Boletín nº 22 (02-02-2022)

DECRETO SOBRE LA UTILIZACIÓN DE CÓDIGOS SEGUROS DE VERIFICACIÓN COMO SISTEMA DE COMPROBACIÓN DE DOCUMENTOS, COMO SISTEMA DE FIRMA ELECTRÓNICA POR LAS AUTORIDADES Y EMPLEADOS PÚBLICOS Y EN EL DESARROLLO DE ACTUACIONES ADMINISTRATIVAS AUTOMATIZADAS EN EL SISTEMA DE INFORMACIÓN TRIBUTARIA DEL ÓRGANO DE GESTIÓN TRIBUTARIA DEL AYUNTAMIENTO DE CÓRDOBA (SITAC) CONTRATADO CON LA EMPRESA GESTIÓN TRIBUTARIA TERRITORIAL SA (GTT).

El objeto de esta resolución es determinar un sistema de generación de Código Seguro de Verificación (CSV) que ofrezca las garantías de seguridad suficientes para gestionar la integridad y el no repudio, según el principio de proporcionalidad recogido en el artículo 13.3, Gestión de Riesgos del Seguridad del Esquema Nacional de Seguridad y los criterios para la utilización del CSV como sistema de firma electrónica no criptográfica en las actuaciones administrativas automatizadas y como firma de autoridades y personal dentro del SITAC.

El Esquema Nacional de Seguridad (en adelante ENS), regulado por el Real Decreto 3/2010, de 8 de enero, constituye el marco legal que permite definir y establecer las medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los interesados y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

En la implantación de un sistema de firma electrónica no criptográfica se deberá cumplir con el ENS para garantizar la seguridad de los datos y los servicios, como un instrumento capaz de permitir la comprobación de la autenticidad de la procedencia y la integridad de la información ofreciendo las bases para evitar el repudio.

El ENS establece la necesidad de categorizar los sistemas de información, siendo la categoría de un sistema de información, en materia de seguridad, la que permite modular el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el principio de proporcionalidad.

En aplicación de esta norma, se podrán utilizar sistemas de firma electrónica no criptográfica cuando el sistema de información asociado al procedimiento haya sido categorizado, según el Esquema Nacional de Seguridad, de categoría básica y aquellos de categoría media en los que se implementen medidas alternativas que permitan garantizar evidencias adecuadas, como en sistemas donde los firmantes pueden ser autoridades y personal al servicio de la Administración Pública.

El Ayuntamiento de Córdoba al adoptar como sistema de tramitación electrónica principal la plataforma HELP se adhirió al sistema de generación de CSV y de utilización del CSV en la actuación administrativa automatizada establecido en el Decreto 3628/2017, de 20 de diciembre. Sin embargo la puesta en marcha del nuevo sistema de gestión de ingresos, tributos, recaudación, inspección y gestión de multas del Ayuntamiento y de su sector público institucional requiere la aprobación de una normativa específica de generación de CSV y de utilización del CSV como sistema de firma electrónica no criptográfica.

Por todo lo expuesto, y de conformidad con el informe efectuado por la Titular del Órgano de Gestión Tributaria con CSV 62b145feaecb008688b84206c0230053eab7806e y el informe ROF del Jefe del Departamento de Gestión Tributaria con CSV ed8fe97df5e7c48617e908d79cd23bba1e6056d7,

HE RESUELTO:

PRIMERO: Aprobar la política de generación de CSV y sistema de firma no criptográfica del SITAC que se transcribe:

Artículo 1. Objeto.

1. La presente Resolución tiene por objeto determinar el funcionamiento del sistema de Código Seguro de Verificación (en adelante CSV) en el marco de los documentos generados en el nuevo sistema de gestión de ingresos, tributos, recaudación, inspección y gestión de multas del Ayuntamiento y de su sector público institucional, con una triple finalidad:

a) Como sistema de garantía de la existencia, autenticidad e integridad de los documentos electrónicos mediante el acceso a la sede electrónica correspondiente y que debe garantizar el carácter único del código generado para cada documento; su vinculación con el documento generado, de forma que cualquier modificación del documento generado dará lugar a un nuevo documento con un código seguro de verificación diferente; la posibilidad de verificar el documento en la sede electrónica como mínimo por el tiempo que se establezca en la resolución que autorice la aplicación de este procedimiento; así como un acceso al documento restringido a quien disponga del código seguro de verificación.

b) Para la identificación y la autenticación del ejercicio de la competencia en la actuación administrativa automatizada.

c) Vinculado al empleado público actuante para la producción de firmas electrónicas de las autoridades y empleados públicos en cualesquiera actos no resolutorios, de trámite o mera comunicación que requieran su firma.

Artículo 2. Generación del CSV como sistema de garantía de la existencia, autenticidad e integridad de los documentos electrónicos en el SITAC.

1. Los documentos electrónicos del Ayuntamiento de Córdoba y su sector público institucional que se incorporen al sistema de información de gestión tributaria y recaudatoria, junto con sus metadatos asociados, se almacenarán en el sistema generando de manera automatizada un CSV para cada documento, quedando vinculado al documento electrónico de forma inalterable.

2. La integridad y conservación de los documentos electrónicos y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad dentro de lo establecido por las Normas Técnicas de Interoperabilidad de documentos y expedientes electrónicos, la NTI de Política de Gestión de Documentos Electrónicos, y el Esquema Nacional de Seguridad.

3. El CSV se compondrá de 16 o 24 caracteres alfanuméricos. Si el documento es generado por el SITAC, se compondrá por 16 caracteres alfanuméricos. Si el documento es generado por un dispositivo móvil que podría estar temporalmente sin conectividad con el SITAC, se compondrá por 24 caracteres. Sobre el documento se aplica el algoritmo acreditado por el CCN función hash SHA512 sobre la información del documento en formato Base64 y el momento concreto de tiempo en que se almacena el documento representado por una cadena de números que contiene los ticks de marca de tiempo del procesador.

En el caso de utilización como sistema de firma se concatena el código del usuario creador/firmador del documento con la cadena de caracteres que representa el instante de tiempo y con el hash del documento.

Esta cadena es encriptada utilizando el algoritmo TRIPLE DES utilizando una clave privada no criptográfica para aumentar la seguridad al generar el CSV.

El resultado de la encriptación es convertido a Base 32 y estará formado por los caracteres alfanuméricos que forman parte del alfabeto ABCDEFGHJKLMNPQRSTUVWXYZ23456789, donde "A" representa al número cero, "B" el número uno y así sucesivamente hasta el "9" que representa el número treinta y uno.

De esta cadena el sistema formará un código con los últimos 16 caracteres. Si se trata de un dispositivo móvil, a estos 16 caracteres se le añaden al inicio 8 caracteres más que identifican al municipio y al dispositivo móvil en que se ha generado el documento.

Una vez generado el CSV, se comprueba que el CSV calculado sea único, en caso de coincidencia se volvería a recalcular el CSV.

Finalmente se almacena en el repositorio digital el documento y los metadatos del CSV, el usuario y el instante de tiempo que permitan recalcular el CSV en cualquier momento y asegurar la integridad del documento.

3. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse, de acuerdo con las condiciones y límites que establece la legislación de protección de datos personales u otra legislación específica, mediante el acceso directo y gratuito a la sede electrónica asociada Oficina Virtual Tributaria.

Como medida de seguridad se controlará el número de intentos de consulta fallidos a un documento CSV desde una misma dirección IP y en un marco temporal establecido, introduciendo mecanismos de comprobación a fin de descartar que se trate de intentos realizados desde un sistema informático.

Los CSV serán accesibles en la sede electrónica asociada durante un plazo mínimo de cinco años. En caso de que durante este período resulte necesario el cambio del CSV de un documento por reconversión de formatos u otra causa que lo justifique, la oficina virtual tributaria informará de esta circunstancia, así como del CSV de la nueva copia del documento.

Una vez transcurrido el plazo señalado en el apartado anterior, si el documento no estuviese disponible en la oficina tributaria virtual se informará del procedimiento para acceder al documento o de la resolución que, en su caso, hubiere autorizado su eliminación.

Artículo 3. Utilización del sistema de CSV en la actuación administrativa automatizada.

1. El Ayuntamiento de Córdoba y su sector público institucional podrá utilizar un sistema de firma electrónica basado en CSV en las actuaciones administrativas a