Resoluciˇ del rector de 7 de marš del 2017 sobre polÝtica de signatura i mecanismes d'identificaciˇ o d'autenticaciˇ i de signatura electr˛nica admesos a la Universitat Pompeu Fabra


D'acord amb el Reglament d'ús dels mitjans electrònics i del procediment administratiu electrònic en l'àmbit de la Universitat Pompeu Fabra, aprovat per Acord del Consell de Govern de 26 de gener del 2011, la identificació i acreditació de la voluntat dels òrgans administratius i de les persones ha de ser la que en cada cas es defineixi.

En l'article 13 del Reglament s'estableix que la Universitat pot utilitzar diversos sistemes per a la seva identificació electrònica i per a l'autenticació dels documents electrònics que produeixi, com ara sistemes de signatura electrònica basats en la utilització de certificats de dispositiu segur o un mitjà equivalent, per a la publicació d'informació i de documentació; sistemes de signatura electrònica per a l'actuació administrativa automatitzada; signatura electrònica de les persones que formen part de la comunitat universitària; intercanvi electrònic de dades en entorns tancats de comunicació.

D'altra banda, d'acord amb l'article 14 del Reglament, la utilització de signatura electrònica reconeguda és un requisit suficient per identificar i considerar acreditada la voluntat de les persones que presentin escrits per via electrònica en qualsevol procediment o tràmit, de conformitat amb el que preveu el reglament sense perjudici que la Universitat pugui establir altres tipus de signatura electrònica que permetin garantir la seguretat i la integritat en la identificació i l'acreditació de la voluntat de les persones, atenent a una sèrie de criteris com ara les característiques dels canals electrònics que s'hagin habilitat per a la realització del tràmit, la proporcionalitat entre el requisit imposat i la transcendència jurídica que pugui tenir el tràmit concret per a la persona interessada, l'exigència formal de signatura en relació amb l'escrit presentat que es pugui establir en la normativa de procediment administratiu general o sectorial, el nivell de seguretat jurídica en funció dels riscos associats a l'operativa i la disponibilitat de la tecnologia i dels recursos de la Universitat.

Atès que el 23 de juliol de 2014 el Parlament Europeu i el Consell de la Unió Europea van aprovar el Reglament Nº 910/2014 relatiu a la identificació electrònica i els serveis de confiança per les transaccions electròniques en el mercat interior (anomenat ReIdAS), que deroga l'antiga Directiva Europea 1999/93/CE de Signatura Electrònica i estableix les característiques i ús dels mecanismes d'identificació, signatura electrònica, i de tots aquells serveis de confiança que hi tenen relació. En concret, el Reglament estableix, d'acord al que especifica el seu article 1, el marc jurídic per les signatures electròniques, segells electrònics, segells de temps, documents electrònics i serveis d'entrega electrònica certificada, així com els serveis certificats d'autenticació web, així com les condicions en que s'han d'admetre els sistemes d'identificació electrònica de persones físiques i jurídiques que donen servei en d'altres Estats membres.

ReIdAS descriu un esquema de tres nivells de seguretat per als mecanismes d'identificació, que queden definits al Reglament d'Execució de la Comissió Europea 2015/1502 de 8 de Setembre de 2015. També defineix quatre tipus de signatura i segell electrònic que cada administració podrà acceptar i emprar d'acord als seus requisits normatius i de seguretat.

Per altra banda, la Llei 39/2015, d'1 d'octubre, de Procediment Administratiu Comú de les Administracions Públiques, en el seu Títol I, Capítol II, estableix, amb caràcter bàsic, un conjunt mínim de categories de mecanismes d'identificació i signatura electrònica a emprar per part de les administracions, que és coherent i complementari al especificat a ReIdAS. La llei fa una separació entre identificació i signatura electrònica i la simplificació dels mitjans per acreditar una o una altra, de manera que, amb caràcter general, només caldrà la primera, i s'exigirà la segona quan s'hagi d'acreditar la voluntat i el consentiment de l'interessat. Aquesta llei, en els articles 9 i 10, deixa en mans de cada entitat pública el determinar l'admissió de sistemes d'identificació i signatura a l'hora de portar a terme determinats tràmits o procediments, tot i que l'admissió dels sistemes basats en certificats digitals continua sent obligatòria. D'altra banda, la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, estableix en el seu Capítol V el funcionament electrònic del sector públic amb els sistemes d'autenticació i signatura a emprar per les entitats del sector públic.

Vista la Norma tècnica de Interoperabilitat de Política de Firma i Segell Electrònic i de Certificats de l'Administració, aprovada per Resolució de 27 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques.

Vist, a Catalunya, el Protocol d'Identificació i Signatura Electrònica, aprovat per Ordre del Departament de Governació i Relacions Institucionals (Ordre GRI/233/2015, de 20 de juliol del 2015), que marca els criteris d'acceptació i ús dels diferents mecanismes en l'àmbit de l'Administració de la Generalitat de Catalunya,

Vista, finalment, la Guia del Consorci AOC de Protocol d'Identificació i Signatura Electrònica, emesa conforme les competències que li atorga a aquest òrgan la Llei 26/2010, de 3 d'agost, de règim jurídic i de procediment de les administracions públiques de Catalunya, i que té per objecte oferir un conjunt de criteris comuns similars a la resta d'administracions, quant als aspectes tècnics i organitzatius necessaris per a la implantació dels sistemes de identificació i signatura electrònica per a cada tràmit o servei, als efectes de determinar el seu grau de seguretat.

En ús de les competències que m'atorga l'article 52 dels Estatuts de la Universitat Pompeu Fabra i el Reglament d'ús dels mitjans electrònics i del procediment administratiu electrònic en l'àmbit de la Universitat Pompeu Fabra, aprovat per Acord del Consell de Govern de 26 de gener del 2011,

 

HE RESOLT:

Article 1. Política de signatura

1.1. La Política de signatura de la Universitat Pompeu Fabra és el document que estableix els criteris generals per a l'admissió dels sistemes d'identificació i signatura per mitjans electrònics.

1.2. La Política de signatura ha d'ésser aprovada pel rector o rectora i publicada a la seu electrònica.

1.3. D'acord amb els criteris generals establerts a la Política de signatura de la Universitat Pompeu Fabra, es determinen els mecanismes de signatura a usar per part dels sistemes, els serveis administratius, els empleats públics, els restants membres de la comunitat universitària i els ciutadans i ciutadanes en cada cas concret. Així mateix, la Política de signatura ha de recollir els criteris generals per a la generació, validació, segellat de temps i conservació de les signatures electròniques, així com les evidències electròniques que cal recollir i conservar.

1.4. D'acord amb la Política de signatura es poden aprovar polítiques de signatura específiques per a les diferents actuacions, sistemes o procediments.

Article 2. Catàleg de mecanismes d'identificació o autenticació davant la Universitat Pompeu Fabra

Les persones es poden identificar o autenticar electrònicament davant la Universitat a través de qualsevol sistema que disposi d'un registre previ com a usuari que permeti garantir-ne la identitat. En particular s'admetran els sistemes següents:

2.1. Per a persones físiques

- Sistemes basats en certificats electrònics reconeguts o qualificats de signatura electrònica expedits per prestadors inclosos a la Llista de confiança de prestadors de serveis de certificació (PSCs) inclosos a la Trusted Services List (TSL) publicada per l'òrgan competent de qualsevol país de la Unió Europea d'acord amb el que estableix ReIdAS. En particular:

- El certificat reconegut o qualificat de signatura avançada idCAT que emet el Consorci AOC o els expedits per prestadors inclosos a la Llista de confiança de prestadors de serveis de certificació.

- Els certificats del DNI-e.

- Sistemes de clau concertada i qualsevol altre sistema d'identificació que s'integri en la plataforma VÀLid del consorci AOC.

- Per a membres de la comunitat universitària, també l'usuari i contrasenya del Campus Global de la UPF o mecanismes d'OTP (One Time Password).

2.2. Per a persones jurídiques

- Els certificats reconeguts emesos a una persona jurídica o a un ens sense personalitat i custodiats per una persona física, titular del certificat, la qual el pot emprar per actuar en nom de l'empresa o de l'ens indicat al certificat.

- Els certificats reconeguts emesos a una persona jurídica o a un ens sense personalitat, amb indicació expressa de la representació que ostenta la persona física titular del certificat.

- Els certificats de segell electrònic qualificat emesos a una persona jurídica o a un ens sense personalitat per Prestadors de Serveis de Certificació (PSCs) inclosos a la Trusted Services List (TSL) publicada per l'òrgan competent de qualsevol país de la Unió Europea d'acord amb el que estableix el ReIdAS.

- També els mecanismes indicats per a la identificació de persones físiques, quan s'emprin per autenticar la identitat d'un ciutadà que declara representar a una persona jurídica. Aquests mecanismes només valdran quan la UPF pugui verificar la representació mitjançant la consulta a un registre en línia de representacions, com ara el servei REPRESENTA del Consorci AOC.

2.3. Per als empleats públics d'altres administracions

- El certificat reconegut o qualificat que el Consorci AOC emet al empleats del Sector Públic de Catalunya en dispositiu segur de creació de signatura, com ara la tarjeta T-CAT.

- El certificat reconegut o qualificat que el Consorci AOC emet al empleats del Sector Públic de Catalunya en suport programari, com ara la tarjeta T-CAT P.

- Els certificats reconeguts o qualificats emesos per prestadors inclosos a la "Llista de confiança de Prestadors de Serveis de Certificació (TSL)" publicada pel Ministerio de Industria, Energia y Turismo conforme al perfil "Empleado público" aprovat pel Consejo Superior de Administración Electrónica.

- D'altres sistemes no criptogràfics, com els usuaris i contrasenyes de la plataforma EACAT.

- Qualsevol perfil de certificats reconeguts o qualificats emesos per prestadors inclosos a la "Llista de confiança de Prestadors de Serveis de Certificació (TSL)" publicada pel Ministerio de Industria, Energia y Turismo que acreditin la vinculació del seu titular a un ens públic.

2.4. Per als empleats públics de la UPF quan actuïn en exercici de les seves competències o funcions.

- El certificat reconegut o qualificat que el Consorci AOC emet al empleats del Sector Públic de Catalunya en dispositiu segur de creació de signatura, com ara la tarjeta T-CAT

- En el cas que la UPF l'emeti pels seus empleats, el certificat reconegut o qualificat que el Consorci AOC emet al empleats del Sector Públic de Catalunya en suport programari, com ara la tarjeta T-CAT P .

-Per actuacions cap a altres administracions que ho requereixin, els certificats reconeguts o qualificats emesos per prestadors inclosos a la "Llista de confiança de Prestadors de Serveis de Certificació (TSL)" publicada pel Ministerio de Industria, Energia y Turismo conforme al perfil "Empleado público" aprovat pel Consejo Superior de Administración Electrónica.

- D'altres sistemes no criptogràfics, com els usuaris i contrasenyes de la plataforma EACAT o d'altres administracions que proporcionen un sistema d'identificació als empleats per a fer gestions en nom de la Universitat.

- Sistemes de clau concertada i qualsevol altre sistema d'identificació que s'integri en la plataforma VÀLid del consorci AOC.

- L'usuari i contrasenya del Campus Global de la UPF o mecanismes d'OTP (One Time Password).

- Per actuacions cap a altres administracions que ho requereixin, qualsevol perfil de certificats reconeguts o qualificats emesos per prestadors inclosos a la "Llista de confiança de Prestadors de Serveis de Certificació (TSL)" publicada pel Ministerio de Industria, Energia y Turismo que acreditin la vinculació del seu titular a un ens públic.

2.5. Per a la UPF davant els ciutadans:

- Els certificats qualificats de seu electrònica i de servidor segur que el Consorci AOC emet als ens del Sector Públic de Catalunya.

- Els certificats electrònics qualificats emesos per altres Prestadors de Serveis de Certificació - diferents al Consorci AOC - inclosos a la Trusted Services List (TSL) del Ministerio de Industria Energía y Turismo conforme al perfil "Sede electrónica administrativa" aprovat pel Consejo Superior de Administración Electrónica.

- D'altres certificats qualificats d'autenticació de lloc web, d'acord al que estableix l'article 45 de ReIdAS, emesos a nom d'un ens.

Article 3. Mecanismes de signatura i segell electrònic

3.1. S'exigirà signatura quan s'hagi d'acreditar la voluntat i consentiment dels interessats en un procediment. En concret per a:

a) Formular sol·licituds.

b) Presentar declaracions responsables o comunicacions.

c) Interposar recursos.

d) Desistir d'accions.

e) Renunciar a drets.

3.2. Amb caràcter general, els mecanismes de signatura establerts en aquest article, tenen així mateix, efectes d'identificació del ciutadans i ciutadanes i d'empleat públics.

3.2.1. Per a persones físiques

- Els certificats electrònics que hagin estat emesos per Prestadors de Serveis de Certificació (PSCs) inclosos a la Trusted Services List (TSL) publicada per l'òrgan competent de qualsevol país de la Unió Europea d'acord amb el que estableix el ReIdAS. En particular:

- El certificat reconegut o qualificat de signatura avançada idCAT que emet el Consorci AOC.

- Els certificats del DNI-e.

- Sistemes de clau concertada i qualsevol altre sistema d'identificació que s'integri en la plataforma VÀLid del consorci AOC.

3.2.2 Per a persones jurídiques

Les persones jurídiques i els ens sense personalitat jurídica podran emprar com a signatures electròniques els mecanismes d'identificació llistats als tres primers paràgrafs de l'article 2.2 d'aquesta resolució. 

3.2.3. Per als empleats públics d'altres administracions

Els sistemes de signatura electrònica dels empleats públics seran els mecanismes d'identificació llistats a l'article 2.3 d'aquesta resolució.

3.2.4. Per als empleats públics de la UPF

Els empleats públics podran emprar per produir signatures electròniques els mecanismes d'identificació llistats a l'article 2.4 d'aquesta resolució d'acord amb el que s'hagi establert en els procediments corresponents d'acord amb els articles 6 i 7 d'aquesta resolució i el rol en el que actuen.

3.2.5. Per la UPF davant dels ciutadans:

- Els certificats qualificats de segell electrònic que el Consorci AOC emet als ens del Sector Públic de Catalunya.

- Els certificats reconeguts o qualificats emesos per altres Prestadors de Serveis de Certificació inclosos a la Trusted Services List (TSL) del Ministerio de Industria Energía y Turismo conforme al perfil "Sello electrónico" aprovat pel Consejo Superior de Administración Electrónica.

- En l'àmbit de l'actuació administrativa automatitzada de la UPF, d'acord al que disposa la Llei 40/2015, de l'1 d'octubre, de Règim Jurídic del Sector Públic:

- codi segur de verificació (CSV), com a mecanisme de signatura electrònica dels ens i dels seus empleats públics davant dels ciutadans, vinculat a un ens, òrgan i, si és cas, a la persona signatària del document; el qual permet comprovar la integritat del document així signat mitjançant la consulta de l'original a la seu electrònica corresponent per fer-ne l'acarament.

- Els certificats reconeguts o qualificats de segell electrònic que el Consorci AOC emet als ens del Sector Públic de Catalunya. En l'àmbit de l'actuació administrativa automatitzada de la UPF, quan es generin signatures mitjançant un codi segur de verificació (CSV), els documents es podran signar complementàriament amb un certificat de segell electrònic per garantir-ne la integritat. Correspondrà a la Secretaria General determinar el segell electrònic a utilizar en cada actuació i publicar a la seu electrònica una relació dels segells electrònics emprats.

- Els certificats reconeguts de persona jurídica que el Consorci AOC emet als ens del Sector Públic de Catalunya.

- Els certificats reconeguts de persona jurídica emesos als ens públics per altres Prestadors de Serveis de Certificació inclosos a la Trusted Services List (TSL) del Ministerio de Industria Energía y Turismo.

Article 4. Segells de temps

Les signatures electròniques avançades podran incorporar segells de temps generats per algun dels següents serveis:

- El servei Segell de temps del Consorci AOC.

- Els serveis publicats a la Seu electrònica del MINETUR, sota l'apartat "Otros servicios en relación con la firma electrónica - Servicios de validación temporal".

- Qualsevol altre servei de segell de temps qualificat conforme al que estableix la Secció 6 de ReIdAS i que hagi estat inclòs a una de les llistes de serveis confiança publicades pels Estats Membres de la Unió Europea, segons estableix l'article 22 del mateix Reglament.

Article 5. Interoperabilitat de les signatures electròniques

Tal i com estableix l'article 45 de la Llei 40/2015, d'1 d'octubre, de Règim Jurídic del Sector Públic, quan la Universitat empri sistemes de signatura electrònica no basats en certificats electrònics reconeguts o qualificats, a l'hora d'enviar els documents signats a les administracions, haurà de superposar un segell electrònic basat en un certificat per tal de donar garanties sobre la seva validesa.

Article 6.

Admissió de mecanismes d'identificació electrònica

6.1. L'admissió del mecanismes d'identificació relacionats a l'article 2 per a tràmits concrets a la UPF es realitza conforme el que estableix el present article, d'acord als nivells de seguretat requerits a l'Annex del Reglament d'Execució 2015/1502 de la Comissió Europea i a l'Esquema Nacional de Seguretat (ENS) en relació amb la Llei Orgànica de Protecció de Dades de Caràcter Personal.

6.2. Els mecanismes d'identificació electrònica considerats admissibles per als tràmits d'una categoria determinada, són també admissibles per als tràmits classificats de categoria inferior a aquesta.

6.3. Mecanismes d'identificació segons el nivell de seguretat:

6.3.1. Per als tràmits classificats de categoria Alta:

S'admeten els sistemes d'identificació electrònica de nivell de seguretat alt, com aquells que fan un registre dels usuaris presencial i fiable i proveeixen els usuaris d'un mitjà d'identificació electrònica de doble factor.

S'admeten amb caràcter obligatori:

- Aquells certificats reconeguts o qualificats, que s'emetin en un dispositiu qualificat de creació de signatura electrònica, entre els establerts en l'article 2 d'aquesta resolució, atenent a les tipologies de certificats i del col·lectiu específic.

- Qualsevol dels mitjans d'identificació que hagi estat notificat de nivell de seguretat alt i s'inclogui a la llista que - conforme al que estableix el ReIDAS al capítol 2 - publicarà la Comissió Europea per accedir als serveis prestats en línia per un organisme del sector públic en un Estat Membre, a efectes de l'autenticació transfronterera.

6.3.2. Per als tràmits classificats de categoria Mitjana o substancial:

S'admeten els sistemes d'identificació electrònica de nivell de seguretat mitjana o substancial, com aquells que fan un registre fiable dels usuaris, el qual es podrà dur a terme de manera presencial o remota (on-line) i proveeixen els usuaris d'unes credencials de robustesa substancial.

Concretament:

- Obligatòriament, els certificats reconeguts o qualificats i els certificats reconeguts o qualificats de segell electrònic establerts en aquesta resolució, atenent a les tipologies de certificats i del col·lectiu específic.

- Obligatòriament, qualsevol dels mitjans d'identificació que hagi estat notificat de nivell de seguretat substancial i s'inclogui a la llista que - conforme al que estableix el ReIDAS al capítol 2 - publicarà la Comissió Europea per accedir als serveis prestats en línia per un organisme del sector públic en un Estat Membre, a efectes de l'autenticació transfronterera.

- Els mecanismes integrats al servei VÀLid operat pel Consorci AOC i classificat com a de nivell mig d'acord amb les especificacions marcades per l'Esquema Nacional de Seguretat i del Reglament d'Execució 2015/1502 de la Comissió Europea.

6.3.3. Per als tràmits classificats de categoria Baixa

S'admetrà qualsevol dels mecanismes d'identificació de l'article 2 d'aquesta resolució.

Article 7. Admissió de mecanismes de signatura electrònica

7.1. L'admissió del mecanismes de signatura electrònica relacionats a l'article 3 per a tràmits concrets a la UPF es realitza conforme el que estableix el present article, conforme els nivells de seguretat requerits a l'Annex del Reglament d'Execució 2015/1502 de la Comissió Europea i a l'Esquema Nacional de Seguretat en relació amb la Llei Orgànica de Protecció de Dades de Caràcter Personal.

7.2. Amb caràcter general, les persones físiques interessades poden acreditar mitjançant una signatura electrònica l'autenticitat de l'expressió de la seva voluntat i consentiment, així com la integritat i la inalterabilitat de les dades i/o documents a signar.

7.3. Una persona jurídica o un ens sense personalitat pot acreditar l'origen i la integritat de les dades i/o dels documents que remeti en el context d'un servei electrònic, mitjançant un segell electrònic o una signatura electrònica qualificada del representant de l'ens.

7.4. Els mecanismes de signatura electrònica considerats admissibles per als tràmits classificats d'una categoria determinada, són també admissibles per a les actuacions classificades de categoria inferior a aquesta.

En particular, quan en el context d'un servei electrònic es requereixi una signatura electrònica s'admetran les següents:

7.4.1. Per als tràmits classificats de categoria Alta

S'admeten signatures electròniques reconegudes o qualificades o segells electrònics reconeguts o qualificats, segons correspongui, i amb caràcter obligatori:

- Quant als formats: els serveis electrònics oferts pels organismes dels Estats Membres de la Unió Europea han de reconèixer les signatures qualificades que siguin conformes a algun dels formats de referència que es definiran per a les signatures qualificades, o que s'hagin generat amb els mètodes de referència - quan siguin d'un format alternatiu; segons el que estableix a l'article 27 del ReIDAS, a efectes de garantir la interoperabilitat en l'accés transfronterer a serveis públics.

- Pel que fa als certificats emprats: s'han d'admetre les signatures electròniques generades amb aquells certificats reconeguts o qualificats de signatura electrònica, entre els considerats a l'article 6.3.1, que s'emetin en un dispositiu qualificat de creació de signatura electrònica. També els segells electrònics generats amb aquells certificats de segell electrònic reconeguts o qualificats que s'emetin en un dispositiu qualificat de creació de segells electrònics previstos a aquesta resolució. En ambdós casos, cal atendre les tipologies dels certificats llistats per a cadascun dels col·lectius específics.

7.4.2. Per als tràmits classificats de categoria Substancial

Seran admissibles les signatures electròniques avançades i els segells electrònics avançats que es fonamenten en un procediment de registre fiable de la identitat dels usuaris; també les signatures electròniques avançades basades en un certificat reconegut o qualificat de signatura electrònica i els segells electrònics avançats basats en certificats qualificats de segell electrònic, conforme al que estableix el ReIDAS als articles 27.1 i 37.1; així com les signatures electròniques ordinàries generades a partir d'un mecanisme d'identificació de nivell de seguretat substancial - com els considerats a l'article 6.3.2 d'aquesta resolució.

En concret:

- Es reconeixeran les signatures electròniques avançades i les signatures avançades basades en un certificat qualificat de signatura electrònica que siguin conformes a algun dels formats de referència definits al Reglament d'Execució 2015/1506 de la Comissió Europea, o que s'hagin generat amb els mètodes de referència - quan siguin d'un format alternatiu; segons el que estableix a l'article 27 del ReIDAS, a efectes de garantir el correcte tractament dels documents signats electrònicament en l'ús transfronterer de serveis públics.

- Pel que fa als certificats emprats: s'hauran d'admetre les signatures electròniques generades amb els certificats de signatura electrònica considerats a l'article 6.3.2 d'aquesta resolució. També els segells electrònics generats amb els certificats de segell electrònic considerats al mateix article 6.3.2, atenen a les tipologies de certificats que es llisten per a cadascun dels col·lectius que allà es distingeixen.

- Les signatures ordinàries basades en altre mecanismes que hagin estat classificat de nivell mig o substancial integrats com a tals al servei VÀLid operat pel Consorci AOC.

7.4.3. Per als tràmits classificats de categoria Baixa

S'admeten els mecanismes que generen signatures electròniques ordinàries prenent com a fonament un mecanismes d'identificació de nivell de seguretat baix, com els descrits a l'article 6.3.3 d'aquesta resolució.

Article 8. Ús de segells de temps

8.1. S'admeten les signatures electròniques avançades que incorporen segells de temps generats per algun dels serveis descrits a l'article 4 d'aquesta resolució.

8.2. El segell de temps dels documents rebuts a la UPF s'ha d'incorporar quan es valida i es completa la signatura.

8.3. En el cas dels documents signats per la UPF, el segell de temps s'incorpora en el moment de la signatura o de la seva incorporació en el sistema segons determini la Política de Signatura de la UPF.

Article 9. Formes de generar una signatura electrònica

La Política de signatura de la UPF determinarà els mecanismes i formats a través dels quals es generen i asseguren les signatures electròniques dels documents de la universitat.

Article 10. Validació d'identitats digitals

10.1. La Universitat ha de garantir la validació de les identitats digitals de la manera següent:

10.1.1. Certificats digitals:

- Comprovació que el certificat digital pertany a una autoritat de certificació de confiança del navegador, del servidor i de la plataforma de validació.

- Comprovació que la signatura del certificat digital (signatura de l'autoritat de certificació) és correcta.

- Comprovació que el certificat digital no està revocat.

10.1.2. Signatura electrònica:

- Comprovació que el hash del document coincideix amb el desxifrat de la signatura electrònica amb la clau pública del certificat utilitzat de manera que s'obté la clau pública del certificat digital que està en la signatura electrònica.

- Es valida el certificat digital que està en la signatura.

10.1.3. Usuari i contrasenya: comprovació amb la base de dades d'usuaris.

10.1.4. VÀLid: Sistema de Verificació d'identitats digitals promogut pel CAOC.

10.2. La validació de signatures basades en certificats electrònics es farà, amb caràcter general, mitjançant la PSIS, sistema de validació de certificats digitals i signatures electròniques del Consorci AOC, o serveis anàlegs de les plataformes de l'AGE.

Article 11. Evidències electròniques de validació d'identificació i de signatura electrònica

11.1. La Universitat ha de guardar les evidències electròniques que es generin en els moments d'autenticació i signatura i les ha d'emmagatzemar de forma segura i vinculada a l'actuació per garantir:

- Que s'han generat en un moment determinat i associat a una actuació.

- Que no es poden eliminar evidències en un moment posterior a la generació, ni incorporar evidències associades a aquest acte temps després de la seva execució.

11.2. La Universitat pot guardar evidències electròniques de validació amb els sistemes següents:

- Utilitzar sistemes de gestió d'evidències amb garanties criptogràfiques, com ara mitjançant el hash del document al qual fa referència l'actuació i guardar aquesta informació dins de l'evidència, encadenar l'evidència amb el hash de l'anterior, incloure segells de temps en les cadenes, i altres que garanteixin.

- Que sigui un tercer de confiança qui les guardi. A aquests efectes la UPF utilitzar el sistema e-logs del CSUC.

11.3. La custòdia de les evidències electròniques serà obligatòria quan els sistemes de signatura no es generin amb sistemes que comporten en sí l'evidència de l'actuació. Serà obligatori guardar les evidències electròniques de publicació, despublicació i manteniment d'informació a la seu electrònica o en el perfil de contractant; de l'accés identificat en una carpeta ciutadana, especialment en la notificació per compareixença; la signatura electrònica sense certificat digital, les accions de vist i plau de determinats tràmits de processos; la notificació telemàtica sense signatura electrònica i altres casos d'aquesta naturalesa.

11.4. En el cas d'ús d'usuari i contrasenya dels empleats de la UPF o dels membres de la comunitat universitària caldrà guardar les evidències d'identificació i el segellat del document.

11.5. Així mateix, caldrà determinar en cada actuació quan també cal incorporar les evidències en l'expedient electrònic del procediment.

11.6. En el marc de cada actuació, Secretaria General, l'Arxiu, i el Servei d'Informàtica establiran les evidències a custodiar.

Article 12. Validació del segellat de temps

La Universitat ha de validar mitjançant una autoritat de segell de temps per a provar l'existència d'uns documents o dades en una data i hora i per a validar la signatura electrònica d'un document.

Article 13. Òrgans competents

Correspon a la Secretaria General determinar els sistema d'autenticació i signatura de cada actuació d'administració electrònica que es desenvolupi en aplicació del Pla d'Administració Electrònica, d'entre els sistemes contemplats en aquesta resolució i els nivells de seguretat que hi són previstos.

Article 14. Publicitat

Els sistemes d'autenticació i signatura electrònica admesos a la UPF i quins d'ells són d'aplicació a per cadascun dels processos, procediments o tràmits electrònics es publicaran a la seu electrònica de la Universitat.

Disposicions addicionals

Primera. El sistema VÀLid, de Consorci AOC, al qual al que la UPF s'ha adherit, és un servei validador de credencials d'identitats. VÀLid té classificats en el moment de signatura d'aquesta resolució els mecanismes següents:

- IdCAT Mòbil: mecanisme d'identificació i signatura electrònica dels ciutadans (persones físiques) no criptogràfic basat en l'enviament de paraules de pas i codis d'un sol ús a dispositius mòbils.

- Certificats digitals qualificats.

- Cl@ve: sistema d'identificació d'usuaris emprat i ofert per l'AGE.

Segona. L'acceptació efectiva dels certificats previstos en aquesta resolució vindrà condicionada per l'actualització dels serveis de validació de la plataforma PSIS del Consorci AOC.

Tercera. El sistema d'identificació del Campus Global ha de comptar amb una robustesa substancial, d'acord amb l'ENS, per a la signatura de manera exclusiva en processos crítics.

Quarta. La Secretaria General determinarà els sistemes d'identificació i signatura dels procediments i tràmits actualment en marxa en el termini de quinze dies des de la signatura d'aquesta resolució.

Cinquena. En el termini de dos mesos des de la signatura d'aquesta resolució s'aprovarà el document de Política de signatura previst a l'article 1 d'aquesta resolució, que substituirà l'actualment vigent.

Disposició Final

Aquesta resolució entrarà en vigor en el moment de la seva signatura.

 

Jaume Casals Pons

Rector

Barcelona, 7 de març del 2017.

 

(Vegeu Resolució del secretari general de 4 d'abril del 2017 sobre els nivells de seguretat d'autenticació i signatura dels tràmits electrònics de la UPF i dels documents que necessiten de constància escrita )