Ficha disposicion pc

Texto h2

diari

ORDEN de 3 de diciembre de 1999, de la Conselleria de Justicia y Administraciones Públicas, por la que se aprueba el Reglamento Técnico de Medidas de Seguridad para la Aprobación y Homologación de Aplicaciones y Medios de Tratamiento Automatizado de la Información. [1999/M11020]

(DOGV núm. 3667 de 17.01.2000) Ref. Base Datos 0182/2000

ORDEN de 3 de diciembre de 1999, de la Conselleria de Justicia y Administraciones Públicas, por la que se aprueba el Reglamento Técnico de Medidas de Seguridad para la Aprobación y Homologación de Aplicaciones y Medios de Tratamiento Automatizado de la Información. [1999/M11020]
La introducción de las nuevas tecnologías del tratamiento de la información ha supuesto un notable avance en los procesos de racionalización y modernización de las administraciones públicas. Sin embargo, su utilización requiere el establecimiento de unos requisitos que garanticen los derechos de los ciudadanos.
En el artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se consagra la utilización de los medios electrónicos, informáticos y telemáticos por parte de las unidades administrativas para el ejercicio de sus competencias. En este artículo se regulan los requisitos básicos que deben cumplir estos medios con la finalidad de que sus resultados gocen de validez jurídica plena.
Adicionalmente, la Generalitat Valenciana ha efectuado un desarrollo normativo de este artículo plasmado en el Decreto 96/1998, de 6 de julio, por el que se regula, entre otros, la utilización de las técnicas electrónicas, informáticas y telemáticas. En este decreto se fijan las aplicaciones sometidas a aprobación, se detallan los requerimientos a cubrir por cada uno de los elementos implicados en el tratamiento de la información y se dicta el procedimiento mediante el cual un sistema es aprobado y publicado.
Sin embargo, dado que los criterios fijados en el Decreto 96/1998, de 6 de julio, no pueden llegar al nivel de detalle necesario para afianzar las garantías estipuladas en el mismo, en diferentes artículos se establece la obligación de efectuar un desarrollo reglamentario que proporcione el adecuado nivel de concreción a los requisitos que de forma general se establecen en el decreto.
Adicionalmente, dado que la gestión de los documentos electrónicos no se encuentra totalmente resuelta, y por tanto normada, en las aplicaciones de utilización general, procede efectuar un desarrollo específico con el fin de contemplar la casuística particular del tratamiento documental.
Se hace, pues, de todo punto conveniente dictar una normativa de desarrollo que establezca reglamentariamente, de modo unificado y al nivel de detalle necesario, cuales son los requisitos técnicos y de organización que proporcionan las garantías estipuladas para la utilización de los medios electrónicos, informáticos y telemáticos, incluyendo la gestión de los documentos.
La Disposición Final del Decreto 96/1998, de 6 de julio, autoriza al conseller de Economía, Hacienda y Administración Pública para dictar cuantas disposiciones sean precisas para establecer criterios generales en desarrollo y ejecución de lo dispuesto en el mismo, previo informe de Comité Técnico para el Desarrollo de los Sistemas de Información.
Asimismo, la Orden de 29 de septiembre de 1999, de la Conselleria de Justicia y Administraciones Públicas, por la que se desarrolla el Decreto 91/1999, de 30 de julio, del Gobierno Valenciano, por el que se aprueba el Reglamento Orgánico y Funcional de la Conselleria de Justicia y Administraciones Públicas, establece en su artículo 6 :
«La Dirección General para la Modernización y Racionalización de la Administración Pública, desarrolla las funciones derivadas de las competencias previstas en el artículo 16 del Reglamento Orgánico y Funcional y aquellas otras, salvo las relativas a materia de personal, atribuidas a la Subsecretaría para la Modernización de las Administraciones Públicas y a la anterior Dirección General para la Racionalización del Sector Público en las demás disposiciones normativas, asimismo, las referencias en las mismas al conseller de Economía, Hacienda y Administración Pública se entenderán hechas al conseller de Justicia y Administraciones Públicas.»
En su virtud, y en ejercicio de las competencias que me confiere el artículo 35 de la Ley 5/1983, de 30 de diciembre, de Gobierno Valenciano
DISPONGO
Artículo único
Se aprueba el Reglamento Técnico de Aprobación y Homologación de Aplicaciones y Medios de Tratamiento Automatizado de la Información, que figura como anexo a la presente orden.
DISPOSICIÓN TRANSITORIA
Adecuación de soportes, medios y aplicaciones.
Sin perjuicio de lo establecido en la normativa estatal, todas las aplicaciones aprobadas con anterioridad a la fecha de publicación de la presente disposición dispondrán de un año para adaptarse a los preceptos del reglamento.
No obstante, para aquellas aplicaciones que tecnológicamente no puedan cumplir alguno de los requisitos expresados en el presente reglamento, la autoridad de autentificación, de forma motivada por el organismo responsable de la aplicación, y en el ejercicio de las funciones reconocidas en el artículo 20.b) del Decreto 96/1998, de 6 de julio, podrá ampliar su plazo de adaptación en función de su complejidad técnica, hasta un máximo de tres años.
DISPOSICIONES FINALES
Primera. Desarrollo del reglamento
Se autoriza a la directora general para la Modernización y Racionalización de la Administración Pública para dictar las instrucciones oportunas en orden a la interpretación y aplicación del reglamento.
Segunda. Entrada en vigor.
La presente orden entrará en vigor al mes de su publicación en el Diari Oficial de la Generalitat Valenciana.
Valencia, 3 de diciembre de 1999
El conseller de Justicia y Administraciones Públicas,
SERAFÍN CASTELLANO GÓMEZ
ANEXO
Reglamento Técnico de Medidas de Seguridad para la Aprobación y Homologación de Aplicaciones y Medios de Tratamiento Automatizado de la Información
Índice
TÍTULO I
Disposiciones generales
Artículo l. Objeto
Artículo 2. Ámbito de aplicación
Artículo 3. Definiciones
TÍTULO II
Medidas técnicas de seguridad y conservación de las aplicaciones
CAPÍTULO I
Seguridad de las aplicaciones
Artículo 4. Cifrado
Articulo 5. Uso del control de acceso
Artículo 6. Control de acceso. Accesos especiales y vigencia de accesos
Artículo 7. Control de acceso. Contraseñas
Artículo 8. Control de acceso. Puertas falsas
Artículo 9. Control de acceso. Accesos de terceras partes
Artículo 10. Control de acceso. Inactividad del sistema
Artículo 11. Control de acceso. Sistemas operativos
Artículo 12. Integridad. Procesos con múltiples actualizaciones
Artículo 13. Integridad. Informaciones confidenciales
Artículo 14. Integridad. Protecciones antivirus
Artículo 15. Disponibilidad
Artículo 16. Trazabilidad
Artículo 17. Comunicaciones electrónicas de datos
Artículo 18. Transmisión de contraseñas
Artículo 19. Transmisión de informaciones sensibles
Artículo 20. Autenticación, integridad y no repudio en comunicaciones
Artículo 21. Tercera parte de confianza en las comunicaciones
CAPÍTULO II
Conservación de la información
Artículo 22. Conservación de la información de gestión
Artículo 23. Compactación de la información de gestión
Artículo 24. Cambios de versiones, sistemas operativos o nuevas aplicaciones
Artículo 25. Conservación de datos personales
CAPÍTULO III
Tratamiento de los documentos electrónicos
Artículo 26. Documentos electrónicos y aplicaciones
Artículo 27. Accesibilidad de los documentos electrónicos
Artículo 28. Características de los documentos electrónicos
Artículo 29. Códigos de validación de documentos electrónicos
Artículo 30. Modificación y supresión de documentos electrónicos
Artículo 31. Requerimientos de las aplicaciones
TÍTULO III
Medidas de organización aplicables a la seguridad y conservación de las aplicaciones
CAPÍTULO I
El sistema de seguridad
Artículo 32. Del responsable de la aplicación
Artículo 33. Del responsable de seguridad
Artículo 34. De los usuarios
Artículo 35. Verificaciones de seguridad
Artículo 36. Gestión del registro de códigos de usuario
Artículo 37. Derechos de acceso de usuarios
Artículo 38. Relación de incidencias
CAPÍTULO II
Procedimientos de seguridad
Artículo 39. Control de incidencias
Artículo 40. Alta, modificación y baja de usuarios
Artículo 41. Formación de usuarios
Artículo 42. Protección antivirus
Artículo 43. Operación de las aplicaciones
Artículo 44. Mantenimiento de aplicaciones
Artículo 45. Procedimientos de contingencia
Artículo 46. Elementos de seguridad
Artículo 47. Supervisión de elementos de seguridad
TÍTULO I
Disposiciones generales
Artículo 1. Objeto
El presente reglamento tiene por objeto la regulación, en el ámbito de la Generalitat Valenciana, de las medidas de seguridad y organización que deben reunir las aplicaciones electrónicas, informáticas o telemáticas así como el tratamiento de los documentos electrónicos en estas aplicaciones.
Artículo 2. Ámbito de aplicación
1. Este reglamento será de aplicación a todas las aplicaciones sometidas al procedimiento de aprobación, publicación y homologación establecido en el Decreto 96/1998, de 6 de julio, por el que se regula, entre otros aspectos, la utilización de los sistemas de información.
Artículo 3. Definiciones
a) Usuario: sujeto o proceso que utiliza una aplicación
b) Código de usuario: código que la aplicación utiliza para identificar un usuario
c) Contraseña o clave: información confidencial, frecuentemente constituida por una cadena de caracteres, que se utiliza para la autenticación de un usuario
d) Permisos: nivel de seguridad que proporciona una determinada clave
e) Clave con privilegios de acceso: aquellas claves que permiten cambiar ciertos controles de seguridad de la aplicación.
f) Clave compartida o multiusuario: aquella clave que permite a un grupo de usuarios utilizar concurrentemente la aplicación usando una misma clave
g) Puerta falsa: aquella clave secreta, no registrada en la aplicación, pero que permite superar, total o parcialmente, los mecanismos de seguridad del sistema de información.
h) Tercera parte: persona física o jurídica distinta de la administración de la Generalitat Valenciana
i) Sistema de cortafuegos: sistema que restringe y filtra el acceso, efectuado por medios telemáticos, a las aplicaciones.
j) Contingencia: toda aquella situación que suponga una alteración de las condiciones normales de explotación de la aplicación. Incluye desde caídas de tensión hasta daños irreparables en unidades de almacenamiento pasando por saturación de líneas de comunicaciones
k) Proceso informático: programa o conjunto de programas informáticos pertenecientes a una aplicación que producen un resultado concreto.
l) Sistema operativo: programa o conjunto de programas informáticos de nivel básico que permiten la interacción entre los equipos físicos y las aplicaciones.
m) Servidor de aplicación: todos los sistemas, equipos y medios que soportan la ejecución de una aplicación, siempre que su arquitectura permita su utilización simultánea por mas de un usuario.
n) Virus informático: programa informático cuya finalidad consiste en alguna de las siguientes:
- Alterar el funcionamiento de los equipos
- Destruir la información existente en los soportes de almacenamiento
ñ) Salvado: operación consistente en extraer una copia de los datos actuales de una aplicación desde el dispositivo de almacenamiento habitual a otro dispositivo diferente con el fin de garantizar la conservación de la información
o) Compactación: proceso mediante el cual se eliminan aquellos datos no esenciales de la aplicación. Es un proceso que se ejecuta con el fin de ahorrar espacio de almacenamiento. La información compactada puede mantenerse en el equipo o bien puede ser salvada y eliminada del mismo.
p) Tipos de documentos electrónicos: Se entiende cada uno de los distintos tipos de documentos que intervienen en un expediente individual. Por tanto, la distinción es funcional, por su naturaleza administrativa, no por su formato electrónico.
q) Alteración de documentos: Se entiende que un documento electrónico es alterado cuando se cambia el contenido del mismo, aquel que sustancia el acto administrativo, sin perjuicio de que tecnológicamente puedan modificarse algunos atributos de la entidad electrónica que soporta el contenido del mismo, atributos que no afectan al contenido jurídico del documento.
TÍTULO II
Medidas técnicas de seguridad
y conservación de las aplicaciones
CAPÍTULO I
Seguridad de las aplicaciones
Artículo 4. Cifrado
1. Los algoritmos de cifrado que se empleen para garantizar la autenticidad, integridad y confidencialidad de las informaciones, así como de sus transmisiones, deberán basarse, cuando tecnológicamente se encuentren contempladas, en normas establecidas por AENOR o por alguno de los organismos reconocidos por este organismo nacional.
2. Cuando no pueda emplearse una normativa establecida por AENOR, o por alguno de los organismos reconocidos por este organismo nacional, la autoridad autentificadora aprobará el algoritmo de cifrado empleado.
3. Los algoritmos de cifrado utilizados por la aplicación deben ser publicados junto con las características de la misma.
Artículo 5. Uso del control de acceso
Para poder usar una aplicación será necesario introducir o teclear, al menos, la contraseña que el usuario posea, sin perjuicio de la utilización de otros mecanismos adicionales que incrementen el nivel de seguridad de la aplicación.
Artículo 6. Control de acceso. Accesos especiales y vigencia de accesos
1. La aplicación no debe permitir la utilización de claves compartidas o multiusuarios, por tanto la clave debe ser un identificador único, personal e intransferible del usuario.
2. La aplicación poseerá puntos de acceso independientes del reto de las funcionalidades de la aplicación para que los usuarios con privilegios especiales, aquellos que permiten alterar ciertos controles de seguridad, puedan realizar sus funciones de seguridad.
3. La aplicación avisará, para proceder a su eventual eliminación, de aquellos códigos de usuario que no hayan sido utilizados en el plazo máximo de tres meses.
4. Asimismo, en aquellas aplicaciones en que el usuario pueda cambiar libremente su contraseña, el sistema avisará de aquellas claves de acceso que se encuentren vencidas.
Artículo 7. Control de acceso. Contraseñas
1. La aplicación no debe mostrar la contraseña cuando se esté tecleando
2. La aplicación almacenará las contraseñas mediante algoritmos de cifrado. Los archivos donde se guarden las contraseñas serán distintos de los que contienen datos. La aplicación no contendrá el algoritmo de descifrado de las contraseñas.
3. Las aplicaciones que permitan al usuario elegir su propia contraseña deben realizar los siguientes controles:
a) Obligará a que las contraseñas posean una longitud mínima de seis caracteres así como la inclusión del algún tipo de carácter distinto del alfabético.
b) Forzará a los usuarios a cambiar las contraseñas cada tres meses como máximo
c) La contraseña proporcionada inicialmente al usuario se considerará provisional y obligará a su cambio en la primera conexión a la aplicación
d) Deben evitar la repetición de contraseñas
Artículo 8. Control de acceso: Puertas falsas
Las aplicaciones no deberán poseer algoritmos o mecanismos que permitan la utilización de puertas falsas como medios excepcionales de acceso al sistema de información.
Artículo 9. Control de acceso: Accesos de terceras partes
1. Los sistemas o servidores de aplicación deberán estar protegidos mediante un sistema de cortafuegos que restrinja los accesos a los estrictamente necesarios en el caso de comunicaciones con terceras partes.
2. En ningún caso los sistemas cortafuegos se ubicarán en las mismas máquinas donde residan los datos o las aplicaciones.
Artículo 10. Control de acceso: Inactividad del sistema
1. En la medida en que tecnológicamente sea factible las aplicaciones, o los medios que las soporten, poseerán mecanismos que desconecten el acceso del usuario a la aplicación si el mismo no ha interactuado con la aplicación o con los medios que la soporten en el plazo establecido por el manual de seguridad de la aplicación.
2. En aquellos casos particulares en los que esta medida no se implante directamente sobre la aplicación sino sobre otros medios auxiliares que soportan su ejecución (sistemas operativos, salvapantallas, etc.), este hecho vendrá referido en el manual de instalación de la aplicación así como en el manual de seguridad de la misma.
Artículo 11. Control de acceso: Sistemas operativos
En aquellos casos en que los sistemas operativos, sistemas de soporte, o cualquier otra clase de herramienta, permitan acceder a la información almacenada por las aplicaciones sin necesidad de pasar los mecanismos de seguridad de éstas, entonces se deberán implantar las medidas técnicas o de organización necesarias para restringir el acceso a la información a las personas realmente autorizadas.
Artículo 12. Integridad. Procesos con múltiples actualizaciones
Las aplicaciones que ejecuten transacciones o procesos donde se produzcan múltiples actualizaciones de datos, los cuales se encuentren relacionados entre sí, deberán poseer herramientas o mecanismos que aseguren la integridad de estos datos relacionados en el caso de que se produzca un fallo de proceso y no se pueda completar la transacción.
Artículo 13. Integridad. Informaciones confidenciales
En aquellos supuestos en que el análisis de riesgos determine que la información calificada como confidencial no se encuentra suficientemente protegida con el control de accesos, dicha información se deberá cifrar sobre el soporte de almacenamiento.
Artículo 14. Integridad. Protecciones antivirus
1. Cuando las aplicaciones se implanten sobre servidores de aplicación que potencialmente pudieran ser atacados por virus informáticos, dichos servidores deberán poseer protecciones antivirus residentes en todas las unidades de proceso que intervengan en la ejecución del sistema de información.
2. En aquellos casos donde los equipos de los usuarios pudieran potencialmente ser atacados por virus informáticos, estos equipos deben poseer protecciones antivirus.
3. El manual de seguridad de la aplicación deberá dedicar un capítulo a los procedimientos de protección antivirus, tanto de operación como de usuario
Artículo 15. Disponibilidad
Los servidores de aplicación deben cumplir las siguientes medidas:
1. Los equipos que soporten determinados procesos, cuya interrupción accidental pueda provocar alteración o pérdida de datos o documentos administrativos, deben estar protegidos contra fallos de suministro eléctrico mediante sistemas de alimentación ininterrumpida.
2. Los equipos que soporten procesos especialmente críticos deben ser equipos de alta disponibilidad, que posean mecanismos tolerantes a fallos.
3. Los equipos deben mantenerse de acuerdo con las especificaciones de los suministradores de servicio.
4. Las áreas físicas donde se encuentren situados los equipos deben encontrarse convenientemente aseguradas frente a riesgos derivados de accesos indeseados así como amenazas de entorno, tales como fuegos, humos, agua, etc.
Artículo 16. Trazabilidad
Las aplicaciones deben estar dotadas de pistas de auditorías, que deberán registrar el código de usuario, fecha, hora y proceso mediante el que se ha realizado un alta, modificación o baja de cualquier información que sustancie el ejercicio de una potestad o de aquella información calificada como sensible.
Artículo 17. Comunicaciones electrónicas de datos
Cuando se transmitan informaciones o datos, la aplicación o los medios y soportes empleados para la transmisión deberán poseer, en el supuesto de que las redes de transmisión no se consideren totalmente seguras, mecanismos que criptografíen, en todo o en parte, el contenido de la transmisión. Aquellos datos considerados confidenciales se criptografiarán en su totalidad.
Artículo 18. Transmisión de contraseñas
Cuando se transmitan contraseñas, o en general cualquier información que permita garantizar la integridad, autenticidad y confidencialidad de las transmisiones, dichos códigos o informaciones se transmitirán criptografiados en su totalidad.
Artículo 19. Transmisión de informaciones sensibles
Cuando las informaciones sensibles deban ser transmitidas se deberán criptografiar previamente.
Artículo 20. Autenticación, integridad y no repudio en comunicaciones
1. La aplicación, o bien los medios o soportes empleados en la transmisión, deberá ser capaz de proveer de certificados de autenticidad, emitidos por la autoridad autentificadora, para todas aquellas comunicaciones en que el receptor necesite garantías de la identidad de la otra parte y de que la transmisión no ha sido alterada.
2. Para aquellas aplicaciones que requieran la garantía adicional del no repudio, la aplicación, o bien los medios o soportes empleados en la transmisión, deberán incorporar mecanismos que aseguren la irrenunciabilidad de la participación del transmisor y del receptor cuando se produzcan comunicaciones.
Artículo 21. Tercera parte de confianza en las comunicaciones
Las aplicaciones, o bien los medios o soportes empleados en la transmisión, gestionarán la asignación de claves públicas, claves privadas y los servicios de certificación a través de los medios y soportes dispuestos por la Autoridad Autentificadora para estos fines.
CAPÍTULO II
Conservación de la información
Artículo 22. Conservación de la información de gestión
1. Se considera información de gestión aquella que no ha sido traspasada a otros archivos, centrales o históricos, en función de la normativa de gestión documental aplicable.
2. Los servidores de aplicación deberán contar con un proceso de salvado periódico de los datos de las aplicaciones. Estos procesos garantizarán que el período máximo transcurrido entre que un dato es cambiado y el dato es salvado no podrá exceder de siete días.
3. Asimismo, deberán contar con un mecanismo de reincorporación de información previamente salvada, a ejecutar en caso de que se produjera un deterioro en el soporte físico de almacenamiento de la información.
4. La aplicación deberá poseer un procedimiento escrito en el cual se dictarán las instrucciones necesarias para el salvado y la recuperación de la información, así como el período de salvado.
5. En relación a la funcionalidad de la aplicación, los informes preceptivos de la misma, según redacción del artículo 22.4 a) del Decreto 96/1998, de 6 de julio, deberán definir el momento o plazo en que, en ausencia de impugnaciones, la información carece de vigencia administrativa, según definición del artículo 3 del Decreto 57/1984, de 21 de mayo.
6. Con una periodicidad mínima anual se efectuará un procedimiento de recuperación de información salvada con la finalidad de verificar que el proceso de salvado se está efectuando correctamente.
Artículo 23. Compactación de la información de gestión
1. Cuando no se encuentre garantizado que el servidor de aplicación pueda mantener los datos de gestión activamente entonces la aplicación poseerá un proceso de compactación que deberá permitir eliminar del soporte de almacenamiento, con una periodicidad dada, aquellos datos que no sean utilizados para el ejercicio de potestades. Por tanto, el proceso de compactación extraerá solamente aquella información que sustancie el contenido de actos administrativos.
2. En el caso de que los datos compactados sean a su vez salvados a otro soporte de almacenamiento, y a continuación sean eliminados del soporte de gestión, deberá existir otro proceso que permita reincorporar los datos compactados de forma que sean legibles por la aplicación.
3. Los datos compactados deben mantenerse accesibles a los usuarios de la aplicación hasta que dicha información adquiera el carácter de histórica en función de la normativa aplicable.
4. La información que pertenezca a expedientes activos, no archivados, no estará sujeta al proceso de compactación.
5. La aplicación deberá contar con algún mecanismo que permita marcar los expedientes que se encuentren impugnados. Estos expedientes no serán sometidos a compactación
Articulo 24. Cambios de versiones, sistemas operativos o nuevas aplicaciones
1. Cuando la aplicación sea sustituida por una nueva aplicación, esta última deberá poseer los mecanismos necesarios para incorporar toda la información existente hasta ese momento, de gestión y compactada, a su nuevo formato. Solamente se permitirá la no incorporación o la incorporación parcial cuando se encuentre garantizado el mantenimiento de los medios y soportes que permitan acceder a la información no incorporada.
2. Si una aplicación deja de utilizarse y su funcionalidad no es sustituida por una nueva aplicación se estará en los siguientes casos:
a) Si el mantenimiento de los soportes y medios que ejecutan dicha aplicación se encuentra garantizado en el plazo en que los datos deben ser conservados, tanto la aplicación como los soportes deberán ser mantenidos, así como la documentación necesaria para la explotación del sistema
b) Si el mantenimiento no se encuentra garantizado, entonces los datos básicos de la aplicación de carácter no histórico deberán ser traspasados a un nuevo formato cuya durabilidad se encuentre garantizada
Artículo 25. Conservación de datos personales
1. Los datos personales especialmente sensibles, según se definen en el artículo 7 de la Ley Orgánica 5/1992, de 29 de octubre, que reflejen situaciones transitorias no serán incluidos en el conjunto de información que sufra el proceso de compactación.
2. Los datos personales referidos en el párrafo anterior deberán ser eliminados completamente del soporte de almacenamiento en el momento en que dicha situación haya finalizado.
CAPÍTULO III
Tratamiento de los documentos electrónicos
Artículo 26. Documentos electrónicos y aplicaciones
1. La aplicación debe recoger entre sus propias funcionalidades, en su caso, el tratamiento de los documentos electrónicos pertenecientes a los procedimientos administrativos gestionados.
2. Se deberá publicar los distintos tipos de documentos electrónicos que son gestionados por la aplicación, relacionándolos con sus respectivos procedimientos, así como el modo de acceso a los mismos, en su caso.
3. Las especificaciones de la aplicación deberán detallar la arquitectura adoptada para el tratamiento de los distintos tipos de documentos gestionados, incluyendo las posibilidades de consulta y transmisión.
Artículo 27. Accesibilidad de los documentos electrónicos
Las aplicaciones que gestionen documentos electrónicos deberán poseer conectividad a la Red Corporativa a la Generalitat Valenciana, de modo que cualquier persona con los permisos adecuados pueda consultar estos documentos.
Artículo 28. Características de los documentos electrónicos
Un documento electrónico debe reunir las siguientes características:
a) Debe encontrarse en la ubicación electrónica asignada al documento
b) Debe contener o poseer un código de validación según se especifica en el artículo 29
c) Su formato debe pertenecer a alguno de los establecidos en los Estándares Informáticos de la Generalitat Valenciana, aprobados por el Comité Técnico para el Desarrollo de los Sistemas de Información
Artículo 29. Códigos de validación de los documentos electrónicos
1. Los códigos de validación de los documentos electrónicos deben haber sido generados mediante técnicas de cifrado a partir de los siguientes datos, como mínimo:
a) Contenido del documento electrónico
b) Fecha y hora de generación del documento electrónico
2. Los códigos de validación se podrán guardar físicamente de las siguientes formas:
a) Como parte del contenido del documento, adicionalmente a la información que sustancia el acto administrativo
b) Como una información anexa, cuyo soporte poseerá una relación biunívoca con el soporte que contiene al documento.
c) En un campo de la base de datos controlada por la aplicación que gestiona los documentos electrónicos
Artículo 30. Alteración y supresión de documentos electrónicos
1. Los documentos electrónicos no se podrán alterar en ningún caso.
2. Estos mismos documentos electrónicos solamente se podrán suprimir, una vez finalizado el procedimiento y mediante los procesos de conservación de información establecidos, siempre que se respete lo establecido en el artículo 31.
3. Del mismo modo, ni los soportes ni los campos de base de datos donde se almacenen los códigos de validación, según se establece en el artículo 29, podrán ser objeto de alteración. Solamente podrán ser eliminados en estos mismos procesos de conservación de forma que se mantenga la coherencia de la información entre los documentos y sus códigos de validación.
Artículo 31. Requerimientos de las aplicaciones
Las aplicaciones que gestionen documentos electrónicos deben poseer enlaces a los mismos de forma que se cumpla lo siguiente:
a) El enlace se debe establecer en el momento y en el trámite en el que el documento es generado
b) Si un documento es sustituido por otro, se mantendrá el enlace a ambos documentos, indicando cual es el documento activo y actualmente válido. Este punto no aplicará cuando esta sustitución se produzca como rectificación de errores materiales, de hecho o aritméticos, en concordancia con lo establecido en el artículo 105 de la ley 30/1992, de 26 de noviembre.
TÍTULO III
Medidas de organización aplicables a la seguridad
y conservación de las aplicaciones
CAPÍTULO I
El sistema de seguridad
Artículo 32. Del responsable de la aplicación
El responsable de la aplicación es una persona perteneciente a la unidad que utilizará la aplicación para el ejercicio de sus potestades, designado por esta misma unidad antes del inicio de la explotación de la aplicación, y que posee las siguientes funciones:
1. Designar y autorizar a los usuarios que deben utilizar la aplicación
2. Asignar los accesos a que se permite a cada usuario, motivando los mismos
3. Autorizar aquellas cesiones de datos no previstas en la aplicación en la forma legalmente prevista
4. Definir los plazos en los que la información deja de tener vigencia administrativa, pudiendo ampliar, de forma motivada, el momento o plazo en que la información correspondiente a determinados expedientes deja de tener vigencia administrativa, debido a la existencia de impugnaciones o al requerimiento de la autoridad judicial o de alguno de los órganos de control de la administración.
5. Autorizar, por escrito, el inicio de la explotación de la aplicación
Artículo 33. Del responsable de seguridad
1. El responsable de seguridad es aquella persona cuya misión consiste en garantizar la seguridad de explotación de una aplicación.
2. El responsable de seguridad será designado por la autoridad autentificadora, a propuesta de la Unidad Informática correspondiente, de acuerdo con el artículo 20.a del Decreto 96/1998, de 6 de julio.
3. El responsable de seguridad debe haber intervenido en el procedimiento de aprobación de la aplicación.
4. El responsable de seguridad debe ser designado antes del momento en que comience la explotación de la aplicación.
5. El responsable de seguridad debe recibir la formación adecuada en la gestión de seguridad de esa aplicación concreta.
6. La aplicación no se podrá en marcha sin la autorización expresa, y por escrito, del responsable de seguridad.
Artículo 34. De los usuarios
Los usuarios de las aplicaciones, en el uso de las mismas para el ejercicio de sus funciones, tienen las siguientes obligaciones mínimas:
a) Responsabilidad en el mantenimiento de las claves de acceso. El usuario tiene el deber de secreto con relación a las mismas
b) Notificar al responsable de seguridad cuando el secreto de su contraseña se haya visto comprometido
c) Obligación de cerrar la aplicación cuando se abandone el puesto de trabajo
d) Obligación de comunicación de las incidencias de seguridad al responsable de seguridad
Artículo 35. Verificaciones de seguridad
1. El responsable de seguridad debe verificar la existencia de una serie de procedimientos de seguridad y conservación antes de autorizar el arranque de una aplicación.
2. Estos procedimientos, que deben figurar por escrito, son los siguientes:
a) Mecanismos de seguridad de usuario
b) Procedimientos de salvado y recuperación
c) Procedimientos de contingencia
d) Procedimientos de compactación, en su caso
3. En estos procedimientos se debe especificar, como mínimo, lo siguiente:
a) Relación de tareas a ejecutar y procesos implicados
b) Resultado de cada tarea y proceso
c) Responsable de cada una de las tareas
d) Periodicidad
e) Documentación a cumplimentar en cada operación
Artículo 36. Gestión del registro de códigos de usuario
1. En cumplimiento de lo establecido en el artículo 21 del Decreto 96/1998, de 6 de julio, el responsable de seguridad debe mantener un registro de los códigos de usuario de la aplicación.
2. No se podrá dar de alta un usuario o modificar los derechos de acceso del mismo a la aplicación si previamente no ha sido dado de alta en este registro.
3. El responsable de seguridad deberá mantener actualizado este registro, manteniendo la historia del mismo, a través de las siguientes actuaciones:
a) A partir de las notificaciones del responsable de la aplicación
b) A partir de los avisos de la aplicación de códigos de acceso vencidos
c) Validación periódica, con el concurso del responsable de aplicación, de los usuarios de la aplicación definidos así como sus niveles de acceso
4. Asimismo, realizará las actuaciones correspondientes en la aplicación con el fin de actualizar correctamente los derechos de acceso de cada usuario.
5. Con una periodicidad trimestral, el responsable de seguridad deberá someter a revisión exhaustiva todos los permisos con privilegios existentes en la aplicación.
Artículo 37. Derechos de acceso de usuarios
De acuerdo con las especificaciones de diseño y con las instrucciones de la unidad competente, el responsable de seguridad debe crear y mantener actualizada una normativa escrita que defina los derechos de acceso a la aplicación de cada usuario o grupo de usuarios.
Artículo 38. Relación de incidencias
1. El responsable de seguridad deberá mantener una relación de incidencias donde se recojan todas aquellas situaciones y acontecimientos que hayan supuesto una merma de la seguridad de la aplicación en un momento dado. En esta relación se deben llevar los siguientes datos:
a) Código(s) de usuario(s) involucrados en la incidencia
b) Proceso y función involucrados
c) Datos involucrados
d) Descripción de la incidencia
e) Actuaciones realizadas para evitar su repetición
2. El responsable de seguridad deberá mantener actualizada esta relación a partir de las incidencias que detecte o bien por las incidencias comunicadas, bien por las unidades competentes o sus usuarios, bien por el responsable de la unidad de informática a la que se encuentren adscritos los servidores de aplicación.
3. El responsable de seguridad notificará las incidencias de seguridad a la autoridad autentificadora.
Artículo 39. Control de incidencias
1. El responsable de seguridad efectuará un análisis de incidencias de seguridad con una periodicidad mensual. Los resultados de este análisis, así como las acciones que se decidan iniciar como consecuencia del mismo, serán notificados, por escrito, a la autoridad autentificadora. Asimismo, se remitirán al responsable de aplicación aquellas incidencias relacionadas con su ámbito de actuación.
2. La autoridad autentificadora efectuará un análisis de todas las incidencias ocurridas en su ámbito de actuación con una periodicidad trimestral.
3. Como consecuencia de este análisis, y cuando se estime oportuno, la autoridad autentificadora emitirá circulares dirigidas a todos los responsables de seguridad donde se proporcionarán instrucciones conducentes a elevar el nivel de seguridad de las aplicaciones.
CAPÍTULO II
Procedimientos de seguridad
Artículo 40. Alta, modificación y baja de usuarios
1. El responsable de la aplicación comunicará al responsable de seguridad las altas, modificaciones y bajas de usuarios, proporcionándole la información necesaria para cumplimentar el registro de usuarios.
2. Cada nuevo usuario de la aplicación debe firmar un documento, denominado credencial de seguridad, que formalice su acceso a la aplicación y mediante el cual reconozca la comprensión y aceptación de las condiciones de acceso. En este documento se deben explicitar los siguientes puntos:
2.1 A nivel general de la aplicación:
a) Todas las obligaciones que se relacionan en el artículo 34
b) Normas particulares de seguridad de la aplicación
2.2 A nivel particular del usuario, o bien por tipos de usuario:
a) Derechos de acceso, esto es, funcionalidades y datos a los que se encuentra autorizado
b) Derechos de acceso con privilegios, en su caso
3. En el momento en que el usuario firme la credencial se le entregarán sus claves de acceso. Una copia del documento le será entregada al usuario.
4. Cualquier cambio en las autorizaciones de seguridad conllevará la emisión y firma de una nueva credencial
Artículo 41. Formación de usuarios
1. La formación en cuestiones de seguridad, con especial mención a la formación en mecanismos antivirus, debe ser proporcionada como una parte integrante de la formación en la aplicación
2. El responsable de seguridad comprobará, mediante el método que estime mas oportuno, que los usuarios que reciben la credencial conocen las medidas de seguridad de la aplicación
Artículo 42. Protección antivirus
1. Sin perjuicio de que las aplicaciones posean mecanismos antivirus, los usuarios que posean estaciones de trabajo tipo PC deberán comprobar que su equipo posee instalado un sistema antivirus y que funciona correctamente. El responsable de seguridad prestará soporte a los usuarios para realizar esta comprobación.
2. Por otro lado, el responsable de seguridad verificará que las versiones de los productos antivirus se encuentren correctamente actualizadas. Se considerará que sucede una incidencia cuando el programa antivirus posea una antigüedad superior a 6 meses.
Artículo 43. Operación de las aplicaciones
1. El responsable de seguridad verificará que todas las tareas de operación de la aplicación se realicen en tiempo y forma. Se entiende por tareas de operación las siguientes:
a) Salvado periódico de datos
b) Compactación de datos, en su caso
2. En caso de incumplimiento de alguna de las mismas, deberá considerar este hecho como una incidencia, y como tal registrarse.
3. Una copia de esta incidencia, adicionalmente al preceptivo envío a la autoridad autentificadora, será enviada al responsable de la unidad de informática a la que se encuentren adscritos los servidores de aplicación.
Artículo 44. Mantenimiento de aplicaciones
1. El responsable de seguridad deberá autorizar previamente la sustitución de programas o elementos de la aplicación, cuando éstos impliquen alteración de la funcionalidad de la aplicación, en los términos establecidos en el artículo 22.7 del Decreto 96/1998.
2. Con carácter previo al cambio, el responsable de seguridad deberá aprobar los informes elaborados por el responsable del cambio donde se especificará y acreditará, al menos, lo siguiente:
a) Motivo del cambio
b) Realización de pruebas que confirmen el buen funcionamiento de los programas o elementos sustituyentes
c) Permanencia de las medidas de seguridad que la aplicación posea
d) Responsable/s del cambio
3. El responsable de seguridad deberá llevar una relación de todas las sustituciones de programas o elementos de la aplicación, registrando el momento en que estos comienzan a ser operativos.
Artículo 45. Procedimiento de contingencia
1. Cada usuario debe disponer de una copia del procedimiento de contingencia, en aquellos aspectos que le afecten, en un lugar accesible. Asimismo, tiene que haber sido instruido acerca de las actuaciones que debe ejecutar en cada situación prevista.
2. Las situaciones en las que se produzca una contingencia deber ser registradas como una incidencia.
3. Cuando el responsable de seguridad lo estime oportuno podrá realizar simulacros de situaciones de contingencia con el fin de verificar la ejecución de las respuestas adecuadas en cada caso.
4. Los resultados no previstos de este simulacro deben registrarse como incidencias.
Artículo 46. Elementos de seguridad
1. Las ubicaciones físicas donde se encuentren los servidores de aplicaciones deberán encontrarse en áreas cerradas o áreas de seguridad.
2. La puerta de acceso a esta área deberá encontrarse permanentemente cerrada estableciéndose mecanismos para el control de accesos a la misma.
3. Estos dispositivos pueden ser sustituidos, alternativamente, por un sistema de acceso mediante códigos personales.
4. Los materiales peligrosos y/o combustibles deben almacenarse en el exterior del área y a una distancia de seguridad de la sala de ordenadores.
5. Los dispositivos de salvados de datos (cintas, cassettes, etc.) se almacenarán en armarios ignífugos, preferentemente en otros locales diferentes a las áreas de seguridad. Estos armarios estarán cerrados de forma segura.
6. Debe instalarse en el área adecuado equipamiento de seguridad tales como sistemas de extinción, detectores de humos, etc.
7. El personal externo que deba efectuar trabajos en el interior del área de seguridad debe encontrarse debidamente autorizado e identificado. El responsable del área extenderá una acreditación a favor de este personal.
8. El personal externo no acreditado nunca debe permanecer a solas en el interior del área de sistemas sin la presencia de al menos una persona habilitada para esta área.
Artículo 47. Supervisión de elementos de seguridad
1. El responsable de seguridad chequeará, en aquellas aplicaciones de su ámbito, que los locales y los servidores de aplicaciones al servicio de aquellas cumplen los requisitos de seguridad que se establecen en estas normas.
2. En caso de incumplimiento de alguna de las mismas, deberá considerar este hecho como una incidencia, y como tal registrarse.

linea
Mapa web