Orden de 25 de noviembre de 2004 por la que se establecen las normas específicas sobre el uso de la firma electrónica en las relaciones por medios electrónicos, informáticos y telemáticos con la Consellería de Economía y Hacienda y sus organismos y entidades adscritas.

El desarrollo de la sociedad de la información y la difusión de los efectos positivos que de ella se derivan exige la generalización de la confianza de la ciudadanía en las comunicaciones telemáticas. No obstante, los datos más recientes señalan que todavía existe desconfianza por parte de los intervinientes en las transacciones telemáticas y, en general, en las comunicaciones que las nuevas tecnologías permiten a la hora de transmitir información, constituyendo esta falta de confianza un freno para el desarrollo de la sociedad de la información, en particular, la Administración y el comercio electrónicos.

Como respuesta a esta necesidad de conferir seguridad a las comunicaciones por internet surge, entre otros mecanismos, la firma electrónica. La firma electrónica constituye un instrumento capaz de permitir una comprobación de la procedencia y de la integridad de los mensajes intercambiados a través de redes de telecomunicaciones, ofreciendo las bases para evitar el repudio, en origen de los documentos electrónicos subscritos con ella.

Los sujetos que hacen posible el empleo de la firma electrónica son los denominados prestadores de servicios de certificación. Para ello expiden certificados electrónicos, que son documentos electrónicos que relacionan las herramientas de firma electrónica en poder de cada usuario con su identidad personal, dándolo así a conocer en el ámbito telemático como firmante.

Por otra parte, el artículo 45.1 de la Ley 30/1992, de régimen jurídico de las administraciones públicas y del procedimiento administrativo común, establece que las administraciones públicas impulsarán el empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos, para el desarrollo de su actividad y el ejercicio de sus competencias, con las limitaciones que para el empleo de estos medios establecen la Constitución y las leyes. Los ciudadanos podrán relacionarse con las administraciones públicas para ejercer sus derechos a través de técnicas y medios electrónicos, informáticos o telemáticos, con respecto de las garantías y requisitos previstos en cada procedimiento.

Al objeto de facilitar a los ciudadanos la utilización de las herramientas informáticas, se han ido dictando en los últimos años diversas normas que posibilitaron la presentación de declaraciones y solicitudes a través de internet, estableciendo los requisitos jurídicos y técnicos precisos. En la actualidad, la Ley estatal 59/2003, de 19 de diciembre, de normas reguladoras de firma electrónica constituye la norma fundamental en la materia, dictada al amparo de las competencias exclusivas que atribuye al Estado el artículo 149.1.8, 18, 21 e 29 de la Constitución.

Para eliminar el carácter limitativo con respecto a otros prestadores de servicios de certificación, y, en el mismo sentido, para unificar el procedimiento que deben seguir las relaciones por medios electrónicos entre los ciudadanos y la Consellería de Economía y Hacienda y sus organismos y entidades adscritos, es necesario posibilitar que la firma de las declaraciones y otros documentos que se puedan tramitar por vía telemática ante la Consellería de Economía e Facenda y sus organismos y entidades adscritos, así como la realización de otros trámites administrativos ante la misma, se basen en certificados electrónicos expedidos no sólo por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM) o entidad con la que se establezca un convenio específico, sino por cualquier otro prestador de servicios de certificación, siempre que se cumplan unas condiciones mínimas imprescindibles para que se puedan mantener las debidas garantías en los procedimientos.

De acuerdo con lo anterior, haciendo uso de las facultades que me confiere el artículo 34 de la Ley 1/1983, de 22 de febrero, reguladora de la Xunta y de su presidente, teniendo en cuenta lo establecido en la disposición adicional quinta de la Ley 2/1998, de 8 de abril,



DISPONGO:



Artículo 1.-Utilización de firma electrónica en las relaciones de los ciudadanos con la Consellería de Economía y Hacienda y sus organismos y entidades adscritas.

1. La Consellería de Economía y Hacienda y sus organismos y entidades adscritas admitirán, en los términos establecidos en el ordenamento jurídico, sistemas de firma electrónica adecuados para garantizar en sus relaciones con los ciudadanos por medios electrónicos, informáticos y telemáticos la autenticidad y, en su caso, la integridad de los documentos electrónicos.

Asimismo, estos sistemas podrán emplearse para identificar a los interesados en las actuaciones que tengan lugar por dichos medios.

2. En particular, se admitirán los sistemas de firma digital o numérica, basados en criptografía asimétrica de clave pública, o cualquier otra firma electrónica avanzada, cuando resulte necesario garantizar la autenticidad e integridad del documento electrónico.

3. La admisión por la Consellería de Economía y Hacienda y sus organismos y entidades adscritas, en sus relaciones por medios electrónicos, informáticos y telemáticos, de cualquier sistema de firma electrónica requerirá su compatibilidad con los medios técnicos de que aquellos dispongan y, cuando se trate de procedimientos tributarios, la previa aprobación de los programas y aplicaciones que vayan a utilizarse y la difusión pública de sus características.

Artículo 2.-Condiciones que deben de cumplir los sistemas de firma digital o numérica para ser admitidos en las relaciones de los ciudadanos con la Consellería de Economía y Hacienda y sus organismos y entidades adscritas.

1. Además de lo dispuesto en el artículo anterior, para ser admitidos en las relaciones de la Consellería de Economía y Hacienda y sus organismos y entidades adscritas con los ciudadanos, los sistemas de firma digital o numérica deben cumplir las siguientes condiciones:

*Permitir la generación de firmas electrónicas avanzadas, tal y como se definen en la legislación sobre firma electrónica. Los datos de creación y los de verificación de firma no podrán ser de longitud inferior a la siguiente:

-Longitud mínima de clave pública del certificado de usuario: 512 bits.

-Longitud mínima de clave del certificado de la CA: 1.024 bits.

*Emplear certificados electrónicos para vincular los datos de verificación de firma al signatario, confirmando su identidad, que contengan la información descrita en el artículo 3 de esta orden y sean expedidos por prestadores de servicios de certificación que cumplan los requerimientos del artículo cuarto.

*Generar las firmas electrónicas por un dispositivo seguro de creación de firma, tal y como se define en la legislación sobre firma electrónica.

2. Asimismo, se admitirán los sistemas de firma digital o numérica basada en certificados expedidos por organismos, entidades y corporaciones públicas estatales que, de acuerdo con la ley, se constituyan en autoridades de certificación. En estos supuestos se estará a lo dispuesto en la normativa específica que regule los distintos servicios de certificación, así como, en su caso, a lo dispuesto al efecto por la Consellería de Economía y Hacienda. Supletoriamente se les aplicará lo dispuesto en el artículo 5 de esta orden, en los términos que en el mismo se señalan.

3. En la dirección electrónica www.xuntaeco.org en su apartado de Oficina Virtual se mantendrá una relación pública de los tipos de certificados electrónicos admitidos, así como de los prestadores de servicios de certificación que los expiden.

Artículo 3.-Certificados electrónicos admitidos.

1. Los sistemas de firma digital o numérica deberán emplear certificados que puedan calificarse como reconocidos, de conformidad con la legislación de firma electrónica, siempre que incluyan en su contenido las menciones del número 2 siguiente.

2. Los certificados deberán tener, por lo menos, el siguiente contenido:

a) Código identificativo único del certificado.

b) Identificación del prestador de servicios de certificación que expide el certificado.

c) Firma electrónica avanzada del prestador de servicios de certificación que expide el certificado.

d) Identificación del signatario por su nombre y apellidos o razón social y número de identificación fiscal. Cuando el signatario sea una persona jurídica se deberá consignar en el certificado la identificación de la persona física solicitante y responsable del uso del certificado.

Las normas técnicas relativas al formato y la localización con que se deben consignar en el certificado los datos de identificación señalados en el párrafo anterior estarán publicadas en la web www.xuntaeco.org en su apartado de Oficina Virtual y serán las que se señalan en el anexo de esta orden.

e) Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del signatario.

f) El comienzo y el fin del período de validez del certificado.

3. De conformidad con el número 3 del artículo 1 de esta orden, los certificados tendrán que estar basados en algún estándar técnico admitido por la Consellería de Economía y Hacienda. Los estándares técnicos admitidos serán los siguientes:

a) Los certificados deberán de estar basados en la recomendación X.509 v3 del ITU-T.

b) Se debe permitir el uso de la clave para firma digital.

c) No se debe acompañar ningún certificado de atributos.

d) Es preciso comunicar a la Consellería de Economía y Hacienda o sus organismos y entidades públicas la parte pública del certificado de la CA asociada a la firma que incorporan los certificados emitidos por ella, en formato PKCS#7.

e) El número de serie del certificado al representarse en notación hexadecimal no debe superar los 32 caracteres hexadecimales.

Se admitirá, en todo caso, el formato basado en la versión 3 de la recomendación X.509 del ITU-T (International Telecommunications Union-Telecommunication), de fecha junio de 1997 o posterior.

Artículo 4.-Prestadores de servicios de certificación.

1. Sin perjuicio de lo señalado en el número 2 del artículo segundo, los certificados electrónicos deben ser expedidos por prestadores de servicios de certificación que cumplan las obligaciones exigidas por la lexislación de firma electrónica.

2. Además, estos prestadores de servicios de certificación deberán exigir en todo caso, para comprobar la identidad y cualquier cincunstancia personal de los solicitantes de los certificados, la personación del titular o, en caso de ser éste una persona jurídica, de su representante legal o persona con poder especial al efecto.

3. Los prestadores de servicios de certificación serán responsables ante la Consellería de Economía y Hacienda y sus organismos y entidades adscritas en los términos establecidos por la legislación sobre firma electrónica.

Artículo 5.-Admisión de certificados electrónicos.

1. Los prestadores de servicios de certificación podrán solicitar la admisión de certificados electrónicos que ellos expidan para las relaciones que, por medios electrónicos, informáticos y telemáticos, tengan lugar entre la Consellería de Economía y Hacienda y sus organismos y entidades adscritas y los ciudadanos.

2. La solicitud de admisión deberá contener una declaración responsable de cumplimiento de los requerimientos exigidos en la presente orden, acompañada de la documentación que acredite su cumplimiento.

En particular, el solicitante deberá acompañar junto con la solicitud las normas técnicas en las que se base el certificado que pretende homologar, así como los protocolos o normas y procedimientos de seguridad y de control referidos a la creación, almacenaje histórico, acceso y publicidad, renovación y revocación de certificados.

Adicionalmente, entre la documentación acompañada deberá constar un informe emitido por un tercero independiente con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad de prestación de servicios de certificación, y en el que se exprese opinión acerca del cumplimiento, por parte de la entidad solicitante, de las condiciones establecidas en esta orden para la admisión de sus certificados.

El informe de tercero independiente a que se refiere el párrafo anterior no será exigible en el caso de los organismos, entidades y corporaciones mencionados en el número 2 del artículo segundo de este documento.

3. Se delega en el director del Centro Informático para la Gestión Tributaria, Económico-Financier y Contable (CIXTEC) la facultad de acordar la admisión de los certificados electrónicos y su inclusión en la lista prevista en el número 3 del artículo segundo, una vez verificado el cumplimiento de los requerimientos establecidos en esta orden, notificándose dicho acuerdo al prestador de servicios de certificación que lo ha solicitado. En la resolución se describirán las condiciones en que la admisión se entiende concedida.

4. Para efectuar la mencionada verificación, podrá recabarse la colaboración de agentes debidamente autorizados o con los que así se conviniese, con el objeto de obtener cuanta información complementaria entienda necesaria para comprobar la exactitud de lo declarado por el solicitante, y efectuar las comprobaciones adicionales que crea conveniente.

5. El director del CIXTEC resolverá a cerca de la solicitud de admisión en un plazo de cuatro meses desde la fecha de dicha solicitud. Si, por cualquier motivo, la verificación no finalizase en ese plazo, el director del CIXTEC, según la delegación prevista en el punto 3 de este mismo artículo, comunicará al solicitante que no es posible la admisión de los certificados de que se trate y el motivo. En la misma comunicación se informará que, cuando la verificación del cumplimiento de los requerimientos pueda tener lugar, los certificados podrán ser admitidos.

6. La admisión efectiva de los certificados estará supeditada al establecimiento de las conexiones telemáticas precisas entre la Consellería de Economía y Hacienda y sus organismos y entidades adscritas y el servicio de publicación de certificados revocados del prestador de servicios de certificación. La autoridad de certificación deberá implantar un servicio web disponible permanentemente, que permita a la consellería y sus organismos y entidades adscritas, la actualización incremental telemática de la lista de certificados revocados por la autoridad de certificación.

7. Podrá solicitar la admisión a la que se refiere este apartado cualquier prestador de servicios establecido en España o en cualquier otro estado miembro de la Unión Europea.

Artículo 6.-Comprobaciones ulteriores.

La Consellería de Economía y Hacienda y sus organismos y entidades adscritas podrán verificar en cualquier momento, por sí o por medio de agentes autorizados, que la expedición de los certificados o cualquier otro aspecto de los sistemas de firma electrónica admitidos se está realizando conforme a las condiciones establecidas en la presente orden.

Artículo 7.-Modificación en las condiciones de prestación del servicio.

1. Los prestadores de los servicios de certificación vendrán obligados a comunicar a la Consellería de Economía y Hacienda y a sus organismos y entidades adscritas las modificaciones que tengan lugar en las condiciones de prestación del servicio. La comunicación se efectuará con una antelación de, por lo menos, un mes respecto de la fecha prevista para el comienzo de la aplicación de dichas modificacións.

2. Para que las modificaciones produzcan efectos en las relaciones tributarias a que se refiere esta orden habrán de ser admitidas por la Consellería de Economía y Hacienda, según el mismo procedimiento y plazos que se señalan en el punto quinto para la admisión de los certificados. Una vez emitido por la Consellería de Economía y Hacienda el acuerdo de admisión de las modificaciones, dará publicidad de éstas en su página de internet www.xuntaeco.org.

Artículo 8.-Cese de la actividad.

1. Los prestadores de los servicios de certificación vendrán obligados a comunicar a la Consellería de Economía y Hacienda y a sus organismos y entidades adscritas, con un mes de antelación, el cese de sus actividades. La Consellería de Economía y Hacienda y sus organismos y entidades adscritas darán publicidad de dicho cese en su página de internet. A partir de la fecha de esta publicación, dejarán de ser admitidos, a los efectos de esta orden, los certificados que fuesen emitidos hasta ese momento por la entidad prestadora del servicio.

No obstante, continuarán siendo admitidos los certificados de la entidad que cesase cuando, de acuerdo con lo establecido en el artículo 21 de la Ley 59/2003, de 19 de diciembre, por la que se establecen las normas reguladoras de la firma electrónica, los certificados expedidos fuesen asumidos por otro prestador de servicios cuyos certificados fuesen admitidos por la Consellería de Economía y Hacienda y sus organismos y entidades adscritas a los efectos de esta orden.

2. De acuerdo con la delegación establecida en el artículo 5, apartado 3 de esta orden, cuando un prestador de servicios cesase en su actividad sin comunicarlo a la Consellería de Economía y Hacienda y a sus organismos y entidades adscritas, el director del CIXTEC dictará, de oficio, y tan pronto como tenga conocimiento fidedigno de dicho cese, acuerdo de revocación de la admisión de los certificados de la entidad. De este acuerdo dará publicidad en su página de internet, con los mismos efectos sobre los certificados que se señalan en el número 1 anterior.

Artículo 9.-Suspensión y revocación.

1. Cuando la Consellería de Economía y Hacienda o sus organismos y entidades adscritas adviertan que un determinado sistema de firma electrónica admitido a los efectos de esta orden puede haber dejado de cumplir los requerimientos técnicos o jurídicos exigidos en la misma, podrá acordar la suspensión temporal, por un período máximo de seis meses, de la validez de los certificados correspondientes a efectos tributarios. Este acuerdo de suspensión deberá ser notificado al prestador de servicios. La Consellería de Economía e Facenda dará publicidad de ese acuerdo de suspensión en su página de internet.

2. De considerarse que las circunstancias concurrentes son irreparables, o una vez transcurrido el período de seis meses de suspensión señalado en el número 1 anterior, se dictará, de ser el caso, y previo trámite de audiencia de la entidad interesada, acuerdo de revocación de la admisión de los certificados de la entidad prestadora del servicio. Dicho acuerdo será notificado a la entidad, a la vez que se dará publicidad del mismo en la página de internet de la Consellería de Economía y Hacienda.

Disposición adicional

Certificados expedidos por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda.

La prestación de servicios de certificación de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, en lo que se refire a la emisión de certificados con validez ante la Consellería de Economía y Hacienda o sus organismos y entidades adscritas, se regirá por lo que convengan dichas entidades.

Los certificados de clase 2 CA emitidos por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda con anterioridad a la publicación de la presente orden en el Diario Oficial de Galicia continuarán siendo plenamente válidos y eficaces ante la Consellería de Economía y Hacienda o sus organismos y entidades adscritas.

Disposición final

Entrada en vigor.

La presente orden entrará en vigor el mismo día de su publicación en el Diario Oficial de Galicia.

Santiago de Compostela, 25 de noviembre de 2004.

José Antonio Orza Fernández

Conselleiro de Economía y Hacienda



ANEXO

Normas técnicas relativas al formato y a la localización con que se deben consignar en el certificado los datos de identificación



Alternativa 1:

Los datos de identificación deben estar localizados en el Common Name del Subject del certificado, con la siguiente estructura:

*Caso de personas físicas:

Etiqueta constante nombre
Espacio en blanco
Apellidos y nombre del titular del certificado en mayúsculas
Espacio en blanco
Guión
Espacio en blanco
Etiqueta constante NIF
Espacio en blanco
Número de identificación fiscal 9 caracteres alfanuméricos


-Ejemplo: NOMBRE APELLIDO 1 APELLIDO 2 JUAN - NIF 99999999R



*Caso de personas jurídicas:

Etiqueta constante entidad
Espacio en blanco
Razón social titular del certificado en mayúsculas
Espacio en blanco
Guión
Espacio en blanco
Etiqueta constante CIF
Espacio en blanco
Número de identificación fiscal 9 caracteres alfanuméricos
Espacio en blanco
Guión
Espacio en blanco
Etiqueta constante nombre
Espacio en blanco
Apellidos y nombre del responsable en mayúsculas
Espacio en blanco
Guión
Espacio en blanco
Etiqueta constante NIF
Espacio en blanco
Número de identificación fiscal 9 caracteres alfanuméricos


-Ejemplo: ENTIDAD CENTRO INFORMÁTICO PARA LA GESTIÓN TRIBUTARIA ECONÓMICO-FINANCIERA Y CONTABLE - CIF A28000001 NOMBRE APELLIDO 1 APELLIDO 2 JUAN - NIF 99999999R



Alternativa 2:

Los datos del campo Subject del certificado deberán tener la siguiente estructura:

.
Personas físicas
Personas jurídicas
Country
É
É
CommonName
Identidad del titular del certificado
Razón social
Surname
Apellidos (como constan en el DNI)
Apellidos del responsable (como aparecen en el DNI)
GivenName
Nombre propio (como aparece en el DNI)
Nombre propio del responsable (como aparece en el DNI)
SerialNumber
NIF del titular
NIF del titular del certificado (persona jurídica)
1.3.6.1.4.1.18838.1.1  
NIF del responsable
Fecha: 
Viernes, 10 Diciembre, 2004