31.7.2010
|
ES
|
Diario Oficial de la Unión Europea
|
L 199/30
|
DECISIÓN DE LA COMISIÓN
de 28 de julio de 2010
por la que se modifica la Decisión 2009/767/CE en lo relativo al establecimiento, el mantenimiento y la publicación de listas de confianza de proveedores de servicios de certificación supervisados o acreditados por los Estados miembros
[notificada con el número C(2010) 5063]
(Texto pertinente a efectos del EEE)
(2010/425/UE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior (1), y, en particular, su artículo 8, apartado 3,
Considerando lo siguiente:
(1)
|
La utilización transfronteriza de las firmas electrónicas avanzadas basadas en un certificado reconocido, con o sin dispositivo seguro de creación de firmas, se ha visto facilitada mediante la Decisión 2009/767/CE de la Comisión, de 16 de octubre de 2009, por la que se establecen medidas que facilitan el uso de procedimientos por vía electrónica a través del uso de las «ventanillas únicas» con arreglo a la Directiva 2006/123/CE del Parlamento Europeo y el Consejo relativa a los servicios en el mercado interior (2) que exige a los Estados miembros que difundan la información necesaria para la validación de esas firmas electrónicas. En particular, los Estados miembros deben incluir en las denominadas «listas de confianza» información sobre los proveedores de servicios de certificación que expiden al público certificados reconocidos de conformidad con la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica (3) y supervisados y acreditados por ellos y sobre los servicios que ofrecen.
|
(2)
|
En colaboración con el Instituto Europeo de Normas de Telecomunicación (ETSI) se han organizado una serie de pruebas prácticas con objeto de que los Estados miembros puedan comprobar la conformidad de sus listas de confianza con las especificaciones establecidas en el anexo de la Decisión 2009/767/CE. Dichas pruebas han puesto de manifiesto la necesidad de introducir algunos cambios de tipo técnico en las especificaciones que figuran en el anexo de la Decisión 2009/767/CE a fin de garantizar el buen funcionamiento y la interoperabilidad de las listas.
|
(3)
|
Las pruebas han confirmado asimismo la necesidad de que los Estados miembros no solo publiquen versiones de sus listas de confianza legibles por personas, tal como exige la Decisión 2009/767/CE, sino también en formatos que puedan procesarse por máquina. En caso de que los Estados miembros cuenten con numerosos proveedores de servicios de certificación, el tratamiento manual de las versiones de las listas de confianza legibles por personas puede ser relativamente complejo y requerir mucho tiempo. La publicación de versiones procesables por máquina de dichas listas facilitará el empleo de las mismas, ya que permitirá su tratamiento informatizado y, de este modo, propiciará su utilización en el contexto de los servicios electrónicos públicos.
|
(4)
|
Con objeto de facilitar el acceso a las listas de confianza nacionales, resulta oportuno que los Estados miembros notifiquen a la Comisión información relacionada con la localización y protección de las mismas. Es preciso que la Comisión comunique esta información a los demás Estados miembros de forma segura.
|
(5)
|
Resulta oportuno tener en cuenta los resultados de las pruebas prácticas llevadas a cabo en relación con las listas de confianza de los Estados miembros para permitir el uso informatizado de dichas listas y facilitar el acceso a ellas.
|
(6)
|
Procede, por tanto, modificar la Decisión 2009/767/CE en consecuencia.
|
(7)
|
A fin de que los Estados miembros puedan introducir en sus listas de confianza los cambios técnicos oportunos resulta adecuado que la presente Decisión se aplique a partir del 1 de diciembre de 2010.
|
(8)
|
Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité de la Directiva de servicios.
|
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Modificaciones de la Decisión 2009/767/CE
La Decisión 2009/767/CE queda modificada como sigue:
1)
|
El artículo 2 queda modificado como sigue:
a)
|
el apartado 2 se sustituye por el texto siguiente:
«2. Los Estados miembros elaborarán y publicarán una versión de la lista de confianza legible por personas y otra versión procesable por máquina, de conformidad con las especificaciones que figuran en el anexo.»;
|
b)
|
se inserta el apartado 2 bis siguiente:
«2 bis. Los Estados miembros firmarán electrónicamente la versión procesable por máquina de sus respectivas listas de confianza y publicarán, como mínimo, una versión de las mismas legible por las personas a través de un canal seguro a fin de garantizar su autenticidad e integridad.»;
|
c)
|
el apartado 3 se sustituye por el texto siguiente:
«3. Los Estados miembros notificarán a la Comisión la siguiente información:
a)
|
el organismo o los organismos responsables del establecimiento, el mantenimiento y la publicación de las versiones de su lista de confianza legible por personas y procesable por máquina;
|
b)
|
los lugares donde se hallan publicadas las versiones de su lista de confianza legible por personas y procesable por máquina;
|
c)
|
el certificado de clave pública utilizado para establecer el canal seguro a través del cual se publica la versión de la lista de confianza legible por personas o, si la lista legible por personas ha sido firmada electrónicamente, el certificado de clave pública utilizado para firmarla;
|
d)
|
el certificado de clave pública utilizado para firmar electrónicamente la versión de la lista de confianza procesable por máquina;
|
e)
|
cualquier cambio introducido en la información indicada en las letras a) a d).»;
|
|
d)
|
se añade el apartado 4 siguiente:
«4. La Comisión pondrá a disposición de los Estados miembros, a través de un canal seguro, en un servidor web autenticado, la información mencionada en el apartado 3 que haya sido comunicada por los Estados miembros, tanto en una versión legible por las personas como en una versión procesable por máquina.».
|
|
2)
|
Se modifica el anexo con arreglo al anexo de la presente Decisión.
|
Artículo 2
Aplicación
La presente Decisión será aplicable a partir del 1 de diciembre de 2010.
Artículo 3
Destinatarios
Los destinatarios de la presente Decisión serán los Estados miembros.
Hecho en Bruselas, el 28 de julio de 2010.
Por la Comisión
Michel BARNIER
Miembro de la Comisión
(1) DO L 376 de 27.12.2006, p. 36.
(2) DO L 274 de 20.10.2009, p. 36.
(3) DO L 13 de 19.1.2000, p. 12.
ANEXO
El anexo de la Decisión 2009/767/CE queda modificado como sigue:
1)
|
El capítulo I queda modificado como sigue:
a)
|
en el segundo párrafo, la primera y segunda frases se sustituyen por el texto siguiente:
«Las presentes especificaciones se basan en las especificaciones y requisitos contenidos en la norma ETSI TS 102 231 v3.1.2. Cuando en las presentes especificaciones no se establezca ningún requisito específico, SE APLICARÁN íntegramente los requisitos de ETSI TS 102 231 v.3.1.2.»;
|
b)
|
se suprime el segundo párrafo de la sección «TSL tag (cláusula 5.2.1)»;
|
c)
|
el párrafo inmediatamente posterior al título de la sección «TSL sequence number (cláusula 5.3.2)» se sustituye por el texto siguiente:
«Este campo es OBLIGATORIO y ESPECIFICARÁ el número de secuencia del TSL. Este valor entero, que será “1” en la primera versión de la TSL, SE INCREMENTARÁ a cada versión posterior de la misma. NO SE REINICIARÁ a «1» cuando se incremente el valor del “TSL version identifier”.»;
|
d)
|
el primer párrafo siguiente al título de la sección «TSL type (cláusula 5.3.3)» se sustituye por el texto siguiente:
«Este campo es OBLIGATORIO y especifica el tipo de TSL. Su valor SE PONDRÁ a http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic (genérico).»;
|
e)
|
el tercer párrafo siguiente al título de la sección «TSL type (cláusula 5.3.3)» se sustituye por el texto siguiente:
«URI: (Generic) http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic»;
|
f)
|
la segunda frase del segundo párrafo siguiente al título de la sección «Scheme operator name (cláusula 5.3.4)» se sustituye por el texto siguiente:
«Compete a cada Estado miembro designar al operador del régimen de implementación TSL de la TL del Estado miembro.»;
|
g)
|
el cuarto párrafo siguiente al título de la sección «Scheme operator name (cláusula 5.3.4)» se sustituye por el texto siguiente:
«El operador del régimen designado (cláusula 5.3.4) será la entidad que firme la TSL.»;
|
h)
|
el cuarto guión siguiente al título de la sección «Scheme name (cláusula 5.3.6)» se sustituye por el texto siguiente:
«“EN_name_value”= Supervision/Accreditation Status List of certification services from Certification Service Providers, which are supervised/accredited by the referenced Member State for compliance with the relevant provisions laid down in Directive 1999/93/EC and its implementation in the referenced Member State’s laws.;»
|
i)
|
el primer párrafo siguiente al título de la sección «Service type identifier (cláusula 5.5.1)» se sustituye por el texto siguiente:
«Este campo es OBLIGATORIO y ESPECIFICARÁ el identificador del tipo de servicio con arreglo al tipo de las especificaciones de la presente TSL (es decir, “/eSigDir-1999-93-EC-TrustedList/TSLType/generic”)»;
|
j)
|
el quinto guión siguiente al título de la sección «Service current status (cláusula 5.5.4)» se sustituye por el texto siguiente:
«—
|
Acreditado (http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/Svcstatus/accredited),»;
|
|
k)
|
el noveno guión siguiente al título de la sección «Service current status (cláusula 5.5.4)» se sustituye por el texto siguiente:
«— Supervisión del servicio en proceso de suspensión: El servicio identificado en “Service digital identity” (cláusula 5.5.3) prestado por el CSP identificado en “TSP name” (cláusula 5.4.1) se encuentra actualmente en proceso de suspensión, pero sigue siendo supervisado hasta que se haya suspendido o suprimido la supervisión. En caso de que una persona jurídica distinta de la identificada en “TSP name” haya asumido la responsabilidad de garantizar este proceso de suspensión, SE FACILITARÁ la identificación de esta persona jurídica nueva o de reserva (CSP de reserva) en “Scheme service definition URI” (cláusula 5.5.6) y en la extensión “Taken over by” (cláusula L.3.2) de la entrada del servicio.;»
|
l)
|
el quinto párrafo siguiente al título de la sección «Service information extensions (cláusula 5.5.9)» se sustituye por el texto siguiente:
«En el contexto de una implementación XML, el contenido específico de esta información adicional debe codificarse utilizando los archivos xsd que figuran en el anexo C de la ETSI TS 102 231.»;
|
m)
|
la sección titulada «Service digital identity (cláusula 5.6.3)» se sustituye por el texto siguiente:
«Service digital identity (cláusula 5.6.3)
Este campo es OBLIGATORIO y ESPECIFICARÁ al menos una representación del identificador digital (por ejemplo, certificado X.509v3) utilizado en “TSP Service Information — Service digital identity” (cláusula 5.5.3) con el formato y el significado definidos en la ETSI TS 102 231, cláusula 5.5.3.
Nota: En relación con un determinado valor de certificado X.509v3 utilizado en la cláusula 5.5.3 “Service digital identity (Sdi)” de un servicio, debe haber en una lista de confianza una única entrada de servicio por valor “Sti:Sie/additionalServiceInformation”. Los datos correspondientes a “Sdi” (cláusula 5.6.3) utilizados en la “service approval history information” asociada a una entrada de servicio y los datos “Sdi” (cláusula 5.5.3) utilizados en la presente entrada de servicio DEBERÁN estar relacionados con el mismo valor de certificado X.509v3. Cuando se esté modificando el “Sdi” de un servicio que figure en la lista (es decir, se proceda a la renovación o recodificación de un certificado X.509v3, por ejemplo un CA/PKC o CA/QC) o se esté creando un nuevo “Sdi” en relación con ese servicio, incluso con valores idénticos para los “Sti”, “Sn”, y [“Sie”] asociados, el operador del régimen DEBERÁ crear una entrada de servicio distinta de la anterior.»;
|
n)
|
la sección titulada «Signed TSL» se sustituye por el siguiente texto:
«Signed TSL
La implementación TSL de la lista de confianza legible por personas establecida con arreglo a las presentes especificaciones, y, en particular, al capítulo IV, DEBERÍA ir firmada por el “Scheme operator name” (cláusula 5.3.4) a fin de garantizar su autenticidad e integridad (1). El formato de la firma DEBERÍA ser PAdES parte 3 (ETSI TS 102 778-3) (2), pero PODRÁ ser PAdES parte 2 (ETSI TS 102 778-2) (3) en el contexto del modelo de confianza específico establecido mediante la publicación de los certificados utilizados para firmar las listas de confianza.
La implementación TSL procesable por máquina de la lista de confianza establecida con arreglo a las presentes especificaciones ESTARÁ firmada por el “Scheme operator name” (cláusula 5.3.4) a fin de garantizar su autenticidad e integridad. El formato de la implementación TSL procesable por máquina de la lista de confianza, establecido con arreglo a las presentes especificaciones, SERÁ XML y SE ANTENDRÁ a las especificaciones establecidas en los anexos B y C de la ETSI TS 102 231.
El formato de la firma SERÁ XAdES BES o EPES tal como se definen en las especificaciones ETSI TS 101 903 para las implementaciones XML. Ese tipo de implementación de la firma electrónica CUMPLIRÁ los requisitos contemplados en el anexo B de la ETSI TS 102 231 (4). Los requisitos generales adicionales que deben reunirse en relación con la firma figuran en las secciones siguientes.
|
o)
|
el segundo párrafo siguiente al título de la sección «Scheme identification (cláusula 5.7.2)» se sustituye por el texto siguiente:
«En el contexto de las presentes especificaciones, la referencia asignada INCLUIRÁ el “TSL type” (cláusula 5.3.3), el “Scheme name” (cláusula 5.3.6) y el valor de la extensión SubjectKeyIdentifier del certificado usado por el operador del régimen para firmar electrónicamente la TSL.»;
|
p)
|
el segundo párrafo siguiente al título de la sección «additionalServiceInformation (cláusula 5.8.2)» se sustituye por el texto siguiente:
«La desreferenciación del URI DEBERÍA permitir disponer de información legible por personas (como mínimo en inglés y, potencialmente en uno o varios idiomas nacionales) que se considere suficiente y apropiada para que una determinada parte usuaria comprenda la extensión, y, en particular, que explique el significado de los URI dados, especificando los posibles valores de serviceInformation y el significado de cada uno de ellos.»;
|
q)
|
la sección titulada «Qualifications Extension (cláusula L.3.1)» se sustituye por el texto siguiente:
«Qualifications Extension (cláusula L.3.1)
Descripción: Este campo es OPCIONAL, pero ESTARÁ presente cuando su uso sea OBLIGATORIO, por ejemplo, para servicios CA raíz/QC o CA/QC, y cuando
la información facilitada en la “Service digital identity” no sea suficiente para identificar sin ambigüedad los certificados reconocidos expedidos por este servicio,
la información presente en los certificados reconocidos conexos no permita la identificación procesable por máquina de los hechos que determinan si el QC está o no respaldado por un SSCD.
Cuando se utilice, esta extensión del nivel de servicio solo DEBERÁ aplicarse en el ámbito definido en “Service information extension” (cláusula 5.5.9) y CUMPLIRÁ las especificaciones establecidas en el anexo L.3.1 de ETSI TS 102 231.»;
|
r)
|
tras la sección Qualifications Extension (cláusula L.3.1), se inserta la siguiente sección Extensión TakenOverBy (cláusula L 3.2):
«Extensión TakenOverBy (cláusula L.3.2)
Descripción: Esta extensión es OPCIONAL, pero ESTARÁ presente cuando un servicio que se encuentre previamente bajo la responsabilidad de un CSP sea asumido por otro TSP, y su finalidad es mostrar en quién recae la responsabilidad jurídica de un determinado servicio y permitir que el software de comprobación revele al usuario cierta información de tipo jurídico. La información facilitada en esta extensión DEBERÁ guardar coherencia con la utilización de la cláusula 5.5.6 y DEBERÁ cumplir las especificaciones previstas en el anexo L.3.2 de ETSI TS 102 231.».
|
|
2)
|
El capítulo II se sustituye por el texto siguiente:
«CAPÍTULO II
En la elaboración de sus listas de confianza, los Estados miembros utilizarán:
|
códigos de lengua en minúsculas y códigos de país en mayúsculas;
|
|
códigos de lengua y códigos de país de conformidad con el cuadro que figura a continuación.
|
En los casos en que figure un alfabeto latino (con su código de lengua pertinente) se incluirá una transliteración al alfabeto latino con los códigos de lengua correspondientes, especificados en el cuadro que aparece a continuación.
Denominación usual
(en lengua original)
|
Denom. Usual
(en inglés)
|
Código de país
|
Código de lengua
|
Notas
|
Transliteración al alfabeto latino
|
Belgique/België
|
Belgium
|
BE
|
nl, fr, de
|
|
|
България (5)
|
Bulgaria
|
BG
|
bg
|
|
bg-Latn
|
Česká republika
|
Czech Republic
|
CZ
|
cs
|
|
|
Danmark
|
Denmark
|
DK
|
da
|
|
|
Deutschland
|
Germany
|
DE
|
de
|
|
|
Eesti
|
Estonia
|
EE
|
et
|
|
|
Éire/Ireland
|
Ireland
|
IE
|
ga, en
|
|
|
Ελλάδα (5)
|
Greece
|
EL
|
el
|
Código de país recomendado por la UE
|
el-Latn
|
España
|
Spain
|
ES
|
es
|
También catalán (ca), Vasco (eu) y gallego (gl)
|
|
France
|
France
|
FR
|
fr
|
|
|
Italia
|
Italy
|
IT
|
it
|
|
|
Κύπρος/Kıbrıs (5)
|
Cyprus
|
CY
|
el, tr
|
|
el-Latn
|
Latvija
|
Latvia
|
LV
|
lv
|
|
|
Lietuva
|
Lithuania
|
LT
|
lt
|
|
|
Luxembourg
|
Luxembourg
|
LU
|
fr, de, lb
|
|
|
Magyarország
|
Hungary
|
HU
|
hu
|
|
|
Malta
|
Malta
|
MT
|
mt, en
|
|
|
Nederland
|
Netherlands
|
NL
|
nl
|
|
|
Österreich
|
Austria
|
AT
|
de
|
|
|
Polska
|
Poland
|
PL
|
pl
|
|
|
Portugal
|
Portugal
|
PT
|
pt
|
|
|
România
|
Romania
|
RO
|
ro
|
|
|
Slovenija
|
Slovenia
|
SI
|
sl
|
|
|
Slovensko
|
Slovakia
|
SK
|
sk
|
|
|
Suomi/Finland
|
Finland
|
FI
|
fi, sv
|
|
|
Sverige
|
Sweden
|
SE
|
sv
|
|
|
United Kingdom
|
United Kingdom
|
UK
|
en
|
Código de país recomendado por la UE
|
|
Ísland
|
Iceland
|
IS
|
is
|
|
|
Liechtenstein
|
Liechtenstein
|
LI
|
de
|
|
|
Norge/Noreg
|
Norway
|
NO
|
no, nb, nn
|
|
|
|
3)
|
Se suprime el capítulo III.
|
4)
|
En el capítulo IV, se inserta el siguiente guión tras la frase introductoria «El contenido de la forma HR basada en PDF/A de la implementación TSL de la Lista de Confianza DEBERÍA cumplir los siguientes requisitos:
—
|
el título de la versión de las listas de confianza legible por personas deberá configurarse como una concatenación de los siguientes elementos:
—
|
con carácter facultativo, una imagen de la bandera nacional del Estado miembro,
|
—
|
la denominación usual del país en la lengua o lenguas de origen (tal como figura en la primera columna del cuadro del capítulo II),
|
—
|
la denominación usual del país en inglés (tal como figura en la segunda columna del cuadro del capítulo II) dentro del paréntesis,
|
—
|
“):” como cierre del paréntesis y separación,
|
—
|
con carácter facultativo, el logotipo del operador del régimen del Estado miembro.».
|
|
|
(1) En caso de que la implementación TSL legible por personas no vaya firmada, su autenticidad e integridad DEBERÁ garantizarse a través de un canal de comunicación apropiado dotado de un nivel de seguridad equivalente. A tal fin se recomienda la utilización de la TLS (IETF RFC 5246: “The Transport Layer Security (TLS) Protocol Version 1.2”), y el Estado miembro DEBERÁ poner a disposición de los usuarios de la TSL, fuera de banda, la huella del certificado del canal de la TSL.
(2) ETSI TS 102 778-3 — Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced-PAdES-BES and PAdES-EPES Profiles.
(3) ETSI TS 102 778-2 — Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic-Profile based on ISO 32000-1.
(4) Es obligatorio proteger el certificado de firma del operador del régimen aplicando la firma de una de las formas que se especifican en ETSI TS 101 903 y el ds:keyInfo debe contener la cadena de certificado pertinente, en su caso.»;
(5) Transliteración en caracteres latinos: България = Bulgaria; Ελλάδα = Elláda; Κύπρος = Kýpros.».