1.1. Organització responsable
CATCert - Agència Catalana de Certificació
C\ Tànger, 98 (baixos)
08018 - Barcelona
1.2. Persona de contacte
Per a qualsevol consulta, dirigiu-vos a:
CATCert - Agència Catalana de Certificació
Servei de Certificació Digital
C\ Tànger, 98 (baixos)
08018 - Barcelona
El certificat idCAT és un certificat reconegut d'identificació i signatura electrònica avançada
destinat a ciutadans catalans i ciutadanes catalanes, i per a altres persones (col·lectivament anomenats
'persones subscriptores') que necessiten relacionar-se amb les Administracions públiques i altres
institucions.
El certificat idCAT és un certificat reconegut d'acord amb allò establert a l'article 11.1 de la
Llei 59/2003, de 19 de desembre, de signatura electrònica, amb el contingut prescrit per l'article 11.2,
i emesos complint les obligacions dels articles 12, 13, 18 i 20 de l'esmentada Llei. En concret, el procediment
de validació de la identitat de l'idCAT requereix la compareixença personal de la persona física
que obté el certificat davant d'una oficina pública de registre col·laboradora de
CATCert.
Com a certificat reconegut que és, també pot ser utilitzat per la persona subscriptora en les seves relacions
telemàtiques amb persones físiques o jurídiques que l'acceptin (col·lectivament
anomenades 'verificadors'), i en especial amb altres Administracions públiques, nacionals o
estrangeres, sempre que l'ús del certificat no impliqui una transferència de valor econòmic,
directe o indirecte, excepte si la pròpia Administració és la destinatària de la
mateixa.
El certificat idCAT podrà emprar-se per a aquestes finalitats inicialment excloses quan la persona física
o jurídica amb qui la persona subscriptora desitgi realitzar transaccions signi un conveni específic
d'extensió de l'ús del certificat, que permeti a CATCert assumir el risc corresponent.
El certificat idCAT permet rebre documents xifrats, però no incorpora cap mecanisme de recuperació
de la clau privada, per la qual cosa, en cas de pèrdua d'aquesta clau per la persona subscriptora, no podria accedir
al contingut d'aquests documents.
3.1. Límits d'ús adreçats a les persones subscriptores
El ciutadà ha d'utilitzar el servei de certificació idCAT prestat per CATCert exclusivament per
als usos autoritzats a la clàusula tercera de les Condicions generals d'emissió del certificat
idCAT.
Així mateix, el ciutadà s'obliga a utilitzar el servei de certificació digital d'acord amb
les instruccions, manuals o procediments subministrats per CATCert.
El ciutadà ha de complir qualsevol llei i regulació que pugui afectar el seu dret a utilitzar les
eines criptogràfiques que empri.
El ciutadà no pot adoptar mesures d'inspecció, alteració o descompilació dels
serveis de certificació digital de CATCert, sense el previ permís exprés de CATCert.
3.2. Límits d'ús adreçats als verificadors:
El verificador ha d'utilitzar el servei de certificació idCAT, i el corresponent servei d'informació,
prestat per CATCert exclusivament per als usos autoritzats a la clàusula tercera de les Condicions
generals d'ús del certificat idCAT.
Així mateix, el verificador s'obliga a utilitzar el servei de certificació digital d'acord amb les
instruccions, manuals o procediments subministrats per CATCert.
El verificador reconeix que el certificat no garanteix la capacitat de la persona subscriptora per realitzar actes
concrets, perquè no inclou cap esment a la majoria d'edat, ni a la capacitat general d'obrar, ni a les
seves autoritzacions o poders. Per tant, l'eficàcia jurídica del document o missatge signat
dependrà en tot cas de que el verificador faci les comprovacions addicionals corresponents.
El verificador ha de complir qualsevol llei i regulació que pugui afectar el seu dret a utilitzar les
eines criptogràfiques que empri.
El verificador no pot adoptar mesures d'inspecció, alteració o descompilació dels serveis
de certificació digital de CATCert, sense el previ permís exprés de CATCert.
4.1. Generació de claus
El ciutadà ha de generar les seves pròpies claus, privada i pública, per a la identificació
i la signatura electrònica, en el seu ordinador personal, que ha d'estar en tot moment sota el seu
control.
4.2. Sol·licitud de certificats
El ciutadà s'obliga a realitzar les sol·licituds de certificats idCAT d'acord amb el procediment
i, si s'escau, els components tècnics subministrats per CATCert, d'acord amb el que s'estableix a la DPC
i a la documentació d'operacions de CATCert.
CATCert publica a la pàgina web de sol·licitud el procediment d'obtenció del certificat
idCAT.
4.3. Veracitat de la informació
El ciutadà ha de responsabilitzar-se de que tota la informació inclosa, per qualsevol mitjà,
a la sol·licitud del certificat i en el mateix certificat sigui exacta, completa per a la finalitat del
certificat i estigui actualitzada en tot moment.
El ciutadà ha d'informar immediatament a CATCert de qualsevol inexactitud en el certificat detectada un
cop s'hagi emès, així com dels canvis que es produeixin en la informació aportada per a
l'emissió del certificat.
4.4. Lliurament i acceptació del servei
D'acord amb allò establert a l'article 5 de la Llei 7/1998, de 13 d'abril, de condicions generals de la
contractació, i la seva normativa de desenvolupament, Reial Decret 1906/1999, de 17 de desembre, pel qual
es regula la contractació telefònica o electrònica mitjançant condicions generals en
desplegament de l'article 5.3 de la Llei 7/1998, de 13 d'abril, de condicions generals de la contractació,
amb la signatura electrònica de la sol·licitud, el ciutadà accepta aquestes condicions
generals íntegrament.
El posseïdor accepta el certificat mitjançant el procediment telemàtic d'obtenció del certificat, desprès de la comprovació de la seva identitat i les dades que hagin de ser incloses en el certificat.
4.5. Obligació de custòdia
El ciutadà s'obliga a custodiar, quan s'escaigui, el codi d'identificació personal, la clau
privada i, si s'escau, les especificacions propietat de CATCert que li siguin subministrades.
En cas de pèrdua o robatori de la clau privada del certificat, o en cas que el ciutadà sospiti que
la clau privada ha perdut fiabilitat per qualsevol motiu, cal que sol·liciti immediatament la suspensió
del certificat trucant al telèfon de Servei d'incidències 24x7 de CATCert: 902 90 10 80.
4.6. Obligacions d'ús correcte
El ciutadà ha d'utilitzar el servei de certificació idCAT prestat per CATCert exclusivament per
als usos autoritzats a la clàusula tercera de les condicions generals d'emissió del
certificat.
Així mateix, el ciutadà s'obliga a utilitzar el servei de certificació digital d'acord amb
les instruccions, manuals o procediments subministrats per CATCert.
El ciutadà ha de complir qualsevol llei i regulació que pugui afectar el seu dret a utilitzar les
eines criptogràfiques que empri.
El ciutadà no pot adoptar mesures d'inspecció, alteració o descompilació dels
serveis de certificació digital de CATCert, sense el previ permís exprés de CATCert.
La persona subscriptora reconeix:
a) Que la signatura digital generada amb la clau privada del certificat idCAT és la signatura electrònica
avançada del ciutadà, d'acord amb la Llei 59/2003, de 19 de desembre, de signatura electrònica,
i que l'identifica plenament davant de tercers.
b) Que el certificat no garanteix la seva capacitat per realitzar actes concrets, perquè no inclou cap
menció a la majoria d'edat, ni a la capacitat general d'obrar, ni a les seves autoritzacions o poders.
Per tant, l'eficàcia jurídica del document o missatge signat dependrà en tot cas de que el
destinatari del document o missatge signat faci les comprovacions addicionals corresponents.
c) Que quan utilitzi qualsevol certificat, i mentre el certificat no hagi expirat ni hagi estat suspès o
revocat, s'haurà acceptat el certificat i estarà operatiu.
d) Que no actua com a entitat de certificació i, per tant, s'obliga a no utilitzar les claus privades
corresponents a les claus públiques contingudes en els certificats amb el propòsit de signar cap
certificat.
4.7. Transaccions prohibides
El ciutadà s'obliga a no utilitzar la clau privada, el certificat idCAT o qualsevol altre suport tècnic
lliurat per CATCert per realitzar cap transacció prohibida per la llei aplicable.
Els serveis de certificació digital prestats per CATCert no han estat dissenyats ni permeten la seva
utilització o revenda com a equips de control de situacions perilloses, o per a usos que requereixin
actuacions a prova d'errors, com ara l'operació d'instal·lacions nuclears, sistemes de navegació
o comunicació aèria, sistemes de control de trànsit aeri o sistemes de control d'armament,
on una errada pogués directament causar la mort, danys físics o danys mediambientals greus.
5.1. Decisió informada
CATCert informa al verificador, que es dóna per notificat, que té accés a informació
suficient per prendre una decisió informada en el moment de verificar un certificat i confiar en la
informació continguda al certificat.
Addicionalment, el verificador reconeix que l'ús del Registre i de les Llistes de Revocació de
Certificats (en endavant, 'les LRCs' o 'les 'CRLs') de CATCert, es regeix per la DPC de
CATCert i es compromet a complir els requeriments tècnics, operatius i de seguretat descrits a
l'esmentada DPC de CATCert.
5.2. Requeriments de verificació de la signatura electrònica
Per confiar en un missatge o document, el verificador ha de validar dues signatures:
- En primer lloc, ha de verificar la signatura electrònica del missatge o document. Aquesta comprovació
és imprescindible per determinar que va ésser generada per la persona subscriptora o pel posseïdor de
claus, utilitzant la clau privada corresponent a la clau pública continguda al certificat idCAT, i per
garantir que el missatge o document signat no va ésser modificat des de la generació de la
signatura electrònica.
- En segon lloc, ha de verificar la signatura electrònica del certificat idCAT de la persona subscriptora o del
posseïdor de claus. Aquesta comprovació és imprescindible per determinar que la clau pública
continguda al certificat correspon a la persona subscriptora o al posseïdor, i per tant, la seva identitat, legitimació
per signar i, en el cas del posseïdor de claus, la seva vinculació amb la persona subscriptora.
La comprovació serà executada normalment de forma automàtica pel programari del verificador
i, en tot cas, d'acord amb la DPC, amb els següents requeriments:
- Cal utilitzar el programari apropiat per a la verificació d'una signatura digital amb els algorismes i
longituds de claus autoritzats al certificat i/o executar qualsevol altra operació criptogràfica,
i establir la cadena de certificats en què es basa la signatura electrònica a verificar, ja què
la signatura electrònica es verifica utilitzant aquesta cadena de certificats.
- Cal assegurar que la cadena de certificats identificada és la més adequada per a la signatura
electrònica que es verifica, ja què una signatura electrònica pot basar-se en més
d'una cadena de certificats, i és decisió del verificador assegurar-se d'utilitzar la cadena més
adient per verificar-la.
- Cal comprovar l'estat de revocació dels certificats de la cadena amb la informació subministrada
al Registre de CATCert (amb LRCs, per exemple) per determinar la validesa de tots els certificats de la cadena
de certificats, doncs només pot considerar-se correctament verificada una signatura electrònica si
tots i cadascun dels certificats de la cadena són correctes i es troben vigents.
- Cal assegurar que tots els certificats de la cadena autoritzen l'ús de la clau privada per la persona subscriptora
del certificat i el posseïdor de la clau, degut a la possibilitat de què algun dels certificats
incloguin límits d'ús que impedeixin confiar en la signatura electrònica que es verifica.
Cada certificat de la cadena disposa d'un indicador que fa referència a les condicions d'ús
aplicables, per a la seva revisió pels verificadors.
- Cal verificar tècnicament la signatura de tots els certificats de la cadena abans de confiar en el
certificat utilitzat pel signatari.
- Cal determinar la data i hora de generació de la signatura electrònica, ja què la
signatura electrònica només pot considerar-se correctament verificada si va ésser creada
dins el període de vigència de la cadena de certificats en què es basa.
- Cal delimitar les dades que han estat signades digitalment, ja què les mateixes s'utilitzaran a la
verificació de la signatura.
Finalment, cal verificar tècnicament la pròpia signatura amb el certificat del signatari avalat
per la cadena de certificats.
5.3. Diligència exigible
El verificador ha d'actuar amb la màxima diligència abans de confiar en els certificats i les
signatures digitals. En concret, el verificador s'obliga a utilitzar programari de verificació de
signatura electrònica amb la capacitat tècnica, operativa i de seguretat suficient per executar el
procés de verificació de signatura correctament, i romandrà responsable exclusiu del dany
que pugui patir per la incorrecta elecció de l'esmentat programari.
La prescripció anterior no serà aplicable quan CATCert hagi subministrat el programari de
verificació al verificador.
El verificador pot confiar en un missatge o document signat si concorren les següents condicions:
- La signatura electrònica s'ha de poder verificar d'acord amb els requeriments establerts a l'apartat
5.2.
- El verificador ha d'haver utilitzat informació de revocació actualitzada en el moment de
verificació de la signatura
- El tipus i classe de certificat ha d'ésser apropiat per a l'ús que se'n pretén fer
- El verificador ha de prendre en consideració altres limitacions addicionals d'ús del certificat
indicades de qualsevol manera al certificat, incloent-hi aquelles no processades automàticament pel
programari de verificació, incorporades per referència al certificat, i contingudes en aquestes
condicions d'ús. En especial, un certificat no constitueix una concessió de drets i facultats per
part de CATCert a la persona subscriptora o al posseïdor de claus, més enllà de la descripció del
certificat segons l'apartat 2 anterior o una altra indicació expressa de CATCert o de la propia persona subscriptora.
- El verificador ha d'establir el significat de la signatura i la intenció del signatari, doncs l'acte de
signar pot tenir implicacions diferents segons l'aplicació de la signatura, com protegir una transmissió
o prestar el consentiment.
- Finalment, la confiança ha d'ésser raonable d'acord amb les circumstàncies. Si les
circumstàncies requereixen garanties addicionals, el verificador haurà d'obtenir aquestes
garanties per a què la confiança sigui raonable.
En qualsevol cas, la decisió final respecte a confiar o no en una signatura electrònica verificada és exclusivament del verificador.
5.4. Confiança en una signatura no verificada
Queda prohibit confiar, o, de qualsevol altra manera, fer ús d'una signatura o certificat no
verificats.
Si el verificador confia en una signatura electrònica no verificada, assumirà tots els riscs
derivats d'aquesta actuació.
5.5. Efecte de la verificació
En virtut de la correcta verificació d'una signatura i els certificats, d'acord amb les condicions
generals d'ús, el verificador pot confiar en la identificació i, en el seu cas, signatura de la
persona subscriptora o posseïdor de claus, dins de les limitacions d'ús corresponents.
El verificador reconeix i accepta que, allà on es requereixi que una transacció sigui realitzada
per escrit, un missatge o document que contingui una signatura digital verificable utilitzant el certificat
és tan vàlid i efectiu com si hagués estat realitzat per escrit i signat en paper.
Així mateix, sempre conforme amb la llei aplicable, la signatura o la transacció digital serà
efectiva amb independència de la localització geogràfica d'emissió de la mateixa o
de la creació o ús de la signatura digital, així com de la localització de CATCert,
de la persona subscriptora o del posseïdor de claus.
5.6. Ús correcte i activitats prohibides
El verificador s'obliga a no utilitzar cap mena d'informació d'estat dels certificats o de cap altre
tipus que hagi estat subministrada per CATCert, per realitzar cap transacció prohibida per la llei
aplicable a la citada transacció.
El verificador s'obliga a no inspeccionar, interferir o realitzar enginyeria inversa a la implantació tècnica
dels serveis públics de certificació de CATCert, sense previ consentiment escrit de CATCert.
Addicionalment, el verificador s'obliga a no comprometre intencionadament la seguretat dels serveis públics
de certificació de CATCert.
Els serveis de certificació digital prestats per CATCert no han estat dissenyats ni permeten la
utilització o revenda, com a equips de control de situacions perilloses o per a usos que requereixin
actuacions a prova d'errors, com ara l'operació d'instal·lacions nuclears, sistemes de navegació
o comunicació aèria, sistemes de control de tràfic aeri, o sistemes de control d'armament,
on una errada podria causar la mort, danys físics o danys mediambientals greus.
6.1. Garantia de CATCert pels serveis de certificació digital
CATCert garanteix que la clau privada de l'entitat de certificació utilitzada per emetre certificats no
ha estat compromesa, llevat que CATCert no hagi comunicat el contrari mitjançant el registre de
certificació de CATCert, d'acord amb la Declaració de pràctiques de
certificació.
CATCert únicament garanteix que:
a) Els certificats reconeguts contenen tota la informació exigida per la Llei 59/2003, de 19 de desembre.
b) CATCert no ha originat ni ha introduït declaracions falses o errònies a la informació de
cap certificat, ni ha deixat d'incloure informació necessària aportada pel ciutadà i
validada per CATCert o per l'entitat de registre col·laboradora, en el moment de l'emissió del
certificat.
c) Tots els certificats compleixen els requeriments formals i de contingut de la Declaració de pràctiques
de certificació del certificat idCAT.
d) CATCert queda vinculada pels procediments operatius i de seguretat descrits a la Declaració de pràctiques
de certificació de CATCert.
6.2. Exclusió de la garantia
CATCert no garanteix cap programari que utilitzi el ciutadà o qualsevol altra persona per generar,
verificar o utilitzar d'una altra forma cap signatura digital o certificat digital emès per CATCert,
excepte que hi hagi una declaració escrita de CATCert en sentit contrari.
7.1. Acords aplicables
Els acords aplicables al certificat idCAT, vénen continguts en les Condicions Generals d'Emissió,
així com en les condicions Generals d'Ús, degudament anunciades i a disposició del ciutadà
durant el tràmit de sol·licitud d'obtenció de l'esmentat certificat.
7.2. Declaració de pràctiques de certificació
Els serveis de certificació de CATCert objecte de les presents condicions d'ús, es regulen tècnicament
i operativament per la Declaració de pràctiques de certificació EC-idCAT de CATCert (en
endavant, 'la DPC'), d'acord amb l'article 19 de la Llei 59/2003, de 19 de desembre, de signatura
electrònica, i per les seves actualitzacions posteriors, així com per documentació
complementària, publicades a la següent adreça d'Internet: http://www.catcert.net/registre.
7.3. Política de certificació
CATCert disposa d'una política de certificació que detalla els requisits de caràcter tècnic,
jurídic, operatiu, així com de regulació del certificat idCAT, a disposició de la
comunitat d'usuaris que la sol·licitin.
CATCert no pot divulgar ni pot ésser obligada a divulgar cap informació confidencial referent a
certificats sense una sol·licitud específica prèvia que provingui de:
a) la persona respecte a la qual CATCert té el deure de mantenir la informació confidencial, o
b) una ordre judicial, administrativa o qualsevol altra prevista en la legislació vigent.
Tot i això, d'acord amb allò establert en l'article 5 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, CATCert informa del següent:
a) CATCert és titular d'un conjunt de fitxers de dades de caràcter personal relatius a les dades d'identificació de les persones subscriptores de certificats idCAT. Aquesta informació és: nom i cognoms, número de DNI, NIE o equivalents nacionals de la persona subscriptora. La persona subscriptora accepta que l'esmentada informació, proporcionada a la sol·licitud de certificats en els termes que es preveuen en l'article 17 de la Llei 59/2003, de 19 de desembre, de signatura electrònica, serà inclosa als seus certificats i al mecanisme de comprovació de l'estat dels certificats, i que la informació no tindrà caràcter confidencial, per imperatiu legal (anomenades "dades públiques"). A més, CATCert requereix que la persona subscriptora aporti determinada informació pel manteniment de la seva relació jurídica, incloent-hi, entre d'altres que hi figuren a la sol·licitud, si s'escau l'adreça postal a efectes de notificacions, i les dades que figuren en els documents d'identificació que la persona subscriptora ha d'aportar a CATCert, mitjançant una Entitat de registre col·laboradora (anomenades "dades privades"). Les dades captades per CATCert tenen la consideració legal de dades de nivell bàsic.
b) CATCert capta les dades directament de les persones subscriptoras, i les comprova mitjançant Entitats de registre col·laboradores, que actuen com encarregats de tractaments per compte de CATCert, d'acord amb allò establert a l'article 12 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.
c) El subministrament d'aquesta informació per part de la persona subscriptora a CATCert és obligatori per a poder emetre el certificat digital i mantenir la relació jurídica entre les parts.
d) CATCert s'obliga a complir la normativa sobre signatura electrònica i sobre protecció de dades de caràcter personal, en especial pel que fa a la inscripció i la correcta gestió dels fitxers de dades personals, amb les mesures de seguretat corresponents.
e) CATCert no realitza cap cessió de dades privades a tercers. No es considera cessió de dades privades l'accés de tercers als fitxers per realitzar tractaments encomanats per CATCert, quan l'accés es produeix en el marc d'un encàrrec de tractament previst a l'article 12 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. CATCert publica, quan ho autoritza la persona subscriptora, el seu certificat en el Registre de certificats previst per l'article 18.c) de la Llei 59/2003, de 19 de desembre, als sols efectes de la verificació de la signatura electrònica de la persona subscriptora. Aquesta publicació suposa una cessió de les dades públiques a qualsevol persona que accedeixi al Registre de certificats de CATCert, des de qualsevol país del món connectat a Internet. CATCert publica, en tot cas, una Llista de revocació de certificats, que inclou els certificats de les persones subscriptores que han perdut vigència, temporal o definitivament, pels motius que es preveuen en els articles 8 i 9 de la Llei 59/2003, de 19 de desembre, de signatura electrònica i a la DPC de CATCert. Aquesta llista només conté el número de sèrie del certificat de la persona subscriptora, i cap dada pública ni privada addicional.
f) La persona subscriptora pot exercir els drets d'accés, rectificació, cancel·lació i oposició, amb les limitacions establertes legalment, o revocar lliurement el seu consentiment per a la publicació del certificat mitjançant a) una comunicació escrita i signada adjuntant fotocòpia del DNI o document equivalent dirigit a l'Agència Catalana de Certificació-àrea d'Assessoria Jurídica i Relacions Interadministratives-, Carrer Tànger, 98 (baixos) 08018 Barcelona, o b) el procediment de tramitació electrónica establert a l'apartat Dades personals del web www.catcert.cat. La persona subscriptora no es pot oposar a la publicació de Llistes de revocació de certificats, per imperatiu legal.
Donat el caràcter gratuït del certificat idCAT per part dels seus destinataris, no es preveu l'esmentada política.
Les parts es regeixen per les condicions generals d'emissió i d'ús del idCAT, que seran
interpretades i executades en els seus propis termes i, en tot allò no previst, les parts es regiran per
la Llei 59/2003, de 19 de desembre i, subsidiàriament, per la legislació civil i mercantil que
regula el règim de les obligacions i els contractes.
La jurisdicció competent serà la jurisdicció civil, d'acord amb les normes
contingudes a la Llei 1/2000, de 7 de gener.
No aplicable.