Abans de verificar el certificat electrònic, o d’accedir
o utilitzar la informació de l’estat de certificats i la
resta d’informació continguda al Registre de CATCert, Vostè
(en endavant, “el verificador”) ha de llegir i acceptar aquestes
condicions d’ús.
Si el verificador comprova un certificat electrònic, accedeix
o utilitza la informació de l'estat de certificats i la resta
d'informació continguda al Registre de CATCert, s'entendrà
que accepta totes les clàusules d'aquestes condicions d'ús.
CLÀUSULES
PRIMERA.- Objecte
1. Aquestes condicions d’ús regulen la prestació per CATCert dels serveis d’informació sobre els certificats, l’estat dels certificats i altres informacions publicades al Registre, en relació amb els certificats descrits a la clàusula tercera d’aquestes condicions d’ús.
2. Aquestes condicions d'ús proporcionen garanties limitades
al servei ofert, exclou qualsevol altres garanties, i exclou tota responsabilitat
que no derivi del servei de certificació ofert al verificador.
SEGONA.- DPC i documentació d'operacions de CATCert
1. Els Serveis de Certificació de CATCert objecte de les presents condicions d'ús, es regulen tècnicament i operativament per la Declaració de Pràctiques de Certificació de CATCert (en endavant, la DPC) i les seves actualitzacions posteriors, així com per documentació complementària, publicades per donar compliment a l'article 19 de la Llei 59/2003, sobre signatura electrònica, a la següent adreça d'Internet: http://www.catcert.net/registre.
2. La DPC i la documentació d'operacions de CATCert, modificades periòdicament, s'incorporen a les presents condicions d'ús per referència. El verificador declara conèixer l'última versió de la DPC, els aspectes jurídics descrits a la qual es contenen en la seva totalitat en aquestes condicions d'ús.
3. El verificador es compromet a complir amb els requeriments tècnics, operatius i de seguretat descrits a la DPC i a la documentació d'operacions de CATCert.
4. En cas de discrepància, el significat dels termes continguts en les presents condicions d'ús prevaldrà sobre allò establert a la DPC.
TERCERA.- Descripció del certificat CPISR-1
1. Certificat d'entitat de signatura reconeguda de classe 1
Els Certificats Personals d'Identificació i Signatura Reconeguda
(en endavant, "CPISR") de Classe 1 són certificats
per a personal de l'Administració Usuària, no emesos al
públic, sinó en un àmbit corporatiu. Aquest personal
té la consideració de posseïdor de claus, i de la
corresponent targeta i programari complementari.
Els certificats de Classe 1 són certificats corporatius, caracteritzats
pel fet que el posseïdor de les claus té un vincle funcional
o jeràrquic amb les administracions públiques catalanes.
Els certificats personals es caracteritzen pel fet que el posseïdor
de la clau privada és una persona física, que actua en
el seu propi nom i representació (sent en aquest cas el subscriptor
o titular del certificat), o en representació i per compte d'una
persona jurídica (que serà el subscriptor o titular del
certificat).
Els CPISR-1 són certificats reconeguts, d'acord amb el que s'estableix
a l'article 7 i 11.1, amb el contingut prescrit per l'article 11.2 i
emesos complint les obligacions dels articles 12, 13, i 17 a 20 de la
Llei 59/2003, de 19 de desembre, de signatura electrònica.
Els CPISR-1 són certificats reconeguts que funcionen amb dispositiu
segur de creació de signatura electrònica, d'acord amb
l'article 24.3 de la Llei 59/2003, de 19 de desembre, i que donen compliment
a allò disposat per la normativa tècnica de l'Institut
Europeu de Normes de Telecomunicacions, identificada amb la referència
TS 101 456.
Per aquest motiu, els CPISR-1 garanteixen la identitat del subscriptor
i del posseïdor de la clau privada d'identificació i signatura,
i permeten la generació de la "signatura electrònica
reconeguda"; és a dir, la signatura electrònica avançada
que es basa en un certificat reconegut i que ha estat generada emprant
un dispositiu segur, per la qual cosa, d'acord amb el que estableix
l'article 3 de la Llei 59/2003, de 19 de desembre, s'equipara a la signatura
escrita per efecte legal, sense necessitat de complir cap altre requeriment
addicional.
Per altra banda, els CPISR-1 es poden utilitzar en aplicacions que no
requereixen la signatura electrònica equivalent a la signatura
escrita, sinó només la identificació del posseïdor
de claus, en nom de la Institució, com les aplicacions que s'indiquen
a continuació:
a) Autenticació en sistemes de control d’accés.
b) Signatura de correu electrònic segur.
c) Altres aplicacions de signatura digital.
La signatura electrònica generada en l'ús d'aquestes
aplicacions tindrà els efectes que en determini la normativa
reguladora de l'aplicació, que podrà declarar l'equivalència
amb la signatura escrita o només l'efecte d'identificació,
ja que, si més no, aquesta signatura haurà estat produïda
amb el dispositiu segur.
Els CPISR-1 s'identifiquen amb l'identificador de l'objecte (OID):
OID: 1.3.6.1.4.1.15096.1.3.1.81
2. Propietat Intel·lectual
El verificador reconeix que CATCert és el propietari de tots
els certificats emesos, així com de les especificacions, targetes
i marques, sense perjudici dels drets de tercers.
3. Durada del Certificat
Els certificats CPISR-1 tindran un període màxim de validesa
de quatre (4) anys a comptar des del dia de llur emissió, més
enllà del qual no podran ésser utilitzats.
La data d'expiració dels certificats figurarà indicada
dins els propis certificats.
QUARTA.- Obligacions del verificador
1. Decisió informada
CATCert informa al verificador, que es dóna per notificat, que
té accés a informació suficient per prendre una
decisió informada en el moment de verificar un certificat i confiar
en la informació continguda al certificat.
Addicionalment, el verificador reconeix que l'ús del Registre
i de les Llistes de Revocació de Certificats (en endavant, "les
LRCs" o "les "CRLs") de CATCert, es regeix per la
DPC de CATCert i es compromet a complir els requeriments tècnics,
operatius i de seguretat descrits a l'esmentada DPC de CATCert.
2. Requeriments de verificació de la signatura electrònica
Per confiar en un missatge o document, el verificador ha de validar
dues signatures:
a) En primer lloc, ha de verificar la signatura electrònica
del missatge o document. Aquesta comprovació és imprescindible
per determinar que va ésser generada pel posseïdor de claus,
utilitzant la clau privada corresponent a la clau pública continguda
al certificat CPISR-1, i per garantir que el missatge o document signat
no va ésser modificat des de la generació de la signatura
electrònica.
b) En segon lloc, ha de verificar la signatura electrònica del
certificat CPISR-1 del posseïdor de claus. Aquesta comprovació
és imprescindible per determinar que la clau pública continguda
al certificat correspon al posseïdor, i per tant, la seva identitat,
legitimació per signar i vinculació amb el subscriptor.
La comprovació serà executada normalment de forma automàtica pel programari del verificador i, en tot cas, d'acord amb la DPC, amb els següents requeriments:
a) Cal utilitzar el programari apropiat per a la verificació
d'una signatura digital amb els algorismes i longituds de claus autoritzats
al certificat i/o executar qualsevol altra operació criptogràfica,
i establir la cadena de certificats en què es basa la signatura
electrònica a verificar, ja què la signatura electrònica
es verifica utilitzant aquesta cadena de certificats.
b) Cal assegurar que la cadena de certificats identificada és
la més adequada per a la signatura electrònica que es
verifica, ja què una signatura electrònica pot basar-se
en més d'una cadena de certificats, i és decisió
del verificador assegurar-se d'utilitzar la cadena més adient
per verificar-la.
c) Cal comprovar l'estat de revocació dels certificats de la
cadena amb la informació subministrada al Registre de CATCert
(amb LRCs, per exemple) per determinar la validesa de tots els certificats
de la cadena de certificats, doncs només pot considerar-se correctament
verificada una signatura electrònica si tots i cadascun dels
certificats de la cadena són correctes i es troben vigents.
d) Cal assegurar que tots els certificats de la cadena autoritzen l'ús
de la clau privada pel subscriptor del certificat i el posseïdor
de la clau, degut a la possibilitat de què algun dels certificats
incloguin límits d'ús que impedeixin confiar en la signatura
electrònica que es verifica. Cada certificat de la cadena disposa
d'un indicador que fa referència a les condicions d'ús
aplicables, per a la seva revisió pels verificadors.
e) Cal verificar tècnicament la signatura de tots els certificats
de la cadena abans de confiar en el certificat utilitzat pel signatari.
f) Cal determinar la data i hora de generació de la signatura
electrònica, ja què la signatura electrònica només
pot considerar-se correctament verificada si va ésser creada
dins el període de vigència de la cadena de certificats
en què es basa.
g) Cal delimitar les dades que han estat signades digitalment, ja què
les mateixes s'utilitzaran a la verificació de la signatura.
h) Finalment, cal verificar tècnicament la pròpia signatura
amb el certificat del signatari avalat per la cadena de certificats.
3. Diligència exigible
El verificador ha d'actuar amb la màxima diligència abans
de confiar en els certificats i les signatures digitals. En concret,
el verificador s'obliga a utilitzar programari de verificació
de signatura electrònica amb la capacitat tècnica, operativa
i de seguretat suficient per executar el procés de verificació
de signatura correctament, i romandrà responsable exclusiu del
dany que pugui patir per la incorrecta elecció del dit programari.
La prescripció anterior no serà aplicable quan CATCert
hagi subministrat el programari de verificació al verificador.
El verificador pot confiar en un missatge o document signat si concorren
les següents condicions:
a) La signatura electrònica s'ha de poder verificar d'acord
amb els requeriments establerts a l'apartat 4.2.
b) El verificador ha d'haver utilitzat informació de revocació
actualitzada en el moment de verificació de la signatura.
c) El tipus i classe de certificat ha d'ésser apropiat per a
l'ús que se'n pretén fer.
d) El verificador ha de prendre en consideració altres limitacions
addicionals d'ús del certificat indicades de qualsevol manera
al certificat, incloent-hi aquelles no processades automàticament
pel programari de verificació, incorporades per referència
al certificat, i contingudes en aquestes condicions d'ús. En
especial, un certificat no constitueix una concessió de drets
i facultats per part de CATCert al subscriptor o al posseïdor de
claus, més enllà de la descripció del certificat
segons la clàusula 3.1 o una altra indicació expressa
de CATCert o del propi subscriptor.
e) El verificador ha d'establir el significat de la signatura i la intenció
del signatari, doncs l'acte de signar pot tenir implicacions diferents
segons l'aplicació de la signatura, com protegir una transmissió
o prestar el consentiment.
f) Finalment, la confiança ha d'ésser raonable d'acord
amb les circumstàncies. Si les circumstàncies requereixen
garanties addicionals, el verificador haurà d'obtenir aquestes
garanties per a què la confiança sigui raonable.
En qualsevol cas, la decisió final respecte a confiar o no en una signatura electrònica verificada és exclusivament del verificador.
4. Confiança en una signatura no verificada
Queda prohibit confiar, o, de qualsevol altra manera, fer ús
d'una signatura o certificat no verificats.
Si el verificador confia en una signatura electrònica no verificada,
assumirà tots els riscs derivats d'aquesta actuació.
5. Efecte de la verificació
En virtut de la correcta verificació d'una signatura i els certificats,
d'acord amb aquestes condicions d'ús, el verificador pot confiar
en la identificació i, en el seu cas, signatura del posseïdor
de claus, dins de les limitacions d'ús corresponents.
El verificador reconeix i accepta que, allà on es requereixi
que una transacció sigui realitzada per escrit, un missatge o
document que contingui una signatura digital verificable utilitzant
el certificat és tan vàlid i efectiu com si hagués
estat realitzat per escrit i signat en paper, d'acord amb la llei espanyola.
Així mateix, la signatura o la transacció digital serà
efectiva amb independència de la localització geogràfica
d'emissió de la mateixa o de la creació o ús de
la signatura digital, així com de la localització de CATCert,
del subscriptor o del posseïdor de claus.
6. Ús correcte i activitats prohibides
El verificador s'obliga a no utilitzar cap mena d'informació
d'estat dels certificats o de cap altre tipus que hagi estat subministrada
per CATCert, per realitzar cap transacció prohibida per la llei
aplicable a la citada transacció.
El verificador s'obliga a no inspeccionar, interferir o realitzar enginyeria
inversa a la implantació tècnica dels Serveis Públics
de Certificació de CATCert, sense previ consentiment escrit de
CATCert.
Addicionalment, el verificador s'obliga a no comprometre intencionadament
la seguretat dels Serveis Públics de Certificació de CATCert.
Els serveis de certificació digital prestats per CATCert no han
estat dissenyats ni permeten la utilització o revenda, com a
equips de control de situacions perilloses o per a usos que requereixin
actuacions a prova d'errors, com ara l'operació d'instal·lacions
nuclears, sistemes de navegació o comunicació aèria,
sistemes de control de tràfic aeri, o sistemes de control d'armament,
on una errada podria causar la mort, danys físics o danys mediambientals
greus.
CINQUENA.- Obligacions de CATCert
1. Relatives a la prestació del servei de verificació
de certificats
CATCert s'obliga a la prestació del servei en determinades condicions
tècniques i operatives, tal i com s'estableix a la DPC de CATCert,
incloent-hi un Registre de certificats, on es publica informació
relativa a l'estat dels certificats.
CATCert s'obliga a emetre informació d'estat, incloent-hi suspensió
i revocació, dels certificats emesos, d'acord amb la DPC, així
com a assumir les seves responsabilitats en front dels verificadors,
sempre dins dels límits d'ús establert pels certificats.
2. Garantia limitada de CATCert
CATCert garanteix al verificador les següents condicions del servei:
a) El certificat conté informació correcta i actual en
el moment de la seva emissió, degudament comprovada, d'acord
amb allò establert a la Llei 59/2003, de 19 de desembre.
b) El certificat compleix tots els requeriments relatius al contingut
i al format establerts a la DPC.
c) La clau privada de CATCert no ha estat compromesa, excepte notificació
en contra mitjançant el Registre.
SISENA.- Responsabilitat
1. Responsabilitat del verificador
El verificador respondrà per incompliment de les seves obligacions
contractuals o per negligència.
El verificador s'obliga a mantenir a CATCert indemne de qualsevol acte
o omissió del què resultin danys de tot tipus, incloent-hi:
a) L'incompliment de les obligacions pròpies del verificador.
b) La confiança en un certificat o signatura electrònica
que no sigui raonable.
c) L'incompliment de la obligació de comprovar l'estat d'un certificat
per determinar si ha expirat o ha estat suspès o revocat.
2. Responsabilitat de CATCert
CATCert respondrà per incompliment de les obligacions que, en
cada cas, imposa la Llei 59/2003, de 19 de desembre, sobre signatura
electrònica o per negligència, excepte en els casos següents:
a) CATCert no serà responsable pels danys causats per les informacions
contingudes en els certificats, sempre que les mateixes siguin correctes
i actuals en el moment de l'emissió del certificat.
b) CATCert no serà responsable de cap dany directe o indirecte,
especial, incidental, emergent, de qualssevol lucre cessant, pèrdua
de dades, danys punitius, previsibles o imprevisibles, derivats de l'ús,
enviament, llicència a tercers, funcionament o no funcionament
dels certificats en un sistema no proveït per CATCert, així
com de les signatures digitals o qualsevol altra transacció o
servei descrit a la DPC, quan siguin utilitzats fora del Servei Públic
de Certificació i els serveis de verificació de CATCert.
SETENA.- Protecció de dades personals
El verificador reconeix que determinades informacions relatives a certificats
digitals i signatures electròniques contenen dades de caràcter
personal, titularitat dels posseïdors de claus i, en el seu cas,
dels subscriptors de certificats.
En cas de què el verificador rebi de CATCert qualsevol tipus
d'informació personal en execució de les presents condicions
d'ús, es compromet a utilitzar-la amb la finalitat exclusiva
de verificar la identitat personal del signatari i les signatures electròniques
dels seus missatges o documents.
Així mateix, es compromet a protegir les dades personals d'acord
amb allò establert a la Llei Orgànica 15/1999, de 13 de
desembre, de protecció de dades de caràcter personal,
i en especial s'obliga a l'establiment de les adequades mesures de seguretat,
d'acord amb l'article 9 de la Llei Orgànica 15/1999.
El verificador serà responsable exclusiu de les incidències
derivades de la infracció d'aquestes obligacions de protecció
de dades personals, obligant-se a mantenir indemne a CATCert de tot
dany derivat d'aquestes incidències.
VUITENA.- Infraccions de drets de tercers
CATCert no es responsabilitza de què l'enviament a CATCert,
pel subscriptor o pel posseïdor de claus, per a la seva inclusió
al certificat, i la utilització d'un domini i/o altre tipus de
nom o denominació, i la resta d'informació de sol·licitud
dels certificats, infringeix els drets de cap persona en cap jurisdicció
amb respecte a les seves marques registrades, marques de servei, noms
comercials o qualsevol altre dret de propietat intel·lectual
o industrial, ni de què el subscriptor o el posseïdor de
claus pretengui utilitzar el domini i els nom distingits per a cap propòsit
il·legal, incloent-hi, sense limitació, la infracció
amb dol d'un contracte, o l'obtenció de possibles avantatges
comercials, la competència deslleial, la lesió del dret
a l'honor, i la confusió o engany d'una persona, tant física
com jurídica.
CATCert no es responsabilitza de la legalitat de la informació
que li hagi estat comunicada pel subscriptor o pel posseïdor de
claus, per a la seva inclusió als certificats emesos per CATCert,
en cap jurisdicció en la que aquesta es pugui utilitzar o visualitzar.
NOVENA.- Divisibilitat de les condicions d'ús
Les clàusules de les presentes condicions d'ús són
independents entre sí, motiu pel qual si qualsevol clàusula
és considerada invàlida o inaplicable, la resta de clàusules
de les presentes condicions d'ús seguiran essent aplicables,
excepte acord exprés en contrari de les parts.
DESENA.- Legislació aplicable i jurisdicció competent
Les presents condicions d'ús seran interpretades i executades
en els seus propis termes i, en tot allò no previst, les parts
es regiran per la Llei 59/2003, de 19 de desembre, per la legislació
administrativa aplicable i, subsidiàriament, per la legislació
civil i mercantil que regula el règim de les obligacions i els
contractes.
La jurisdicció competent és la que s'indica a la Llei
29/1998, de 13 de juliol, Reguladora de la Jurisdicció Contenciosa
Administrativa.
© 2003-2006 Agència Catalana de Certificació (CATCert). Reservats tots els drets.
