Información
Declaración de prácticas del servicio de confianza de conservación de datos

1. Introducción

1.1 Presentación

METADATA S.L. es una entidad especializada en el desarrollo e implantación de soluciones tecnológicas orientadas a la gestión segura de información y evidencias electrónicas en entornos digitales.

En el marco de su actividad, METADATA presta servicios electrónicos de confianza consistentes en la conservación a largo plazo de datos electrónicos mediante el uso de técnicas basadas en firma digital, con el objetivo de garantizar la integridad y verificabilidad de los objetos conservados a lo largo del tiempo.

La presente Declaración de Prácticas del Servicio de Conservación describe el marco técnico, organizativo y operativo bajo el cual METADATA presta este servicio en régimen de prestador de servicios de confianza, de conformidad con lo previsto en el Reglamento (UE) n.º 910/2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS), modificado por el Reglamento (UE) 2024/1183, así como en la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.

1.2 Identificación de la entidad

  • Prestador de Servicios de Confianza: METADATA, S.L.
  • CIF: B92071414
  • Dirección: C/ Graham Bell nº 6, Edif. Hevimar II, Campanillas, Planta 3, Of. 9, CP 29590, Málaga
  • Dirección web: https://www.metadata.net/
  • Contacto: info@metadata.net
  • Teléfono: 952 020 222

1.3 Acrónimos y definiciones

1.3.1 Acrónimos

LSC Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
eIDAS Reglamento 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, y por la que se deroga la Directiva 1999/93/CE.
RGPD Reglamento 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.
LSSI-CE Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
SGSI Sistema de Gestión de Seguridad de la Información.
NIS2 Network and Information Systems Directive 2022/2555.
PSC Prestador de Servicios de Confianza.
TSA Time Stamp Authority (Autoridad de Sellado de Tiempo).
CPD Centro de Procesamiento de Datos.
PKI Public Key Infrastructure (Infraestructura de Clave Pública).
CRL Certificate Revocation List.
OID Object Identifier. Valor único global asociado con un objeto que lo identifica sin ambigüedades.

1.3.2 Definiciones

  • Sello de tiempo electrónico: Conjunto de datos en formato electrónico que vinculan otros datos electrónicos con un instante temporal determinado, proporcionando evidencia de que dichos datos existían en ese momento.
  • Sello de tiempo electrónico cualificado: Sello de tiempo electrónico que cumple los requisitos establecidos en el artículo 42 del Reglamento (UE) 910/2014 (Reglamento eIDAS), emitido por un prestador cualificado de servicios de confianza.
  • Objeto de conservación: Documento electrónico, firma electrónica, sello electrónico o conjunto de datos electrónicos incorporados al servicio de conservación con el fin de garantizar su integridad y verificabilidad a lo largo del tiempo.
  • Certificado electrónico: Declaración electrónica que vincula datos de verificación de firma o sello con una persona física o jurídica y confirma su identidad, emitida por un prestador de servicios de confianza.
  • Función hash: Algoritmo criptográfico que transforma un conjunto de datos de tamaño variable en un valor de tamaño fijo, de manera que cualquier modificación de los datos originales produce un resultado diferente.
  • Huella digital (hash): Resultado obtenido tras aplicar una función hash a un conjunto de datos, que permite detectar cualquier alteración posterior de dichos datos.
  • Paquete de exportación/importación: Conjunto estructurado de información extraída del sistema de conservación que incluye el objeto de conservación, las evidencias de preservación generadas y los metadatos asociados, permitiendo su transferencia a otro servicio de conservación para mantener la continuidad del objetivo de preservación.
  • Conservación a largo plazo: Proceso mediante el cual se garantiza la integridad y verificabilidad de firmas electrónicas o datos electrónicos durante periodos prolongados, mediante la aplicación de técnicas criptográficas que permiten mantener su validez frente a la obsolescencia tecnológica o criptográfica.
  • Evidencias de conservación: Conjunto de datos electrónicos generados durante la prestación del servicio de conservación que permiten demostrar la integridad, la existencia y la correcta preservación del objeto conservado a lo largo del tiempo.
  • Modelo funcional de preservación: Esquema técnico y organizativo adoptado por el prestador para implementar el servicio de conservación. En la presente Declaración de Prácticas, el modelo adoptado es WST (With Storage), que implica la conservación del objeto de datos junto con sus evidencias de preservación dentro de la infraestructura del prestador.

2. Marco normativo

La presente Declaración de Prácticas se rige por el siguiente marco normativo y técnico aplicable al servicio de conservación de datos prestado por METADATA en régimen de prestador de servicios de confianza:

2.1 Normativa europea

  • Reglamento (UE) 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, modificado por el Reglamento (UE) 2024/1183, en lo que respecta al establecimiento del marco europeo de identidad digital (Reglamento eIDAS).
  • Directiva (UE) 2022/2555 (NIS2), relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, en la medida en que resulte aplicable a los prestadores de servicios de confianza.
  • Reglamento (UE) 2016/679 (RGPD), relativo a la protección de datos personales.
  • Reglamento de Ejecución (UE) 2025/2160 de la Comisión, de 27 de octubre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia, las especificaciones y los procedimientos para la gestión de riesgos para la prestación de servicios de confianza no cualificados.

2.2 Normativa nacional

  • Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
  • Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

2.3 Normas técnicas y estándares de referencia

El servicio se diseña e implementa tomando como referencia los siguientes estándares técnicos europeos e internacionales:

  • ETSI EN 319 401 – Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers.
  • ETSI TS 119 511 – Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques.
  • ETSI TS 119 512 – Protocols for trust service providers providing long-term data preservation services.
  • ISO/IEC 27001:2022 – Information security management systems.
  • ISO/IEC 27002:2022 – Information security controls.
  • ISO/IEC 14641-1 – Electronic archiving.
  • ETSI SR 019 510 – Scoping study and framework for standardization of long-term data preservation services.

3. Requerimientos de conformidad

METADATA declara que la presente Declaración de Prácticas es aplicable al servicio de conservación de datos electrónicos prestado en régimen de prestador de servicios de confianza no cualificado, de conformidad con lo dispuesto en el Reglamento eIDAS, así como en la Ley 6/2020, de 11 de noviembre.

El objeto del servicio de conservación consiste en garantizar la integridad y verificabilidad a largo plazo de los objetos de conservación incorporados al sistema, mediante la aplicación de técnicas criptográficas adecuadas que permitan preservar su validez frente a la obsolescencia tecnológica o criptográfica.

METADATA manifiesta que la prestación del servicio se desarrolla conforme a:

  • Su Política de Seguridad de la Información, alineada con el marco normativo aplicable y con estándares internacionales de seguridad.
  • La política específica del servicio de conservación descrita en la presente Declaración de Prácticas.
  • Los requerimientos organizativos y técnicos definidos en el apartado correspondiente del presente documento.
  • Su obligación de colaboración con clientes, auditores y autoridades competentes, cuando resulte legalmente exigible.

Asimismo, el servicio se diseña e implementa tomando como referencia los principios y controles establecidos en:

  • ETSI EN 319 401 – General Policy Requirements for Trust Service Providers.
  • ETSI TS 119 511 – Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques.
  • ETSI TS 119 512 – Protocols for trust service providers providing long-term data preservation services.
  • ISO/IEC 27001 e ISO/IEC 27002, en materia de gestión de seguridad de la información.

La adopción de dichos estándares se realiza como marco técnico de referencia para la adecuada prestación del servicio, sin que ello implique la condición de servicio cualificado en los términos del Reglamento eIDAS.

4. Comunidad de usuarios

4.1 Prestador del servicio de conservación

El prestador del servicio de conservación es METADATA, cuyos datos identificativos figuran en el apartado correspondiente de la presente Declaración de Prácticas.

METADATA presta el servicio de conservación de datos electrónicos en régimen de prestador de servicios de confianza no cualificado, conforme a lo dispuesto en el Reglamento (UE) 910/2014 y en la Ley 6/2020.

4.2 Usuarios del servicio

Se consideran usuarios del servicio las personas físicas o jurídicas que formalicen la contratación del servicio de conservación con METADATA y procedan a la incorporación de documentos electrónicos, firmas electrónicas, sellos electrónicos u otros datos electrónicos al sistema de preservación gestionado por el prestador.

El servicio tiene por finalidad mantener la integridad y la posibilidad de verificación de los objetos de conservación durante el periodo de vigencia del contrato, mediante la aplicación de mecanismos criptográficos y procedimientos técnicos de preservación descritos en la presente Declaración de Prácticas.

METADATA no asume responsabilidad alguna sobre el contenido, exactitud, licitud o validez jurídica intrínseca de los documentos o datos incorporados al servicio, siendo tales extremos responsabilidad exclusiva del usuario.

4.3 Prestador de servicio de sellado de tiempo

Para la correcta prestación del servicio, METADATA podrá utilizar los servicios de un Prestador Cualificado de Servicios de Sellado de Tiempo, debidamente inscrito en la correspondiente Lista de Confianza (Trusted List), con el fin de:

  • Generar sellos de tiempo cualificados aplicados a los objetos de conservación o a sus huellas digitales (hash).
  • Incorporar evidencias temporales que permitan acreditar la existencia de los datos en un momento determinado.
  • Realizar, en su caso, procesos de renovación o resellado criptográfico cuando resulte necesario para preservar la verificabilidad a largo plazo.

El prestador cualificado de sellado de tiempo actúa como tercero independiente en la emisión de los sellos de tiempo, limitándose su intervención a la prestación de dicho servicio específico.

4.4 Otros prestadores de servicios

METADATA podrá apoyarse en proveedores tecnológicos externos, incluidos proveedores de servicios de almacenamiento en la nube (cloud), que proporcionan la infraestructura técnica necesaria para la conservación de los objetos de conservación y sus evidencias asociadas.

METADATA garantiza que dichos proveedores son seleccionados conforme a criterios de seguridad, confidencialidad y cumplimiento normativo, y que su intervención se encuentra sujeta a los correspondientes acuerdos contractuales que aseguran la protección de la información y el cumplimiento de la normativa aplicable.

En todo caso, la responsabilidad frente al usuario por la correcta prestación del servicio corresponde a METADATA, en los términos previstos en la presente Declaración de Prácticas y en el contrato suscrito con el usuario.

5. Descripción del servicio

5.1 Objeto y naturaleza

El servicio prestado por METADATA consiste en la conservación a largo plazo de documentos electrónicos, firmas electrónicas, sellos electrónicos u otros datos electrónicos mediante la aplicación de técnicas criptográficas que permiten preservar su integridad y mantener su verificabilidad a lo largo del tiempo.

El modelo funcional adoptado es WST (With Storage), lo que implica que el objeto de conservación y las evidencias asociadas son almacenados y gestionados dentro de la infraestructura técnica del prestador durante el periodo contratado.

Podrán incorporarse al servicio:

  • Documentos electrónicos firmados electrónicamente.
  • Documentos electrónicos sellados electrónicamente.
  • Otros datos electrónicos cuya integridad deba preservarse en el tiempo.

El servicio tiene por finalidad mantener la integridad del objeto de conservación y permitir su verificación futura frente a riesgos de alteración, pérdida de estado de validación u obsolescencia criptográfica.

5.2 Incorporación al sistema de conservación

Una vez recibido el objeto de conservación, el sistema realiza los siguientes procesos:

  1. Registro de incorporación, generando una evidencia de entrada al sistema.
  2. Cálculo de huella digital (hash) del objeto recibido.
  3. Aplicación de sello de tiempo electrónico, emitido por un prestador cualificado externo, sobre la huella digital o sobre la estructura de preservación generada.
  4. Almacenamiento seguro del objeto y de las evidencias generadas.

Estos procesos permiten acreditar la existencia del objeto en un momento determinado y protegerlo frente a modificaciones posteriores.

5.3 Generación de evidencias de conservación

Durante la prestación del servicio se generan evidencias electrónicas que pueden incluir:

  • Sellos de tiempo electrónicos.
  • Registros de eventos asociados al ciclo de vida del objeto.
  • Metadatos técnicos necesarios para su futura verificación.
  • Evidencias de renovación criptográfica.

Estas evidencias forman parte del conjunto de preservación y se mantienen vinculadas al objeto conservado.

5.4 Renovación y preservación criptográfica

Con el fin de evitar la pérdida de verificabilidad derivada de la obsolescencia tecnológica o criptográfica, METADATA podrá realizar procesos de renovación de las evidencias generadas, incluyendo:

  • Reaplicación de sellos de tiempo.
  • Encadenamiento de nuevas evidencias criptográficas.
  • Actualización de algoritmos cuando resulte necesario.

Estos procesos se ejecutarán antes de que los mecanismos criptográficos previamente utilizados puedan considerarse inseguros o insuficientes conforme al estado de la técnica.

5.5 Recuperación y exportación

El usuario podrá solicitar la recuperación de los objetos conservados junto con sus evidencias asociadas.

La exportación se realizará mediante un paquete de exportación estructurado, que incluirá:

  • El objeto de conservación.
  • Las evidencias generadas durante su preservación.
  • Los metadatos necesarios para su verificación.

Este mecanismo permite, en su caso, la transferencia a otro sistema de preservación.

6. Perfil de conservación

El servicio de conservación prestado por METADATA se rige por un perfil de conservación identificado de forma única mediante el OID: 1.3.6.1.4.1.65224.10.1.1.

Dicho identificador corresponde a la política de preservación aplicable al servicio y permite su identificación inequívoca en entornos técnicos y de interoperabilidad.

El perfil de conservación define el conjunto de reglas, procedimientos técnicos y mecanismos criptográficos aplicables al ciclo de vida del objeto de conservación, incluyendo:

  • Los procesos de incorporación al sistema.
  • La generación de evidencias iniciales.
  • Los mecanismos de sellado temporal.
  • Las reglas de renovación criptográfica.
  • Los formatos de exportación.

El perfil de conservación se mantiene estable durante el periodo de vigencia del servicio, sin perjuicio de que puedan realizarse actualizaciones técnicas necesarias para garantizar la seguridad o la adecuación al estado de la técnica, las cuales no alterarán la finalidad ni los principios esenciales del modelo de preservación definido.

7. Proceso de incorporación y preservación de los objetos de conservación

El servicio de conservación prestado por METADATA comprende un conjunto de actuaciones técnicas destinadas a garantizar la integridad y verificabilidad de los objetos de conservación desde el momento de su incorporación al sistema y durante todo el periodo de vigencia del servicio.

Una vez que el usuario transmite un objeto de conservación mediante las interfaces habilitadas, el sistema registra el evento de incorporación, generando una evidencia electrónica que identifica la fecha y hora de recepción, el usuario solicitante y los parámetros técnicos asociados a la operación. El objeto recibido es tratado como inmutable, no realizándose modificación alguna sobre su contenido original.

Con carácter previo o simultáneo a su incorporación definitiva al entorno de almacenamiento, el sistema podrá realizar comprobaciones técnicas básicas sobre la estructura del objeto recibido, incluyendo la correcta legibilidad del fichero y la coherencia de su formato. En el caso de que el objeto incorpore firmas electrónicas o sellos electrónicos, el sistema podrá verificar técnicamente su integridad y la consistencia criptográfica de los mismos en el momento de la incorporación, sin que ello implique validación jurídica del contenido ni certificación del estado legal de los certificados utilizados.

A continuación, se procede al cálculo de la huella digital (hash) del objeto de conservación mediante algoritmos criptográficos considerados seguros en el momento de su aplicación. Dicha huella digital constituye el identificador único del objeto dentro del sistema de preservación y permite detectar cualquier alteración posterior del mismo.

Sobre la huella digital o sobre la estructura de preservación generada se aplica un sello de tiempo electrónico emitido por un prestador cualificado externo, con el fin de acreditar la existencia del objeto en un momento determinado. Esta evidencia temporal se integra en el conjunto de conservación, quedando vinculada de forma lógica y verificable al objeto original.

El modelo funcional adoptado por METADATA es de tipo WST (With Storage), lo que implica que tanto el objeto de conservación como las evidencias generadas se almacenan dentro de la infraestructura técnica del prestador durante el periodo contratado. El almacenamiento se realiza en entornos protegidos, con mecanismos de control de acceso, cifrado y trazabilidad que impiden modificaciones no autorizadas.

Durante la vigencia del servicio, el sistema podrá generar nuevas evidencias de preservación, incluyendo procesos de renovación criptográfica cuando resulte necesario para mantener la verificabilidad técnica del objeto frente a la obsolescencia de algoritmos o mecanismos empleados. Estas renovaciones se incorporan de manera encadenada al conjunto de conservación, preservando la trazabilidad histórica del proceso.

El conjunto formado por el objeto de conservación, las evidencias iniciales de incorporación, los sellos de tiempo aplicados y, en su caso, las evidencias de renovación, constituye la estructura completa de preservación, que podrá ser exportada a solicitud del usuario mediante los mecanismos descritos en la presente Declaración de Prácticas.

8. Importación/exportación de objetos de conservación

El usuario del servicio podrá importar o exportar objetos de conservación mediante interfaces técnicas habilitadas por METADATA, incluyendo, en su caso, servicios API debidamente autenticados.

Los procesos de importación y exportación se realizarán mediante paquetes de datos estructurados conforme a los principios y especificaciones técnicas recogidos en la norma ETSI TS 119 512, garantizando la interoperabilidad y la posibilidad de verificación posterior del objeto de conservación y de sus evidencias asociadas.

Los paquetes de datos transmitidos en los procesos de importación o exportación se enviarán a través de canales de comunicación cifrados utilizando protocolos seguros basados en SSL/TLS o equivalentes, conforme al estado de la técnica y a la Política de Seguridad de la Información del prestador.

METADATA mantiene registros electrónicos de todas las operaciones de importación y exportación realizadas, incluyendo, al menos:

  • La identificación del usuario solicitante.
  • La fecha y hora de la operación.
  • La identificación del conjunto de objetos afectados.
  • Los criterios utilizados para la selección de los objetos incluidos en el paquete.
  • El resultado de la operación.

Dichos registros forman parte de las evidencias del servicio y se conservan durante el periodo establecido en la presente Declaración de Prácticas.

9. Finalización del contrato de servicio

El servicio de conservación se presta bajo el modelo funcional WST (With Storage), que implica el almacenamiento del objeto de conservación y de las evidencias asociadas durante el periodo de vigencia del contrato.

La duración del servicio será la establecida en el contrato suscrito con el usuario.

Una vez finalizado el periodo contratado, y en caso de no renovación del servicio, METADATA notificará al usuario la finalización del contrato y pondrá a su disposición los objetos de conservación durante un plazo de sesenta (60) días naturales, a fin de que pueda proceder a su recuperación o exportación mediante los mecanismos técnicos previstos en la presente Declaración de Prácticas.

Transcurrido dicho plazo sin que el usuario haya ejercido su derecho de recuperación o portabilidad, METADATA podrá proceder a la supresión segura de los objetos de conservación almacenados, salvo que exista obligación legal o contractual de conservación adicional.

Las evidencias técnicas generadas durante la prestación del servicio (incluyendo registros de eventos y trazabilidad del sistema) podrán conservarse por el plazo necesario para atender posibles responsabilidades legales, contractuales o requerimientos de autoridades competentes, conforme a la normativa aplicable.

En ningún caso la conservación de dichas evidencias implica la preservación del contenido de los documentos aportados por el usuario más allá del periodo contractual acordado.

10. Obligaciones de las partes

10.1 Obligaciones de METADATA como PSC

METADATA, en su condición de prestador del servicio de conservación, se obliga a:

  1. Prestar el servicio conforme a lo descrito en la presente Declaración de Prácticas y en el contrato suscrito con el usuario.
  2. Implementar y mantener las medidas técnicas y organizativas necesarias para garantizar la integridad, disponibilidad y confidencialidad de los objetos de conservación durante el periodo de vigencia del servicio.
  3. Aplicar mecanismos criptográficos adecuados y acordes con el estado de la técnica para preservar la verificabilidad de los objetos conservados.
  4. Mantener registros de los eventos relevantes del servicio, asegurando su trazabilidad.
  5. Garantizar que los terceros proveedores utilizados (incluidos proveedores de almacenamiento o prestadores de sellado de tiempo) estén sujetos a obligaciones contractuales adecuadas en materia de seguridad y confidencialidad.
  6. Notificar al usuario cualquier incidencia de seguridad que pudiera afectar de manera significativa a la integridad o disponibilidad de los objetos conservados, conforme a lo previsto en la normativa aplicable.
  7. Permitir la exportación de los objetos de conservación en los términos establecidos en la presente Declaración de Prácticas.
  8. Notificar a la Autoridad de Control y Supervisión competente en servicios electrónicos de confianza, y en su caso a la Agencia Española de Protección de Datos, cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.

10.2 Obligaciones del usuario

El usuario del servicio se obliga a:

  1. Proporcionar información veraz y completa para la contratación y uso del servicio.
  2. Incorporar al sistema únicamente documentos o datos respecto de los cuales ostente derechos suficientes para su conservación.
  3. Garantizar que el contenido de los objetos incorporados al servicio cumple con la normativa aplicable y no vulnera derechos de terceros.
  4. Custodiar adecuadamente sus credenciales de acceso a las interfaces del servicio, siendo responsable de cualquier uso indebido derivado de su negligencia.
  5. Solicitar la exportación o recuperación de los objetos de conservación antes de la finalización del contrato, cuando desee mantenerlos fuera del servicio.
  6. Abstenerse de utilizar el servicio para fines ilícitos o contrarios al ordenamiento jurídico.

10.3 Limitación de responsabilidad

METADATA no será responsable:

  • Del contenido, exactitud o validez jurídica intrínseca de los documentos o datos incorporados por el usuario.
  • De los efectos derivados del uso que el usuario o terceros hagan de los objetos conservados.
  • De incidencias derivadas de causas de fuerza mayor o de fallos ajenos a su ámbito razonable de control.

La responsabilidad de METADATA quedará limitada en los términos establecidos en el contrato suscrito con el usuario y en la normativa aplicable.

11. Medidas de seguridad

11.1 Enfoque integrado de seguridad

METADATA implementa un sistema de gestión de seguridad de la información que integra políticas, procedimientos y controles técnicos y organizativos orientados a proteger los activos de información, apoyar la continuidad del servicio y mitigar riesgos que puedan afectar a la integridad, disponibilidad y confidencialidad de los objetos de conservación y de las evidencias generadas.

Las medidas de seguridad se aplican a los sistemas, procesos y personas implicados en la prestación del servicio y se revisan regularmente para garantizar su adecuación al estado de la técnica y a la evolución de las amenazas.

11.2 Marco normativo y certificaciones de referencia

Para el diseño, implantación y mantenimiento de sus controles de seguridad de la información, METADATA se apoya en un conjunto de estándares y marcos internacionalmente reconocidos, entre los que se incluyen:

  • ISO/IEC 27001 – Sistemas de gestión de la seguridad de la información.
  • ISO/IEC 22301 – Gestión de la continuidad del negocio.
  • Esquema Nacional de Seguridad (ENS) – Categoría Media.
  • Otras normas complementarias en materia de calidad y medioambiente.

Estos marcos contribuyen al establecimiento de controles de seguridad coherentes con los requisitos de ETSI EN 319 401 y con las mejores prácticas internacionales.

11.3 Seguridad organizativa y de personal

METADATA organiza la seguridad de la información mediante roles y responsabilidades claramente definidos, apoyados por un comité de seguridad que supervisa la gestión de riesgos, revisa controles y facilita la mejora continua del sistema de seguridad de la información.

El personal recibe formación en materia de seguridad y está sujeto a políticas internas de gestión de accesos y compromisos de confidencialidad.

11.4 Gestión de riesgos

METADATA mantiene un proceso estructurado de análisis y tratamiento de riesgos que incluye:

  • Identificación de amenazas y vulnerabilidades.
  • Evaluación de impacto sobre la prestación del servicio.
  • Definición de medidas de mitigación y controles asociados.
  • Revisión periódica del análisis para adaptarse a cambios en la tecnología y amenazas emergentes.

11.5 Control de accesos y autenticación

El acceso a sistemas y datos vinculados al servicio de conservación se administra mediante mecanismos de control de accesos y autenticación que:

  • Restringen privilegios según necesidad.
  • Garantizan que solo personal autorizado pueda operar en entornos críticos.
  • Registran accesos y eventos relevantes para su posterior auditoría.

11.6 Seguridad de la infraestructura

METADATA aplica medidas de protección de su infraestructura, que incluyen:

  • Segmentación de redes y separación de entornos.
  • Infraestructuras alojadas en centros de datos con alta disponibilidad.
  • Redundancia y mecanismos de recuperación ante fallos.

Además, se implementa cifrado de comunicaciones y de datos en reposo para proteger los objetos de conservación frente a accesos no autorizados.

11.7 Protección de la información almacenada y en tránsito

Los mecanismos de seguridad incluyen:

  • Cifrado de datos en tránsito y en almacenamiento.
  • Protocolos de comunicación segura (por ejemplo, HTTPS/TLS) para interfaces de servicio.
  • Monitorización de redes y sistemas para detectar accesos o patrones anómalos.

11.8 Continuidad del servicio y recuperación ante desastres

METADATA mantiene mecanismos de continuidad de negocio y recuperación ante desastres que:

  • Incluyen copias de seguridad periódicas de sistemas y datos relevantes.
  • Establecen procedimientos para restaurar servicios tras interrupciones.
  • Permiten responder a contingencias que afecten la disponibilidad del servicio.

11.9 Gestión de incidentes de seguridad

Se dispone de procedimientos formales para:

  • Detectar y registrar incidentes de seguridad.
  • Analizar su impacto y activar medidas correctivas.
  • Comunicar, cuando corresponda, a las partes interesadas según lo exigido por la normativa aplicable.

12. Gestión de algoritmos y obsolescencia criptográfica

El servicio de conservación prestado por METADATA se fundamenta en la aplicación de mecanismos criptográficos destinados a preservar la integridad y la verificabilidad de los objetos de conservación durante periodos prolongados de tiempo. Dado que la robustez de los algoritmos criptográficos puede verse afectada por la evolución tecnológica o el descubrimiento de vulnerabilidades, METADATA adopta un enfoque de gestión activa de la obsolescencia criptográfica conforme a los principios establecidos en la norma ETSI TS 119 511.

Los algoritmos empleados para el cálculo de huellas digitales, la generación de evidencias de preservación, la aplicación de sellos de tiempo y la protección de registros del sistema son seleccionados atendiendo al estado de la técnica en el momento de su implementación, teniendo en cuenta recomendaciones de organismos técnicos reconocidos y buenas prácticas del sector. La idoneidad de dichos algoritmos, así como de las longitudes de clave asociadas, es objeto de revisión periódica dentro del marco general de gestión de riesgos del prestador.

Cuando, como resultado de dicha revisión, se determine que un algoritmo utilizado en el proceso de preservación pueda resultar insuficiente para garantizar la verificabilidad a largo plazo de los objetos conservados, METADATA podrá activar mecanismos de renovación criptográfica. Estos mecanismos consisten en la generación de nuevas evidencias, tales como la reaplicación de sellos de tiempo electrónicos sobre las huellas digitales existentes o el encadenamiento de nuevas estructuras criptográficas basadas en algoritmos actualizados, con el fin de extender la vigencia técnica de la preservación sin alterar el contenido original del objeto de conservación.

Las renovaciones efectuadas no sustituyen ni eliminan las evidencias previamente generadas, sino que se incorporan de forma encadenada al conjunto de conservación, preservando la trazabilidad histórica del proceso y permitiendo la reconstrucción íntegra de la secuencia de preservación aplicada desde la incorporación inicial del objeto al sistema.

13. Terminación del servicio y plan de cese

METADATA dispone de procedimientos internos destinados a garantizar una terminación ordenada del servicio de conservación, tanto en caso de finalización contractual individual con un usuario como en el supuesto de cese total o parcial de la actividad del servicio.

En caso de finalización del contrato con un usuario, se actuará conforme a lo previsto en el apartado 10 de esta DPC, relativo a la finalización del contrato de servicio, facilitando la recuperación o exportación de los objetos de conservación dentro del plazo establecido, antes de proceder, en su caso, a su supresión segura.

En el supuesto de cese global del servicio de conservación, METADATA adoptará las medidas necesarias para minimizar el impacto sobre los usuarios, incluyendo:

  • La notificación previa a los usuarios afectados con una antelación razonable.
  • La habilitación de mecanismos que permitan la exportación íntegra de los objetos de conservación junto con sus evidencias asociadas.
  • La conservación temporal de los datos durante el periodo necesario para facilitar la transición.

Cuando resulte posible y técnicamente viable, METADATA podrá facilitar la transferencia de los objetos de conservación a otro prestador que ofrezca servicios equivalentes, sin que ello implique garantía sobre la aceptación del servicio por parte de dicho tercero.

En todo caso, el cese del servicio no afectará a la integridad de los objetos de conservación hasta su efectiva entrega o supresión conforme a los procedimientos establecidos.

La planificación de estas medidas se integra dentro del marco general de continuidad de negocio del prestador, conforme a los principios recogidos en la norma ETSI EN 319 401.

14. Protección de datos personales y confidencialidad

METADATA presta el servicio de conservación respetando en todo momento la normativa vigente en materia de protección de datos personales, en particular el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de protección de datos personales y garantía de derechos digitales.

En el marco de la prestación del servicio, METADATA podrá tratar datos personales contenidos en los objetos de conservación incorporados por el usuario, así como datos derivados de la gestión del propio servicio (datos de identificación, registros de actividad, información técnica y de trazabilidad). Dicho tratamiento se realizará exclusivamente con la finalidad de ejecutar el contrato suscrito con el cliente, garantizar la correcta prestación del servicio y cumplir las obligaciones legales que resulten aplicables.

La determinación de la naturaleza jurídica del tratamiento (responsable o encargado del tratamiento) dependerá de la relación contractual concreta con el usuario y quedará regulada en el correspondiente acuerdo o contrato de prestación de servicios, incluyendo, en su caso, el acuerdo de encargo de tratamiento previsto en el artículo 28 del RGPD.

METADATA aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo mecanismos de control de acceso, cifrado de datos en tránsito y, cuando proceda, en reposo, segregación de entornos, registro de accesos y políticas de gestión de incidentes.

El acceso a los objetos de conservación se limita al personal autorizado estrictamente necesario para la prestación del servicio, estando dicho personal sujeto a obligaciones de confidencialidad.

En caso de que para la prestación del servicio se utilicen proveedores externos que puedan tener acceso a datos personales, METADATA garantizará que dichos proveedores se encuentren sujetos a las obligaciones contractuales correspondientes en materia de confidencialidad, seguridad y protección de datos, así como, cuando resulte exigible, a los correspondientes acuerdos de encargo de tratamiento.

METADATA conservará los datos personales únicamente durante el tiempo necesario para la prestación del servicio y para el cumplimiento de las obligaciones legales o contractuales que resulten aplicables, procediendo posteriormente a su supresión o anonimización conforme a los procedimientos internos establecidos.

El usuario es responsable de garantizar que los datos personales incorporados al servicio han sido obtenidos y tratados conforme a la normativa aplicable, así como de informar a los interesados cuando resulte necesario.

15. Aprobación y revisión de la Declaración de Prácticas

La presente Declaración de Prácticas del Servicio de Conservación ha sido aprobada por el órgano de dirección competente de METADATA, que asume la responsabilidad sobre su contenido, actualización y cumplimiento.

El documento forma parte del sistema interno de gestión del servicio y se integra en el marco general de seguridad de la información y de gobierno corporativo del prestador.

La Declaración de Prácticas será objeto de revisión periódica, así como siempre que se produzcan circunstancias que puedan afectar a su contenido.

Las modificaciones que afecten sustancialmente a las condiciones de prestación del servicio podrán ser comunicadas a los usuarios con antelación razonable cuando así resulte procedente.

16. Legislación y jurisdicción aplicable

La presente Declaración de Prácticas, así como la prestación del servicio de conservación descrito en la misma, se regirá e interpretará de conformidad con el Derecho de la Unión Europea y con la legislación española que resulte de aplicación.

En particular, serán de aplicación el Reglamento (UE) 910/2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, modificado por el Reglamento (UE) 2024/1183, la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, así como la normativa en materia de protección de datos personales y demás disposiciones que resulten aplicables.

Para la resolución de cualquier controversia derivada de la interpretación, ejecución o validez del servicio descrito en la presente Declaración de Prácticas, las partes se someten a los Juzgados y Tribunales del domicilio social de METADATA, salvo que la normativa aplicable establezca un fuero imperativo distinto.

Cuando el usuario tenga la condición de consumidor o usuario conforme a la normativa vigente, serán de aplicación las reglas de competencia territorial previstas en la legislación de protección de consumidores y usuarios.