.png)
Ommnio Sign - Declaración de Prácticas de Servicio
INFORMACIÓN GENERAL
Control documental
Clasificación de seguridad: Public
Versión: 1.0
Fecha: 6 Marzo 2026
Revisión del documento
Preparado por: Audea - 6 de marzo de 2026
Revisado por: Responsable de seguridad - 9 de marzo de 2026
Aprobado por: Comité de Seguridad - 9 de marzo de 2026
Control de versiones
|
Versión |
Partes que cambian |
Descripción del cambio |
Autor |
Fecha |
|---|---|---|---|---|
|
1.0 |
Original |
Creación del documento |
Audea |
6 de marzo de 2026 |
1 INTRODUCCIÓN
1.1. Presentación
Este documento declara las prácticas del servicio de confianza no cualificado OmmnioSign de The Ommnio Communications, S.L. (en lo sucesivo OMMNIO).
OmmnioSign es un servicio de firma electrónica avanzada de documentos que permite a los usuarios solicitar, gestionar y formalizar la firma de documentos en formato electrónico a través de la plataforma de OMMNIO.
El servicio integra funcionalidades de gestión documental que permiten remitir documentos para su firma, realizar el seguimiento del estado de cada solicitud de firma, almacenar los documentos firmados en la nube y enviar recordatorios a los firmantes que aún no hayan completado el proceso de firma.
1.2. Nombre del documento e identificación
El presente documento establece la Declaración de Prácticas del Servicio (“DPS”) dedicada al servicio de confianza no cualificado OmmnioSign.
1.3. Participantes del servicio
1.3.1. Prestador de servicios de confianza
El prestador de servicios electrónicos de confianza es la persona, física o jurídica, que presta directamente el servicio. OMMNIO es el prestador de servicios de confianza no cualificado.
1.3.2. Entidades finales
Las entidades finales son las personas físicas u organizaciones que utilizan o se benefician del servicio OmmnioSign para la generación, gestión o verificación de firmas electrónicas en documentos electrónicos.
Serán entidades finales del servicio OmmnioSign las siguientes:
• Clientes del servicio
• Usuarios o firmantes
• Terceros que confían en la firma electrónica
Clientes del servicio
Los clientes del servicio OmmnioSign son las empresas, entidades, organizaciones o profesionales que contratan el servicio con OMMNIO para la gestión y formalización electrónica de documentos mediante firmas electrónicas.
Los clientes utilizan la plataforma para enviar documentos a uno o varios firmantes, gestionar el proceso de firma electrónica y conservar los documentos firmados y las evidencias asociadas al proceso de firma.
El cliente del servicio actúa como solicitante de las operaciones de firma y es responsable del uso del servicio en el ámbito de su actividad profesional, empresarial u organizativa, así como de determinar los documentos que se someten a firma y los firmantes que participan en el proceso.
Usuarios o firmantes
Los usuarios o firmantes son las personas físicas que utilizan la plataforma OmmnioSign para firmar electrónicamente documentos remitidos a través del servicio.
Los firmantes pueden actuar en nombre propio o en representación de una organización, según el contexto del documento sometido a firma.
La identidad del firmante queda asociada al proceso de firma mediante los mecanismos de identificación y autenticación implementados por el servicio, generándose las correspondientes evidencias electrónicas del proceso de firma.
Los firmantes son responsables del uso adecuado del servicio y de la veracidad de la información proporcionada durante el proceso de firma.
Terceros que confían en la firma
Los terceros que confían en la firma son las personas físicas u organizaciones que reciben documentos firmados electrónicamente mediante el servicio OmmnioSign y que pueden basarse en dichas firmas electrónicas para evaluar la autenticidad e integridad del documento.
Con carácter previo a confiar en una firma electrónica generada mediante el servicio, los terceros deben verificar la integridad del documento y las evidencias de firma disponibles utilizando los mecanismos de verificación proporcionados o admitidos por el servicio.
1.3.3. Proveedores
La prestación de los servicios de OMMNIO se apoya en distintos servicios ofrecidos por terceros, que se identifican a continuación:
Autoridad de Sellado de Tiempo
La Autoridad de Sellado de Tiempo (TSA) es un tercero de confianza que presta el servicio cualificado de expedición de sellos de tiempo electrónicos. La TSA es responsable de expedir sellos de tiempo con el fin de probar que una serie de datos ha existido y no ha sido alterada a partir de un instante específico en el tiempo.
OMMNIO utiliza servicios de Prestadores de Servicios de Confianza cualificados que cumplen con las políticas y requisitos establecidos en la norma ETSI EN 319 421 o normativa equivalente aplicable.
Proveedor de Servicios Electrónicos de Certificación
El Proveedor de Servicios Electrónicos de Certificación es la persona física o jurídica que expide y gestiona certificados electrónicos cualificados para las entidades finales, empleando una Autoridad de Certificación (CA) cualificada, y/o que presta otros servicios relacionados con la firma electrónica.
OMMNIO utiliza servicios de Prestadores de Servicios de Confianza cualificados que cumplen con las políticas y requisitos establecidos en la norma ETSI EN 319 411-2 o normativa equivalente aplicable.
1.4. Límites de uso del servicio
La Declaración de Prácticas del Servicio y los términos y condiciones del servicio (T&C), constituyen los documentos que determinan los usos y limitaciones de cada servicio, los cuales se encuentran publicados en: https://www.ommnio.es/
1.4.1. Usos permitidos para el servicio
Los usuarios y clientes del servicio OmmnioSign podrán utilizar la plataforma exclusivamente para la solicitud, gestión y formalización de firmas electrónicas avanzadas en documentos electrónicos, dentro del marco de las actividades lícitas y de acuerdo con las presentes Declaración de Prácticas del Servicio y los Términos y Condiciones publicados por OMMNIO.
En particular, se permite a los usuarios:
• Remitir documentos a uno o varios firmantes para su firma electrónica.
• Realizar el seguimiento del estado de cada solicitud de firma.
• Almacenar documentos firmados y las evidencias electrónicas asociadas en la plataforma, garantizando la integridad y trazabilidad de la firma.
• Enviar recordatorios a los firmantes que aún no hayan completado el proceso de firma.
• Verificar la integridad de documentos y la validez de las firmas electrónicas mediante los mecanismos de verificación proporcionados por el servicio.
1.4.2. Límites y prohibiciones de uso del servicio
El servicio OmmnioSign se utilizará exclusivamente para la función y finalidad que tenga establecida en el presente documento y los términos y condiciones que sean de aplicación, debiendo respetar en todo momento la normativa vigente.
Los usos que contravengan lo dispuesto en la presente DPS, tendrán la consideración de uso indebido a los efectos legales oportunos, eximiéndose por tanto a OMMNIO, en función de la legislación vigente, de todas las responsabilidades que provengan del uso indebido de los mismos, ya sea realizado directa o indirectamente por las entidades finales.
1.5. Administración del documento
1.5.1. Organización que administra el documento
The Ommnio Communications, S.L.
NIF: B67351460
Domicilio: Sant Francesc, 4 Cerdanyola del Vallès 08290 Barcelona
1.5.2. Datos de contacto de la organización
Correo de contacto: hello@ommnio.com
Website https://www.ommnio.es
1.5.3. Procedimientos de gestión del documento
Esta Declaración de Prácticas del Servicio se gestiona mediante procedimientos internos destinados a garantizar su actualización, integridad y trazabilidad. La autoridad final sobre la DPS recae en el Comité de Seguridad de OMMNIO, que actúa como órgano de gestión y tiene la responsabilidad de aprobar, revisar y mantener este documento.
La DPS es revisada de manera periódica por el Comité de Seguridad con el objetivo de mantener la DPS alineada con la normativa vigente, los requerimientos internos y las buenas prácticas de prestación del servicio. Cada modificación o actualización se registra en el apartado de control de cambios, indicando la fecha, la descripción de la modificación y el área o responsable de la misma, de manera que se conserve un historial completo de la evolución del documento y se garantice la trazabilidad de los cambios.
Cuando se planifiquen cambios que puedan afectar a los derechos y obligaciones como parte del servicio, de clientes, usuarios o terceros que confían en las firmas electrónicas generadas mediante OmmnioSign, OMMNIO notificará previamente a los interesados a través de los canales de comunicación habituales, además de publicar la versión actualizada en la página web oficial.
Las versiones actualizadas de la DPS se publicarán en la página oficial de OMMNIO lo antes posible tras su revisión y aprobación interna, garantizando que los usuarios y terceros interesados puedan acceder siempre a la versión vigente. Asimismo, se mantienen registros internos de todas las versiones anteriores del documento, asegurando su disponibilidad para fines de auditoría y consulta histórica, y demostrando el control formal sobre la gestión del documento y su correcta aplicación en la prestación del servicio.
La Declaración de Prácticas del Servicio de OMMNIO se revisará como mínimo una vez al año.
2 DECLARACIÓN PÚBLICA
2.1. Repositorio
Se dispone de un repositorio público en el que se publican las informaciones relativas al servicio OmmnioSign. El repositorio se encuentra disponible en https://www.ommnio.es/.
Dicho repositorio se encuentra disponible durante las 24 horas de los 7 días de la semana y, en caso de fallo del sistema se realizarán sus mejores esfuerzos para que el servicio se encuentre disponible en la mayor brevedad posible.
2.2. Frecuencia de publicación
En el repositorio serán publicadas las siguientes informaciones:
• Declaración de Prácticas del Servicio.
2.3. Frecuencia de actualización
La información del servicio, incluyendo Declaración de Prácticas del Servicio y Términos y Condiciones, se publica en cuanto se encuentra disponible.
Los cambios en los documentos se rigen por lo establecido en la sección 1.5.3 de este documento.
2.4. Seguridad del repositorio
OMMNIO no limita el acceso de lectura a las informaciones establecidas en el repositorio del servicio, pero establece controles para impedir que personas no autorizadas puedan añadir, modificar o borrar registros del repositorio, para proteger la integridad y autenticidad de la información.
Se emplean sistemas fiables para el repositorio, de modo tal que:
• Únicamente personas autorizadas puedan hacer anotaciones y modificaciones.
• Pueda comprobarse la autenticidad de la información.
• Pueda detectarse cualquier cambio técnico que afecte a los requisitos de seguridad.
3. SERVICIO OMMNIOSIGN
El servicio OmmnioSign está diseñado para permitir la generación de firmas electrónicas avanzadas (AdES) sobre documentos electrónicos, garantizando la integridad, autenticidad y trazabilidad del proceso de firma. Este procedimiento asegura que tanto los clientes que solicitan la firma, como los usuarios o firmantes y los terceros que confían en la firma, dispongan de mecanismos confiables para verificar la validez y consistencia de los documentos firmados electrónicamente.
El flujo operativo del servicio se estructura en etapas consecutivas que cubren todo el ciclo de vida de la firma, desde la creación de la solicitud hasta la conservación de evidencias y sellado diario de integridad. Cada etapa incorpora controles técnicos y organizativos que garantizan la identificación inequívoca del firmante, la captura del consentimiento informado, la ejecución criptográfica de la firma y la preservación de los registros de auditoría, cumpliendo con los principios de confianza requeridos por un servicio de firma electrónica avanzada.
A continuación, se detallan los pasos que componen el procedimiento funcional del servicio:
1. Creación de la Solicitud de Firma
Un cliente del servicio remite un documento electrónico a la plataforma para su firma.
El documento se almacena de manera segura en AWS S3.
Se genera un identificador único de solicitud (requestId) y un signerToken de 256 bits para cada firmante.
Se registra la solicitud en la base de datos MongoDB con estado inicial “borrador”, asegurando la trazabilidad desde el inicio del proceso.
2. Entrega de la Invitación para la Firma (Multicanal)
El sistema distribuye el enlace de firma a través del canal elegido: notificación interna en la plataforma OMMNIO, correo electrónico, SMS o enlace directo/QR.
Cada invitación está asociada de manera única al firmante y al documento, y su validez está limitada en tiempo para prevenir usos indebidos.
3. Acceso y Revisión del Documento
El firmante valida su acceso mediante el token proporcionado y, en el caso de canales internos, mediante la sesión de usuario.
El estado del firmante cambia a “visto” y se registra la fecha y hora.
El sistema rastrea que el firmante recorra todo el documento, garantizando un consentimiento informado, registrando la duración de la lectura y la interacción con campos visuales o widgets.
4. Autenticación del Firmante
Se autentica al firmante mediante WebAuthn (biometría o PIN de dispositivo) o mediante SMS OTP como método de respaldo.
Esto asegura la vinculación inequívoca del firmante con la operación de firma y la integridad del proceso.
5. Captura del Consentimiento
El firmante acepta explícitamente la operación mediante “Aceptar y Firmar”.
Se registran timestamp del consentimiento, duración de la lectura y finalización de la revisión del documento.
Se registran los datos de cualquier interacción con widgets, campos obligatorios o firma manual dibujada.
6. Ejecución de la Firma Criptográfica
El backend genera la firma técnica utilizando un certificado de sello electrónico de OMMNIO, almacenado de forma segura en AWS Secrets Manager.
La firma RSA-2048 se complementa con un sello de tiempo cualificado, asegurando la integridad temporal del documento.
La firma y el sello se integran en el documento siguiendo el formato PAdES-LTA, garantizando su validez a largo plazo.
7. Generación y Conservación de Evidencias
Se genera un Log de Firma en PDF que resume el rastro de auditoría.
Se crea un Paquete de Evidencias inmutable en JSON que contiene todos los hashes, datos de autenticación y consentimiento.
Tanto el documento firmado como las evidencias se almacenan en S3 con Object Lock en modo Compliance, evitando su borrado o modificación durante un mínimo de 10 años.
8. Sellado Diario de Integridad (Batch Process)
Cada día se agrupan los hashes de todas las evidencias generadas el día anterior en un Árbol de Merkle.
Se solicita un nuevo sello de tiempo cualificado para la raíz del árbol, extendiendo la validez legal de todas las firmas generadas de manera eficiente.
Este procedimiento funcional garantiza que cada firma electrónica avanzada generada mediante OmmnioSign cumpla con los principios de integridad, autenticidad, trazabilidad y no repudio, proporcionando a clientes, firmantes y terceros confiables la información y evidencias necesarias para verificar y confiar en la validez de las firmas electrónicas.
4 REQUISITOS OPERACIONALES DEL SERVICIO
4.1. Formato y estándares
El servicio OmmnioSign está diseñado específicamente para trabajar con documentos en formato PDF, soportando el estándar ISO 32000-2 (PDF 2.0), garantizando la compatibilidad y consistencia en la gestión de documentos electrónicos.
Los documentos deben ser compatibles con PAdES-LTA (PDF Advanced Electronic Signature - Long-Term Archival), lo que permite la validación de las firmas a largo plazo, incluso después de la expiración de los certificados empleados en el proceso de firma.
Para garantizar la integridad de la firma, el documento debe permitir la inserción de un contenedor de firma CMS/PKCS#7, asegurando que el campo ByteRange abarque la totalidad del contenido del documento, excepto la propia firma, de modo que cualquier modificación posterior pueda ser detectada de manera inmediata.
4.2 Sellado electrónico de los documentos
En la prestación del servicio OmmnioSign, todos los documentos electrónicos u objetos de datos gestionados serán sometidos a sellado electrónico mediante el certificado de sello electrónico cualificado de OMMNIO, sin perjuicio de que los documentos enviados por los clientes se encuentren previamente firmados electrónicamente.
OMMNIO únicamente emplea certificados electrónicos cualificados expedidos por Prestadores de Servicios de Confianza cualificados que acrediten su conformidad con la norma ETSI EN 319 411-2.
4.3. Sellado de tiempo electrónico de los documentos
En la prestación del servicio OmmnioSign, todos los documentos electrónicos u objetos de datos gestionados serán sometidos a un sellado electrónico de tiempo cualificado, con el objetivo de garantizar el momento exacto en que el documento existía.
OMMNIO únicamente emplea servicios de sellado de tiempo proporcionados por Prestadores de Servicios de Confianza cualificados que acrediten su conformidad con la norma ETSI EN 319 421, asegurando la confiabilidad y validez del sello de tiempo a lo largo de todo el ciclo de vida del documento.
De esta forma, cada operación de firma electrónica avanzada realizada mediante OmmnioSign queda acompañada de evidencia temporal verificable, contribuyendo a la trazabilidad, integridad y legalidad del documento electrónico frente a terceros que confían en el mismo.
5 CONTROLES DE SEGURIDAD
OMMNIO aplica un enfoque integral de seguridad de la información para proteger los documentos, firmas electrónicas y datos de los usuarios en el servicio OmmnioSign. Las medidas adoptadas aseguran la confidencialidad, integridad y disponibilidad de la información y se organizan en los siguientes subapartados:
5.1. Gestión del riesgo
OMMNIO identifica, analiza y evalúa periódicamente los riesgos asociados a la información y sistemas que soportan OmmnioSign. Se implementan controles y medidas de mitigación basadas en el nivel de riesgo identificado, asegurando una revisión continua ante cambios en la infraestructura, organización o entorno operativo.
5.2. Seguridad de los recursos humanos
Todo el personal de OMMNIO está sujeto a compromisos de confidencialidad y recibe formación específica en seguridad de la información. Los roles y responsabilidades en materia de seguridad están claramente definidos, y el acceso a sistemas y datos se gestiona según el principio de mínimo privilegio.
5.3. Seguridad de la aplicación
Las aplicaciones y sistemas utilizados por OMMNIO incluyen controles de acceso basados en roles, segregación de funciones y gestión estructurada de permisos. Los usuarios solo pueden acceder a la información para la cual están autorizados, asegurando que las operaciones se realicen dentro del marco definido por el servicio.
5.4. Seguridad de las comunicaciones
Todas las comunicaciones electrónicas se protegen mediante cifrado y protocolos seguros. El servicio emplea HTTPS con TLS 1.2 mínimo, cifrado fuerte de datos en tránsito y mecanismos de protección frente a ataques comunes como XSS, CSRF o inyecciones de código.
5.5. Control de accesos
OMMNIO garantiza que únicamente los usuarios autorizados puedan acceder a los sistemas mediante autenticación robusta. Se utilizan mecanismos como WebAuthn/FIDO2 y OTP, con expiración de tokens y control remoto de dispositivos. La gestión de usuarios y permisos se realiza bajo el principio de mínimo privilegio.
5.6. Protección criptográfica
Los datos se cifran en tránsito y en reposo. Los documentos firmados y sus evidencias se almacenan con cifrado AES-256-GCM y claves gestionadas de forma segura, incluyendo rotación periódica y control centralizado.
5.7. Seguridad de infraestructura y sistemas
La infraestructura tecnológica se aloja en entornos segregados y protegidos mediante firewalls, acceso restringido a personal autorizado y políticas de parcheo y actualización centralizadas. La disponibilidad del servicio se garantiza mediante redundancia, failover y copias de seguridad periódicas.
5.8. Registro y monitorización
Todas las operaciones de los usuarios y eventos relevantes de los sistemas se registran en logs centralizados y se monitorizan continuamente, permitiendo la detección de incidentes, la investigación y la trazabilidad completa de las operaciones.
5.9. Continuidad de negocio
OMMNIO implementa medidas para garantizar la continuidad de los servicios, incluyendo replicación de sistemas críticos, snapshots automáticos y procedimientos de recuperación ante desastres con objetivos de RPO y RTO definidos.
5.10. Seguridad de los centros de datos
Los datos se alojan en centros de datos certificados (ISO 27001:2013), con acceso físico restringido y localización exclusiva en la Unión Europea. El control sobre la ubicación y la protección de la información es total por parte de OMMNIO y sus clientes.
5.11. Desarrollo seguro
El desarrollo de aplicaciones sigue prácticas de seguridad, con entornos separados de desarrollo, prueba y producción, pruebas automatizadas y manuales, y revisión de código para prevenir vulnerabilidades.
5.12. Auditorías y pruebas
La seguridad del servicio se evalúa periódicamente mediante auditorías internas y pruebas de penetración externas, asegurando que los controles de acceso, autenticación y protección de datos se mantengan efectivos.
5.13. Gestión de incidentes de seguridad
OMMNIO mantiene procedimientos documentados para la detección, análisis, contención y recuperación de incidentes de seguridad, incluyendo la notificación de brechas de seguridad de datos personales conforme a la normativa vigente.
5.14. Cese de operaciones
OMMNIO establece los procedimientos para la finalización de sus servicios de confianza ante causas previstas o imprevistas, asegurando la comunicación fehaciente al supervisor y a los clientes con al menos tres meses de antelación, la transferencia de todos los registros y evidencias a un custodio tercero cualificado para su conservación durante diez años, y el mantenimiento de la capacidad de verificación independiente de las firmas electrónicas.
5.15. Cumplimiento normativo
El servicio se presta en cumplimiento de la normativa aplicable, incluyendo el Reglamento (UE) 2016/679 (GDPR), asegurando la protección de datos personales y la correcta gestión de solicitudes de acceso, rectificación y notificación de incidentes por parte de las autoridades competentes.
6 REQUISITOS OPERACIONALES Y LEGALES
6.1. Fiabilidad de la organización
OMMNIO dispone de una estructura organizativa sólida, con roles y responsabilidades claramente definidos, procesos documentados y procedimientos de control que aseguran la correcta gestión de los servicios. La organización cuenta con personal calificado, sistemas redundantes y procesos de monitorización continua que garantizan la prestación segura y confiable del servicio a sus clientes y usuarios.
6.2. Accesibilidad y no discriminación
Los servicios de OMMNIO son accesibles para todas las personas físicas y jurídicas cuya actividad se encuentre dentro del ámbito de operación declarado por el TSP y que acepten cumplir con los términos y condiciones del servicio.
OMMNIO no realiza discriminación alguna en el acceso a sus servicios y asegura que los criterios de aceptación y las obligaciones de los usuarios se aplican de manera uniforme a todos los solicitantes, garantizando la igualdad de trato y la transparencia en la prestación del servicio.
6.3. Recursos financieros y estabilidad
OMMNIO mantiene recursos financieros suficientes para garantizar la continuidad de sus operaciones y cumplir con las obligaciones derivadas de la prestación del servicio.
La organización asegura la cobertura de posibles responsabilidades mediante la gestión de sus recursos y, cuando corresponde, mediante pólizas de seguro de responsabilidad civil o similares, cumpliendo con la normativa aplicable en cada jurisdicción.
6.4. Protección de datos personales
OMMNIO garantiza que el tratamiento de los datos personales que gestiona en el marco de la prestación de sus servicios se realiza en estricta conformidad con lo dispuesto en el Reglamento (UE) 2016/679 (RGPD) y la normativa nacional aplicable en materia de protección de datos.
La organización aplica medidas técnicas y organizativas apropiadas para proteger la confidencialidad, integridad y disponibilidad de los datos personales, así como para asegurar que los derechos de los interesados puedan ser ejercidos de manera efectiva.
OMMNIO ha establecido una Política de Protección de Datos personales que se encuentra disponible en el siguiente enlace: https://www.ommnio.es/privacidad.html.
Adicionalmente, OMMNIO ha designado un Delegado de Protección de Datos (DPO) encargado de supervisar el cumplimiento de la normativa aplicable y de actuar como punto de contacto para los interesados y las autoridades de control competentes. Correo de contacto del Delegado de Protección de Datos: privacy@ommnio.com.
6.5. Derechos de propiedad intelectual
Los derechos de propiedad industrial e intelectual relativos al servicio OmmnioSign, de manera enunciativa pero no limitativa, textos, fotografías, imágenes, marcas, código fuente, diseño, estructura, bases de datos y en general toda la información y elementos contenidos en la mismo son titularidad de OMMNIO, a quienes corresponde el ejercicio exclusivo de los derechos de explotación de los mismos en cualquier forma y, en especial, los derechos de reproducción, distribución, comunicación pública y transformación.
La aceptación de los términos y condiciones y/o la firma de un contrato de prestación de servicios no implica, en modo alguno, directa o indirectamente, transmisión, cesión, licencia y en general derecho alguno respecto de los derechos de propiedad industrial e intelectual de los que es titular OMMNIO.
6.6. Obligaciones de los participantes
6.6.1. Obligaciones de OMMNIO
OMMNIO garantiza, bajo su plena responsabilidad, que cumple con la totalidad de los requisitos establecidos en esta Declaración de Prácticas del Servicio, siendo el responsable del cumplimiento de los procedimientos descritos, de acuerdo con las indicaciones contenidas en este documento.
OMMNIO, en calidad de prestador del servicio OmmnioSign, tiene la obligación de:
Proporcionar el servicio de forma confiable, segura y conforme a lo establecido en esta Declaración de Prácticas del Servicio y en los términos y condiciones aplicables.
Informar al Suscriptor de los términos y condiciones relativos al servicio.
Utilizar certificados electrónicos cualificados de un Prestador de Servicios de confianza cualificado.
Utilizar servicios de sellado de tiempo cualificado de un Prestador de Servicios de Confianza cualificado.
Garantizar procedimientos para generar y salvaguardar los documentos electrónicos en las tareas mencionadas, garantizando su resguardo contra pérdida, daño o manipulación indebida.
Garantizar la confidencialidad de los documentos electrónicos gestionados por el servicio.
Mantener, actualizar y publicar la versión actual y vigente del presente documento.
6.6.2. Obligaciones de los clientes del servicio
Los clientes del servicio OmmnioSign, como entidades que contratan y utilizan la plataforma, tienen la obligación de:
Utilizar la plataforma únicamente para fines lícitos y dentro del ámbito de su actividad profesional, empresarial u organizativa.
Determinar de manera responsable los documentos que se someten a firma electrónica y los firmantes que participan en el proceso.
Garantizar que poseen los derechos necesarios sobre los documentos, contenidos e información que se envían para firma, incluyendo derechos de propiedad intelectual e industrial.
Cumplir con los términos y condiciones del servicio y con la normativa aplicable, asumiendo responsabilidad por los daños o perjuicios derivados de su incumplimiento.
6.6.3. Obligaciones de los usuarios y/o firmantes
Los usuarios o firmantes, como personas físicas que ejecutan la firma electrónica en los documentos, deberán:
Actuar de manera diligente y responsable al utilizar la plataforma, asegurando la veracidad de la información proporcionada durante el proceso de firma.
Cumplir con los mecanismos de autenticación y de consentimiento establecidos por el servicio, incluyendo la revisión completa del documento y la aceptación explícita antes de firmar.
Proteger sus credenciales de autenticación (passkeys, códigos OTP) y dispositivos asociados, siendo responsables de cualquier uso indebido de los mismos.
Firmar únicamente documentos sobre los que tengan autorización o responsabilidad, evitando el uso de la plataforma para fines ilegales, inmorales o contrarios a las buenas prácticas generalmente aceptadas.
6.6.4. Obligaciones de los terceros que confían
Los terceros que reciben documentos firmados electrónicamente mediante OmmnioSign tienen la obligación de:
Verificar la integridad del documento y la validez de la firma electrónica utilizando los mecanismos de verificación proporcionados por el servicio.
Actuar con diligencia al basarse en la firma electrónica para la aceptación de documentos, considerando la información técnica y legal disponible.
No utilizar los documentos o la información asociada de manera contraria a la ley, a los derechos de los titulares de los documentos, ni a las finalidades previstas en el servicio.
6.7. Responsabilidades y garantías
6.7.1. Rechazo de otras garantías
OMMNIO declara que el servicio OmmnioSign se presta conforme a lo indicado en esta Declaración de Prácticas del Servicio y en los términos y condiciones aplicables, y rechaza toda otra garantía que no sea legalmente exigible, salvo las expresamente contempladas en la normativa vigente.
6.7.2. Limitación de responsabilidades
La responsabilidad de OMMNIO se limita exclusivamente a la correcta prestación del servicio OmmnioSign, en los términos establecidos en la DPS y los T&C.
OMMNIO no asumirá responsabilidad alguna en los siguientes supuestos:
Uso fraudulento, negligente, doloso o abusivo de la plataforma por parte del cliente, usuario o firmante.
Falta de veracidad, integridad o autenticidad de la información, documentos o contenidos gestionados a través del servicio, en particular cuando los mismos sean suministrados por los clientes o usuarios.
Funcionamiento incorrecto del servicio debido a causas no imputables a OMMNIO, incluyendo fuerza mayor, caso fortuito, o mantenimientos programados previamente comunicados.
Pérdida, destrucción o alteración de los documentos electrónicos fuera del control directo de OMMNIO, una vez entregados al cliente o firmante, incluyendo aquellos documentos previamente firmados por terceros o por el propio cliente.
Ataques, accesos no autorizados o daños ocasionados por terceros externos, siempre que OMMNIO haya aplicado las medidas de seguridad y diligencia previstas en sus políticas y prácticas de seguridad.
6.7.3. Caso fortuito y fuerza mayor
OMMNIO no será responsable bajo circunstancias que constituyan caso fortuito o fuerza mayor.
Se entiende por caso fortuito todo suceso que sea imposible de prever, o que, aun previsto, resulte inevitable respecto a su mitigación. Se entiende por fuerza mayor cualquier situación extraordinaria, imprevisible o inevitable, proveniente de un ámbito externo a OMMNIO, que impida o dificulte de manera significativa la prestación del servicio.
Por ello, OMMNIO no asumirá responsabilidad bajo ningún concepto frente a situaciones como: guerra, desastres naturales, fallos en servicios eléctricos, interrupciones en redes de telecomunicaciones o disfunciones de infraestructura informática de terceros, siempre que dichas situaciones no sean imputables a OMMNIO.
6.8. Marco legal y jurisdicción
6.8.1. Normativa aplicable
OMMNIO establece, en el presente documento y en los términos y condiciones de uso del servicio, que la normativa aplicable a la prestación de OmmnioSign es la legislación española.
Sin perjuicio de lo anterior, dentro de las principales normas de aplicación directa a los servicios de firma electrónica y confianza, OMMNIO declara su especial atención al cumplimiento de la normativa aplicable siguiente:
Reglamento (UE) 910/2014 (eIDAS) relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
Reglamento (UE) 2016/679 (GDPR) relativo a la protección de datos personales.
Ley 6/2020, de 11 de noviembre, sobre determinados aspectos de los servicios de confianza y la firma electrónica en España.
Directiva (UE) 2022/2555 (NIS2) relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, aplicable a OMMNIO como prestador de servicios de confianza.
Reglamento (UE) 2024/1183 (eIDAS2) por el que se modifica el Reglamento (UE) 910/2014 en lo que respecta al establecimiento del Marco Europeo de Identidad Digital.
ETSI EN 319 401 — Requisitos generales para prestadores de servicios de confianza (General Policy Requirements for Trust Service Providers).
6.8.2. Cláusulas de divisibilidad, supervivencia, acuerdo íntegro y notificación
OMMNIO establece, en los términos y condiciones del servicio y en el presente documento, las siguientes cláusulas:
Divisibilidad: La invalidez de cualquier cláusula no afectará al resto del documento ni a los acuerdos entre las partes.
Supervivencia: Determinadas obligaciones continuarán vigentes tras la finalización del servicio, en particular los requisitos contenidos en los apartados relativos a: Protección de datos personales, Obligaciones de los participantes y Responsabilidades y garantías.
Acuerdo íntegro: El presente documento y los términos y condiciones del servicio contienen la voluntad completa y todos los acuerdos entre las partes.
Notificación: Las comunicaciones relativas al servicio se realizarán por los medios indicados en los términos y condiciones o, en su defecto, por lo establecido en el apartado 1.5 de este documento.
6.8.3. Cláusula de jurisdicción competente
OMMNIO establece en los términos y condiciones del servicio y en el presente documento que la competencia judicial corresponderá a los tribunales españoles, sin perjuicio de la aplicación de normas de derecho internacional privado y de derecho procesal que resulten pertinentes.
6.8.4. Resolución de conflictos
OMMNIO dispone de procedimientos internos para la gestión de disputas y resolución de conflictos relacionados con la prestación de OmmnioSign.
Las partes intentarán resolver cualquier desacuerdo mediante mutuo acuerdo. En caso de no alcanzarse una solución, los conflictos se someterán a la jurisdicción de los tribunales competentes en España, con renuncia expresa a cualquier otro fuero que pudiera corresponder.
ANEXO. ACRÓNIMOS
|
Acrónimo |
Significado |
|
AdES |
Advanced Electronic Signature (Firma Electrónica Avanzada) |
|
AES-256-GCM |
Advanced Encryption Standard 256 bits - Galois/Counter Mode (Cifrado simétrico de alta seguridad) |
|
CA |
Certification Authority (Autoridad de Certificación) |
|
CMS |
Cryptographic Message Syntax (Formato estándar de firma digital) |
|
DPS |
Declaración de Prácticas del Servicio |
|
FIDO2 |
Fast Identity Online 2 (Protocolo de autenticación segura) |
|
GDPR / RGPD |
General Data Protection Regulation / Reglamento General de Protección de Datos (UE) 2016/679 |
|
OTP |
One-Time Password (Contraseña de un solo uso) |
|
PAdES-LTA |
PDF Advanced Electronic Signature – Long-Term Archival (Estándar para firmas electrónicas PDF a largo plazo) |
|
PKCS#7 |
Public Key Cryptography Standards #7 (Estándar para firmas electrónicas y datos criptográficos) |
|
RPO |
Recovery Point Objective (Objetivo de punto de recuperación) |
|
RTO |
Recovery Time Objective (Objetivo de tiempo de recuperación) |
|
RSA-2048 |
Algoritmo de firma digital con clave de 2048 bits |
|
T&C |
Terms and Conditions (Términos y condiciones del servicio) |
|
TSA |
Time Stamping Authority (Autoridad de Sellado de Tiempo) |
|
UE |
Unión Europea |
|
WebAuthn |
Web Authentication (Estándar de autenticación web basado en claves criptográficas) |
|
OMMNIO |
The Ommnio Communications, S.L., prestador del servicio OmmnioSign |