Política idCAT

1. INFORMACIÓ DE CONTACTE

1.1. Organització responsable
CATCert - Agència Catalana de Certificació
C\ Tànger, 98 (baixos)
08018 - Barcelona

1.2. Persona de contacte
Per a qualsevol consulta, dirigiu-vos a:
CATCert - Agència Catalana de Certificació
Servei de Certificació Digital
C\ Tànger, 98 (baixos)
08018 - Barcelona

2. TIPUS, PROCEDIMENT DE VALIDACIÓ I ÚS DEL CERTIFICAT idCAT

El certificat idCAT és un certificat reconegut d'identificació i signatura electrònica avançada destinat a ciutadans catalans i ciutadanes catalanes, i per a altres persones (col·lectivament anomenats "subscriptors") que necessiten relacionar-se amb les Administracions públiques i altres institucions.
El certificat idCAT és un certificat reconegut d'acord amb allò establert a l'article 11.1 de la Llei 59/2003, de 19 de desembre, de signatura electrònica, amb el contingut prescrit per l'article 11.2, i emesos complint les obligacions dels articles 12, 13, 18 i 20 de l'esmentada Llei. En concret, el procediment de validació de la identitat de l'idCAT requereix la compareixença personal de la persona física que obté el certificat davant d'una oficina pública de registre col·laboradora de CATCert.
Com a certificat reconegut que és, també pot ser utilitzat pel subscriptor en les seves relacions telemàtiques amb persones físiques o jurídiques que l'acceptin (col·lectivament anomenades "verificadors"), i en especial amb altres Administracions públiques, nacionals o estrangeres, sempre que l'ús del certificat no impliqui una transferència de valor econòmic, directe o indirecte, excepte si la pròpia Administració és la destinatària de la mateixa.
El certificat idCAT podrà emprar-se per a aquestes finalitats inicialment excloses quan la persona física o jurídica amb qui el subscriptor desitgi realitzar transaccions signi un conveni específic d'extensió de l'ús del certificat, que permeti a CATCert assumir el risc corresponent.
El certificat idCAT permet rebre documents xifrats, però no incorpora cap mecanisme de recuperació de la clau privada, per la qual cosa, en cas de pèrdua d'aquesta clau pel subscriptor, no podria accedir al contingut d'aquests documents.

  
3. LÍMITS D'ÚS

3.1. Límits d'ús adreçats als subscriptors
El ciutadà ha d'utilitzar el servei de certificació idCAT prestat per CATCert exclusivament per als usos autoritzats a la clàusula tercera de les Condicions generals d'emissió del certificat idCAT.
Així mateix, el ciutadà s'obliga a utilitzar el servei de certificació digital d'acord amb les instruccions, manuals o procediments subministrats per CATCert.
El ciutadà ha de complir qualsevol llei i regulació que pugui afectar el seu dret a utilitzar les eines criptogràfiques que empri.
El ciutadà no pot adoptar mesures d'inspecció, alteració o descompilació dels serveis de certificació digital de CATCert, sense el previ permís exprés de CATCert.

3.2.  Límits d'ús adreçats als verificadors:
El verificador ha d'utilitzar el servei de certificació idCAT, i el corresponent servei d'informació, prestat per CATCert exclusivament per als usos autoritzats a la clàusula tercera de les Condicions generals d'ús del certificat idCAT.
Així mateix, el verificador s'obliga a utilitzar el servei de certificació digital d'acord amb les instruccions, manuals o procediments subministrats per CATCert.
El verificador reconeix que el certificat no garanteix la capacitat del subscriptor per realitzar actes concrets, perquè no inclou cap esment a la majoria d'edat, ni a la capacitat general d'obrar, ni a les seves autoritzacions o poders. Per tant, l'eficàcia jurídica del document o missatge signat dependrà en tot cas de que el verificador faci les comprovacions addicionals corresponents.
El verificador ha de complir qualsevol llei i regulació que pugui afectar el seu dret a utilitzar les eines criptogràfiques que empri.
El verificador no pot adoptar mesures d'inspecció, alteració o descompilació dels serveis de certificació digital de CATCert, sense el previ permís exprés de CATCert.

4. OBLIGACIONS DELS SUBSCRIPTORS

4.1. Generació de claus
El ciutadà ha de generar les seves pròpies claus, privada i pública, per a la identificació i la signatura electrònica, en el seu ordinador personal, que ha d'estar en tot moment sota el seu control.

4.2. Sol·licitud de certificats
El ciutadà s'obliga a realitzar les sol·licituds de certificats idCAT d'acord amb el procediment i, si s'escau, els components tècnics subministrats per CATCert, d'acord amb el que s'estableix a la DPC i a la documentació d'operacions de CATCert.
CATCert publica a la pàgina web de sol·licitud el procediment d'obtenció del certificat idCAT.
 
4.3. Veracitat de la informació
El ciutadà ha de responsabilitzar-se de que tota la informació inclosa, per qualsevol mitjà, a la sol·licitud del certificat i en el mateix certificat sigui exacta, completa per a la finalitat del certificat i estigui actualitzada en tot moment.
El ciutadà ha d'informar immediatament a CATCert de qualsevol inexactitud en el certificat detectada un cop s'hagi emès, així com dels canvis que es produeixin en la informació aportada per a l'emissió del certificat.

4.4. Lliurament i acceptació del servei
D'acord amb allò establert a l'article 5 de la Llei 7/1998, de 13 d'abril, de condicions generals de la contractació, i la seva normativa de desenvolupament, Reial Decret 1906/1999, de 17 de desembre, pel qual es regula la contractació telefònica o electrònica mitjançant condicions generals en desplegament de l'article 5.3 de la Llei 7/1998, de 13 d'abril, de condicions generals de la contractació, amb la signatura electrònica de la sol·licitud, el ciutadà accepta aquestes condicions generals íntegrament.

El posseïdor accepta el certificat mitjançant el procediment telemàtic d'obtenció del certificat, desprès de la comprovació de la seva identitat i les dades que hagin de ser incloses en el certificat.

4.5. Obligació de custòdia
El ciutadà s'obliga a custodiar, quan s'escaigui, el codi d'identificació personal, la clau privada i, si s'escau, les especificacions propietat de CATCert que li siguin subministrades.
En cas de pèrdua o robatori de la clau privada del certificat, o en cas que el ciutadà sospiti que la clau privada ha perdut fiabilitat per qualsevol motiu, cal que sol·liciti immediatament la suspensió del certificat trucant al telèfon de Servei d'incidències 24x7 de CATCert: 902 90 10 80.

4.6. Obligacions d'ús correcte
El ciutadà ha d'utilitzar el servei de certificació idCAT prestat per CATCert exclusivament per als usos autoritzats a la clàusula tercera de les condicions generals d'emissió del certificat.
Així mateix, el ciutadà s'obliga a utilitzar el servei de certificació digital d'acord amb les instruccions, manuals o procediments subministrats per CATCert.
El ciutadà ha de complir qualsevol llei i regulació que pugui afectar el seu dret a utilitzar les eines criptogràfiques que empri.
El ciutadà no pot adoptar mesures d'inspecció, alteració o descompilació dels serveis de certificació digital de CATCert, sense el previ permís exprés de CATCert.

El subscriptor reconeix:
a) Que la signatura digital generada amb la clau privada del certificat idCAT és la signatura electrònica avançada del ciutadà, d'acord amb la Llei 59/2003, de 19 de desembre, de signatura electrònica, i que l'identifica plenament davant de tercers.
b) Que el certificat no garanteix la seva capacitat per realitzar actes concrets, perquè no inclou cap menció a la majoria d'edat, ni a la capacitat general d'obrar, ni a les seves autoritzacions o poders. Per tant, l'eficàcia jurídica del document o missatge signat dependrà en tot cas de que el destinatari del document o missatge signat faci les comprovacions addicionals corresponents.
c) Que quan utilitzi qualsevol certificat, i mentre el certificat no hagi expirat ni hagi estat suspès o revocat, s'haurà acceptat el certificat i estarà operatiu.
d) Que no actua com a entitat de certificació i, per tant, s'obliga a no utilitzar les claus privades corresponents a les claus públiques contingudes en els certificats amb el propòsit de signar cap certificat.

4.7. Transaccions prohibides
El ciutadà s'obliga a no utilitzar la clau privada, el certificat idCAT o qualsevol altre suport tècnic lliurat per CATCert per realitzar cap transacció prohibida per la llei aplicable.
Els serveis de certificació digital prestats per CATCert no han estat dissenyats ni permeten la seva utilització o revenda com a equips de control de situacions perilloses, o per a usos que requereixin actuacions a prova d'errors, com ara l'operació d'instal·lacions nuclears, sistemes de navegació o comunicació aèria, sistemes de control de trànsit aeri o sistemes de control d'armament, on una errada pogués directament causar la mort, danys físics o danys mediambientals greus.

5. OBLIGACIONS DEL VERIFICADOR

5.1. Decisió informada
CATCert informa al verificador, que es dóna per notificat, que té accés a informació suficient per prendre una decisió informada en el moment de verificar un certificat i confiar en la informació continguda al certificat.
Addicionalment, el verificador reconeix que l'ús del Registre i de les Llistes de Revocació de Certificats (en endavant, "les LRCs" o "les "CRLs") de CATCert, es regeix per la DPC de CATCert i es compromet a complir els requeriments tècnics, operatius i de seguretat descrits a l'esmentada DPC de CATCert.

5.2. Requeriments de verificació de la signatura electrònica
Per confiar en un missatge o document, el verificador ha de validar dues signatures:
- En primer lloc, ha de verificar la signatura electrònica del missatge o document. Aquesta comprovació és imprescindible per determinar que va ésser generada pel subscriptor o pel posseïdor de claus, utilitzant la clau privada corresponent a la clau pública continguda al certificat idCAT, i per garantir que el missatge o document signat no va ésser modificat des de la generació de la signatura electrònica.
- En segon lloc, ha de verificar la signatura electrònica del certificat idCAT del subscriptor o del posseïdor de claus. Aquesta comprovació és imprescindible per determinar que la clau pública continguda al certificat correspon al subscriptor o al posseïdor, i per tant, la seva identitat, legitimació per signar i, en el cas del posseïdor de claus, la seva vinculació amb el subscriptor.

La comprovació serà executada normalment de forma automàtica pel programari del verificador i, en tot cas, d'acord amb la DPC, amb els següents requeriments:
- Cal utilitzar el programari apropiat per a la verificació d'una signatura digital amb els algorismes i longituds de claus autoritzats al certificat i/o executar qualsevol altra operació criptogràfica, i establir la cadena de certificats en què es basa la signatura electrònica a verificar, ja què la signatura electrònica es verifica utilitzant aquesta cadena de certificats.
- Cal assegurar que la cadena de certificats identificada és la més adequada per a la signatura electrònica que es verifica, ja què una signatura electrònica pot basar-se en més d'una cadena de certificats, i és decisió del verificador assegurar-se d'utilitzar la cadena més adient per verificar-la.
- Cal comprovar l'estat de revocació dels certificats de la cadena amb la informació subministrada al Registre de CATCert (amb LRCs, per exemple) per determinar la validesa de tots els certificats de la cadena de certificats, doncs només pot considerar-se correctament verificada una signatura electrònica si tots i cadascun dels certificats de la cadena són correctes i es troben vigents.
- Cal assegurar que tots els certificats de la cadena autoritzen l'ús de la clau privada pel subscriptor del certificat i el posseïdor de la clau, degut a la possibilitat de què algun dels certificats incloguin límits d'ús que impedeixin confiar en la signatura electrònica que es verifica. Cada certificat de la cadena disposa d'un indicador que fa referència a les condicions d'ús aplicables, per a la seva revisió pels verificadors.
- Cal verificar tècnicament la signatura de tots els certificats de la cadena abans de confiar en el certificat utilitzat pel signatari.
- Cal determinar la data i hora de generació de la signatura electrònica, ja què la signatura electrònica només pot considerar-se correctament verificada si va ésser creada dins el període de vigència de la cadena de certificats en què es basa.
- Cal delimitar les dades que han estat signades digitalment, ja què les mateixes s'utilitzaran a la verificació de la signatura.
Finalment, cal verificar tècnicament la pròpia signatura amb el certificat del signatari avalat per la cadena de certificats.

5.3. Diligència exigible
El verificador ha d'actuar amb la màxima diligència abans de confiar en els certificats i les signatures digitals. En concret, el verificador s'obliga a utilitzar programari de verificació de signatura electrònica amb la capacitat tècnica, operativa i de seguretat suficient per executar el procés de verificació de signatura correctament, i romandrà responsable exclusiu del dany que pugui patir per la incorrecta elecció de l'esmentat programari.
La prescripció anterior no serà aplicable quan CATCert hagi subministrat el programari de verificació al verificador.
El verificador pot confiar en un missatge o document signat si concorren les següents condicions:
- La signatura electrònica s'ha de poder verificar d'acord amb els requeriments establerts a l'apartat 5.2.
- El verificador ha d'haver utilitzat informació de revocació actualitzada en el moment de verificació de la signatura
- El tipus i classe de certificat ha d'ésser apropiat per a l'ús que se'n pretén fer
- El verificador ha de prendre en consideració altres limitacions addicionals d'ús del certificat indicades de qualsevol manera al certificat, incloent-hi aquelles no processades automàticament pel programari de verificació, incorporades per referència al certificat, i contingudes en aquestes condicions d'ús. En especial, un certificat no constitueix una concessió de drets i facultats per part de CATCert al subscriptor o al posseïdor de claus, més enllà de la descripció del certificat segons l'apartat 2 anterior o una altra indicació expressa de CATCert o del propi subscriptor.
- El verificador ha d'establir el significat de la signatura i la intenció del signatari, doncs l'acte de signar pot tenir implicacions diferents segons l'aplicació de la signatura, com protegir una transmissió o prestar el consentiment.
- Finalment, la confiança ha d'ésser raonable d'acord amb les circumstàncies. Si les circumstàncies requereixen garanties addicionals, el verificador haurà d'obtenir aquestes garanties per a què la confiança sigui raonable.

En qualsevol cas, la decisió final respecte a confiar o no en una signatura electrònica verificada és exclusivament del verificador.

5.4. Confiança en una signatura no verificada
Queda prohibit confiar, o, de qualsevol altra manera, fer ús d'una signatura o certificat no verificats.
Si el verificador confia en una signatura electrònica no verificada, assumirà tots els riscs derivats d'aquesta actuació.

5.5. Efecte de la verificació
En virtut de la correcta verificació d'una signatura i els certificats, d'acord amb les condicions generals d'ús, el verificador pot confiar en la identificació i, en el seu cas, signatura del subscriptor o posseïdor de claus, dins de les limitacions d'ús corresponents.
El verificador reconeix i accepta que, allà on es requereixi que una transacció sigui realitzada per escrit, un missatge o document que contingui una signatura digital verificable utilitzant el certificat és tan vàlid i efectiu com si hagués estat realitzat per escrit i signat en paper. 
Així mateix, sempre conforme amb la  llei aplicable, la signatura o la transacció digital serà efectiva amb independència de la localització geogràfica d'emissió de la mateixa o de la creació o ús de la signatura digital, així com de la localització de CATCert, del subscriptor o del posseïdor de claus.

5.6. Ús correcte i activitats prohibides
El verificador s'obliga a no utilitzar cap mena d'informació d'estat dels certificats o de cap altre tipus que hagi estat subministrada per CATCert, per realitzar cap transacció prohibida per la llei aplicable a la citada transacció.
El verificador s'obliga a no inspeccionar, interferir o realitzar enginyeria inversa a la implantació tècnica dels serveis públics de certificació de CATCert, sense previ consentiment escrit de CATCert.
Addicionalment, el verificador s'obliga a no comprometre intencionadament la seguretat dels serveis públics de certificació de CATCert.
Els serveis de certificació digital prestats per CATCert no han estat dissenyats ni permeten la utilització o revenda, com a equips de control de situacions perilloses o per a usos que requereixin actuacions a prova d'errors, com ara l'operació d'instal·lacions nuclears, sistemes de navegació o comunicació aèria, sistemes de control de tràfic aeri, o sistemes de control d'armament, on una errada podria causar la mort, danys físics o danys mediambientals greus.

6. GARANTIES LIMITADES I REBUIG DE GARANTIES

6.1. Garantia de CATCert pels serveis de certificació digital
CATCert garanteix que la clau privada de l'entitat de certificació utilitzada per emetre certificats no ha estat compromesa, llevat que CATCert no hagi comunicat el contrari mitjançant el registre de certificació de CATCert, d'acord amb la Declaració de pràctiques de certificació.
CATCert únicament garanteix que:
a) Els certificats reconeguts contenen tota la informació exigida per la Llei 59/2003, de 19 de desembre.
b) CATCert no ha originat ni ha introduït declaracions falses o errònies a la informació de cap certificat, ni ha deixat d'incloure informació necessària aportada pel ciutadà i validada per CATCert o per l'entitat de registre col·laboradora, en el moment de l'emissió del certificat.
c) Tots els certificats compleixen els requeriments formals i de contingut de la Declaració de pràctiques de certificació del certificat idCAT.
d) CATCert queda vinculada pels procediments operatius i de seguretat descrits a la Declaració de pràctiques de certificació de CATCert.

6.2. Exclusió de la garantia
CATCert no garanteix cap programari que utilitzi el ciutadà o qualsevol altra persona per generar, verificar o utilitzar d'una altra forma cap signatura digital o certificat digital emès per CATCert, excepte que hi hagi una declaració escrita de CATCert en sentit contrari.

7. ACORDS APLICABLES, DPC.

7.1.  Acords aplicables
Els acords aplicables al certificat idCAT, vénen continguts en les Condicions Generals d'Emissió, així com en les condicions Generals d'Ús, degudament anunciades i a disposició del ciutadà durant el tràmit de sol·licitud d'obtenció de l'esmentat certificat.

7.2. Declaració de pràctiques de certificació
Els serveis de certificació de CATCert objecte de les presents condicions d'ús, es regulen tècnicament i operativament per la Declaració de pràctiques de certificació EC-idCAT de CATCert (en endavant, "la DPC"), d'acord amb l'article 19 de la Llei 59/2003, de 19 de desembre, de signatura electrònica, i per les seves actualitzacions posteriors, així com per documentació complementària, publicades a la següent adreça d'Internet: http://www.catcert.net/registre.

7.3. Política de certificació
CATCert disposa d'una política de certificació que detalla els requisits de caràcter tècnic, jurídic, operatiu, així com de regulació del certificat idCAT, a disposició de la comunitat d'usuaris que la sol·licitin.

8. POLITICA D'INTIMITAT

CATCert no pot divulgar ni pot ésser obligada a divulgar cap informació confidencial referent a certificats sense una sol·licitud específica prèvia que provingui de:

a) la persona respecte a la qual CATCert té el deure de mantenir la informació confidencial, o

b) una ordre judicial, administrativa o qualsevol altra prevista en la legislació vigent.


Tot i això, d'acord amb allò establert en l'article 5 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, CATCert informa del següent:

a) CATCert és titular d'un conjunt de fitxers de dades de caràcter personal relatius a les dades d'identificació dels subscriptors de certificats idCAT. Aquesta informació és: nom i cognoms, número de DNI, NIE o equivalents nacionals del subscriptor. El subscriptor accepta que l'esmentada informació, proporcionada a la sol·licitud de certificats en els termes que es preveuen en l'article 17 de la Llei 59/2003, de 19 de desembre, de signatura electrònica, serà inclosa als seus certificats i al mecanisme de comprovació de l'estat dels certificats, i que la informació no tindrà caràcter confidencial, per imperatiu legal (anomenades "dades públiques"). A més, CATCert requereix que el subscriptor aporti determinada informació pel manteniment de la seva relació jurídica, incloent-hi, entre d'altres que hi figuren a la sol·licitud, si s'escau l'adreça postal a efectes de notificacions, i les dades que figuren en els documents d'identificació que el subscriptor ha d'aportar a CATCert, mitjançant una Entitat de registre col·laboradora (anomenades "dades privades"). Les dades captades per CATCert tenen la consideració legal de dades de nivell bàsic.

b) CATCert capta les dades directament dels subscriptors, i les comprova mitjançant Entitats de registre col·laboradores, que actuen com encarregats de tractaments per compte de CATCert, d'acord amb allò establert a l'article 12 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.

c) El subministrament d'aquesta informació per part del subscriptor a CATCert és obligatori per a poder emetre el certificat digital i mantenir la relació jurídica entre les parts.

d) CATCert s'obliga a complir la normativa sobre signatura electrònica i sobre protecció de dades de caràcter personal, en especial pel que fa a la inscripció i la correcta gestió dels fitxers de dades personals, amb les mesures de seguretat corresponents.

e) CATCert no realitza cap cessió de dades privades a tercers. No es considera cessió de dades privades l'accés de tercers als fitxers per realitzar tractaments encomanats per CATCert, quan l'accés es produeix en el marc d'un encàrrec de tractament previst a l'article 12 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. CATCert publica, quan ho autoritza el subscriptor, el seu certificat en el Registre de certificats previst per l'article 18.c) de la Llei 59/2003, de 19 de desembre, als sols efectes de la verificació de la signatura electrònica del subscriptor. Aquesta publicació suposa una cessió de les dades públiques a qualsevol persona que accedeixi al Registre de certificats de CATCert, des de qualsevol país del món connectat a Internet. CATCert publica, en tot cas, una Llista de revocació de certificats, que inclou els certificats dels subscriptors que han perdut vigència, temporal o definitivament, pels motius que es preveuen en els articles 8 i 9 de la Llei 59/2003, de 19 de desembre, de signatura electrònica i a la DPC de CATCert. Aquesta llista només conté el número de sèrie del certificat del subscriptor, i cap dada pública ni privada addicional.

f) El subscriptor pot exercir els drets d'accés, rectificació, cancel·lació i oposició, amb les limitacions establertes legalment, o revocar lliurement el seu consentiment per a la publicació del certificat mitjançant a) una comunicació escrita i signada adjuntant fotocòpia del DNI o document equivalent dirigit a l'Agència Catalana de Certificació-àrea d'Assessoria Jurídica i Relacions Interadministratives-, Carrer Tànger, 98 (baixos) 08018 Barcelona, o b) el procediment de tramitació electrónica establert a l'apartat Dades personals del web www.catcert.cat. El subscriptor no es pot oposar a la publicació de Llistes de revocació de certificats, per imperatiu legal.

9. POLITICA DE REINTEGRAMENT

Donat el car&aà;cter gratuït del certificat idCAT per part dels seus destinataris, no es preveu l'esmentada política.

10. LLEI APLICABLE , JURISDICCIÓ COMPETENT

Les parts es regeixen per les condicions generals d'emissió i d'ús del idCAT, que seran interpretades i executades en els seus propis termes i, en tot allò no previst, les parts es regiran per la Llei 59/2003, de 19 de desembre i, subsidiàriament, per la legislació civil i mercantil que regula el règim de les obligacions i els contractes.
La jurisdicció competent serà la jurisdicció civil, d'acord amb les normes  contingudes a la Llei 1/2000, de 7 de gener.

11. ACREDITACIONS, SEGELLS DE QUALITAT

No aplicable.

Tancar la finestra