El Consejo de Ministros, en su reunión de 19 de septiembre de 2014 y, a propuesta de la Vicepresidenta del Gobierno y Ministra de la Presidencia y de los Ministros de Hacienda y Administraciones Públicas, del Interior, de Empleo y Seguridad Social y, de Industria, Energía y Turismo adoptó un Acuerdo por el que se aprueba Cl@ve, un sistema de identificación, autenticación y firma electrónica común para todo el Sector Público Administrativo Estatal que permitirá al ciudadano relacionarse electrónicamente con los servicios públicos a través de una plataforma común, mediante la utilización de claves concertadas previo registro como usuario de la misma, conforme a lo previsto en el artículo 13.2c) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.

El citado Acuerdo publicado por Orden PRE/1838/2014, de 8 de octubre, determina en su apartado quinto, «Prescripciones Técnicas», que corresponde a la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado, establecer mediante resolución, las Prescripciones Técnicas necesarias para el desarrollo y aplicación del sistema Cl@ve, y determina los aspectos que dichas prescripciones deben incluir.

En virtud de lo anterior, esta Dirección de Tecnologías de la Información y de las Comunicaciones resuelve:

[precepto]Primero.

1. Aprobar las Prescripciones Técnicas necesarias para el desarrollo y aplicación del sistema Cl@ve, en los términos recogidos en el Acuerdo de Consejo de Ministros de fecha de 19 de septiembre de 2014, por el que se aprueba Cl@ve, la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas, que se incluyen como anexo.

2. Ordenar su publicación en el «Boletín Oficial del Estado».

[precepto]Segundo.

La presente Resolución entra en vigor a partir del día siguiente a su publicación en el «Boletín Oficial del Estado».

Madrid, 14 de diciembre de 2015.–El Director de Tecnologías de la Información y las Comunicaciones, Domingo Javier Molina Moscoso.

[encabezado]PRESCRIPCIONES TÉCNICAS NECESARIAS PARA EL DESARROLLO Y APLICACIÓN DEL SISTEMA CL@VE

[indice]Índice

I. Objeto.

II. Ámbito de aplicación.

III. Propósito del sistema Cl@ve.

IV. Niveles de garantía, sistemas de identificación, y firma de documentos electrónicos.

V. Entidades encargadas del sistema, funciones y garantías aportadas por cada una.

VI. Adhesión al sistema Cl@ve.

VII. Sistema de identificación e imputación de costes.

Anexo I. Procedimientos de registro, acceso al sistema y firma electrónica de documentos.[fin indice]

[encabezado]I. Objeto

Las presentes Prescripciones Técnicas tienen por objeto establecer los aspectos necesarios para el desarrollo y aplicación del sistema Cl@ve, así como para asegurar su funcionamiento e interoperabilidad.

[encabezado]II. Ámbito de aplicación

Las presentes Prescripciones Técnicas serán de aplicación a:

a) Los órganos y organismos públicos participantes en la construcción e implantación del sistema Cl@ve y garantes de su funcionamiento.

b) Los órganos y organismos públicos del Sector Público Administrativo Estatal obligados a habilitar el sistema Cl@ve en todos los servicios y trámites electrónicos dirigidos a los ciudadanos.

c) Otras Administraciones Públicas que se adhieran al sistema.

d) Las entidades del sector privado que participen en el futuro como proveedores de sistemas de identificación y firma electrónica integrados con Cl@ve.

[encabezado]III. Propósito del sistema Cl@ve

Cl@ve es un sistema de Identificación, Autenticación y Firma Electrónica común para todo el Sector Público Administrativo Estatal, basado en el uso de claves concertadas, conforme a lo previsto en el artículo 13.2.c) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.

El sistema Cl@ve está dirigido a ciudadanos españoles y extranjeros que cumplan los requisitos indicados en estas Prescripciones Técnicas y proporciona dos modalidades diferenciadas de identificación y autenticación basadas en el uso de claves concertadas para el acceso de los ciudadanos a los servicios electrónicos que hagan uso de este sistema, complementando los actuales sistemas de acceso mediante DNI-e y certificado electrónico reconocido.

Con este propósito, el sistema Cl@ve ofrecerá una interfaz amigable que permita al usuario seleccionar alguno de los sistemas de identificación y firma electrónica señalados en el artículo 13.2 de la Ley 11/2007, de 22 de junio.

Asimismo, el sistema Cl@ve permitirá al ciudadano el acceso al servicio de firma de documentos por medio de certificados electrónicos albergados tanto en modo local (por ejemplo en su PC) o en dispositivos conectados al mismo (por ejemplo, en el DNI-e) como en modo centralizado.

[encabezado]IV. Niveles de garantía, sistemas de identificación, y firma de documentos electrónicos

IV.1 Registro de usuarios.

Con objeto de garantizar un nivel adecuado de calidad en la identificación y autenticación que se llevan a cabo mediante el sistema Cl@ve, la utilización de dicho sistema requiere de un registro previo de los usuarios. Mediante dicho registro, se verifica la existencia de una persona física real asociada a la identidad electrónica que utilizará el sistema, se obtienen un conjunto de datos personales asociados a esa identidad, y se obtiene el consentimiento del usuario para que dichos datos personales sean incorporados al fichero de datos personales del sistema y sean tratados para la finalidad con la que se ha desarrollado el mismo.

Se podrán registrar en Cl@ve ciudadanos españoles con Documento Nacional de Identidad (DNI) y ciudadanos extranjeros con Tarjeta de Identidad de Extranjeros (TIE) o Certificado de Ciudadano de la Unión Europea; en ambos casos los documentos habrán de estar en vigor. La posibilidad de registro podrá ser extendida a ciudadanos españoles residentes en el extranjero sin DNI en vigor, mediante la habilitación de procedimientos de verificación de la identidad equivalentes a los establecidos para los ciudadanos con DNI.

Existirán dos modalidades o niveles de garantía de registro asociados a la forma y a las garantías que ofrezca la comunicación de la información de registro por parte del ciudadano:

a) Nivel Básico, en el que los datos del registro de usuario son facilitados por el ciudadano de forma telemática, pero sin una autenticación previa mediante certificado electrónico reconocido. La identificación se realizará utilizando datos conocidos por el ciudadano y la administración.

b) Nivel Avanzado, en el que los datos del registro de usuario son facilitados por el ciudadano, bien de forma presencial en una oficina ante un empleado público habilitado al efecto, o bien, son comunicados de forma telemática, previa autenticación del ciudadano mediante un certificado electrónico reconocido.

El nivel de garantía asociado al procedimiento de registro empleado quedará almacenado en el sistema Cl@ve, y podrá ser utilizado para seleccionar los modos de identificación válidos para cada procedimiento, en aplicación del principio de proporcionalidad previsto en el artículo 4 de la Ley 11/2007, de 22 de junio.

IV.2 Modalidades de identificación.

El sistema Cl@ve proporcionará a los usuarios dos modalidades de identificación electrónica basadas en el uso de claves concertadas, cada una de las cuales proporcionará dos niveles distintos de garantía en la autenticación:

El sistema de acceso basado en Cl@ve ocasional podrá ser denominado indistintamente Cl@ve PIN cuando sea mostrado a los usuarios del sistema para facilitar su identificación y acceso.

El sistema de acceso basado en Cl@ve ocasional podrá ser denominado indistintamente Cl@ve PIN cuando sea mostrado a los usuarios del sistema para facilitar su identificación y acceso.

d) Cl@ve permanente: Modalidad de identificación para el acceso al sistema por medio de un identificador (Número de DNI o NIE del usuario) y una contraseña que debe ser custodiada por el ciudadano. La validez de la contraseña es duradera en el tiempo, pero no ilimitada. Adicionalmente, y cuando el tipo de trámite lo requiera, la modalidad de identificación Cl@ve permanente podrá proporcionar un nivel superior de garantía en la autenticación, para lo cual requerirá la utilización de una verificación de seguridad adicional mediante un código de un solo uso (OTP, «Once Time Password») y validez limitada en el tiempo enviado al dispositivo móvil del usuario. Está orientado principalmente para uso por parte de usuarios habituales.

Los requisitos de seguridad de las contraseñas para este sistema se publicarán en el portal Cl@ve (www.clave.gob.es)

El usuario podrá elegir en el momento de iniciar sesión en el Sistema Cl@ve qué modalidad de identificación prefiere utilizar, en función de las limitaciones establecidas por el proveedor de servicios electrónicos integrado con Cl@ve en cuanto a los niveles de garantía exigidos por el procedimiento o trámite al que se desea acceder.

IV.3 Firma de documentos electrónicos.

El sistema Cl@ve permitirá también el acceso a servicios de firma electrónica, en particular, a servicios de firma de documentos electrónicos mediante certificados electrónicos centralizados, todo ello a efecto de su presentación ante las Administraciones Públicas en aquellos trámites en que la firma mediante certificados electrónicos sea requerida o admitida. Se tendrán en cuenta las siguientes consideraciones:

a) Para poder acceder al servicio, el usuario deberá solicitar previa y expresamente la emisión de los certificados electrónicos centralizados correspondientes que posibilitan la firma mediante la plataforma Cl@ve.

b) Los certificados electrónicos centralizados serán emitidos con las mismas garantías de identificación del DNI electrónico del ciudadano

c) Para realizar la solicitud, y para el acceso ulterior al servicio, será necesario en todo caso que el usuario se haya registrado en Nivel Avanzado y haya activado su Cl@ve permanente. Además se requerirá en el momento de la identificación la utilización de una verificación de seguridad adicional mediante un código de un solo uso y validez limitada en el tiempo que se enviará al teléfono móvil del usuario registrado.

A estos efectos, es de aplicación lo dispuesto en el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica.

IV.4 Punto de acceso al sistema Cl@ve.

Para facilitar el acceso a los servicios de identificación y autenticación del sistema Cl@ve, se creará un punto de acceso electrónico desde el que el ciudadano podrá identificarse de acuerdo a los diferentes niveles de garantía previstos en estas Prescripciones Técnicas. Con este propósito, el punto de acceso presentará un menú que permitirá al usuario elegir la modalidad de identificación electrónica deseada de entre las opciones puestas a disposición por el proveedor del servicio electrónico que soporta el tipo de trámite o procedimiento que desee realizar, de acuerdo con los niveles de garantía en el registro y la autenticación exigidos por dicho trámite o procedimiento.

El punto de acceso permitirá acceder a los servicios de identificación y autenticación previstos en el sistema Cl@ve, así como, en el futuro, a otros sistemas de identificación, entre ellos los sistemas de identificación electrónica de ámbito europeo admitidos en virtud de la normativa de la Unión Europea aplicable. Asimismo, el proveedor del servicio a efectos del cumplimiento del artículo 13 de la Ley 11/2007, podrá optar por habilitar sistemas de identificación no basados en claves concertadas complementarios al sistema Cl@ve, o por habilitar el acceso mediante el sistema Cl@ve a los medios de identificación previstos en el artículo 13.2, apartados a) y b) de la Ley 11/2007, opción que deberá incluir en todo caso los sistemas de firma electrónica incorporados al Documento Nacional de Identidad.

Las diversas Sedes Electrónicas de la Administración que requieran utilizar un sistema de identificación y autenticación de los previstos en el artículo 13.2.c) de la Ley 11/2007, de 22 de junio, deberán ofrecer, como mínimo, alguno de los sistemas de identificación mediante claves concertadas que se integren en la nueva plataforma Cl@ve.

Con este propósito, dichas Sedes Electrónicas deberán integrarse con el sistema Cl@ve actuando como proveedoras de servicios, redirigiendo automáticamente al ciudadano desde la sede electrónica al Punto de Acceso del sistema Cl@ve cuando el ciudadano desee realizar un trámite o procedimiento que precise algún sistema de identificación y autenticación de los previstos en el sistema Cl@ve. En esa redirección, las entidades deberán especificar el nivel de garantía en la autenticación que requiere el procedimiento o trámite al que desea acceder el ciudadano, pudiendo opcionalmente especificar también el nivel exigido de calidad en el registro. Una vez realizada la verificación de la identidad por parte de la entidad responsable de la modalidad de identificación seleccionada, el usuario será redirigido automáticamente al punto de origen, junto con el resultado de la autenticación, los datos que permiten identificar de manera no ambigua al ciudadano, y los niveles de garantías asociados a esa identidad.

Cuando el ciudadano se haya identificado y autenticado previamente en un servicio electrónico integrado con Cl@ve a través del Punto de Acceso, desde este Punto de Acceso se le dará la posibilidad de acceder a otro servicio electrónico sin necesidad de identificarse de nuevo, siempre que el proveedor de este segundo servicio lo permita. Esto supondrá que el ciudadano no tendrá que introducir los datos de identificación asociados a su Cl@ve PIN o Cl@ve Permanente.

Para asegurar esta integración con el Punto de Acceso del sistema Cl@ve, las entidades usuarias del sistema deberán seguir las especificaciones técnicas de integración definidas por las entidades responsables del mismo. Con el objeto de facilitar dicha integración, se habilitará un conjunto de componentes comunes, orientados a simplificar el manejo de los mensajes de petición y respuesta intercambiados durante el proceso de identificación y autenticación, que las entidades usuarias podrán incorporar a sus servicios electrónicos. Dichas especificaciones y componentes comunes se publicarán en el Centro de Transferencia de Tecnología.

La transmisión de información entre el Punto de Acceso del sistema Cl@ve y las sedes electrónicas integradas se protegerá de acuerdo con las mejores prácticas técnicas con objeto de asegurar la privacidad, confidencialidad e integridad de dicha información. En este sentido, el Punto de Acceso del sistema Cl@ve no almacenará ningún dato de carácter personal, sino únicamente información técnica no vinculada a personas físicas o jurídicas, con el objeto de garantizar, en el caso de que se produzca un incidente, la reconstrucción, con la participación del proveedor del servicio electrónico al que accede el usuario y del proveedor del servicio de identificación de la modalidad de identificación escogida por este, de la secuencia de mensajes intercambiados entre los distintos actores del sistema para determinar el momento en que se produjo ese incidente y su naturaleza.

En el caso particular de los servicios electrónicos ofrecidos por los propios proveedores de servicios de verificación de la identidad de Cl@ve (AEAT y Seguridad Social, inicialmente), esta redirección al Punto de Acceso del sistema Cl@ve podrá ser sustituida por un acceso directo y equivalente a los servicios de verificación de la identidad de Cl@ve ofrecidos por dicho proveedor, siempre que el servicio electrónico no exija otro tipo de identificación diferente.

Adicionalmente, para facilitar el acceso a los servicios de firma electrónica con certificados electrónicos centralizados y presentar a los ciudadanos un mecanismo de firma uniforme en todo el sistema, se habilitará un conjunto de componentes de firma comunes que deberán ser integrados en las sedes electrónicas que requieran la realización de firma electrónica en sus trámites o procedimientos.

El Anexo I detalla los procedimientos de registro en el sistema Cl@ve, acceso al sistema Cl@ve y firma electrónica de documentos con certificados electrónicos centralizados asociados a los niveles de garantía del sistema Cl@ve previstos en estas Prescripciones Técnicas.

IV.5 Seguridad.

El sistema Cl@ve y todos los servicios asociados se implementarán garantizando su funcionamiento conforme a los principios de seguridad, integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007, de 22 de junio, en el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero y conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y a su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

[encabezado]V. Entidades encargadas del sistema, funciones y garantías aportadas por cada una

V.1 Registro de usuarios.

La Agencia Estatal de Administración Tributaria (AEAT) actuará como organismo principal responsable del sistema de Registro de usuarios de Cl@ve.

A tales efectos, este organismo será responsable del funcionamiento de los sistemas de registro de usuarios descritos en estas Prescripciones Técnicas, así como de los sistemas de información, aplicaciones, organización y procedimientos utilizados para el sistema Cl@ve en el ámbito del registro de usuarios.

Inicialmente, con el fin de ofrecer un mejor servicio a los ciudadanos, estarán habilitadas y dispondrán de los medios necesarios para realizar funciones de registro de usuarios del sistema Cl@ve, además de la red de oficinas de la AEAT, las entidades gestoras de la Seguridad Social.

La Dirección de Tecnologías de la Información y las Comunicaciones (DTIC) podrá acordar la adhesión al sistema de otros órganos y organismos del Sector Público Administrativo Estatal para actuar como oficina de registro de usuarios Cl@ve a fin de ofrecer a los ciudadanos nuevos puntos presenciales de registro, así como de órganos y organismos públicos pertenecientes a otras Administraciones.

En virtud de lo anterior, se ha habilitado para actuar como oficinas de registro presencial del sistema Cl@ve a la Red de oficinas de Información y Atención al Ciudadano de las Delegaciones y Subdelegaciones de Gobierno.

Los órganos y organismos distintos de la AEAT que actúen como oficinas de registro tendrán que cumplir los requisitos establecidos en la Resolución de 28 de septiembre de 2015 de la Dirección de Tecnologías de la Información y las Comunicaciones por la que se establecen las condiciones para actuar como oficina de registro presencial del sistema Cl@ve.

La DTIC mantendrá la relación de oficinas de registro de Cl@ve en el Punto de Acceso General http://administracion.gob.es.

V.2 Modalidad de identificación Cl@ve ocasional (Cl@ve PIN).

La AEAT actuará como organismo principal responsable del sistema de acceso basado en Cl@ve ocasional.

A tales efectos, la AEAT será la entidad encargada de realizar las funciones de identificación y autenticación de usuarios en esta modalidad de identificación, disponiendo de los medios necesarios para ello.

En consecuencia, la AEAT será responsable del funcionamiento del sistema de acceso basado en Cl@ve ocasional descrito en estas Prescripciones Técnicas así como de los sistemas de información, aplicaciones, organización y procedimientos utilizados para el sistema Cl@ve en el ámbito de la modalidad de identificación Cl@ve ocasional.

V.3 Modalidad de identificación Cl@ve permanente

La Gerencia de Informática de la Seguridad Social (GISS) actuará como organismo responsable del funcionamiento del sistema de acceso basado en Cl@ve permanente.

A tales efectos, la GISS será la entidad encargada de realizar las funciones de identificación y autenticación de usuarios en esta modalidad de identificación, disponiendo de los medios necesarios para ello, entre los que se cuenta una copia replicada del fichero de usuarios del sistema Cl@ve, necesario para verificar la identidad y las garantías de acceso.

En consecuencia, la GISS será responsable del funcionamiento del sistema de acceso basado en Cl@ve permanente descrito en estas Prescripciones Técnicas, así como de los sistemas de información, aplicaciones, organización y procedimientos utilizados para el sistema Cl@ve en el ámbito de la modalidad de identificación Cl@ve permanente.

V.4 Emisión de certificados electrónicos centralizados para firma mediante la plataforma Cl@ve.

La entidad encargada de realizar las funciones de emisión y custodia de certificados electrónicos centralizados de usuarios para firma mediante la plataforma Cl@ve será, en el ejercicio de sus competencias, la Dirección General de la Policía (DGP), de acuerdo a la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad y al Real decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica.

Para realizar estas funciones, la DGP utilizará la Infraestructura de Clave Pública correspondiente al DNI electrónico actualmente existente.

La DGP, en el ejercicio de sus competencias, es responsable del funcionamiento del servicio de emisión y custodia de certificados electrónicos centralizados de usuarios, actuando como prestador de servicios de confianza de acuerdo con el Reglamento (UE) No 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, y conforme a los principios de seguridad, integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 59/2003 de 19 de diciembre de Firma electrónica, y en la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.

V.5 Gestión de certificados electrónicos centralizados para firma mediante la plataforma Cl@ve.

La entidad encargada de realizar las funciones de almacenamiento y gestión de certificados electrónicos centralizados de usuarios para el sistema Cl@ve será la DGP.

Este organismo estará habilitado y dispondrá de los medios necesarios para realizar las funciones de almacenamiento y gestión de certificados descrita. Igualmente dispondrá de una copia replicada del fichero de certificados electrónicos indicado.

La GISS actuará como prestador de servicios de firma con certificado electrónico centralizado, para lo cual dispondrá de un respaldo de aquella información almacenada y gestionada por la DGP necesaria para la firma. Dicha información estará sujeta a los siguientes requisitos:

a) la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;

b) el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

La DGP es responsable del funcionamiento del servicio de almacenamiento y gestión de certificados descrito en estas Prescripciones Técnicas, así como de los sistemas de información, aplicaciones, organización y procedimientos utilizados para este servicio.

V.6 Firma de documentos electrónicos mediante certificados electrónicos centralizados.

La entidad encargada de gestionar el entorno de creación de firma electrónica, en nombre del firmante, de documentos electrónicos mediante certificados electrónicos centralizados será la GISS que actuará como organismo responsable de este servicio, en unión con la DGP. A tales efectos, ambas entidades serán las habilitadas y dispondrán de los medios necesarios para realizar dichas funciones de firma de documentos electrónicos.

En consecuencia, ambos organismos serán los responsables del funcionamiento del servicio de firma de documentos electrónicos mediante certificados electrónicos centralizados descrito en estas Prescripciones Técnicas, así como de los sistemas de información, aplicaciones, organización y procedimientos utilizados para este servicio.

V.7 Punto de acceso al sistema Cl@ve.

La entidad encargada de realizar las funciones correspondientes a la provisión del punto de acceso al sistema Cl@ve, de desarrollar los componentes comunes para facilitar la integración con este punto de acceso, y de desarrollar los componentes de firma comunes para el acceso al servicio de firma mediante certificados electrónicos centralizados será la DTIC.

La DTIC será responsable del funcionamiento del punto de acceso al sistema Cl@ve, de los componentes comunes para facilitar la integración con este punto de acceso y de los componentes de firma comunes para el acceso al servicio de firma mediante certificados electrónicos centralizados descritos en estas Prescripciones Técnicas, así como de los sistemas de información, aplicaciones, organización y procedimientos utilizados para el sistema Cl@ve en el ámbito del punto de acceso y los componentes comunes de integración.