Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2009-1771

Orden ITC/110/2009, de 28 de enero, por la que se determinan los requisitos y las especificaciones tcnicas que resultan necesarios para el desarrollo del captulo II del ttulo V del reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril.

TEXTO

La presente orden tiene por objeto desarrollar algunos aspectos generales del captuloII del ttulo V del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril.

Lo dispuesto en esta orden se entiende sin perjuicio de las rdenes ministeriales relativas a las obligaciones especficas derivadas de la aplicacin de una concreta tecnologa de telecomunicaciones que se aprueben previo informe de la comisin interministerial creada por Orden PRE/1575/2006, de 19 de mayo, para la elaboracin del informe previo a la aprobacin de las rdenes ministeriales que se dicten de conformidad con lo establecido en la disposicin transitoria sexta del Reglamento sobre condiciones para la prestacin de servicios de comunicaciones electrnicas, servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril.

Los artculos 95 y 98 de este Reglamento facultan al Ministerio de Industria, Turismo y Comercio para establecer reglamentariamente determinadas especificaciones tcnicas. Asimismo, la disposicin final quinta del Real Decreto 424/2005, de 15 de abril, autoriza al Ministro de Industria, Turismo y Comercio a dictar las disposiciones necesarias para el desarrollo y aplicacin de este real decreto.

De conformidad con lo establecido en la disposicin adicional quinta de la Ley 32/2003, de 3 noviembre, General de Telecomunicaciones, esta orden ha sido conocida e informada por el Consejo Asesor de las Telecomunicaciones y de la Sociedad de la Informacin, lo que equivale a la realizacin del trmite de audiencia regulado por el artculo 24.1.c) de la Ley 50/1997, de 27 de noviembre, del Gobierno.

Por otra parte, la orden que se aprueba ha sido objeto del informe preceptivo de la Comisin del Mercado de las Telecomunicaciones previsto en el artculo 48.3.h) de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

En su virtud, con la aprobacin previa de la Ministra de Administraciones Pblicas, dispongo:

Artculo 1. Objeto.

1. Constituye el objeto de esta orden la determinacin de los requisitos y de las especificaciones tcnicas para la ejecucin de lo previsto en el captulo II del ttulo V del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril.

2. Lo dispuesto en esta orden se entiende sin perjuicio de las rdenes ministeriales, relativas a las obligaciones especficas derivadas de la aplicacin de una concreta tecnologa de telecomunicaciones, que se aprueben previo informe de la comisin interministerial creada por Orden PRE/1575/2006, de 19 de mayo, para la elaboracin del informe previo a la aprobacin de las rdenes ministeriales que se dicten de conformidad con lo establecido en la disposicin transitoria sexta del Reglamento sobre condiciones para la prestacin de servicios de comunicaciones electrnicas, servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril, en materia de interceptacin legal de comunicaciones electrnicas.

Artculo 2. Cumplimiento de las obligaciones de proveer la interceptacin legal de las comunicaciones y de colaboracin con los sujetos obligados.

1. En desarrollo del artculo 85 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, se establecen las siguientes reglas:

a) Cuando el sujeto obligado ofrezca servicios de comunicaciones electrnicas a travs de redes de comunicaciones de las que no sea titular o a travs de otros proveedores de servicios y sea necesaria la colaboracin de stos para satisfacer sus obligaciones relativas a la interceptacin legal de las comunicaciones de sus abonados y usuarios, deber llegar a un acuerdo con los mismos para el cumplimiento de estas obligaciones.

b) Un sujeto obligado podr llegar a un acuerdo con otro operador para la realizacin de las interceptaciones legales de las comunicaciones de sus abonados y usuarios an cuando no sea necesaria su colaboracin, siempre y cuando sea tcnicamente posible y se satisfagan los requisitos establecidos en la legislacin sobre la interceptacin legal de comunicaciones.

c) Sin perjuicio de lo establecido en la disposicin transitoria segunda de esta orden, cuando el sujeto obligado tenga la condicin de operador pequeo, de conformidad con la definicin establecida en el apartado dd) del apndice, y no se acoja a la posibilidad enunciada en el prrafo anterior, en lugar de usar una infraestructura permanente para realizar la interceptacin legal, podr optar por utilizar sistemas no permanentes propios o compartidos con otros operadores que tengan la misma condicin, segn el estado de la tecnologa en cada momento. Para ello las caractersticas tcnicas y el procedimiento de interceptacin a seguir debern haber sido aprobados por los agentes facultados.

Para el clculo de la capacidad que debe tener este sistema no permanente se emplearn las frmulas establecidas en el artculo 15, considerando el factor x igual a la suma de los abonados y usuarios de los operadores pequeos que compartan los medios tcnicos que formen el sistema no permanente antes citado. Esta opcin no exime del cumplimiento del resto de las disposiciones establecidas en esta orden, ni de la adopcin de las medidas necesarias para garantizar la seguridad de la interceptacin legal de las comunicaciones.

d) Los acuerdos a los que hacen referencia las reglas a) y b) de este artculo debern ser notificados a los agentes facultados en un plazo mximo de 15 das desde su adopcin. Estos acuerdos debern celebrarse en condiciones transparentes, objetivas y no discriminatorias.

e) Cuando un sujeto obligado tenga previsto dejar de hacer uso de alguna de las facultades previstas en las reglas b) y c) de este artculo, deber notificarlo previamente, con al menos 15 das de antelacin, a los agentes facultados.

f) Los sujetos obligados y sus colaboradores adoptarn las medidas necesarias para que, en ningn caso, la colaboracin entre operadores para la provisin de la interceptacin legal de comunicaciones suponga menoscabo alguno de la seguridad de las mismas.

2. A los efectos de este artculo no tendrn la condicin de sujetos obligados los operadores habilitados para prestar servicios de informacin telefnica cuando se limiten a la prestacin del servicio de consulta sobre nmeros de abonado.

Artculo 3. Comunicacin de informacin relacionada con la interceptacin legal entre sujetos obligados.

1. La informacin relacionada con el mandamiento de la interceptacin legal de comunicaciones que se intercambie entre sujetos obligados, se limitar a la estrictamente necesaria para satisfacer las necesidades derivadas de la obligacin de colaborar entre operadores para la realizacin de la interceptacin legal de comunicaciones. Los sujetos obligados garantizarn en todo momento la confidencialidad de la informacin transmitida o almacenada, no pudiendo ser utilizada para ningn otro fin.

2. Las rdenes de interceptacin y cualquier otra informacin importante para la seguridad del sistema de interceptacin, debe transmitirse mediante un canal seguro, segn se define en el apndice de esta orden.

Artculo 4. Especificaciones tcnicas.

1. La realizacin tcnica de los sistemas de interceptacin legal de los sujetos obligados se ajustar a lo que establezcan las especificaciones tcnicas sobre interceptacin legal elaboradas por el Instituto Europeo de Normalizacin de Telecomunicaciones (ETSI) y el Proyecto de Asociacin de Tercera Generacin (3GPP).

2. La referencia a las especificaciones tcnicas que sern de aplicacin para cada tecnologa concreta, junto con la determinacin de los correspondientes parmetros optativos nacionales, las observaciones pertinentes para facilitar su cumplimiento y el plazo mximo para su implantacin se publicar mediante rdenes del Ministerio de Industria, Turismo y Comercio, previo informe de la comisin interministerial creada por la Orden PRE/1575/2006, de 19 de mayo.

3. Sin perjuicio de lo dispuesto en los apartados anteriores de este artculo, en el diseo y en la realizacin del sistema de interceptacin se procurar el empleo de estndares abiertos, a fin de garantizar la interoperabilidad entre equipos de diferentes suministradores, y el empleo de sistemas operativos y software de cdigo abierto en el sistema de interceptacin.

Artculo 5. Bloques funcionales e interfaces del sistema de interceptacin legal.

1. Conforme a las especificaciones del ETSI y del 3GPP sobre interceptacin legal de las comunicaciones, los bloques funcionales y las interfaces del sistema de interceptacin legal que ha de tener el sujeto obligado se muestran en la figura del anexo I de esta orden.

2. La definicin de cada bloque funcional y cada interfaz se encuentra en el apndice de esta orden.

3. Los sujetos obligados debern garantizar la disponibilidad, instalacin y mantenimiento, en el mbito de la presente orden, de los elementos del sistema de interceptacin legal correspondientes a su infraestructura (IIF), la funcin de mediacin (MF) y la funcin de administracin (ADMF).

4. Los sujetos obligados debern permitir a los agentes facultados la instalacin y mantenimiento de los elementos de seguridad que los agentes facultados consideren oportunos para la proteccin de todas y cada una de las interfaces de comunicacin (HI), siempre y cuando se garantice por parte de stos la total inocuidad de estos equipos en la prestacin del servicio por parte de los sujetos obligados. La instalacin y mantenimiento de dichos equipos correr a costa de los agentes facultados.

Artculo 6. Canales para la interfaz HI1.

1. La interfaz de administracin HI1 es una interfaz bidireccional entre el agente facultado y el sujeto obligado para el intercambio de informacin de administracin. Se utiliza para intercambiar informacin, diversa y poco normalizada, que incluye desde las rdenes de interceptacin hasta la resolucin de incidencias tcnicas.

2. El sujeto obligado tendr disponibles los siguientes canales para la interfaz HI1:

a) Canales no seguros: No se podrn utilizar nunca para transmitir datos personales, contenidos de comunicaciones, ni cualquier otro dato que pueda comprometer la seguridad de las interceptaciones legales de comunicaciones, en cuyo caso es obligatorio el uso de un canal seguro. Cuando sea necesario referirse a una orden de interceptacin legal concreta, a travs de un canal no seguro, se utilizar el identificador de interceptacin legal (LIID) o algn otro procedimiento que permita hacer referencia a la orden sin desvelar su contenido.

b) Un canal seguro electrnico: ste ser nico para cada agente facultado, sin perjuicio de la redundancia que pueda exigir el requisito de disponibilidad. El canal seguro electrnico para la interfaz HI1 se ajustar a las especificaciones establecidas en el artculo7.

c) Un canal seguro no electrnico: el sujeto obligado dispondr de un canal seguro no electrnico. Los extremos de este canal seguro sern los coordinadores de los centros de recepcin de los agentes facultados y los interlocutores nicos por parte de los sujetos obligados en las acepciones definidas en el apndice de esta orden. El interlocutor de la parte del sujeto obligado debe encontrarse en territorio espaol. Se devolver un acuse de recibo con la consignacin de la fecha y hora de la recepcin de los mensajes remitidos por este canal desde cualquiera de sus extremos.

3. El intercambio de informacin de administracin entre los sujetos obligados y los agentes facultados que requiera el uso de un canal seguro, se realizar preferentemente mediante el canal seguro electrnico.

4. Las informaciones de administracin se podrn enviar al agente facultado por los canales fsicos que corresponden a la interfaz HI2, siempre que se satisfagan los requisitos establecidos, para la interfaz HI1, en esta orden ministerial.

Artculo 7. Canal seguro electrnico para la interfaz HI1.

1. El canal seguro electrnico, para la interfaz HI1, se realizar mediante una red privada virtual IPSec (VPN IPSec), configurada para garantizar los requisitos de un canal seguro, tal como est definido en el apndice. Esta VPN IPSec emplear el servicio ESP (Encapsulating Security Payload) con el algoritmo de cifrado AES (Advanced Encryption Standard).

2. La informacin de administracin se enviar mediante mensajes de correo electrnico cifrados y firmados mediante firma electrnica reconocida.

3. Sern notificadas al remitente, mediante mensajes diferenciados tanto la recepcin como la apertura del mensaje enviado desde cualquiera de los extremos de la interfaz, consignndose la fecha y hora de la recepcin o la apertura. El canal podr configurarse para que estos mensajes se enven de forma automtica.

4. El canal seguro electrnico para la interfaz HI1 se podr realizar mediante soluciones tecnolgicas alternativas a sta, siempre que logren un nivel de seguridad igual o superior y se acuerde con los agentes facultados.

La interfaz HI1 podr compartir canal fsico con la interfaz HI2, siempre y cuando este canal satisfaga los requisitos establecidos para la interfaz HI1 en el apartado 1 de este artculo.

Artculo 8. Gestin de una orden de interceptacin legal.

1. El agente facultado remitir la orden de interceptacin legal, a travs de un canal seguro, al sujeto obligado que preste uno o varios servicios objetivo, de acuerdo con la definicin incluida en el apartado gg) del apndice de esta orden.

Sin perjuicio de esta obligacin, una vez que la autoridad judicial haya autorizado la orden de interceptacin, el agente facultado podr enviar, por adelantado, una copia de la orden de interceptacin a travs de un canal seguro. En este caso, el agente facultado deber remitir la orden de interceptacin legal original en un plazo mximo de 15 das, desde que tenga lugar el envo de este adelanto, si bien las partes (agente facultado y sujeto obligado) podrn acordar expresamente otro plazo.

En el caso de emplearse un canal seguro electrnico para enviar la orden de interceptacin legal o copia de la misma, la funcin de administracin (ADMF) del sujeto obligado, para evitar errores y retrasos de trascripcin, podr cargar automticamente, desde la orden de interceptacin, los datos necesarios para activar la interceptacin. Pero en ningn caso podr activarse la interceptacin de forma automtica por el sistema, sin la autorizacin del sujeto obligado.

2. El sujeto obligado acusar recibo de la recepcin, a travs de un canal seguro, en cuanto sta ocurra, tanto de la orden de interceptacin como, en su caso, del adelanto de la misma, consignando la fecha y hora de la recepcin en la forma especificada en los artculos 6.2.c) 7.3, dependiendo del tipo de canal seguro utilizado.

Los plazos establecidos en el artculo 99 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, contarn a partir de la fecha y hora consignada en el acuse de recibo de la recepcin de la orden de interceptacin o, en su caso, del envo por adelantado de la misma.

Para garantizar el cumplimiento del plazo de ejecucin de las rdenes de interceptacin fuera del horario laboral, el sujeto obligado dispondr de un punto de contacto permanente que ser comunicado a los coordinadores de los centros de recepcin de los agentes facultados.

3. Cuando la orden de interceptacin haya sido activada tcnicamente por el sujeto obligado en su sistema de interceptacin, se notificar, a travs de un canal seguro, al agente facultado que la orden de interceptacin se encuentra activa, consignndose la fecha y hora a la cul se ha activado la interceptacin. Esta notificacin se podr realizar a travs de la interfaz HI2.

Se entiende que una orden de interceptacin est activa a partir del momento en que el sistema de interceptacin legal puede extraer la informacin relativa a la interceptacin (IRI) y el contenido de la comunicacin (CC) de las comunicaciones determinadas por la orden de interceptacin legal y puede enviarse al centro de recepcin de las interceptaciones del agente facultado.

4. El agente facultado remitir, a travs de un canal seguro, cualquier resolucin de la autoridad judicial que ordene la prrroga, modificacin o cese de la citada orden de interceptacin legal. El sujeto obligado notificar el cumplimiento de esta resolucin, consignando la fecha y hora a partir de la cual se ha modificado su sistema de interceptacin legal, para satisfacer lo solicitado por la autoridad judicial.

5. Cuando expire el plazo autorizado para realizar la interceptacin o cuando lo solicite la autoridad judicial, el sujeto obligado desactivar los mecanismos de interceptacin y notificar, a travs de un canal seguro, al agente facultado que la orden de interceptacin ha sido desactivada, consignndose la fecha y hora a partir de la cul se desactiv la interceptacin. Esta notificacin se podr realizar a travs de la interfaz HI2.

Artculo 9. Incidencias tcnicas, notificacin de modificaciones y realizacin de pruebas.

1. En caso de que exista algn periodo durante el cual no sea posible remitir al agente facultado los resultados de una interceptacin activa, el sujeto obligado deber notificarlo, siempre que sea posible, a travs de un canal seguro, al agente facultado consignando el periodo durante el cual esto no fue posible.

Si la interrupcin es prolongada, el sujeto obligado deber notificar, a travs de un canal seguro, en mensajes separados, el comienzo y el final de la interrupcin, consignado la fecha y hora de cada suceso.

Si el perodo de interrupcin es previsible, ya sea por tareas de mantenimiento programadas o por cualquier otra circunstancia, el sujeto obligado deber notificarlo con al menos 10 das de antelacin al agente facultado a travs de un canal seguro.

2. Para la resolucin de incidencias tcnicas y la realizacin de pruebas, se podr emplear canales HI1 no seguros, siempre que se cumplan los requisitos para ello establecidos en el artculo 6.

En determinados casos, tratndose de incidencias relacionadas con un sujeto objeto de la medida de la interceptacin o una identidad, entendida sta en los trminos del artculo 84 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, dichas incidencias se podrn notificar por los canales fsicos que corresponden a la interfaz HI2.

3. Las modificaciones del sistema de interceptacin legal o de cualquier otro elemento del sujeto obligado, incluyendo la provisin de nuevos servicios, que pueda afectar a la interceptacin legal, se notificarn a los agentes facultados con una antelacin de tres meses.

4. Para la realizacin de pruebas de los sistemas de interceptacin legal, el sujeto obligado permitir, a cada agente facultado, contratar al menos dos identidades, de acuerdo con la definicin prevista en el artculo 84 del citado Reglamento aprobado por el Real Decreto 424/2005, de 15 de abril, de cada servicio de comunicaciones electrnicas que preste. Estas identidades no correspondern a ninguna persona fsica, slo se emplearn para la realizacin de pruebas y podrn ser interceptadas sin necesidad de orden de interceptacin.

5. La disponibilidad del sistema de interceptacin legal del sujeto obligado, no ser inferior al del servicio de comunicaciones electrnicas prestado por el sujeto obligado a sus abonados y usuarios, ni el plazo para resolver fallos del mismo ser superior al establecido por el sujeto obligado en la prestacin, a sus abonados y usuarios, del servicio de comunicaciones electrnicas.

6. Para asuntos muy urgentes, fuera del horario laboral, relacionados con la interceptacin legal, los sujetos obligados dispondrn de un punto de contacto permanente a disposicin de los coordinadores de los centros de recepcin de los agentes facultados.

Artculo 10. Formato del identificador de interceptacin legal (LIID).

1. El formato del LIID es una cadena de 1 a 25 caracteres ASCII, pertenecientes al subconjunto constituido por los caracteres a a z, A a Z, -, _, . y 0 a 9.

2. El valor del LIID se acuerda entre el sujeto obligado y el agente facultado, satisfaciendo las siguientes condiciones:

a) Si varios agentes facultados solicitan la interceptacin del mismo sujeto objeto de la medida de la interceptacin, el LIID ser diferente para cada agente facultado.

b) El LIID permitir identificar al sujeto obligado y al agente facultado.

c) El LIID no contendr ninguna informacin que permita identificar al sujeto interceptado, incluida la identidad, de acuerdo con la definicin prevista en el artculo 84 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios.

Artculo 11. Medidas de seguridad.

En el anexo II de esta orden, se establecen las medidas tcnicas y organizativas que los sujetos obligados deben implementar para garantizar la autenticidad, confidencialidad, integridad y no repudio de los datos relacionados con la interceptacin legal de las comunicaciones y la disponibilidad de la interceptacin, as como prevenir su uso ilegal. Dichas medidas se articulan en ocho apartados:

1. Documento de seguridad y gestin de incidencias.

2. Personal relacionado con la interceptacin legal de las comunicaciones.

3. Recinto para el sistema de interceptacin.

4. Seguridad de los documentos.

5. Seguridad del sistema de interceptacin.

6. Seguridad de las funciones de interceptacin internas (IIF).

7. Registros de auditora.

8. Medidas de seguridad adicionales.

Artculo 12. Reloj del sistema de interceptacin.

1. Los relojes de los elementos del sistema de interceptacin legal tendrn un error mximo inferior al medio segundo. Estos relojes sern la fuente de tiempo para la consignacin de fecha y hora de todos los eventos relacionados con los mecanismos de interceptacin legal.

2. Se tomar como referencia el patrn nacional de tiempo proporcionado por el Centro Nacional de Metrologa.

Artculo 13. Cohabitacin con el sistema de conservacin de datos.

El sistema de interceptacin podr compartir recursos con el sistema de conservacin de datos previsto por la Ley 25/2007, de 18 de octubre, de conservacin de datos relativos a las comunicaciones electrnicas y a las redes pblicas de comunicaciones y, en su caso, sus normas de desarrollo reglamentario, siempre que esto no perjudique sus funciones ni la seguridad del sistema de interceptacin legal.

Artculo 14. Informacin complementaria a la interceptacin.

1. Los sujetos obligados conforme al artculo 85 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por el Real Decreto 424/2005, de 15 de abril, pondrn a disposicin del agente facultado que lleve a cabo la interceptacin legal, los datos a que hacen referencia los artculos 88.2, 88.3 y 89.2 del citado Reglamento mediante el procedimiento que se describe en el apartado siguiente.

2. La peticin ser concreta y en ningn caso se podrn ejercitar solicitudes masivas de datos. En la misma se identificar al agente facultado que est llevando a cabo la interceptacin legal y que realiza la solicitud, cuyo coordinador del centro de recepcin de las interceptaciones asumir la responsabilidad de la solicitud de datos, y la referencia del identificador o identificadores de interceptacin legal (LIID) que corresponden a la interceptacin legal en cuyo marco se realiza dicha solicitud.

3. La solicitud de esta informacin y su respuesta se realizarn a travs de un canal HI1 seguro. El agente facultado acusar recibo, a travs de este canal, de la recepcin de la respuesta consignndose la fecha y hora de la misma.

La informacin solicitada se remitir antes de las 12:00 horas del da hbil siguiente al que el sujeto obligado reciba la solicitud. Cuando la solicitud sea urgente, los sujetos obligados debern ejecutarla con la mayor brevedad que les sea posible, para lo cual el sujeto obligado dispondr de un punto de contacto permanente que estar a disposicin de los coordinadores de los centros de recepcin de los agentes facultados.

Artculo 15. Nmero mximo de interceptaciones simultneas.

1. El sujeto obligado dispondr su sistema de interceptacin legal de modo que sea capaz de mantener activas, simultneamente, el siguiente nmero de interceptaciones:

1

Donde:

MI = Nmero mximo de interceptaciones activas simultneamente.

x = Nmero de abonados o usuarios (entendidos como el nmero de identidades, de acuerdo con la definicin dada por el artculo 84 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril, proporcionadas por el sujeto obligado a sus abonados o usuarios).

a = Coeficiente que depende de la tecnologa de telecomunicaciones concreta y que se especificar en las rdenes ministeriales correspondientes. Su valor est acotado al rango [0,25 - 1].

Nota: Las cantidades con decimales de MI se redondearn al nmero entero inmediatamente inferior.

2. El nmero mximo de interceptaciones activas simultneamente se calcula para cada servicio de comunicaciones electrnicas ofrecido por el sujeto obligado. En la frmula anterior, por tanto, el valor x es el nmero total de identidades, de acuerdo con la definicin prevista en el artculo 84 del citado Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, proporcionadas por el sujeto obligado a los abonados o usuarios de cada servicio de telecomunicaciones.

3. El nmero de interceptaciones que el sujeto obligado deber ser capaz de transmitir simultneamente a los agentes facultados se especificar en las rdenes ministeriales concretas correspondientes a cada tecnologa de telecomunicaciones.

Artculo 16. Acceso al registro de los nmeros transferidos entre operadores.

1. Los coordinadores de los centros de recepcin de los agentes facultados podrn acceder al registro actualizado de los nmeros transferidos entre operadores como consecuencia del ejercicio del derecho a la conservacin de nmeros, al que hace referencia el artculo 44.5 del Reglamento sobre mercados de comunicaciones electrnicas, acceso a las redes y numeracin, aprobado por el Real Decreto 2296/2004, de 10 de diciembre, con el fin de recabar los datos a que hacen referencia los artculos 88.2, 88.3, 89.1,y 89.2 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril.

2. Los coordinadores de los centros de recepcin de los agentes facultados se podrn dirigir, con el fin de obtener informacin para identificar al operador a cargo de un nmero telefnico portado as como de posibles procedimientos de portabilidad en curso, al gestor encargado de la operacin de la entidad de referencia o base de datos que pueda proporcionar la informacin requerida de acuerdo a las especificaciones vigentes y aprobadas por la Comisin del Mercado de las Telecomunicaciones.

3. Los datos obtenidos sern utilizados exclusivamente para los fines previstos, siendo responsabilidad del agente facultado el adecuado uso de los mismos que, en todo caso, estar sometido a la legislacin vigente sobre proteccin de datos de carcter personal.

Artculo 17. Estadsticas.

1. Los sujetos obligados elaborarn estadsticas, sobre las medidas de interceptacin, con periodicidad anual. El perodo contabilizado ser desde las 00:00 horas (incluidas) del da 1 de enero hasta las 24:00 horas (excluidas) del da 31 de diciembre del ao correspondiente. Se contabilizarn las rdenes de interceptacin y las modificaciones y prrrogas de las mismas activadas durante ese periodo, as como las identidades (de acuerdo con la definicin prevista en el artculo 84 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios) interceptadas con motivo de las mismas. Si una misma identidad tcnica es interceptada con motivo de diferentes rdenes de interceptacin, se contabilizar cada vez por separado.

2. Las estadsticas se elaborarn conforme al formulario previsto en el anexo III de esta orden y se remitirn a la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin antes del 15 de febrero del ao siguiente.

Disposicin transitoria primera. Plazo para el cumplimiento.

1. Los sujetos obligados debern cumplir las obligaciones establecidas en los apartados 5 y 7 del anexo II de esta orden en el plazo de dieciocho meses desde su entrada en vigor.

2. Las dems obligaciones establecidas en esta orden debern cumplirse en el plazo de nueve meses desde su entrada en vigor.

3. Si durante el plazo del apartado anterior se diera la circunstancia de que un sujeto obligado tuviera que materializar una orden de interceptacin legal y no estuviera todava en condiciones de llevarla a efecto con sus propios medios, el sujeto obligado deber facilitar el acceso de los agentes facultados a sus instalaciones para realizar la interceptacin con los medios proporcionados por stos, en caso de que dispongan de ellos.

4. Aquellos sujetos obligados que inicien su actividad, transcurridos estos plazos, debern cumplir las obligaciones establecidas en esta orden desde el inicio de su actividad.

Disposicin transitoria segunda. Rgimen transitorio especial para sujetos obligados que cumplan determinadas condiciones.

1. Los sujetos obligados que no tengan la condicin de operadores pequeos –de acuerdo con la definicin establecida en el apartado dd) del apndice de esta orden– y dispongan de red de comunicaciones electrnica propia, a travs de la cual se encaminen las comunicaciones de sus abonados, podrn acogerse al procedimiento descrito en el artculo 2.1.c) de esta orden si el nmero total de rdenes de interceptacin recibidas durante el ao anterior ha sido inferior o igual a cinco.

2. Los sujetos obligados, a que se refiere el apartado anterior, dispondrn de un plazo de seis meses desde el momento en que en un ao se superen las cinco interceptaciones, para implantar su propio sistema de interceptacin, que satisfaga todos los requisitos establecidos en la legislacin vigente sobre interceptacin legal de las comunicaciones.

Disposicin transitoria tercera. Servicios y tecnologas no contemplados en rdenes ministeriales especficas.

Los sujetos obligados que exploten redes o presten servicios de comunicaciones electrnicas, cuya tecnologa no haya sido incluida en las rdenes ministeriales relativas a las obligaciones especficas derivadas de la aplicacin de una concreta tecnologa de telecomunicaciones, debern acordar con los agentes facultados la forma de cumplir las obligaciones del captulo II, del ttulo V del citado Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, relativo a la interceptacin legal de las comunicaciones, as como lo dispuesto en esta orden, hasta que se aprueben las correspondientes rdenes ministeriales especficas.

Disposicin final primera. Ttulo competencial.

Esta orden se dicta al amparo de lo dispuesto en el artculo 149.1.21. de la Constitucin, que atribuye al Estado la competencia exclusiva en materia de telecomunicaciones.

Disposicin final segunda. Modificacin de la Orden CTE/711/2002, de 26 de marzo, por la que se establecen las condiciones de prestacin del servicio de consulta telefnica sobre nmeros de abonado.

La Orden CTE/711/2002, de 26 de marzo, por la que se establecen las condiciones de prestacin del servicio de consulta telefnica sobre nmeros de abonado, se modifica en los siguientes trminos:

Uno. En el apartado primero. 3 se aaden un prrafo d) y otro e), con la siguiente redaccin:

d) estn autorizados para solicitar informacin previa a la interceptacin en virtud del artculo 89.1 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril.

e) estn autorizados para solicitar informacin complementaria a la interceptacin en virtud de los artculos 88.2, 88.3 y 89.2 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril.

Dos. Los apartados decimoquinto.3 y 4 se renumeran como 4 y 5, respectivamente.

Tres. Se aade un nuevo apartado decimoquinto.3, con la siguiente redaccin:

3. La Comisin del Mercado de las Telecomunicaciones, previa peticin, facilitar a los agentes facultados, la informacin actualizada a la que se refiere el apartado decimocuarto, con el formato establecido por la Comisin del Mercado de las Telecomunicaciones.

Los datos obtenidos sern utilizados exclusivamente para los fines previstos en los artculos 88.2, 88.3, 89.1 y 89.2 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril, siendo responsabilidad del agente facultado el adecuado uso de los mismos, que, en todo caso, estar sometido a la legislacin vigente sobre proteccin de datos de carcter personal.

Disposicin final tercera. Convenio de asistencia judicial en materia penal entre los Estados de la Unin Europea.

Las medidas establecidas en esta orden son, asimismo, de aplicacin para el cumplimiento de las obligaciones derivadas del Convenio de asistencia judicial en materia penal entre los Estados de la Unin Europea, de 29 de mayo de 2000, en lo relativo a la interceptacin legal de comunicaciones.

Disposicin final cuarta. Entrada en vigor.

Esta orden entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Madrid, 28 de enero de 2009.–El Ministro de Industria, Turismo y Comercio, Miguel Sebastin Gascn.

ANEXO I
Bloques funcionales e interfaces

1. Los bloques funcionales del sistema de interceptacin legal son los siguientes:

a) Funcin de administracin (ADMF).

b) Funcin de mediacin (MF) para la Informacin correlativa a la interceptacin (IRI).

c) Funcin de mediacin (MF) para el Contenido de la comunicacin (CC).

d) Funcin de interceptacin interna (IIF).

2. Las interfaces del sistema de interceptacin legal son las siguientes:

1. Interfaces internas.

2. Interfaces de Traspaso (HI), que se componen de tres interfaces:

2.1. Interfaz de traspaso 1 (HI1).

2.2. Interfaz de traspaso 2 (HI2).

2.3. Interfaz de traspaso 3 (HI3).

3. La siguiente figura representa el diagrama de bloques funcionales e interfaces del sistema de interceptacin legal del sujeto obligado (fuente: ETSI ES 201 671 V3.1.1 (2006-10)):

1

Notas:

Esta figura muestra una configuracin de referencia, con una representacin lgica de las entidades involucradas en la interceptacin legal que no determina entidades fsicas separadas.

La funcin de mediacin puede ser transparente, si no es preciso realizar ninguna de sus funciones.

ANEXO II
Medidas de seguridad

1. Documento de seguridad y gestin de incidencias

1. El sujeto obligado deber realizar el anlisis y gestin de riesgos de sus mecanismos de interceptacin legal y elaborar y mantener actualizado un documento de seguridad relativo a la interceptacin legal de las comunicaciones en el que se recojan los siguientes aspectos:

a) La relacin del personal con acceso a los mecanismos de interceptacin.

b) Las funciones, obligaciones, y perfiles de acceso del personal autorizado.

c) La identificacin del responsable de seguridad.

d) Las medidas, normas, procedimientos de actuacin, reglas y estndares aplicados que garanticen el cumplimiento de las medidas de seguridad establecidas en esta orden y las derivadas de los requisitos establecidos en el Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril, en las rdenes ministeriales relativas a las obligaciones especficas derivadas de la aplicacin de una concreta tecnologa de telecomunicaciones o en otras normas de rango legal o reglamentario que sean de aplicacin.

e) La configuracin del sistema operativo y la relacin de aplicaciones que sea necesario instalar en el sistema de interceptacin.

f) Las medidas que resulten necesarias para proteger el sistema de interceptacin frente a programas maliciosos, intrusiones, accesos no autorizados y otras amenazas; y evitar la instalacin de dispositivos y aplicaciones maliciosas en el sistema de interceptacin.

g) Las medidas que resulten necesarias para que el acceso remoto al sistema de interceptacin no comprometa la seguridad del sistema ni la confidencialidad de los datos, as como una relacin actualizada de las personas autorizadas para acceder remotamente al sistema.

h) Los procedimientos de instalacin, configuracin, mantenimiento y reparacin del sistema de interceptacin detallando las medidas que resulten necesarias para que estos procesos no pongan en peligro la seguridad del sistema de interceptacin ni la confidencialidad de los datos relacionados con la interceptacin.

i) Los controles peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

j) Los procedimientos de notificacin, gestin y respuesta ante las incidencias.

2. Se tender a aplicar en la medida de lo posible el cdigo de buenas prcticas de gestin de la seguridad de la informacin de la norma UNE-ISO/IEC 17799.

3. El documento de seguridad deber mantenerse en todo momento actualizado y ser revisado siempre que se realice una actualizacin o cambio del sistema.

4. Deber existir un procedimiento de notificacin y gestin de las incidencias relacionadas con los mecanismos de interceptacin y establecer un registro en el que se haga constar el tipo de incidencia, la fecha y hora en que se ha producido o detectado, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

2. Personal relacionado con la interceptacin legal de comunicaciones

1. Las personas que puedan acceder a los mecanismos de interceptacin as como a cualquier informacin relacionada con la interceptacin legal de comunicaciones ser el mnimo necesario para garantizar la ejecucin de las rdenes de interceptacin en las condiciones establecidas.

2. Su acceso a la informacin y dems recursos relacionados con la interceptacin estar basado en los principios de necesidad de conocer, menor privilegio, separacin de tareas y autorizacin, entendidos stos en sus acepciones definidas en el apndice de esta orden.

3. La relacin de personas con acceso al sistema de interceptacin as como sus funciones y obligaciones en relacin con la interceptacin legal de las comunicaciones, que debern estar claramente definidas, se recogern en el documento de seguridad a que hace referencia el apartado 1 de este anexo.

4. Las personas con acceso al sistema de interceptacin debern firmar una declaracin de seguridad, en el formato que acuerden el sujeto obligado y los agentes facultados, por la que se declare haber recibido la formacin adecuada para el desempeo de sus funciones y sobre los procedimientos operativos de seguridad, se comprometa a guardar estricta confidencialidad sobre toda la informacin relacionada con la interceptacin legal de comunicaciones, y declare su conocimiento de las consecuencias del uso indebido de los mecanismos de interceptacin.

3. Recinto para el sistema de interceptacin

1. Todo el sistema de interceptacin, con excepcin de funciones de interceptacin internas (IIF) que se hallen distribuidas en la infraestructura de telecomunicaciones del sujeto obligado, se situar en recintos que han de satisfacer los siguientes requisitos de seguridad:

a) Debern estar protegidos mediante mecanismos de control de acceso de forma que los accesos no autorizados o los intentos de acceso no autorizados sean detectados y se puedan tomar acciones inmediatas.

b) Se adoptarn las medidas necesarias para que la presencia de personal exterior al equipo de interceptacin, que se limitar al mnimo estrictamente necesario, no comprometa la seguridad. Su presencia deber quedar adecuadamente registrada de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

4. Seguridad de los documentos

1. Se establecern por parte de cada sujeto obligado unos criterios claros de clasificacin de la informacin electrnica y en papel segn las medidas de seguridad a aplicar, que se recogern en el documento de seguridad.

2. Las rdenes de interceptacin, los registros de auditora, las copias de seguridad, la documentacin del sistema de interceptacin y cualesquiera otros documentos en papel o electrnicos importantes para la seguridad del sistema de interceptacin debern guardarse en cajas fuertes, armarios o archivadores dotados de sistema de apertura mediante llave u otro dispositivo equivalente.

3. Los documentos citados en el apartado anterior no deben salir del mencionado almacn salvo que sea estrictamente necesario, en cuyo caso se adoptarn las medidas necesarias para garantizar su confidencialidad, integridad y disponibilidad, y sern transportados por el personal expresamente autorizado para ello.

4. Deber establecerse por cada sujeto obligado un sistema de registro de entrada y salida de documentos en papel y electrnicos, en el que deber constar la fecha y hora, adems, la identidad de la persona que los saque o introduzca.

Cuando expire el perodo de conservacin de estos documentos, el responsable de seguridad los destruir de forma segura mediante la adopcin de medidas dirigidas a evitar el acceso o recuperacin posterior de la informacin eliminada. Se guardar registro de la destruccin de los documentos.

5. Seguridad del sistema de interceptacin

1. El sistema de interceptacin comprende todos los bloques e interfaces citados en el artculo 6, as como cualesquiera otros componentes necesarios para proveer la interceptacin legal, incluidos los necesarios para garantizar la seguridad del sistema, como el sistema de registros de auditora establecido en el apartado 7 de este anexo. Las medidas del presente apartado ataen a todos componentes del sistema de interceptacin excepto las funciones de interceptacin internas (IIF), cuyas medidas de seguridad se establecen en el apartado 6 de este anexo.

2. Slo se podr acceder al sistema de interceptacin mediante usuarios definidos en el mismo que sern exclusivos para cada persona. El documento de seguridad al que hace referencia el apartado 1 de este anexo deber incluir una relacin actualizada e histrica de usuarios y perfiles de usuarios y los accesos autorizados a cada uno de ellos. Los permisos de acceso a la informacin y a otros recursos del sistema de interceptacin debern corresponderse estrictamente con el cometido de la persona a quien corresponde el usuario. El acceso tanto de personas como de procesos a la informacin y otros recursos del sistema de interceptacin estar basado en los principios de necesidad de conocer, menor privilegio, separacin de tareas y autorizacin, entendidos stos en sus acepciones definidas en el apndice de esta orden.

3. El acceso al sistema slo ser posible tras comprobar la identidad y la autorizacin de todo aquel que intente acceder, tras superar previamente con xito los procesos de identificacin, autenticacin y autorizacin. Esta comprobacin se har preferiblemente mediante un dispositivo de autenticacin fuerte conforme a la definicin recogida en el apartado k) del apndice.

Se deber establecer un mecanismo para limitar la posibilidad de intentar reiteradamente el acceso no autorizado del sistema, provocando el bloqueo del mismo.

Se establecern mecanismos de bloqueo del sistema ante eventos que puedan considerarse potencialmente peligrosos tales como la extraccin del dispositivo seguro de autenticacin del dispositivo lector y/o tiempos de inactividad del sistema excesivamente largos.

El documento de seguridad al que hace referencia el apartado 1 de este anexo incluir una descripcin de estos mecanismos de bloqueo y los correspondientes procesos de reactivacin del sistema.

4. El sistema operativo estar actualizado y estarn instaladas las aplicaciones necesarias para la deteccin y proteccin frente a programas maliciosos, intrusiones y otras amenazas. Se recomienda el empleo de sistemas operativos y, en general, software de cdigo abierto en el sistema de interceptacin.

5. La informacin en los discos duros estar cifrada.

6. El sistema garantizar que el borrado de informacin se realice de forma segura evitando as el acceso a la informacin o su recuperacin posterior, sin perjuicio de la actividad de auditora descrita en el apartado 7 de este anexo.

7. Se adoptarn las medidas necesarias para impedir la comunicacin del sistema con cualquier direccin que no sea estrictamente necesaria para la interceptacin legal de comunicaciones. Las comunicaciones a travs de Internet slo sern posibles con las direcciones pertinentes de los centros de recepcin de las interceptaciones de los agentes facultados.

8. Se adoptarn las medidas necesarias para que el acceso remoto al sistema de interceptacin, que slo ser posible cuando sea estrictamente necesario y por las personas debidamente autorizadas por el responsable de seguridad, no comprometa la seguridad del sistema ni la confidencialidad de los datos relacionados con la interceptacin de las comunicaciones.

El conjunto de medidas y la relacin de personas autorizadas a que hace referencia el prrafo anterior debern estar especificadas en el documento de seguridad.

9. Se adoptarn las medidas necesarias para garantizar que las interfaces de traspaso y las interfaces internas del sistema de interceptacin no puedan comprometer la seguridad.

La instalacin, configuracin, mantenimiento y reparacin del sistema se realizarn, en la medida de lo posible, en los recintos para el sistema de interceptacin y aplicando el procedimiento y las medidas de seguridad previstas en el documento de seguridad. Se adoptarn las medidas necesarias para garantizar que los fabricantes, integradores e instaladores del sistema de interceptacin no puedan comprometer la seguridad del sistema ni accedan a informaciones confidenciales en relacin con la interceptacin legal.

6. Seguridad de las funciones de interceptacin internas (IIF)

1. El acceso fsico a las funciones de interceptacin internas (IIF) estar protegido con las medidas de seguridad propias de la infraestructura de telecomunicaciones del sujeto obligado segn el estado del arte.

2. La ubicacin de las funciones de interceptacin internas ser discreta y cualquier informacin sobre ellas ser secreta.

3. Cualquier actuacin sobre las mismas (instalacin o resolucin de averas) se realizar con discrecin por personal expresamente autorizado. Se mantendr una relacin actualizada e histrica del personal autorizado para realizar estos cometidos.

4. El acceso lgico y control de las funciones de interceptacin internas slo ser posible desde la funcin de administracin (ADMF) del sistema de interceptacin legal.

7. Registros de auditora

1. Los sujetos obligados dispondrn de un sistema centralizado para la gestin de los registros de auditora de los diferentes componentes del sistema de interceptacin. Dicho sistema dar soporte a la generacin, transmisin, almacenamiento, firma electrnica, verificacin y anlisis de los mismos, y garantizar su autenticidad, confidencialidad, integridad y disponibilidad durante todo su ciclo de vida.

2. El formato de los registros de auditora, los sucesos sobre los que se debern generar registros de auditora, los procedimientos para la verificacin de su autenticidad e integridad y los procedimientos de inspeccin y de custodia se desarrollar, en su caso, mediante orden ministerial.

8. Medidas de seguridad adicionales

1. Las medidas de seguridad establecidas en esta orden se aplicarn sin perjuicio de cualesquiera otras medidas de seguridad adicionales necesarias que se establezcan para satisfacer los requisitos establecidos en el Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril, en las rdenes ministeriales relativas a las obligaciones especficas derivadas de la aplicacin de una concreta tecnologa de telecomunicaciones o en otras normas de rango legal o reglamentario.

2. Las medidas de seguridad se actualizarn por parte de los sujetos obligados segn la evolucin de la tecnologa.

ANEXO III
Formulario para las estadisticas anuales sobre medidas de interceptacin legal de comunicaciones

1

APNDICE
Definiciones

A los efectos de lo dispuesto en esta orden, se entiende por:

a) Autenticacin: Verificacin de la identidad declarada.

b) Autorizacin: Accin de facultar para acceder con determinadas capacidades a determinados recursos con arreglo a lo que corresponda a la identidad del que solicita el acceso.

c) Canal: Medio de comunicacin empleado para el intercambio de informacin entre el sujeto obligado y el agente facultado. Por analoga, se denominarn canal HI1, canal HI2 y canal HI3 los canales correspondientes a las interfaces HI1, HI2 y HI3 respectivamente.

d) Canal electrnico: Canal que hace uso de redes de comunicaciones electrnicas, entendidas stas en la acepcin que figura en el anexo II (Definiciones) de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

e) Canal no seguro: Canal que no requiere cumplir los requisitos establecidos en la definicin de canal seguro.

f) Canal seguro: Un canal se define como seguro, a los efectos de esta orden, si garantiza, segn el estado de la tecnologa en cada momento, la confidencialidad, la integridad, la disponibilidad y el no repudio de la informacin por l transmitida, as como la autenticacin inequvoca de las partes implicadas en la comunicacin, proporcionando la mxima garanta jurdica de acuerdo con la legislacin vigente. (Un canal seguro no es necesariamente electrnico).

g) Confidencialidad: La propiedad de que la informacin no se haga disponible ni se revele a personas, entidades o procesos no autorizados.

h) Contenido de la comunicacin (CC, Content of communication): Informacin intercambiada entre dos o ms usuarios de un servicio de comunicaciones electrnicas, excluyendo la informacin relativa a la interceptacin (IRI). Incluye la informacin que puede, como parte de algn servicio de comunicaciones electrnicas, ser almacenada por un usuario para su posterior recuperacin por otro.

i) Coordinador de los centros de recepcin de los agentes facultados: persona o grupo de personas perteneciente a cada uno de los agentes facultados que ser el nico enlace vlido para los sujetos obligados a los efectos de tratar asuntos relacionados con la interceptacin legal de las comunicaciones.

j) Disponibilidad: La propiedad de ser accesible y utilizable a peticin por una entidad autorizada y segn las especificaciones de calidad de funcionamiento.

k) Dispositivo de autenticacin fuerte: Un dispositivo de autenticacin basado en al menos dos factores de identificacin de entre los tres siguientes: de conocimiento (v.gr., una palabra de paso), de posesin (v.gr., una tarjeta criptogrfica) y de caractersticas personales (v.gr., reconocimiento biomtrico).

l) Firma electrnica: Conforme a la Ley 59/2003, de 19 de diciembre, de firma electrnica, es el conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante.

m) Firma electrnica avanzada: Conforme a la Ley 59/2003, de 19 de diciembre, de firma electrnica, es la firma electrnica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que est vinculada al firmante de manera nica y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

n) Firma electrnica reconocida: Conforme a la Ley 59/2003, de 19 de diciembre, de firma electrnica, es la firma electrnica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creacin de firma. Ntese que, aunque puedan emplear la misma tecnologa, los actos de cifrar y de firmar electrnicamente son distintos. Ntese asimismo que la firma electrnica reconocida sirve tambin para garantizar la integridad de los datos firmados.

o) Funcin de administracin (ADMF, Administration Function): Funcin que controla el sistema de interceptacin legal del sujeto obligado. Entre otras tareas, recibe las rdenes de interceptacin legal y genera las instrucciones para que el sistema ejecute una interceptacin legal. Esta funcin impide el control del sistema de interceptacin legal del sujeto obligado por los agentes facultados.

p) Funcin de entrega (DF, Delivery Function): En sentido amplio, trmino que equivale a la funcin de mediacin. En sentido estricto, parte de la pasarela MF/DF responsable del envo del contenido de la comunicacin (CC) y la informacin correlativa a la interceptacin (IRI) al centro de recepcin de las interceptaciones. Por defecto se entender en sentido amplio.

q) Funcin de interceptacin interna (IIF, Internal Interception Function): Punto de la red o de un elemento de red donde se obtienen el contenido de la comunicacin (CC) y/o la informacin relativa a la interceptacin (IRI).

r) Funcin de mediacin (MF, Mediation Function): En sentido amplio, el mecanismo que transforma la informacin obtenida en la funcin de interceptacin interna (IIF) y la transfiere hasta la interfaz de traspaso (HI). Tambin recibe el nombre de pasarela MF/DF (MF/DF Gateway). En sentido estricto, la funcin que transforma los formatos de la informacin relativa a la interceptacin (IRI) y del contenido de la comunicacin (CC) de su formato en la interfaz de red interna (INI) al formato normalizado de la interfaz de traspaso (HI). En algunos casos esta transformacin puede no ser necesaria. Por defecto se entender en sentido amplio.

s) Identificador de interceptacin legal (LIID, Lawful Interception IDentifier): Es un cdigo que sirve para correlacionar las distintas informaciones que, transmitidas a travs de las interfaces HI, corresponden a un mismo sujeto a la interceptacin o a una misma identidad, entendida sta en los trminos del artculo 84 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por el Real Decreto 424/2005, de 15 de abril.

t) Informacin complementaria a la interceptacin: Es la informacin definida en los apartados 88.2, 88.3, y 89.2 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril.

u) Informacin relativa a la interceptacin (IRI, Intercept Related Information): Es la informacin definida en el artculo 88.1 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril.

v) Integridad: La propiedad de que la informacin no sea modificada o destruida sin autorizacin.

w) Interfaz de red interna (INI, Internal Network Interface): En sentido estricto, interfaz entre la funcin de interceptacin interna y la funcin de mediacin. En sentido amplio, sinnimo de interfaz interna. Por defecto se entender en sentido estricto.

x) Interfaz de traspaso (HI, Handover Interface): Interfaz fsica y lgica entre el dominio del sujeto obligado y el dominio del agente facultado. A travs de la HI el agente facultado solicita al sujeto obligado la ejecucin de medidas de interceptacin legal y ste entrega los resultados de la interceptacin al centro de recepcin de las interceptaciones. Esta interfaz se compone, a su vez, de tres interfaces distintas:

Interfaz de traspaso 1 (HI1): Interfaz para el intercambio de informacin de administracin entre el centro de recepcin de las interceptaciones del agente facultado y la Funcin de administracin (ADMF) del sujeto obligado. Se utiliza para intercambiar informacin diversa y poco normalizada que incluye desde las rdenes de interceptacin hasta la resolucin de incidencias tcnicas.

Interfaz de traspaso 2 (HI2): Interfaz para la entrega de la informacin asociada con la interceptacin (IRI) al centro de recepcin de las interceptaciones.

Interfaz de traspaso 3 (HI3): Interfaz para la entrega del contenido de la comunicacin (CC) al centro de recepcin de las interceptaciones.

Esta es una distincin lgica. En su realizacin, en ocasiones pueden compartir la interfaz fsica.

y) Interfaz interna (X): Cualquier interfaz del sistema de interceptacin legal del sujeto obligado excepto la interfaz de traspaso. Incluye las interfaces entre los elementos del sistema de interceptacin.

z) Interlocutor nico: Persona o grupo de personas perteneciente a cada uno de los sujetos obligados que ser el nico enlace vlido para los agentes facultados a los efectos de tratar asuntos relacionados con la interceptacin legal de las comunicaciones.

aa) Menor privilegio: Principio de seguridad que exige que se otorgue el menor nmero de facultades para el acceso y el uso de recursos e informacin que permita desempear aquellos cometidos para los que se est expresamente autorizado.

bb) Necesidad de conocer: Principio de seguridad que exige que slo se conozca, se tenga acceso o se posea aquella informacin o recursos que sean estrictamente necesarios para el desempeo de aquellos cometidos para los que se est expresamente autorizado.

cc) No repudio: La propiedad de poder probar que una accin o evento ha tenido lugar, de modo que tal accin o evento no pueda ser negado posteriormente.

dd) Operador pequeo: Aquel sujeto obligado, segn lo establecido en el artculo 85 del Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios, aprobado por el Real Decreto 424/2005, de 15 de abril, que adems cumple todos y cada uno de los siguientes requisitos, sin perjuicio de otros requisitos adicionales que se puedan establecer en las rdenes ministeriales relativas a las obligaciones especficas derivadas de la aplicacin de una concreta tecnologa de telecomunicaciones:

Tener red de comunicaciones electrnicas propia a travs de la cual se encaminen las comunicaciones de sus abonados.

Cumplir todos los requisitos para tener la clasificacin de microempresa de acuerdo con lo dispuesto en el ttulo I del anexo de la Recomendacin n. 2003/361/CE de la Comisin de 6 de mayo de 2003, sobre la definicin de microempresas, pequeas y medianas empresas (DOUE L 124, de 20 de mayo de 2003); o su eventual revisin conforme a lo dispuesto en el artculo 9 del anexo de la propia Recomendacin.

ee) Resultado de la interceptacin (result of interception): Informacin relativa a un servicio objetivo, incluyendo el contenido de la comunicacin (CC) y/o la informacin relativa a la interceptacin (IRI), que el sujeto obligado entrega al centro de recepcin de las interceptaciones.

ff) Separacin de tareas: Principio de seguridad que exige que los procesos se dividan en etapas asignadas a distintas personas de modo que no sea posible que una sola persona pueda subvertir el proceso.

gg) Servicio objetivo: Servicio de comunicaciones electrnicas que puede ser utilizado por un sujeto a la interceptacin. Puede haber ms de un servicio objetivo relacionado con el mismo sujeto a la interceptacin.

Análisis

  • Rango: Orden
  • Fecha de disposición: 28/01/2009
  • Fecha de publicación: 03/02/2009
  • Entrada en vigor: 4 de febrero de 2009.
Referencias posteriores

Criterio de ordenación:

  • SE MODIFICA los apartados 1.2, 4.3 y 5.1 del anexo, por Orden ITC/313/2010, de 12 de febrero (Ref. BOE-A-2010-2626).
  • CORRECCIN de errores en BOE num. 35 de 10 de febrero de 2009 (Ref. BOE-A-2009-2281).
Referencias anteriores
  • MODIFICA los apartados 1 y 15 de la Orden CTE/711/2002, de 26 de marzo (Ref. BOE-A-2002-6391).
  • DE CONFORMIDAD con el Reglamento aprobado por Real Decreto 424/2005, de 15 de abril (Ref. BOE-A-2005-6970).
Materias
  • Consumidores y usuarios
  • Formularios administrativos
  • Redes de telecomunicacin
  • Reglamentaciones tcnicas
  • Seguridad ciudadana
  • Seguridad industrial
  • Servicios de telecomunicacin
  • Telecomunicaciones
  • Telfonos

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid