Accés al contingut Accés al menú de la secció
DOGC  > Resultats i fitxa
 
Afegeix-lo a la meva selecció i subscriu-m'hi
Afegeix-lo a la meva selecció
Dades del document
  • Tipus de document Ordre

  • Data del document 20/07/2015

  • Número del document GRI/0233/2015

  • Número de control 15205027

  • Organisme emissor Departament de Governació i Relacions Institucionals

    CVE CVE-DOGC-A-15205027-2015

Dades del DOGC
  • Número 6922

  • Data 28/07/2015

  • Secció DISPOSICIONS

Descriptors relacionats
Autenticitat i integritat
Lupa
Accedeix a la cerca

ORDRE GRI/233/2015, de 20 de juliol, per la qual s'aprova el Protocol d'identificació i signatura electrònica.


Per Acord del Govern de 3 de febrer de 2015, el Govern de la Generalitat de Catalunya va aprovar impulsar els projectes d’implantació del validador de credencials d’identitats i els sistemes d’identificació i autenticació alternatius als certificats digitals, amb l’objectiu de crear solucions tecnològiques que facilitin l’accés dels ciutadans i ciutadanes als serveis electrònics, i proporcionin eines que permetin la ciutadania la identificació i la signatura electrònica adaptades a l’ús massiu de les noves tecnologies.

El Govern de la Generalitat, mitjançant el Decret 56/2009, de 7 d’abril, per a l’impuls i el desenvolupament dels mitjans electrònics a l’Administració i, posteriorment, la Llei 29/2010, del 3 d’agost, de l’ús dels mitjans electrònics al sector públic de Catalunya, va regular l’ús del mitjans electrònics en les actuacions i les relacions entre el sector públic i la ciutadania i va establir la concreció del model català d’administració electrònica.

Un dels elements necessaris per a l'ordenació, l'impuls i el desenvolupament dels mitjans electrònics és la planificació estratègica dels serveis i tràmits electrònics, la qual cosa inclou l’aprovació d’un protocol que reguli les formes d’identificació i autenticació, tant dels ciutadans com dels òrgans administratius en l’exercici de les seves competències, així com l’habilitació de diferents instruments d’acreditació, que s’han de concretar per a cada tràmit o servei amb criteris de proporcionalitat.

L’article 29 del Decret 56/2009 determina que la implantació de la signatura electrònica en les actuacions administratives s’ha de fer d'acord amb el protocol d'identificació i signatura electrònica. Aquest protocol s’hi defineix com el document que recull els aspectes tècnics i organitzatius necessaris per a la implantació dels sistemes de signatura electrònica per a cada tràmit o servei, en funció del grau de seguretat que requereixi el tràmit.

Aquest Protocol s'aprova per ordre del conseller o la consellera competent en matèria d'administració electrònica.

En data 25 de maig de 2015, la Comissió Interdepartamental per a l’Impuls dels Mitjans Electrònics a l’Administració, com a òrgan corporatiu competent en matèria de recursos de mitjans electrònics comuns, ha emès informe sobre la proposta de protocol d’identificació i signatura electrònica.

El Protocol s’ha adaptat al nou règim establert pel Reglament (UE) núm. 910/2014, de 23 de juliol, del Parlament Europeu i del Consell relatiu a la identificació electrònica i als serveis de confiança per a les transaccions electròniques en el mercat interior i per la qual es deroga la Directiva 1999/93/CE.

Per tot això,

 

Ordeno

 

Article únic

Aprovar el Protocol d’identificació i signatura electrònica que s’adjunta en l’annex, el qual determina els aspectes tècnics i organitzatius necessaris per a la implantació dels sistemes de signatura electrònica per a cada tràmit o servei.

 

 

Disposició final

 

Primera

S’autoritza la Secretaria d’Administració i Funció Pública perquè realitzi les actuacions que siguin necessàries per a l’execució i el desenvolupament del Protocol d’identificació i signatura electrònica.

 

Segona

Aquesta Ordre entra en vigor l’endemà de la publicació en el Diari Oficial de la Generalitat de Catalunya (DOGC) i es publicarà a la seu electrònica corporativa de l'Administració de la Generalitat de Catalunya.

 

 

Disposició transitòria

Els departaments i organismes competents en l’aplicació d’aquest Protocol han d’adaptar els mecanismes d’identificació i de signatura electrònica dels seus serveis electrònics als criteris que s’hi estableixen en el termini d’un any des de la publicació d’aquesta Ordre.

Els procediments relatius a serveis electrònics que s’hagin iniciat mantindran els mecanismes d’identificació i de signatura electrònica que s’hagin establert en les normes reguladores de cada tràmit, fins a la resolució final.

 

 

Barcelona, 20 de juliol de 2015

 

 

Meritxell Borràs i Solé

Consellera de Governació i Relacions Institucionals

 

 

Annex

 

1. Introducció

2. Objecte del document

3. Àmbit d'aplicació

4. Òrgans competents

4.1 Òrgans competents en l’elaboració, l’execució i el seguiment del Protocol

4.2 Òrgans competents en l’impuls de serveis o tràmits electrònics

5. Identitat electrònica i signatura electrònica

6. Mecanismes d'identificació i signatura electrònica

6.1 Mecanismes d'identificació

6.1.1 Per a persones físiques

6.1.2 Per a persones jurídiques

6.1.3 Per als empleats públics

6.1.4 Per als ens de l'Administració de la Generalitat de Catalunya

6.1.5 Altres mecanismes

6.2 Mecanismes de signatura i segell electrònic

6.2.1 Per a persones físiques

6.2.2 Per a persones jurídiques

6.2.3 Per als empleats públics

6.2.4 Per als ens de l'Administració de la Generalitat de Catalunya

6.2.5 Segells de temps

6.2.6 Altres mecanismes de signatura

7. Admissió de mecanismes d'identificació i signatura electrònica

7.1 Admissió de mecanismes d'identificació electrònica

7.1.1 Per als tràmits classificats amb categoria alta

7.1.2 Per als tràmits classificats amb categoria mitjana

7.1.3 Per als tràmits classificats amb categoria baixa

7.2 Admissió de mecanismes de signatura electrònica

7.2.1 Per als tràmits classificats amb categoria alta

7.2.2 Per als tràmits classificats amb categoria mitjana

7.2.3 Per als tràmits classificats amb categoria baixa

8. Criteris comuns per a l’establiment de mecanismes d’identificació i signatura electrònica en la implantació de serveis electrònics

8.1 Criteri general

8.2 Criteris d’aplicació de nivell alt de seguretat

8.3 Criteri d’aplicació de nivell baix de seguretat

8.4 Altres criteris d’establiment del nivell de seguretat

9. Actualització i seguiment de l’aplicació del Protocol d’identificació i signatura electrònica

9.1 Actualització dels mecanismes d’identificació i signatura electrònica

9.2.Actualització del la classificació del nivell de seguretat

9.3 Actualització dels criteris generals per a l’establiment del nivell de seguretat del tràmit

 

1. Introducció

La Llei 59/2003, de 19 de desembre, de signatura electrònica és la norma general que regula les característiques i l’ús de la signatura electrònica. Aquesta Llei permet, d’acord amb l’article 4, que les administracions públiques facin ús dels mecanismes de signatura electrònica i que estableixin condicions addicionals al seu ús per salvaguardar les garanties de cada procediment.

Per altra banda, la Llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als serveis públics estableix els tipus de signatura a utilitzar per part de la ciutadania i de les administracions públiques quan es relacionen per mitjans electrònics.

La Llei d’accés electrònic dels ciutadans als serveis públics ha estat objecte d’un desplegament reglamentari posterior. En primer lloc, aquesta Llei ha estat desenvolupada pel Reial decret 1671/2009, pel qual es desplega parcialment la Llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als serveis públics, el qual introdueix determinades obligacions relacionades amb l’ús de la signatura electrònica per a les administracions d’àmbit estatal. Aquest Reial decret s’aplica a les administracions catalanes de forma supletòria, és a dir, en aquells casos en què no hi hagi una norma pròpia d’àmbit autonòmic que cobreixi un determinat supòsit de fet.

En segon lloc, s’han aprovat l’Esquema Nacional de Seguretat i l’Esquema Nacional d’Interoperabilitat (Reial decret 3/2010 i Reial decret 4/2010, respectivament), pels quals es desplega la Llei d’accés electrònic dels ciutadans als serveis públics en aspectes puntuals relacionats amb la gestió dels sistemes d’informació de les administracions públiques i d’acord amb la remissió legal operada per l’article 42 de la Llei. Aquests documents estableixen unes bases comunes per a totes les administracions públiques per tal d’assegurar la interoperabilitat entre els sistemes d’informació tot garantint la normalització, la seguretat i la conservació de la informació.

El contingut de les disposicions de l’Esquema Nacional de Seguretat i de l’Esquema Nacional d’Interoperabilitat és incorporat en els diferents apartats d’aquest Protocol i, particularment, s’integren en l’avaluació dels riscos per a la determinació dels sistemes de signatura que es vulguin utilitzar.

En l’àmbit de Catalunya, el Decret 56/2009, de 7 d’abril, per a l’impuls i el desenvolupament dels mitjans electrònics a l’Administració de la Generalitat és la norma que desplega les bases establertes per la Llei d’accés electrònic dels ciutadans als serveis públics. Posteriorment, s’han aprovat la Llei 29/2010, de 3 d’agost, de l’ús dels mitjans electrònics al sector públic de Catalunya; la Llei 26/2010, de 3 d’agost, de règim jurídic i de procediment de les administracions públiques de Catalunya, i el Decret 232/2013, de 15 d’octubre, pel qual es crea la Seu electrònica, textos que completen el cos normatiu regulador de l’ús dels mitjans electrònics a Catalunya.

 

2. Objecte del Protocol

L’objecte d’aquest Protocol és establir els criteris comuns a l’Administració de la Generalitat de Catalunya pel que fa als aspectes tècnics i organitzatius necessaris per a la implantació dels sistemes d’identificació i signatura electrònica per a cada tràmit o servei, en funció del seu grau de seguretat.

 

3. Àmbit d'aplicació

Aquest Protocol s’aplica als tràmits o procediments que es produeixen en les relacions entre l’Administració de la Generalitat de Catalunya i els ciutadans i ciutadanes, i en les relacions entre els diferents òrgans administratius, en els àmbits següents:

a) En l’àmbit subjectiu establert en l’article 2 del Decret 56/2009.

b) En l’àmbit de les relacions interadministratives, mitjançant convenis o altres instruments jurídics.

c) En l’àmbit de les relacions interorgàniques, en els termes establerts per acord del Govern.

 

4. Òrgans competents

Als efectes de l’aplicació d’aquest Protocol, són òrgans competents:

4.1 Òrgans competents en l’elaboració, l’execució i el seguiment del Protocol

Departaments de la Generalitat: els departaments i entitats o organismes vinculats o dependents són els responsables d’implantar els serveis electrònics en l’àmbit de les seves competències, amb l’objectiu de millorar l’eficàcia, l’eficiència i la transparència dels serveis públics. En el marc d’aquest Protocol, són els encarregats d’adequar els criteris d’aquest document als tràmits o procediments electrònics.

Secretaria d’Administració i Funció Pública: mitjançant l’Oficina de Processos i Administració Electrònica (OPAE), la Secretaria és l’òrgan competent per a l’impuls dels mitjans electrònics en l’àmbit de l’Administració de la Generalitat de Catalunya. En el marc d’aquest Protocol, és l’òrgan encarregat d’elaborar-lo i actualitzar-lo i, si escau, d’impulsar les mesures d’execució i desenvolupament que corresponguin.

Centre de Telecomunicacions i Tecnologies de la Informació (CTTI): és l’òrgan competent en el desenvolupament de la política en matèria de tecnologies de la informació i la comunicació. En el marc d’aquest Protocol, té encomanada la funció de desenvolupar les eines corporatives necessàries per a la identificació i la signatura.

Consorci Administració Oberta de Catalunya (Consorci AOC): és l’òrgan competent per crear solucions corporatives i prestar serveis d’administració electrònica comuns per a totes les administracions catalanes, reutilitzar les aplicacions i els serveis d’administració electrònica que es desenvolupin, garantir la identitat i acreditar la voluntat en les actuacions dels ciutadans i ciutadanes, i del personal del sector públic, així com la confidencialitat i el no-rebuig en les comunicacions electròniques.

Així mateix, per l’Acord GOV/138/2013, de 15 d’octubre de 2013, el Consorci AOC presta serveis de signatura electrònica al sector públic de Catalunya en les comunicacions electròniques que duen a terme les entitats del sector públic de Catalunya.

Comissió per a l’Impuls dels Mitjans Electrònics a l’Administració (CIMEA): la Comissió per a l'Impuls dels Mitjans Electrònics a l'Administració té per objecte la coordinació de l'actuació dels departaments que executen polítiques transversals en l'àmbit de l'impuls i el desenvolupament dels mitjans electrònics en l'actuació administrativa, a l’efecte de definir les polítiques i les estratègies TIC en l'àmbit de la Generalitat i el seu sector públic.

Les funcions de la Comissió per a l'Impuls dels Mitjans Electrònics a l'Administració són:

   - La supervisió estratègica i la definició de prioritats en relació amb els projectes corporatius que s'implementin en aquest àmbit.

   - El seguiment de la planificació estratègica aprovada, el control de l'execució, la detecció de les disfuncionalitats i la proposta de solucions.

   - La coordinació entre els departaments de l'Administració de la Generalitat de Catalunya i els seus organismes públics per racionalitzar l'impacte de les tecnologies de la informació i unificar els criteris i les metodologies emprades.

Així mateix, li correspon formalitzar, amb caràcter previ, aquest Protocol, així com les modificacions i actualitzacions posteriors.

4.2 Òrgans competents en l’impuls de serveis o tràmits electrònics

Departaments de la Generalitat: els departaments i els òrgans que en depenen són els responsables d’implantar serveis electrònics en l’àmbit de les seves competències, amb l’objectiu de millorar l’eficàcia, l’eficiència i la transparència dels serveis públics.

Direcció General d’Atenció Ciutadana i Difusió (DGACD): és l’òrgan competent en la definició i el desenvolupament de la política d’atenció a la ciutadania. En el marc d’aquest Protocol, és l’òrgan que posa a disposició dels departaments la plataforma corporativa de serveis electrònics Tràmits gencat, que incorpora mecanismes d’identificació i signatura.

Departament d’Empresa i Ocupació: mitjançant la Finestreta Única Empresarial, que actua com a xarxa interadministrativa per facilitar l’accés als tràmits dels procediments administratius que són competència dels diversos departaments, així com per facilitar les relacions entre empreses i administracions públiques catalanes.

Centre de Telecomunicacions i Tecnologies de la Informació (CTTI): és l’òrgan competent en el desenvolupament de la política en matèria de tecnologies de la informació i la comunicació.

 

5. Identitat electrònica i signatura electrònica

Als efectes de determinar la identitat i signatura electrònica adequada al grau de seguretat de cada tràmit o servei electrònic, aquest Protocol estableix:

1. Els mecanismes d’identificació i signatura electrònica aplicables per a cada tràmit i servei d’acord amb el Reglament europeu 910/2014 relatiu a la identificació electrònica i els serveis de confiança (en endavant ReIdAS) i les normatives autonòmiques i estatals en matèria d’identificació i signatura electrònica.

2. Els mecanismes de signatura electrònica i segell electrònic, d’acord amb el que determinen les seccions 4 i 5 del ReIdAS, que s’estableixen en el punt 6 d’aquest Protocol són:

   - Signatures i segells electrònics

   - Signatures i segells electrònics avançats

   - Signatures i segells electrònics avançats basats en certificats qualificats

   - Signatures i segells electrònics qualificats

3. L’admissió dels mecanismes d’identificació i signatura electrònica segons la classificació dels nivells de seguretat que determina l’article 8 del ReIDAS i altres normes estatals en matèria de seguretat, que s’estableixen en el punt 7. Aquests mecanismes es classifiquen en tres nivells de seguretat:

   - Nivell de seguretat baix, amb l’objectiu de reduir el risc d’ús indegut o alteració de la identitat presentada.

   - Nivell de seguretat substancial, amb l’objectiu de reduir substancialment el risc d’ús indegut o alteració de la identitat.

   - Nivell de seguretat alt, amb l’objectiu d’evitar l’ús indegut o l’alteració de la identitat.

4. Criteris generals per a la determinació del grau de seguretat que requereix un tràmit o servei electrònic, que s’estableixen en el punt 8 d’aquest Protocol.

5. L’òrgan competent en el desenvolupament d’un servei electrònic determinarà els mecanismes d’identificació o de signatura electrònica que siguin pertinents per a cada tràmit, atesa la diversa funcionalitat d’ambdós mecanismes electrònics.

6. De conformitat amb l’article 26.b) del ReIDAS i l’article 3 de la Llei de 59/2003 de signatura electrònica, la signatura electrònica ha de permetre la identificació de la persona que signa el document. L’òrgan competent en la creació del servei, d’acord amb la normativa de procediment administratiu aplicable, determinarà si es requereixen exclusivament mecanismes de signatura per a la producció dels dos efectes.

 

6. Mecanismes d'identificació i signatura electrònica

Els mecanismes d'identificació i signatura electrònica per acreditar la identitat d’usuaris i signataris per mitjans electrònics es determinarà en funció del subjecte i el grau de seguretat del tràmit corresponent. Els mecanismes admesos són:

6.1 Mecanismes d'identificació

6.1.1 Per a persones físiques

   - Els certificats electrònics qualificats que hagin estat emesos per prestadors de serveis de certificació (PSC) inclosos en la llista de confiança de prestadors de serveis de certificació, anomenada Trusted Services List (en endavant TSL) publicada per l’òrgan competent de qualsevol país de la Unió Europea d’acord amb el que estableix el ReIdAS.

   - S’ha d’admetre, amb caràcter general, qualsevol dels mitjans d'identificació inclosos en la llista que publicarà la Comissió Europea per accedir als serveis prestats en línia per un organisme del sector públic en un estat membre, a l’efecte de l'autenticació transfronterera, conforme al que estableix el ReIdAS.

   - El certificat qualificat de signatura avançada idCAT per als ciutadans que emet el Consorci AOC.

   - Els certificats del DNI electrònic, d’acord amb el que estableix la Llei 11/2007 d’accés electrònic dels ciutadans als serveis públics.

   - El mecanisme idCAT-SMS, que és un mecanisme d'identificació i signatura electrònica dels ciutadans (persones físiques) no criptogràfic, basat en l’enviament de codis d’un sol ús a dispositius mòbils, gestionat pel Consorci AOC.

6.1.2 Per a persones jurídiques

   - Els certificats reconeguts o qualificats emesos a favor d’una persona jurídica o un ens sense personalitat jurídica i custodiats per una persona física, titular del certificat, la qual el pot emprar per actuar en nom de l'empresa o de l'ens indicat en el certificat.

   - Els certificats qualificats emesos a favor d’una persona jurídica o un ens sense personalitat jurídica, amb indicació expressa de la representació que exerceix la persona física titular del certificat.

   - Els certificats de segell electrònic qualificat emesos a favor d’una persona jurídica o a un ens sense personalitat per prestadors de serveis de certificació (PSC), inclosos en la TSL publicada per l’òrgan competent de qualsevol país de la Unió Europea d’acord amb el que estableix el ReIdAS.

   - Els mecanismes emprats per a la identificació de persones físiques que autentiquin la identitat d'un ciutadà que declara representar una persona jurídica. Aquesta representació es podrà verificar mitjançant la consulta a un registre en línia de representacions, especialment, mitjançant el servei REPRESENTA del Consorci AOC, les condicions del qual són accessibles mitjançant la seu electrònica de la Generalitat.

6.1.3 Per als empleats públics

   - El certificat reconegut o qualificat que el Consorci AOC emet als empleats del sector públic de Catalunya en dispositiu segur de creació de signatura: la T-CAT.

   - El certificat reconegut o qualificat que el Consorci AOC emet als empleats del sector públic de Catalunya en suport programari: la T-CAT P.

   - Els certificats reconeguts o qualificats emesos per prestadors inclosos en la TSL, publicada pel Ministeri d’Indústria, Energia i Turisme conforme al perfil “Empleat públic” aprovat pel Consell Superior d’Administració Electrònica.

   - Altres sistemes no criptogràfics, com ara els usuaris i contrasenyes de les plataformes EACAT i GICAR.

   - Els certificats reconeguts o qualificats emesos per prestadors inclosos en la TSL, publicada pel Ministeri d’Indústria, Energia i Turisme que acreditin la vinculació del titular a un ens de l’Administració de la Generalitat de Catalunya.

   - Excepcionalment, el DNI electrònic, d’acord amb la Llei 11/2007 d’accés dels ciutadans als serveis públics.

6.1.4 Per als ens de l'Administració de la Generalitat de Catalunya

   - Els certificats qualificats de seu electrònica i de servidor segur que el Consorci AOC emet als ens del sector públic de Catalunya.

   - Els certificats electrònics qualificats emesos per altres prestadors de serveis de certificació –diferents del Consorci AOC– inclosos en la TSL del Ministeri d’Indústria, Energia i Turisme conforme al perfil "Seu electrònica administrativa" aprovat pel Consell Superior d’Administració Electrònica.

   - Altres certificats qualificats d’autenticació de lloc web, d’acord amb el que estableix l’article 45 del ReIdAS, emesos a nom d’un ens de l’Administració de la Generalitat de Catalunya.

6.1.5 Altres mecanismes d’identificació

La incorporació de nous mecanismes d’identificació electrònica, quan aquests mecanismes estiguin disponibles en el mercat per als usuaris del seu àmbit subjectiu, s’ha de fer d’acord amb el procediment establert en el punt 9 d’aquest Protocol.

6.2 Mecanismes de signatura i segell electrònic

S’admetrà l’ús dels mecanismes de signatura i segell electrònic de les persones, dels empleats públics i també de l'Administració de la Generalitat de Catalunya que, de conformitat amb el que estableix l’article 27 del ReIDAS:

   - siguin conformes a algun dels formats de referència que definirà la Comissió Europea per a les signatures avançades;

   - o, quan siguin d’un format alternatiu, s’hagin generat amb els mètodes de referència que definirà la mateixa Comissió.

Així mateix, s’admetran altres mecanismes que es classifiquin d’acord amb aquest Protocol.

6.2.1 Per a persones físiques

   - Els certificats electrònics que hagin estat emesos per prestadors de serveis de certificació (PSC) inclosos en la TSL publicada per l’òrgan competent de qualsevol país de la Unió Europea d’acord amb el que estableix el ReIdAS.

   - El certificat reconegut o qualificat de signatura avançada idCAT que emet el Consorci AOC.

   - Els certificats del DNI electrònic, d’acord amb el que estableix la Llei 11/2007 d’accés electrònic dels ciutadans als serveis públics.

   - El mecanisme idCAT-SMS com a mecanisme de signatura electrònica dels ciutadans (persones físiques) no criptogràfic.

6.2.2 Per a persones jurídiques

Les persones jurídiques i els ens sense personalitat jurídica podran generar signatures electròniques amb els mecanismes d’identificació detallats en el punt 6.1.2 d’aquest Protocol.

6.2.3 Per als empleats públics

Els empleats públics podran generar signatures electròniques amb els mecanismes d’identificació detallats en el punt 6.1.3 d’aquest Protocol.

Es recomana que, quan els empleats públics utilitzin signatures electròniques amb sistemes no criptogràfics, aquestes sistemes es formalitzin mitjançant l’ús d’un segell electrònic i, si escau, amb codi segur de verificació.

6.2.4 Per als ens de l'Administració de la Generalitat de Catalunya

   - En l’àmbit de l’actuació administrativa automatitzada, i d’acord amb la Llei 11/2007 d’accés electrònic dels ciutadans als serveis públics:

      - El codi segur de verificació (CSV), com a mecanisme de signatura electrònica dels ens de l'Administració de la Generalitat de Catalunya.

      - Els certificats reconeguts o qualificats de segell electrònic que el Consorci AOC emet als ens del sector públic de Catalunya.

      - Els certificats reconeguts o qualificats emesos per altres prestadors de serveis de certificació inclosos en la TSL del Ministeri d’Industria, Energia i Turisme, conforme al perfil “Segell electrònic” aprovat pel Consell Superior d’Administració Electrònica.

   - Els certificats reconeguts de persona jurídica que el Consorci AOC emet als ens del sector públic de Catalunya.

   - Els certificats reconeguts de persona jurídica emesos als ens de l’Administració de la Generalitat de Catalunya per altres prestadors de serveis de certificació inclosos en la TSL del Ministeri d’Indústria, Energia i Turisme.

6.2.5 Segells de temps

Les signatures electròniques avançades incorporen segells de temps generats per algun dels serveis següents:

   - El servei segell de temps del Consorci AOC.

   - Els serveis publicats a la seu electrònica del Ministeri d’Indústria, Energia i Turisme en l’apartat “Altres serveis en relació amb la signatura electrònica - Serveis de validació temporal”.

   - Qualsevol altre servei de segell de temps qualificat conforme al que estableix la secció 6 del ReIdAS i que hagi estat inclòs en una de les llistes de serveis de confiança publicades pels estats membres de la Unió Europea, d’acord amb el que estableix l’article 22 del ReIdAS.

6.2.6 Altres mecanismes de signatura

La incorporació de nous mecanismes de signatura electrònica, com ara els mecanismes de signatura biomètrica, quan aquests estiguin disponibles en el mercat per als usuaris del seu àmbit subjectiu, s’ha de fer conforme al procediment establert en el punt 9 d’aquest Protocol.

 

7. Admissió de mecanismes d'identificació i signatura electrònica

7.1 Admissió de mecanismes d'identificació electrònica

Amb caràcter general, els ciutadans i ciutadanes es poden identificar electrònicament davant de l'Administració de la Generalitat de Catalunya emprant qualsevol sistema d’identificació que compti amb un registre previ com a usuari que permeti garantir la seva identitat.

L’admissió dels mecanismes d’identificació i signatura electrònica es du a terme conforme als nivells de seguretat requerits en l’Esquema Nacional de Seguretat.

Els mecanismes d’identificació electrònica considerats admissibles per als tràmits d’una categoria determinada són també admissibles per als tràmits classificats de categoria inferior.

Quan en el context d'un servei electrònic de l'Administració de la Generalitat calgui garantir la protecció de la confidencialitat de les dades implicades mitjançant mecanismes d'identificació electrònica, s’admetran els sistemes següents:

7.1.1 Per als tràmits classificats amb categoria alta

S’admeten els sistemes d’identificació electrònica de nivell de seguretat alt, que són els que fan un registre dels usuaris presencial i fiable i proveeixen els usuaris d’un mitjà d’identificació electrònica de doble factor.

S’admeten amb caràcter obligatori:

      - Els certificats reconeguts o qualificats que s'emetin en un dispositiu qualificat de creació de signatura electrònica, d’entre els establerts en el punt 6 d’aquest Protocol, atenent a les tipologies de certificats i del col·lectiu específic.

      - Qualsevol dels mitjans d'identificació que hagi estat classificat amb nivell de seguretat alt i s'inclogui en la llista que, conforme al que estableix el ReIDAS en el capítol 2, publicarà la Comissió Europea per accedir als serveis prestats en línia per un organisme del sector públic en un estat membre, a l’efecte de l'autenticació transfronterera.

7.1.2 Per als tràmits classificats amb categoria mitjana o substancial

S’admeten els sistemes d’identificació electrònica de nivell de seguretat mitjana o substancial, que són els que fan un registre fiable dels usuaris, el qual es podrà dur a terme de manera presencial o remota (en línia), i proveeixen els usuaris d’unes credencials de robustesa substancial.

Concretament,

   a. Obligatòriament, els certificats reconeguts o qualificats i els certificats reconeguts o qualificats de segell electrònic establerts en el punt 6 d’aquest Protocol, atenent a les tipologies de certificats i del col·lectiu específic.

   b. Obligatòriament, qualsevol dels mitjans d'identificació que hagi estat classificat amb nivell de seguretat substancial i s'inclogui a la llista que, conforme al que estableix el ReIDAS en el capítol 2, publicarà la Comissió Europea per accedir als serveis prestats en línia per un organisme del sector públic en un estat membre, a l’efecte de l'autenticació transfronterera.

   c. El mecanisme idCAT-SMS.

   d. Qualsevol altre mecanisme que hagi estat classificat amb nivell mitjà, d’acord amb el que estableix aquest Protocol.

7.1.3 Per als tràmits classificats amb categoria baixa

Són admissibles els mecanismes d’identificació de nivell de seguretat baix, que són els que fan un registre ordinari dels usuaris (que no inclouen la verificació fiable del document identificador oficial ni la comprovació de les altres dades d’identificació personal i/o d’altres atributs que s’estableixin) o proveeixen els usuaris d’unes credencials de robustesa baixa.

7.2 Admissió de mecanismes de signatura electrònica

Amb caràcter general, les persones físiques interessades poden acreditar mitjançant una signatura electrònica l'autenticitat de l'expressió de la seva voluntat i consentiment, així com la integritat i la inalterabilitat de les dades i/o documents que vulguin signar.

Una persona jurídica o un ens sense personalitat pot acreditar l’origen i la integritat de les dades i/o dels documents que remeti a l’Administració de la Generalitat de Catalunya, en el context d’un servei electrònic, mitjançant un segell electrònic o una signatura electrònica qualificada del representant de l’ens.

Els mecanismes de signatura electrònica considerats admissibles per als tràmits classificats amb una categoria determinada són també admissibles per a les actuacions classificades de categoria inferior.

En particular, quan en el context d'un servei electrònic de l'Administració de la Generalitat de Catalunya es requereixi una signatura electrònica per garantir la protecció de la integritat i de l'autenticitat de les dades o dels documents implicats, s’admetran les signatures següents:

7.2.1 Per als tràmits classificats amb categoria alta

S’admeten signatures electròniques reconegudes o qualificades o segells electrònics reconeguts o qualificats, segons correspongui, amb caràcter obligatori:

      - Quant als formats, els serveis electrònics oferts pels organismes dels estats membres de la Unió Europea han de reconèixer les signatures qualificades que siguin conformes a algun dels formats de referència que es definiran per a les signatures qualificades o que s’hagin generat amb els mètodes de referència quan siguin d’un format alternatiu, segons el que estableix l’article 27 del ReIDAS, a l’efecte de garantir la interoperabilitat en l’accés transfronterer als serveis públics.

      - Pel que fa als certificats emprats, s’han d’admetre les signatures electròniques generades amb els certificats reconeguts o qualificats de signatura electrònica, d'entre els previstos en l'apartat 6.2 d'aquest Protocol, que s'emetin en un dispositiu qualificat de creació de signatura electrònica. També els segells electrònics generats amb els certificats de segell electrònic reconeguts o qualificats, d'entre els previstos en l'apartat 6.2 d'aquest Protocol, que s'emetin en un dispositiu qualificat de creació de segells electrònics, atenent a les tipologies de certificats i del col·lectiu específic.

7.2.2 Per als tràmits classificats de categoria mitjana o substancial

Seran admissibles les signatures electròniques avançades i els segells electrònics avançats que es fonamentin en un procediment de registre fiable de la identitat dels usuaris; també les signatures electròniques avançades basades en un certificat reconegut o qualificat de signatura electrònica i els segells electrònics avançats basats en certificats qualificats de segell electrònic, d’acord amb el que estableix el ReIDAS en els articles 27.1 i 37.1, així com les signatures electròniques ordinàries generades a partir d’un mecanisme d’identificació de nivell de seguretat substancial, com ara els considerats en l’apartat 6.1.2 d’aquest Protocol o altres que es puguin incorporar conforme a l’apartat 9.

Concretament,

      - Quant als formats, els serveis electrònics oferts pels organismes dels estats membres de la Unió Europea han de reconèixer les signatures electròniques avançades i les signatures avançades basades en un certificat qualificat de signatura electrònica que siguin conformes a algun dels formats de referència que es definiran per a les signatures electròniques avançades, o que s’hagin generat amb els mètodes de referència quan siguin d’un format alternatiu, d’acord amb el que estableix l’article 27 del ReIDAS, a l’efecte de garantir el correcte tractament dels documents signats electrònicament en l’ús transfronterer dels serveis públics.

      - Pel que fa als certificats emprats, s’han d’admetre les signatures electròniques generades amb els certificats de signatura electrònica considerats en l'apartat 6.2 d'aquest Protocol. També els segells electrònics generats amb els certificats de segell electrònic considerats en el mateix apartat 6.2 d'aquest Protocol, atenent a les tipologies de certificats que es detallen per a cadascun dels col·lectius que s’hi especifiquen.

      - Seran admissibles les basades en el mecanisme idCAT SMS.

      - Qualsevol altre mecanisme que hagi estat classificat amb nivell mitjà, d’acord amb el que estableix aquest Protocol.

7.2.3 Per als tràmits classificats amb categoria baixa

S’admeten els mecanismes que generen signatures electròniques ordinàries a partir d’un mecanisme d’identificació de nivell de seguretat baix, com ara els descrits en l’apartat 7.1.3 d’aquest Protocol o altres que es puguin incorporar d’acord amb l’apartat 9.

7.2.4 Ús de segells de temps

S’admeten les signatures electròniques avançades que incorporen segells de temps generats per algun dels serveis descrits en l’apartat 6.2.5 d’aquest Protocol.

 

8. Criteris comuns per a l’establiment de mecanismes d’identificació i signatura electrònica en la implantació de serveis electrònics

8.1 Criteri general

S’estableix com criteri general que, per a la identificació i la signatura electrònica en els tràmits o serveis electrònics, s’admetran els mecanismes d’identificació i signatura classificats amb nivell de seguretat mitjà o substancial, conforme als apartats 7.1.2 i 7.2.2 d’aquest Protocol.

8.2 Criteris d’aplicació de nivell alt de seguretat

Es requerirà l’establiment d’un nivell de seguretat alt en la implantació de sistemes d’identificació i signatura electrònica per a l’establiment de tràmits o serveis electrònics que reuneixin algun d’aquests requisits:

   - Identificació i signatura de tràmits que donin accés o transfereixin dades d’alt nivell de protecció segons l’article 7 de la Llei orgànica de protecció de dades de caràcter personal (LOPD) o quan l’accés a les dades pugui afectar els drets de terceres persones especialment protegides per la LOPD.

   - Identificació i signatura en el tràmit o procés de contractació, de conformitat amb la disposició addicional setzena f), de la Llei 59/2003, de 19 de desembre, de signatura electrònica.

   - Identificació i signatura en el tràmit o procés de concessió de subvencions o altres tràmits amb un contingut econòmic de més de 60.000 euros o quan així estigui establert en les bases reguladores de les convocatòries.

   - Els tràmits o procediments que la normativa específica estableixi amb un nivell alt d’identificació o signatura electrònica.

8.3 Criteri d’aplicació de nivell baix de seguretat

Es requerirà l’establiment d’un nivell de seguretat baix en els sistemes d’identificació i signatura electrònica per a tràmits o serveis electrònics que reuneixin algun d’aquests requisits:

   - Identificació i/o signatura en tràmits de pagament o autoliquidacions de taxes i tributs.

   - Tot els tràmit electrònics o serveis electrònics d’un procediment administratiu, a excepció de les actuacions següents: formular sol·licituds, presentar declaracions responsables, interposar recursos, desistir d’accions o renunciar a drets, així com aquells tràmits que continguin una informació d’un nivell més elevat de seguretat.

   - Altres tràmits o procediments en què la normativa específica estableix un sistema d’identificació i signatura de nivell baix de seguretat.

      8.4 Aprovació d’altres criteris d’establiment de nivell de seguretat

Els òrgans que impulsin o modifiquin serveis electrònics podran proposar un nivell de seguretat diferent a l’establert en els apartats anteriors d’aquest Protocol, atenent a criteris de seguretat i garantia jurídica.

La modificació dels criteris d’aquest apartat requereix l’informe de la Secretaria d’Administració i Funció Pública sobre l’adequació de la proposta de modificació del nivell de seguretat.

 

9. Mecanismes de revisió del Protocol d’identificació i signatura electrònica

9.1 Actualització i seguiment del Protocol

La Secretaria d’Administració i Funció Pública emetrà un informe anual sobre l’aplicació i l’execució d’aquest Protocol, així com l’adequació i la revisió dels criteris per a l’establiment de mecanismes d’identificació i signatura electrònica al nivell de seguretat adequat al tràmit, establerts en aquest Protocol.

L’informe proposarà, si escau, l’actualització, la incorporació o la supressió dels mecanismes d’identificació i signatura electrònica establerts en aquest Protocol, així com l’actualització i la revisió del nivell de seguretat d’aquests mecanismes.

L’informe anual es presentarà a la CIMEA que informarà sobre la incorporació, l’actualització o la supressió dels mecanismes d’identificació i signatura electrònica establerts en aquest Protocol.

9.2 Revisió de la classificació dels nivells de seguretat dels sistemes d’identificació i signatura electrònica i la incorporació de nous mecanismes

Correspon a la Secretaria d’Administració i Funció Pública, d’ofici o a proposta dels òrgans competents establerts en l’article 4 d’aquest Protocol, la revisió de la classificació dels nivells de seguretat dels sistemes d’identificació i signatura electrònica, i la incorporació de nous mecanismes amb l’informe previ del Centre de Seguretat de la Informació de Catalunya, en relació amb el control de la seguretat dels mecanismes proposats, i del Consorci AOC.

9.3. Actualització dels mecanismes d’identificació i signatura electrònica

L’actualització dels mecanismes d’identificació i signatura electrònica establerts en aquest Protocol s’acorden mitjançant resolució de la Secretaria d’Administració i Funció Pública, amb l’informe previ de la CIMEA.

Les resolucions d’actualització es publicaran a la Seu electrònica de la Generalitat de Catalunya, on s’informarà dels serveis electrònics afectats per les actualitzacions. Així mateix, els òrgans que tramiten el serveis electrònics que es vegin afectats per l’actualització, ho han de comunicar en les seves seus.

Qualsevol organisme pot proposar a la Secretaria d’Administració i Funció Pública l’actualització o supressió d’un sistema d’identificació o signatura electrònica.

 

Amunt