilita a la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda para prestar estos servicios a las Comunidades Autónomas, las entidades locales, y las entidades de derecho público, vinculadas o dependientes de ellas, siempre que se hubieran formalizado los correspondientes convenios o acuerdos procedentes.
Los apartados 3 y 4 determinan, respectivamente, el régimen jurídico de los servicios señalados (que será de los artículos 38, 45 y 46 de la Ley 30/1992, de 26 de noviembre, modificada por Ley 4/1999, de 13 de enero), así como el de sus normas de desarrollo, y demás leyes y disposiciones concordantes, correspondiendo al Consejo Superior de Informática determinar los requisitos técnicos de estos servicios.
Finalmente, el citado artículo 81, tras encomendar en el apartado 5, a la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, en colaboración con Correos y Telégrafos, la máxima extensión de los servicios referidos para facilitar a los ciudadanos las relaciones a través de estas técnicas y medios electrónicos, informáticos y telemáticos (EIT), de acuerdo con sus disponibilidades presupuestarias, atribuye al Gobierno, en el apartado seis, a propuesta conjunta de los Ministros de Economía y Hacienda, de Administraciones Públicas y de Fomento, la facultad de realizar —en el contexto de los apartados anteriores del referido artículo 81— el desarrollo normativo de las disposiciones precisas para la regulación de la prestación de servicios técnicos de seguridad en las comunicaciones con la Administración General del Estado y sus Organismos públicos a través de técnicas y medios electrónicos, informáticos y telemáticos (EIT); incluyendo, en su último inciso, una habilitación expresa al Gobierno para modificar la normativa reguladora de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda y de Correos y Telégrafos en lo que al efecto resulte necesario para la ejecución de lo dispuesto en los apartados 1,2y5 citados.
Además, el artículo 128, apartado cuatro, de la Ley 33/1987, de 23 de diciembre, de Presupuestos Generales del Estado, mantiene los fines y funciones de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda de acuerdo con lo establecido en el artículo 1 de la Ley de 11 de abril de 1942.
El presente Real Decreto tiene por objeto acometer el desarrollo normativo previsto en el mencionado artículo 81, apartado 6, regulando el ejercicio de la facultad de prestación por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda de los servicios de seguridad, técnicos y administrativos a que el mismo se refiere, sin perjuicio de las competencias atribuidas en la Ley a los órganos administrativos en materia de registro de solicitudes, escritos y comunicaciones, y sin excluir tampoco la posible existencia de otros proveedores privados o públicos de servicios análogos.
Esta disposición no lleva a cabo una regulación exhaustiva de los citados servicios de seguridad, no sólo porque ya existe una regulación general, constituida por la Ley 30/1992, y el Real Decreto 263/1996, de 16 de febrero, sobre la utilización de técnicas electrónicas, informáticas y telemáticas en el ámbito de la Administración General del Estado, sino principalmente, porque está pendiente de aprobación la Directiva del Parlamento Europeo y del Consejo, por la que se establece un marco común para la firma electrónica con la que este Real Decreto está íntimamente relacionado. En efecto, el actual proyecto de Directiva se ocupa de los servicios de certificación de firma electrónica, que coinciden básicamente con los servicios de autenticación electrónica de datos que prestarán la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda en ejecución de este Real Decreto.
El Real Decreto, que se estructura en cuatro capítulos (integrados por trece artículos), tres disposiciones adicionales, una disposición derogatoria y una disposición final, ha sido sometido a información pública, habiendo igualmente emitido informe el Consejo Superior de Informática y la Agencia de Protección de Datos.
En su virtud, en ejercicio de las atribuciones establecidas en el apartado 6 el artículo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas fiscales, administrativas y del orden social, de acuerdo con el Consejo de Estado, a propuesta conjunta de los Ministros de Economía y Hacienda, de Administraciones Públicas y de Fomento y previa deliberación del Consejo de Ministros en su reunión del día 23 de julio de 1999,
DISPONGO:
La presente disposición tiene por objeto desarrollar reglamentariamente la prestación, por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, en colaboración con la entidad pública empresarial Correos y Telégrafos, de los servicios técnicos y administrativos necesarios para garantizar la seguridad, la validez y la eficacia de las comunicaciones de la Administración General del Estado y sus organismos públicos, a través de técnicas y medios electrónicos, informáticos y telemáticos (EIT), en los términos establecidos en el artículo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas fiscales, administrativas y del orden social.
1. Se rige por este Real Decreto el ejercicio de la facultad atribuida a la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, en colaboración con la entidad pública empresarial Correos y Telégrafos, para la prestación de los servicios técnicos y administrativos destinados a garantizar la validez y eficacia de los actos y documentos emitidos o recibidos a través de técnicas y medios EIT por:
a) Los órganos de la Administración General del Estado, en sus relaciones recíprocas o con los organismos públicos vinculados o dependientes de aquélla, así como las de estos organismos entre sí.
b) Las personas físicas y jurídicas, en sus relaciones con la Administración General del Estado y los organismos públicos vinculados o dependientes de la misma.
c) Las Comunidades Autónomas, entidades locales, y las entidades de derecho público dependientes o vinculadas a las mismas, cuando se hubieran formalizado los correspondientes convenios o acuerdos con la Fábrica Nacional de Moneda y Timbre.
d) Las entidades gestoras y servicios comunes de la Seguridad Social, así como aquellos organismos públicos que ejerzan potestades administrativas, de acuerdo con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
2. El ejercicio de la facultad de prestación de los servicios técnicos y administrativos a que se refiere el presente Real Decreto se entenderá sin perjuicio de las competencias atribuidas en la Ley a los órganos administrativos en materia de registro de solicitudes, escritos y comunicaciones.
3. Lo dispuesto en los apartados anteriores se entenderá, asimismo, sin perjuicio del empleo y aplicación de las técnicas y medios EIT que pudieran establecerse por las diferentes Administraciones públicas y los organismos públicos, y entidades vinculadas o dependientes de ellas, con independencia de que el servicio de certificación lo prestaran estos últimos o las entidades públicas o privadas que designen.
4. La prestación de los referidos servicios técnicos y administrativos en las comunicaciones que afecten a la información clasificada, a la Defensa Nacional o a la seguridad del Estado, tendrán que cumplir las exigencias específicas técnicas y de seguridad que expresamente se establezcan en estos ámbitos por los Departamentos responsables en cada caso y habrán de ser objeto de autorización expresa.
1. Los servicios técnicos y administrativos a que se refiere el artículo 1 de este Real Decreto son los que permiten:
a) Acreditar la identidad del emisor y del receptor de la comunicación, así como la autenticidad de su voluntad.
b) Garantizar la integridad y conservación del contenido del documento en su emisión y recepción.
c) Acreditar la presentación o, en su caso, la recepción por el destinatario, de notificaciones, comunicaciones o documentación.
2. Los requisitos técnicos para la prestación de estos servicios se determinarán por el Consejo Superior de Informática de conformidad con el artículo 81, apartado 4, de la Ley 66/1997.
Las notificaciones, comunicaciones o documentación, o las copias de éstos, emitidos o recibidos a través de técnicas EIT en el ámbito de este Real Decreto, en relación con los que la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda haya prestado los servicios previstos en el artículo anterior, gozarán de validez y eficacia, en los términos de los artículos 45 de la Ley 30/1992 y 6 y 7 del Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado.
1. Para la prestación de los servicios previstos en el artículo 3 de este Real Decreto, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, proporcionará a cada usuario un certificado electrónico (título de usuario). Con carácter previo a su expedición, se comprobará debidamente la identidad y la capacidad de la persona que solicita su actuación.
2. La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda acreditará la existencia de los servicios prestados en el ejercicio de su actividad de certificación electrónica, a solicitud del usuario o de una autoridad judicial o administrativa.
1. La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda podrá empezar a prestar los servicios regulados en este Real Decreto cuando haya celebrado el correspondiente convenio o acuerdo con la Administración, Organismo público o entidad de derecho público de los mencionados en el artículo 2, o cuando así lo establezcan las disposiciones legales.
Los convenios o acuerdos con los órganos, los organismos o las Administraciones públicas correspondientes, determinarán el régimen de realización de los servicios EIT, de acuerdo con los requisitos técnicos previamente aprobados por el Consejo Superior de Informática.
2. El Ministerio de Administraciones Públicas mantendrá a disposición del público una relación de las Administraciones, órganos u organismos públicos a los que la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda preste los servicios aludidos en el artículo 3, en virtud de convenio o acuerdo o de disposición legal.
1. La entidad pública empresarial Correos y Telégrafos, de conformidad con lo establecido en el apartado cinco del artículo 81 de la Ley 66/1997, actuará en colaboración con la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, para procurar la máxima extensión de la prestación de los servicios a que se refiere el presente Real Decreto, y, en especial, para conseguir, a través de las oficinas de aquélla, facilitar a los ciudadanos la presentación de solicitudes de inscripción en el Registro de Usuarios, la acreditación de su identidad y la entrega de los correspondientes títulos de usuario. Asimismo, la entidad pública empresarial Correos y Telégrafos podrá colaborar con la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda en la prestación del servicio de constatación de la fecha y hora de presentación de documentos.
2. La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda celebrará con la entidad pública empresarial Correos y Telégrafos un convenio de colaboración a los efectos de regular el régimen de actuación correspondiente.
El referido convenio, que se formalizará en el plazo de cuatro meses desde la fecha de entrada en vigor de esta disposición, estará sometido a informe previo y favorable de los Ministerios de Economía y Hacienda, de Administraciones Públicas y de Fomento, y en el mismo se establecerán, de acuerdo con las disponibilidades presupuestarias de las dos entidades, las condiciones y la infraestructura pública estatal destinada a facilitar a los ciudadanos la comunicación, a través de técnicas y medios EIT, en el ámbito del presente Real Decreto.
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda deberá poner a disposición del público los programas, aplicaciones y demás elementos necesarios para que, en las comunicaciones realizadas a través de técnicas EIT con la Administración, puedan utilizarse sus servicios. La identificación y características de dichos programas, aplicaciones y elementos serán difundidas mediante su publicación en el «Boletín Oficial del Estado» o a través de otras formas de divulgación que se estimen convenientes.
1. Para que las personas físicas y jurídicas adquieran la condición de usuario privado de los servicios prestados por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda en el ámbito de este Real Decreto, será necesario que presenten, ante cualquiera de las oficinas y registros a que se refiere el artículo 38.4 de la Ley 30/1992, una solicitud de inscripción en el Registro de usuarios dirigida a la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, y la aceptación de las condiciones de utilización de los sistemas EIT, según modelo aprobado por Orden del Ministro de la Presidencia a propuesta conjunta de los Ministros de Economía y Hacienda, de Administraciones Públicas y de Fomento.
Cumplidos los requisitos anteriores, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda expedirá en el plazo de un mes el correspondiente certificado electrónico (título de usuario), que estará vigente, salvo los supuestos previstos en el artículo 10, por un período de tres años, renovable.
2. Las Administraciones, órganos y organismos públicos mencionados en el artículo 2 adquirirán la condición de usuarios públicos de los servicios prestados por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda en el ámbito de este Real Decreto, además de por disposición legal, mediante la firma del convenio o acuerdo al que se refiere el artículo 6.1. La conclusión de este convenio o acuerdo será comunicada por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda al Ministerio de Administraciones Públicas, para la inclusión de la respectiva Administración en la relación pública a que alude el artículo 6.2.
1. La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda dejará sin efecto los certificados electrónicos otorgados a los usuarios privados en los siguientes casos:
a) Cuando lo solicite el usuario directamente a la FNMT mediante modelo aprobado al efecto.
b) Cuando así lo ordene una resolución judicial o administrativa.
c) Cuando se hubiera producido el fallecimiento o extinción de la personalidad jurídica del usuario.
d) Cuando hubiera finalizado el plazo de vigencia del certificado.
e) Cuando se hubieran extraviado o se hubiera producido la privación ilegal o fraudulenta de los certificados.
2. La extinción de la eficacia de un certificado producirá efectos desde la fecha en que la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda tuviera conocimiento fehaciente de cualquiera de los hechos determinantes de la extinción previstos en el apartado anterior. En el supuesto de expiración del período de validez del certificado, la extinción surtirá efectos desde que termine el plazo de validez. En cualquiera de los supuestos indicados, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda habrá de proceder de manera inmediata a la publicación de la extinción de la eficacia del certificado en la lista de certificados extinguidos que deberá mantener al efecto, respondiendo a los posibles perjuicios que se causen a terceros de buena fe, por el retraso en la publicación.
3. Lo dispuesto en los apartados anteriores no será de aplicación a los usuarios públicos, sin perjuicio de lo que se establezca en los convenios o acuerdos correspondientes o lo que se determine, en su caso, por resolución judicial o administrativa.
La extinción de la condición de usuario público no surtirá efecto hasta que la inscripción de la Administración, órgano u organismo público afectado en la relación pública a que se refiere el artículo 6.2 de este Real Decreto sea cancelada, y se publique en la lista de certificados extinguidos.
1. La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda procederá a la creación del Registro de Usuarios EIT, en el que se inscribirán los interesados que cumplan los requisitos establecidos en el artículo 9.1 y adquieran, por tanto, la condición de usuarios privados. Hasta ese momento, al usuario no se le entregará el soporte que le permita actuar como tal. La entrega presumirá que se han cumplido los referidos requisitos. Los usuarios públicos que hubieran formalizado el correspondiente convenio o acuerdo con la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, serán inscritos en el citado Registro a los efectos administrativos oportunos.
2. Por Orden del Ministro de Economía y Hacienda se aprobará el régimen de organización y funcionamiento del Registro de Usuarios EIT, de conformidad con lo regulado en el artículo 38 y concordantes de la Ley 30/1992, de 26 de noviembre.
El tratamiento de los datos personales que precise la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda para la prestación de los servicios descritos en el artículo 3 de este Real Decreto estará sometido a la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, y a la norma que resulte de la incorporación al ordenamiento jurídico español de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda únicamente podrá recabar datos personales directamente del titular de los datos o previo consentimiento explícito de su titular, y sólo en la medida necesaria para la expedición y mantenimiento del certificado electrónico. Los datos no podrán obtenerse o tratarse con fines distintos sin el consentimiento explícito de su titular.
1. La interposición de recursos contra los actos y resoluciones de los órganos de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda relacionados con la actividad regulada de este Real Decreto será independiente del régimen jurídico aplicable a los actos que constituyan el contenido u objeto de la comunicación electrónica.
2. El régimen de recursos aplicable a la actividad de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda regulada en este Real Decreto será el establecido en las leyes y en el Estatuto de la entidad.
3. La responsabilidad por el funcionamiento de los servicios regulados en esta disposición será exigible en los términos previstos en la Ley de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común.
1. La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda podrá prestar los servicios previstos en este Real Decreto cuando, para el cumplimiento de las obligaciones tributarias o el pago de cualquier otro derecho económico a favor de las Administraciones públicas incluidas en su ámbito de aplicación o, en su caso, de la propia entidad jurídica, se empleen técnicas y medios EIT.
Lo dispuesto en el párrafo anterior será de aplicación tanto si el pago se efectúa directamente a las entidades destinatarias, como si se realiza a través de entidades de crédito que actúen como intermediarias.
2. Lo establecido en esta disposición adicional se entiende sin perjuicio de lo que disponga la legislación tributaria.
Los convenios o acuerdos a que se refiere el artículo 6 requerirán el informe conjunto, previo y favorable, de los Ministerios de Economía y Hacienda, de Administraciones Públicas y de Fomento. Dicho informe no será necesario en los supuestos en los que se utilicen convenios o acuerdos tipo, que hubieran sido informados favorablemente, con carácter general, por los citados Ministerios.
La aplicación de las normas y requisitos que se validen, de acuerdo con el procedimiento regulado en el artículo 8, estará condicionada a lo que se establezca en materia de normas aplicables a los servicios de certificación, en la Ley por la que se incorpore al ordenamiento jurídico español la normativa comunitaria en materia de firma electrónica.
Asimismo, las citadas normas y requisitos específicos deberán acomodarse, en lo que sea de aplicación a los servicios contemplados en este Real Decreto, a la normativa que se dicte, en desarrollo del Título IV de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, para garantizar la interoperabilidad de redes y servicios de telecomunicaciones.
1. Se aprueban los requisitos técnicos de seguridad y administrativos para la prestación de servicios EIT por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda y del procedimiento de aprobación y difusión pública de los programas, aplicaciones y soportes EIT que figura como anexo al presente Real Decreto.
2. Por Orden del Ministro de la Presidencia, a propuesta conjunta de los Ministros de Economía y Hacienda, de Fomento, de Administraciones Públicas y de Industria y Energía, podrán modificarse los requisitos técnicos y administrativos y del procedimiento recogidos en el anexo mencionado, para adaptarse a las disposiciones comunitarias, a la evolución del mercado o a cualquier otra circunstancia que lo requiera.
3. La aprobación y modificación de los referidos requisitos se tramitará con observancia de lo previsto en el apartado 4 del artículo 81 de la Ley 66/1997.
Quedan derogadas cuantas disposiciones de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en el presente Real Decreto.
1. Por Orden del Ministro de la Presidencia, a propuesta de los Ministros de Economía y Hacienda, de Administraciones Públicas y de Fomento se dictarán cuantas disposiciones sean precisas para el desarrollo de este Real Decreto.
2. La presente disposición entrará en vigor al día siguiente de su publicación en el «Boletín Oficial del Estado».
Dado en Madrid a 23 de julio de 1999.
JUAN CARLOS R.
El Vicepresidente Primero del Gobierno y Ministro de la Presidencia,
FRANCISCO ÁLVAREZ-CASCOS FERNÁNDEZ
1. Requisitos técnicos de la prestación de servicios EIT por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda
1.1 Generación y gestión de claves.
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda proporcionará a los usuarios:
Dos claves complementarias de autenticidad, una pública y otra privada, que permitirán identificarse de manera fidedigna al usuario ante cualquier receptor de un mensaje.
Dos claves complementarias de confidencialidad, una pública y otra privada, que servirán de soporte para prevenir la divulgación no autorizada del contenido de la transacción.
Las claves, tanto de los usuarios como de la propia Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda serán generadas por esta última, utilizando mecanismos que garantizarán su seguridad técnica y criptográfica, en concreto se utilizan algoritmos de cifrado asimétrico tipo RSA, con una longitud mínima de clave de 1024 bits.
Asimismo, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda podrá certificar y tratar como propias claves públicas, compatibles con las anteriores generadas en el equipamiento criptográfico de los usuarios, utilizando mecanismos que garanticen su seguridad técnica y criptográfica y transportadas mediante mecanismos seguros de transporte de claves.
El período de vigencia de las claves de autenticidad propias de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda no será superior a cinco años. Los cambios en las claves de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda no implicarán modificaciones en las claves en vigor que estén utilizando los usuarios.
Archivo de claves:
Las claves privadas de confidencialidad se archivarán cifradas.
Las claves de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda así como las claves públicas de los usuarios se archivarán de forma segura.
Las claves privadas de autenticidad no serán archivadas y por tanto no se conservarán en ningún tipo de soporte, salvo en la tarjeta u otro dispositivo externo que se entregue al usuario.
1.2 Emisión, revocación y archivo de certificados de clave pública.
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda podrá emitir los siguiente tipos de certificados: certificados de autenticidad y certificados de confidencialidad.
Los certificados cumplirán los requisitos definidos por la Unión Internacional de Telecomunicaciones, sector de normalización de las telecomunicaciones, en la Recomendación UIT-T X.509, versión 3, de fecha junio de 1997 o posterior.
Todos los certificados emitidos por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda tendrán validez por un período no superior a tres años a partir de la fecha de emisión del certificado. Transcurrido el período establecido el certificado caducará, pasando al archivo histórico de la entidad.
En los certificados revocados constará, además del contenido propio del certificado activo, la fecha, hora y el motivo de su revocación.
1.3 Registro de eventos significativos.
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda mantendrá registro de cada actuación que realice de todos los eventos significativos relacionados con su propia actividad y la de los usuarios del sistema. El registro de eventos cumplirá los siguientes requisitos:
No podrá ser modificado por medios no autorizados.
Tendrá un alto grado de disponibilidad y de fiabilidad.
Guardará traza de los accesos realizados.
1.4 Publicación de listas de revocación.
Los certificados revocados se publicarán en listas de revocación, cuyos requisitos técnicos serán los definidos por la Unión Internacional de Telecomunicaciones para formatos de listas de revocación, sector de normalización de las telecomunicaciones, en la Recomendación UIT-T X.509, versión 2, de fecha junio de 1997, o posterior.
1.5 Servicios de Directorio.
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda publicará los certificados de clave pública en un directorio de acceso público.
El directorio cumplirá los siguientes requisitos:
Permanecer físicamente en el entorno seguro de la infraestructura técnica de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda.
Cumplir con la normativa de la Unión Internacional de Telecomunicaciones, sector de normalización de las telecomunicaciones, en la Recomendación UIT-T X.500, versión 1993, o posterior.
Soporte del protocolo de acceso a directorio LDAP, de acuerdo con las recomendaciones del IETF: RFC 1777, versión 2; RFC 2251, versión 3, o posteriores.
1.6 Expedición de título de usuario.
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda entregará las claves privadas de cada usuario en tarjeta inteligente o en otro soporte de seguridad equivalente.
En caso de soporte en tarjeta:
El dispositivo físico externo en el que se encuentran las claves privadas deberá ser accesible, vía estándares de mercado tipo PC/SC, y ofrecer un interfaz normalizado de acceso a las funciones criptográficas.
Dispondrá de las medidas de seguridad físicas necesarias de forma que no pueda ser manipulado externamente o alterar su comportamiento.
Dispondrá de las medidas de seguridad lógicas para que este dispositivo no pueda ser leído por medios externos, de forma no autorizada.
En el caso de que el volumen de actividad lo justifique se podrá instalar una configuración informática, que contará con un entorno criptográfico y un control de acceso seguros.
2. Requisitos de seguridad de la operación
2.1 Plan integral de seguridad.
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda dispondrá de un Plan integral de seguridad permanentemente actualizado, basado en la metodología magerit de análisis y gestión de riesgos de sistemas de información de las Administraciones públicas.
Este plan contemplará:
Plan de contingencias. Deberá contemplar las actuaciones a seguir en el caso de que ocurra cualquier anomalía en el normal desarrollo de la actividad.
Distribución y publicación de las políticas de seguridad de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda.
2.2 Productos y sistemas de las tecnologías de la información.
Los niveles de seguridad de los productos y sistemas se establecerán, siguiendo «Criterios de evaluación de la seguridad de los productos y sistemas de las tecnologías de la información» (ITSEC/ITSEM) o posterior. Los niveles de seguridad serán según la norma citada:
Para los componentes que integran la creación y manipulación de las claves privadas, el nivel mínimo exigido será E4.
Para el resto de los componentes que componen la infraestructura se exigirá un nivel E2 o superior.
3. Requisitos administrativos
3.1 Publicación de políticas y normas.
La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda publicará los procedimientos que regirán en relación con los usuarios y la utilización de sus servicios.
Las políticas y normas estarán a la libre disposición en el servidor «web» de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda.
3.2 Registro de usuarios.
Sin perjuicio de lo que disponga el desarrollo del presente Real Decreto, el Registro de usuarios se atendrá a los siguientes requisitos:
Los interesados presentarán la correspondiente solicitud, según los modelos que se establezcan al efecto.
La solicitud debe completarse con la comparecencia de los interesados ante los órganos y organismos de la forma que reglamentariamente se establezca.
El usuario presentará la documentación que acredite su identidad, así como su capacidad legal en el caso de actuación en nombre de terceras personas físicas o jurídicas, y cualquier otra documentación que se requiera al efecto.
4. Fases de implantación de los servicios
Los servicios a prestar por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda en la primera fase de implantación serán:
Generación de claves.
Emisión de certificados de clave pública.
Revocación de certificados de clave pública.
Archivo de certificados de clave pública.
Registro de eventos significativos.
Registro de usuarios.
Publicación de políticas y normas.
Publicación de certificados de clave pública.
Publicación de listas de revocación.
Servicio de directorio.
Servicios de recuperación de claves de soporte de confidencialidad.
Expedición del título de usuario.
Información administrativa de los servicios.
En una segunda fase de implantación, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda podrá prestar a los usuarios que lo requieran, además de los servicios anteriores, los siguientes servicios técnicos y administrativos:
Constancia de fecha y hora (fechado digital) en transacciones EIT, realizadas por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda de forma automática y a petición de los participantes en la transacción.
Verificación y reconocimiento de la autenticidad de los usuarios, realizada por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda de forma automática y a petición de los destinatarios.
En una fase más avanzada de la implantación, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda podrá prestar servicios técnicos y administrativos que faciliten a los usuarios que lo requieran la implantación de servicios que incluyan las siguientes funciones de seguridad:
Certificación de contenido de las transacciones EIT.
Confirmación de envío, entrega y recepción de los mensajes intercambiados entre dos partes.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid