En Palma a 12 de mayo de 2008.
Y en prueba de cuanto antecede, las Partes suscriben el Convenio en dos ejemplares y a un solo efecto, en el lugar y fecha señalados en el encabezamiento.-La Ministra de Administraciones Públicas, Elena Salgado Méndez.-El Consejero de Economía, Hacienda e Innovación, Carles Manera Erbina.
El objeto del presente anexo es regular los derechos y obligaciones que se establecen para la prestación, por parte del MAP, de los servicios de Verificación de Datos de Identidad y Verificación de Datos de Residencia a la Comunidad Autónoma de las Illes Balears.
En el ámbito de la Administración General del Estado, el pasado 28 de abril del 2006, se aprobaron dos Reales Decretos con relación a los procedimientos administrativos de la Administración General del Estado y de sus organismos públicos vinculados o dependientes:
El R.D. 522/2006, por el que se suprime la aportación de fotocopias de documentos de identidad, y
El R.D. 523/2006, por el que se suprime la exigencia de aportar el certificado de empadronamiento, como documento probatorio del domicilio y residencia.
En estos reales decretos se establece que dichos documentos podrán ser sustituidos por una consulta al Sistema de Verificación de Datos de Identidad (SVDI) y al Sistema de Verificación de Datos de Residencia (SVDR) cuya regulación se establece respectivamente en la Orden PRE/3949/2006, de 26 de diciembre, y la Orden PRE/4008/2006, de 27 diciembre.
Dado el interés por parte del resto de Administraciones Públicas en desarrollar los elementos normativos y técnicos equivalentes para poder eliminar la obligación de aportar los citados documentos, se establece la oportunidad de utilizar los servicios desarrollados por el MAP para la Verificación de Datos de Identidad y Verificación de Datos de Residencia.
La aplicación de este Anexo habilita a cualquier aplicación informática de los órganos o entidades dependientes de la Comunidad Autónoma de las Illes Balears a utilizar el SVDI y el SVDR para verificar los datos de identidad y de residencia de los ciudadanos en los términos que se desarrollan más adelante.
3
Obligaciones del prestador del servicio
El MAP, como prestador del SVDI y del SVDR, asume las siguientes obligaciones:
(i)
Poner a disposición de la Comunidad Autónoma de las Illes Balears los servicios de verificación y consulta de datos de identidad y de residencia de un ciudadano.
(ii)
Disponer de entornos de prueba de la integración de los servicios con objeto de garantizar la correcta operación de éstos con carácter previo a su puesta a disposición de los usuarios finales.
(iii)
Habilitar los mecanismos para ofrecer el soporte necesario a los equipos de integración y desarrollo de la Comunidad Autónoma de las Illes Balears para la integración de sus aplicaciones con los servicios.
(iv)
Disponer de los recursos necesarios para atender y resolver las consultas e incidencias derivadas del uso de los servicios.
(v)
Proporcionar los elementos de auditabilidad de las operaciones realizadas que permitan certificar el no repudio de las transacciones.
(vi)
Adoptar todas las medidas de seguridad necesarias para proteger debidamente la información y los servicios de verificación de datos de identidad y de residencia ofrecidos.
(vii)
Garantizar la escalabilidad, robustez, disponibilidad, integridad y confidencialidad de todos los datos relacionados con la prestación de los servicios de verificación de datos.
4
Obligaciones del beneficiario de los servicios
La Comunidad Autónoma de las Illes Balears, como beneficiaria del SVDI y del SVDR, se compromete a:
(i)
Realizar las labores de conectividad y despliegue pertinentes para poder acceder desde sus propias dependencias o instalaciones a los SVDI y a los SVDR a través del Sistema de Aplicaciones y Redes para las Administraciones (S.A.R.A.) desarrollado por el MAP.
(ii)
Cumplir con las medidas de seguridad y requisitos de autenticidad, confidencialidad e integridad establecidos en el apartado II de este Anexo.
(iii)
Concertar con el MAP la realización de pruebas de rendimiento o monitorización de los servicios con el objeto de no comprometer la disponibilidad hacia otros de los servicios al resto de usuarios de estos sistemas de verificación de datos.
(iv)
Designar a un responsable, que será el encargado de autorizar los accesos en el ámbito de la Comunidad Autónoma de las Illes Balears y comunicar su nombramiento y cese al Ministerio de Administraciones Públicas.
(v)
Coordinar con el MAP los procesos de administración de aplicaciones y sistemas usuarios de los SVDI y SVDR, suministrando al MAP la información requerida para dar de alta tanto a empleados públicos como aplicaciones informáticas usuarias de los servicios.
5
Acuerdo de calidad de los servicios
Los servicios objeto del presente Anexo estarán sujetos las condiciones técnicas y funcionales recogidas en el apartado II de este Anexo.
El MAP podrá hacer públicas en cualquier lista de referencia de beneficiarios o en cualquier boletín de prensa publicado, y sin autorización previa, la relación de organismos usuarios de los servicios.
La Comunidad Autónoma de las Illes Balears podrá referenciar la utilización de dichos servicios sin autorización previa por parte del MAP.
7
Contactos de referencia
La resolución de consultas técnicas relacionadas con la utilización de los servicios así como las de carácter administrativo relativas al alcance del presente Anexo se ofrecerá a través de los siguientes contactos de referencia.
Servicio: SVDI y SVDR.
Oferente del servicio: Ministerio de Administraciones Públicas
Responsable Técnico del Servicio: Director de la División de Proyectos Tecnológicos para la AGE. Teléfono: 91 2732461.
Correo electrónico: sgprotec@map.es
Dirección postal: María de Molina, 50, 9.ª planta. 28071 Madrid.
Responsable Administrativo del Anexo: José Luis Redondo Pérez. Vocal asesor de la Dirección General de Modernización Administrativa. Teléfono: 91 2732463.
Correo electrónico: joseluis.redondo@map.es
Dirección postal: María de Molina, 50, 9.ª planta.
II
MARCO DE EVOLUCIÓN CONTINUA DE @FIRMA
La Plataforma de validación y firma electrónica @firma del MAP se basa en el software @firma versión 4.0, que fue cedido por la Junta de Andalucía en el marco del Convenio de Colaboración firmado entre el Ministerio de Administraciones Públicas y la Junta de Andalucía para la cesión de aplicaciones informáticas de Administración Electrónica.
El citado Convenio establece las bases para la creación de un grupo de trabajo que tiene, entre otras misiones, las siguientes:
El seguimiento de la cesión de las aplicaciones informáticas acordadas.
La identificación y el desarrollo de las mejoras que puedan realizarse sobre las mismas.
Igualmente, en dicho Convenio ambas partes se comprometen a establecer mecanismos de cooperación y normalización en el seguimiento de la evolución de @firma, de manera que pueda trasladarse una imagen integrada y coherente de la situación en el conjunto del Estado y Comunidad Autónoma.
Con estas premisas, se ha acordado la creación de un Programa o escenario de trabajo, que se ha denominado Programa de Evolución Continua (PEC), que servirá para conciliar y materializar las necesidades de las administraciones públicas en materia de firma electrónica (firma-e) y certificación digital con los servicios de firma-e ofrecidos por el MAP y el producto para la validación y firma, @firma.
El objeto del Marco de Evolución Continua (MEC) es establecer las pautas de funcionamiento que seguirá el grupo de trabajo que participará en el desarrollo de dicho PEC.
A efectos de este MEC se entiende por:
@firma: Producto de firma y certificación electrónica que constituye la base tecnológica de los servicios de firma-e ofrecidos por el MAP.
DNI-e: Documento Nacional de Identidad electrónico.
Participante del PEC: Cualquier administración, Departamento Ministerial u otra entidad de derecho público que haga constar su intención de asumir las estipulaciones de MEC. Se distinguen dos modalidades de participación:
Como miembro del PEC.-Participantes que han firmado un Convenio de colaboración, ya sea para acceder a los servicios de la Plataforma de firma-e del MAP (modelo ASP o Aplication Service Provider), o bien para obtener una licencia del producto @firma (modelo federado).
Como Observador.-Participantes que asisten a las reuniones del grupo de trabajo objeto de este MEC porque están interesadas en la evolución de @firma y que no reúnen las condiciones para ser miembros del PEC.
Plataforma de firma-e.-Plataforma física de servicios de certificación y firma basada en el producto @firma que el MAP pone a disposición de las administraciones y entidades públicas vinculadas o dependientes que suscriban el Convenio de uso de sus servicios.
PSC o «Prestador de Servicios de Certificación».-Entidades públicas o privadas que expiden certificados digitales y ofrecen servicios asociados conforme a lo establecido en la Ley 59/2003, de 19 de diciembre, de firma electrónica.
Este MEC establece los términos generales de la relación entre los participantes en el grupo de trabajo para desarrollo de los servicios de firma-e que el MAP pone a disposición de las distintas administraciones y entidades públicas vinculadas o dependientes.
Más concretamente, los trabajos de este grupo darán como resultado las pautas de funcionamiento del Programa de Evolución Continua (PEC) de los servicios de firma-e ofrecidos por el MAP y del producto para la validación y firma @firma, con el fin de impulsar y ayudar a la implantación de la firma-e, catalizar el intercambio de conocimientos y experiencias entre las Administraciones, y rentabilizar las inversiones llevadas a cabo en este área.
El grupo de trabajo resultante de este MEC tiene entre sus objetivos principales:
Determinar los criterios que sirvan para la articulación del PEC: obligaciones, garantías, condiciones de uso del producto,
Intercambiar y difundir aspectos relativos a la adecuación tecnológica de las infraestructuras de firma-e de los miembros en materias afines: DNI-e, formatos de firma, validación de certificados, etc.
Identificar y articular la implementación de mejoras correctivas y evolutivas de servicios y productos, adoptando, con la mayor prioridad, los estándares publicados a nivel nacional e internacional por las entidades de estandarización y normalización.
Asimismo, se pueden destacar entre sus objetivos secundarios los siguientes:
Coordinar la prestación de servicios comunes relacionados en el ámbito de competencia de los participantes: CAU, soporte a la integración, etc.
Difundir capacidades y evolución de la tecnología de a la firma-e, explotando y haciendo ampliamente accesible la información científica y técnica entre sus miembros.
Las decisiones relevantes adoptadas por el grupo de trabajo serán elevadas a la Comisión Permanente del Consejo Superior de Administración Electrónica de la Administración General del Estado y al Comité Sectorial de Administración Electrónica.
Los participantes acuerdan actuar de buena fe y cooperar en el seno grupo de trabajo, compartiendo la información y soportes que sean requeridos.
La participación en este MEC está abierta a cualquier Administración, Entidad Pública o Departamento Ministerial ya sea como participante o, previa aprobación de solicitud, como observador.
Los participantes en condición de observadores:
Tienen acceso a toda la información y documentos generados en el seno del grupo de trabajo.
Participan a igualdad de condiciones que los miembros del PEC en todo lo referente a la articulación del PEC, evaluación de tecnología relativa a firma-e, participación en estudios, procesos de estandarización, etc.
Entre su principal propósito se encuentra el de analizar y evaluar los servicios ofrecidos por la Plataforma de firma-e y/o el producto @firma.
Los participantes en condición de miembros del PEC, además de los aspectos considerados para los observadores:
Deciden sobre aspectos evolutivos, operativos del servicio y producto.
Determinan la evolución del servicio prestado por la Plataforma @firma, en aspectos como:
Nuevas funcionalidades,
Interoperabilidad de los módulos del producto,
Portabilidad de plataforma hardware, software a nivel de cliente y servidores.
Determinación de elementos de confianza que sirvan de base para el modelo Federado.
Sistema de accounting y reporting, etc.
Aquellos miembros que hubieran elegido el modelo ASP colaborarán, junto con el Equipo de dirección de la Plataforma de firma-e del MAP, en la determinación de decisiones como:
Nivel de soporte a la integración.
Soporte a usuarios finales de aplicaciones.
Administración y parametrización de entornos.
Gestión de la explotación.
Integración con servicios externos de time-stamping.
Políticas de Firmas a registrar y PSCs a incorporar a la Plataforma.
Modelos de custodia de los documentos, etc.
Los participantes se comprometen a promocionar e impulsar las líneas actuación y servicios resultantes del grupo con diferentes órganos y entidades públicas vinculadas o dependientes de los que éstos representan.
Entre el conjunto de participantes en el MEC se designará un Equipo de coordinación para asegurar la planificación y desarrollo de los trabajos acordados en el seno del grupo. Este equipo, cuya composición podrá variar para adecuarse a las necesidades que se determinen, estará compuesto al menos por dos representantes del MAP y dos representantes de la Junta de Andalucía, que serán designados respectivamente por el Director General de Modernización Administrativa del MAP y por el Director General de Administración Electrónica y Calidad de los Servicios de la Junta de Andalucía.
Los representantes del MAP en este grupo serán los responsables de dirigir las actuaciones que se lleven a cabo sobre la Plataforma de firma-e implementada por este Ministerio.
Otras tareas a desempeñar:
Custodiar los códigos fuentes y otros recursos reservados del producto @firma.
Mantener la estructura orgánica de los participantes, gestionando nuevas incorporaciones, bajas, etc.
Organizar y coordinar reuniones de grupo. El lugar de reuniones podrá ser variable en función de los ofrecimientos de los integrantes y la disponibilidad.
Promover encuentros con grupos o entidades públicas o privadas externas para profundizar o evaluar criterios técnicos y operativos.
Facilitar la intermediación entre el grupo y otros grupos y comités de carácter público que abordan materias afines al grupo como los grupos de trabajo derivados de la Comisión Técnica de Apoyo a la implantación del DNI-e o el Consejo Superior de Administración Electrónica.
Posibilitar la proyección de los trabajos desarrollados por el grupo a Comités o grupos de normalización especializados en materia de firma-e.
Trasladar las decisiones de los miembros del PEC a los equipos responsables del mantenimiento correctivo y evolutivo de @firma.
Evaluar propuestas de colaboración externa que se deriven del desarrollo de productos y servicios disponibles.
Elevar propuestas de actividades, gestiones u otras consideraciones de los participantes a las reuniones de grupo.
Evaluar la incorporación de nuevos PSC a la Plataforma de firma-e basándose para ello en el protocolo de adhesión habilitado al efecto y evaluando las Declaraciones de Prácticas de Certificación y estructura de los certificados digitales propuestos.
Aprobar las solicitudes recibidas de otros organismos para la participación como miembros observadores.
La vigencia del presente Marco estará asociada a la propia vigencia de los convenios suscritos que habilitan a sus miembros a participar en el mismo.
7
Costes de funcionamiento
Los participantes correrán con los costes de su participación en las actividades del grupo de trabajo, lo que incluye los implícitos de formular o transmitir informes, los gastos de viajes, y otros gastos, relacionados con su asistencia a las reuniones convocadas, y con otras funciones, eventos y actividades del grupo.
El MAP, dentro de sus gastos ordinarios de funcionamiento, asume los costes de gestión y administración de repositorio único de documentos, habilitación de salas de reunión, confección de fotocopias u otras actividades asociadas a la coordinación del grupo. Se emplearán herramientas de groupware y desarrollo colaborativo para la publicación, difusión y coordinación de la actividad del grupo, que será gestionada por participantes de MAP.
Tanto la Junta de Andalucía como el Ministerio de Administraciones Públicas han sustentado los costes e inversiones necesarios para ofrecer los servicios de firma-e desde el MAP y culminar el desarrollo de la versión 5.0 del producto @firma y la prestación del servicio que en el se basa.
Los participantes podrán declarar que determinada información facilitada en el seno del grupo es propietaria y confidencial, a efectos de que sea tratada como tal por el resto de componentes. Se incluyen programas, documentación, datos técnicos, planes, tecnologías, etc.
Aquella información considerada como confidencial no podrá ser revelada a terceros, salvo autorización de los participantes propietarios o del equipo de coordinación.
Sólo puede ser revelada a empleados y colaboradores de los diferentes organismos participantes para actividades relacionadas con el grupo de trabajo, siendo informados del carácter confidencial de la información tratada.
En el momento de dar por finalizada la participación en el grupo de trabajo del presente MEC, los participantes cesantes habrán de dejar de usar la información confidencial, pudiendo ser solicitada por el equipo de coordinación y quedando prohibida la realización de copias.
Se intentará, en la medida que la normativa que resulte de aplicación lo permita, poner bajo dominio público el resultado de todos los trabajos encargados, creados o desarrollados directamente en el seno del grupo, respetando las condiciones establecidas por los proveedores externos de información al grupo.
Para hacer público en el grupo y/o fuera de él documentos pertenecientes a algunos de los participantes, se ha de obtener del propietario de la información un consentimiento expreso.
Los participantes promoverán la transferencia no exclusiva a otras entidades públicas de los recursos que sean producto del presente Marco de colaboración.
Las obligaciones anteriores se cumplirán, en todo caso, con pleno respeto a los derechos de propiedad intelectual regulados por el Real Decreto Legislativo 1/1996, de 12 de abril, modificado por la Ley 5/1998, de 6 de marzo, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
III
ACUERDO DE NIVEL DE SERVICIO (ANS) DE PLATAFORMA DE VALIDACIÓN Y FIRMA ELECTRÓNICA @FIRMA DEL MAP
Según la ley 59/2003 de firma electrónica, cualquier compañía constituida como Prestador de Servicios de Certificación (PSC) puede emitir certificados electrónicos, que cumpliendo una serie de requisitos, identifican en el ámbito telemático a una persona física.
En la actualidad existen multitud de empresas constituidas como PSCs y, consecuentemente, múltiples certificados electrónicos, todos ellos válidos como medio para acreditar la identificación personal en el ámbito electrónico.
Además, la progresiva implantación del DNI electrónico en el territorio nacional requiere de una modificación en los servicios de Administración Electrónica proporcionados por los organismos Públicos, para garantizar su aceptación como elemento de autenticación y firma en la tramitación telemática con los ciudadanos.
Esta multiplicidad de certificados, y las carencias de interoperabilidad de los mismos, obliga al Ministerio de Administraciones Públicas (MAP), dentro de su misión impulsora de la Administración Electrónica, a desarrollar una plataforma para verificar la identidad electrónica de una persona física o jurídica, independientemente del tipo de certificado que ésta utilice en sus relaciones telemáticas con la Administración.
En este contexto nace la plataforma de validación del MAP denominada @firma que establece un ecosistema de seguridad, permitiendo verificar el estado y validez de los certificados electrónicos empleados por el ciudadano en cualquier procedimiento telemático, entre ellos, los del DNI-e.
La solución propuesta es no intrusiva con arquitecturas y soluciones ya existentes. Por ello, sus principales características son:
La plataforma se basa en Servicios Web que son utilizados por las distintas AAPP.
Es una plataforma de validación MultiAC (múltiples Autoridades de certificación), MultiPolítica, MultiCertificados, MultiFirma, MultiFormatos,., de tal manera que permite la utilización de múltiples tipos de Certificados y Autoridades de Validación a los ciudadanos, en su relación telemática con las distintas AAPP.
Permite una evolución diseñada y articulada por los organismos usuarios, de una manera participativa y colaborativa.
Proporciona las máximas garantías de seguridad y robustez, garantizando en su funcionamiento: interoperabilidad, rendimiento óptimo, alta disponibilidad, portabilidad, etc.
El MAP, como prestador de los servicios de validación y firma electrónica a través de su plataforma de servicios basada en @firma, se regirá por un enfoque orientado a la gestión del servicio, donde la calidad del mismo se medirá mediante los parámetros del Acuerdo de Nivel de Servicio (en adelante ANS). Este ANS contemplará tanto los parámetros propios del servicio, como los de soporte a los interesados y organismos emisores, para la gestión y resolución de consultas e incidencias, durante todo el tiempo de duración de la prestación de los servicios por el MAP.
El MAP se compromete a cumplir los niveles indicados en este documento y a determinar la evolución de éstos a medida que van evolucionando nuevos servicios.
El enfoque del presente ANS, se realiza en múltiples ámbitos: desde el punto de vista de la disponibilidad de los servicios de validación y firma contemplados en la plataforma @firma del MAP, servicios de sistemas y comunicaciones, servicio de atención a usuarios, monitorización de sistemas, etc.
2
Calendario para la implantación del ANS
El MAP se ajustará al siguiente calendario para la obtención de los niveles de servicio establecidos para cada parámetro:
Período Transitorio:
Es el periodo inicial, desde el arranque del servicio hasta que este alcance el ajuste necesario para su estabilización.
Este periodo será de seis meses desde la fecha de publicación de este documento y el prestador deberá alcanzar el 90% del objetivo marcado en cada parámetro.
Período de prestación del servicio:
El prestador deberá alcanzar como mínimo los objetivos establecidos y comprometerse a completar, perfeccionar y mejorar el ANS inicial.
3
Niveles de servicio genéricos de las infraestructuras de alojamiento y comunicaciones
3.1.
Infraestructuras básicas.-
Se dispone de los siguientes servicios básicos de infraestructuras en el Centro de Proceso de Datos, con todos los sistemas en redundancia n+1 y sin punto único de fallo abajo descritos:
Alimentación eléctrica ininterrumpida: Se dispone de un sistema de alimentación de corriente alterna, filtrada y balanceada a través de dos UPS en redundancia n+1, que permiten una potencia desde 500 hasta 2.000 W/m2, y una capacidad de 1,6 a 2,5 MW sin punto único de fallo.
Los racks de servidores de la Plataforma disponen de dos tomas eléctricas, redundantes e independientes: UPS1 y UPS2. Adicionalmente existen generadores diesel en redundancia n+1 con una autonomía de 48 horas y un contrato con el distribuidor de gasoil que garantiza la recarga de los tanques en un tiempo inferior a 4 horas.
Suelo técnico: Suelo técnico de 50 cm de altura compuesto por baldosas antideslizantes y antiestáticas reforzadas de 600×600 mm y 30 mm de espesor que permite una carga máxima por metro cuadrado de 1.000 Kg. Distribuido sobre ese suelo existen diferentes sensores de temperatura y humedad gestionados por un sistema SCADA («Supervisory Control and Data Acquisition») que permite la supervisión, monitorización y control desde una consola centralizada en el NOC («Network Operation Center»), mediante el sistema BMS («Building Management System») del edificio.
Sistemas de Control de Temperatura y Humedad (HVAC): El sistema HVAC está basado en la gestión del ambiente mediante el enfriamiento de agua y permite un control constante de temperatura de 22 ºC +/- 5 ºC con una humedad relativa del 20 % al 70 %. Las bombas y los refrigeradores están situados en la planta superior con redundancia n+1 y sin ningún punto único de fallo. Del mismo modo, la distribución del mismo sobre el edificio mantiene la redundancia en anillos con sensores ante detección de fugas. En cada sala existe un sistema igualmente redundado de aire acondicionado y filtrado.
Protección de incendios: El sistema de detección de incendios consta de múltiples sensores ópticos situados en techo y suelo de cada una de las salas técnicas. El sistema entra en funcionamiento en el momento que más de dos detectores de humo se activan y es completamente direccionable para el edificio entero, permitiendo la detección cruzada (en techo y en piso elevado) El sistema de extinción permite el disparo automático y manual y está basado en la inundación total de la sala con gas F-13, que es almacenado en cuartos separados en el edificio.
Iluminación: Todas las salas están iluminadas con tubos de 4×18 W, con difusores en «V», y poseen luces de emergencia y señales que proporcionan la información precisa acerca del entorno y salidas.
Control de acceso seguro 24×7 (seguridad física): Se dispone de un sistema con circuito cerrado de televisión que controla el acceso interior y exterior del edificio, así como el acceso a las diferentes salas. La entrada a las mismas se realiza con lectores de tarjeta de proximidad que tienen programados los caminos de acceso permitidos al cliente. La entrada/salida es controlada por
R Administraciones Públicas 11 Jun. 2008 (convenio de colaboración con la CA Illes Balears, para la prestación mutua de servicios de administración electrónica) 
