ORDRE de 3 de desembre de 1999, de la Conselleria de Justícia i Administracions Públiques, per la qual s'aprova el Reglament Tècnic de Mesures de Seguretat per a l'Aprovació i Homologació d'Aplicacions i Mitjans de Tractament Automatitzat de la Informació. [1999/M11020]
(DOGV núm. 3667 de 17.01.2000) Ref. Base de dades 0182/2000
-
Anàlisi jurídica
Data d'entrada en vigor: 17.02.2000 Notes: Aprovació del Reglament Tècnic de Mesures de Seguretat per a l'Aprovació i Homologació d'Aplicacions i Mitjans de Tractament Automatitzat de la Informació. Aquesta disposició afecta: Desenvolupa o complementa: Aquesta disposició està afectada per: Modificada per: -
Anàlisi documental
Origen de disposició: Conselleria Justícia i Administracions Públiques Grup temàtic: Legislació Matèries: Telecomunicacions i noves tecnologies Descriptors: Temàtics: informació, sistema d'informació, reglament intern, tractament de dades, informàtica
ORDRE de 3 de desembre de 1999, de la Conselleria de Justícia i Administracions Públiques, per la qual saprova el Reglament Tècnic de Mesures de Seguretat per a lAprovació i Homologació dAplicacions i Mitjans de Tractament Automatitzat de la Informació. [1999/M11020]
La introducció de les noves tecnologies del tractament de la informació ha suposat un notable avanç en els processos de racionalització i modernització de les administracions públiques. Tot i això, la seua utilització requereix lestabliment duns requisits que garantisquen els drets dels ciutadans.
En larticle 45 de la Llei 30/1992, de 26 de novembre, de Règim Jurídic de les Administracions Públiques i del Procediment Administratiu Comú, es consagra la utilització dels mitjans electrònics, informàtics i telemàtics per part de les unitats administratives, per a lexercici de les seues competències. En aquest article es regulen els requisits bàsics que han de complir aquests mitjans, a fi que els seus resultats gaudisquen de validesa jurídica plena.
Addicionalment, la Generalitat Valenciana ha efectuat un desplegament normatiu daquest article plasmat en el Decret 96/1998, de 6 de juliol, pel qual es regula, entre altres, la utilització de les tècniques electròniques, informàtiques i telemàtiques. En aquest decret es fixen les aplicacions sotmeses a aprovació, es detallen els requeriments a cobrir per cadascun dels elements implicats en el tractament de la informació i es dicta el procediment mitjançant el qual un sistema és aprovat i publicat.
Tanmateix, i atesos els criteris fixats en el Decret 96/1998, de 6 de juliol, no es pot arribar al nivell de detall necessari per a refermar les garanties estipulades en aquest, i en diferents articles sestableix lobligació defectuar un desplegament reglamentari que proporcione ladequat nivell de concreció als requisits que de forma general sestableixen en el decret.
Addicionalment, i donat que la gestió dels documents electrònics no es troba totalment resolta, i per tant normalitzada en les aplicacions dutilització general, procedeix efectuar un desplegament específic, a fi de contemplar la casuística particular del tractament documental.
Per tant, es fa convenient dictar una normativa de desplegament que establisca reglamentàriament, de mode unificat i al nivell de detall necessari, quins són els requisits tècnics i dorganització que proporcionen les garanties estipulades per a la utilització dels mitjans electrònics, informàtics i telemàtics, incloent la gestió dels documents.
La disposició final del Decret 96/1998, de 6 de juliol, autoritza el conseller dEconomia, Hisenda i Administració Pública per a dictar totes les disposicions que siguen calguen per a establir criteris generals en desplegament i execució dallò que disposat aquest, previ informe de Comité Tècnic per al Desplegament dels Sistemes dInformació.
Així mateix, lOrdre de 29 de setembre de 1999, de la Conselleria de Justícia i Administracions Públiques, per la qual es desplega el Decret 91/1999, de 30 de juliol, del Govern Valencià, amb què saprova el Reglament Orgànic i Funcional de la Conselleria de Justícia i Administracions Públiques, estableix en el seu article 6:
«La Direcció General per a la Modernització i Racionalització de ladministració Pública, desplega les funcions derivades de les competències previstes en larticle 16 del Reglament Orgànic i Funcional i aquelles altres, excepte les relatives a matèria de personal, atribuïdes a la Subsecretaria per a la Modernització de les Administracions Públiques i a lanterior Direcció General per a la Racionalització del Sector Públic en les altres disposicions normatives; així mateix, les referències en les mateixes al conseller dEconomia, Hisenda i Administració Pública sentendran fetes al conseller de Justícia i Administracions Públiques.»
En la seua virtut, i en exercici de les competències que em confereix larticle 35 de la Llei 5/1983, de 30 de desembre, de Govern Valencià
DISPOSE
Article únic
Saprova el Reglament Tècnic dAprovació i Homologació dAplicacions i Mitjans de Tractament Automatitzat de la Informació, que figura com annex a la present ordre.
DISPOSICIÓ TRANSITÒRIA
Adequació de suports, mitjans i aplicacions.
Sense perjudici dallò establit en la normativa estatal, totes les aplicacions aprovades amb anterioritat a la data de publicació de la present disposició disposaran dun any per a adaptar-se als preceptes del reglament.
No obstant això, per a aquelles aplicacions que tecnològicament no puguen complir algun dels requisits expressats en el present reglament, lautoritat dautentificació, i de forma motivada per lorganisme responsable de laplicació, i en lexercici de les funcions reconegudes en larticle 20.b) del Decret 96/1998, de 6 de juliol, podrà ampliar el seu termini dadaptació en funció de la seua complexitat tècnica, fins a un màxim de tres anys.
DISPOSICIONS FINALS
Primera. Desplegament del reglament
Sautoritza la directora general per a la Modernització i Racionalització de ladministració Pública per a dictar les instruccions oportunes en ordre a la interpretació i aplicació del reglament.
Segona. Entrada en vigor
La present ordre entrarà en vigor al mes de la seua publicació en el Diari Oficial de la Generalitat Valenciana.
València, 3 de desembre de 1999
El conseller de Justícia i Administracions Públiques,
SERAFÍN CASTELLANO GÓMEZ
ANNEX
Reglament Tècnic de Mesures de Seguretat per a lAprovació i Homologació dAplicacions i Mitjans de Tractament Automatitzat de la Informació
Índex
TÍTOL I
Disposicions generals
Article l. Objecte
Article 2. Àmbit daplicació
Article 3. Definicions
TÍTOL II
Mesures tècniques de seguretat i conservació de les aplicacions
CAPÍTOL I
Seguretat de les aplicacions
Article 4. Xifrat
Article 5. Ús del control daccés
Article 6. Control daccés. Accessos especials i vigència daccessos
Article 7. Control daccés. Contrasenyes
Article 8. Control daccés. Portes falses
Article 9. Control daccés. Accessos de terceres parts
Article 10. Control daccés. Inactivitat del sistema
Article 11. Control daccés. Sistemes operatius
Article 12. Integritat. Processos amb múltiples actualitzacions
Article 13. Integritat. Informacions confidencials
Article 14. Integritat. Proteccions antivirus
Article 15. Disponibilitat
Article 16. Traçabilitat
Article 17. Comunicacions electròniques de dades
Article 18. Transmissió de contrasenyes
Article 19. Transmissió dinformacions sensibles
Article 20. Autentificació, integritat i no repudi en comunicacions
Article 21. Tercera part de confiança en les comunicacions
CAPÍTOL II
Conservació de la informació
Article 22. Conservació de la informació de gestió
Article 23. Compactació de la informació de gestió
Article 24. Canvis de versions, sistemes operatius o noves aplicacions
Article 25. Conservació de dades personals
CAPÍTOL III
Tractament dels documents electrònics
Article 26. Documents electrònics i aplicacions
Article 27. Accessibilitat dels documents electrònics
Article 28. Característiques dels documents electrònics
Article 29. Codis de validació de documents electrònics
Article 30. Modificació i supressió de documents electrònics
Article 31. Requeriments de les aplicacions
TITOL III
Mesures dorganització aplicables a la seguretat i conservació de les aplicacions
CAPÍTOL I
El sistema de seguretat
Article 32. Del responsable de laplicació
Article 33. Del responsable de seguretat
Article 34. Dels usuaris
Article 35. Verificacions de seguretat
Article 36. Gestió del registre de codis dusuari
Article 37. Drets daccés dusuaris
Article 38. Relació dincidències
CAPÍTOL II
Procediments de seguretat
Article 39. Control dincidències
Article 40. Alta, modificació i baixa dusuaris
Article 41. Formació dusuaris
Article 42. Protecció antivirus
Article 43. Operació de les aplicacions
Article 44. Manteniment daplicacions
Article 45. Procediments de contingència
Article 46. Elements de seguretat
Article 47. Supervisió delements de seguretat
TÍTOL I
Disposicions generals
Article 1. Objecte
El present reglament té per objecte la regulació, en làmbit de la Generalitat Valenciana, de les mesures de seguretat i organització que han de reunir les aplicacions electròniques, informàtiques o telemàtiques, com també el tractament dels documents electrònics en aquestes aplicacions.
Article 2. Àmbit daplicació
1. Aquest reglament serà daplicació a totes les aplicacions sotmeses al procediment daprovació, publicació i homologació establit en el Decret 96/1998, de 6 de juliol, pel qual es regula, entre altres aspectes, la utilització dels sistemes dinformació.
Article 3. Definicions
a) Usuari: subjecte o procés que utilitza una aplicació.
b) Codi dusuari: codi que laplicació utilitza per a identificar un usuari.
c) Contrasenya o clau: informació confidencial, freqüentment constituïda per una cadena de caràcters, que sutilitza per a lautentificació dun usuari.
d) Permisos: nivell de seguretat que proporciona una determinada clau.
e) Clau amb privilegis daccés: aquelles claus que permeten canviar certs controls de seguretat de laplicació.
f) Clau compartida o multiusuari: aquella clau que permet a un grup dusuaris utilitzar concurrentment laplicació usant una mateixa clau.
g) Porta falsa: aquella clau secreta, no registrada en laplicació, però que permet superar, total o parcialment, els mecanismes de seguretat del sistema dinformació.
h) Tercera part: persona física o jurídica distinta de ladministració de la Generalitat Valenciana.
i) Sistema de tallafocs: sistema que restringeix i filtra laccés, efectuat per mitjos telemàtics, a les aplicacions.
j) Contingència: tota aquella situació que supose una alteració de les condicions normals dexplotació de laplicació. Inclou des de caigudes de tensió fins a danys irreparables en unitats demmagatzemament, passant per saturació de línies de comunicacions
k) Procés informàtic: programa o conjunt de programes informàtics pertanyents a una aplicació, que produeixen un resultat concret.
l) Sistema operatiu: programa o conjunt de programes informàtics de nivell bàsic, que permeten la interacció entre els equips físics i les aplicacions.
m) Servidor daplicació: tots els sistemes, equips i mitjans que suporten lexecució duna aplicació, sempre que la seua arquitectura permeta la utilització simultània per més dun usuari.
n) Virus informàtic: programa informàtic la finalitat del qual consisteix en alguna de les següents funcions:
Alterar el funcionament dels equips.
Destruir la informació existent en els suports demmagatzemament.
ñ) Salvament: operació consistent en extraure una còpia de les dades actuals duna aplicació, des del dispositiu demmagatzemament habitual a un altre dispositiu diferent, al fi de garantir la conservació de la informació.
o) Compactació: procés mitjançant el qual seliminen aquelles dades no essencials de laplicació. És un procés que sexecuta amb la finalitat destalviar espai demmagatzemament. La informació compactada pot mantenir-se en lequip o bé pot ser salvada i eliminada daquest.
p) Tipus de documents electrònics: sentén cadascun dels distints tipus de documents que intervenen en un expedient individual. Per tant, la distinció és funcional per la seua naturalesa administrativa, no pel seu format electrònic.
q) Alteració de documents: sentén que un document electrònic és alterat quan es canvia el contingut daquest, és a dir, quan es canvia aquell que substancia lacte administratiu, sense perjudici que tecnològicament puguen modificar-se alguns atributs de lentitat electrònica que suporta el contingut del mateix, atributs que no afecten el contingut jurídic del document.
TÍTOL II
Mesures tècniques de seguretat
i conservació de les aplicacions
CAPÍTOL I
Seguretat de les aplicacions
Article 4. Xifrat
1. Els algoritmes de xifrat que sempren per a garantir lautenticitat, integritat i confidencialitat de les informacions, així com de les seues transmissions, hauran de basar-se, quan tecnològicament es troben contemplades, en normes establides per AENOR o per algun dels organismes reconeguts per aquest organisme nacional.
2. Quan no puga emprar una normativa establida per AENOR, o per algun dels organismes reconeguts per aquest organisme nacional, lautoritat autentificadora aprovarà lalgoritme de xifrat empleat.
3. Els algoritmes de xifrat utilitzats per laplicació han de ser publicats juntament amb les característiques daquesta.
Article 5. Ús del control daccés
Per a poder usar una aplicació caldrà introduir o teclejar, si més no, la contrasenya que lusuari posseïsca, sense perjudici de la utilització daltres mecanismes addicionals que incrementen el nivell de seguretat de laplicació.
Article 6. Control daccés. Accessos especials i vigència daccessos
1. Laplicació no ha de permetre la utilització de claus compartides o multiusuaris, per tant la clau ha de ser un identificador únic, personal i intransferible de lusuari.
2. Laplicació posseirà punts daccés independents del repte de les funcionalitats de laplicació per a que els usuaris amb privilegis especials, aquells que permeten alterar certs controls de seguretat, puguen realitzar les seues funcions de seguretat.
3. Laplicació avisarà, per a procedir a la seua eventual eliminació, daquells codis dusuari que no hagen sigut utilitzats en el termini màxim de tres mesos.
4. Així mateix, en aquelles aplicacions en què lusuari puga canviar lliurement la seua contrasenya, el sistema avisarà daquelles claus daccés que es troben vençudes.
Article 7. Control daccés. Contrasenyes
1. Laplicació no ha de mostrar la contrasenya quan sestiga teclejant
2. Laplicació emmagatzemarà les contrasenyes mitjançant algoritmes de xifrat. Els arxius on es guarden les contrasenyes seran distints dels que contenen dades. Laplicació no contindrà lalgoritme de desxifrat de les contrasenyes.
3. Les aplicacions que permeten a lusuari escollir la seua pròpia contrasenya han de realitzar els controls següents:
a) Obligarà que les contrasenyes posseïsquen una longitud mínima de sis caràcters, així com la inclusió de lalgun tipus de caràcter distint de lalfabètic.
b) Forçarà els usuaris a canviar les contrasenyes cada 3 mesos, com a màxim.
c) La contrasenya proporcionada inicialment a lusuari es considerarà provisional i obligarà al seu canvi en la primera connexió a laplicació.
d) Han devitar la repetició de contrasenyes.
Article 8. Control daccés: portes falses
Les aplicacions no hauran de posseir algoritmes o mecanismes que permeten la utilització de portes falses, com mitjans excepcionals daccés al sistema dinformació.
Article 9. Control daccés: accessos de terceres parts
1. Els sistemes, o servidors daplicació, hauran destar protegits mitjançant un sistema de tallafocs que restringisca els accessos als estrictament necessaris, en el cas de comunicacions amb terceres parts.
2. En cap dels casos, els sistemes tallafocs subicaran en les mateixes màquines on residisquen les dades o les aplicacions.
Article 10. Control daccés: inactivitat del sistema
1. En la mesura en què tecnològicament siga factible, les aplicacions, o els mitjans que les suporten, posseiran mecanismes que desconnecten laccés de lusuari a laplicació si el mateix no hi ha interactuat amb laplicació o amb els mitjans que la suporten, en el termini establit pel manual de seguretat de laplicació.
2. En aquells casos particulars en què aquesta mesura no simplante directament sobre laplicació, sinó sobre altres mitjans auxiliars que suporten la seua execució (sistemes operatius, salvapantalles, etc.), aquest fet vindrà referit en el manual dinstal·lació de laplicació, com també en el manual de seguretat daquesta.
Article 11. Control daccés: sistemes operatius
En aquells casos en què els sistemes operatius, sistemes de suport, o qualsevol altra classe deina, permeten accedir a la informació emmagatzemada per les aplicacions, sense necessitat de passar els mecanismes de seguretat daquestes, shauran dimplantar les mesures tècniques o dorganització necessàries per a restringir laccés a la informació a les persones realment autoritzades.
Article 12. Integritat. Processos amb múltiples actualitzacions
Les aplicacions que executen transaccions o processos on es produïsquen múltiples actualitzacions de dades, les quals es troben relacionades entre si, hauran de posseir eines o mecanismes que asseguren la integritat daquestes dades, relacionades en el cas que es produïsca una fallada de procés i no es puga completar la transacció.
Article 13. Integritat. Informacions confidencials
En aquells supòsits en què lanàlisi de riscos determine que la informació qualificada com a confidencial no es troba suficientment protegida amb el control daccessos, dita informació shaurà de xifrar sobre el suport demmagatzemament.
Article 14. Integritat. Proteccions antivirus
1. Quan les aplicacions simplanten sobre servidors daplicació que potencialment pogueren ser atacats per virus informàtics, dits servidors hauran de posseir proteccions antivirus residents en totes les unitats de procés que intervinguen en lexecució del sistema dinformació.
2. En aquells casos on els equips dels usuaris pogueren potencialment ser atacats per virus informàtics, aquests equips han de posseir proteccions antivirus.
3. El manual de seguretat de laplicació haurà de dedicar un capítol als procediments de protecció antivirus, tant doperació com dusuari.
Article 15. Disponibilitat
Els servidors daplicació han de complir les mesures següents:
1. Els equips que suporten determinats processos, la interrupció accidental dels quals puga provocar alteració o pèrdua de dades o documents administratius, han destar protegits contra fallades de subministrament elèctric mitjançant sistemes dalimentació ininterrompuda.
2. Els equips que suporten processos especialment crítics han de ser equips dalta disponibilitat, que posseïsquen mecanismes tolerants a les fallades.
3. Els equips han de mantenir-se dacord amb les especificacions dels subministradors de servei.
4. Les àrees físiques on es troben situats els equips han de trobar-se convenientment, i han dassegurar-se front a riscos derivats daccessos no desitjats així com a amenaces dentorn, tals com focs, fums, aigua, etc.
Article 16. Traçabilitat
Les aplicacions han destar dotades de pistes dauditories, que hauran de registrar el codi dusuari, data, hora i procés mitjançant el qual sha realitzat un alta, modificació o baixa de qualsevol informació que substancie lexercici duna potestat o daquella informació qualificada com a sensible.
Article 17. Comunicacions electròniques de dades
Quan es transmeten informacions o dades, laplicació o els mitjans i suports emprats per a la transmissió hauran de posseir, en el supòsit que les xarxes de transmissió no es consideren totalment segures, mecanismes que criptografien, en tot o en part, el contingut de la transmissió. Aquelles dades considerades confidencials se criptografiaran en la seua totalitat.
Article 18. Transmissió de contrasenyes
Quan es transmeten contrasenyes, o en general qualsevol informació que permeta garantir la integritat, autenticitat i confidencialitat de les transmissions, dits codis o informacions es transmetran criptografiats en la seua totalitat.
Article 19. Transmissió dinformacions sensibles
Quan les informacions sensibles han de ser transmeses caldrà criptografiar-les prèviament.
Article 20. Autentificació, integritat i no repudi en comunicacions
1. Laplicació, o bé els mitjans o suports emprats en la transmissió, haurà de ser capaç de proveir de certificats dautenticitat, emesos per lautoritat autentificadora, per a totes aquelles comunicacions en què el receptor necessite garanties de la identitat de laltra part i que la transmissió no ha sigut alterada.
2. Per a aquelles aplicacions que requerisquen la garantia addicional del no repudi, laplicació, o bé els mitjans o suports emprats en la transmissió, hauran dincorporar mecanismes que asseguren la irrenunciabilitat de la participació del transmissor i del receptor, quan es produïsquen comunicacions.
Article 21. Tercera part de confiança en les comunicacions
Les aplicacions, o bé els mitjans o suports emprats en la transmissió, gestionaran lassignació de claus públiques, claus privades i els serveis de certificat a través dels mitjans i suports disposats per lautoritat autentificadora, per a aquests fins.
CAPÍTOL II
Conservació de la informació
Article 22. Conservació de la informació de gestió
1. Es considera informació de gestió aquella que no ha sigut traspassada a altres arxius, centrals o històrics, en funció de la normativa de gestió documental aplicable.
2. Els servidors daplicació hauran de comptar amb un procés de salvament periòdic de les dades de les aplicacions. Aquests processos garantiran que el període màxim transcorregut, entre que una dada és canviada i salvada, no depasse els set dies.
3. Així mateix, hauran de comptar amb un mecanisme de reincorporació dinformació prèviament salvada, a executar en cas que es produïra una deterioració en el suport físic demmagatzemament de la informació.
4. Laplicació haurà de posseir un procediment escrit en què es dictaran les instruccions necessàries per al salvament i la recuperació de la informació, així com el període de salvament.
5. En relació a la funcionalitat de laplicació, els informes preceptius daquesta, segons redacció de larticle 22.4 a) del Decret 96/1998, de 6 de juliol, hauran de definir el moment o termini en què, en absència dimpugnacions, la informació manca de vigència administrativa, segons definició de larticle 3 del Decret 57/1984, de 21 de maig.
6. Amb una periodicitat mínima anual, sefectuarà un procediment de recuperació dinformació salvada, a fi de verificar que el procés de salvament sestà efectuant correctament.
Article 23. Compactació de la informació de gestió
1. Quan no es trobe garantit que el servidor daplicació puga mantenir les dades de gestió activament, llavors laplicació posseirà un procés de compactació que haurà de permetre eliminar del suport demmagatzemament, i amb una periodicitat donada, aquelles dades que no siguen utilitzades per a lexercici de potestats. Per tant, el procés de compactació extraurà només aquella informació que substancie el contingut dactes administratius.
2. En el cas que les dades compactades siguen, alhora, salvades en en un altre suport demmagatzemament, i, tot seguit, siguen eliminades del suport de gestió, haurà dexistir un altre procés que permeta reincorporar les dades compactades, de forma que siguen llegibles per laplicació.
3. Les dades compactades han de mantenir-se accessibles als usuaris de laplicació, fins que dita informació adquirisca el caràcter dhistòrica en funció de la normativa aplicable.
4. La informació que pertanya a expedients actius, no arxivats, no estarà subjecta al procés de compactació.
5. Laplicació haurà de comptar amb algun mecanisme que permeta marcar els expedients que es troben impugnats. Aquests expedients no seran sotmesos a compactació
Article 24. Canvis de versions, sistemes operatius o noves aplicacions
1. Quan laplicació siga substituïda per una nova aplicació, aquesta última haurà de posseir els mecanismes necessaris per a incorporar tota la informació existent fins aqueix moment, de gestió i compactada, al seu nou format. Només es permetrà la no incorporació, o la incorporació parcial, quan es trobe garantit el manteniment dels mitjans i suports que permeten accedir a la informació no incorporada.
2. Si una aplicació deixa dutilitzar-se, i el seu funcionalitat no és substituïda per una nova aplicació, sestarà als següents casos:
Si el manteniment dels suports i mitjans que executen dita aplicació es troba garantit en el termini en què les dades han de ser conservades, tant laplicació com els suports hauran de ser mantinguts, com també la documentació necessària per a lexplotació del sistema.
b) Si el manteniment no es troba garantit, aleshores les dades bàsiques de laplicació de caràcter no històric hauran de ser traspassades a un nou format, la durabilitat del qual es trobe garantida
Article 25. Conservació de dades personals
1. Les dades personals especialment sensibles, segons es defineixen en larticle 7 de la Llei Orgànica 5/1992, de 29 doctubre, que reflectisquen situacions transitòries, no seran incloses en el conjunt dinformació que sofrisca el procés de compactació.
2. Les dades personals referides en el paràgraf anterior hauran de ser eliminades completament del suport demmagatzemament, en el moment en què dita situació haja finalitzat.
CAPÍTOL III
Tractament dels documents electrònics
Article 26. Documents electrònics i aplicacions
1. Laplicació ha de recollir entre les seues pròpies funcionalitats, si fa el cas, el tractament dels documents electrònics pertanyents als procediments administratius gestionats.
2. Shaurà de publicar els distints tipus de documents electrònics que són gestionats per laplicació, relacionant-los amb els seus respectius procediments, així com el mode daccés als mateixos, si fa el cas.
3. Les especificacions de laplicació hauran de detallar larquitectura adoptada per al tractament dels distints tipus de documents gestionats, incloent les possibilitats de consulta i transmissió.
Article 27. Accessibilitat dels documents electrònics
Les aplicacions que gestionen documents electrònics hauran de posseir connectivitat a la Xarxa Corporativa de la Generalitat Valenciana, de manera que qualsevol persona, amb els permisos adequats, puga consultar aquests documents.
Article 28. Característiques dels documents electrònics
Un document electrònic ha de reunir les característiques següents:
a) Ha de trobar-se en la ubicació electrònica assignada al document
b) Ha de contenir o posseir un codi de validació, segons sespecifica en larticle 29.
c) El seu format ha de pertànyer a algun dels establits en els estàndards informàtics de la Generalitat Valenciana, aprovats pel Comité Tècnic per al Desplegament dels Sistemes dInformació
Article 29. Codis de validació dels documents electrònics
1. Els codis de validació dels documents electrònics han dhaver sigut generats mitjançant tècniques de xifrat, a partir de les següents dades, com a mínim:
a) Contingut del document electrònic.
b) Data i hora de generació del document electrònic.
2. Els codis de validació es podran guardar físicament de les maneres següents:
a) Com a part del contingut del document, addicionalment a la informació que substància lacte administratiu.
b) Com una informació annexa, el suport de la qual posseirà una relació biunívoca amb el suport que conté al document.
c) En un camp de la base de dades controlades per laplicació que gestiona els documents electrònics.
Article 30. Alteració i supressió de documents electrònics
1. Els documents electrònics no es podran alterar en cap cas.
2. Aquests mateixos documents electrònics només es podran suprimir, una vegada finalitzat el procediment i mitjançant els processos de conservació dinformació establits, sempre que es respecte allò establit en larticle 31.
3. Igualment, ni els suports ni els camps de base de dades on semmagatzemen els codis de validació, segons sestableix en larticle 29, podran ser objecte dalteració. Només podran ser eliminats, en aquests mateixos processos de conservació, quan es mantinga la coherència de la informació entre els documents i els seus codis de validació.
Article 31. Requeriments de les aplicacions
Les aplicacions que gestionen documents electrònics han de posseir enllaços amb aquests, de forma que es complisca el següent:
a) Lenllaç sha destablir en el moment i en el tràmit en què el document és generat
b) Si un document és substituït per un altre, es mantindrà lenllaç a ambdós documents, indicant quin és el document activament i actualment vàlid. Aquest punt no saplicarà quan aquesta substitució es produïsca com a rectificació derrors materials, de fet o aritmètics, en concordança amb allò que sha establit en larticle 105 de la Llei 30/1992, de 26 de novembre.
TÍTOL III
Mesures dorganització aplicables a la seguretat
i conservació de les aplicacions
CAPÍTOL I
El sistema de seguretat
Article 32. Del responsable de laplicació
El responsable de laplicació és una persona, pertanyent a la unitat, que utilitzarà laplicació per a lexercici de les seues potestats, designat per aquesta mateixa unitat abans de linici de lexplotació de laplicació, i que posseeix les següents funcions:
1. Designar i autoritzar els usuaris que han dutilitzar laplicació.
2. Assignar els accessos a què es permet a cada usuari, motivant aquests.
3. Autoritzar aquelles cessions de dades no previstes en laplicació, en la forma legalment prevista.
4. Definir els terminis en què la informació deixa de tindre vigència administrativa, podent ampliar, de forma motivada, el moment o termini en què la informació corresponent a determinats expedients deixa de tindre vigència administrativa, degut a lexistència dimpugnacions o al requeriment de lautoritat judicial o dalgun dels òrgans de control de ladministració.
5. Autoritzar, per escrit, linici de lexplotació de laplicació.
Article 33. Del responsable de seguretat
1. El responsable de seguretat és aquella persona la missió de la qual consisteix a garantir la seguretat dexplotació duna aplicació.
2. El responsable de seguretat serà designat per lautoritat autentificadora, a proposta de la Unitat Informàtica corresponent, dacord amb larticle 20.a del Decret 96/1998, de 6 de juliol.
3. El responsable de seguretat ha dhaver intervingut en el procediment daprovació de laplicació.
4. El responsable de seguretat ha de ser designat abans del moment en què comence lexplotació de laplicació.
5. El responsable de seguretat ha de rebre la formació adequada en la gestió de seguretat daqueixa aplicació concreta.
6. Laplicació no es posarà en marxa sense lautorització expressa, i per escrit, del responsable de seguretat.
Article 34. Dels usuaris
Els usuaris de les aplicacions, en lús de les mateixes per a lexercici de les seues funcions, tenen les obligacions mínimes següents:
a) Responsabilitat en el manteniment de les claus daccés. Lusuari té el deure de guardar secret en relació amb aquestes.
b) Notificar al responsable de seguretat quan el secret de la seua contrasenya shaja vist compromesa.
c) Obligació de tancar laplicació quan sabandone el lloc de treball.
d) Obligació de comunicació de les incidències de seguretat al responsable de seguretat
Article 35. Verificacions de seguretat
1. El responsable de seguretat ha de verificar lexistència duna sèrie de procediments de seguretat i conservació, abans dautoritzar larrancada duna aplicació.
2. Aquests procediments, que han de figurar per escrit, són els següents:
a) Mecanismes de seguretat dusuari.
b) Procediments de salvament i de recuperació.
c) Procediments de contingència.
d) Procediments de compactació, si fa el cas.
3. En aquests procediments cal especificar, com a mínim, el següent:
a) Relació de tasques a executar i dels processos implicats.
b) Resultat de cada tasca i procés.
c) Responsable de cadascuna de les tasques.
d) Periodicitat.
e) Documentació a complimentar en cada operació.
Article 36. Gestió del registre de codis dusuari
1. En compliment dallò establit en larticle 21 del Decret 96/1998, de 6 de juliol, el responsable de seguretat ha de mantenir un registre dels codis dusuari de laplicació.
2. No es podrà donar dalta un usuari, o modificar els drets daccés daquest a laplicació, si prèviament no ha sigut donat dalta en el registre.
3. El responsable de seguretat haurà de mantenir actualitzat aquest registre, mantenint la història del mateix a través de les següents actuacions:
a) A partir de les notificacions del responsable de laplicació.
b) A partir dels avisos de laplicació de codis daccés vençuts.
c) Validació periòdica, amb el concurs del responsable daplicació, dels usuaris de laplicació, definits així com els seus nivells daccés.
4. Així mateix, realitzarà les actuacions corresponents en laplicació, a fi dactualitzar correctament els drets daccés de cada usuari.
5. Amb una periodicitat trimestral, el responsable de seguretat haurà de sotmetre, a revisió exhaustiva, tots els permisos amb privilegis existents en laplicació.
Article 37. Drets daccés dusuaris
Dacord amb les especificacions de disseny, i amb les instruccions de la unitat competent, el responsable de seguretat ha de crear i mantenir actualitzada una normativa escrita que definisca els drets daccés a laplicació de cada usuari o grup dusuaris.
Article 38. Relació dincidències
1. El responsable de seguretat haurà de mantenir una relació dincidències on es recullen totes aquelles situacions i esdeveniments que hagen suposat una minva de la seguretat de laplicació en un moment donat. En aquesta relació han de figurar les dades següents:
a) Codi(s) dusuari(s) involucrats en la incidència.
b) Procés i funció involucrats.
c) Dades involucrades.
d) Descripció de la incidència.
e) Actuacions realitzades per a evitar la seua repetició.
2. El responsable de seguretat haurà de mantenir actualitzada aquesta relació a partir de les incidències que detecte o bé per les incidències comunicades, bé per les unitats competents o els seus usuaris, bé pel responsable de la unitat dinformàtica a què es troben adscrits els servidors daplicació.
3. El responsable de seguretat notificarà les incidències de seguretat a lautoritat autentificadora.
Article 39. Control dincidències
1. El responsable de seguretat efectuarà una anàlisi dincidències de seguretat, amb una periodicitat mensual. Els resultats daquesta anàlisi, així com les accions que es decidisquen iniciar com a conseqüència de la mateixa, seran notificats, per escrit a lautoritat autentificadora. A més, es remetran al responsable daplicació aquelles incidències relacionades amb el seu àmbit dactuació.
2. Lautoritat autentificadora efectuarà una anàlisi de totes les incidències ocorregudes en el seu àmbit dactuació, amb una periodicitat trimestral.
3. Com a conseqüència daquesta anàlisi, i quan sestime oportú, lautoritat autentificadora emetrà circulars dirigides a tots els responsables de seguretat, on es proporcionaran instruccions conduents a elevar el nivell de seguretat de les aplicacions.
CAPÍTOL II
Procediments de seguretat
Article 40. Alta, modificació i baixa dusuaris
1. El responsable de laplicació comunicarà al responsable de seguretat les altes, modificacions i baixes dusuaris, i li proporcionarà la informació necessària per a complimentar el registre dusuaris.
2. Cada nou usuari de laplicació ha de firmar un document, denominat credencial de seguretat, que formalitze el seu accés a laplicació, i mitjançant el qual reconega la comprensió i acceptació de les condicions daccés. En aquest document shan dexplicitar els següents punts
2.1 A nivell general de laplicació
a) Totes les obligacions que es relacionen en larticle 34.
b) Normes particulars de seguretat de laplicació.
2.2 A nivell particular de lusuari, o bé per tipus dusuari:
a) Drets daccés, açò és, funcionalitats i dades a què es troba autoritzat.
b) Drets daccés amb privilegis, si fa el cas.
3. En el moment en què lusuari firme la credencial, se li entregaran les seus claus daccés. Una còpia del document li serà entregada a lusuari.
4. Qualsevol canvi en les autoritzacions de seguretat comportarà lemissió i firma duna nova credencial.
Article 41. Formació dusuaris
1. La formació en qüestions de seguretat, amb especial menció a la formació en mecanismes antivirus, ha de ser proporcionada com una part integrant de la formació en laplicació
2. El responsable de seguretat comprovarà, mitjançant el mètode que estime més adient, que els usuaris que reben la credencial coneixen les mesures de seguretat de laplicació
Article 42. Protecció antivirus
1. Sense perjudici que les aplicacions posseïsquen mecanismes antivirus, els usuaris que posseïsquen estacions de treball tipus PC hauran de comprovar que el seu equip posseeix instal·lat un sistema antivirus i que funciona correctament. El responsable de seguretat prestarà suport als usuaris per a realitzar aquesta comprovació.
2. Daltra banda, el responsable de seguretat verificarà que les versions dels productes antivirus es troben correctament actualitzades. Es considerarà que succeeix una incidència quan el programa antivirus posseïsca una antiguitat superior a 6 mesos.
Article 43. Operació de les aplicacions
1. El responsable de seguretat verificarà que totes les tasques doperació de laplicació es realitzen en temps i forma. Sentén per tasques doperació les següents:
a) Salvament periòdic de dades.
b) Compactació de dades, si fa el cas.
2. En cas dincompliment dalguna daquestes, haurà de considerar aquest fet com una incidència, i com tal registrar-la.
3. Una còpia daquesta incidència, addicionalment al preceptiu enviament a lautoritat autentificadora, serà enviada al responsable de la unitat dinformàtica en què es troben adscrits els servidors daplicació.
Article 44. Manteniment daplicacions
1. El responsable de seguretat haurà dautoritzar prèviament la substitució de programes o elements de laplicació, quan aquests impliquen alteració de la funcionalitat de laplicació, en els termes establits en larticle 22.7 del Decret 96/1998.
2. Amb caràcter previ al canvi, el responsable de seguretat haurà daprovar els informes elaborats pel responsable del canvi, on sespecificarà i acreditarà, si més no, el següent:
a) Motiu del canvi.
b) Realització de proves que confirmen el bon funcionament dels programes o elements substituents.
c) Permanència de les mesures de seguretat que laplicació posseïsca.
d) Responsable/s del canvi.
3. El responsable de seguretat haurà de portar una relació de totes les substitucions de programes o elements de laplicació, registrant el moment en què aquests comencen a ser operatius.
Article 45. Procediment de contingència
1. Cada usuari ha de disposar duna còpia del procediment de contingència, en aquells aspectes que lafecten, en un lloc accessible. Així mateix, ha dhaver sigut instruït sobre les actuacions que ha dexecutar en cada situació prevista.
2. Les situacions en què es produïsca una contingència han de ser registrades com una incidència.
3. Quan el responsable de seguretat ho estime oportú, podrà realitzar simulacres de situacions de contingència, a fi de verificar lexecució de les respostes adequades en cada cas.
4. Els resultats no previstos daquest simulacre han de registrar-se com a incidències.
Article 46. Elements de seguretat
1. Les ubicacions físiques on es troben els servidors daplicacions hauran de trobar-se en àrees tancades o àrees de seguretat.
2. La porta daccés a aquesta àrea haurà de trobar-se permanentment tancada, i amb mecanismes per al control daccessos a aquesta.
3. Aquests dispositius poden ser substituïts, alternativament, per un sistema daccés mitjançant codis personals.
4. Els materials perillosos i/o combustibles han demmagatzemar-se en lexterior de làrea i a una distància de seguretat de la sala dordinadors.
5. Els dispositius de salvament de dades (cintes, cassettes, etc.) semmagatzemaran en armaris ignífugs, preferentment en altres locals diferents a les àrees de seguretat. Aquests armaris estaran tancats de forma segura.
6. Ha dinstal·lar-se en làrea un adequat equipament de seguretat, com ara sistemes dextinció, detectors de fums, etc.
7. El personal extern, que haja defectuar treballs en linterior de làrea de seguretat, ha de trobar-se degudament autoritzat i identificat. El responsable de làrea estendrà una acreditació a favor daquest personal.
8. El personal extern, no acreditat, mai romandrà a soles en linterior de làrea de sistemes, sense la presència, almenys, duna persona habilitada per a aquesta àrea.
Article 47. Supervisió delements de seguretat
1. El responsable de seguretat revisarà, en aquelles aplicacions del seu àmbit, que els locals i els servidors daplicacions al servei daquelles compleixen els requisits de seguretat que sestableixen en aquestes normes.
2. En cas dincompliment dalguna daquestes, haurà de considerar aquest fet com una incidència, i com a tal registrar-se.