Abans de verificar el certificat electrònic, o d'accedir o utilitzar
la informació de estat de certificats i la resta d'informació
continguda al Registre de certificació de CATCert, Vostè
(en endavant, "el verificador") ha de llegir i acceptar aquestes
condicions d'ús.
Si el verificador comprova un certificat electrònic, accedeix
o utilitza la informació de l'estat de certificats i la resta
d'informació continguda al Registre de certificació de
CATCert, s'entendrà que accepta totes les clàusules d'aquestes
condicions d'ús.
CLÀUSULES
PRIMERA.- Objecte
1. Aquestes condicions d'ús regulen la prestació dels serveis d'informació sobre els certificats emesos per l'Entitat de Certificació d'Universitats i Recerca (en endavant, EC-UR), l'estat dels certificats i altres informacions publicades al Registre de certificació, en relació amb els certificats descrits a la clàusula tercera d'aquestes condicions d'ús.
2. Aquestes condicions d'ús proporcionen garanties limitades
al servei ofert, exclou qualsevol altres garanties, i exclou tota responsabilitat
que no derivi del servei de certificació ofert al verificador.
SEGONA.- Declaració de Pràctiques de Certificació i documentació d'operacions
1. Els serveis de certificació objecte de les presents condicions d'ús, es regulen tècnicament i operativament per la Declaració de Pràctiques de Certificació de l'EC-UR (en endavant, la DPC) i les seves actualitzacions posteriors, així com per documentació complementària, publicades per donar compliment a l'article 19 de la Llei 59/2003, sobre signatura electrònica, a les següents adreces d'Internet:http://www.catcert.net/registre i http://www.cesca.es/scd.
2. La DPC i la documentació d'operacions, modificades periòdicament, s'incorporen a les presents condicions d'ús per referència. El verificador declara conèixer l'última versió de la DPC, els aspectes jurídics descrits a la qual es contenen en la seva totalitat en aquestes condicions d'ús.
3. El verificador es compromet a complir amb els requeriments tècnics, operatius i de seguretat descrits a la DPC i a la documentació d'operacions.
4. En cas de discrepància, el significat dels termes continguts en les presents condicions d'ús prevaldrà sobre allò establert a la DPC.
TERCERA.- Descripció del certificat CPX-2 d'Estudiant
1. Certificat personal de xifrat de classe 2 d'Estudiant
Els certificats personals de xifrat de classe 2 d'Estudiant (en endavant,
CPX-2 d'Estudiant) no són certificats reconeguts i es poden utilitzar
exclusivament per rebre missatges de dades confidencials, en qualsevol
format, protegits mitjançant el xifrat del text del missatge
per part de l'emissor del missatge utilitzant:
a) La clau pública del posseïdor de claus indicada al CPX-2
d'Estudiant.
b) Una clau de xifrat de sessió, simètrica, xifrada amb
la clau pública del posseïdor de claus indicada al CPX-2
d'Estudiant.
El posseïdor de la clau ha d'utilitzar la seva clau privada per
desxifrar el missatge.
Els CPX-2 d'Estudiant garanteixen la identitat del subscriptor però
no permeten la generació de signatures electròniques de
missatges.
La clau privada del CPX-2 d'Estudiant ha d'estar arxivada perquè
pugui ser recuperada posteriorment, en les condicions establertes en
aquest annex.
Els certificats CPX-2 d'Estudiant inclouen una manifestació relativa
a la condició del posseïdor de claus, com Estudiant adscrit
a un centre del subscriptor del certificat, que han estat comprovats
abans d'emetre el certificat, i ès correcta i són correctes
i vigents mentre el certificat també es trobi vigent.
Els CPX-2 d'Estudiant emesos per l'EC-UR s'identifiquen amb l'identificador
de l'objecte (OID): 1.3.6.1.4.1.15096.1.3.1.42.2
2. Entitat de Certificació d'Universitats i Recerca
Els CPX-2 d'Estudiant són emesos per l'Entitat de Certificació
d'Universitats i Recerca, operada per CATCert sota la direcció
del CESCA, en execució del Conveni signat el 23 d'octubre de
2003 entre el Departament d'Universitats, Recerca i Societat de la Informació,
la Fundació Catalana per a la Recerca, la Universitat de Barcelona,
la Universitat Autònoma de Barcelona, la Universitat Politècnica
de Catalunya, la Universitat Pompeu Fabra, la Universitat de Girona,
la Universitat de Lleida, la Universitat Rovira i Virgili, la Universitat
Oberta de Catalunya, l'Associació Catalana d'Entitats de Recerca,
Serveis Públics Electrònics (CAT365), l'Agència
Catalana de Certificació i el Consorci Centre de Supercomputació
de Catalunya.
El CESCA pot actuar també com Entitat de Registre Col·laboradora,
oferint suport als subscriptors i els usuaris de signatura electrònica.
3. Propietat intel·lectual
El verificador reconeix que l'EC-UR és el propietari de tots
els certificats emesos, així com de les especificacions, targetes
i marques, sense perjudici dels drets de tercers.
4. Durada del Certificat
Els certificats CPX-2 d'Estudiant tindran un període màxim
de validesa de quatre (4) anys a comptar des del dia de llur emissió,
més enllà del qual no podran ésser utilitzats.
L'esmentada validesa, en tot cas, queda condicionada a que es mantingui
la condició d'Estudiant del posseïdor de claus.
La data d'expiració dels certificats figurarà indicada
dins els propis certificats.
QUARTA.- Obligacions del verificador
1. Decisió informada
L'EC-UR informa al verificador, que es dóna per notificat, que
té accés a informació suficient per prendre una
decisió informada en el moment de verificar un certificat i confiar
en la informació continguda al certificat.
Addicionalment, el verificador reconeix que l'ús del Registre
de certificació i de les Llistes de Revocació de Certificats
(en endavant, "les LRCs") de l'EC-UR, es regeix per la DPC
i es compromet a complir els requeriments tècnics, operatius
i de seguretat descrits a l'esmentada DPC.
2. Requeriments de verificació del certificat
Per procedir a xifrar un missatge o document per a una persona, cal
utilitzar la clau pública del destinatari. Aquest clau pública
es pot obtenir a partir del seu certificat digital CPX-2 d'Estudiant.
Per tant, és necessari verificar aquest certificat abans de procedir
al xifrat.
La comprovació de la signatura electrònica del certificat
és imprescindible per determinar que la clau pública continguda
al certificat correspon al subscriptor i que la corresponent clau privada
permet desxifrar el missatge.
Aquesta comprovació serà executada normalment de forma
automàtica pel programari del verificador i, en tot cas, d'acord
amb la DPC, amb els següents requeriments:
a) Cal utilitzar el programari apropiat per a la verificació
d'una signatura digital del certificat CPX-2 d'Estudiant amb els algorismes
i longituds de claus autoritzats al certificat i/o executar qualsevol
altra operació criptogràfica, i establir la cadena de
certificats en què es basa la signatura electrònica a
verificar, ja què la signatura electrònica es verifica
utilitzant aquesta cadena de certificats.
b) Cal assegurar que la cadena de certificats identificada és
la més adequada per a la signatura electrònica que es
verifica, ja què una signatura electrònica pot basar-se
en més d'una cadena de certificats, i és decisió
del verificador assegurar-se d'utilitzar la cadena més adient
per verificar-la.
c) Cal comprovar l'estat de revocació dels certificats de la
cadena amb la informació subministrada al Registre de certificació
(amb LRCs, per exemple) per determinar la validesa de tots els certificats
de la cadena de certificats, doncs només pot considerar-se correctament
verificada una signatura electrònica si tots i cadascun dels
certificats de la cadena són correctes i es troben vigents.
d) Cal assegurar que tots els certificats de la cadena autoritzen l'ús
de la clau privada pel subscriptor del certificat i el posseïdor
de la clau, degut a la possibilitat de què algun dels certificats
incloguin límits d'ús que impedeixin confiar en la signatura
electrònica que es verifica. Cada certificat de la cadena disposa
d'un indicador que fa referència a les condicions d'ús
aplicables, per a la seva revisió pels verificadors.
e) Cal verificar tècnicament la signatura de tots els certificats
de la cadena abans de confiar en el certificat utilitzat pel signatari.
3. Diligència exigible
El verificador ha d'actuar amb la màxima diligència abans
de confiar en els certificats. En concret, el verificador s'obliga a
utilitzar programari de verificació de signatura electrònica
amb la capacitat tècnica, operativa i de seguretat suficient
per executar el procés de verificació de signatura correctament,
i romandrà responsable exclusiu del dany que pugui patir per
la incorrecta elecció del dit programari.
La prescripció anterior no serà aplicable quan l'EC-UR
hagi subministrat el programari de verificació al verificador.
El verificador pot confiar en un missatge o document signat si concorren
les següents condicions:
a) La signatura electrònica s'ha de poder verificar d'acord
amb els requeriments establerts a l'apartat 4.2.
b) El verificador ha d'haver utilitzat informació de revocació
actualitzada en el moment de verificació de la signatura..
c) El tipus i classe de certificat ha d'ésser apropiat per a
l'ús que se'n pretén fer.
d) El verificador ha de prendre en consideració altres limitacions
addicionals d'ús del certificat indicades de qualsevol manera
al certificat, incloent-hi aquelles no processades automàticament
pel programari de verificació, incorporades per referència
al certificat, i contingudes en aquestes condicions d'ús. En
especial, un certificat no constitueix una concessió de drets
i facultats per part de l'EC-UR al subscriptor o al posseïdor de
claus, més enllà de la descripció del certificat
segons la clàusula 3.1 o una altra indicació expressa
de l'EC-UR o del propi subscriptor.
e) Finalment, la confiança ha d'ésser raonable d'acord
amb les circumstàncies. Si les circumstàncies requereixen
garanties addicionals, el verificador haurà d'obtenir aquestes
garanties per a què la confiança sigui raonable.
En qualsevol cas, la decisió final respecte a confiar o no en una signatura electrònica verificada és exclusivament del verificador.
4. Confiança en una signatura no verificada
Queda prohibit xifrar missatges per a un destinatari sense haver verificat
amb èxit el seu certificat.
Si el verificador confia en una signatura electrònica no verificada,
assumirà tots els riscs derivats d'aquesta actuació.
5. Efecte de la verificació
En virtut de la correcta verificació del certificats CPX de classe
2, d'acord amb aquestes condicions d'ús, el verificador pot confiar
en la identificació i, en el seu cas, clau pública del
posseïdor de claus, dins de les limitacions d'ús corresponents,
per generar missatges xifrats.
6. Ús correcte i activitats prohibides
El verificador s'obliga a no utilitzar cap mena d'informació
d'estat dels certificats o de cap altre tipus que hagi estat subministrada
per l'EC-UR, per realitzar cap transacció prohibida per la llei
aplicable a la citada transacció.
El verificador s'obliga a no inspeccionar, interferir o realitzar enginyeria
inversa a la implantació tècnica dels serveis públics
de certificació, sense previ consentiment escrit de l'EC-UR.
Addicionalment, el verificador s'obliga a no comprometre intencionadament
la seguretat dels serveis públics de certificació.
Els serveis de certificació digital prestats per l'EC-UR no han
estat dissenyats ni permeten la utilització o revenda, com a
equips de control de situacions perilloses o per a usos que requereixin
actuacions a prova d'errors, com ara l'operació d'instal·lacions
nuclears, sistemes de navegació o comunicació aèria,
sistemes de control de tràfic aeri, o sistemes de control d'armament,
on una errada podria causar la mort, danys físics o danys mediambientals
greus.
CINQUENA.- Obligacions de l'EC-UR
1. Relatives a la prestació del servei de verificació
de certificats
L'EC-UR s'obliga a la prestació del servei en determinades condicions
tècniques i operatives, tal i com s'estableix a la DPC, incloent-hi
un Registre de certificats, on es publica informació relativa
a l'estat dels certificats.
L'EC-UR s'obliga a emetre informació d'estat, incloent-hi suspensió
i revocació, dels certificats emesos, d'acord amb la DPC, així
com a assumir les seves responsabilitats en front dels verificadors,
sempre dins dels límits d'ús establert pels certificats.
2. Garantia limitada
L'EC-UR garanteix al verificador les següents condicions del servei:
a) El certificat conté informació correcta i actual en
el moment de la seva emissió, degudament comprovada, d'acord
amb allò establert a la Llei 59/2003, de 19 de desembre.
b) El certificat compleix tots els requeriments relatius al contingut
i al format establerts a la DPC.
c) La clau privada de l'EC-UR no ha estat compromesa, excepte notificació
en contra mitjançant el Registre.
SISENA.- Responsabilitat
1. Responsabilitat del verificador
El verificador respondrà per incompliment de les seves obligacions
contractuals o per negligència. El verificador s'obliga a mantenir
a l'EC-UR indemnes de qualsevol acte o omissió del què
resultin danys de tot tipus, incloent-hi:
a) L'incompliment de les obligacions pròpies del verificador.
b) La confiança en un certificat o signatura electrònica
que no sigui raonable.
c) L'incompliment de la obligació de comprovar l'estat d'un certificat
per determinar si ha expirat o ha estat suspès o revocat.
2. Responsabilitat de l'EC-UR
L'EC-UR respondrà davant de qualsevol tercera persona per l'incompliment
de les obligacions legalment imposades per la Llei 59/2003, de 19 de
desembre, o per negligència, però no serà responsable
de cap dany derivat de l'ús incorrecte o del no funcionament
dels certificats en sistemes no subministrats per l'EC-UR, ni de les
signatures digitals o qualsevol transacció basada en certificats
digitals que ultrapassi els límits autoritzats pels certificats.
SETENA.- Protecció de dades personals
El verificador reconeix que determinades informacions relatives a certificats
digitals i signatures electròniques contenen dades de caràcter
personal, titularitat dels posseïdors de claus i, en el seu cas,
dels subscriptors de certificats.
En cas de què el verificador rebi de l'EC-UR qualsevol tipus
d'informació personal en execució de les presents condicions
d'ús, es compromet a utilitzar-la amb la finalitat exclusiva
de verificar la identitat personal del signatari i les signatures electròniques
dels seus missatges o documents.
Així mateix, es compromet a protegir les dades personals d'acord
amb allò establert a la Llei Orgànica 15/1999, de 13 de
desembre, de protecció de dades de caràcter personal,
i en especial s'obliga a l'establiment de les adequades mesures de seguretat,
d'acord amb l'article 9 de la Llei Orgànica 15/1999.
El verificador serà responsable exclusiu de les incidències
derivades de la infracció d'aquestes obligacions de protecció
de dades personals, obligant-se a mantenir indemne a l'EC-UR de tot
dany derivat d'aquestes incidències.
VUITENA.- Infraccions de drets de tercers
L'EC-UR no es responsabilitza de què l'enviament, pel subscriptor
o pel posseïdor de claus, per a la seva inclusió al certificat,
i la utilització d'un domini i/o altre tipus de nom o denominació,
i la resta d'informació de sol·licitud dels certificats,
infringeix els drets de cap persona en cap jurisdicció amb respecte
a les seves marques registrades, marques de servei, noms comercials
o qualsevol altre dret de propietat intel·lectual o industrial,
ni de què el subscriptor o el posseïdor de claus pretengui
utilitzar el domini i els nom distingits per a cap propòsit il·legal,
incloent-hi, sense limitació, la infracció amb dol d'un
contracte, o l'obtenció de possibles avantatges comercials, la
competència deslleial, la lesió del dret a l'honor, i
la confusió o engany d'una persona, tant física com jurídica.
L'EC-UR no es responsabilitza de la legalitat de la informació
que li hagi estat comunicada pel subscriptor o pel posseïdor de
claus, per a la seva inclusió als certificats emesos per l'EC-UR,
en cap jurisdicció en la que aquesta es pugui utilitzar o visualitzar.
NOVENA.- Divisibilitat de les condicions d'ús
Les clàusules de les presentes condicions d'ús són independents entre sí, motiu pel qual si qualsevol clàusula és considerada invàlida o inaplicable, la resta de clàusules de les presentes condicions d'ús seguiran essent aplicables, excepte acord exprés en contrari de les parts.
DESENA.- Legislació aplicable i jurisdicció competent
Les presents condicions d'ús seran interpretades i executades
en els seus propis termes i, en tot allò no previst, les parts
es regiran per la Llei 59/2003, de 19 de desembre, per la legislació
administrativa aplicable i, subsidiàriament, per la legislació
civil i mercantil que regula el règim de les obligacions i els
contractes.
La jurisdicció competent és la que s'indica a la Llei
29/1998, de 13 de juliol, Reguladora de la Jurisdicció Contenciosa
Administrativa.
© 2003-2007 Agència Catalana de Certificació (CATCert). Reservats tots els drets.
