Agencia Estatal Boletín Oficial del Estado
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, reconoce el derecho de aquellos a relacionarse con las administraciones públicas por medios electrónicos. Al mismo tiempo, impone a las administraciones públicas la obligación de utilizar las tecnologías de la información, asegurando la disponibilidad, el acceso, la integridad y la confidencialidad, entre otras garantías, en la gestión de sus competencias.
El Instituto Nacional de la Seguridad Social proyecta implantar un nuevo entorno electrónico de relación con los ciudadanos, con la finalidad de facilitar a los usuarios que lo deseen la utilización del canal telemático en sus relaciones con la entidad. Dicho entorno, ubicado en la sede electrónica de la Secretaría de Estado de la Seguridad Social, permitirá el acceso a los servicios, que estarán estructurados en atención a su naturaleza y las necesidades de seguridad asociadas.
En este sentido, el artículo 13.2 de la citada Ley 11/2007, de 22 de junio, prevé distintas formas de identificación y autenticación de los ciudadanos en sus relaciones electrónicas con las administraciones públicas, en concreto, los sistemas de firma electrónica incorporados al documento nacional de identidad, los sistemas de firma electrónica avanzada incorporados a certificados electrónicos reconocidos, y otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen por cada administración pública competente.
De otro lado, el artículo 11 del Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, prevé que la admisión por las administraciones públicas de otros sistemas de firma electrónica distintos del documento nacional de identidad y los certificados electrónicos reconocidos, requerirá la aprobación de los mismos por orden ministerial o resolución del titular del organismo público correspondiente, siendo este último el caso del Instituto Nacional de la Seguridad Social.
El Real Decreto 2583/1996, de 13 de diciembre, de estructura orgánica y funciones del Instituto Nacional de la Seguridad Social y de modificación parcial de la Tesorería General de la Seguridad Social, atribuye, en su artículo 5, a la Dirección General las competencias de planificación, dirección, control e inspección de las actividades del mismo para el cumplimiento de sus fines, así como la representación legal del organismo.
Por lo expuesto, previo informe del Consejo Superior de Administración Electrónica, dispongo:
1. Los ciudadanos podrán utilizar para relacionarse electrónicamente con el Instituto Nacional de la Seguridad Social, a través de los canales que se encuentren disponibles en cada momento, sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada, de los mencionados en el artículo 13.2.c) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, y en su normativa de desarrollo.
En particular, los ciudadanos podrán utilizar los sistemas que se aprueban en esta resolución para la realización de actuaciones y trámites y para el acceso a los servicios puestos a su disposición por el Instituto Nacional de la Seguridad Social a través de la sede electrónica de la Secretaría de Estado de la Seguridad Social.
2. En virtud del principio de proporcionalidad recogido en el artículo 4 de la Ley 11/2007, de 22 de junio, los mecanismos regulados en esta resolución constituyen un sistema integrado que se articula mediante la utilización de factores de identificación y autenticación acumulativos progresivamente más seguros, adecuados a la naturaleza y circunstancias de los trámites y actuaciones para los que se autorice la utilización de cada uno de ellos.
De esta forma, la identificación y autenticación de un usuario a través de un determinado sistema le posibilitará acceder a los servicios asociados a dicho nivel de seguridad y a los niveles inferiores.
3. Se aprueba la utilización por los ciudadanos de los siguientes sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada, cuya descripción y garantías específicas de funcionamiento se contienen en el anexo de esta resolución:
a) Sistema de firma con contraseña personal.
b) Sistema de firma con contraseña personal y código de un solo uso y validez temporal (OTP).
4. Cuando la actuación o trámite de que se trate exija garantizar la integridad y el no repudio, en los términos previstos en el artículo 16.2 de la Ley 11/2007, de 22 de junio, se habilitará un sistema de firma a través de contraseña personal, OTP y firma electrónica, basada en certificado electrónico reconocido residente en la Gerencia de Informática de la Seguridad Social.
Los datos de usuario y el teléfono contemplados en los sistemas de firma descritos en esta resolución podrán ser utilizados en las relaciones que el Instituto Nacional de la Seguridad Social establezca con los ciudadanos utilizando la vía telefónica tradicional o de voz.
El Instituto Nacional de la Seguridad Social, entidad gestora de la Seguridad Social a quien compete la gestión de las prestaciones del sistema público de la Seguridad Social, es el órgano responsable del funcionamiento de los sistemas de identificación y autenticación aprobados en esta resolución, conforme a los principios de seguridad, integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007, de 22 de junio.
La Gerencia de Informática de la Seguridad Social, servicio común de la Seguridad Social a quien compete la gestión tecnológica de la sede electrónica de la Seguridad Social, prestará el correspondiente apoyo técnico en atención a sus competencias y según lo previsto en la disposición adicional segunda del Real Decreto 343/2012, de 10 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Empleo y Seguridad Social.
En el tratamiento de los datos de carácter personal que resulte de la utilización de los sistemas de identificación y autenticación que se aprueban en esta resolución, se estará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y en su reglamento de desarrollo.
La presente resolución entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado». Asimismo, se publicará en la sede electrónica de la Secretaría de Estado de la Seguridad Social, donde se informará de las actuaciones en las que son admisibles los sistemas de identificación y autenticación que se aprueban.
Madrid, 4 de junio de 2014.–La Directora General del Instituto Nacional de la Seguridad Social, María Eugenia Martín Mendizábal.
1. Sistema de firma con contraseña personal
I. Descripción del sistema.
Los ciudadanos podrán acceder a los servicios electrónicos del Instituto Nacional de la Seguridad Social disponibles en la sede electrónica de la Secretaría de Estado de la Seguridad Social mediante la utilización de una contraseña personal asociada a su número de identidad (DNI o NIE).
Para ello, el ciudadano deberá comparecer personalmente ante un empleado público de las oficinas de atención al público del Instituto Nacional de la Seguridad Social, la Tesorería General de la Seguridad Social o el Instituto Social de la Marina, aportando su número de teléfono móvil.
En dicho acto el ciudadano, debidamente identificado, será informado de los términos y condiciones de uso de los servicios electrónicos. Aceptados dichos términos y condiciones de uso, se le hará entrega de un código de activación que le permitirá definir y activar su contraseña personal en la propia sede electrónica.
Para ello, introducirá su número de identidad y el código de activación. Verificados los datos introducidos el ciudadano recibirá, mediante mensaje de texto dirigido a su teléfono móvil, una clave de activación de un solo uso y vigencia temporal cuya introducción le permitirá crear su contraseña personal.
El código y la clave de activación se generan de forma automática en un entorno seguro, asociados de manera exclusiva al proceso de creación de la contraseña y al ciudadano afectado en cada caso.
El código de activación entregado al ciudadano se mantendrá operativo y permitirá la generación de una nueva contraseña en el caso de olvido de la contraseña activada. La obtención de un nuevo código de activación, en caso de pérdida del mismo, exigirá la comparecencia personal del interesado en una oficina de atención al público de la Seguridad Social.
La Gerencia de Informática de la Seguridad Social establecerá las siguientes condiciones para las contraseñas definidas por los ciudadanos y garantizará que las condiciones de almacenamiento y custodia de esta información cumplen las medidas de seguridad exigibles, recogidas en el anexo II, medida (op.acc.5), del Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, y sus guías de desarrollo para sistemas con nivel de seguridad alto: longitud mínima de 8 caracteres, posibilidad de poder introducir caracteres alfanuméricos y signos especiales y no ser igual a los tres 3 valores anteriores.
Mediante la utilización de la contraseña personal, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema.
El registro del número de teléfono móvil, la aceptación de los términos y condiciones de uso y la obtención del código de activación podrán también efectuarse electrónicamente, a través de la correspondiente transacción en la sede electrónica, siempre y cuando el usuario se identifique y autentique mediante la utilización de los sistemas de firma electrónica incorporados al documento nacional de identidad u otros sistemas de firma electrónica avanzada basados en certificado electrónico reconocido admitidos por las administraciones públicas.
El usuario podrá solicitar electrónicamente su baja en el sistema, accediendo con su número de identidad y contraseña y eligiendo en las opciones de usuario la de darse de baja en el sistema. Si el usuario confirma esta pantalla, se le enviará un OTP y, a su introducción, el sistema le dará de baja, revocando sus certificados.
La Gerencia de Informática de la Seguridad Social regulará los mecanismos para que los ciudadanos puedan modificar su contraseña personal.
II. Garantías de funcionamiento.
Conforme a los principios de seguridad y proporcionalidad, el sistema descrito garantiza adecuadamente su funcionamiento con arreglo a los criterios de integridad, confidencialidad y autenticidad previstos en la Ley 11/2007, de 22 de junio, y en su normativa de desarrollo.
El código y la clave de activación se generan en un entorno seguro, de forma automática y sin intervenciones manuales.
La clave de activación se facilita al ciudadano mediante mensaje de texto dirigido a su teléfono móvil utilizando, por tanto, para la creación de la contraseña, un sistema de doble autenticación basado además en un registro presencial previo.
La contraseña es definida y activada por el propio usuario, se almacena en condiciones de privacidad y sólo puede ser modificada o eliminada por el usuario.
2. Sistema de firma con contraseña personal y código de un solo uso y validez temporal (OTP)
I. Descripción del sistema.
Este sistema de firma incorpora a las condiciones y garantías del regulado en el apartado anterior un segundo factor de autenticación mediante el envío al teléfono móvil del ciudadano de un código de un solo uso y validez temporal.
Por tanto, el ciudadano debe haber sido identificado mediante comparecencia personal en una oficina de atención al público de la Seguridad Social en la que habrá registrado su número de teléfono móvil, debe haber definido y activado una contraseña personal después de obtener un código y una clave de activación, esta segunda mediante mensaje a su teléfono y, por último, debe introducir este nuevo OTP en el momento de requerir el servicio electrónico de que se trate. El OTP pierde su vigencia por su utilización o por el transcurso de un periodo determinado de tiempo.
Mediante la utilización de la contraseña personal y el OTP, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema.
II. Garantías de funcionamiento.
Conforme a los principios de seguridad y proporcionalidad, el sistema descrito garantiza adecuadamente su funcionamiento con arreglo a los criterios de integridad, confidencialidad y autenticidad previstos en la Ley 11/2007, de 22 de junio, y en su normativa de desarrollo.
Se añaden a las garantías de funcionamiento recogidas en el apartado anterior las que derivan de la utilización del OTP como factor adicional de autenticación.
La OTP se genera en un entorno seguro, de forma automática y sin intervenciones manuales, sólo puede ser obtenida por un usuario titular de una contraseña válida y es conocida exclusivamente por ese usuario concreto.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
