DOCUMENTO PUBLICO

Declaracion de Practicas de Servicios (DPS)

Prestador de Servicios Electronicos de Confianza No Cualificado — Version 1.0 — Marzo 2028

1. Introduccion

1.1. Objeto del documento

La presente Declaracion de Practicas de Servicios (DPS) describe los procedimientos, politicas y medidas tecnicas y organizativas que aplica Bermatu, servicio de Aby Marketing Dreams, S.L. (en adelante, el Prestador), para la prestacion de servicios electronicos de confianza no cualificados.

Este documento se publica de conformidad con las obligaciones de transparencia derivadas del Reglamento (UE) 910/2014 (eIDAS) y de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electronicos de confianza.

1.2. Identificacion del prestador

Campo	Valor
Razon social	Aby Marketing Dreams, S.L.
Nombre comercial del servicio	Bermatu
Domicilio	Hijas de la Caridad 108, 48003 Bilbao, Bizkaia
Email de contacto	info@aby.group
URL del servicio	https://bermatu.com
URL de esta DPS	https://bermatu.com/dps

1.3. Marco normativo aplicable

Los servicios de Bermatu se prestan bajo el siguiente marco normativo:

• Reglamento (UE) 910/2014 (eIDAS) del Parlamento Europeo y del Consejo, relativo a la identificacion electronica y los servicios de confianza para las transacciones electronicas en el mercado interior.
• Reglamento (UE) 2024/1183 (eIDAS 2) por el que se modifica el Reglamento 910/2014 en lo que respecta al marco europeo de identidad digital.
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electronicos de confianza.
• Reglamento (UE) 2016/679 (RGPD) relativo a la proteccion de datos personales.
• Ley Organica 3/2018 (LOPDGDD) de Proteccion de Datos Personales y garantia de los derechos digitales.
• Ley 34/2002 (LSSI) de servicios de la sociedad de la informacion y de comercio electronico.

1.4. Naturaleza del prestador

No emite certificados electronicos propios ni actua como Autoridad de Certificacion. La plataforma orquesta servicios de confianza de terceros prestadores cualificados (sellado de tiempo, certificados digitales) para ofrecer un servicio integral de certificacion y firma electronica.

2. Descripcion de los servicios

2.1. Servicio de certificacion de correo electronico

Permite a los usuarios certificar el contenido, el momento de envio y la integridad de sus comunicaciones por correo electronico. El usuario anade la direccion certificar@bermatu.com en copia oculta (BCC) al enviar un correo. El sistema captura automaticamente el mensaje completo.

Proceso tecnico:

1. Recepcion del correo electronico completo (cabeceras SMTP, DKIM, SPF, cuerpo MIME y adjuntos).
2. Generacion del hash criptografico SHA-512 del contenido integro del mensaje.
3. Solicitud de sellado de tiempo RFC 3161 a la TSA cualificada de DigiCert.
4. Generacion de un certificado PDF que incluye: hash del contenido, sello de tiempo, metadatos del correo y UUID unico de verificacion.
5. Almacenamiento del certificado PDF en SharePoint, organizado por tenant/usuario/contraparte.
6. Notificacion al remitente con enlace al certificado.

2.2. Servicio de firma electronica de documentos

Plataforma de firma electronica avanzada multi-parte para documentos PDF. Permite que multiples firmantes de distintas organizaciones firmen un documento secuencialmente.

Modalidades de firma:

Modalidad	Metodo de verificacion	Nivel eIDAS	Proveedor
OTP Email	Codigo de un solo uso enviado al email del firmante	Firma electronica avanzada	Bermatu (interno)
OTP SMS	Codigo de un solo uso enviado por SMS al movil del firmante	Firma electronica avanzada	Prelude (SMS gateway)
Certificado digital	Firma con certificado cualificado (FNMT/DNIe) via AutoFirma	Hasta firma cualificada (segun cert.)	FNMT-RCM / DNIe

2.3. Servicio de verificacion de certificados

Bermatu ofrece un servicio publico de verificacion accesible en bermatu.com mediante UUID. Cualquier persona puede comprobar la autenticidad e integridad de un certificado emitido por la plataforma introduciendo el identificador unico del certificado.

3. Arquitectura tecnica y medidas de seguridad

3.1. Integridad criptografica

Todos los documentos y correos procesados por Bermatu se someten a hash criptografico SHA-512 en el momento de su captura. Este hash constituye la huella digital unica del contenido y permite detectar cualquier alteracion posterior. La funcion SHA-512 pertenece a la familia SHA-2 y es ampliamente aceptada en el ambito de los servicios de confianza.

3.2. Sellado de tiempo

El sellado de tiempo se realiza conforme al estandar RFC 3161 (Internet X.509 Public Key Infrastructure Time-Stamp Protocol) mediante la Autoridad de Sellado de Tiempo cualificada de DigiCert. El proceso consiste en enviar el hash del documento a la TSA, que devuelve un token firmado digitalmente con la fecha y hora exactas certificadas. DigiCert es un prestador cualificado de servicios de confianza reconocido en la lista de confianza de la UE.

3.3. Almacenamiento y custodia

Los certificados PDF generados se almacenan en Microsoft SharePoint con las siguientes medidas:

• Aislamiento multi-tenant: Cada organizacion (tenant) tiene su espacio de almacenamiento aislado, segregado por dominio de correo electronico. Los datos de un tenant no son accesibles desde otro.
• Organizacion: Los certificados se organizan por usuario y contraparte, facilitando su localizacion y auditoria.
• Periodo de conservacion: Los certificados se conservan durante un minimo de 6 anos conforme al articulo 30 del Codigo de Comercio y a la normativa de prevencion de blanqueo de capitales.

3.4. Comunicaciones seguras

Todas las comunicaciones entre clientes, servidores y servicios externos se realizan sobre canales cifrados TLS 1.2 o superior. Las API de integracion con DigiCert TSA y Prelude SMS operan exclusivamente sobre HTTPS.

3.5. Control de acceso

El acceso a la plataforma requiere autenticacion. El panel de administracion y gestion de certificados esta protegido con control de sesion. El acceso a los datos de cada tenant esta restringido a los usuarios autorizados de dicha organizacion.

3.6. Disponibilidad y continuidad

Bermatu mantiene procedimientos de backup y recuperacion ante desastres para garantizar la continuidad del servicio y la disponibilidad de los certificados almacenados.

4. Proteccion de datos personales

4.1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es Aby Marketing Dreams, S.L., con domicilio en Hijas de la Caridad 108, 48003 Bilbao, y contacto en dpd@aby.group.

4.2. Datos tratados

En la prestacion del servicio se tratan las siguientes categorias de datos personales:

• Certificacion de email: Direcciones de correo electronico del remitente y destinatarios, contenido del correo (cabeceras, cuerpo, adjuntos), direccion IP de origen, fecha y hora.
• Firma electronica: Nombre y apellidos de los firmantes, direccion de correo electronico, numero de telefono movil (cuando se usa OTP SMS), direccion IP, fecha y hora de firma.

4.3. Finalidad y base juridica

Los datos se tratan con la finalidad exclusiva de prestar el servicio de certificacion y firma electronica contratado. La base juridica del tratamiento es la ejecucion del contrato de prestacion de servicios (articulo 6.1.b del RGPD).

4.4. Encargados del tratamiento

Encargado	Finalidad	Ubicacion
Microsoft (SharePoint)	Almacenamiento de certificados PDF	UE (centros de datos europeos)
DigiCert	Sellado de tiempo TSA (solo recibe hashes, no datos personales)	EE.UU. (clausulas contractuales tipo)
Prelude	Envio de OTP por SMS (solo numero de telefono)	UE

4.5. No almacenamiento de datos de firma

De conformidad con el articulo 8 de la Ley 6/2020, Bermatu no almacena ni copia los datos relativos a la creacion de firma electronica, sello o autenticacion de la persona fisica o juridica, salvo en caso de gestion en nombre del titular conforme a la normativa vigente.

4.6. Derechos de los interesados

Los interesados pueden ejercer sus derechos de acceso, rectificacion, supresion, limitacion, portabilidad y oposicion dirigiendose a dpd@aby.group. El plazo de respuesta es de un mes conforme al articulo 12.3 del RGPD.

5. Obligaciones y responsabilidad

5.1. Obligaciones del prestador

Bermatu se compromete a:

1. Adoptar las medidas tecnicas y organizativas adecuadas para gestionar los riesgos de seguridad conforme al articulo 19 del Reglamento eIDAS.
2. Notificar los incidentes de seguridad conforme al articulo 13 de la Ley 6/2020.
3. Mantener actualizada y accesible publicamente esta Declaracion de Practicas de Servicios.
4. Informar verazmente sobre la naturaleza, alcance y limitaciones de los servicios prestados.
5. No presentar los servicios como cualificados cuando no lo son.
6. Conservar la informacion relativa a los servicios prestados durante un minimo de 6 anos.

5.2. Obligaciones de los usuarios

Los usuarios del servicio se comprometen a:

1. Utilizar los servicios de forma licita y conforme a las condiciones de uso publicadas en bermatu.com.
2. Proporcionar informacion veraz en la configuracion de su cuenta y en los procesos de firma.
3. Custodiar adecuadamente sus credenciales de acceso.
4. Notificar inmediatamente cualquier uso no autorizado de su cuenta.

5.3. Limitacion de responsabilidad

La responsabilidad de Bermatu se limita conforme a los articulos 10 y 11 de la Ley 6/2020 y al articulo 13 del Reglamento eIDAS. Bermatu no sera responsable de los danos causados por el incumplimiento de las obligaciones de los usuarios ni por el uso de los servicios fuera del ambito descrito en esta DPS.

6. Gestion y notificacion de incidentes de seguridad

En caso de violacion de la seguridad o perdida de la integridad que tenga un impacto significativo en el servicio o en los datos personales, Bermatu:

1. Notificara al Ministerio para la Transformacion Digital y de la Funcion Publica sin dilaciones indebidas y, en todo caso, en un plazo maximo de 24 horas desde el conocimiento del incidente.
2. Notificara a la Agencia Espanola de Proteccion de Datos en un plazo maximo de 72 horas conforme al articulo 33 del RGPD cuando el incidente afecte a datos personales.
3. Informara a los usuarios afectados cuando la violacion pueda suponer un alto riesgo para sus derechos y libertades.
4. Ampliara la informacion suministrada en un plazo maximo de un mes tras la resolucion del incidente.
5. Mantendra un registro interno de todos los incidentes de seguridad, su evaluacion y las medidas adoptadas.

7. Plan de cese de actividad

En caso de cese de la actividad como prestador de servicios electronicos de confianza, Bermatu:

1. Comunicara su intencion al Ministerio para la Transformacion Digital y de la Funcion Publica con una antelacion minima de dos meses.
2. Informara a todos los usuarios activos del servicio con la misma antelacion.
3. Garantizara que los usuarios puedan descargar la totalidad de sus certificados antes de la fecha efectiva de cese.
4. Mantendra los certificados archivados durante el periodo legal de conservacion (minimo 6 anos) o transferira la custodia a otro prestador de servicios de confianza con el consentimiento de los titulares.
5. Comunicara el cese efectivo al Ministerio una vez completado el proceso.

8. Modificaciones de esta DPS

Bermatu se reserva el derecho de modificar la presente Declaracion de Practicas de Servicios para adaptarla a cambios normativos, tecnicos u organizativos. Las modificaciones sustanciales seran comunicadas a los usuarios con un preaviso minimo de 30 dias y se publicaran en esta misma pagina con actualizacion de la tabla de control de versiones.

Las modificaciones sustanciales incluyen: cambios en los prestadores cualificados utilizados (TSA, certificados), cambios en los niveles de seguridad, modificaciones en el tratamiento de datos personales, y cambios en las condiciones de conservacion de los certificados.

9. Informacion de contacto

Canal	Datos
Contacto general	info@aby.group
Incidentes de seguridad	dpd@aby.group
Proteccion de datos / DPD	dpd@aby.group
Direccion postal	Hijas de la Caridad 108, 48003 Bilbao
Sitio web	https://bermatu.com