Política y prácticas

Autor Coloriuris S.L..

Versión 1.2

Estado del documento Aprobado

Fecha de emisión 07-01-2014

OID (Object Identifier) 1.3.6.1.4.1.37799.0.3.1.1.2

Ver el PDF

CONTENIDO

1. El Servicio de Sellado de Tiempo de Coloriuris

1.1. El documento de política y prácticas de TSACI

1.1.1. Finalidad

Coloriuris es una empresa especializada en prestar servicios relacionados con la seguridad jurídica en la utilización de Internet, entre los cuales se encuentra la acreditación del momento en el que se realiza un acto o transacción. Con esta finalidad la empresa ha creado la “Autoridad de Sellado de Tiempo de Coloriuris S.L.” (en adelante TSACI), cuya actividad se rige por lo dispuesto en el presente documento.

Lo aquí dispuesto se aplica a todos los intervinientes en los servicios de sellado de tiempo, incluyendo los suscriptores de los servicios de TSACI y por los terceros aceptantes de los sellos de tiempo. Todos ellos deben conocer el contenido de este documento para que puedan establecer su confianza en los servicios de sellado de tiempo proporcionados por TSACI y adecuar su actuación a lo dispuesto en el mismo. Este documento podrá ser utilizado también por terceras entidades y organismos independientes para comprobar y certificar que TSACI actua conforme a las políticas y prácticas recogidas en el mismo.

Los servicios de sellado de tiempo se prestan de acuerdo con la legislación y estándares de aplicación, los cuales se detallan en el anexo Referencias de este documento. En particular, los principales estándares en los que se basan este documento y la prestación de servicios de sellado de tiempo por TSACI, son los siguientes:

  • ETSI TS 102 023, Electronic Signatures and Infrastructures (ESI); Policy Requirements for Time-stamping Authorities, respecto a la finalidad y contenidos este documento
  • RFC 3161, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), para la definición de los servicios de sellado de tiempo
  • OASIS Digital Signature Services (DSS) Core 1.0 y Timestamp Profile, respecto al formato de los sellos y al protocolo de petición/respuesta
  • ETSI TS 101 903, XML Advanced Electronic Signatures (XAdES) 1.3.2, respecto al formato de las firmas de los sellos de tiempo

1.1.2. Estructura

El presente documento se divide en las siguientes partes:

Política de Sellado de Tiempo (PST)

Tiene como objetivo definir los requisitos a cumplir por TSACI para la prestación de un servicio de sellado de tiempo de confianza, de acuerdo con los mencionados estándares. En particular se definen los usos permitidos, la comunidad de usuarios a los que se destinan, las condiciones de utilización y los efectos de los sellos de tiempo.

Declaración de Prácticas de Sellado de Tiempo (DPST)

Establece cómo TSACI cumple los requerimientos técnicos, organizativos y procedimentales establecidos en la política y, en particular, las condiciones y las acciones de gestión y operación del servicio de sellado de tiempo que se siguen en la emisión de los sellos de tiempo.

Régimen jurídico

Establece los derechos y obligaciones de las distintas partes intervinientes en la prestación de los servicios de sellado de tiempo, así como el marco jurídico en el que estos se desarrollan y los mecanismos previstos para la resolución de conflictos.

1.1.3. Alcance

Este documento establece las reglas generales para la operación de TSACI, pero no incluye especificaciones técnicas detalladas de su infraestructura y comunicaciones, la estructura de su organización, los procedimientos operativos, las medidas y controles de seguridad ni la descripción del entorno en el que los sistemas de TSACI funcionan, aspectos estos que se contemplan en documentos adicionales de carácter interno.

1.1.4 Ambito de aplicación

Los sellos de tiempo de TSACI se emiten con sujeción a la versión de este documento que se encuentre vigente en el momento de su emisión, siendo esta la que determinará la validez y efectos de los sellos a lo largo de todo su ciclo de vida.

1.2 Entidades y personas intervinientes

1.2.1 Autoridad de Sellado de Tiempo de Coloriuris (TSACI)

Es la responsable de la correcta prestación de los servicios de sellado de tiempo conforme a las políticas y prácticas establecidas en este documento. Los servicios que presta son los siguientes:

  • Generación y emisión de sellos de tiempo: comprende los componentes técnicos y organizativos que emiten los sellos de tiempo.
  • Gestión del servicio de sellado de tiempo: comprende los componentes técnicos y organizativos que supervisan y controlan que la operativa de la emisión de sellos de tiempo se realice de forma adecuada incluyendo, en particular, la sincronización temporal con la fuente fiable de referencia.

TSACI opera una Unidad de Sellado de Tiempo que generará y firmará los sellos de tiempo en nombre de TSACI. Esta unidad dispondrá de una clave privada específica, que tendrá asociado un certificado electrónico único. En todo caso, TSACI quedará identificada por el certificado electrónico de firma que utilice la TSU para la generación y emisión de los sellos de tiempo.

Los administradores de TSACI son las personas que dentro de Coloriuris tienen privilegios de administración y configuración de la Unidad de Sellado de Tiempo. En todo momento dichas personas estarán expresamente identificadas en la documentación interna de la TSACI.

1.2.2 Responsable de Administración de Políticas de Coloriuris

El Responsable de Administración de Políticas es un miembro de Coloriuris que aprobará las presentes políticas y prácticas de sellado de tiempo, así como sus modificaciones. Todos los documentos de prácticas y políticas de TSACI deben ser aprobados por el Responsable de Administración de Políticas.

El Responsable de Administración de Políticas se encarga también de analizar los informes de las auditorías, totales o parciales, que se hagan de TSACI, así como de establecer y supervisar, en su caso, las acciones correctoras a ejecutar.

El Responsable de Administración de Políticas será nombrado y cesado por la dirección de Coloriuris, mediante resolución expresa de la que deberá quedar constancia escrita.

1.2.3 Prestador de Servicios de Certificación (PSC) emisor del certificado de TSACI

El PSC emisor del certificado de TSACI es ColorIURIS, S.L.

1.2.4 Suscriptores

Los suscriptores son las personas o entidades que utilizan los sellos de tiempo proporcionados por TSACI y que, por lo tanto, aceptan los términos y condiciones bajo los cuales se emiten.

Los suscriptores son responsables del uso que hagan de los servicios de TSACI y, en la medida de sus posibilidades, han de contribuir a que los terceros aceptantes puedan valorar adecuadamente los efectos y validez de los sellos de tiempo y conocer las condiciones que rigen su uso.

1.2.5 Terceros aceptantes

Los terceros aceptantes son las personas o entidades que confían en los sellos de tiempo emitidos por TSACI.

1.3 Administración y publicidad de la política y prácticas

1.3.1 Validez

Únicamente el Responsable de Administración de Políticas tiene la capacidad para aprobar el presente documento. Esta aprobación deberá constar de forma expresa.

Sin perjuicio de lo dispuesto para la modificación de las políticas y prácticas, y para el caso de cese de la actividad de TSACI, el presente documento tiene validez indefinida.

1.3.2 Modificaciones

Solo el Responsable de Administración de Políticas puede realizar y aprobar modificaciones del presente documento.

Se considerará que existe un cambio de versión cuando a juicio del Responsable de Administración de Políticas las modificaciones puedan afectar a la aceptabilidad de los sellos de tiempo. En caso contrario se considerará que únicamente hay una nueva redacción de la misma versión.

En el primer supuesto se procederá al incremento del número mayor de versión del documento y la puesta a cero del número menor de la misma, modificándose también los campos correspondientes del Identificador de Objeto (OID), que son el penúltimo y el último, respectivamente. En el segundo supuesto se procederá al incremento del número menor de versión del documento, modificándose únicamente el último campo del Identificador de Objeto (OID).

1.3.3 Publicidad

La política y prácticas se publicarán inmediatamente desde el momento de su aprobación inicial y, en su caso, de su modificación.

La dirección web (URL) para la publicación será: www.coloriuris.net/tsaci/politicas/.

También se publicará en la web el certificado de firma de TSACI y los correspondientes certificados de la cadena de certificación. Esta publicación se hará en la dirección: www.coloriuris.net/tsaci/certificados/

Por último, la publicación de anuncios y comunicaciones sobre hechos relevantes que afecten a la prestación de los servicios de la TSACI, se hará en la dirección de Internet: www.coloriuris.net/tsaci/anuncios/

1.3.4 Persona de contacto

Todos los usuarios, terceros aceptantes y cualquier entidad o persona que ostente un interés legítimo en relación con los servicios del TSACI podrán ponerse en contacto con los miembros del mismo de las siguientes formas:

  • Correo electrónico: tsaci@coloriuris.net
  • Teléfono: +34976203670
  • Fax: +34976203671
  • Por correo postal o personándose en la siguiente dirección:Calle Alfonso I – 23, entresuelo centro, 50003 Zaragoza

1.4 Declaración básica de TSACI

La Declaración Básica de TSACI recoge las condiciones y aspectos fundamentales de uso de los servicios de sellado de tiempo que, junto a otras condiciones y aspectos más específicos, se recogen en este documento. El contenido de esta declaración básica se corresponde con el del documento denominado TSA Disclosure Statement por el estándar ETSI TS 102 023, cuyas funciones el presente apartado cumple a todos los efectos.

En consecuencia, mediante la presente declaración básica, TSACI afirma que:

  • Titularidad TSACI es un servicio del Coloriuris S.L., empresa cuyos datos de contacto se encuentran en el apartado 1.3.4 de este documento.
  • Disponibilidad del servicio La disponibilidad del servicio prestado por TSACI es la descrita en el apartado 3.3.2 del presente documento.
  • Publicación de la Política Todos y cada uno de los sellos de tiempo emitido por TSACI contiene el identificador (OID) de la Política, cuyo valor se incluye en el apartado 2.2 de este documento.
  • Mecanismos criptográficos Los algoritmos criptográficos y la longitud de las claves utilizadas en la emisión de los sellos por TSACI cumplen con el estándar ETSI TS 101 861 Time-Stamping Profile y son las siguientes:
  • Para el cálculo del hash de las peticiones de sellos de tiempo se admiten los siguientes algoritmos: SHA-1 y MD5.
  • Para el cálculo del hash de los sellos de tiempo emitidos se utiliza SHA-1.
  • La firma de los sellos de tiempo emitidos se realiza calculando el hash mediante SHA-1 y cifrándolo con algoritmos RSA, utilizando para ello una clave cuya longitud es de al menos 2048 bits.
  • Validez de los certificados TSACI no establece otras limitaciones a la confianza que merecen sus servicios de sellado de tiempo que las que son inherentes a las tecnologías utilizadas. Si se determinara que los algoritmos criptográficos o la longitud de claves utilizados han dejado de aportar un nivel adecuado de seguridad, TSACI publicará inmediatamente dicha información en su página web.
  • Precisión temporal TSACI asegura que el momento fijado en los sellos está dentro de los márgenes de error establecidos en la política, en el apartado 2.3 de este documento, con relación al tiempo establecido por las fuentes de tiempo UTC de confianza definidas en el apartado 3.3.4 y garantiza que no emitirá sellos de tiempo con una precisión menor que la antedicha.
  • Aplicabilidad TSACI considera que los usos más apropiados de los sellos de tiempo que emite son los relacionados con la prueba del momento en que ocurren hechos que tengan o puedan tener efectos jurídicos como son, por ejemplo, los descritos en el apartado 2.5 del presente documento. Los sellos emitidos por TSACI no pueden utilizarse en aplicaciones en las que del control del tiempo dependan actuaciones automatizadas que, en caso de fallo o error, puedan producir daños materiales o personales.
  • Obligaciones Las obligaciones de los suscriptores están descritas en el apartado 4.2.2 del presente documento y las de los terceros aceptantes en el apartado 4.2.3.
  • Registro de las operaciones TSACI registra sus operaciones y conserva esta información en adecuadas condiciones de seguridad, según lo previsto en el apartado 3.5.3 del presente documento.
  • Normativa La prestación del servicios de sellado de tiempo por parte de TSACI se realiza de acuerdo con la legislación española y europea aplicable a la materia, recogida en el apartado 5.2.1 del presente documento, con la presente Declaración de Políticas y Prácticas de Sellado de Tiempo y con la normativa interna de Coloriuris.
  • Responsabilidad Las responsabilidades de TSACI y las limitaciones establecidas sobre la misma se describen en el apartado 4.3 del presente documento.
  • Reclamaciones Todas las reclamaciones de usuarios y terceros sobre la prestación de servicios de sellado de tiempo por TSACI deberán serle comunicadas según lo establecido en el apartado 4.7.1 del presente documento. En el caso de que no se llegara a un acuerdo entre las partes estas se someterán a los juzgados y tribunales especificados en el mencionado apartado 4.7.2, con renuncia a cualquier otro fuero que pudiera corresponderles.
  • Garantía y auditorias TSACI garantiza que la prestación de los servicios de sellado de tiempo es conforme con las estipulaciones incluidas en estas Políticas y Prácticas de Sellado de Tiempo. En este sentido, Coloriuris llevará a cabo auditorías periódicas del funcionamiento de TSACI, de acuerdo con las directrices establecidas en el presente documento.
  • Precio TSACI podrá pedir una contraprestación económica por la emisión de sus sellos de tiempo, de acuerdo con las tarifas que en cada momento se encuentren publicadas en su web.

2 Política de sellado de tiempo

2.1 Introducción

La presente Política regula la generación y emisión de sellos de tiempo por TSACI, de acuerdo con la especificación técnica ETSI TS 102 023. La clave privada utilizada y la unidad de sellado de tiempo (TSU) cumplen con las especificaciones técnicas de la normas: ETSI TS 101 861, Time-stamping Profile, RFC 3161, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) y OASIS Digital Signature Services (DSS) Core 1.0 y Timestamp Profile.

TSACI emplea una clave privada específica para la firma de los sellos de tiempo en su TSU. Cada sello contiene la identificación de la Política de Sellado de Tiempo que se le aplica.

2.2 Identificación

El OID (object identifier) de esta Política de Sellado de Tiempo es: 1.3.6.1.4.1.37799.0.3.1.1.1

Este OID se incluye como identificador de la Política en cada sello de tiempo emitido por TSACI.

2.3 Precisión

Los Sellos de Tiempo (TST) se emiten con una precisión ±1 segundo UTC.

2.4 Comunidad de usuarios

La comunidad de usuarios de los sellos de tiempo emitidos por TSACI incluye únicamente a sus suscriptores y a sus terceros aceptantes. Todos los suscriptores son considerados de forma automática como terceros aceptantes.

Son suscriptores quienes solicitan y obtienen un sello de tiempo emitido por TSACI.

La solicitud y/o utilización de un sello tiempo emitido por TSACI por parte de un suscriptor, así como su utilización por parte de un tercero aceptante implica automáticamente la aceptación de las cláusulas y condiciones establecidas en estas Políticas y Prácticas de Sellado de Tiempo.

2.5 Usos de los sellos de tiempo

Los sellos de tiempo emitidos de acuerdo con esta política están diseñados para dar prueba del momento de los hechos y actos, con la finalidad principal de que puedan ser utilizados en contextos jurídicos. Por ejemplo, son usos típicos de los sellos de TSACI los siguientes:

  • Dotar de certeza temporal a las firmas electrónicas, especialmente a las avanzadas
  • Preservar firmas electrónicas en archivos de larga duración
  • Probar que determinados datos existían antes de un momento dado
  • Acreditar el momento en que se realiza un acto jurídico
  • Y, en general, su utilización en archivos de documentos electrónicos, bases de datos, sistemas de registro y logs.

Los sellos de tiempo de TSACI no pueden ser utilizados en aplicaciones críticas en las que un fallo o error del servicio pudiera suponer cualquier tipo de daño material o personal.

2.6 Conformidad y auditorías

El OID de esta Política se incluirá en todos los sellos de tiempo que emita como acreditación de su conformidad con la misma.

Con finalidad equivalente, TSACI sólo aceptará las peticiones de generación de un sello de tiempo que incluyan el OID de esta Política, o que no incluyan ninguna política de forma explícita.

El Responsable de Administración de Políticas es responsable de que la prestación de los servicios de sellado de tiempo se ajuste a lo dispuesto en estas Políticas y Prácticas de Sellado de Tiempo, y de asegurar la efectiva ejecución de los controles previstos.

Coloriuris realizará auditorías del funcionamiento de TSACI, al menos con periodicidad anual.

3 Prácticas de TSACI

3.1 Introducción

El funcionamiento de TSACI se basa en las infraestructuras técnicas, los procedimientos y los mecanismos de control que se describen en estas Prácticas. En consecuencia, el presente documento de Políticas y Prácticas de Sellado de Tiempo regula la operación y requisitos de los servicios de sellado de tiempo de TSACI.

Estos documentos, y la demás información que resulte relevante para que los usuarios y terceros valoren los servicios del TSACI, se publican en los repositorios descritos en el apartado 1.3.3.

El Responsable de Administración de Políticas es responsable de mantener y aprobar todas las políticas y prácticas que rigen el funcionamiento de TSACI, así como de la implementación y aplicación de las mismas. Entre otras medidas, TSACI realiza evaluaciones y auditorías periódicas para determinar el estado de los controles y procedimientos de seguridad, efectuar el análisis de vulnerabilidades y aplicar las medidas que resulten pertinentes.

Coloriuris, a través del Responsable de Administración de Políticas, se responsabiliza de adoptar las medidas de seguridad necesarias para cumplir con los estándares y leyes de aplicación, así como con la Políticas y Prácticas recogidas en el presente documento para la prestación de los servicios de sellado de tiempo.

En la arquitectura de TSACI existe una única unidad de sellado de tiempo (TSU) siendo por tanto la cardinalidad 1:1.

3.2 Gestión del ciclo de vida de las claves

3.2.1 Generación y conservación de la clave privada de la TSU

TSACI adopta las medidas precisas para garantizar que las claves privadas de su TSU sean secretas y para mantener su integridad.

Las claves criptográficas de la TSU de TSACI se generan en un dispositivo criptográfico certificado con un nivel de seguridad FIPS 140-2 nivel 3 y CC EAL 4+, mediante algoritmos RSA y bajo control multipersona. Su longitud es de 2048 bits o superior.

Las claves privadas se conservan en el mismo dispositivo criptográfico en el que se generan, el cual permanece desde el momento de la generación y de forma continuada en un entorno físico seguro, con acceso limitado a las personas específicamente autorizadas. Sólo personal autorizado por el Responsable de Administración de Políticas tiene acceso a las claves privadas, mediante un sistema de control multipersona configurado de forma que cualquier operación sobre las claves exige la participación de, como mínimo, dos responsables de TSACI.

Para la firma de los sellos de tiempo se utilizan algoritmos SHA-1 y RSA. Si se determinara que cualquiera de los elementos mencionados o la longitud de la clave han dejado de aportar un nivel suficiente de seguridad, TSACI los sustituirá por otros cuyo nivel de seguridad se considere suficiente, y publicará la información sobre dichos cambios en el repositorio mencionado en el apartado 1.3.3.

De acuerdo con lo recomendado por la norma ETSI TS 102 023, no se realizan copias de seguridad de la clave privada de la TSU, con la finalidad de evitar el posible compromiso de la misma.

Todas las personas que realizan operaciones sobre las claves están debidamente cualificadas y han sido informadas previamente de sus obligaciones al respecto.

3.2.2 Distribución de la clave pública de la TSU

El certificado de la TSU, así como su cadena de confianza, se publicarán en los repositorios de TSACI descritos en el apartado 1.3.3 de este documento.

El formato del certificado emitido para TSACI es el definido por el estándar X509 v3 y la RFC 3161, y su contenido se detalla en el apartado 3.4.3 del presente documento.

El certificado tiene un plazo de validez de 4 años.

3.2.3 Renovación de las claves de las TSU

TSACI renovará el certificado de clave pública de su TSU con antelación suficiente a la fecha de caducidad del mismo.

3.2.4 Final del ciclo de vida de las claves de la TSU

La clave de firma de la TSU caducará cuando lo haga el certificado de clave pública utilizado para su difusión. La clave se sustituirá con antelación a su caducidad, al objeto de poder cumplir con lo dispuesto en el apartado 3.2.3.

La TSU no generará bajo ningún concepto sellos de tiempo con una clave de firma que haya caducado.

La clave de firma de la TSU también se revocará en los siguientes supuestos:

  • cuando se considere que ha sido comprometida
  • cuando se considere que el algoritmo criptográfico utilizado en su generación o su longitud ya no aportan un nivel de seguridad suficiente
  • cuando concurran otras causas que aconsejen la utilización de nuevas claves.

Las claves caducadas o revocadas se borrarán del dispositivo criptográfico de forma que haga imposible su recuperación.

TSACI mantendrá un archivo con todos los certificados y claves públicas que haya utilizado, y los hará públicos en los repositorios mencionados en el apartado 1.3.3. Este archivo se mantendrá por plazo indefinido, adoptando las medidas precisas para que la información contenida en el mismo esté siempre disponible mediante la tecnología que sea de uso generalizado en cada momento. El archivo dispondrá de medios de protección que impidan la manipulación de la información contenida en el mismo.

El control del archivo está a cargo del Responsable de Administración de Políticas.

3.2.5 Gestión del módulo criptográfico empleado para generar los sellos de tiempo

TSACI utiliza módulos criptográficos hardware y software desarrollados por terceros y disponibles comercialmente. TSACI únicamente utiliza módulos criptográficos con certificación FIPS 140-2 Nivel 3, CC EAL 4+ o similar.

Los dispositivos criptográficos están permanentemente ubicados en un entorno físico seguro, al que únicamente puede acceder personal con la debida autorización. También se dispone de medidas para garantizar la continuidad del servicio.

La integridad y correcto funcionamiento de los dispositivos criptográficos se verifica previamente a su instalación.

En caso de avería o destrucción del dispositivo criptográfico que contiene la clave privada de la TSU se procederá a la renovación de dicha clave según lo dispuesto en el apartado 3.2.1.

3.3 Sellado de tiempo

3.3.1 Acceso al servicio

Los usuarios pueden solicitar los sellos de tiempo de la forma prevista en los protocolos TSP Time-Stamp Protocol (RFC 3161) y OASIS Timestamp Profile.

La dirección de acceso al servicio es http://tsu.coloriuris.net.

3.3.2 Disponibilidad del servicio

El servicio de sellado de tiempo de TSACI está disponible de forma ininterrumpida todos los días del año.

3.3.3 Sello de tiempo

TSACI adopta las medidas técnicas precisas para garantizar que sus sellos de tiempo son seguros e incluyen la fecha y hora correctas.

Los sellos de tiempo generados son conformes con los estándares referenciados en el apartado 5.2.2 de este documento, y su formato y contenido es el especificado en el RFC 3161 Time-stamp Protocol (TSP). Todos los sellos incluyen, como mínimo el siguiente contenido:

  • El identificador de la Política de Sellado de Tiempo aplicable, según lo especificado en el apartado 2.2
  • El resumen (hash) del conjunto de datos cuya existencia en ese momento se acredita mediante el sello de tiempo.
  • Un número de serie único que identifica el sello de tiempo.
  • El tiempo, expresado en el formato Tiempo Universal Coordinado (Hora Zulu).
  • La firma electrónica del sello, generada por la TSU.

Como anexo al sello se entrega a los usuarios el certificado electrónico que respalda la firma incorporada al sello. Este certificado tiene la estructura descrita en el apartado 3.4 del presente documento e identifica plenamente a la TSU y a TSACI.

TSACI audita la exactitud de la fuente de tiempo y no emitirá sellos de tiempo si su precisión se encuentra fuera del margen establecido.

3.3.4 Sincronización del reloj con UTC

TSACI proporciona el instante de tiempo con la precisión declarada en el apartado 2.3 de la Política de Sellado de Tiempo, tomando como referencia una fuente segura de tiempo de entre las siguientes:

  • Fuente de tiempo stratum 1 a través del protocolo NTP. Esta fuente de tiempo provee precisión al nivel del microsegundo utilizando sincronización con el sistema de satélites Navstar.
  • Real Instituto y Observatorio de la Armada (ROA), el cual según lo dispuesto en el R.D. 1308/1992, de 23 de octubre, es el encargado del mantenimiento y difusión oficial de la escala “Tiempo Universal Coordinado” (UTC-ROA), que constituye la base de la hora legal en todo el territorio nacional. Esta señal se recibe mediante el protocolo NTP a través de Internet.
  • Del reloj atómico de Braunschweig, Alemania, (Physikalisch Technische Bundesanstalt), que representa la hora oficial dentro del Eurosistema. Es codificada y transmitida vía radio.

El reloj utilizado por la TSU se recalibra periódicamente y de forma automática respecto a la fuente de tiempo segura. También es capaz de detectar las desviaciones respecto a la precisión establecida y activar una nueva calibración si esta es necesaria.

El reloj y la TSU están permanentemente ubicadas en un entorno físico seguro y están protegidas frente a accesos no autorizados, tanto físicos como remotos.

Los eventos relativos a la sincronización y modificación de la hora del reloj respecto a la fuente de tiempo segura se registran al objeto de detectar las desviaciones producidas, sea de forma accidental o intencionada.

3.4 El certificado de firma de la TSU

3.4.1 Formato

Los certificados utilizados por TSACI se ajustan al estándar X.509 versión 3.

3.4.2 Emisor del certificado

Los certificados electrónicos utilizados en TSACI son emitidos ColorIURIS.

El nombre distinguido que consta en el certificado del Prestador de Servicios de Certificación con el que este firma el certificado de la TSU de TSACI es el siguiente:

  • C=ES
  • emailAddress=ca1@coloriuris.net
  • L=C/ Alfonso I 23 Zaragoza
  • OU=Consulte http://www.coloriuris.net
  • OU=Jerarquía de Certificación Coloriuris
  • O=Coloriuris, S.L. CIF B99091696
  • CN=AC Coloriuris CA1

3.4.3 Contenido

El nombre distinguido que consta en los certificados de la TSU de TSACI es el siguiente:

Certificado 1024bits

  • C=ES
  • L=C/ Alfonso I, 23 – Zaragoza
  • O=Coloriuris SL CIF B99091696
  • CN=Coloriuris Timestamp Unit 1024

Certificado 2048bits

  • C=ES
  • L=C/ Alfonso I, 23 – Zaragoza
  • O=Coloriuris SL CIF B99091696
  • CN=Coloriuris Timestamp Unit 2048

3.5 Gestión y operación de TSACI

3.5.1 Gestión de la seguridad

TSACI adopta las medidas de seguridad adecuadas de acuerdo con los estándares aplicables y con las buenas prácticas en la materia. TSACI dispone de un Plan de Seguridad en el que se detallan las medidas de seguridad físicas, lógicas y organizacionales. Con periodicidad anual, como mínimo, se realiza una auditoria sobre la seguridad de TSACI y del propio Plan de Seguridad.

3.5.2 Gestión de las contingencias

La gestión que realiza TSACI ante incidencias se recoge en el Plan de Contingencias, que forma parte de la documentación de seguridad de TSACI.

En caso de incidencias TSACI suspenderá la emisión de sellos de tiempo hasta que se hayan aplicado las acciones correctoras correspondientes y se haya solventado el incidente. En particular, se suspenderá la emisión de sellos en los siguientes casos:

  • Compromiso de la clave privada de la TSU: En este caso TSACI solicitará inmediatamente la revocación del certificado. La TSU no emitirá sellos de tiempo hasta que se haya generado una nueva clave privada.
  • Perdida de la calibración temporal del reloj de la TSU por encima de los márgenes de error establecidos.
  • En los supuestos anteriores, si la emisión de sellos no hubiera sido suspendida inmediatamente y se hubieran emitido sellos con posterioridad a la incidencia, o existiera la posibilidad fundada de haberse podido emitir, TSACI informará de los detalles del incidente en los repositorios definidos en el apartado 1.3.3 de este documento, aportando datos que permitan identificar los sellos de tiempo que han podido verse afectados.

3.5.3 Registro de información referente a la operación de los servicios de sellado de tiempo

TSACI mantiene registros de toda la información relevante referente a sus operaciones por un periodo de 15 años. Los registros se protegen para garantizar su integridad y confidencialidad.

Los registros están a disposición de quienes ostenten un interés legítimo para el acceso a los mismos y de las autoridades que los requieran de acuerdo con lo dispuesto en las leyes.

En particular se mantienen registros, que incluyen el momento en que se produjeron, sobre los siguientes eventos:

  • Peticiones de sellado de tiempo
  • Emisión de sellos de tiempo
  • Generación de claves y emisión de certificados sobre las mismas

El contenido y procedimientos para la generación y conservación de los mencionados registros se detalla en la documentación interna de gestión de TSACI.

3.6 Finalización de la actividad de TSACI

En el supuesto de finalización o cese de la actividad de TSACI, se notificará este hecho con una antelación mínima de 2 meses al momento del cese mediante la publicación en los repositorios descritos en el apartado 1.3.3 de este documento.

TSACI tomará las medidas necesarias para minimizar los posibles inconvenientes que el cese de actividad pueda provocar a los suscriptores y los terceros aceptantes, y mantendrá los registros necesarios para respaldar la validez de los sellos emitidos.

En el caso de que TSACI transfiera la actividad a otra entidad, publicará un documento informativo de los términos en los que se realiza la transferencia y de la identidad y características principales de la entidad a la que se transfiere el servicio de sellado de tiempo.

En el momento del cese de la actividad, TSACI destruirá la clave privada de la TSU y solicitará la revocación del certificado correspondiente a la misma.

4 Régimen jurídico

4.1 Suscriptores y terceros aceptantes

4.1.1 Aceptación de la política y prácticas

Todos los subscriptores del servicio de sellado de tiempo de TSACI, por el mero hecho de utilizarlo, así como los terceros aceptantes, asumen en su totalidad lo dispuesto en la versión de la políticas y prácticas de sellado de tiempo vigentes en el momento en el que se emitió el sello solicitado o aceptado, respectivamente.

4.1.2 Verificación de los sellos

Los suscriptores y terceros aceptantes deberán actuar con la debida diligencia para comprobar la autenticidad de los sellos de tiempo, verificando que han sido firmados correctamente y que la clave privada utilizada para su firma no estaba comprometida en el momento de la verificación.

Durante el periodo de validez del certificado de la TSU, el estado de la clave privada puede verificarse consultando la CRL o mediante consulta on-line por protocolo OCSP, en las direcciones indicadas por el prestador de servicios de certificación emisor del certificado de TSACI, descrito en el apartado 1.2.3.

Una vez que caduque el certificado de la TSU el tercero aceptante podrá confiar en el sello de tiempo si en el momento de la verificación se conoce que la clave privada de la TSU no ha sido comprometida en ningún momento y que tanto la función hash utilizada en el sello de tiempo como el algoritmo criptográfico y el tamaño de la clave utilizados para firmarlo electrónicamente se consideran todavía seguros.

4.2 Obligaciones

4.2.1 Obligaciones de TSACI

Coloriuris asume la responsabilidad de que los servicios de sellado de tiempo prestados por TSACI se realizan de acuerdo con lo dispuesto en esta Política y Prácticas, y del cumplimiento, tanto de los requisitos y controles establecidos en las mismas, como de las disposiciones legales que sean aplicables.

Respecto a sus suscriptores TSACI asume las siguientes obligaciones:

  1. Emitir sus sellos de acuerdo con lo dispuesto en la presente Declaración de Política y Prácticas de Sellado de Tiempo.
  2. Garantizar que los sellos de tiempo emitidos no contienen ningún dato erróneo o falso.
  3. Utilizar tecnologías y equipos adecuados, y contar con personal con formación específica e informado de sus obligaciones.
  4. Mantener sincronizado el reloj de la TSU con la precisión declarada con respecto al tiempo UTC.
  5. Proporcionar acceso ininterrumpido a los servicios de sellado de tiempo excepto en caso de interrupciones programadas, pérdidas de la sincronización temporal o incidencias graves.
  6. Llevar a cabo las revisiones y auditorias precisas para asegurar el cumplimiento de la legislación aplicable y de las políticas y procedimientos internos.
  7. Publicar en su web información sobre las incidencias que hayan podido afectar a sellos emitidos de forma que sea posible conocer cuáles han sido los sellos afectados.

4.2.2 Obligaciones de los suscriptores

Es obligación de los suscriptores de los servicios de sellado de tiempo de TSACI:

  1. Utilizar medios adecuados para la solicitud y obtención de sellos de tiempo.
  2. Verificar la validez del sello de tiempo, según lo dispuesto en el apartado 4.1.2.
  3. Conocer y aceptar las condiciones y limitaciones de utilización de los sellos de tiempo establecidas Política de Sellado de Tiempo.
  4. Limitar y adecuar el uso de los sellos de tiempo a lo permitido por esta Política de Sellado de Tiempo.
  5. No monitorizar los servicios de sellado de tiempo, ni manipularlos o alterar su correcto funcionamiento, ni realizar actos de ingeniería inversa sobre su implementación.

4.2.3 Obligaciones de los terceros aceptantes

Es obligación de las terceras partes que acepten y confíen en los sellos de tiempo emitidos por TSACI:

  1. Verificar la validez de los sellos de tiempo según lo dispuesto en el apartado 4.1.2.
  2. No confiar en los sellos de tiempo para usos distintos de los permitidos en esta Política de Sellado de Tiempo.
  3. Tener conocimiento de las garantías y aceptar las responsabilidades aplicables en la aceptación y uso de los sellos de tiempo.
  4. Notificar cualquier hecho o situación anómala relativa al servicio de sellado, y/o a los sellos de tiempo emitidos, y que pueda ser considerado como causa de revocación del mismo.

4.3 Responsabilidad de TSACI

TSACI sólo responderá en el caso de incumplimiento de las obligaciones contenidas en la legislación aplicable y en las presente Declaración de Política y Prácticas de Sellado de Tiempo.

TSACI no asumirá responsabilidad alguna respecto a la utilización de los sellos de tiempo emitidos para cualquier uso no autorizado en la presente Política.

TSACI no se responsabiliza del contenido de los documentos y datos a los que se apliquen sus sellos de tiempo, y no responde de posibles daños y perjuicios en transacciones en las que se hayan utilizado.

TSACI no representa en forma alguna a los suscriptores ni a las terceras partes aceptantes de los sellos de tiempo que emite.

TSACI no da ninguna garantía ni asume responsabilidad alguna, ante titulares de certificados o terceros aceptantes, fuera de lo establecido en las presentes Política y Prácticas de Sellado de Tiempo.

4.4 Protección de datos de carácter personal

TSACI aplica lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su normativa de desarrollo, garantizando las normas y procedimientos internos de Coloriuris la aplicación del nivel de seguridad exigido por esta normativa.

Cuando para la prestación del servicio de sellado de tiempo sea necesario recabar datos personales del suscriptor, se verificará que éste es informado y presta su consentimiento al tratamiento de sus datos personales, a la finalidad de este, y a su inclusión en el fichero declarado al efecto por Coloriuris.

Los datos de carácter personal solo no serán comunicados a terceros, salvo en el supuesto de que una Ley lo autorice expresamente.

4.5 Confidencialidad de la información

4.5.1 Información confidencial

Se considerará confidencial toda información que no sea declarada expresamente por TSACI como pública. En particular tiene carácter confidencial la siguiente información:

  • Las claves privadas de la TSU de TSACI.
  • La información sobre las operaciones que lleve a cabo TSACI, incluyendo los sellos de tiempo emitidos.
  • La información sobre seguridad, control y procedimientos de auditoría.
  • La información de carácter personal de los suscriptores.

Se considera información pública y por lo tanto accesible por terceros la contenida en las presentes Políticas y Prácticas de Sellado de Tiempo, y aquella otra que así sea declarada por TSACI.

4.5.2 Deber de secreto

Todas las personas que tengan relación laboral o profesional con TSACI están obligadas a guardar secreto de toda la información confidencial a la que tuvieran acceso en virtud de dicha relación. Esta obligación persistirá una vez finalidad la vinculación con TSACI.

4.6 Tarifas

TSACI publicará en el repositorio mencionado en el apartado 1.3.3 las tarifas que aplique a la emisión de sus sellos de tiempo.

TSACI no aplicará ninguna tarifa por el acceso a la información necesaria para verificar la validez de los sellos de tiempo emitidos, ni a esta Política y Prácticas de Sellado de Tiempo, ni a la información que, en virtud de lo dispuesto en la misma, TSACI deba hacer pública.

4.7 Reclamaciones y jurisdicción

4.7.1 Comunicación de las reclamaciones

Cuando un suscriptor o un tercero aceptante tenga una reclamación respecto a los servicios de sellado de tiempo de TSACI deberá comunicarla a TSACI, por cualquiera de los medios de contacto indicados en el apartado 1.3.4 de este documento. TSACI contestará a la reclamación en el plazo máximo de una semana.

4.7.2 Jurisdicción

Los suscriptores y terceros aceptantes de los sellos emitidos por TSACI aceptan la jurisdicción de los juzgados y tribunales de Zaragoza para cualquier controversia que pudiera suscitarse en relación con la prestación de servicios de sellado de tiempo por parte de TSACI, con expresa renuncia de cualquier otro fuero que pudiera corresponderles.

5 Anexos

5.1 Definiciones y acrónimos

5.1.1 Acrónimos

  • AC: Autoridad de Certificación
  • CEN-CWA: Committee Européen de Normalisation- CEN Workshop Agreement
  • CRL: Certificate Revocation List (Lista de Certificados Revocados)
  • CN: Common Name (Nombre Común). Atributo del Nombre Distintivo (DN) de un objeto dentro de la estructura de directorio X.500
  • EAL: Evaluation Assurance Level
  • ETSI: European Telecommunications Standard Institute
  • FIPS: Federal Information Processing Standard (Estándar USA de procesado de información)
  • HSM: Hardware Security Module. Módulo de seguridad criptográfico empleado para almacenar claves y realizar operaciones criptográficas de modo seguro.
  • IETF: Internet Engineering Task Force (Organismo de estandarización de Internet)
  • OASIS: Organization for the Advancement of Structured Information Standard
  • OCSP: Online Certificate Status Protocol. Este protocolo permite comprobar en línea la vigencia de un certificado electrónico.
  • OID: Object identifier (Identificador de objeto único)
  • PKI: Public Key Infrastructure (Infraestructura de Clave Pública)
  • PSC: Prestador de Servicios de Certificación
  • RFC: Request For Comments (Estándar emitido por la IETF)
  • TSA: Time-stamping Authority (Autoridad de Sellado de Tiempo)
  • TSACI: TSA de Coloriuris
  • TST: Time-stamping Token (Sello de Tiempo)
  • TSU: Time-stamping Unit (Unidad de Sellado de Tiempo)
  • UTC: Coordinated Universal Time (Tiempo Universal Coordinado)
  • XAdES: XML Advanced Electronic Signatures

5.1.2 Definiciones

  • Autoridad de sellado de tiempo (Time-Stamp Authority ó TSA): autoridad de confianza que emite los sellos de tiempo.
  • Certificado electrónico: un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
  • Clave pública y clave privada: la criptografía asimétrica emplea un par de claves en la que lo que se cifra con una de ellas sólo se puede descifrar con la otra y viceversa, a una de esas claves se la denomina pública y se la incluye en el certificado electrónico, mientras que a la otra se la denomina privada y únicamente es conocida por el titular del certificado.
  • Clave de sesión: clave que se genera de forma específica para una comunicación o sesión, terminando su utilidad una vez finalizada ésta.
  • Declaración de prácticas de sellado de tiempo: declaración de las prácticas que la Autoridad de Sellado de Tiempo emplea para la emisión de sellos de tiempo.
  • Política de sellado de tiempo: conjunto de reglas que establecen la aplicabilidad del sello de tiempo y sus características de emisión.
  • Prestador de servicios de certificación: persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.
  • Sello de tiempo: estructura de datos que ligan unos datos determinados a un instante de tiempo particular, proporcionando evidencia de su existencia con anterioridad a ese instante.
  • Suscriptor: persona o entidad que suscribe o tiene suscrito un acuerdo de utilización de los servicios de sellado de tiempo proporcionados por TSACI, y que acepta sus términos y condiciones.
  • Tercero aceptante: persona o entidad que decide confiar en los servicios de sellado de tiempo de TSACI, y en particular que es receptora, acepta y confía en un sello de tiempo emitido por TSACI.
  • Tiempo universal coordinado (UTC): escala de tiempo, basada en el segundo, definida por el Comité de Radio de la Unión Internacional de Telecomunicaciones (ITU-T) TF.460-5.
  • Unidad de sellado de tiempo (Time-Stamp Unit ó TSU): conjunto de hardware y software que se gestiona como una unidad y que tiene una única clave privada de firma activa en cada momento.

5.2 Referencias

5.2.1 Normativa

La normativa básica aplicable es la siguiente:

  • Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica.
  • Ley 59/2003, de 19 de diciembre, de firma electrónica.
  • Ley Orgánica 15/1999, de 13 de diciembre, de protección de los datos de carácter personal.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico.

5.2.2 Estándares

El contenido de los siguientes documentos es relevante para el desarrollo y/o aplicación de las presentes Políticas y Prácticas de Sellado de tiempo:

  • ETSI TS 101 456, Policy Requirements for Certification Authorities Issuing Qualified Certificates.
  • ETSI TS 101 733, Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES)
  • ETSI TS 101 861, Time-stamping Profile.
  • ETSI TS 101 903, XML Advanced Electronic Signatures (XAdES)
  • ETSI TS 102 023, Electronic Signatures and Infrastructures (ESI); Policy Requirements for Time-stamping Authorities.
  • ETSI TS 102 042, Policy Requirements for certification authorities issuing public key certificates.
  • ETSI TS 102 176.1, Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash Functions and Asymmetric Algorithms.
  • RFC 3161, Internet X.509 Public Key Infrastructure Time-stamp Protocol (TSP).
  • RFC 3628, Policy Requirements for Time-Stamping Authorities (TSAs)
  • ISO/IEC 18014-1, Time-stamping services — Part 1: Framework