Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BOE-029 Codigo de Administracion Electronica
BOE-029 Codigo de Administracion Electronica
Cdigo
de Administracin
Electrnica
Seleccin y ordenacin:
Joaqun Meseguer Yebra
Edicin actualizada a 17 de septiembre de 2014
La ltima versin de este Cdigo en PDF y ePUB est disponible para su descarga gratuita en:
www.boe.es/legislacion/codigos/
Alertas de actualizacin en BOE a la Carta: www.boe.es/a_la_carta/
NIPO: 007-13-037-X
Catlogo de Publicaciones de la Administracin General del Estado
publicacionesoficiales.boe.es
Avenida de Manoteras, 54
28050 MADRID
tel. 911 114 000 www.boe.es
SUMARIO
1. Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos . . . .
2. Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007,
de 22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos . . . . . . . . . . . . . .
30
3. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el
mbito de la Administracin Electrnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
4. Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad
en el mbito de la Administracin Electrnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
106
REGISTROS ELECTRNICOS
5. Orden HAP/566/2013, de 8 de abril, por la que se regula el Registro Electrnico Comn. . . . . . . . .
124
132
144
153
156
161
FIRMA ELECTRNICA
11. Ley 59/2003, de 19 de diciembre, de firma electrnica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
166
12. Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedicin del documento
nacional de identidad y sus certificados de firma electrnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
191
III
SUMARIO
NOTIFICACIN ELECTRNICA
13. Orden PRE/878/2010, de 5 de abril, por la que se establece el rgimen del sistema de direccin
electrnica habilitada previsto en el artculo 38.2 del Real Decreto 1671/2009, de 6 de noviembre. .
198
CONTRATACIN ADMINISTRATIVA
14. Orden EHA/1307/2005, de 29 de abril, por la que se regula el empleo de medios electrnicos en los
procedimientos de contratacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203
15. Orden EHA/1220/2008, de 30 de abril, por la que se aprueban las instrucciones para operar en la
Plataforma de Contratacin del Estado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
210
SEGURIDAD SOCIAL
16. Orden ESS/484/2013, de 26 de marzo, por la que se regula el Sistema de remisin electrnica de
datos en el mbito de la Seguridad Social. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
COMUNICACIN DIGITAL
17. Resolucin de 21 de marzo de 2013, de la Secretara de Estado de Administraciones Pblicas, por
la que se aprueba la Gua de Comunicacin Digital para la Administracin General del Estado . . . .
IV
228
NDICE SISTEMTICO
1
1
8
10
13
13
13
13
14
15
16
17
17
18
19
20
20
21
22
22
23
24
24
25
25
26
28
30
30
33
34
37
37
40
42
44
46
46
47
49
49
52
NDICE SISTEMTICO
CAPTULO III. Normas especficas relativas a los documentos electrnicos aportados por los ciudadanos.
CAPTULO IV. Normas relativas a la obtencin de copias electrnicas por los ciudadanos. . . . . . . . . . .
CAPTULO V. Archivo electrnico de documentos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO VI. Expediente electrnico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones adicionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones transitorias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones derogatorias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones finales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el mbito de la Administracin Electrnica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prembulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO I. Disposiciones generales. . . . . . . . . . . . . . . .
CAPTULO II. Principios bsicos. . . . . . . . . . . . . . . . . . . .
CAPTULO III. Requisitos mnimos. . . . . . . . . . . . . . . . . . .
CAPTULO IV. Comunicaciones electrnicas. . . . . . . . . . . .
CAPTULO V. Auditora de la seguridad
. . . . . . . . . . . . . . . .
CAPITULO VI. Estado de seguridad de los sistemas. . . . . . .
CAPTULO VII. Respuesta a incidentes de seguridad. . . . . . .
CAPTULO VIII. Normas de conformidad. . . . . . . . . . . . . . .
CAPTULO IX. Actualizacin
. . . . . . . . . . . . . . . . . . . . . . .
CAPTULO X. Categorizacin de los sistemas de informacin.
Disposiciones adicionales. . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones transitorias. . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones derogatorias. . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones finales. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ANEXOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ANEXO I. Categoras de los sistemas. . . . . . . . . . . . . . . . . .
ANEXO II. Medidas de seguridad. . . . . . . . . . . . . . . . . . . . .
ANEXO III. Auditora de la seguridad. . . . . . . . . . . . . . . . . . .
ANEXO IV. Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ANEXO V. Modelo de clusula administrativa particular. . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
52
53
53
54
54
55
56
56
58
58
60
61
62
66
67
68
68
69
69
69
70
70
71
71
71
71
73
103
104
105
106
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
106
108
109
109
110
111
112
112
112
113
115
117
118
118
119
120
120
120
124
REGISTROS ELECTRNICOS
Prembulo. . . . . . . . . . .
Artculos. . . . . . . . . . . .
Disposiciones adicionales.
Disposiciones transitorias.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
VI
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
124
125
129
129
NDICE SISTEMTICO
Disposiciones derogatorias. . . . . . . . . . . . . . . . . . . . .
Disposiciones finales. . . . . . . . . . . . . . . . . . . . . . . . .
ANEXO I. Formulario de propsito general. . . . . . . . . . .
ANEXO II. Formulario de inscripcin a pruebas selectivas. .
ANEXO III. Fichero de datos personales. . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
129
129
129
130
131
132
132
133
138
138
139
141
143
143
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
144
144
145
146
147
148
149
151
152
152
153
153
154
155
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
VII
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
156
156
157
157
158
161
161
162
162
162
NDICE SISTEMTICO
FIRMA ELECTRNICA
11. Ley 59/2003, de 19 de diciembre, de firma electrnica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prembulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TTULO I. Disposiciones generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TTULO II. Certificados electrnicos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO I. Disposiciones generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO II. Certificados reconocidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO III. El documento nacional de identidad electrnico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TTULO III. Prestacin de servicios de certificacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO I. Obligaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO II. Responsabilidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TTULO IV. Dispositivos de firma electrnica y sistemas de certificacin de prestadores de servicios de
certificacin y de dispositivos de firma electrnica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO I. Dispositivos de firma electrnica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO II. Certificacin de prestadores de servicios de certificacin y de dispositivos de creacin de firma
electrnica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TTULO V. Supervisin y control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TTULO VI. Infracciones y sanciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones adicionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones transitorias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones derogatorias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones finales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12. Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedicin del
documento nacional de identidad y sus certificados de firma electrnica. . . . . . . . . . . . . . . . .
Prembulo. . . . . . . . . . . .
Artculos. . . . . . . . . . . . .
Disposiciones adicionales. .
Disposiciones transitorias. .
Disposiciones derogatorias.
Disposiciones finales. . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
166
166
170
173
173
175
177
177
177
180
181
181
182
183
184
186
190
190
190
191
191
192
196
197
197
197
NOTIFICACIN ELECTRNICA
13. Orden PRE/878/2010, de 5 de abril, por la que se establece el rgimen del sistema de
direccin electrnica habilitada previsto en el artculo 38.2 del Real Decreto 1671/2009, de 6
de noviembre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prembulo. . . . . . . . . . . .
Artculos. . . . . . . . . . . . .
Disposiciones transitorias. .
Disposiciones derogatorias.
Disposiciones finales. . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
198
198
199
202
202
202
CONTRATACIN ADMINISTRATIVA
14. Orden EHA/1307/2005, de 29 de abril, por la que se regula el empleo de medios electrnicos
en los procedimientos de contratacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prembulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Artculos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ANEXO. Formatos admisibles para los documentos intercambia-dos en los procesos de contratacin electrnica.
VIII
203
203
204
209
NDICE SISTEMTICO
15. Orden EHA/1220/2008, de 30 de abril, por la que se aprueban las instrucciones para operar
en la Plataforma de Contratacin del Estado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prembulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO I. Disposiciones Generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPTULO II. Publicacin del Perfil de Contratante en la Plataforma de Contratacin del Estado. . . . . . . . . .
CAPTULO III. Publicacin de informacin por rganos con competencias consultivas o de ordenacin en
materia de contratacin pblica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disposiciones finales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ANEXO I. Datos para el alta del perfil del contratante. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ANEXO II. Alta de un usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ANEXO III. Especificaciones de contenidos y formatos correspondientes a la arquitectura de informacin CODICE
ANEXO IV. Especificaciones de los protocolos de comunicacin de informacin
. . . . . . . . . . . . . . . . . . . . . . .
210
210
211
211
214
214
214
215
215
217
SEGURIDAD SOCIAL
16. Orden ESS/484/2013, de 26 de marzo, por la que se regula el Sistema de remisin electrnica
de datos en el mbito de la Seguridad Social. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prembulo. . . . . . . . . . . .
Artculos. . . . . . . . . . . . .
Disposiciones adicionales. .
Disposiciones transitorias. .
Disposiciones derogatorias.
Disposiciones finales. . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
219
219
220
225
226
226
226
COMUNICACIN DIGITAL
17. Resolucin de 21 de marzo de 2013, de la Secretara de Estado de Administraciones
Pblicas, por la que se aprueba la Gua de Comunicacin Digital para la Administracin
General del Estado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prembulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Artculos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IX
228
228
229
1
Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos
a los Servicios Pblicos
JUAN CARLOS I
REY DE ESPAA
A todos los que la presenten vieren y entedieren.
Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente
Ley.
EXPOSICIN DE MOTIVOS
I
Determinadas edades de la humanidad han recibido su denominacin de las tcnicas
que se empleaban en las mismas y hoy podramos decir que las tecnologas de la
informacin y las comunicaciones estn afectando tambin muy profundamente a la forma e
incluso al contenido de las relaciones de los seres humanos entre s y de las sociedades en
que se integran. El tiempo actual y en todo caso el siglo XXI, junto con los aos finales del
XX, tiene como uno de sus rasgos caractersticos la revolucin que han supuesto las
comunicaciones electrnicas. En esa perspectiva, una Administracin a la altura de los
tiempos en que acta tiene que acompaar y promover en beneficio de los ciudadanos el
uso de las comunicaciones electrnicas. Estos han de ser los primeros y principales
beneficiarios del salto, impensable hace slo unas dcadas, que se ha producido en el
campo de la tecnologa de la informacin y las comunicaciones electrnicas. Al servicio,
pues, del ciudadano la Administracin queda obligada a transformarse en una administracin
electrnica regida por el principio de eficacia que proclama el artculo 103 de nuestra
Constitucin.
Es en ese contexto en el que las Administraciones deben comprometerse con su poca y
ofrecer a sus ciudadanos las ventajas y posibilidades que la sociedad de la informacin
tiene, asumiendo su responsabilidad de contribuir a hacer realidad la sociedad de la
informacin. Los tcnicos y los cientficos han puesto en pie los instrumentos de esta
sociedad, pero su generalizacin depende, en buena medida, del impulso que reciba de las
Administraciones Pblicas. Depende de la confianza y seguridad que genere en los
ciudadanos y depende tambin de los servicios que ofrezca.
1
12
TTULO SEGUNDO
Rgimen jurdico de la administracin electrnica
CAPTULO I
De la sede electrnica
Artculo 10. La sede electrnica.
1. La sede electrnica es aquella direccin electrnica disponible para los ciudadanos a
travs de redes de telecomunicaciones cuya titularidad, gestin y administracin
corresponde a una Administracin Pblica, rgano o entidad administrativa en el ejercicio de
sus competencias.
2. El establecimiento de una sede electrnica conlleva la responsabilidad del titular
respecto de la integridad, veracidad y actualizacin de la informacin y los servicios a los
que pueda accederse a travs de la misma.
3. Cada Administracin Pblica determinar las condiciones e instrumentos de creacin
de las sedes electrnicas, con sujecin a los principios de publicidad oficial, responsabilidad,
calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad. En todo
caso deber garantizarse la identificacin del titular de la sede, as como los medios
disponibles para la formulacin de sugerencias y quejas.
4. Las sedes electrnicas dispondrn de sistemas que permitan el establecimiento de
comunicaciones seguras siempre que sean necesarias.
5. La publicacin en las sedes electrnicas de informaciones, servicios y transacciones
respetar los principios de accesibilidad y usabilidad de acuerdo con las normas
establecidas al respecto, estndares abiertos y, en su caso, aquellos otros que sean de uso
generalizado por los ciudadanos.
Artculo 11. Publicaciones electrnicas de Boletines Oficiales.
1. La publicacin de los diarios o boletines oficiales en las sedes electrnicas de la
Administracin, rgano o Entidad competente tendr, en las condiciones y garantas que
cada Administracin Pblica determine, los mismos efectos que los atribuidos a su edicin
impresa.
2. La publicacin del Boletn Oficial del Estado en la sede electrnica del organismo
competente tendr carcter oficial y autntico en las condiciones y con las garantas que se
determinen reglamentariamente, derivndose de dicha publicacin los efectos previstos en el
ttulo preliminar del Cdigo Civil y en las restantes normas aplicables.
Artculo 12. Publicacin electrnica del tabln de anuncios o edictos.
La publicacin de actos y comunicaciones que, por disposicin legal o reglamentaria
deban publicarse en tabln de anuncios o edictos podr ser sustituida o complementada por
su publicacin en la sede electrnica del organismo correspondiente.
CAPTULO II
De la identificacin y autenticacin
Seccin 1. Disposiciones comunes
Artculo 13. Formas de identificacin y autenticacin.
1. Las Administraciones Pblicas admitirn, en sus relaciones por medios electrnicos,
sistemas de firma electrnica que sean conformes a lo establecido en la Ley 59/2003, de 19
de diciembre, de Firma Electrnica y resulten adecuados para garantizar la identificacin de
los participantes y, en su caso, la autenticidad e integridad de los documentos electrnicos.
13
14
15
16
CAPTULO III
De los registros, las comunicaciones y las notificaciones electrnicas
Seccin 1. De los Registros
Artculo 24. Registros electrnicos.
1. Las Administraciones Pblicas crearn registros electrnicos para la recepcin y
remisin de solicitudes, escritos y comunicaciones.
2. Los registros electrnicos podrn admitir:
a) Documentos electrnicos normalizados correspondientes a los servicios,
procedimientos y trmites que se especifiquen conforme a lo dispuesto en la norma de
creacin del registro, cumplimentados de acuerdo con formatos preestablecidos.
b) Cualquier solicitud, escrito o comunicacin distinta de los mencionados en el apartado
anterior dirigido a cualquier rgano o entidad del mbito de la administracin titular del
registro.
3. En cada Administracin Pblica existir, al menos, un sistema de registros
electrnicos suficiente para recibir todo tipo de solicitudes, escritos y comunicaciones
dirigidos a dicha Administracin Pblica. Las Administraciones Pblicas podrn, mediante
convenios de colaboracin, habilitar a sus respectivos registros para la recepcin de las
solicitudes, escritos y comunicaciones de la competencia de otra Administracin que se
determinen en el correspondiente convenio.
4. En el mbito de la Administracin General del Estado se automatizarn las oficinas de
registro fsicas a las que se refiere el artculo 38 de la Ley 30/1992, de Rgimen Jurdico de
las Administraciones Pblicas y del Procedimiento Administrativo Comn, a fin de garantizar
la interconexin de todas sus oficinas y posibilitar el acceso por medios electrnicos a los
asientos registrales y a las copias electrnicas de los documentos presentados.
Artculo 25. Creacin y funcionamiento.
1. Las disposiciones de creacin de registros electrnicos se publicarn en el Diario
Oficial correspondiente y su texto ntegro deber estar disponible para consulta en la sede
electrnica de acceso al registro. En todo caso, las disposiciones de creacin de registros
electrnicos especificarn el rgano o unidad responsable de su gestin, as como la fecha y
hora oficial y los das declarados como inhbiles a los efectos previstos en el artculo
siguiente.
2. En la sede electrnica de acceso al registro figurar la relacin actualizada de las
solicitudes, escritos y comunicaciones a las que se refiere el apartado 2.a) del artculo
anterior que pueden presentarse en el mismo as como, en su caso, la posibilidad de
presentacin de solicitudes, escritos y comunicaciones a los que se refiere el apartado 2.b)
de dicho artculo.
3. Los registros electrnicos emitirn automticamente un recibo consistente en una
copia autenticada del escrito, solicitud o comunicacin de que se trate, incluyendo la fecha y
hora de presentacin y el nmero de entrada de registro.
4. Podrn aportarse documentos que acompaen a la correspondiente solicitud, escrito o
comunicacin, siempre que cumplan los estndares de formato y requisitos de seguridad
que se determinen en los Esquemas Nacionales de Interoperabilidad y de Seguridad. Los
registros electrnicos generarn recibos acreditativos de la entrega de estos documentos
que garanticen la integridad y el no repudio de los documentos aportados.
Artculo 26. Cmputo de plazos.
1. Los registros electrnicos se regirn a efectos de cmputo de los plazos imputables
tanto a los interesados como a las Administraciones Pblicas por la fecha y hora oficial de la
sede electrnica de acceso, que deber contar con las medidas de seguridad necesarias
para garantizar su integridad y figurar visible.
17
19
20
21
CAPTULO II
Cooperacin en materia de interoperabilidad de sistemas y aplicaciones
Artculo 41. Interoperabilidad de los Sistemas de Informacin.
Las Administraciones Pblicas utilizarn las tecnologas de la informacin en sus
relaciones con las dems administraciones y con los ciudadanos, aplicando medidas
informticas, tecnolgicas, organizativas, y de seguridad, que garanticen un adecuado nivel
de interoperabilidad tcnica, semntica y organizativa y eviten discriminacin a los
ciudadanos por razn de su eleccin tecnolgica.
Artculo 42. Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.
1. El Esquema Nacional de Interoperabilidad comprender el conjunto de criterios y
recomendaciones en materia de seguridad, conservacin y normalizacin de la informacin,
de los formatos y de las aplicaciones que debern ser tenidos en cuenta por las
Administraciones Pblicas para la toma de decisiones tecnolgicas que garanticen la
interoperabilidad.
2. El Esquema Nacional de Seguridad tiene por objeto establecer la poltica de seguridad
en la utilizacin de medios electrnicos en el mbito de la presente Ley, y est constituido
por los principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la
informacin.
3. Ambos Esquemas se elaborarn con la participacin de todas las Administraciones y
se aprobarn por Real Decreto del Gobierno, a propuesta de la Conferencia Sectorial de
Administracin Pblica y previo informe de la Comisin Nacional de Administracin Local,
debiendo mantenerse actualizados de manera permanente.
4. En la elaboracin de ambos Esquemas se tendrn en cuenta las recomendaciones de
la Unin Europea, la situacin tecnolgica de las diferentes Administraciones Pblicas, as
como los servicios electrnicos ya existentes. A estos efectos considerarn la utilizacin de
estndares abiertos as como, en su caso y de forma complementaria, estndares que sean
de uso generalizado por los ciudadanos.
Artculo 43. Red de comunicaciones de las Administraciones Pblicas espaolas.
La Administracin General del Estado, las Administraciones Autonmicas y las entidades
que integran la Administracin Local, as como los consorcios u otras entidades de
cooperacin constituidos a tales efectos por stas, adoptarn las medidas necesarias e
incorporarn en sus respectivos mbitos las tecnologas precisas para posibilitar la
interconexin de sus redes con el fin de crear una red de comunicaciones que interconecte
los sistemas de informacin de las Administraciones Pblicas espaolas y permita el
intercambio de informacin y servicios entre las mismas, as como la interconexin con las
redes de las Instituciones de la Unin Europea y de otros Estados Miembros.
Artculo 44. Red integrada de Atencin al Ciudadano.
1. Las Administraciones Pblicas podrn suscribir convenios de colaboracin con objeto
de articular medidas e instrumentos de colaboracin para la implantacin coordinada y
normalizada de una red de espacios comunes o ventanillas nicas.
2. En particular, y de conformidad con lo dispuesto en el apartado anterior, se
implantarn espacios comunes o ventanillas nicas para obtener la informacin prevista en
el artculo 6.3 de esta Ley y para realizar los trmites y procedimientos a los que hace
referencia el apartado a) de dicho artculo.
23
CAPTULO III
Reutilizacin de aplicaciones y transferencia de tecnologas
Artculo 45. Reutilizacin de sistemas y aplicaciones de propiedad de la Administracin.
1. Las administraciones titulares de los derechos de propiedad intelectual de
aplicaciones, desarrolladas por sus servicios o cuyo desarrollo haya sido objeto de
contratacin, podrn ponerlas a disposicin de cualquier Administracin sin contraprestacin
y sin necesidad de convenio.
2. Las aplicaciones a las que se refiere el apartado anterior podrn ser declaradas como
de fuentes abiertas, cuando de ello se derive una mayor transparencia en el funcionamiento
de la Administracin Pblica o se fomente la incorporacin de los ciudadanos a la Sociedad
de la informacin
Artculo 46. Transferencia de tecnologa entre Administraciones.
1. Las Administraciones Pblicas mantendrn directorios actualizados de aplicaciones
para su libre reutilizacin, especialmente en aquellos campos de especial inters para el
desarrollo de la administracin electrnica y de conformidad con lo que al respecto se
establezca en el Esquema Nacional de Interoperabilidad.
2. La Administracin General del Estado, a travs de un centro para la transferencia de
la tecnologa, mantendr un directorio general de aplicaciones para su reutilizacin, prestar
asistencia tcnica para la libre reutilizacin de aplicaciones e impulsar el desarrollo de
aplicaciones, formatos y estndares comunes de especial inters para el desarrollo de la
administracin electrnica en el marco de los esquemas nacionales de interoperabilidad y
seguridad.
Disposicin adicional primera. Reunin de rganos colegiados por medios electrnicos.
1. Los rganos colegiados podrn constituirse y adoptar acuerdos utilizando medios
electrnicos, con respeto a los trmites esenciales establecidos en los artculos 26 y el 27.1
de la Ley 30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del
Procedimiento Administrativo Comn.
2. En la Administracin General del Estado, lo previsto en el apartado anterior se
efectuar de acuerdo con las siguientes especialidades:
a) Deber garantizarse la realizacin efectiva de los principios que la legislacin
establece respecto de la convocatoria, acceso a la informacin y comunicacin del orden del
da, en donde se especificarn los tiempos en los que se organizarn los debates, la
formulacin y conocimiento de las propuestas y la adopcin de acuerdos.
b) El rgimen de constitucin y adopcin de acuerdos garantizar la participacin de los
miembros de acuerdo con las disposiciones propias del rgano.
c) Las actas garantizarn la constancia de las comunicaciones producidas as como el
acceso de los miembros al contenido de los acuerdos adoptados.
Disposicin adicional segunda. Formacin de empleados pblicos.
La Administracin General del Estado promover la formacin del personal a su servicio
en la utilizacin de medios electrnicos para el desarrollo de las actividades propias de
aqulla.
En especial, los empleados pblicos de la Administracin General del Estado recibirn
formacin especfica que garantice conocimientos actualizados de las condiciones de
seguridad de la utilizacin de medios electrnicos en la actividad administrativa, as como de
proteccin de los datos de carcter personal, respeto a la propiedad intelectual e industrial y
gestin de la informacin.
24
27
ANEXO
Definiciones
A efectos de la presente ley, se entiende por:
a) Actuacin administrativa automatizada: Actuacin administrativa producida por un
sistema de informacin adecuadamente programado sin necesidad de intervencin de una
persona fsica en cada caso singular. Incluye la produccin de actos de trmite o resolutorios
de procedimientos, as como de meros actos de comunicacin.
b) Aplicacin: Programa o conjunto de programas cuyo objeto es la resolucin de un
problema mediante el uso de informtica.
c) Aplicacin de fuentes abiertas: Aquella que se distribuye con una licencia que permite
la libertad de ejecutarla, de conocer el cdigo fuente, de modificarla o mejorarla y de
redistribuir copias a otros usuarios.
d) Autenticacin: Acreditacin por medios electrnicos de la identidad de una persona o
ente, del contenido de la voluntad expresada en sus operaciones, transacciones y
documentos, y de la integridad y autora de estos ltimos.
e) Canales: Estructuras o medios de difusin de los contenidos y servicios; incluyendo el
canal presencial, el telefnico y el electrnico, as como otros que existan en la actualidad o
puedan existir en el futuro (dispositivos mviles, TDT, etc).
f) Certificado electrnico: Segn el artculo 6 de la Ley 59/2003, de 19 de diciembre, de
Firma Electrnica, Documento firmado electrnicamente por un prestador de servicios de
certificacin que vincula unos datos de verificacin de firma a un firmante y confirma su
identidad.
g) Certificado electrnico reconocido: Segn el artculo 11 de la Ley 59/2003, de 19 de
diciembre, de Firma Electrnica: Son certificados reconocidos los certificados electrnicos
expedidos por un prestador de servicios de certificacin que cumpla los requisitos
establecidos en esta Ley en cuanto a la comprobacin de la identidad y dems
circunstancias de los solicitantes y a la fiabilidad y las garantas de los servicios de
certificacin que presten.
h) Ciudadano: Cualesquiera personas fsicas, personas jurdicas y entes sin
personalidad que se relacionen, o sean susceptibles de relacionarse, con las
Administraciones Pblicas.
i) Direccin electrnica: Identificador de un equipo o sistema electrnico desde el que se
provee de informacin o servicios en una red de comunicaciones.
j) Documento electrnico: Informacin de cualquier naturaleza en forma electrnica,
archivada en un soporte electrnico segn un formato determinado y susceptible de
identificacin y tratamiento diferenciado.
k) Estndar abierto: Aquel que rena las siguientes condiciones:
sea pblico y su utilizacin sea disponible de manera gratuita o a un coste que no
suponga una dificultad de acceso,
su uso y aplicacin no est condicionado al pago de un derecho de propiedad
intelectual o industrial.
l) Firma electrnica: Segn el artculo 3 de la Ley 59/2003, de 19 de diciembre, de Firma
Electrnica, conjunto de datos en forma electrnica, consignados junto a otros o asociados
con ellos, que pueden ser utilizados como medio de identificacin del firmante.
m) Firma electrnica avanzada: Segn el artculo 3 de la Ley 59/2003, de 19 de
diciembre, de Firma Electrnica, firma electrnica que permite identificar al firmante y
detectar cualquier cambio ulterior de los datos firmados, que est vinculada al firmante de
manera nica y a los datos a que se refiere y que ha sido creada por medios que el firmante
puede mantener bajo su exclusivo control.
n) Firma electrnica reconocida: Segn el artculo 3 de la Ley 59/2003, de 19 de
diciembre, de Firma Electrnica, firma electrnica avanzada basada en un certificado
reconocido y generada mediante un dispositivo seguro de creacin de firma.
28
29
2
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla
parcialmente la Ley 11/2007, de 22 de junio, de acceso electrnico
de los ciudadanos a los servicios pblicos
Ministerio de la Presidencia
BOE nm. 278, de 18 de noviembre de 2009
ltima modificacin: sin modificaciones
Referencia: BOE-A-2009-18358
30
31
32
TTULO I
Disposiciones generales
Artculo 1. Objeto y mbito de aplicacin.
1. El presente real decreto tiene por objeto desarrollar la Ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos en el mbito de la
Administracin General del Estado y los organismos pblicos vinculados o dependientes de
sta, en lo relativo a la transmisin de datos, sedes electrnicas y punto de acceso general,
identificacin y autenticacin, registros electrnicos, comunicaciones y notificaciones y
documentos electrnicos y copias.
2. Sus disposiciones son de aplicacin:
a) A la actividad de la Administracin General del Estado, as como de los organismos
pblicos vinculados o dependientes de la misma.
b) A los ciudadanos en sus relaciones con las entidades referidas en el prrafo anterior.
c) A las relaciones entre los rganos y organismos a los que se refiere el prrafo a).
Artculo 2. Transmisiones de datos y documentos, incluidos certificados, entre rganos y
organismos de la Administracin General del Estado con ocasin del ejercicio reconocido por
el artculo 6.2.b) de la Ley 11/2007, de 22 de junio.
1. Cuando los ciudadanos ejerzan el derecho a no aportar datos y documentos que
obren en poder de las Administraciones Pblicas establecido en el artculo 6.2.b) de la Ley
11/2007, de 22 de junio, ante los rganos administrativos incluidos en el mbito de aplicacin
del apartado 2.a) del artculo 1, de este real decreto, se seguirn las siguientes reglas:
a) La Administracin facilitar a los interesados en los procedimientos administrativos el
ejercicio del derecho, que podr efectuarse por medios electrnicos.
En todo caso, los interesados sern informados expresamente de que el ejercicio del
derecho implica su consentimiento, en los trminos establecidos por el artculo 6. 2b) de la
Ley 11/2007, de 22 de junio, para que el rgano y organismo ante el que se ejercita pueda
recabar los datos o documentos respecto de los que se ejercita el derecho de los rganos u
organismos en que los mismos se encuentren.
El derecho se ejercitar de forma especfica e individualizada para cada procedimiento
concreto, sin que el ejercicio del derecho ante un rgano u organismo implique un
consentimiento general referido a todos los procedimientos que aquel tramite en relacin con
el interesado.
b) En cualquier momento, los interesados podrn aportar los datos o documentos o
certificados necesarios, as como revocar su consentimiento para el acceso a datos de
carcter personal.
33
36
37
39
CAPTULO II
Identificacin y autenticacin de sedes electrnicas y de las comunicaciones
que realicen los rganos de la Administracin General del Estado u
organismos pblicos vinculados o dependientes de aqulla
Artculo 17. Identificacin de sedes electrnicas de la Administracin General del Estado y
de sus organismos pblicos vinculados o dependientes.
1. Las sedes electrnicas se identificarn mediante sistemas de firma electrnica
basados en certificados de dispositivo seguro o medio equivalente. Con carcter adicional y
para su identificacin inmediata, los ciudadanos dispondrn de la informacin general
obligatoria que debe constar en las mismas de acuerdo con lo establecido en el presente
real decreto.
2. Para facilitar su identificacin, las sedes electrnicas seguirn las disposiciones
generales que se establezcan para la imagen institucional de la Administracin General del
Estado y su direccin electrnica incluir el nombre de dominio de tercer nivel .gob.es.
Artculo 18. Certificados de sede electrnica de la Administracin General del Estado y de
sus organismos pblicos vinculados o dependientes.
1. Los certificados electrnicos de sede electrnica tendrn, al menos, los siguientes
contenidos:
a) Descripcin del tipo de certificado, con la denominacin sede electrnica.
b) Nombre descriptivo de la sede electrnica.
c) Denominacin del nombre del dominio.
d) Nmero de identificacin fiscal de la entidad suscriptora.
e) Unidad administrativa suscriptora del certificado.
2. El uso de los certificados de sede electrnica est limitado a la identificacin de la
sede, quedando excluida su aplicacin para la firma electrnica de documentos y trmites.
3. El Esquema Nacional de Seguridad, al que se refiere el artculo 42 de la Ley 11/2007,
de 22 de junio, determinar las caractersticas y requisitos que cumplirn los sistemas de
firma electrnica, los certificados y los medios equivalentes que se establezcan en las sedes
electrnicas para la identificacin y garanta de una comunicacin segura.
Artculo 19. Sistemas de firma electrnica mediante sello electrnico.
1. La creacin de sellos electrnicos se realizar mediante resolucin de la
Subsecretara del Ministerio o titular del organismo pblico competente, que se publicar en
la sede electrnica correspondiente y en la que deber constar:
a) Organismo u rgano titular del sello que ser el responsable de su utilizacin, con
indicacin de su adscripcin en la Administracin General del Estado u organismo pblico
dependiente de la misma.
b) Caractersticas tcnicas generales del sistema de firma y certificado aplicable.
c) Servicio de validacin para la verificacin del certificado.
d) Actuaciones y procedimientos en los que podr ser utilizado.
2. Los certificados de sello electrnico tendrn, al menos, los siguientes contenidos:
a) Descripcin del tipo de certificado, con la denominacin sello electrnico.
b) Nombre del suscriptor.
c) Nmero de identificacin fiscal del suscriptor.
3. El modo de emitir los certificados electrnicos de sello electrnico se definir en el
Esquema Nacional de Seguridad.
40
41
42
43
TTULO IV
Registros electrnicos
Artculo 26. Registros electrnicos.
Todos los Departamentos Ministeriales de la Administracin General del Estado, as
como sus organismos pblicos, debern disponer de un servicio de registro electrnico,
propio o proporcionado por otro rgano u organismo, para la recepcin y remisin de
solicitudes, escritos y comunicaciones correspondientes a los procedimientos y actuaciones
de su competencia.
Artculo 27. Creacin de registros electrnicos.
1. La creacin de registros electrnicos se efectuar mediante orden del Ministro
respectivo o resolucin del titular del organismo pblico, previa aprobacin del Ministro de la
Presidencia salvo para los organismos pblicos en los que no resulte preceptiva, de acuerdo
con su normativa especfica de organizacin. Los organismos pblicos podrn utilizar los
registros electrnicos del departamento ministerial del que dependan, para lo cual
suscribirn el correspondiente Convenio.
2. Las disposiciones que creen registros electrnicos contendrn, al menos:
a) rgano o unidad responsable de la gestin.
b) Fecha y hora oficial y referencia al calendario de das inhbiles que sea aplicable.
c) Identificacin del rgano u rganos competentes para la aprobacin y modificacin de
la relacin de documentos electrnicos normalizados, que sean del mbito de competencia
del registro, e identificacin de los trmites y procedimientos a que se refieren.
d) Medios de presentacin de documentacin complementaria a una comunicacin,
escrito o solicitud previamente presentada en el registro electrnico.
3. En ningn caso tendrn la condicin de registro electrnico los buzones de correo
electrnico corporativo asignado a los empleados pblicos o a las distintas unidades y
rganos.
4. Tampoco tendrn la consideracin de registro electrnico los dispositivos de recepcin
de fax, salvo aquellos supuestos expresamente previstos en el ordenamiento jurdico.
Artculo 28. Funciones de los registros electrnicos.
Los registros electrnicos realizarn las siguientes funciones:
a) La recepcin y remisin de solicitudes, escritos y comunicaciones relativas a los
trmites y procedimientos que correspondan de acuerdo con su norma de creacin, y de los
documentos adjuntos, as como la emisin de los recibos necesarios para confirmar la
recepcin en los trminos previstos en el artculo 25 de la Ley 11/2007, de 22 de junio.
b) La remisin electrnica de escritos, solicitudes y comunicaciones a las personas,
rganos o unidades destinatarias en los trminos del presente real decreto y del artculo
24.2.b) de la Ley 11/2007, de 22 de junio.
c) La anotacin de los correspondientes asientos de entrada y salida.
d) Funciones de constancia y certificacin en los supuestos de litigios, discrepancias o
dudas acerca de la recepcin o remisin de solicitudes, escritos y comunicaciones.
Artculo 29. Solicitudes, escritos y comunicaciones que pueden ser rechazados en los
registros electrnicos.
1. Los registros electrnicos podrn rechazar los documentos electrnicos que se les
presenten, en las siguientes circunstancias:
a) Que se trate de documentos dirigidos a rganos u organismos fuera del mbito de la
Administracin General del Estado.
44
45
46
CAPTULO II
Notificaciones electrnicas
Artculo 35. Prctica de notificaciones por medios electrnicos.
1. Los rganos y organismos pblicos de la Administracin General del Estado
habilitarn sistemas de notificacin electrnica de acuerdo con lo dispuesto en el presente
captulo.
2. La prctica de notificaciones por medios electrnicos podr efectuarse, de alguna de
las formas siguientes:
a) Mediante la direccin electrnica habilitada en la forma regulada en el artculo 38 de
este real decreto.
b) Mediante sistemas de correo electrnico con acuse de recibo que deje constancia de
la recepcin en la forma regulada en el artculo 39 de este real decreto.
c) Mediante comparecencia electrnica en la sede en la forma regulada en el artculo 40
de este real decreto.
d) Otros medios de notificacin electrnica que puedan establecerse, siempre que quede
constancia de la recepcin por el interesado en el plazo y en las condiciones que se
establezcan en su regulacin especfica.
Artculo 36. Eleccin del medio de notificacin.
1. Las notificaciones se efectuarn por medios electrnicos cuando as haya sido
solicitado o consentido expresamente por el interesado o cuando haya sido establecida
como obligatoria conforme a lo dispuesto en los artculos 27.6 y 28.1 de la Ley 11/2007, de
22 de junio.
2. La solicitud deber manifestar la voluntad de recibir las notificaciones por alguna de
las formas electrnicas reconocidas, e indicar un medio de notificacin electrnica vlido
conforme a lo establecido en el presente real decreto.
3. Tanto la indicacin de la preferencia en el uso de medios electrnicos como el
consentimiento podrn emitirse y recabarse, en todo caso, por medios electrnicos.
4. Cuando la notificacin deba admitirse obligatoriamente por medios electrnicos, el
interesado podr elegir entre las distintas formas disponibles salvo que la normativa que
establece la notificacin electrnica obligatoria seale una forma especfica.
5. Cuando, como consecuencia de la utilizacin de distintos medios, electrnicos o no
electrnicos, se practiquen varias notificaciones de un mismo acto administrativo, se
entendern producidos todos los efectos jurdicos derivados de la notificacin, incluido el
inicio del plazo para la interposicin de los recursos que procedan, a partir de la primera de
las notificaciones correctamente practicada. Las Administraciones pblicas podrn advertirlo
de este modo en el contenido de la propia notificacin.
6. Se entender consentida la prctica de la notificacin por medios electrnicos
respecto de una determinada actuacin administrativa cuando, tras haber sido realizada por
una de las formas vlidamente reconocidas para ello, el interesado realice actuaciones que
supongan el conocimiento del contenido y alcance de la resolucin o acto objeto de la
notificacin. La notificacin surtir efecto a partir de la fecha en que el interesado realice
dichas actuaciones.
En el supuesto previsto en el prrafo anterior, el resto de las resoluciones o actos del
procedimiento debern notificarse por el medio y en la forma que proceda conforme a lo
dispuesto en la Ley 11/2007, de 22 de junio, y en el presente real decreto.
Artculo 37. Modificacin del medio de notificacin.
1. Durante la tramitacin del procedimiento el interesado podr requerir al rgano
correspondiente que las notificaciones sucesivas no se practiquen por medios electrnicos,
utilizndose los dems medios admitidos en el artculo 59 de la Ley 30/1992, de 26 de
noviembre, excepto en los casos en que la notificacin por medios electrnicos tenga
47
48
TTULO VI
Los documentos electrnicos y sus copias
CAPTULO I
Disposiciones comunes sobre los documentos electrnicos
Artculo 41. Caractersticas del documento electrnico.
1. Los documentos electrnicos debern cumplir los siguientes requisitos para su
validez:
a) Contener informacin de cualquier naturaleza.
b) Estar archivada la informacin en un soporte electrnico segn un formato
determinado y susceptible de identificacin y tratamiento diferenciado.
c) Disponer de los datos de identificacin que permitan su individualizacin, sin perjuicio
de su posible incorporacin a un expediente electrnico.
2. Los documentos administrativos electrnicos debern, adems de cumplir las
anteriores condiciones, haber sido expedidos y firmados electrnicamente mediante los
sistemas de firma previstos en los artculos 18 y 19 de la Ley 11/2007, de 22 de junio, y
ajustarse a los requisitos de validez previstos en la Ley 30/1992, de 26 de noviembre.
Artculo 42. Adicin de metadatos a los documentos electrnicos.
1. Se entiende como metadato, a los efectos de este real decreto, cualquier tipo de
informacin en forma electrnica asociada a los documentos electrnicos, de carcter
instrumental e independiente de su contenido, destinada al conocimiento inmediato y
automatizable de alguna de sus caractersticas, con la finalidad de garantizar la
disponibilidad, el acceso, la conservacin y la interoperabilidad del propio documento.
2. Los documentos electrnicos susceptibles de ser integrados en un expediente
electrnico, debern tener asociados metadatos que permitan su contextualizacin en el
marco del rgano u organismo, la funcin y el procedimiento administrativo al que
corresponde.
Adems, se asociar a los documentos electrnicos la informacin relativa a la firma del
documento as como la referencia temporal de los mismos, en la forma regulada en el
presente real decreto.
3. La asociacin de metadatos a los documentos electrnicos aportados por los
ciudadanos o emitidos por la Administracin General del Estado o sus organismos pblicos
ser, en todo caso, realizada por el rgano u organismo actuante, en la forma que en cada
caso se determine.
4. Los metadatos mnimos obligatorios asociados a los documentos electrnicos, as
como la asociacin de los datos de firma o de referencia temporal de los mismos, se
especificarn en el Esquema Nacional de Interoperabilidad.
5. Una vez asociados los metadatos a un documento electrnico, no podrn ser
modificados en ninguna fase posterior del procedimiento administrativo, con las siguientes
excepciones:
a) Cuando se observe la existencia de errores u omisiones en los metadatos inicialmente
asignados.
b) Cuando se trate de metadatos que requieran actualizacin, si as lo dispone el
Esquema Nacional de Interoperabilidad.
La modificacin de los metadatos deber ser realizada por el rgano competente
conforme a la normativa de organizacin especfica, o de forma automatizada conforme a las
normas que se establezcan al efecto.
6. Independientemente de los metadatos mnimos obligatorios a que se refiere el
apartado 4, los distintos rganos u organismos podrn asociar a los documentos electrnicos
49
50
52
53
54
Sin perjuicio de lo establecido, con carcter general, en el artculo 17.2, las direcciones
electrnicas actualmente existentes de los organismos pblicos que gocen de un alto nivel
de conocimiento pblico, podrn ser mantenidas con la misma identificacin electrnica.
Disposicin adicional quinta. Plataforma de verificacin de certificados de la Fbrica
Nacional de Moneda y Timbre-Real Casa de la Moneda.
De conformidad con las facultades que otorga a la Fbrica Nacional de Moneda y
Timbre-Real Casa de la Moneda el artculo 81 de la Ley 66/1997, de 30 de diciembre, de
Medidas Fiscales, Administrativas y del Orden Social en relacin con la disposicin adicional
cuarta de la Ley 59/2003, de 19 de diciembre, de firma electrnica, la plataforma de
verificacin de certificados desarrollada por esta entidad se integrar en el sistema nacional
de verificacin de certificados regulado en el artculo 25.3 del presente real decreto,
cumpliendo con lo especificado en el artculo 25.4.
El Ministerio de la Presidencia y la Fbrica Nacional de Moneda y Timbre-Real Casa de
la Moneda adoptarn las medidas para conseguir la permanente y perfecta coordinacin
operativa y la coherencia tcnica de ambas plataformas de verificacin, con la finalidad de
asegurar su interoperabilidad y garantizar el mejor servicio a las Administraciones y los
ciudadanos.
Disposicin adicional sexta. Ausencia de impacto presupuestario.
La aplicacin de las previsiones contenidas en este real decreto no deber ocasionar
incremento del gasto pblico ni disminucin de los ingresos pblicos. Por tanto, los
departamentos ministeriales afectados debern desarrollar las medidas derivadas de su
cumplimiento atenindose a sus disponibilidades presupuestarias ordinarias, no dando lugar,
en ningn caso, a planteamientos de necesidades adicionales de financiacin.
Disposicin transitoria primera. Sistemas de firma electrnica.
1. En tanto no se aprueben los Esquemas Nacionales de Interoperabilidad y de
Seguridad podrn seguir utilizndose los medios actualmente admitidos de identificacin y
autenticacin. Dichos esquemas establecern los plazos de aprobacin de las relaciones de
medios admitidos as como los plazos mximos de utilizacin de los medios que habiendo
sido utilizados no se adecen a las prescripciones de los mismos.
2. En particular, podr seguir utilizndose para los usos previstos en este real decreto y
con los mismos efectos jurdicos que el sello electrnico, la firma electrnica de persona
jurdica o del titular del rgano administrativo con observancia de lo dispuesto en la
normativa correspondiente.
55
57
3
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema
Nacional de Seguridad en el mbito de la Administracin Electrnica
Ministerio de la Presidencia
BOE nm. 25, de 29 de enero de 2010
ltima modificacin: sin modificaciones
Referencia: BOE-A-2010-1330
I
La necesaria generalizacin de la sociedad de la informacin es subsidiaria, en gran
medida, de la confianza que genere en los ciudadanos la relacin a travs de medios
electrnicos.
En el mbito de las Administraciones pblicas, la consagracin del derecho a
comunicarse con ellas a travs de medios electrnicos comporta una obligacin correlativa
de las mismas, que tiene, como premisas, la promocin de las condiciones para que la
libertad y la igualdad sean reales y efectivas, y la remocin de los obstculos que impidan o
dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen una
aplicacin segura de estas tecnologas.
A ello ha venido a dar respuesta el artculo 42.2 de la Ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, mediante la creacin del
Esquema Nacional de Seguridad, cuyo objeto es el establecimiento de los principios y
requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita la
adecuada proteccin de la informacin.
La finalidad del Esquema Nacional de Seguridad es la creacin de las condiciones
necesarias de confianza en el uso de los medios electrnicos, a travs de medidas para
garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios
electrnicos, que permita a los ciudadanos y a las Administraciones pblicas, el ejercicio de
derechos y el cumplimiento de deberes a travs de estos medios.
El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los
sistemas de informacin prestarn sus servicios y custodiarn la informacin de acuerdo con
sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin
que la informacin pueda llegar al conocimiento de personas no autorizadas. Se desarrollar
y perfeccionar en paralelo a la evolucin de los servicios y a medida que vayan
consolidndose los requisitos de los mismos y de las infraestructuras que lo apoyan.
Actualmente los sistemas de informacin de las administraciones pblicas estn
fuertemente imbricados entre s y con sistemas de informacin del sector privado: empresas
y administrados. De esta manera, la seguridad tiene un nuevo reto que va ms all del
aseguramiento individual de cada sistema. Es por ello que cada sistema debe tener claro su
permetro y los responsables de cada dominio de seguridad deben coordinarse
58
60
62
63
64
65
67
68
70
ANEXO I
Categoras de los sistemas
1. Fundamentos para la determinacin de la categora de un sistema.
La determinacin de la categora de un sistema se basa en la valoracin del impacto que
tendra sobre la organizacin un incidente que afectara a la seguridad de la informacin o de
los sistemas, con repercusin en la capacidad organizativa para:
a) Alcanzar sus objetivos.
b) Proteger los activos a su cargo.
c) Cumplir sus obligaciones diarias de servicio.
d) Respetar la legalidad vigente.
e) Respetar los derechos de las personas.
La determinacin de la categora de un sistema se realizar de acuerdo con lo
establecido en el presente real decreto, y ser de aplicacin a todos los sistemas empleados
para la prestacin de los servicios de la Administracin electrnica y soporte del
procedimiento administrativo general.
2. Dimensiones de la seguridad.
71
MEDIDAS DE SEGURIDAD
A
org
Marco organizativo
categora
aplica
org.1
Poltica de seguridad
categora
aplica
org.2
Normativa de seguridad
categora
aplica
org.3
Procedimientos de seguridad
categora
aplica
org.4
Proceso de autorizacin
Dimensiones
Afectadas
MEDIDAS DE SEGURIDAD
A
op
Marco operacional
op.pl
Planificacin
categora
aplica
++
op.pl.1
Anlisis de riesgos
categora
aplica
op.pl.2
Arquitectura de seguridad
categora
aplica
op.pl.3
n.a.
aplica
op.pl.4
categora
n.a.
n.a.
aplica
op.pl.5
Componentes certificados
op.acc
Control de acceso
AT
aplica
op.acc.1
Identificacin
ICAT
aplica
op.acc.2
Requisitos de acceso
ICAT
n.a.
aplica
op.acc.3
ICAT
aplica
op.acc.4
ICAT
aplica
++
op.acc.5
Mecanismo de autenticacin
ICAT
aplica
++
op.acc.6
ICAT
aplica
op.acc.7
op.exp
Explotacin
categora
aplica
op.exp.1
Inventario de activos
categora
aplica
op.exp.2
Configuracin de seguridad
categora
n.a.
aplica
op.exp.3
Gestin de la configuracin
categora
aplica
op.exp.4
Mantenimiento
categora
n.a.
aplica
op.exp.5
Gestin de cambios
categora
aplica
op.exp.6
categora
n.a.
aplica
op.exp.7
Gestin de incidencias
n.a.
n.a.
aplica
op.exp.8
categora
n.a.
aplica
op.exp.9
n.a.
n.a.
aplica
op.exp.10
categora
aplica
op.exp.11
op.ext
Servicios externos
categora
n.a.
aplica
op.ext.1
categora
n.a.
aplica
op.ext.2
Gestin diaria
n.a.
n.a.
aplica
op.ext.9
Medios alternativos
op.cont
n.a.
aplica
op.cont.1
Anlisis de impacto
n.a.
n.a.
aplica
op.cont.2
Plan de continuidad
n.a.
n.a.
aplica
op.cont.3
Pruebas peridicas
op.mon
74
MEDIDAS DE SEGURIDAD
Afectadas
categora
n.a.
n.a.
aplica
op.mon.1
Deteccin de intrusin
categora
n.a.
n.a.
aplica
op.mon.2
Sistema de mtricas
op
Marco operacional
Dimensiones
Afectadas
MEDIDAS DE SEGURIDAD
A
mp
Medidas de proteccin
mp.if
categora
aplica
mp.if.1
categora
aplica
mp.if.2
categora
aplica
mp.if.3
aplica
mp.if.4
Energa elctrica
aplica
mp.if.5
n.a.
aplica
mp.if.6
categora
aplica
mp.if.7
n.a.
n.a.
aplica
mp.if.9
Instalaciones alternativas
mp.per
categora
n.a.
aplica
mp.per.1
categora
aplica
mp.per.2
Deberes y obligaciones
categora
aplica
mp.per.3
Concienciacin
categora
aplica
mp.per.4
Formacin
n.a.
n.a.
aplica
mp.per.9
Personal alternativo
mp.eq
categora
aplica
mp.eq.1
n.a.
aplica
mp.eq.2
categora
aplica
mp.eq.3
n.a.
aplica
mp.eq.9
Medios alternativos
mp.com
categora
aplica
mp.com.1
Permetro seguro
n.a.
aplica
mp.com.2
Proteccin de la confidencialidad
IA
aplica
++
mp.com.3
categora
n.a.
n.a.
aplica
mp.com.4
Segregacin de redes
n.a.
n.a.
aplica
mp.com.9
Medios alternativos
mp.si
aplica
mp.si.1
Etiquetado
IC
n.a.
aplica
mp.si.2
Criptografa
categora
aplica
mp.si.3
Custodia
categora
aplica
mp.si.4
Transporte
n.a.
aplica
mp.si.5
Borrado y destruccin
mp.sw
categora
n.a.
aplica
mp.sw.1
Desarrollo
categora
aplica
++
mp.sw.2
mp.info
Proteccin de la informacin
categora
aplica
mp.info.1
aplica
mp.info.2
Calificacin de la informacin
n.a.
n.a.
aplica
mp.info.3
Cifrado
IA
aplica
++
mp.info.4
Firma electrnica
75
MEDIDAS DE SEGURIDAD
Afectadas
n.a.
n.a.
aplica
mp.info.5
Sellos de tiempo
aplica
mp.info.6
Limpieza de documentos
n.a.
aplica
mp.info.9
mp.s
categora
aplica
mp.s.1
categora
aplica
mp.s.2
n.a.
aplica
mp.s.8
n.a.
n.a.
aplica
mp.s.9
Medios alternativos
mp
Medidas de proteccin
Todas
categora
bsica
media
alta
aplica
76
Todas
categora
bsica
media
alta
aplica
Todas
categora
bsica
media
alta
aplica
Todas
categora
bsica
media
alta
aplica
Se establecer un proceso formal de autorizaciones que cubra todos los elementos del
sistema de informacin:
a) Utilizacin de instalaciones, habituales y alternativas.
b) Entrada de equipos en produccin, en particular, equipos que involucren criptografa.
c) Entrada de aplicaciones en produccin.
d) Establecimiento de enlaces de comunicaciones con otros sistemas.
e) Utilizacin de medios de comunicacin, habituales y alternativos.
f) Utilizacin de soportes de informacin.
g) Utilizacin de equipos mviles. Se entender por equipos mviles ordenadores
porttiles, PDA, u otros de naturaleza anloga.
4. Marco operacional [op]
El marco operacional est constituido por las medidas a tomar para proteger la operacin
del sistema como conjunto integral de componentes para un fin.
4.1 Planificacin [op.pl].
4.1.1 Anlisis de riesgos [op.pl.1].
dimensiones
Todas
categora
bsica
media
alta
aplica
++
77
todas
categora
bsica
media
alta
aplica
78
todas
categora
bsica
media
alta
aplica
nivel
bajo
medio
alto
no aplica
aplica
Nivel MEDIO
Con carcter previo a la puesta en explotacin, se realizar un estudio previo que cubrir
los siguientes aspectos:
a) Necesidades de procesamiento.
b) Necesidades de almacenamiento de informacin: durante su procesamiento y durante
el periodo que deba retenerse.
d) Necesidades de comunicacin.
e) Necesidades de personal: cantidad y cualificacin profesional.
f) Necesidades de instalaciones y medios auxiliares.
4.1.5 Componentes certificados [op.pl.5].
dimensiones
categora
todas
bsica
media
alta
no aplica
no aplica
aplica
Categora ALTA
Se utilizarn preferentemente sistemas, productos o equipos cuyas funcionalidades de
seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y
que estn certificados por entidades independientes de reconocida solvencia.
Tendrn la consideracin de normas europeas o internacionales, ISO/IEC 15408 u otras
de naturaleza y calidad anlogas.
Tendrn la consideracin de entidades independientes de reconocida solvencia las
recogidas en los acuerdos o arreglos internacionales de reconocimiento mutuo de los
certificados de la seguridad de la tecnologa de la informacin u otras de naturaleza anloga.
4.2 Control de acceso. [op.acc].
79
AT
bajo
medio
alto
aplica
La identificacin de los usuarios del sistema se realizar de acuerdo con lo que se indica
a continuacin:
a) Se asignar un identificador singular para cada entidad (usuario o proceso) que
accede al sistema, de tal forma que:
1. Se puede saber quin recibe y qu derechos de acceso recibe.
2. Se puede saber quin ha hecho algo y qu ha hecho.
b) Las cuentas de usuario se gestionarn de la siguiente forma:
1. Cada cuenta estar asociada a un identificador nico.
2. Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja
la organizacin; cuando el usuario cesa en la funcin para la cual se requera la cuenta de
usuario; o, cuando la persona que la autoriz, da orden en sentido contrario.
3. Las cuentas se retendrn durante el periodo necesario para atender a las
necesidades de trazabilidad de los registros de actividad asociados a las mismas. A este
periodo se le denominar periodo de retencin.
4.2.2 Requisitos de acceso [op.acc.2].
dimensiones
nivel
ICAT
bajo
medio
alto
aplica
ICAT
bajo
medio
alto
no aplica
aplica
Nivel MEDIO
El sistema de control de acceso se organizar de forma que se exija la concurrencia de
dos o ms personas para realizar tareas crticas, anulando la posibilidad de que un solo
individuo autorizado, pueda abusar de sus derechos para cometer alguna accin ilcita.
En concreto, se separarn al menos las siguientes funciones:
a) Desarrollo de operacin.
b) Configuracin y mantenimiento del sistema de operacin.
c) Auditora o supervisin de cualquier otra funcin.
4.2.4 Proceso de gestin de derechos de acceso [op.acc.4].
dimensiones
nivel
ICAT
bajo
medio
alto
aplica
ICAT
bajo
medio
alto
aplica
++
MEDIO
ALTO
claves concertadas
Con cautela
no
Tokens
si
criptogrficos
algo que se es
Biometra
+ doble factor
ICAT
bajo
medio
alto
aplica
++
Se considera acceso local al realizado desde puestos de trabajo dentro de las propias
instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las
dimensiones de seguridad:
Nivel BAJO
a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar a
acceder al mismo. La informacin revelada a quien intenta acceder, debe ser la mnima
imprescindible (los dilogos de acceso proporcionarn solamente la informacin
indispensable).
b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de acceso
una vez efectuados un cierto nmero de fallos consecutivos.
c) Se registrarn los accesos con xito, y los fallidos.
82
ICAT
bajo
medio
alto
aplica
Todas
categora
bsica
media
alta
aplica
Todas
categora
bsica
media
alta
aplica
83
todas
bsica
media
alta
no aplica
aplica
Categora MEDIA
Se gestionar de forma continua la configuracin de los componentes del sistema de
forma que:
a) Se mantenga en todo momento la regla de funcionalidad mnima ([op.exp.2]).
b) Se mantenga en todo momento la regla de seguridad por defecto ([op.exp.2]).
c) El sistema se adapte a las nuevas necesidades, previamente autorizadas ([op.acc.4]).
d) El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).
e) El sistema reaccione a incidencias (ver [op.exp.7]).
4.3.4 Mantenimiento [op.exp.4].
dimensiones
todas
categora
bsica
media
alta
aplica
todas
bsica
media
alta
no aplica
aplica
Categora MEDIA
Se mantendr un control continuo de cambios realizados en el sistema, de forma que:
a) Todos los cambios anunciados por el fabricante o proveedor sern analizados para
determinar su conveniencia para ser incorporados, o no.
b) Antes de poner en produccin una nueva versin o una versin parcheada, se
comprobar en un equipo que no est en produccin, que la nueva instalacin funciona
84
todas
categora
bsica
media
alta
aplica
Se considera cdigo daino: los virus, los gusanos, los troyanos, los programas espas,
conocidos en terminologa inglesa como spyware, y en general, todo lo conocido como
malware.
Se dispondr de mecanismos de prevencin y reaccin frente a cdigo daino con
mantenimiento de acuerdo a las recomendaciones del fabricante.
4.3.7 Gestin de incidencias [op.exp.7].
dimensiones
categora
todas
bsica
media
alta
no aplica
aplica
Categora MEDIA
Se dispondr de un proceso integral para hacer frente a los incidentes que puedan tener
un impacto en la seguridad del sistema, incluyendo:
a) Procedimiento de reporte de incidentes reales o sospechosos, detallando el escalado
de la notificacin.
b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de servicios, el
aislamiento del sistema afectado, la recogida de evidencias y proteccin de los registros,
segn convenga al caso.
c) Procedimiento de asignacin de recursos para investigar las causas, analizar las
consecuencias y resolver el incidente.
d) Procedimientos para informar a las partes interesadas, internas y externas.
e) Procedimientos para:
1. Prevenir que se repita el incidente.
2. Incluir en los procedimientos de usuario la identificacin y forma de tratar el incidente.
3. Actualizar, extender, mejorar u optimizar los procedimientos de resolucin de
incidencias.
La gestin de incidentes que afecten a datos de carcter personal tendr en cuenta lo
dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo, sin
perjuicio de cumplir, adems, las medidas establecidas por este real decreto.
4.3.8 Registro de la actividad de los usuarios [op.exp.8].
dimensiones
nivel
T
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
85
todas
bsica
media
alta
no aplica
aplica
Categora MEDIA
Se registrarn todas las actuaciones relacionadas con la gestin de incidencias, de
forma que:
a) Se registrar el reporte inicial, las actuaciones de emergencia y las modificaciones del
sistema derivadas del incidente.
b) Se registrar aquella evidencia que pueda, posteriormente, sustentar una demanda
judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias
sobre el personal interno, sobre proveedores externos o a la persecucin de delitos. En la
determinacin de la composicin y detalle de estas evidencias, se recurrir a asesoramiento
legal especializado.
c) Como consecuencia del anlisis de las incidencias, se revisar la determinacin de los
eventos auditables.
4.3.10 Proteccin de los registros de actividad [op.exp.10].
dimensiones
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
Se protegern los registros del sistema, de forma que:
a) Se determinar el periodo de retencin de los registros.
b) Se asegurar la fecha y hora. Ver [mp.info.5].
c) Los registros no podrn ser modificados ni eliminados por personal no autorizado.
d) Las copias de seguridad, si existen, se ajustarn a los mismos requisitos.
4.3.11 Proteccin de claves criptogrficas [op.exp.11].
dimensiones
todas
categora
bsica
media
alta
aplica
Las claves criptogrficas se protegern durante todo su ciclo de vida: (1) generacin, (2)
transporte al punto de explotacin, (3) custodia durante la explotacin, (4) archivo posterior a
su retirada de explotacin activa y (5) destruccin final.
Categora BSICA
86
todas
bsica
media
alta
no aplica
aplica
Categora MEDIA
Previa a la utilizacin de recursos externos se establecern contractualmente las
caractersticas del servicio prestado y las responsabilidades de las partes. Se detallar lo
que se considera calidad mnima del servicio prestado y las consecuencias de su
incumplimiento.
4.4.2 Gestin diaria [op.ext.2].
dimensiones
categora
todas
bsica
media
alta
no aplica
aplica
Categora MEDIA
Para la gestin diaria del sistema, se establecern los siguientes puntos:
a) Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio y el
procedimiento para neutralizar cualquier desviacin fuera del margen de tolerancia acordado
([op.ext.1]).
b) El mecanismo y los procedimientos de coordinacin para llevar a cabo las tareas de
mantenimiento de los sistemas afectados por el acuerdo.
c) El mecanismo y los procedimientos de coordinacin en caso de incidencias y
desastres (ver [op.exp.7]).
4.4.3 Medios alternativos [op.ext.9].
dimensiones
nivel
D
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
87
nivel
bajo
medio
alto
no aplica
aplica
Nivel MEDIO
Se realizar un anlisis de impacto que permita determinar:
a) Los requisitos de disponibilidad de cada servicio medidos como el impacto de una
interrupcin durante un cierto periodo de tiempo.
b) Los elementos que son crticos para la prestacin de cada servicio.
4.5.2 Plan de continuidad [op.cont.2].
dimensiones
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
Se desarrollar un plan de continuidad que establezca las acciones a ejecutar en caso
de interrupcin de los servicios prestados con los medios habituales. Este plan contemplar
los siguientes aspectos:
a) Se identificarn funciones, responsabilidades y actividades a realizar.
b) Existir una previsin de los medios alternativos que se va a conjugar para poder
seguir prestando los servicios.
c) Todos los medios alternativos estarn planificados y materializados en acuerdos o
contratos con los proveedores correspondientes.
d) Las personas afectadas por el plan recibirn formacin especfica relativa a su papel
en dicho plan.
e) El plan de continuidad ser parte integral y armnica de los planes de continuidad de
la organizacin en otras materias ajenas a la seguridad.
4.5.3 Pruebas peridicas [op.cont.3].
dimensiones
nivel
D
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
Se realizarn pruebas peridicas para localizar y, corregir en su caso, los errores o
deficiencias que puedan existir en el plan de continuidad
4.6 Monitorizacin del sistema [op.mon].
El sistema estar sujeto a medidas de monitorizacin de su actividad.
4.6.1 Deteccin de intrusin [op.mon.1].
88
todas
categora
bsica
media
alta
no aplica
no aplica
aplica
Categora ALTA
Se dispondrn de herramientas de deteccin o de prevencin de intrusin.
4.6.2 Sistema de mtricas [op.mon.2].
dimensiones
categora
todas
bsica
media
alta
no aplica
no aplica
aplica
Categora ALTA
Se establecer un conjunto de indicadores que mida el desempeo real del sistema en
materia de seguridad, en los siguientes aspectos:
a) Grado de implantacin de las medidas de seguridad.
b) Eficacia y eficiencia de las medidas de seguridad.
c) Impacto de los incidentes de seguridad.
5. Medidas de proteccin [mp]
Las medidas de proteccin, se centrarn en proteger activos concretos, segn su
naturaleza, con el nivel requerido en cada dimensin de seguridad.
5.1 Proteccin de las instalaciones e infraestructuras [mp.if].
5.1.1 reas separadas y con control de acceso [mp.if.1].
dimensiones
todas
categora
bsica
media
alta
aplica
todas
categora
bsica
media
alta
aplica
todas
categora
bsica
media
alta
aplica
89
nivel
bajo
medio
alto
aplica
Nivel BAJO
Los locales donde se ubiquen los sistemas de informacin y sus componentes
dispondrn de la energa elctrica, y sus tomas correspondientes, necesaria para su
funcionamiento, de forma que en los mismos:
a) Se garantizar el suministro de potencia elctrica.
b) Se garantizar el correcto funcionamiento de las luces de emergencia.
Nivel MEDIO
Se garantizar el suministro elctrico a los sistemas en caso de fallo del suministro
general, garantizando el tiempo suficiente para una terminacin ordenada de los procesos,
salvaguardando la informacin.
5.1.5 Proteccin frente a incendios [mp.if.5].
dimensiones
nivel
bajo
medio
alto
aplica
D
bajo
medio
alto
no aplica
aplica
Nivel MEDIO
Los locales donde se ubiquen los sistemas de informacin y sus componentes se
protegern frente a incidentes fortuitos o deliberados causados por el agua.
5.1.7 Registro de entrada y salida de equipamiento [mp.if.7].
dimensiones
todas
categora
bsica
media
alta
aplica
90
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
Se garantizar la existencia y disponibilidad de instalaciones alternativas para poder
trabajar en caso de que las instalaciones habituales no estn disponibles. Las instalaciones
alternativas disfrutarn de las mismas garantas de seguridad que las instalaciones
habituales.
5.2 Gestin del personal [mp.per].
5.2.1 Caracterizacin del puesto de trabajo [mp.per.1].
dimensiones
categora
todas
bsica
media
alta
no aplica
aplica
Categora MEDIA
Cada puesto de trabajo se caracterizar de la siguiente forma:
a) Se definirn las responsabilidades relacionadas con cada puesto de trabajo en
materia de seguridad. La definicin se basar en el anlisis de riesgos.
b) Se definirn los requisitos que deben satisfacer las personas que vayan a ocupar el
puesto de trabajo, en particular, en trminos de confidencialidad.
c) Dichos requisitos se tendrn en cuenta en la seleccin de la persona que vaya a
ocupar dicho puesto, incluyendo la verificacin de sus antecedentes laborales, formacin y
otras referencias.
5.2.2 Deberes y obligaciones [mp.per.2].
dimensiones
todas
categora
bsica
media
alta
aplica
91
todas
categora
bsica
media
alta
aplica
todas
categora
bsica
media
alta
aplica
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
Se garantizar la existencia y disponibilidad de otras personas que se puedan hacer
cargo de las funciones en caso de indisponibilidad del personal habitual. El personal
alternativo deber estar sometido a las mismas garantas de seguridad que el personal
habitual.
5.3 Proteccin de los equipos [mp.eq].
5.3.1 Puesto de trabajo despejado [mp.eq.1].
dimensiones
todas
categora
bsica
media
alta
aplica
Categora BSICA
Se exigir que los puestos de trabajo permanezcan despejados, sin ms material encima
de la mesa que el requerido para la actividad que se est realizando en cada momento
92
nivel
bajo
medio
alto
no aplica
aplica
Nivel MEDIO
El puesto de trabajo se bloquear al cabo de un tiempo prudencial de inactividad,
requiriendo una nueva autenticacin del usuario para reanudar la actividad en curso.
Nivel ALTO
Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas desde
dicho puesto de trabajo.
5.3.3 Proteccin de porttiles [mp.eq.3].
dimensiones
todas
categora
bsica
media
alta
aplica
Categora BSICA
Los equipos que abandonen las instalaciones de la organizacin y no puedan
beneficiarse de la proteccin fsica correspondiente, con un riesgo manifiesto de prdida o
robo, sern protegidos adecuadamente.
Sin perjuicio de las medidas generales que les afecten, se adoptarn las siguientes:
a) Se llevar un inventario de equipos porttiles junto con una identificacin de la
persona responsable del mismo y un control regular de que est positivamente bajo su
control.
b) Se establecer un canal de comunicacin para informar, al servicio de gestin de
incidencias, de prdidas o sustracciones.
c) Se establecer un sistema de proteccin perimetral que minimice la visibilidad exterior
y controle las opciones de acceso al interior cuando el equipo se conecte a redes, en
particular si el equipo se conecta a redes pblicas.
d) Se evitar, en la medida de lo posible, que el equipo contenga claves de acceso
remoto a la organizacin. Se considerarn claves de acceso remoto aquellas que sean
capaces de habilitar un acceso a otros equipos de la organizacin, u otras de naturaleza
anloga.
Categora ALTA
a) Se dotar al dispositivo de detectores de violacin que permitan saber el equipo ha
sido manipulado y activen los procedimientos previstos de gestin del incidente.
b) La informacin de nivel alto almacenada en el disco se proteger mediante cifrado.
5.3.4 Medios alternativos [mp.eq.9].
dimensiones
nivel
D
bajo
medio
alto
No aplica
aplica
93
todas
categora
bsica
media
alta
aplica
Categora BSICA
Se dispondr un sistema cortafuegos que separe la red interna del exterior. Todo el
trfico deber atravesar dicho cortafuegos que slo dejara transitar los flujos previamente
autorizados.
Categora ALTA
a) El sistema de cortafuegos constar de dos o ms equipos de diferente fabricante
dispuestos en cascada.
b) Se dispondrn sistemas redundantes.
5.4.2 Proteccin de la confidencialidad [mp.com.2].
dimensiones
nivel
C
bajo
medio
alto
no aplica
aplica
Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes
fuera del propio dominio de seguridad.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
Nivel ALTO
a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento y
utilizacin de la red privada virtual.
b) Se emplearn, preferentemente, productos certificados [op.pl.5].
5.4.3 Proteccin de la autenticidad y de la integridad [mp.com.3].
dimensiones
nivel
IA
bajo
medio
alto
aplica
++
Nivel BAJO
a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin antes de
intercambiar informacin alguna (ver [op.acc.5]).
b) Se prevendrn ataques activos, garantizando que al menos sern detectados. y se
activarn los procedimientos previstos de tratamiento del incidente Se considerarn ataques
activos:
1. La alteracin de la informacin en transito
2. La inyeccin de informacin espuria
94
todas
categora
bsica
media
alta
no aplica
no aplica
aplica
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
Se garantizar la existencia y disponibilidad de medios alternativos de comunicacin
para el caso de que fallen los medios habituales. Los medios alternativos de comunicacin:
a) Estarn sujetos y proporcionar las mismas garantas de proteccin que el medio
habitual.
b) Garantizarn un tiempo mximo de entrada en funcionamiento.
5.5 Proteccin de los soportes de informacin [mp.si].
5.5.1 Etiquetado [mp.si.1].
dimensiones
nivel
C
bajo
medio
alto
aplica
95
IC
nivel
bajo
medio
alto
no aplica
aplica
todas
categora
bsica
media
alta
aplica
todas
categora
bsica
media
alta
aplica
C
bajo
medio
alto
no aplica
aplica
96
todas
bsica
media
alta
no aplica
aplica
Categora MEDIA
a) El desarrollo de aplicaciones se realizar sobre un sistema diferente y separado del de
produccin, no debiendo existir herramientas o datos de desarrollo en el entorno de
produccin.
b) Se aplicar una metodologa de desarrollo reconocida que:
1. Tome en consideracin los aspectos de seguridad a lo largo de todo el ciclo de vida.
2. Trate especficamente los datos usados en pruebas.
3. Permita la inspeccin del cdigo fuente.
c) Los siguientes elementos sern parte integral del diseo del sistema:
1. Los mecanismos de identificacin y autenticacin.
2. Los mecanismos de proteccin de la informacin tratada.
3. La generacin y tratamiento de pistas de auditora.
d) Las pruebas anteriores a la implantacin o modificacin de los sistemas de
informacin no se realizarn con datos reales, salvo que se asegure el nivel de seguridad
correspondiente.
5.6.2 Aceptacin y puesta en servicio [mp.sw.2].
dimensiones
todas
categora
bsica
media
alta
aplica
++
Categora BSICA
Antes de pasar a produccin se comprobar el correcto funcionamiento de la aplicacin.
a) Se comprobar que:
1. Se cumplen los criterios de aceptacin en materia de seguridad.
2. No se deteriora la seguridad de otros componentes del servicio.
b) Las pruebas se realizarn en un entorno aislado (pre-produccin).
c) Las pruebas de aceptacin no se realizarn con datos reales, salvo que se asegure el
nivel de seguridad correspondiente.
Categora MEDIA
97
todas
categora
bsica
media
alta
aplica
C
bajo
medio
alto
aplica
Nivel BAJO
1. Para calificar la informacin se estar a lo establecido legalmente sobre la naturaleza
de la misma.
2. La poltica de seguridad establecer quin es el responsable de cada informacin
manejada por el sistema.
3. La poltica de seguridad recoger, directa o indirectamente, los criterios que, en cada
organizacin, determinarn el nivel de seguridad requerido, dentro del marco establecido en
el artculo 43 y los criterios generales prescritos en el Anexo I.
4. El responsable de cada informacin seguir los criterios determinados en el apartado
anterior para asignar a cada informacin el nivel de seguridad requerido, y ser responsable
de su documentacin y aprobacin formal.
5. El responsable de cada informacin en cada momento tendr en exclusiva la potestad
de modificar el nivel de seguridad requerido, de acuerdo a los apartados anteriores.
Nivel MEDIO
Se redactarn los procedimientos necesarios que describan, en detalle, la forma en que
se ha de etiquetar y tratar la informacin en consideracin al nivel de seguridad que requiere;
y precisando cmo se ha de realizar:
a) Su control de acceso.
b) Su almacenamiento.
c) La realizacin de copias.
d) El etiquetado de soportes.
e) Su transmisin telemtica.
f) Y cualquier otra actividad relacionada con dicha informacin.
98
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
Para el cifrado de informacin se estar a lo que se indica a continuacin:
a) La informacin con un nivel alto en confidencialidad se cifrar tanto durante su
almacenamiento como durante su transmisin. Slo estar en claro mientras se est
haciendo uso de ella.
b) Para el uso de criptografa en las comunicaciones, se estar a lo dispuesto en
[mp.com.2].
c) Para el uso de criptografa en los soportes de informacin, se estar a lo dispuesto en
[mp.si.2].
5.7.4 Firma electrnica [mp.info.4].
dimensiones
nivel
IA
bajo
medio
alto
aplica
++
nivel
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
Los sellos de tiempo prevendrn la posibilidad del repudio posterior:
1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser
utilizada como evidencia electrnica en el futuro.
2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con la
misma seguridad que la informacin fechada a efectos de disponibilidad, integridad y
confidencialidad.
3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida ya
no sea requerida por el proceso administrativo al que da soporte.
4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos.
Vase [op.exp.10].
5.7.6 Limpieza de documentos [mp.info.6].
dimensiones
nivel
C
bajo
medio
alto
aplica
100
D
bajo
medio
alto
no aplica
aplica
Nivel MEDIO
Se realizarn copias de respaldo que permitan recuperar datos perdidos accidental o
intencionadamente con una antigedad determinada.
Las copias de respaldo disfrutarn de la misma seguridad que los datos originales en lo
que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se
considerar la conveniencia o necesidad de que las copias de seguridad estn cifradas para
garantizar la confidencialidad.
Las copias de respaldo debern abarcar:
a) Informacin de trabajo de la organizacin.
b) Aplicaciones en explotacin, incluyendo los sistemas operativos.
c) Datos de configuracin, servicios, aplicaciones, equipos, u otros de naturaleza
anloga.
d) Claves utilizadas para preservar la confidencialidad de la informacin.
5.8 Proteccin de los servicios [mp.s].
5.8.1 Proteccin del correo electrnico (e-mail) [mp.s.1].
dimensiones
todas
categora
bsica
media
alta
aplica
El correo electrnico se proteger frente a las amenazas que le son propias, actuando
del siguiente modo:
a) La informacin distribuida por medio de correo electrnico, se proteger, tanto en el
cuerpo de los mensajes, como en los anexos.
b) Se proteger la informacin de encaminamiento de mensajes y establecimiento de
conexiones.
c) Se proteger a la organizacin frente a problemas que se materializan por medio del
correo electrnico, en concreto:
1. Correo no solicitado, en su expresin inglesa spam.
2. Programas dainos, constituidos por virus, gusanos, troyanos, espas, u otros de
naturaleza anloga.
3. Cdigo mvil de tipo applet.
d) Se establecern normas de uso del correo electrnico por parte del personal
determinado. Estas normas de uso contendrn:
1. Limitaciones al uso como soporte de comunicaciones privadas.
2. Actividades de concienciacin y formacin relativas al uso del correo electrnico.
5.8.2 Proteccin de servicios y aplicaciones web [mp.s.2].
dimensiones
todas
categora
bsica
media
alta
aplica
101
D
bajo
medio
alto
No aplica
aplica
Nivel MEDIO
Se establecern medidas preventivas y reactivas frente a ataques de denegacin de
servicio (DOS Denial of Service). Para ello:
a) Se planificar y dotar al sistema de capacidad suficiente para atender a la carga
prevista con holgura.
b) Se desplegarn tecnologas para prevenir los ataques conocidos.
Nivel ALTO
a) Se establecer un sistema de deteccin de ataques de denegacin de servicio.
b) Se establecern procedimientos de reaccin a los ataques, incluyendo la
comunicacin con el proveedor de comunicaciones.
c) Se impedir el lanzamiento de ataques desde las propias instalaciones perjudicando a
terceros.
5.8.4 Medios alternativos [mp.s.9].
dimensiones
nivel
D
bajo
medio
alto
no aplica
no aplica
aplica
Nivel ALTO
Se garantizar la existencia y disponibilidad de medios alternativos para prestar los
servicios en el caso de que fallen los medios habituales. Estos medios alternativos estarn
sujetos a las mismas garantas de proteccin que los medios habituales.
6. Desarrollo y complemento de las medidas de seguridad
Las medidas de seguridad se desarrollarn y complementarn segn lo establecido en la
disposicin final segunda.
102
103
105
4
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema
Nacional de Interoperabilidad en el mbito de la Administracin
Electrnica
Ministerio de la Presidencia
BOE nm. 25, de 29 de enero de 2010
ltima modificacin: 8 de noviembre de 2011
Referencia: BOE-A-2010-1331
I
La interoperabilidad es la capacidad de los sistemas de informacin y de los
procedimientos a los que stos dan soporte, de compartir datos y posibilitar el intercambio de
informacin y conocimiento entre ellos. Resulta necesaria para la cooperacin, el desarrollo,
la integracin y la prestacin de servicios conjuntos por las Administraciones pblicas; para
la ejecucin de las diversas polticas pblicas; para la realizacin de diferentes principios y
derechos; para la transferencia de tecnologa y la reutilizacin de aplicaciones en beneficio
de una mejor eficiencia; para la cooperacin entre diferentes aplicaciones que habiliten
nuevos servicios; todo ello facilitando el desarrollo de la administracin electrnica y de la
sociedad de la informacin.
En el mbito de las Administraciones pblicas, la consagracin del derecho de los
ciudadanos a comunicarse con ellas a travs de medios electrnicos comporta una
obligacin correlativa de las mismas. Esta obligacin tiene, como premisas, la promocin de
las condiciones para que la libertad y la igualdad sean reales y efectivas, as como la
remocin de los obstculos que impidan o dificulten el ejercicio pleno del principio de
neutralidad tecnolgica y de adaptabilidad al progreso de las tecnologas de la informacin y
las comunicaciones, garantizando con ello la independencia en la eleccin de las alternativas
tecnolgicas por los ciudadanos, as como la libertad de desarrollar e implantar los avances
tecnolgicos en un mbito de libre mercado.
La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios
pblicos, reconoce el protagonismo de la interoperabilidad y se refiere a ella como uno de los
aspectos en los que es obligado que las previsiones normativas sean comunes y debe ser,
por tanto, abordado por la regulacin del Estado. La interoperabilidad se recoge dentro del
principio de cooperacin en el artculo 4 y tiene un protagonismo singular en el ttulo cuarto
dedicado a la Cooperacin entre Administraciones para el impulso de la administracin
electrnica. En dicho ttulo el aseguramiento de la interoperabilidad de los sistemas y
aplicaciones empleados por las Administraciones pblicas figura en el artculo 40 entre las
funciones del rgano de cooperacin en esta materia, el Comit Sectorial de Administracin
Electrnica. A continuacin, el artculo 41 se refiere a la aplicacin por parte de las
Administraciones pblicas de las medidas informticas, tecnolgicas y organizativas, y de
106
108
CAPTULO VI
Infraestructuras y servicios comunes
Artculo 12. Uso de infraestructuras y servicios comunes y herramientas genricas.
Las Administraciones pblicas enlazarn aquellas infraestructuras y servicios que
puedan implantar en su mbito de actuacin con las infraestructuras y servicios comunes
que proporcione la Administracin General del Estado para facilitar la interoperabilidad y la
relacin multilateral en el intercambio de informacin y de servicios entre todas las
Administraciones pblicas.
CAPTULO VII
Comunicaciones de las Administraciones pblicas
Artculo 13. Red de comunicaciones de las Administraciones pblicas espaolas.
1. Al objeto de satisfacer lo previsto en el artculo 43 de la Ley 11/2007, de 22 de junio,
las Administraciones pblicas utilizarn preferentemente la Red de comunicaciones de las
Administraciones pblicas espaolas para comunicarse entre s, para lo cual conectarn a la
misma, bien sus respectivas redes, bien sus nodos de interoperabilidad, de forma que se
facilite el intercambio de informacin y de servicios entre las mismas, as como la
interconexin con las redes de las Instituciones de la Unin Europea y de otros Estados
miembros.
La Red SARA prestar la citada Red de comunicaciones de las Administraciones
pblicas espaolas.
2. Para la conexin a la Red de comunicaciones de las Administraciones pblicas
espaolas sern de aplicacin los requisitos previstos en la disposicin adicional primera.
Artculo 14. Plan de direccionamiento de la Administracin.
Las Administraciones pblicas aplicarn el Plan de direccionamiento e interconexin de
redes en la Administracin, aprobado por el Consejo Superior de Administracin Electrnica,
para su interconexin a travs de las redes de comunicaciones de las Administraciones
pblicas.
Artculo 15. Hora oficial.
1. Los sistemas o aplicaciones implicados en la provisin de un servicio pblico por va
electrnica se sincronizarn con la hora oficial, con una precisin y desfase que garanticen la
certidumbre de los plazos establecidos en el trmite administrativo que satisfacen.
2. La sincronizacin de la fecha y la hora se realizar con el Real Instituto y Observatorio
de la Armada, de conformidad con lo previsto sobre la hora legal en el Real Decreto
1308/1992, de 23 de octubre, por el que se declara al Laboratorio del Real Instituto y
Observatorio de la Armada, como laboratorio depositario del patrn nacional de Tiempo y
laboratorio asociado al Centro Espaol de Metrologa y, cuando sea posible, con la hora
oficial a nivel europeo.
CAPTULO VIII
Reutilizacin y transferencia de tecnologa
Artculo 16. Condiciones de licenciamiento aplicables.
1. Las condiciones de licenciamiento de las aplicaciones y de la documentacin
asociada, y de otros objetos de informacin de los cuales las Administraciones pblicas sean
titulares de los derechos de propiedad intelectual y que stas puedan poner a disposicin de
otras Administraciones pblicas y de los ciudadanos, sin contraprestacin y sin necesidad de
convenio, tendrn en cuenta que el fin perseguido es el aprovechamiento y la reutilizacin,
112
117
CAPTULO XII
Actualizacin
Artculo 29. Actualizacin permanente.
El Esquema Nacional de Interoperabilidad se deber mantener actualizado de manera
permanente. Se desarrollar y perfeccionar a lo largo del tiempo, en paralelo al progreso de
los servicios de Administracin Electrnica, de la evolucin tecnolgica y a medida que
vayan consolidndose las infraestructuras que le apoyan.
Disposicin adicional primera. Desarrollo del Esquema Nacional de Interoperabilidad.
1. Se desarrollarn las siguientes normas tcnicas de interoperabilidad que sern de
obligado cumplimiento por parte de las Administraciones pblicas:
a) Catlogo de estndares: establecer un conjunto de estndares que satisfagan lo
previsto en el artculo 11 de forma estructurada y con indicacin de los criterios de seleccin
y ciclo de vida aplicados.
b) Documento electrnico: tratar los metadatos mnimos obligatorios, la asociacin de
los datos y metadatos de firma o de sellado de tiempo, as como otros metadatos
complementarios asociados; y los formatos de documento.
c) Digitalizacin de documentos: Tratar los formatos y estndares aplicables, los niveles
de calidad, las condiciones tcnicas y los metadatos asociados al proceso de digitalizacin.
d) Expediente electrnico: tratar de su estructura y formato, as como de las
especificaciones de los servicios de remisin y puesta a disposicin.
e) Poltica de firma electrnica y de certificados de la Administracin: Tratar, entre otras
cuestiones recogidas en su definicin en el anexo, aquellas que afectan a la
interoperabilidad incluyendo los formatos de firma, los algoritmos a utilizar y longitudes
mnimas de las claves, las reglas de creacin y validacin de la firma electrnica, la gestin
de las polticas de firma, el uso de las referencias temporales y de sello de tiempo, as como
la normalizacin de la representacin de la firma electrnica en pantalla y en papel para el
ciudadano y en las relaciones entre las Administraciones pblicas.
f) Protocolos de intermediacin de datos: tratar las especificaciones de los protocolos
de intermediacin de datos que faciliten la integracin y reutilizacin de servicios en las
Administraciones pblicas y que sern de aplicacin para los prestadores y consumidores de
tales servicios.
g) Relacin de modelos de datos que tengan el carcter de comunes en la
Administracin y aquellos que se refieran a materias sujetas a intercambio de informacin
con los ciudadanos y otras administraciones.
h) Poltica de gestin de documentos electrnicos: incluir directrices para la asignacin
de responsabilidades, tanto directivas como profesionales, y la definicin de los programas,
procesos y controles de gestin de documentos y administracin de los repositorios
electrnicos, y la documentacin de los mismos, a desarrollar por las Administraciones
pblicas y por las Entidades de Derecho Pblico vinculadas o dependientes de aqullas.
i) Requisitos de conexin a la Red de comunicaciones de las Administraciones pblicas
espaolas.
j) Procedimientos de copiado autntico y conversin entre documentos electrnicos, as
como desde papel u otros medios fsicos a formatos electrnicos.
k) Modelo de Datos para el intercambio de asientos entre las Entidades Registrales:
tratar de aspectos funcionales y tcnicos para el intercambio de asientos registrales,
gestin de errores y excepciones, gestin de anexos, requerimientos tecnolgicos y
transformaciones de formatos.
l) Reutilizacin de recursos de informacin: tratar de las normas comunes sobre la
localizacin, descripcin e identificacin unvoca de los recursos de informacin puestos a
disposicin del pblico por medios electrnicos para su reutilizacin.
2. El Ministerio de la Presidencia, a propuesta del Comit Sectorial de Administracin
Electrnica previsto en el artculo 40 de la Ley 11/2007, de 22 de junio, aprobar las normas
118
120
121
122
123
5
Orden HAP/566/2013, de 8 de abril, por la que se regula el Registro
Electrnico Comn
124
127
128
131
6
Orden HAP/1637/2012, de 5 de julio, por la que se regula el Registro
Electrnico de Apoderamientos
132
133
134
136
137
Artculo 11. Acceso electrnico al Registro por la Administracin General del Estado y sus
organismos pblicos.
El Registro ofrecer los siguientes procedimientos de acceso a la informacin a los
departamentos ministeriales y organismos pblicos adheridos al mismo:
a) Descarga bajo peticin de un fichero, que contendr todos los apoderamientos
vigentes y vlidos para los trmites y actuaciones por medios electrnicos de los que el
rgano peticionario sea competente. El fichero contendr todos los datos de los
apoderamientos que se enumeran en el artculo 8.
b) Acceso en lnea mediante servicios web, a los efectos de comprobar automticamente
y en tiempo real desde las aplicaciones que un apoderamiento est vigente. Las peticiones
al Registro, relativas a los apoderamientos vigentes y vlidos para los trmites y actuaciones
por medios electrnicos de las que el rgano peticionario sea competente, se enviarn por
un canal seguro de comunicaciones y debern firmarse con un certificado de componente o
de sello electrnico del citado rgano. La aplicacin de soporte al Registro mantendr traza
de todas las peticiones recibidas.
Artculo 12. Proteccin de Datos de Carcter Personal.
Con la finalidad de dar cumplimiento a lo establecido en el artculo 6 de la Ley Orgnica
15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, cuando el
poderdante o el apoderado fueran persona fsica, deber constar su consentimiento al
tratamiento automatizado de sus datos que resulte necesario para el adecuado
funcionamiento del Registro de apoderamientos. Este consentimiento, que no ser necesario
reiterar para cada apoderamiento, dejar a salvo el ejercicio de los derechos de acceso,
rectificacin y cancelacin establecidos en la citada Ley Orgnica 15/1999, de 13 de
diciembre.
Artculo 13. Fichero de Proteccin de Datos.
(Derogado)
Disposicin adicional primera. Adhesin al Registro.
El mbito de aplicacin previsto en el artculo 1 de esta Orden podr extenderse a otras
Administraciones Pblicas, mediante la formalizacin de un convenio al efecto con el
Ministerio de Hacienda y Administraciones Pblicas.
Disposicin adicional segunda. No incremento de gasto pblico.
La constitucin y funcionamiento del registro se atendern con los medios personales y
materiales existentes en el Ministerio de Hacienda y Administraciones Pblicas, y en ningn
caso podr generar incremento de gasto pblico.
Disposicin final primera. Modificacin de formularios.
Corresponde a la Secretara de Estado de Administraciones Pblicas la modificacin de
los formularios para la inscripcin en el Registro, que se incluye en el anexo I de la presente
Orden, para la revocacin de poderes, que se incluye en el Anexo II, para la renuncia de
apoderamientos, que se incluye en el anexo III, as como la aprobacin de otros formularios
que, en su caso, resulten precisos para la gestin de dicho Registro.
Disposicin final segunda. Entrada en vigor.
La presente Orden entrar en vigor a los dos meses de su publicacin en el Boletn
Oficial del Estado.
138
ANEXO I
139
140
ANEXO II
141
142
ANEXO III
ANEXO IV
(Derogado)
143
7
Real Decreto 181/2008, de 8 de febrero, de ordenacin del diario
oficial Boletn Oficial del Estado
Ministerio de la Presidencia
BOE nm. 37, de 12 de febrero de 2008
ltima modificacin: sin modificaciones
Referencia: BOE-A-2008-2389
144
145
Artculo 4. Caractersticas.
1. El Boletn Oficial del Estado se publicar todos los das del ao, salvo los domingos.
2. En la cabecera del ejemplar diario, de cada disposicin, acto o anuncio y de cada una
de sus pginas figurar:
a) El escudo de Espaa.
b) La denominacin Boletn Oficial del Estado,
c) El nmero del ejemplar diario, que ser correlativo desde el comienzo de cada ao.
d) La fecha de publicacin.
e) El nmero de pgina, que ser correlativo desde el comienzo de cada ao.
3. En el pie de la pgina final de cada disposicin, acto o anuncio se incluir la direccin
de la sede electrnica y el cdigo de verificacin que permita contrastar su autenticidad.
4. La fecha de publicacin de las disposiciones, actos y anuncios ser la que figure en la
cabecera y en cada una de las pginas del ejemplar diario en que se inserten.
5. En cada nmero del diario oficial se incluir un sumario de su contenido.
6. Todas las disposiciones, actos y anuncios abrirn pgina y figurarn numerados de
modo correlativo desde el comienzo de cada ao.
Artculo 5. Competencias.
1. Corresponde al Ministerio de la Presidencia, a travs de la Direccin General del
Secretariado del Gobierno la ordenacin y control de la publicacin de las disposiciones y
actos administrativos que deban insertarse en el Boletn Oficial del Estado, velando
especialmente por el orden de prioridad de las inserciones, la salvaguardia de las
competencias de los distintos rganos de la Administracin y el cumplimiento de los
requisitos formales necesarios en cada caso. Podr tambin decidir la publicacin, en su
caso, de nmeros extraordinarios.
2. Corresponde a la Agencia Estatal Boletn Oficial del Estado la edicin, publicacin y
difusin del diario oficial Boletn Oficial del Estado.
CAPTULO II
Contenido del Boletn Oficial del Estado
Artculo 6. Contenido.
1. En el Boletn Oficial del Estado se publicarn:
a) Las disposiciones generales de los rganos del Estado y los tratados o convenios
internacionales.
b) Las disposiciones generales de las comunidades autnomas, de acuerdo con lo
establecido en los Estatutos de Autonoma y en las normas con rango de ley dictadas para el
desarrollo de los mismos.
c) Las resoluciones y actos de los rganos constitucionales del Estado, de acuerdo con
lo establecido en sus respectivas leyes orgnicas.
d) Las disposiciones que no sean de carcter general, las resoluciones y actos de los
departamentos ministeriales y de otros rganos del Estado y Administraciones pblicas,
cuando una ley o un real decreto as lo establezcan.
e) Las convocatorias, citaciones, requisitorias y anuncios cuando una ley o un real
decreto as lo establezcan.
2. El Consejo de Ministros podr excepcionalmente acordar la publicacin de informes,
documentos o comunicaciones oficiales, cuya difusin sea considerada de inters general.
Artculo 7. Estructura del diario oficial.
1. El contenido del Boletn Oficial del Estado se distribuye en las siguientes secciones:
Seccin I: Disposiciones generales.
146
147
149
151
152
8
Orden PRE/1563/2006, de 19 de mayo, por la que se regula el
procedimiento para la remisin telemtica de las disposiciones y
actos administrativos de los departamentos ministeriales que deban
publicarse en el Boletn Oficial del Estado
Ministerio de la Presidencia
BOE nm. 123, de 24 de mayo de 2006
ltima modificacin: 11 de abril de 2008
Referencia: BOE-A-2006-9004
153
154
155
9
Orden PRE/3949/2006, de 26 de diciembre, por la que se establece
la configuracin, caractersticas, requisitos y procedimientos de
acceso al Sistema de Verificacin de Datos de Identidad
Ministerio de la Presidencia
BOE nm. 310, de 28 de diciembre de 2006
ltima modificacin: sin modificaciones
Referencia: BOE-A-2006-22786
156
157
ANEXO
Reglamento Tcnico del Sistema de Verificacin de Datos de Identidad
Primero. Descripcin del Sistema de Verificacin de Datos de Identidad.
El Sistema de Verificacin de Datos de Identidad puesto a disposicin de los
Departamentos y Organismos de la Administracin General del Estado por parte del
Ministerio de Administraciones Pblicas se establece como servicio horizontal para la
consulta y comprobacin de los datos del Documento de Identificacin del Ciudadano
custodiados por la Direccin General de la Polica y de la Guardia Civil en base a lo
dispuesto en la Ley Orgnica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad,
que atribuye al Cuerpo Nacional de Polica, la funcin de expedicin del Documento
Nacional de Identidad y el control de entrada y salida del territorio nacional de espaoles y
extranjeros. Informacin que se encuentra registrada y custodiada en los ficheros de la
Direccin General de la Polica y de la Guardia Civil, que soportan la gestin del documento
nacional de identidad y la Tarjeta de Identificacin de Extranjeros (Sus denominaciones,
conforme a las rdenes INT/1751/2002, de 20 de junio e INT/2190/2006, de 19 de junio, son
ADDNIFIL y ADEXTTRA, respectivamente).
Segundo. Adopcin de medidas de seguridad, organizativas o tcnicas de los organismos y
aplicaciones que accedan al Sistema de Verificacin de Datos de Identidad.
1. Con carcter general los organismos que accedan al Sistema de Verificacin de Datos
de Identidad cumplirn con las medidas de seguridad, conservacin y normalizacin que se
detallan en los Criterios de seguridad, normalizacin y conservacin de las aplicaciones
utilizadas para el ejercicio de potestades aprobados por el Consejo Superior de
Administracin Electrnica mediante Resolucin de 26 de mayo de 2003 y revisiones
posteriores.
2. El alcance e intensidad de aplicacin de las medidas de seguridad, conservacin y
normalizacin vendrn determinadas por el resultado del anlisis y gestin de riesgos que se
realice, recomendndose a estos efectos la utilizacin de la Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin (MAGERIT) del Consejo Superior de
Administracin Electrnica.
3. Lo dispuesto en esta Orden Ministerial se aplicar de conformidad con lo previsto en la
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y
en el Reglamento de Medidas de Seguridad de los ficheros automatizados de datos de
carcter personal aprobado por Real Decreto 994/1999, de 11 de junio.
Tercero. Acceso al Sistema de Verificacin de Datos de Identidad.
1. El acceso al Sistema de Verificacin de Datos de Identidad se realizar a travs del
Sistema de Aplicaciones y Redes para las Administraciones Pblicas, siguiendo el esquema
de conexin que sta tiene establecido para cualquier organismo pblico. Slo en casos
debidamente justificados y previa aprobacin, por parte de la Secretara del Consejo
Superior de Administracin Electrnica, de un plan para la ordenacin de las
comunicaciones se habilitarn temporalmente mecanismos de conexin alternativos.
2. El Sistema de Verificacin de Datos de Identidad presentar dos formas alternativas
de acceso para realizar las correspondientes consultas sobre la veracidad de ciertos datos
de identidad:
Un interfaz accesible a travs de un navegador de Internet, conforme al RFC 2616:
Protocolo de Transferencia de Hipertexto - HTTP/1.1 del IETF, donde un empleado pblico,
debidamente acreditado e identificado, podr realizar consultas con slo disponer de un
navegador con acceso al Sistema de Aplicaciones y Redes para las Administraciones
Pblicas y firma electrnica.
Un interfaz automatizado de servicio web, conforme al estndar WSDL 1.1 o superior del
W3C cuya definicin inicial, y sucesivas actualizaciones, sern puestas a disposicin de los
158
159
160
10
Orden PRE/4008/2006, de 27 de diciembre, por la que se establece
la configuracin, caractersticas, requisitos y procedimientos de
acceso al Sistema de Verificacin de Datos de Residencia
Ministerio de la Presidencia
BOE nm. 1, de 1 de enero de 2007
ltima modificacin: sin modificaciones
Referencia: BOE-A-2007-1
161
162
163
164
165
11
Ley 59/2003, de 19 de diciembre, de firma electrnica
JUAN CARLOS I
REY DE ESPAA
ley.
EXPOSICIN DE MOTIVOS
I
El Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrnica, fue aprobado
con el objetivo de fomentar la rpida incorporacin de las nuevas tecnologas de seguridad
de las comunicaciones electrnicas en la actividad de las empresas, los ciudadanos y las
Administraciones pblicas. De este modo, se coadyuvaba a potenciar el crecimiento y la
competitividad de la economa espaola mediante el rpido establecimiento de un marco
jurdico para la utilizacin de una herramienta que aporta confianza en la realizacin de
transacciones electrnicas en redes abiertas como es el caso de Internet. El citado real
decreto ley incorpor al ordenamiento pblico espaol la Directiva 1999/93/CE del
Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un
marco comunitario para la firma electrnica, incluso antes de su promulgacin y publicacin
en el Diario Oficial de las Comunidades Europeas.
Tras su ratificacin por el Congreso de los Diputados, se acord la tramitacin del Real
Decreto Ley 14/1999 como proyecto de ley, con el fin de someterlo a una ms amplia
consulta pblica y al posterior debate parlamentario para perfeccionar su texto. No obstante,
esta iniciativa decay al expirar el mandato de las Cmaras en marzo de 2000. Esta ley, por
tanto, es el resultado del compromiso asumido en la VI Legislatura, actualizando a la vez el
marco establecido en el Real Decreto Ley 14/1999 mediante la incorporacin de las
modificaciones que aconseja la experiencia acumulada desde su entrada en vigor tanto en
nuestro pas como en el mbito internacional.
166
167
168
169
172
TTULO II
Certificados electrnicos
CAPTULO I
Disposiciones generales
Artculo 6. Concepto de certificado electrnico y de firmante.
1. Un certificado electrnico es un documento firmado electrnicamente por un prestador
de servicios de certificacin que vincula unos datos de verificacin de firma a un firmante y
confirma su identidad.
2. El firmante es la persona que posee un dispositivo de creacin de firma y que acta en
nombre propio o en nombre de una persona fsica o jurdica a la que representa.
Artculo 7. Certificados electrnicos de personas jurdicas.
1. Podrn solicitar certificados electrnicos de personas jurdicas sus administradores,
representantes legales y voluntarios con poder bastante a estos efectos.
Los certificados electrnicos de personas jurdicas no podrn afectar al rgimen de
representacin orgnica o voluntaria regulado por la legislacin civil o mercantil aplicable a
cada persona jurdica.
2. La custodia de los datos de creacin de firma asociados a cada certificado electrnico
de persona jurdica ser responsabilidad de la persona fsica solicitante, cuya identificacin
se incluir en el certificado electrnico.
3. Los datos de creacin de firma slo podrn ser utilizados cuando se admita en las
relaciones que mantenga la persona jurdica con las Administraciones pblicas o en la
contratacin de bienes o servicios que sean propios o concernientes a su giro o trfico
ordinario.
Asimismo, la persona jurdica podr imponer lmites adicionales, por razn de la cuanta
o de la materia, para el uso de dichos datos que, en todo caso, debern figurar en el
certificado electrnico.
4. Se entendern hechos por la persona jurdica los actos o contratos en los que su firma
se hubiera empleado dentro de los lmites previstos en el apartado anterior.
Si la firma se utiliza transgrediendo los lmites mencionados, la persona jurdica quedar
vinculada frente a terceros slo si los asume como propios o se hubiesen celebrado en su
inters. En caso contrario, los efectos de dichos actos recaern sobre la persona fsica
responsable de la custodia de los datos de creacin de firma, quien podr repetir, en su
caso, contra quien los hubiera utilizado.
5. Lo dispuesto en este artculo no ser de aplicacin a los certificados que sirvan para
verificar la firma electrnica del prestador de servicios de certificacin con la que firme los
certificados electrnicos que expida.
6. Lo dispuesto en este artculo no ser de aplicacin a los certificados que se expidan a
favor de las Administraciones pblicas, que estarn sujetos a su normativa especfica.
Artculo 8. Extincin de la vigencia de los certificados electrnicos.
1. Son causas de extincin de la vigencia de un certificado electrnico:
a) Expiracin del perodo de validez que figura en el certificado.
b) Revocacin formulada por el firmante, la persona fsica o jurdica representada por
ste, un tercero autorizado o la persona fsica solicitante de un certificado electrnico de
persona jurdica.
c) Violacin o puesta en peligro del secreto de los datos de creacin de firma del firmante
o del prestador de servicios de certificacin o utilizacin indebida de dichos datos por un
tercero.
d) Resolucin judicial o administrativa que lo ordene.
173
174
CAPTULO II
Certificados reconocidos
Artculo 11. Concepto y contenido de los certificados reconocidos.
1. Son certificados reconocidos los certificados electrnicos expedidos por un prestador
de servicios de certificacin que cumpla los requisitos establecidos en esta ley en cuanto a la
comprobacin de la identidad y dems circunstancias de los solicitantes y a la fiabilidad y las
garantas de los servicios de certificacin que presten.
2. Los certificados reconocidos incluirn, al menos, los siguientes datos:
a) La indicacin de que se expiden como tales.
b) El cdigo identificativo nico del certificado.
c) La identificacin del prestador de servicios de certificacin que expide el certificado y
su domicilio.
d) La firma electrnica avanzada del prestador de servicios de certificacin que expide el
certificado.
e) La identificacin del firmante, en el supuesto de personas fsicas, por su nombre y
apellidos y su nmero de documento nacional de identidad o a travs de un seudnimo que
conste como tal de manera inequvoca y, en el supuesto de personas jurdicas, por su
denominacin o razn social y su cdigo de identificacin fiscal.
f) Los datos de verificacin de firma que correspondan a los datos de creacin de firma
que se encuentren bajo el control del firmante.
g) El comienzo y el fin del perodo de validez del certificado.
h) Los lmites de uso del certificado, si se establecen.
i) Los lmites del valor de las transacciones para las que puede utilizarse el certificado, si
se establecen.
3. Los certificados reconocidos podrn asimismo contener cualquier otra circunstancia o
atributo especfico del firmante en caso de que sea significativo en funcin del fin propio del
certificado y siempre que aqul lo solicite.
4. Si los certificados reconocidos admiten una relacin de representacin incluirn una
indicacin del documento pblico que acredite de forma fehaciente las facultades del
firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de
ser obligatoria la inscripcin, de los datos registrales, de conformidad con el apartado 2 del
artculo 13.
Artculo 12. Obligaciones previas a la expedicin de certificados reconocidos.
Antes de la expedicin de un certificado reconocido, los prestadores de servicios de
certificacin debern cumplir las siguientes obligaciones:
a) Comprobar la identidad y circunstancias personales de los solicitantes de certificados
con arreglo a lo dispuesto en el artculo siguiente.
b) Verificar que la informacin contenida en el certificado es exacta y que incluye toda la
informacin prescrita para un certificado reconocido.
c) Asegurarse de que el firmante est en posesin de los datos de creacin de firma
correspondientes a los de verificacin que constan en el certificado.
d) Garantizar la complementariedad de los datos de creacin y verificacin de firma,
siempre que ambos sean generados por el prestador de servicios de certificacin.
Artculo 13. Comprobacin de la identidad y otras circunstancias personales de los
solicitantes de un certificado reconocido.
1. La identificacin de la persona fsica que solicite un certificado reconocido exigir su
personacin ante los encargados de verificarla y se acreditar mediante el documento
nacional de identidad, pasaporte u otros medios admitidos en derecho. Podr prescindirse
de la personacin si su firma en la solicitud de expedicin de un certificado reconocido ha
sido legitimada en presencia notarial.
175
176
177
178
179
180
181
182
183
189
190
12
Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la
expedicin del documento nacional de identidad y sus certificados de
firma electrnica
193
194
195
196
197
13
Orden PRE/878/2010, de 5 de abril, por la que se establece el
rgimen del sistema de direccin electrnica habilitada previsto en el
artculo 38.2 del Real Decreto 1671/2009, de 6 de noviembre
Ministerio de la Presidencia
BOE nm. 88, de 12 de abril de 2010
ltima modificacin: sin modificaciones
Referencia: BOE-A-2010-5788
199
201
202
14
Orden EHA/1307/2005, de 29 de abril, por la que se regula el empleo
de medios electrnicos en los procedimientos de contratacin
203
205
207
208
209
15
Orden EHA/1220/2008, de 30 de abril, por la que se aprueban las
instrucciones para operar en la Plataforma de Contratacin del
Estado
211
212
213
215
217
218
16
Orden ESS/484/2013, de 26 de marzo, por la que se regula el
Sistema de remisin electrnica de datos en el mbito de la
Seguridad Social
220
222
225
226
227
17
Resolucin de 21 de marzo de 2013, de la Secretara de Estado de
Administraciones Pblicas, por la que se aprueba la Gua de
Comunicacin Digital para la Administracin General del Estado
En los ltimos aos, la comunicacin con los ciudadanos y las empresas por medios
digitales a travs de portales web, sedes electrnicas, blogs, o redes sociales, a los que en
adelante en esta resolucin se denominarn bajo el trmino genrico de sitios web, ha
adquirido una importancia indiscutible para la Administracin General del Estado (AGE)
conformndose como una herramienta indispensable para la difusin de sus contenidos y
para fortalecer la participacin ciudadana e impulsar la transparencia de la actividad pblica.
Adems, cabe recordar que como consecuencia de la aplicacin de la Ley 11/2007, de
22 de junio de acceso electrnico de los ciudadanos a los servicios pblicos y del Ttulo II del
Real Decreto 1671/2009, de 6 de noviembre, de desarrollo parcial de dicha Ley, la AGE
ofrece actualmente la tramitacin electrnica de la prctica totalidad de los servicios
administrativos en sus sedes electrnicas.
Los estudios sobre el uso en un futuro prximo de los sitios web de las administraciones
pblicas coinciden en sealar que su utilizacin se va a incrementar, en primer lugar, por el
perfil de los usuarios, los llamados nativos digitales, cuyo modo de relacin natural con las
administraciones ser a travs de los medios digitales y en segundo lugar, por la
generalizacin en el uso de dispositivos mviles de tercera y cuarta generacin que
permitirn acceder e interactuar con dichos medios digitales con una mayor facilidad.
En este contexto, es esencial reforzar la confianza de los usuarios en los sitios web de la
AGE ya sea como medio de informacin, de participacin o para la utilizacin de los
servicios de las sedes electrnicas y es necesario tambin mejorar la usabilidad y la calidad
de dichos sitios web, mediante el impulso de la normalizacin de caractersticas tales como
su apariencia y sus condiciones de uso, as como mediante el cumplimiento de los requisitos
normativos.
As, la Gua de Comunicacin Digital para la Administracin General del Estado
presenta un marco de criterios, recomendaciones y buenas prcticas a tener en cuenta por
los Departamentos y Organismos vinculados o dependientes de la AGE, tanto al crear
nuevos sitios web como al dotarlos de contenidos o evolucionar y mantener los sitios ya
existentes.
La Gua tambin recopila la abundante normativa aplicable a los sitios web de la AGE y
en particular, en materia de: imagen institucional, multilingismo, accesibilidad o seguridad.
La presente Gua actualiza: la Gua para la edicin y publicacin de las pginas web de
la Administracin General del Estado de 2005 y de 2008; el Borrador de la Gua de
228
229
230