firmadoc bpm – manual del administrador apéndices...catalogados de aplicaciones, desde donde se...

FirmaDoc BPM – Manual del Administrador Página 0 de 33

FirmaDoc BPM – Manual del Administrador

Apéndices

Dossier 11


Apéndice I – Proceso de Puesta en Marcha 2

Apéndice II – Catálogo de privilegios del sistema 4

Apéndice III - Agencias Certificadoras 26

Apéndice IV – Certificados Digitales y efirma 28

Tabla de Contenidos


Apéndice I – Proceso de Puesta en Marcha

En el presente apéndice se describirán los pasos lógicos vistos en este manual para la puesta en marcha desde su instalación del producto. Desde un punto de vista teórico, la implantación de un producto de gestión documental con firma electrónica, lleve o no BPM podría definirse con la siguiente figura.

Figura 1 - Esquema de puesta en marcha.

1. Análisis y captación de requisitos:

a) Alcance: Se estudiará hasta dónde se quiere llegar en el proyecto, teniendo en cuenta el cambio de modo de trabajo y de mentalidad que supondrá para la entidad.

b) Qué queremos hacer

c) Cómo lo queremos plantear

d) En que áreas queremos implantarlo

. Instalación de


e) Visión global: Se tratará de hacer un resumen esquemático del planteamiento del proyecto, con lo que se generará un documento de análisis. Este documento es susceptible de ser modificado al llegar a fases posteriores

f) Necesidades HW y SW. Visto el alcance del proyecto se establecerán las necesidades tanto de software (software de certificados, visores, sistemas operativos…) como de hardware (servidores, clientes, mejora en monitores, escáneres…).

2. Diseño. En esta fase se diseñará en detalle todo el flujo de información que va a seguir la gestión documental. Se verán cargos, tipo de documentación, procesos, seguridad, visibilidad, etc.

a) Organigrama y cargos. Se diseña el organigrama asignando cargos a cada uno de los usuarios que participan en el sistema. Muy importante el diseño del organigrama con los cargos correspondientes a cada área teniendo en cuenta los aspectos vistos en seguridad y visibilidad sobre tipos de objetos.

b) Tipo de documentación. Se establecen los tipos de documentos a utilizar, y si vamos a apoyarnos en procesos BPM. Asociados a los tipos de documentos se definirán los grupos de firma asociados, ya sean asignados por la propia aplicación FirmaDoc BPM, o externamente mediante las APIs.

c) Explotación: Se analiza la información necesaria en los documentos: campos necesarios, campos catalogados, filtros externos de búsqueda etc.

d) Mejoras en rendimiento: Se buscarán las mejores soluciones para mejorar el rendimiento: caché local, volúmenes secundarios, instalación C/S o Terminal Server, apoyo en aplicaciones centralizadas como el Monitor de Actualizaciones o Validador de Certificados, etc.

2.1 Formación Técnicos y Administradores. Se realiza un periodo de formación al personal técnico y administradores del sistema acerca de todo lo necesario para mantener y administrar el sistema de información de FirmaDoc BPM.

3. Implementación. Todo lo anteriormente diseñado se pasará a la aplicación. En este punto se realizarán pequeñas pruebas unitarias que es posible requiera modificaciones o mejoras al producto. Es necesario

3.1 Formación a usuarios finales. Se impartirá formación a los usuarios haciendo hincapié en aspectos como la inserción de documentos, explotación, digitalización, búsquedas, etc. Es importante resaltar el cambio de mentalidad en cuanto a uso de TI: adaptación de modos de trabajo manuales a automatizados.

4. Puesta en Marcha. Se hará un seguimiento de la puesta en real de todo el sistema.


Apéndice II – Catálogo de privilegios del sistema

Se pretende con el presente apartado ilustrar a los usuarios encargados de la configuración del sistema y de la seguridad del mismo sobre los efectos que produce la asignación de cualquier privilegio de los catalogados actualmente a los usuarios.

Ésta es una labor en la que es muy recomendable tomarnos nuestro tiempo ya que de su correcta definición dependerá que los usuarios finales puedan efectuar aquellas acciones que se adecuen mejor al cargo que estén desempeñando.

Cabe destacar que todos los permisos mencionados a continuación pueden verse modificados en función de que se apliquen reglas de visibilidad, ya que estás condicionarán no sólo el acceso a determinados documentos, sino que tamben afectan a las acciones que podemos ejecutar contra los mismos, aspecto éste que está documentado en el Dossier 3 – Configuración.

Privilegios de Administración

Éste tipo de privilegios afectan principalmente al menú de Mantenimientos de FirmaDoc BPM, desde el que se gestiona toda la configuración de la entidad. A continuación detallaremos cada uno de los permisos contenidos en ésta rama.

Cierre del sistema. Este privilegio permite al usuario salir de FirmaDoc BPM. El privilegio de concede automáticamente si no está explícitamente denegado. Es útil en puestos de consulta pública donde no deseamos que accidentalmente se cierre la sesión.

Cambiar de usuario desde la sesión actual. En caso de carecer de este privilegio, la ventana que aparece omitirá la posibilidad de cambio de usuario.

Configuración general del sistema. Dentro del apartado de Mantenimientos se habilitan las opciones de Firmas Gráficas, Integración (con todos sus submenús excepto el catálogo de tipos de documentos que tiene un privilegio específico)

Figura 2 – Menú Integración

y Configuración general del sistema (desde donde se parametrizan las opciones generales de FirmaDoc BPM).


Además, dentro del apartado de Módulos, se habilita el punto de Menú Registro Configuración Inicial (configuración de ACCEDE).

Configurar entidades certificadoras y aplicaciones. Se habilita, dentro del

menú de Mantenimientos, los submenús de SeguridadEntidades certificadoras y aplicaciones.

Figura 3 - Emisoras de Certificados por Aplicación

Configurar opciones de validación de certificados. Se habilita, dentro del

menú de Mantenimientos la opción de Seguridad Opciones de validación de certificados.


Figura 4 - Seguridad de certificados

Definir estructuras de contenidos. Se abre la posibilidad de acceso al punto de menú de “Publicación en Web” desde el menú principal de Mantenimientos/Integración. Desde aquí se introducen en el sistema las diferentes opciones de mantenimiento del Portal del Ciudadano/Portal del Proveedor.

Definir periodos de activación de cargos. Se abre la posibilidad de acceso al punto de menú de “Periodos de habilitación de cargos” desde el menú principal de Mantenimientos. Desde aquí se introducen en el sistema las bajas de usuarios asociados a cargos, el cese de los mismos…

Despublicar documento en Perfil del Contratante. Permitirá al usuario despublicar documentos del Perfil del Contratante o en cualquiera de sus secciones.

Despublicar documento en Tablón Virtual. Permitirá al usuario despublicar documentos del Tablón Virtual o en cualquiera de sus secciones.

Diseñar organigrama de la entidad. Se habilita la opción de Menú de Mantenimientos Organigrama de la entidad. Desde donde configurar todo el organigrama de la corporación.


Editar aprobadores condicionados y predeterminados. Se habilita la opción de Mantenimientosaprobadores condicionados y predeterminados, utilizada para especificar qué cargos firman un tipo de documento y en qué orden. Se suele utilizar para tipos de documentos que no se inserten desde Sicalwin,.

Editar calendario de conservación. Se habilita Mantenimientos-->Conservación y expurgo-->Calendarios de conservación. Desde ésta opción se gestionará el almacenamiento de la información que se vaya procesando.

Editar cargos virtuales. Se habilita el punto de menú de MantenimintosCargos Virtuales, para poder incluirlos posteriormente en grupos de firma.

Editar catálogo de campos. Se puede editar el catálogo de campos a utilizar para gestionar las distintas fichas desde Mantenimientos-->Catálogos de campos.

Editar familias de plantillas. Se habilita el mantenimiento de "Tipos de Plantillas" y el menú de "Párrafos".

Editar grupos de firma. Se habilita el mantenimiento de grupos de firma desde el menú de Mantenimientos

Editar motivos de aprobación/rechazo. Se habilitará el mantenimiento de motivos de aprobación y rechazo.

Editar perfiles de documentos. Se habilita la opción de editar perfiles de documentos. Como se ve en el dibujo adjunto.

Figura 5 - Perfil de tipos de documentos


Editar tipos de documentos. Opción más genérica que la anterior. Si marcamos éste privilegio, el usuario podrá crear/modificar tipos de documentos (pertenecientes a su unidad orgánica) desde la opción de menú de MantenimientosTipos de documentos.

Figura 6 - Tipos de documentos por Unidad orgánica

Además aparecerá visible el punto de menú MantenimientosIntegración Informes catalogados de aplicaciones, desde donde se puede editar el catálogo de documentos de FirmaDoc BPM.

Editar tipos de documentos de la entidad. Si marcamos éste privilegio, el usuario podrá crear/modificar tipos de documentos de la entidad desde la opción de menú de MantenimientosTipos de documentos. Si se tienen habilitados los permisos “editar tipos de documentos de la entidad” y “Editar tipos de documentos”, el que prevalece es el primero.


Figura 7 - Tipos de documentos - catalogado

Además aparecerá visible el punto de menú MantenimientosIntegración Informes catalogados de aplicaciones, desde donde se puede editar el catálogo de documentos de FirmaDoc BPM (Exactamente igual que en el apartado anterior).

Editar tipos de documentos de la organización. Si marcamos éste privilegio, el usuario podrá crear/modificar tipos de documentos de la organización. Son accesibles y utilizables por todas las entidades de la organización.

Editar tipos de documentos globales. Si marcamos éste privilegio, el usuario podrá crear/modificar tipos de documentos de cualquier organización.

Editar tipos de expedientes. Habilitará el mantenimiento de tipos de expedientes en el menú de “Mantenimientos Tipos de expedientes” a los usuarios que tengan éste privilegio.

Mantenimiento de fichas. Habilita el submenú de fichas dentro del menú de Mantenimientos. Desde aquí podremos crear/editar fichas así como gestionar el catálogo de campos y las listas de valores para campos de éste tipo.

Mantenimiento del calendario laboral. Permite editar el calendario laboral para registrar los días festivos del calendario laboral de la entidad.

Permitir Reenvío de Anotaciones Registrales. Este privilegio permite habilitar el botón “Reenviar Anotación” de la Bandeja de Entrada de Anotaciones Registrales que se encuentra en Módulos Registro E/S Bandeja de Entrada.

Publicar documento en Perfil del Contratante. Permitirá al usuario publicar un documento en el Perfil del Contratante o en cualquiera de sus secciones.

Publicar documento en Tablón Virtual. Permitirá al usuario publicar un documento en el Tablón Virtual o en cualquiera de sus secciones.


Reenvío directo de documentos. Habilita a la hora de firmar y reenviar una opción que permite elegir a quién enviar, si a un grupo de firma o a uno o varios cargos.

Registro E/S: consultar o generar anotaciones de salida. Habilita las opciones que existen dentro de Módulos Registro E/S.

Todas las acciones (Control total). Un usuario con éste privilegio tendrá a todos los efectos todos los permisos concedidos de todos los tipos.

Privilegios de Auditoría

Son privilegios que permiten o deniegan el acceso a las utilidades de explotación de auditoria del sistema.

Afectan principalmente al menú de Mantenimientos Seguridad de FirmaDoc BPM, desde donde se configuran las opciones de registro de todas las acciones efectuadas por los usuarios dentro del sistema.

Acceso al registro del sistema. Habilita el punto de menú de SeguridadAbrir registro de actividad.

Figura 8 – Registro de actividad del sistema

Ésta opción permite ver información sobre todos los procesos efectuados por usuarios concretos. Todos los procesos efectuados desde FirmaDoc BPM quedan grabados en éste registro que funciona como auditoria del sistema.

Configurar Auditorías del sistema. Se habilitará el acceso al menú de configuración del registro de actividad del sistema.


Vaciar registro de actividad. Habilita el botón de eliminar registro de la configuración de auditorias del sistema para así poder vaciar el registro de actividad.

Figura 9 - Configuración de auditoria

Privilegios de Contratación Electrónica

Este tipo de privilegios sólo estará visible si estamos utilizando el módulo de e-Contratación y hace referencia a privilegios en las opciones de menú de la aplicación de e-Contratación. Dentro de los privilegios de contratación electrónica nos encontramos: Acceso al panel de invitaciones. Este privilegio permite tener acceso de consulta al

panel de invitaciones de e-Contratación.

Acceso al panel de ofertas. Este privilegio permite tener acceso de consulta al panel de ofertas de e-Contratación.


Acceso al panel de órganos de asistencia. Este privilegio permite tener acceso de consulta al panel de órganos de asistencia de eContratación.

Acceso al panel de PCAP. Este privilegio permite tener acceso de consulta al panel de PCAP de e-Contratación.


Acceso al panel de PPT. Este privilegio permite tener acceso de consulta al panel de PPT de e-Contratación.

Gestión del panel de invitaciones. Este privilegio permite tener acceso de modificación al panel de invitaciones de eContratación.

Gestión del panel de ofertas. Este privilegio permite tener acceso de modificación al panel de ofertas de e-Contratación.

Gestión del panel de órganos de asistencia. Este privilegio permite tener acceso de modificación al panel de órganos de asistencia de e-Contratación.

Gestión del panel de PCAP. Este privilegio permite tener acceso de modificación al panel de PCAP de e-Contratación.


Gestión del panel de PPT. Este privilegio permite tener acceso de modificación al panel

de PPT de e-Contratación.

Mantenimientos de parámetros de ECO. Este privilegio permite tener acceso al Mantenimiento de parámetros de e-Contratación.

Privilegios de Interfaz de Usuarios

Este tipo de privilegios afecta a la manera de presentar la información al usuario. Hace referencia a privilegios sobre las carpetas del árbol de FirmaDoc BPM. Dentro de los privilegios de Interfaz de Usuarios nos encontramos:

Cambiar el nombre a carpetas. Aunque no se recomienda, ésta opción permite

cambiar el nombre a carpetas donde se almacenan los documentos. Esto se permite sólo cuando las carpetas están vacías (son de color morado). Para cambiar el nombre a una carpeta se utiliza el botón secundario del ratón.

Figura 10 - Cambiar

nombre de carpetas


Crear carpetas. Éste privilegio permite la creación de carpetas en el árbol de carpetas. Para ello nos situamos en la ubicación en la que queramos crear una carpeta y utilizaremos el botón secundario del ratón.

Desvincular tipos de documentos en carpetas. Permite descolgar un tipo de documento (carpetas rojas) de una familia (carpetas rosas).

Eliminar carpetas. Permiso para eliminar carpetas. No se podrán eliminar las carpetas suministradas por defecto por la instalación. Tan sólo se podrán eliminar aquellas que se hayan creado posteriormente.

Mostrar información de procesos. Habilita la visualización de la pestaña de de Procesos y diagrama del Proceso al seleccionar un documento.

Figura 11 – Información de

procesos

No obstante, si tenemos este privilegio, podremos acceder a visualizar aquellos procesos a los que tengamos acceso en el árbol de procesos.

Mostrar pestaña de actividad. Habilita la visualización de la pestaña de actividad al seleccionar un documento. En ésta pestaña se puede ver el estado de firma en que se encuentra el documento, indicando cual es el cargo que tiene que firmar en cada momento y si la firma ya está activada.


Figura 12 - Actividad

Mostrar pestaña de más información. Habilita la visualización de la pestaña de Más información al seleccionar un documento.

Permitir explorar biblioteca en el árbol de navegación. Añade la biblioteca de documentos al árbol de navegación. Si habilitamos éste privilegio, el usuario podrá visualizar todos los documentos del archivo general siempre que tenga permiso para ello. Añadirá el siguiente icono desplegable al árbol de navegación:

Figura 13 - Acceso a Biblioteca


Permitir explorar expedientes en el árbol de navegación. Añade a la biblioteca la carpeta de expedientes, permitiendo la navegación a través de la misma.

Figura 14 - Acceso a expedientes

Vincular tipos de documentos a carpetas. Permite colgar un tipo de documento (carpetas rojas) de una familia (carpetas rosas).

Privilegios de objetos.1

En este apartado se definen los privilegios de acceso a los objetos, es decir, el tipo de operaciones que podemos hacer con estos. En este caso los privilegios no se definen a nivel de tipo, sino a nivel genérico (todos los tipos de objetos). Por tipos se definen en “Privilegios por Tipos de Objetos”. El catálogo de privilegios es prácticamente igual al de privilegios sobre objetos.

Acceso a todos los documentos. El usuario que reciba éste privilegio tendrá permisos para acceder a todos los documentos mediante una búsqueda, ya que no se habilita en el interfaz de carpetas la biblioteca de documentos.

Acceso a todos los expedientes. Ídem, pero para los expedientes.

Administrar Formularios. Permite el acceso al mantenimiento del catálogo de campos.

1 Hemos pasado por alto la definición de los permisos por tipo de documentos, ya que todos los privilegios que se asocien por tipo de documento están descritos en el presente anexo.


Figura 15 - Administración de formularios

Anexar documentos a cualquier tipo de documento. Habilita el icono de anexar documentos en el momento que se seleccione un documento de la biblioteca.

Figura 16 – Adjuntos y anexos

O bien, ArchivoAnexar Documento.

Anular cualquier documento. Deja las firmas realizadas y las pendientes aparecen como rechazadas, es decir, el efecto es que se anula el documento a partir de un momento dado, con lo que el documento queda rechazado pero con las firmas vigentes.


Búsqueda General. Éste privilegio habilita la opción de búsqueda de documentos, picando en el icono señalado a continuación.

Figura 17 – Búsqueda General

Picando en éste icono aparecerá la ventana de búsqueda de documentos:

Figura 18 – Búsquedas

Conviene destacar que este privilegio no implica que se pueda seleccionar todos los tipos de documentos, lo que permite es no obligar a seleccionar uno. Es decir, si queremos que un determinado cargo o usuario -el cual solo tiene permiso para búsqueda de ciertos tipos de documentos- tenga la posibilidad de dejar en blanco el desplegable búsqueda de documentos de un tipo tendremos que hacer lo siguiente: concederle el privilegio “Búsqueda general de documentos”. Así, conseguimos no obligar a seleccionar uno de los tipos de documentos a los que tiene permiso de “buscar”. Una vez entremos en el formulario de búsqueda y localización de documentos, los tipos mostrados son los que el usuario o cargo tiene permiso (permiso de buscar documentos de un tipo). En resumen, podemos resumir el funcionamiento es lo siguiente:


• El desplegable “tipo” de la figura anterior, muestra los tipos para los que el usuario tiene permisos sobre tipos de objeto “Buscar documentos de un tipo”.

• Si no tiene el privilegio “Búsqueda general”, el sistema le obliga a seleccionar un tipo. Así, si se quiere resolver esta cuestión sin más, basta con añadir el privilegio “Búsqueda general”. Esto evitará preseleccionar un tipo de documento, pudiendo dejar sin seleccionar el tipo de documento realizándose la búsqueda sobre todos los tipos de documentos a los que tenga acceso. Desvincular documentos de expedientes. Éste privilegio funciona si tenemos

activado el permiso de acceso a todos los expedientes. Nos permite quitar el enlace de un documento con un expediente seleccionándolo y utilizando el botón derecho del ratón, tal y como se ve en la imagen

Figura 19 – Menú desvincular del expediente

Eliminar cualquier objeto. Habilita el botón Eliminar al seleccionar cualquier documento. Recordemos que esto marca el documento como eliminado, pero hasta que no se purguen éstos documentos podrán ser restaurados (Similar a la papelera de reciclaje de Windows)

Enviar por correo cualquier documento. Habilita el icono de “Correo electrónico”. Si tenemos seleccionado un documento y hacemos clic en éste icono, se abrirá una ventana previa en la que se pueden incluir/excluir documentos y en la que aparecen también los documentos relacionados con los documentos seleccionados. Si picamos en el botón de enviar se abrirá nuestro gestor de correo con los documentos seleccionados como archivos adjuntos.


Figura 20 - Envío de documentos por correo electrónico

Guardar a disco cualquier documento. Éste permiso habilita la opción de extraer documentos de la biblioteca para almacenarlos en cualquier otro soporte. Para ello bastará con seleccionar el documento y en el menú “Archivo” seleccionar “Guardar”.

Figura 21 – Guardar a disco documento

Imprimir cualquier documento. Permite imprimir. Aparecerá una ventana similar a la anterior.


Incluir fecha de aprobación en “Datos adicionales”. Si imprimimos un documento con datos adicionales aparecerá junto al firmante información sobre la fecha y hora en que se firmó el documento electrónicamente.

Insertar documentos por lotes de cualquier tipo. Teniendo habilitado éste privilegio estará disponible la opción de “Inserción por lotes” y la “Digitalización por Lotes”, permitiéndose insertar en la biblioteca (ya sea desde disco o desde un escáner con bandeja de entrada) varios documentos de un mismo tipo de forma simultánea, lo que supone un ahorro considerable de tiempo.

Figura 22 - Menú de digitalización por lotes

Insertar/crear cualquier objeto. Habilita la opción de insertar documentos, bien

haciendo clic en el icono correspondiente o desde la opción de Archivo Insertar.

Figura 23 - Botón de insertar documento

Modificar aprobadores de cualquier documento. Éste permiso permitirá cambiar la lista de firmantes de cualquier documento siempre que no haya sido firmado por nadie. Podremos acceder a esta opción desde el menú de Herramientas

Modificar lista de aprobadores.

Modificar cualquier objeto. Existe la opción de editar documentos almacenados en la biblioteca. Para poder modificar un documento hay que cumplir dos requisitos: Por un lado, el formato del documento debe permitir una modificación, como ocurre con documentos tipo Word (un documento en formato PDF NUNCA se podrá modificar). La segunda condición es que el documento no tenga firmas electrónicas presentes.


Figura 24 - Menú de editar

documento

Purgar documentos eliminados. Elimina definitivamente documentos de la biblioteca. Para que un documento se pueda purgar antes se ha debido eliminar. Este permiso sólo debe tenerlo un usuario de perfil administrador.

Figura 25 – Opción de menú de Purgar

Relacionar expedientes. Existe en FirmaDoc BPM la posibilidad de enlazar dos expedientes entre sí. Sólo se permite a través de APIs de momento, pero todo el sistema de seguridad está implementado en el núcleo de las mismas por ello existe el permiso, para que se controle la operación aún cuando son sólo las aplicaciones las que la ejecuta.

Restablecer cualquier documento. Devuelve a la biblioteca aquellos documentos que habiendo sido marcados como eliminados aún no han sido purgados.


Figura 26 - Opción de menú Restablecer.

Sustituir documento. Este privilegio habilita la opción de menú Documentos Sustituir que permite cambiar un documento existente por otro nuevo.


Transferir cualquier documento. Por defecto la visibilidad y los permisos se asignan al creador y a aquellos que vayan a firmar el documento. Si queremos otorgar permisos de visibilidad o privilegios del tipo que sea a otra área o unidad orgánica diferente del creador, y el área del creador no queremos que tenga visibilidad, es necesario que el documento cambie de propietario. Para efectuar ésta acción entraremos por Herramientas Transferir documento.

Figura 27 - Opción de menú de Transferencia de documento

Vincular documentos a expedientes. Éste privilegio permite, teniendo seleccionado un documento, introducirlo en un expediente que tengamos abierto. Se puede hacer desde el menú de Expedientes Vincular documento a expedientes; o bien situándonos en el documento que queramos vincular y haciendo clic en el botón secundario del ratón seleccionaríamos la opción de “Vincular expediente”.

Privilegios de Procesos

Acceso a cualquier tipo de proceso. Éste privilegio permite acceder a todos los

procedimientos BPM existentes, en ejecución o completados.

Cancelar cualquier proceso. Este privilegio permitirá cancelar la ejecución de cualquier proceso en ejecución.

Configurar y Diseñar Procesos. Este privilegio habilitará la opción de menú Mantenimientos Procesos permitiendo diseñar y modificar todos los procesos existentes.

Iniciar cualquier Proceso. Este privilegio habilitará la opción de menú Procesos Ejecutar un proceso permitiendo iniciar cualquier proceso disponible en la entidad.

Reasignar tareas. Este privilegio permitirá reasignar cualquier tarea pendiente o iniciada.

Saltar a hito. Este privilegio habilitará la opción de menú Procesos Saltar a hito siempre y cuando se tenga en la rejilla de Firmadoc un procedimiento seleccionado.


Supervisar cualquier proceso. Este privilegio permite realizar acciones de supervisión de cualquier proceso en ejecución o completado tales como cancelar tareas, eliminar tareas e iniciar tareas.

Privilegios de Seguridad

Modificaciones en consola de seguridad y permisos. Este privilegio habilita la opción de menú Mantenimientos Seguridad Administrar Roles y Privilegios que permitirá realizar modificaciones en los permisos de los usuarios.

Apéndice III - Agencias Certificadoras

Acerca de los certificados. Certificados hardware y software.

1. Agencia Certificadora de la Generalitat Valenciana

Dentro del 2º Plan de Modernización de la Comunidad Valenciana, a través del proyecto e-firmaGV, la Generalitat Valenciana (en adelante G.V) inició la creación de la Autoritat de Certificació de la Comunitat Valenciana (en adelante ACCV).

En julio de 2.001 se creó la Autoridad de Certificación Raíz y en septiembre del mismo año empezó la emisión de certificados. Hoy, la ACCV ha emitido 20.000 certificados digitales para Ciudadanos y Empresas de la Comunidad Valenciana que realizan trámites con la Administración a través de Internet.

Además de la emisión de certificados, la ACCV presta otros Servicios de Certificación. En esta unidad vas a conocer la actividad de la ACCV y cómo se convierte en pieza clave de la e-administración valenciana.

Web: www.accv.es

Nombre de certificado Raíz: Certificado Root de la GVA. : http://www.accv.es/gestcert/rootca.crt

Nombre de Certificado Intermedio: CAGVA: http://www.accv.es/gestcert/ca.crt


Certificado Intermedio ACCV–CA1 (Personas jurídicas): http://www.accv.es/gestcert/accv-ca1.crt

Certificado Intermedio ACCV–CA2 (Personas físicas): http://www.accv.es/gestcert/accv-ca2.crt

Ubicación de CRLs: (Añadir en CDP alternativo como http)

Para Root: http://www.accv.es/gestcert/rootgva_der.crl

Para CAGVA: http://www.accv.es/gestcert/cagva_der.crl

Para ACCV–CA1: http://www.accv.es/gestcert/cagvaentidad_der.crl

Para ACCV–CA2: http://www.accv.es/gestcert/ciudadanos.crl

2. Fabrica Nacional de Moneda y Timbre (Proyecto CERES)

Web: http://www.cert.fnmt.es/

Nombre de certificado Raíz: FNMT Clase 2 CA

Nombre de Certificado Intermedio: No existe.

Ubicación de CRLs: Por Aplicación.

3. Agencia Catalana de Certificación (CATCert) Web: http://www.catcert.net

Nombre de certificado Raíz:

Nombre de Certificado Intermedio:

Ubicación de CRLs:

a) http://epscd.catcert.net/crl/ec-acc.crl (Trabajadores de CATCert)

b) http://epscd.catcert.net/crl/ec-al.crl (Administraciones locales de Catalunya)

c) http://epscd.catcert.net/crl/ec-gencat.crl (Generalitat)

d) http://epscd.catcert.net/crl/ec-safp.crl (Secretaría de la función pública)

e) http://epscd.catcert.net/crl/ec-idcat.crl (Ciudadanos)


Apéndice IV – Certificados Digitales y efirma

Antecedentes

Uno de los criterios con los que se diseña un sistema informático es el de la seguridad. Cuando hablamos de seguridad de la información, uno de los aspectos más importantes a tener en cuenta es la confidencialidad o secreto, aunque existen otros criterios fundamentales como son:

confidencialidad: la información sólo está disponible para usuarios autorizados

integridad: permite asegurar que no se ha falseado la información

accesibilidad: permite asegurar quién puede acceder a la información y cuándo

autenticidad: permite asegurar el origen y el destino de la información

no rechazo: permite asegurar que una entidad que envía o recibe no puede negar ante terceros su envío o recepción.

Cuando se construye un sistema seguro, estos criterios suelen aparecer de forma combinada. Actualmente, los sistemas informáticos están modificando los medios tradicionales de comunicaciones sustituyéndolas o complementándolos con medios electrónicos como el correo electrónico, internet, etc. Por ello surgen una serie de necesidades en materia de seguridad que aseguren o mejoren los sistemas de seguridad de los medios tradicionales. Así surgen preguntas como por ejemplo: ¿se puede firmar un contrato por vía electrónica? ¿se puede certificar (en el sentido usual de correos) que un mensaje ha sido recibido? Para la resolución de estos problemas actualmente se están utilizando sistemas basados en la firma digital que son sistemas basados en criptosistemas asimétricos de clave pública en los que se establecen protocolos que permiten la adopción de los criterios de seguridad que anteriormente se han descrito.

Autenticación e integridad

El criterio básico de autenticidad tiene el propósito de evitar ataques normalmente basados en el criptoanálisis. Los mecanismos de autenticación e integridad tienen el propósito de detectar la actuación de una tercera entidad atacante activa:

La autenticidad se refiere a que cuando la entidad emisora envía información a la entidad receptora, esta última puede estar segura que el mensaje lo originó la entidad emisora original.

La integridad se refiere a que la entidad receptora esté segura de que la información que recibe de la entidad emisora no ha sido modificada desde que ésta lo envió.


A pesar de que desde el punto de vista teórico se establece una distinción entre autenticación e integridad, los esquemas y algoritmos usados normalmente proporcionan ambos tipos de protección de forma combinada. Los criterios que deben cumplir un algoritmo de autenticación e integridad son:

los mismos criterios que ofrecen las funciones de cifrado que se utilizan para asegurar la confidencialidad.

que el cambio de un bit en el mensaje original o en su clave deba afectar al máximo número de bits posible del auténtico (aproximadamente la mitad).

se debe proteger el secreto de la clave

al proporcionar un conjunto grande de parejas de mensajes y sus correspondientes autenticadores, no se debe poder obtener el autenticador de ningún otro mensaje.

Un sistema de autenticación consta de un espacio de claves K, un espacio de mensajes M para autenticar, un espacio de resúmenes R y una función de autenticación A. La función A tiene como entrada un mensaje M y una clave K dando lugar a una autenticada o resumen R que se añade al mensaje en una posición determinada y que sirve como autenticador del mensaje además de garantizar la integridad. El autenticador es mucho más pequeño que el mensaje y en teoría dos mensajes distintos pueden dar lugar al mismo autenticador. Lo que ocurre es que la probabilidad de que esto ocurra es tan baja que permite una utilización sin problemas. Entre los algoritmos de autenticación más utilizados se encuentran:

SWIFT: para la autenticación de mensajes de carácter financiero y bancario. Este algoritmo no ha sido publicado.

algoritmos basados en modos normalizados de operación del DES.

algoritmo MAA: Message Authentication Algorithm.

algoritmo RSA: Basado en criptosistemas de clave pública.

algoritmo El Gamal: del NIST (National Institute of Standards and Technology) basado en un sistema de firma digital.

Firma digital

El concepto de firma digital fue introducido por Diffie y Hellman en 1.976. Básicamente una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. Aparentemente estos se consiguen con los criterios de autenticidad e integridad anteriormente citados, pero estos no son suficientes si se pretende equiparar a la firma manuscrita que además tiene las propiedades de:

ser barata y fácil de producir


ser fácil de reconocer tanto por el propietario como por otros

ser imposible de rechazar por el propietario.

Para ello existen 2 métodos de firma digital:

1. Firma digital con árbitro donde dos usuarios con desconfianza mutua confían en un tercero. Se utilizan criptosistemas de clave única (una sóla clave para cifrar y descifrar). El emisor y el receptor tienen sus propias claves por lo que es el árbitro el encargado de recibir el mensaje del emisor, desencriptarlo con la clave del emisor. De esta forma el emisor y el receptor no necesitan compartir claves.

2. Firma digital ordinaria en la cual el usuario firmante envía directamente la firma al destinatario, y este debe poder comprobar la validez de la firma sin necesidad de un árbitro. A este método pertenecen los sistemas de firmas actuales que se basan en criptosistemas de clave pública.

El modo de funcionamiento de la firma digital basado en clave pública es el siguiente:

cada participante tiene un par de claves, una se usa para encriptar y la otra para desencriptar.

cada participante mantiene en secreto una de las claves (clave privada) y pone a disposición del público la otra (clave pública).

el emisor calcula un resumen del mensaje a firmar con una función hash. El resumen es un conjunto de datos de pequeño tamaño que tiene la propiedad de cambiar si se modifica el mensaje.

el emisor encripta el resumen del mensaje con una clave privada y ésta es la firma digital que se añade al mensaje original.

el receptor, al recibir el mensaje, calcula de nuevo su resumen mediante la función hash. Además desencripta la firma utilizando la clave pública del emisor obteniendo el resumen que el emisor calculó. Si ambos resúmenes coinciden entonces la firma es válida por lo que cumple los criterios ya vistos de autenticidad e integridad además del de no repudio ya que el emisor no puede negar haber enviado el mensaje que lleva su firma.

Infraestructura de clave pública

El sistema de firma digital basado en clave pública resuelve la mayoría de los criterios de seguridad que cumple la firma manual. Tan sólo queda la asociación de la firma con un propietario evitando así la existencia de firmas anónimas. Se trata, pues, de asociar a una firma la identidad de la persona que la utiliza. Para ello se usan los certificados digitales. Un certificado digital es un documento que identifica cada clave pública con su propietario correspondiente. Para que un certificado tenga validez es necesario que vaya firmado por una Autoridad de Certificación que es una entidad en la que confían el emisor y el receptor y que certifica la


identidad de los participantes. Los certificados, por tanto, son emitidos y firmados por la Autoridad Certificadora y están identificados por un número de serie y un período de validez. Por último, existe la firma de Autoridad de Registro que es una entidad que identifica de forma inequívoca al solicitante de un certificado para después suministrar a la Autoridad Certificadora los datos verificados del solicitante a fin de que ésta emita el correspondiente certificado. Actualmente se usa el estándar x.509 que materializa estos conceptoss formando lo que se denomina una Infraestructura de Clave Pública (PKI; Public Key Infrastructure) Un certificado contiene:

información de identidad

la clave pública

el modo de utilización de las claves (encriptación, firmado…)

un período de validez

un número de serie

la identidad de la Autoridad Certificadora

la firma digital de la Autoridad Certificadora

Una infraestructura de clave pública consiste en la aplicación de los certificados digitales basados en el estándar X509 para establecer la seguridad en las comunicaciones, mensajería y/o transacciones en redes de comunicaciones.

Situación en la administración pública

En España, las distintas administraciones están apostando decididamente por Internet como vía de comunicación. El primer paso ha sido la creación de webs para ofrecer información de interés público. Estas iniciativas están provocando un gran interés en el público que comienza a demandar nuevos servicios en la red. La más ambiciosa de estas iniciativas puesta en marcha por la Administración es el denominado proyecto CERES (Certificación Española) que lidera la Fábrica Nacional de la Moneda y Timbre (FNMT) y que, en líneas generales, consiste en una Infraestructura de Clave Pública dotada de una Entidad Pública de Certificación que permite autentificar y garantizar la confidencialidad e integridad de las comunicaciones entre ciudadanos, empresas u otras instituciones y administraciones públicas a través de las redes abiertas de comunicación. CERES utiliza términos y sistemas criptográficos basados en criptosistemas de clave pública con dos características básicas:

la identidad del usuario, al igual que su capacidad de firma, se encuentra almacenada en una tarjeta inteligente (el documento de identificación electrónica, informática y telemática) que no puede ser


accesible salvo por un propietario cuando introduzca el número de identificación personal, similar a la clave de una tarjeta de crédito.

el sistema es completamente transparente al usuario, es decir, no es necesario conocer ninguna técnica criptográfica para realizar o verificar una firma electrónica o cifrar o descifrar un mensaje.

Los servicios que presta la Entidad Pública de Certificación se agrupan en servicios básicos y servicios avanzados:

1. servicios básicos: incluyen servicios de certificación de claves, registros de usuarios, publicación,etc. Sobre estos servicios se apoyan otros servicios.

1. servicios de artificación de claves. Se opera como una entidad certificadora siguiendo el estándar X509. Incluye los siguientes servicios:

emisión y renovación de certificados

archivo de certificados

generación de claves

archivo de claves

2. servicios de registro de usuarios. Se opera como una Autoridad de Registro realizando la emisión y renovación de Registros. Entrega al usuario una tarjeta inteligente.

3. servicios de publicación mediante los cuales se da a los usuarios acceso a los certificados, listas de revocación, directorios, etc.

2. servicios avanzados:

1. certificación temporal (time stamping)

2. certificación de contenido

3. confirmación de envío, entrega y recepción de documentos en sistemas de mensajerías.

4. servicios de recuperación de claves, únicamente para las claves orientadas a la confidencialidad.


e-firma con DNI electrónico

Desde el departamento de e- administración de SAGE AYTOS, no se recomienda utilizar el DNI electrónico para firmar electrónicamente porque es una herramienta destinada principalmente a trámites telemáticos del ciudadano y la seguridad reforzada que posee hace que el sistema sea más lento que la firma con otros sistetemas.

El e-DNI como certificado electrónico obliga al trabajar con la plataforma de validación @FIRMA, y ésta utiliza el método de OCSP. Este método es el Online Certificate Status Protocol (OCSP), que es un método para determinar el estado de revocación de un certificado digital usando otros medios que no son a través del uso de CRL.

Por otro lado, también se dispone -para verificar la validez de los certificados emitidos por una entidad- de un sistema de repositorio de certificados y CRLs (Listas de Revocación de Certificados) los cuales es posible consultar y descargar para realizar las validaciones oportunas. Dependiendo de la entidad las CRL las actualizan cada 2 horas o cada 48 horas.

Aunque esto aparentemente no tenga nada que ver, si es cierto que las CRLs en caché son más rápidas. Sin embargo, no es por esto únicamente por lo que no se recomienda el DNI electrónico para firmar electrónicamente documentos, sino porque al firmar usando el DNI electrónico además se incluyen preguntas adicionales de confirmación cuando se emplea el certificado de firma.

firmadoc bpm – manual del administrador apéndices...catalogados de aplicaciones, desde donde se...

Documents