Boletín nº 22 (02-02-2022)

DECRETO SOBRE LA UTILIZACIÓN DE CÓDIGOS SEGUROS DE VERIFICACIÓN COMO SISTEMA DE COMPROBACIÓN DE DOCUMENTOS, COMO SISTEMA DE FIRMA ELECTRÓNICA POR LAS AUTORIDADES Y EMPLEADOS PÚBLICOS Y EN EL DESARROLLO DE ACTUACIONES ADMINISTRATIVAS AUTOMATIZADAS EN EL SISTEMA DE INFORMACIÓN TRIBUTARIA DEL ÓRGANO DE GESTIÓN TRIBUTARIA DEL AYUNTAMIENTO DE CÓRDOBA (SITAC) CONTRATADO CON LA EMPRESA GESTIÓN TRIBUTARIA TERRITORIAL SA (GTT).

El objeto de esta resolución es determinar un sistema de generación de Código Seguro de Verificación (CSV) que ofrezca las garantías de seguridad suficientes para gestionar la integridad y el no repudio, según el principio de proporcionalidad recogido en el artículo 13.3, Gestión de Riesgos del Seguridad del Esquema Nacional de Seguridad y los criterios para la utilización del CSV como sistema de firma electrónica no criptográfica en las actuaciones administrativas automatizadas y como firma de autoridades y personal dentro del SITAC.

El Esquema Nacional de Seguridad (en adelante ENS), regulado por el Real Decreto 3/2010, de 8 de enero, constituye el marco legal que permite definir y establecer las medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los interesados y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

En la implantación de un sistema de firma electrónica no criptográfica se deberá cumplir con el ENS para garantizar la seguridad de los datos y los servicios, como un instrumento capaz de permitir la comprobación de la autenticidad de la procedencia y la integridad de la información ofreciendo las bases para evitar el repudio.

El ENS establece la necesidad de categorizar los sistemas de información, siendo la categoría de un sistema de información, en materia de seguridad, la que permite modular el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el principio de proporcionalidad.

En aplicación de esta norma, se podrán utilizar sistemas de firma electrónica no criptográfica cuando el sistema de información asociado al procedimiento haya sido categorizado, según el Esquema Nacional de Seguridad, de categoría básica y aquellos de categoría media en los que se implementen medidas alternativas que permitan garantizar evidencias adecuadas, como en sistemas donde los firmantes pueden ser autoridades y personal al servicio de la Administración Pública.

El Ayuntamiento de Córdoba al adoptar como sistema de tramitación electrónica principal la plataforma HELP se adhirió al sistema de generación de CSV y de utilización del CSV en la actuación administrativa automatizada establecido en el Decreto 3628/2017, de 20 de diciembre. Sin embargo la puesta en marcha del nuevo sistema de gestión de ingresos, tributos, recaudación, inspección y gestión de multas del Ayuntamiento y de su sector público institucional requiere la aprobación de una normativa específica de generación de CSV y de utilización del CSV como sistema de firma electrónica no criptográfica.

Por todo lo expuesto, y de conformidad con el informe efectuado por la Titular del Órgano de Gestión Tributaria con CSV 62b145feaecb008688b84206c0230053eab7806e y el informe ROF del Jefe del Departamento de Gestión Tributaria con CSV ed8fe97df5e7c48617e908d79cd23bba1e6056d7,

HE RESUELTO:

PRIMERO: Aprobar la política de generación de CSV y sistema de firma no criptográfica del SITAC que se transcribe:

Artículo 1. Objeto.

1. La presente Resolución tiene por objeto determinar el funcionamiento del sistema de Código Seguro de Verificación (en adelante CSV) en el marco de los documentos generados en el nuevo sistema de gestión de ingresos, tributos, recaudación, inspección y gestión de multas del Ayuntamiento y de su sector público institucional, con una triple finalidad:

a) Como sistema de garantía de la existencia, autenticidad e integridad de los documentos electrónicos mediante el acceso a la sede electrónica correspondiente y que debe garantizar el carácter único del código generado para cada documento; su vinculación con el documento generado, de forma que cualquier modificación del documento generado dará lugar a un nuevo documento con un código seguro de verificación diferente; la posibilidad de verificar el documento en la sede electrónica como mínimo por el tiempo que se establezca en la resolución que autorice la aplicación de este procedimiento; así como un acceso al documento restringido a quien disponga del código seguro de verificación.

b) Para la identificación y la autenticación del ejercicio de la competencia en la actuación administrativa automatizada.

c) Vinculado al empleado público actuante para la producción de firmas electrónicas de las autoridades y empleados públicos en cualesquiera actos no resolutorios, de trámite o mera comunicación que requieran su firma.

Artículo 2. Generación del CSV como sistema de garantía de la existencia, autenticidad e integridad de los documentos electrónicos en el SITAC.

1. Los documentos electrónicos del Ayuntamiento de Córdoba y su sector público institucional que se incorporen al sistema de información de gestión tributaria y recaudatoria, junto con sus metadatos asociados, se almacenarán en el sistema generando de manera automatizada un CSV para cada documento, quedando vinculado al documento electrónico de forma inalterable.

2. La integridad y conservación de los documentos electrónicos y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad dentro de lo establecido por las Normas Técnicas de Interoperabilidad de documentos y expedientes electrónicos, la NTI de Política de Gestión de Documentos Electrónicos, y el Esquema Nacional de Seguridad.

3. El CSV se compondrá de 16 o 24 caracteres alfanuméricos. Si el documento es generado por el SITAC, se compondrá por 16 caracteres alfanuméricos. Si el documento es generado por un dispositivo móvil que podría estar temporalmente sin conectividad con el SITAC, se compondrá por 24 caracteres. Sobre el documento se aplica el algoritmo acreditado por el CCN función hash SHA512 sobre la información del documento en formato Base64 y el momento concreto de tiempo en que se almacena el documento representado por una cadena de números que contiene los ticks de marca de tiempo del procesador.

En el caso de utilización como sistema de firma se concatena el código del usuario creador/firmador del documento con la cadena de caracteres que representa el instante de tiempo y con el hash del documento.

Esta cadena es encriptada utilizando el algoritmo TRIPLE DES utilizando una clave privada no criptográfica para aumentar la seguridad al generar el CSV.

El resultado de la encriptación es convertido a Base 32 y estará formado por los caracteres alfanuméricos que forman parte del alfabeto ABCDEFGHJKLMNPQRSTUVWXYZ23456789, donde "A" representa al número cero, "B" el número uno y así sucesivamente hasta el "9" que representa el número treinta y uno.

De esta cadena el sistema formará un código con los últimos 16 caracteres. Si se trata de un dispositivo móvil, a estos 16 caracteres se le añaden al inicio 8 caracteres más que identifican al municipio y al dispositivo móvil en que se ha generado el documento.

Una vez generado el CSV, se comprueba que el CSV calculado sea único, en caso de coincidencia se volvería a recalcular el CSV.

Finalmente se almacena en el repositorio digital el documento y los metadatos del CSV, el usuario y el instante de tiempo que permitan recalcular el CSV en cualquier momento y asegurar la integridad del documento.

3. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse, de acuerdo con las condiciones y límites que establece la legislación de protección de datos personales u otra legislación específica, mediante el acceso directo y gratuito a la sede electrónica asociada Oficina Virtual Tributaria.

Como medida de seguridad se controlará el número de intentos de consulta fallidos a un documento CSV desde una misma dirección IP y en un marco temporal establecido, introduciendo mecanismos de comprobación a fin de descartar que se trate de intentos realizados desde un sistema informático.

Los CSV serán accesibles en la sede electrónica asociada durante un plazo mínimo de cinco años. En caso de que durante este período resulte necesario el cambio del CSV de un documento por reconversión de formatos u otra causa que lo justifique, la oficina virtual tributaria informará de esta circunstancia, así como del CSV de la nueva copia del documento.

Una vez transcurrido el plazo señalado en el apartado anterior, si el documento no estuviese disponible en la oficina tributaria virtual se informará del procedimiento para acceder al documento o de la resolución que, en su caso, hubiere autorizado su eliminación.

Artículo 3. Utilización del sistema de CSV en la actuación administrativa automatizada.

1. El Ayuntamiento de Córdoba y su sector público institucional podrá utilizar un sistema de firma electrónica basado en CSV en las actuaciones administrativas automatizadas dentro del SITAC cuando así se establezca en la resolución correspondiente que apruebe la actuación administrativa automatizada y disponga previamente el órgano competente para la definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad y, si procede, auditoría del sistema de información y de su código fuente. Asimismo, se indicará el órgano que tiene que ser considerado responsable a efectos de impugnación.

2. Adicionalmente, el sello electrónico del órgano de gestión tributaria podrá ser utilizado con el fin de mejorar la interoperabilidad electrónica y posibilitar la verificación del documento electrónico sin necesidad de su cotejo en la sede electrónica.

Artículo 4. Utilización del sistema de CSV en la firma electrónica de documentos por empleados públicos, directivos y autoridades del Ayuntamiento de Córdoba y de su sector público institucional.

1. El SITAC podrá utilizar el sistema de CSV para la producción de firmas electrónicas vinculadas en la emisión de cualquier tipo de informe, propuesta y actos de trámite o mera comunicación de los empleados públicos, directivos y autoridades al servicio del Ayuntamiento de Córdoba y su sector público institucional en los procedimientos tributarios, recaudatorios y sancionadores de tráfico.

No se autoriza la firma mediante CSV en la firma de resoluciones, con independencia de que se trate de una actuación administrativa automatizada individualizada o masiva.

2. Los documentos así firmados no requerirán la incorporación de la firma digitalizada del firmante. El CSV quedará vinculado al documento electrónico que se firma con él, así como con la persona firmante. La vinculación de la firma electrónica a la persona actuante se realizará a través de la intervención en la generación de la firma electrónica de los datos de creación de firma asociados a la identidad del firmante. El no repudio se garantiza acreditando la vinculación de la voluntad del empleado público o empleados públicos actuantes, directivos y autoridades, bien de forma individual o bien mediante firmas múltiples, tanto en co-firma como en forma en cascada, respecto al documento y a los datos y/o documentos firmados.

3. Para acreditar la autenticidad de la expresión de la voluntad y consentimiento del firmante o firmantes se requerirá:

a) La autenticación de la autoridad o empleado en el sistema cuya evidencia debe custodiar el SITAC.

b) La verificación previa por parte del firmante de los datos a firmar en el documento origen.

c) La acción explícita por parte del firmante de manifestación de consentimiento y expresión de su voluntad de firma. El sistema deberá requerir de forma expresa la expresión del consentimiento y la voluntad de firma, mediante la inclusión de frases que pongan aquéllos de manifiesto de manera inequívoca, y la exigencia de acciones explícitas de aceptación por parte del interesado.

4. La garantía de no repudio exige que el sistema de firma asegure una adecuada trazabilidad en el caso de que sea necesario auditar una operación de firma en particular, para lo cual obtendrá, por cada firma y por tanto por cada proceso de autenticación, la siguiente información:

-Fecha y hora de la autenticación y código de la autenticación.

-Fecha y hora de la firma.

-Resumen criptográfico de los datos firmados, con un algoritmo de hash que cumpla las especificaciones del esquema nacional de seguridad.

4. Adicionalmente, el sello electrónico del órgano de gestión tributaria podrá ser utilizado con el fin de mejorar la interoperabilidad electrónica y posibilitar la verificación del documento electrónico sin necesidad de su cotejo en la sede electrónica.

Artículo 5. Metadatos en la utilización del CSV como sistema de firma.

De conformidad con lo dispuesto en la Resolución de 19 de julio de 2011, de la Secretaría de Estado para la Función Pública, por la que se aprueba la Norma Técnica de Interoperabilidad de Documento Electrónico, «BOE» número 182, de 30/07/2011, Permalink ELI: https://www.boe.es/eli/es/res/2011/07/19/(3)/con, será metadato mínimo obligatorio del documento electrónico el Tipo de Firma, que podrá tener los siguientes valores: TF01 (CSV), TF02 (XAdES internally detached signature), TF03 (XAdES enveloped signature), TF04 (CAdES detached/explicit signature), TF05 (CAdES attached/implicit signature), TF06 (PAdES).

En el caso de la firma mediante CSV el código a emplear será el TF01 y en este caso será obligatorio cumplimentar los dos siguientes metadatos:

1. eEMGDE17.3 Valor del CSV

* Definición: Valor del código seguro de verificación utilizado para firmar el documento o expediente.

* Aplicabilidad: Sólo a la entidad Documento: Documento Simple, Expediente y Agregación.

* Obligación Condicional: De aplicación si el elemento eEMGDE17.1.1 Tipo de firma contiene el valor TF01 (CSV) Automatizable.

* Finalidad: Verificar si un objeto ha sido alterado de manera no documentada o no autorizada.

En este caso se introducirá el CSV de 16 o 24 caracteres generado conforme se ha descrito.

2. eEMGDE17.4 Definición de generación de CSV

*Definición: Referencia a la Orden, Resolución o documento que define la creación del CSV correspondiente. Aplicabilidad: Sólo a la entidad Documento: Documento Simple, Expediente y Agregación.

*Obligación Condicional: De aplicación si el elemento eEMGDE17.1.1 Tipo de firma contiene el valor TF01 (CSV).

*Referencia: La referencia a la presente Resolución en la que se aprueba la definición del CSV en el SITAC se formará con la cadena de caracteres Decreto AAAA/ NNNNN de DD-MM en la que AAAA es el año de aprobación del Decreto, NNNNN es el número asignado al mismo, y DD-MM es en formato numérico el día y mes de la fecha de aprobación del Decreto.

SEGUNDO: Dar traslado de la presente resolución al Órgano de Gestión Tributaria y a la empresa GTT, a la Delegación de Transformación Digital a través de la Coordinación General de Transformación Digital y ordenar su publicación en la sede electrónica principal y sede electrónica asociada para general conocimiento así como proceder a su publicación en el Boletín Oficial de la Provincia de Córdoba.

Córdoba, 18 de enero de 2022. Firmado electrónicamente por el Alcalde-Presidente, Jose Mª Bellido Roche.