1. INTRODUCCIÓN

1.1. PRESENTACIÓN

La empresa Softy-Factory Solutions S.L. nace con el objetivo de facilitar las relaciones electrónicas entre las personas, sean físicas o jurídicas. Para ello, ha desarrollado una plataforma, denominada SOFTYSIGN, donde se consigue la creación de firmas electrónicas y su verificación y que posibilita gestionar de forma electrónica la firma y formalización de acuerdos comerciales, contratos electrónicos, autorizaciones, etc.

La presente Declaración de Prácticas del servicio electrónico de confianza detalla las normas y condiciones generales que presta SOFTYSIGN en relación con el servicio de creación y verificación de firmas electrónicas, las condiciones aplicables para la identificación y autenticación del firmante, las medidas de seguridad organizativas y técnicas, la integridad de las transacciones, la exactitud de la fecha y hora de la firma y el  almacenamiento y custodia de todas las evidencias generadas en proceso.  

Así pues, la presente Declaración de Prácticas constituye el compendio general de normas aplicables a la actividad de SOFTY-FACTORY SOLUTIONS S.L. en su condición de Prestador de Servicios de Confianza.

Esta Declaración de Prácticas está dirigida a todas las personas físicas y jurídicas solicitantes, subscriptores y en general usuarios de los servicios de creación y verificación de firmas electrónicas. El servicio SOFTYSIGN es un servicio de confianza que se presta al público y tiene efectos jurídicos en terceros, por lo que debe cumplir las obligaciones de conformidad con lo establecido en la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza y el Reglamento 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. (Reglamento eIDAS).

El servicio de creación de firmas de SOFTYSIGN es considerado un servicio electrónico de confianza, tal y como se encuentra definido en el artículo 3, apartado 16 del Reglamento eIDAS.

Softy-Factory Solutions S.L. sigue las indicaciones de los estándares del Instituto Europeo de Estándares de Telecomunicaciones -ETSI- guiándose para ello por las especificaciones técnicas de las normas EN 319 401 (requerimientos generales para proveedores de servicios de confianza), ETSI TS  119 102-1 “Electronic Signatures and Infrastructures (ESI); Procedures for Creation and Validation of AdES Digital Signatures; Part 1: Creation and Validation”, y se ha redactado conforme a la RFC 3647 “Certificate Policy and Certification Practices Framework” propuesto por Network Working Group para este tipo de documentos.

1.2. DATOS DE IDENTIFICACIÓN Y CONTACTO

• Razón Social: SOFTY-FACTORY SOLUTIONS, S.L.
• CIF: B-35475748
• Inscripción: Registro Mercantil de Las Palmas en el Tomo 1328, Folio 199 y Hoja GC-17.481
• Domicilio social: Prolongación Calle Sao Paulo s/n, Edificio Impocan. Las Palmas de Gran Canaria, Islas Canarias
• Denominación Comercial: SOFTYSIGN
• Teléfono de contacto: 902 998 050/828 906 024
• Correo-e: info@softyfactorysolutions.com
• Web: https://www.SoftySign.com/

1.3 NORMATIVA, ESTÁNDARES Y PRÁCTICAS APLICABLES

Las normas, estándares y guías o mejores prácticas de aplicación descrito en esta Declaración de Prácticas del servicio electrónico de confianza son las siguientes:

1. Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE
2. Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
3. Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015 sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
4. Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
5. Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
6. Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
7. ETSI EN 319 401: “Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers”.
8. ETSI EN 319 411 “Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates”
9. ETSI EN 319 102-1 “Electronic Signatures and Infrastructures (ESI); Procedures for Creation and Validation of AdES Digital Signatures; Part1: Creation and Validation”
10. ISO/IEC 29115: “Information Technology - Security techniques - Entity authentication assurance framework
11. ISO/IEC 27001:2014. Information technology. Security techniques. Information security management systems. Requirements
12. ISO/IEC 27002:2013. Information technology. Security techniques. Code of practice for information security controls
13. NIST SP 800-63B “Digital Identity Guidelines Authentication an Lifecycle Management”.
14. RFC 6238: TOTP: Time-Based One-Time Password Algorithm,
15. RFC 4226: HOTP: An HMAC-Based One-Time Password Algorithm y
16. RFC 4086 Randomness Requirements for Security

2. DEFINICIONES Y ACRÓNIMOS

3.1. DEFINICIONES

Para una mayor comprensión del contenido del presente documento se facilita, por orden alfabético, una breve definición de los siguientes términos:

• Usuario: Persona física que utiliza la plataforma, previamente identificado mediante sus claves de autenticación.
• API: Es un conjunto de definiciones y protocolos que se utiliza para desarrollar e integrar el software de diversas aplicaciones.
• Autenticación: Es el proceso electrónico que posibilita la identificación de una persona física o jurídica, o del origen y la integridad de datos en formato electrónico.
• Cambio sustancial en la DPC: Por cambio sustancial en la DPC se hace referencia a cualquier modificación que afecte a los derechos y obligaciones del conjunto de intervinientes o a la naturaleza jurídica de los servicios a los que la DPC se refiere.
• Cifrado: Operación mediante la cual un mensaje en claro se transforma en un mensaje ilegible.
• Cliente: Persona física o jurídica que contrata los servicios de SOFTYSIGN.
• Criptografía: Ciencia que estudia la alteración del texto original con el objetivo de que el significado del mensaje solo pueda ser comprendido por su destinatario.
• Evidencias: Hace referencia a todos los datos y elementos acreditativos generados durante el proceso de firma electrónica, que permiten probar que un evento ha ocurrido en un momento determinado.
• Firma múltiple: Capacidad de poder firmar un documento por varios firmantes.
• Firmante: Persona física que firma el documento enviado por el usuario. Deberá ser siempre mayor de edad y con capacidad suficiente para prestar consentimiento.
• Hash: Aplicación de algoritmos de cifrado a un conjunto de datos, dando como resultado un resumen de esos datos y que aseguran que los datos no han sido alterados, ya que sólo se podría volver a generar a partir del mismo conjunto de datos originales
• Identificación: Proceso mediante el cual una persona acredita su identidad.
• Identificación electrónica: el proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona jurídica.
• Integridad del contenido: La integridad del contenido se refiere a todo documento o conjunto de datos que no han sido objeto de cambios o alteraciones con posterioridad a su firma.
• OTP: One Time Password: Código de validación de un sólo uso y caducidad en el tiempo muy reducida que permite iniciar el proceso de creación de la firma.
• Prestador de Servicios de Certificación (o PSC): la “persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica
• Prestador de Servicios de Confianza: una persona física o jurídica que presta uno o más servicios de confianza, bien como prestador cualificado o como prestador no cualificado de servicios de confianza.
• Sello de tiempo electrónico: datos en formato electrónico que vinculan otros datos en formato electrónico con un instante concreto, aportando la prueba de que estos últimos datos existían en ese instante;
• Transacciones: Firmas de documentos realizadas en SOFTYSIGN
• Usuarios: Hace referencia a toda persona física o jurídica que hace uso de los servicios proporcionados por SOFTYSIGN.
• Validación: Procedimiento a través del cual el Prestador de Servicios de Confianza verifica la validez de la firma electrónica empleada.

3.2. ACRÓNIMOS

• AEPD: Agencia Española de Protección de Protección de Datos
• DPC: Declaración de Prácticas del servicio de confianza
• eIDAS: Reglamento 910/2014 del Parlamento y del Consejo, de 23 de julio de 2014, de identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/937CE
• LSEC: Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
• LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales,
• LSSI: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
• PSC: Prestador de Servicios de Confianza
• SGSI: Sistema de Gestión de Seguridad de la Información.
• TSP: Trust Service Provider. Prestador de Servicios de Confianza

3. REQUERIMIENTOS DE CONFORMIDAD

SOFTYSIGN declara que la presente Declaración de Prácticas es aplicable al Servicio de creación de firma electrónica, cumpliendo los requisitos establecidos por el Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (eIDAS).

SOFTYSIGN garantiza, en línea con su declaración de aplicabilidad y con los requisitos legales que cumple con:

• su política de seguridad de la información, que está alineada con la regulación jurídica aplicable;
• los requerimientos organizativos definidos en el punto 9.;
• su obligación de facilitar la información requerida, cuando sea necesaria, a sus socios comerciales, auditores y autoridades reguladoras, tal y como se especifica en los puntos 8 y 9 del presente documento
• ha implementado los controles que cumplen con los requerimientos especificados por la norma ETSI EN 319 401, como proveedor de servicios de confianza.

4. PARTES INTERVINIENTES EN LOS SERVICIOS DE SOFTYSIGN

1. PRESTADOR DEL SERVICIO DE CREACION DE FIRMAS

El Prestador del Servicio de Confianza de creación y verificación de firmas electrónicas es SOFTY-FACTORY SOLUTIONS S.L.

2.  AUTORIDAD DE REGISTRO

Son aquellas personas físicas y jurídicas a las que SOFTYSIGN encomienda la función de identificación y comprobación de las circunstancias personales de los solicitantes del servicio.

3. CLIENTE DE SOFTYSIGN

Son las personas físicas o jurídicas que haya contratado un plan de SOFTYSIGN y que se encargarán de la identificación y comprobación de las circunstancias personales de los firmantes.

Deberán tener en cuenta tanto las Condiciones Generales de Contratación o los Términos y Condiciones del Servicio como las limitaciones establecidas para dicho servicio.

4. FIRMANTE

El firmante es la persona que realiza la firma.

El programa SOFTYSIGN se ha diseñado para permitir realizar firmas electrónicas simples y avanzadas. El programa funciona mediante una API REST que se integra en la interfaz de uso o a través de otros programas de terceros. El programa en ambos casos se trabaja en los servidores AWS de Amazon.

5.  TERCERAS PARTES

Son Terceras Partes aquellas partes que confían en las firmas electrónicas realizadas por el firmante a través del programa SOFTYSIGN, así como en las actas generadas por SOFTYSIGN con la trazabilidad de la firma.

Deberán tener en cuenta tanto las Condiciones Generales de Contratación o los Términos y Condiciones del Servicio, así como las limitaciones establecidas para dicho servicio.

6.   OTROS PRESTADORES DE SERVICIOS

SOFTYSIGN utiliza los servicios de certificación de otros prestadores de servicios de confianza cualificados. A fecha de publicación de la presente DPC son los siguientes

• FNMT-CERES: Prestador de Servicios de Certificación que emite el Sello Electrónico de Entidad a SOFTYSIGN-SOFTY FACTORY SOLUTIONS S.L., que se incorpora a los documentos firmados en la plataforma SOFTYSIGN.

• FNMT-CERES: es también Prestador de Servicios de Sellado de Tiempo Cualificados, y como tal emite los sellos de tiempo que se incorporan a los documentos firmados en la plataforma SOFTYSIGN.

4. DESCRIPCIÓN DEL SERVICIO

SOFTYSIGN, como prestador de servicios de confianza, ofrece un servicio de firma electrónica, mediante la utilización de procedimientos y tecnologías capaces de confirmar la transacción realizada y la integridad de la misma.

Los datos que sirven para identificar al firmante se obtienen a partir de la información presentada por el cliente de SOFTYSIGN. El cliente de SOFTYSIGN crea el contacto del firmante, incluyendo los siguientes datos: nombre, apellidos, documento de identidad, dirección postal, teléfono móvil y correo electrónico.

El creador del documento genera una solicitud de firma en la plataforma a un contacto previamente definido en la misma conforme indicado anteriormente.

La persona que debe firmar dicho documento recibe una notificación por mail donde se le informa que tiene un documento pendiente de firma en una URL determinada.

Al acceder a la plataforma, el firmante puede ver los documentos pendientes de firma. Al pulsar en “Firmar documento” se envía un SMS que contiene un OTP (One Time Password) o contraseña de un solo uso, que el firmante deberá introducir en la Plataforma de SOFTYSIGN para firmar el documento. El método utilizado para generar los códigos aleatoriamente, y que son remitidos al firmante, permite garantizar un nivel de pseudo-aleatoriedad suficientemente seguros, conforme a los criterios establecidos en la norma RFC 4086. El código de identificación generado es configurable, así como su tiempo de exposición. El administrador del sistema puede decidir tanto la longitud como el número de caracteres, siendo el mínimo 6 dígitos y un tiempo máximo de vigencia de 10 minutos, cumpliendo lo recomendado por la RFC 6238.

Una vez se ha firmado el documento, la plataforma comunica que ha sido firmado correctamente, y que el firmante recibirá un correo electrónico con dicho documento firmado.

El documento firmado, una vez incrustados los metadatos, se firma electrónicamente con un certificado de la propia plataforma. Los metadatos asociados al documento se pueden observar en las propiedades del documento, como son:

• Teléfono
• PIN
• Orden de firma
• Código de empresa
• ID del documento
• Modelo del navegador
• ID del firmante.
• Geolocalización, si así se configura

Se calcula el hash con SHA2 y se almacena el hash del documento final firmado. Al firmar el documento final con un certificado cualificado de sello electrónico de entidad, la plataforma de SoftySign garantiza la integridad del documento firmado.

Inmediatamente, se incorpora al documento un sello de tiempo cualificado, certificando que el documento existe y ha sido firmado en una fecha y hora determinada.

Por lo tanto, SOFTYSIGN protege la integridad del documento firmado y sus metadatos asociados, quedando el documento debidamente conservado al menos hasta que prescriban las posibles acciones legales, mediante una firma digital soportada por un certificado cualificado generada por un Prestador de Servicios de Certificación Cualificado, e incorporando un sello de tiempo cualificado, de tal forma que se excluye la posibilidad de que los datos puedan cambiar de forma indetectable.

5.  REGISTRO DE EVENTOS

SOFTYSIGN registrará los eventos producidos en el servicio, y almacenará al menos los siguientes:

• datos de autenticación del cliente para acceder a la plataforma  
• registros de operación, verificación de identidad del firmante;
• Envio de correo al firmante para acceso al documento y firma
• una referencia o una recopilación completa del documento presentado;
• Introducción del OTP para firma por el firmante
• Documento firmado mediante OTP, y con la incorporación del sello electrónico de la plataforma y el token de sello de tiempo correspondientes a la fecha y hora de la firma.

El registro de los eventos se realiza mediante logs de auditoría que se almacenan en la plataforma de SOFTYSIGN. Las evidencias que se han producido por el servicio se incorporan a un documento firmado con un sello electrónico de la plataforma y un sello de tiempo con la fecha y hora de la firma. Dicho documento, quedará a disposición de los usuarios y será enviado al destinatario, de tal forma que queda garantizada la disponibilidad, confidencialidad e integridad de los registros. Estas evidencias se custodian en la plataforma durante mínimo 5 años desde la terminación del servicio.

SOFTYSIGN revisa los registros de auditoría de forma periódica, verificando su normal actividad y que no han sido manipulados. Se utilizan controles de acceso físico y lógico para los ficheros de registro, quedando protegidos de accesos, modificaciones o eliminaciones no autorizadas.

6. OBLIGACIONES Y RESPONSABILIDADES

7.1.  OBLIGACIONES DE SOFTYSIGN

SOFTYSIGN, como Prestador del Servicio de Confianza se compromete a cumplir una serie de obligaciones detalladas en esta DPC, en el marco del eIDAS, sus disposiciones de desarrollo y otras legislaciones que sean de aplicación. En concreto, se obliga a:

• Publicar información de sus servicios veraz y acorde con la normativa de aplicación.
• Respetar lo dispuesto en esta Declaración de Prácticas de Certificación.
• Prestar el servicio de firma electrónica de forma imparcial y objetiva.
• No almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.
• Garantizar la adecuación de sus procesos y servicios a los estándares a los que estos se adhieren.
• Informar a los usuarios del servicio de las características de la prestación del servicio, las obligaciones que asume y los límites de responsabilidad.
• Proteger de manera fiable todos los datos de sus clientes, así como los registros de actividad y auditoria con los medios que para ello considere más adecuados y durante el periodo de tiempo contemplado según la naturaleza de los datos registrados.
• Procurar la prestación del servicio de forma diligente e ininterrumpida
• Comunicar a sus clientes con la suficiente antelación la no disponibilidad del sistema en caso de realizar procesos de modificación, mejora o mantenimiento que impliquen una paralización del servicio.
• Notificar con la mayor prontitud a las partes implicadas siempre que se detecte incidencia alguna en el sistema con afectación para las mismas.
• Garantizar la integridad, confidencialidad y disponibilidad del documento firmado dentro de la plataforma.
• Establecer mecanismos de custodia de la documentación firmada, quedando protegidas de cualquier manipulación no autorizada, falsificación, pérdida, o destrucción.
• Proteger las claves privadas de los certificados cualificados utilizados en el servicio.
• Publicar las versiones más recientes de este documento y otras definiciones de prácticas de otros servicios de manera previa a la aplicación de las condiciones que en ellos se contemple.
•  Disponer de un canal de comunicación con clientes y terceros para solicitudes, consultas, quejas y reclamaciones.
• Atender las solicitudes, consultas, quejas y reclamaciones de clientes y terceros en un plazo razonable
• Comunicar a la Autoridad Pública competente aquella información confidencial o que contenga datos de carácter personal cuando haya sido requerida por la misma y en los supuestos previstos legalmente.
• Notificar a la Autoridad de Supervisión y Control del Gobierno de España cualquier modificación en la presente Declaración de Prácticas Certificación.
• Notificar a la Autoridad de Control y Supervisión competente en servicios electrónicos de confianza, y en su caso a la Agencia Española de Protección de Datos, cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.

7.2. OBLIGACIONES DE LOS USUARIOS DEL SERVICIO

Los usuarios del servicio de firma electrónica de SOFTYSIGN tendrán las obligaciones siguientes:

• Conocer y respetar lo dispuesto en la presente DPC.
• Conocer y respetar lo dispuesto en el contrato de prestación del servicio.
• Comunicar al Prestador del Servicio cualquier incidente de seguridad en el momento que sea identificado.
• Custodiar diligentemente los datos de acceso al servicio
• El cliente deberá proporcionar a la plataforma SOFTYSIGN los datos de los destinatarios sin errores y actualizados.
• Verificar y validar las firmas y sellos electrónicos que se han incorporado en los documentos.
• Utilizar los servicios que SOFTYSIGN pone a su disposición de forma diligente y exclusivamente a efectos de desarrollo del servicio, y abstenerse de realizar usos no permitidos, no legales o que perjudiquen su normal funcionamiento.

7.3 RESPONSABILIDADES

SOFTYSIGN como Prestador de Servicios de Confianza se encuentra sujeto al régimen de responsabilidad recogido en el artículo 13 del Reglamento eIDAS por lo que asumirá las responsabilidades por los perjuicios causados de forma deliberada o por negligencia a cualquier persona física o jurídica en los términos previstos en la legislación vigente.

LIMITACIONES DE RESPONSABILIDAD

No obstante, SOFTYSIGN no será responsable de los perjuicios producidos por la utilización de sus servicios más allá de las limitaciones siguientes:

• SOFTYSIGN queda eximido de responsabilidad por los daños y perjuicios ocasionados en caso de fuerza mayor, caso fortuito o imprevisibles o que, siendo previsibles no se hayan podido evitar.
• SOFTYSIGN no será  responsable de los actos u omisiones realizados por el cliente o por el firmante, siendo éste quien asumirá todos los daños y perjuicios, directos e indirectos, que se pudieren ocasionar a cualquier persona, propiedad, empresa, servicio público o privado, concretamente por las pérdidas de beneficios, pérdida de información y datos, o los correspondientes daños, como consecuencia de los actos, omisiones o negligencias del Cliente o firmante, así como de terceros a él ligados, por uso inadecuado, indebido o fraudulento, siendo de exclusivo riesgo del Cliente o del firmante
• SOFTYSIGN no será responsable si el cliente no proporción información veraz, completa y exacta del firmante, par la prestación del servicio de firma electrónica.
• SOFTYSIGN no será responsable por el contenido de los documentos enviados para la firma.
• SOFTYSIGN no responde por la negligencia en la confidencialidad y conservación de los datos de acceso al servicio por parte de los usuarios del mismo.
• SOFTYSIGN tampoco será responsable por los daños y perjuicios si el firmante actúa de forma negligente.

7. TERMINACIÓN DEL SERVICIO

En caso de terminación del servicio, SOFTYSIGN realizará las siguientes acciones:  

• Se informará, a través de una publicación en la página web del servicio, con una antelación mínima de 2 meses a los usuarios, clientes y aquellas personas físicas y jurídicas con las que SOFTYSIGN mantenga una relación. Entre ellas se encuentran los clientes, los proveedores de servicios de confianza, las autoridades de supervisión y control u otras autoridades relevantes.
• Se notificará al Organismo de Supervisión del Gobierno de España tanto el cese de la actividad como todas las circunstancias relacionadas con el cese, entregando y registrando un escrito a través de la Sede Electrónica de dicho Organismo.
• SOFTYSIGN mantendrá disponible su clave pública a las partes de confianza durante un período de tiempo razonable, cumpliendo con sus obligaciones para que esto se cumpla.

8. CONTROLES DE SEGURIDAD

9.1. SEDE E INSTALACIONES Y MEDIDAS DE SEGURIDAD FÍSICAS Y AMBIENTALES

SOFTYSIGN tiene su sede principal en Prolongación Calle Sao Paulo s/n, Edificio Impocan. Las Palmas de Gran Canaria, Islas Canarias

Los controles de seguridad físicos de las instalaciones de SOFTYSIGN están preparados con sistemas antirrobos y se trabaja con 3 líneas de fibra en paralelo, con la finalidad de que, en el caso de que falle alguna de las comunicaciones, se pueda seguir la conexión con el resto. Las instalaciones cuentan con una infraestructura sólida, doble puerta de seguridad, aire acondicionado y disponen de medida de protección frente a posibles incendios e inundaciones. En la entidad SOFTY-FACTORY SOLUTIONS está instalada la posibilidad del teletrabajo.

Los equipos de trabajo son asignados a cada uno de los trabajadores y están sometidos a labores de mantenimiento. Los trabajadores deben asegurarse de que los equipos no queden desatendidos sin la debida protección. Asimismo, está terminantemente prohibido que se usen los equipos de trabajo para fines personales. En la entidad SOFTY-FACTORY SOLUTIONS, S.L. se aplica la política de “trabajo despejado y pantalla limpia”, los ordenadores están protegidos con bloqueos de pantalla. En los casos de teletrabajo, se tomarán las medidas necesarias para que no se tenga acceso a información confidencial.

En las instalaciones de SOFTY se realizan fundamentalmente tareas de creación, desarrollo y atención al cliente, puesto que el almacenamiento se realiza en los servidores de AMAZON.

9.2 SEGURIDAD LÓGICA, CONTROLES DE ACCESO

Con el fin de controlar al máximo los accesos al código fuente y posibles manipulaciones sobre el mismo, trabajamos con un programa de control de versiones y con acceso de seguridad restringidos a través de roles que garantizan que los accesos al conjunto de sistemas son únicamente realizados por personal autorizado. Esto se traduce en que únicamente pueden acceder al código fuente los desarrolladores vinculados a ese sistema de roles y que sólo pueden acceder a sus ramas y a la rama principal, siendo el sistema de producción una rama no principal que asume las actualizaciones de esta última sólo cuando el CEO ha dado el visto bueno para la subida.

9.3 CONTROLES CONTRA EL CODIGO MALICIOSO

De igual manera que en el punto anterior, y no habiendo interacción entre usuario final y sistemas de manera directa, el código malicioso sólo podría afectar a los sistemas si fuera incorporado a través del control de versiones, cosa poco probable dado el sistema de seguridad de roles asumido y la forma en la que se crean y suprimen las máquinas de servicio. En cualquier caso, si algún malware pudiera infectar las instancias en producción, éstas se destruirían para dar paso a una nueva remesa de máquinas restablecidas en un tiempo no superior a los 10 minutos desde la detección. Tras este tiempo, y dada la naturaleza del propio malware, se identificarían los improbables daños, siguiendo en todo momento el protocolo de seguridad de SOFTYSIGN.

9.4 COPIAS DE RESPALDO Y PROCEDIMIENTO DE RECUPERACIÓN

Diariamente se realizan copias de seguridad en AWS Amazon redundadas, esto es, se guardan en 2 o más ubicaciones independientes para garantizar su recuperación en caso de fallo del sistema.

9.5 CONTROLES DE VERIFICACIÓN Y AUDITORÍAS

Se realizan auditorías periódicas, tanto internas como externas, para controlar y comprobar el cumplimiento de las normas de aplicación. El proceso terminará con la elaboración de un Informe de Auditoría en el que se recogen las acciones correctivas y/ o preventivas necesarias.

Los aspectos cubiertos por una auditoria incluirán, al menos:

• Política de seguridad.
• Seguridad física de las instalaciones del servicio auditado.
• Seguridad lógica de los sistemas y servicios de SOFTYSIGN
• Evaluación tecnológica de los componentes del servicio.
• Administración de los servicios, así como seguridad en la misma.
• La presente DPC y políticas de servicios vigentes.
• Cumplimiento de las exigencias legales aplicables

9.6. FALLOS DEL SISTEMA. POLÍTICAS

9.6.1. Tipología de fallo:

Fallo en la solicitud de la firma. Dado la especial atención que desde desarrollo se le ha dado a la fiabilidad del sistema, los fallos en el proceso de firma están claramente identificados y gestionados por el propio API-REST, dando en cada momento información al usuario acerca del estado de la firma. Así bien, ya sea por aplicaciones terceras como por nuestra propia interfaz, están identificados los siguientes tipos de fallo.

1. Error 400: Error causado por una petición incorrecta. Falta algún dato o es erróneo. Este error queda reflejado en la respuesta del propio API para el desarrollador externo o directamente al usuario a través de un mensaje de error en el interfaz de SOFTYSIGN. El proceso no continúa.

2. Error 401: Error de autorización. El sistema no puede validar la conexión con el sistema de solicitud de firmas y devuelve este error que queda reflejado en la respuesta del propio API para el desarrollador externo o directamente al usuario a través de un mensaje de error en el interfaz de SOFTYSIGN. El proceso no continúa.

Fallo en el proceso de firma. Igualmente, y dado que el proceso de firma se realiza siempre en una interfaz propia de SOFTYSIGN (independientemente de si se usa el API-REST por parte del interfaz o de terceros), si existe algún problema en el momento de procesar la firma, aparecerá como un mensaje en la propia pantalla.

Fallo posterior al momento de la firma. Si existiera un fallo posterior en el momento de la firma, el sistema envía a un proceso de comunicación al cliente el fallo en cuestión, informando de que la firma no ha podido concluirse. Al usar colas de trabajo asíncronas, este error sólo puede heredarse de un error fatal por parte de AWS, y en ese caso, los sistemas de monitorización envían aviso.

9.6.2. Acciones frente a fallos:

Independientemente de lo anterior, si se detecta un funcionamiento anómalo del sistema, el protocolo a seguir es el siguiente:

1. Suspensión inmediata del servicio afectado hasta la resolución de dicha anomalía
2. Comunicación inmediata a los clientes afectados en los documentos que pudieran haber sido alterados, explicando la naturaleza del error y los procedimientos para su subsanación.
3. En caso de fuga de información personal, comunicación a la Agencia de Protección de Datos donde se informará con el mayor detalle posible de las incidencias ocurridas en un plazo máximo de 72 horas conforme las exigencias legales establecidas.
4. Notificación al Órgano de Supervisión competente en servicios electrónicos de confianza de cualquier violación de seguridad o pérdida de integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.

7.  PLAN DE CONTINGENCIA

SOFTYSIGN, a través de su Procedimiento de Continuidad de negocio protege los procesos críticos de los efectos derivados de fallos importantes o catastróficos de los sistemas de información, así como garantizar su oportuna reanudación. En ellos se detallan:

• Tipos de contingencias que pueden ocurrir y su nivel de gravedad.
• Medidas preventivas y reactivas.
• Procedimiento a seguir en la detección, tramitación, restauración y recuperación ante las posibles contingencias.
• Procedimiento de reevaluación tanto de las contingencias sufridas como del procedimiento seguido.

Aunque el sistema de creación de copias de seguridad independientes permite en la mayoría de los supuestos la continuidad del servicio, no obstante, ante casos graves que pudieran afectar a la seguridad general del sistema, los servicios se suspenderán temporalmente, notificando a la mayor brevedad posible a los usuarios este extremo y, si fuera posible su estimación, la duración aproximada de la suspensión. Del mismo modo, se notificará a los usuarios su reanudación.

9. CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS PERSONALES

10.1 DEBER DE CONFIDENCIALIDAD

En general, existe el deber de confidencialidad respecto a la información que los empleados de SOFTYSIGN conozcan por razón de su puesto de trabajo. La información considerada como confidencial facilitada a SOFTYSIGN no será en ningún caso divulgada a terceros salvo que se encuentre amparada en los supuestos de requerimiento de colaboración con las instituciones competentes.

Se considera información del tipo “confidencial” toda la información de SOFTYSIGN que no se haya declarado expresamente como pública.

Se considera información pública, entre otros, los siguientes documentos:

• Declaración de Prácticas del Servicio Electrónico de Confianza de Creación y Verificación de firmas electrónicas.
• Condiciones Generales de Contratación o “Términos y Condiciones” del Servicio.
• Toda aquella información que sea considerada como “Pública”.

10.2 PROTECCIÓN DE LA INFORMACIÓN PERSONAL

De acuerdo con  el Reglamento (UE) 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales  y a la libre circulación de estos (en adelante, RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía en los Derechos Digitales (en adelante, LOPDGDD), SOFTYSIGN realiza un tratamiento de datos de carácter personal ajustado a las obligaciones recogidas en la normativa vigente de protección de datos de carácter personal de conformidad con su Política de Privacidad.

En concreto, los datos serán tratados por SOFTY FACTORY SOLUTIONS, S.L., con NIF B-35475748 y domicilio social en Prolongación Calle Sao Paulo s/n, Las Palmas de Gran Canaria, Islas Canarias.

SOFTYSIGN tratará los datos personales relativos a sus Clientes  con la finalidad de  formalizar y poder prestar el servicio solicitado en los términos establecidos en la normativa vigente y, en relación con el tratamiento de los datos de los usuarios que utilicen el Servicio de Validación de firmas, SOFTYSIGN actuará como encargado del tratamiento en el marco de la prestación de los servicios, entre los que se incluye, la conservación de la documentación generada en torno a la creación y validación de firmas electrónicas durante la vigencia del contrato y, posteriormente, durante el tiempo que sea legalmente necesario.

Por su parte, el Cliente deberá garantizar la obtención del consentimiento de los Usuarios de forma expresa, libre e inequívoca en el momento de validación de la firma del documento poniendo a su disposición, para ello, los medios que resulten necesarios en cumplimiento de la citada obligación.

SOFTYSIGN asume las medidas de índole técnica, organizativa y de seguridad que resulten necesarias para garantizar la confidencialidad e integridad de la información de acuerdo con lo establecido en  la normativa arriba referenciada.

En concreto, se compromete a garantizar la aplicación de medidas técnicas y organizativas adecuadas para que el tratamiento cumpla con un nivel de seguridad adecuado al riesgo, la defensa de los derechos de los titulares de los datos, teniendo en cuenta las técnicas más avanzadas, los costes de aplicación y la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, para los derechos y libertades de las personas físicas, pudiendo incluir, entre otras medidas:

1. La seudonimización y el cifrado de los datos personales;
2. La capacidad de asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y de los servicios de tratamiento;
3. La capacidad de restablecer la disponibilidad y el acceso a los datos personales de forma oportuna en el caso de un incidente físico o técnico;
4. Un proceso para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas para garantir la seguridad del tratamiento.

SOFTYSIGN deberá tener en cuenta, concretamente, los riesgos presentados por el tratamiento, en particular debido a la destrucción, pérdida y modificación accidentales o ilícitas, y la divulgación o al acceso no autorizados, de datos personales transmitidos, conservados o sujetos a cualquier otro tipo de tratamiento.

Con respecto a las medidas concretas para el cumplimiento del RGPD y LOPDGDD, SOFTYSIGN llevará a cabo las siguientes medidas:

• Asegurará que las personas autorizadas a tratar los datos personales están sujetas a las obligaciones de confidencialidad respecto de la información que trata como consecuencia del servicio.

• Asistirá al cliente en caso de necesitar colaboración en relación con las solicitudes de ejercicio de derechos de los titulares de los datos.

• Pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de sus obligaciones legales, contribuyendo también a las auditorías e inspecciones llevadas a cabo por el responsable del tratamiento o auditor que opere bajo su responsabilidad.

• Cooperará con la Agencia Española de Protección de Datos en el caso de solicitarle información en relación con el cumplimiento de sus obligaciones.

• Conservará la documentación e información relativa al servicio durante el tiempo que dure el contrato con el Cliente y, posteriormente los bloqueará durante el tiempo legalmente establecido para responder ante posibles reclamaciones judiciales.

• Comunicará al Cliente la existencia de posibles violaciones de los datos personales en el plazo máximo de 72 horas desde que tuvo conocimiento de las mismas incluyendo la información mínima exigible por nuestra normativa.

• Asistirá al cliente en el caso de que lo requiera en el marco de una valoración de impacto sobre la protección de datos personales o consulta  previa a la Autoridad de Control.

Por su parte, el usuario que facilite sus datos responderá, en cualquier caso, de la veracidad de los datos facilitados, reservándose SOFTYSIGN el derecho a excluir de los servicios registrados a todo usuario que haya facilitado datos falsos, sin perjuicio de las demás acciones legales.

El Cliente podrá ejercer sus derechos de acceso, rectificación, oposición, supresión, limitación al tratamiento y portabilidad de sus datos de carácter personal suministrados a SOFTYSIGN, siempre que estos resulten aplicables, mediante comunicación escrita a la siguiente dirección info@softyfactorysolutions.com.

Si el interesado considera que su derecho a la protección de datos personales ha podido ser vulnerado, puede realizar una reclamación ante la Agencia Española de Protección de Datos.

10. TERMINOS Y CONDICIONES

El servicio de firma electrónica de SOFTYSIGN proporciona seguridad y confianza a las relaciones electrónicas entre las partes, obteniendo como resultado final un documento cuyo contenido está aceptado por las mismas por medio de una acción de firma, y se garantiza su autenticidad e integridad mediante utilización de certificados electrónicos cualificados, así como su existencia en un momento dado, a través de sellados de tiempo cualificados.

Disponibilidad del servicio

El servicio de firma electrónica de SOFTYSIGN estará disponible ininterrumpidamente 24 horas los 7 días de la semana.

SOFTYSIGN tiene a disposición de sus clientes un documento de Condiciones Generales de Contratación donde se establece el marco jurídico que regulará la prestación de los servicios de firma electrónica por parte de SOFTYSIGN, y la utilización y acceso a la plataforma de firma por parte del Cliente y del Usuario en relación a los distintos planes de contratación disponibles en la página web de SOFTYSIGN.

En la prestación de los servicios descritos en esta DPC, SOFTYSIGN garantiza que no operará de modo que se produzca algún tipo de discriminación.

Condiciones de contratación

Las tarifas y condiciones económicas del servicio se establecerán de manera específica  en cada caso. Las condiciones generales de contratación se encuentran en el documento "Términos y Conficiones del Servicio Electrónico de Confianza de Creación y verificación de Firmas Electrónicas” de SoftySign” publicado en la web del servicio en la siguiente ubicación:

https://www.softysign.com/inicio?mod=productos_softy&file=condiciones_de_uso

No obstante, SOFTYSIGN puede establecer marcos contractuales con clientes puntuales que particularicen estas condiciones para el escenario de colaboración establecido entre ambas partes.

Reclamaciones y resolución de conflictos

SOFTYSIGN pone a su disposición de los interesados los siguientes medios de contacto para  interponer reclamaciones, quejas o sugerencias que deseen hacer llegar por su disconformidad o sugerencia con algún aspecto del servicio prestado:

• Teléfono: 902 998 050/828 906 024 en el horario de Lunes a Viernes de 8:00 a 13:00 y de 16:00 a 19:30 GMT.
• Correo electrónico:  info@softyfactorysolutions.com

SOFTYSIGN responderá a la mayor brevedad posible siempre dentro de un plazo máximo de 30 días.

En caso de reclamaciones judiciales, se procederá según lo dispuesto en el apartado 13 de esta DPC.

11. APROBACION Y REVISION DE LA DECLARACIÓN DE PRÁCTICAS

Corresponde al Director General de Softy Factory Solutions SL la aprobación de la presente DPC.

SOFTYSIGN ha establecido un equipo de gestión responsable de la implantación de las prácticas de seguridad y organizativas requeridas para garantizar la confidencialidad, integridad y todo lo establecido en esta DPC.

Modificación de la DPC

La presente DPC podrá ser modificada por causas legales, técnicas o comerciales.

Cuando la DPC sea modificada de forma sustancial, deberá ser notificada al Órgano de Supervisión.

Igualmente, los cambios que se realicen que puedan afectar de forma sustancial a los suscriptores del servicio o a terceros se notificarán haciéndolo público en la web de SOFTYSIGN.

12. LEGISLACION Y JURISDICCION APLICABLE

Las relaciones entre SOFTYSIGN y los usuarios del servicio de Firma Electrónica se regirán por la normativa española referenciada en el apartado 1.3 de la presente DPC  .

Las partes, con expresa renuncia a cualquier fuero propio que pudiera corresponderles, se someten a la Jurisdicción y Competencia de los Juzgados y Tribunales de Las Palmas de Gran Canaria para cualquier cuestión relativa a la interpretación, cumplimiento o ejecución del contrato establecido entre las partes.