Art. Sexto
8 / 9En vigor desde 8 mar 2022
1. Para garantizar el no repudio de la firma por parte del firmante, un sistema de firma previsto en esta Resolución deberá acreditar la vinculación de la expresión de la voluntad y los datos firmados con la misma persona. Para ello, se volverá a solicitar la autenticación del firmante, mediante el servicio AutenticA, en el momento de proceder a la firma.
Asimismo, la garantía de no repudio exige que el sistema de firma asegure una adecuada trazabilidad en el caso de que sea necesario auditar una operación de firma concreta, para lo cual conservará, por cada firma y, por tanto, por cada proceso de autenticación, la siguiente información:
a) Fecha y hora de la autenticación.
b) Nombre y apellidos del firmante.
c) DNI/NIF/NIE del firmante.
d) Sistema de identificación sustancial o alto empleado.
e) Resultado exitoso de la autenticación.
f) Petición al proveedor externo de servicios de identificación o, en su caso, de validación y respuesta devuelta y firmada por éste.
g) Fecha y hora de la firma.
h) Resumen criptográfico de los datos firmados, realizado con un algoritmo de hash que cumpla las especificaciones del esquema nacional de seguridad.
i) Referencia al justificante de firma, en su caso, mediante el CSV asociado a dicho justificante.
La información a que se refieren los párrafos anteriores será sellada con un certificado de sello electrónico, conforme al artículo 19 del Reglamento de actuación y funcionamiento del sector público por medios electrónicos. Adicionalmente, se añadirá un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y será almacenada, como evidencia de la verificación de la identidad previa al acto de la firma, vinculada a los datos firmados.
En el caso de que los datos de identificación obtenidos en la autenticación inmediatamente anterior a la firma no coincidan con los datos de identificación obtenidos en autenticaciones previas, el sistema de firma no permitirá la realización de la misma, informando de esa eventualidad al sistema de información asociado al procedimiento o servicio electrónico que requiere dicha firma.
2. Con relación a la gestión de las evidencias de autenticación, a pesar de que el sistema de firma proporcionará a los sistemas de información asociados al procedimiento o servicio electrónico que requiere la firma la información relativa a la autenticación vinculada a dicha firma, en ocasiones puede ser necesario, por motivos de auditoría, recuperar las evidencias completas del proceso de autenticación.
En el caso de utilizar un sistema de identificación que requiera la consulta a un proveedor de servicios de identificación externo o a un proveedor de servicios de validación externo, las evidencias últimas no residen en el propio sistema de firma, sino en los sistemas de los proveedores de servicios de identificación o validación externos.
Con objeto de que los proveedores de esos servicios de identificación o validación puedan recuperar las evidencias necesarias para acreditar la realización de la identificación y autenticación previas ligadas a la realización de una firma en el sistema, se deberá facilitar a dichos proveedores la información de autenticación almacenada como evidencia de la verificación previa de la identidad en los sistemas de información asociados al procedimiento o servicio electrónico que requiere la firma, descrita en el apartado anterior.
A tal efecto, los proveedores de servicios de identificación o validación deberán salvaguardar dichas evidencias durante el plazo mínimo de cinco años. La solicitud de certificación de dichas evidencias se realizará conforme a la declaración de prácticas validación o declaración de política de certificación del proveedor.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/res/2022/02/23/(3)#sexto