RESOLUCIÓ de 28 de març de 2018, de la Direcció General de Tecnologies de la Informació i les Comunicacions, per la qual s'estableixen els criteris d'estandardització tecnològica i les polítiques d'ús correcte del lloc de treball normalitzat dels usuaris TIC a l'Administració de la Generalitat i dels seus organismes autònoms. [2018/3769]
(DOGV núm. 8279 de 23.04.2018) Ref. Base de dades 003961/2018
-
Anàlisi jurídica
Data d'entrada en vigor: 24.04.2018 Aquesta disposició està afectada per: Afectada per: -
Anàlisi documental
Origen de disposició: Conselleria d'Hisenda i Model Econòmic Grup temàtic: 000
El Reglament orgànic i funcional de la Conselleria d'Hisenda i Model Econòmic (Decret 176/2016, de 25 de novembre, del Consell) atribueix a la Direcció General de Tecnologies de la Informació i les Comunicacions, DGTIC d'ara endavant, les competències de modernització, seguretat informàtica, planificació, coordinació, autorització i control de les tecnologies de la informació, les telecomunicacions i comunicacions corporatives i la teleadministració de la Generalitat.
Com a conseqüència de les regulacions bàsiques estatals o dels desplegaments normatius propis hi ha polítiques per a la protecció de dades de caràcter personal, per a l'ús segur de mitjans tecnològics a l'Administració de la Generalitat, tot això dins de l'Esquema Nacional de Seguretat. Els estàndards dels arxius (documents, àudios, vídeos, etc.) s'han desenvolupat dins de l'Esquema Nacional d'Interoperabilitat. Finalment, hi ha també una línia d'ús preferent del programari lliure derivada del mandat d'una moció de les Corts en 2016 en aqueix sentit.
El control de totes aquestes polítiques sectorials de seguretat, interoperabilitat i promoció de programari lliure, així com de les seues regulacions específiques ha de materialitzar-se i confluir necessàriament en la normalització de l'ús dels mitjans tecnològics posats a disposició dels usuaris de les tecnologies de la informació i les comunicacions de la Generalitat i dels seus organismes autònoms, usuaris TIC, d'ara endavant. És responsabilitat d'aquesta Direcció General l'estandardització de mitjans tecnològics de treball, la seua homologació i la creació de documents i normes que els arrepleguen i divulguen i donar-los, a més, el caràcter de compliment obligatori.
Per això, és convenient i necessari arreplegar en una resolució específica del Lloc de Treball Normalitzat totes les tasques de control i seguiment dels equips i els productes programari que hi estan instal·lats, la responsabilitat dels usuaris i els avanços en l'establiment d'algunes línies bàsiques d'una política de bones pràctiques exigible als dits usuaris dels mitjans tecnològics d'ús corporatiu.
Atés que els elements materials o equips i els productes programari que hi estan instal·lats hauran d'evolucionar per a adaptar-se a noves necessitats, la resolució preveu els corresponents annexos tècnics publicats i actualitzats en el portal de la DGTIC www.dgtic.gva.es.
Per tot això, resolc:
Primer. Objecte i àmbit de la resolució
La present resolució té per objecte la definició del Lloc de Treball Normalitzat com la integració dels elements materials dels equips assignats a cada usuari, dels elements programari instal·lats que es mostren en l'escriptori corporatiu (eines, aplicacions, accessos a documentació, etc.), així com les polítiques que regeixen l'ús adequat, segur i correcte del lloc de treball informàtic per a les finalitats administratives i corporatives de la Generalitat.
També és objecte d'aquesta resolució la determinació dels dits elements integrants del Lloc de Treball Normalitzat i de les polítiques aplicables a un ús correcte d'aquest.
L'àmbit d'aplicació de la present norma és l'Administració de la Generalitat i els seus organismes autònoms. S'exclou la Conselleria de Sanitat Universal i Salut Pública, de conformitat amb el Decret 37/ 2017, de 10 de març, del Consell, per la qual s'aprova el seu reglament orgànic i funcional.
Segon. Elements que integren els equips del Lloc de Treball Normalitzat
El Lloc de Treball Normalitzat es crea per a satisfer les necessitats d'equips i serveis tecnològics que demanden les unitats administratives per als seus usuaris TIC i la DGTIC l'instal·la com a lloc de treball informàtic format dels elements següents:
1. Una CPU.
2. Una pantalla de visualització.
3. Un teclat.
4. Un dispositiu senyalador: ratolí, ratolí de bola, tauleta tàctil, etc.
5. Un sistema operatiu.
6. Un paquet ofimàtic estàndard.
7. Unes aplicacions homologades i autoritzades per la DGTIC necessàries per al tractament de la informació sota la seua competència.
8. Uns serveis finalistes i l'accés a aquests necessaris per al tractament de la informació sota la seua competència, per al manteniment del propi Lloc de Treball Normalitzat i per a assegurar la seguretat d'aquest.
Els llocs de treball informàtics que poden operar com a Lloc de Treball Normalitzat són els següents:
1. L'ordinador de sobretaula en qualsevol dels formats homologats per la DGTIC.
2. L'ordinador portàtil o convertible en qualsevol dels formats homologats per la DGTIC.
3. La tauleta tàctil en qualsevol dels formats homologats per la DGTIC.
4. Altres llocs de treball informàtics que la DGTIC declare com a homologats per al seu ús com a Lloc de Treball Normalitzat.
Tercer. Elements programari instal·lats en el Lloc de Treball Normalitzat
El Lloc de Treball Normalitzat requereix una sèrie de productes programari per a la seua operativitat, tant programari bàsic, sistema operatiu i ferramentes complementàries, com altres components necessaris per a l'accés a la xarxa corporativa i per a la interacció amb els aplicatius dels sistemes d'informació de l'Administració de la Generalitat i dels seus organismes autònoms.
La DGTIC mantindrà en el seu portal www.dgtic.gva.es una llista actualitzada i datada d'elements programari estàndards per al Lloc de Treball Normalitzat que estarà subjecta a revisions periòdiques. S'hi adjunta la versió en data d'entrada en vigor d'aquesta resolució en l'annex I Elements programari estàndards per al Lloc de Treball Normalitzat.
Per a conéixer les versions de cada programari que formen part del Lloc de Treball Normalitzat es tindrà en compte el pla de versions o pla de lliurament en els portals web de cada producte i s'acceptarà en el Lloc de Treball Normalitzat la versió actual amb suport en cada moment, la versió futura per a proves i diagnòstics (només en Lloc de Treball Normalitzat de proves) i la versió anterior per a facilitar l'adaptació d'altres aplicacions més complexes a les versions actuals.
Excepcionalment, i amb l'autorització prèvia per part de la DGTIC, es permetrà l'existència d'un programari en versions no actualitzades, sempre que no afecte l'arquitectura del Lloc de Treball Normalitzat en la seua versió actual pel que fa a la interacció amb altres aplicacions o eines.
Quart. L'emmagatzematge dels documents de treball
Els usuaris TIC d'un Lloc de Treball Normalitzat han d'emmagatzemar tots els documents de treball en els recursos compartits destinats a aquest propòsit per la DGTIC i no tenen permés emmagatzemar-los en dispositius o suports aliens a la xarxa corporativa, així com extraure'n còpies en qualsevol suport. Els dits recursos tenen la finalitat de restringir l'accés als documents, preservar la confidencialitat, auditar els accessos i ajudar i promocionar el treball col·laboratiu. A més, aquests recursos són els únics a què es proporciona còpia de seguretat per la qual cosa, davant de qualsevol incidència que afecte un document de forma accidental, podrà recuperar-se de manera autònoma o podrà sol·licitar-se la seua recuperació.
Els noms dels documents i les carpetes han de ser explicatius del seu contingut però eficients en la seua extensió atés que la ruta completa de l'arxiu no pot superar els 256 caràcters.
No està permés emmagatzemar informació privada de cap classe en els recursos compartits, ni en les unitats de xarxa, ni en les unitats locals, ni en cap altre mitjà o suport de la Generalitat.
Quan s'editen documents es recomana guardar canvis cada cert temps per a evitar la pèrdua d'aquesta informació en cas que sorgisca qualsevol problema tècnic.
L'estructura de recursos compartits està clarament definida en el domini GENERALITAT. En aquest es disposa de zones en què el propietari dels recursos pot establir l'estructura de directoris i a qui dóna permís per a accedir als seus recursos.
Cinqué. L'escriptori corporatiu del Lloc de Treball Normalitzat
Es defineix l'escriptori corporatiu com aquell en què es mostren als usuaris les eines i els accessos necessaris per al desenvolupament del seu treball i està format per una imatge de fons que segueix les normes d'identitat corporativa, una barra de tasques o accions, una sèrie d'icones, una tipografia, una resolució de pantalla predeterminada, un esquema de colors, un disseny de menú d'inici i un quadre d'informació del Lloc de Treball Normalitzat i de l'usuari.
L'escriptori corporatiu és d'obligada implantació en tots els Llocs de Treball Normalitzats i respon a criteris d'ergonomia comuna i d'imatge corporativa, com la interfície necessària entre l'usuari de les TIC i els sistemes d'informació de l'Administració de la Generalitat.
El fons corporatiu té la finalitat de mantindre la identitat corporativa de manera homogènia i coherent entre tot l'equipament propietat de l'Administració de la Generalitat. A més, el dit fons és el definit per al Lloc de Treball Normalitzat per la DGTIC en col·laboració amb la Direcció General de Relacions Informatives i Promoció Institucional, sota els estàndards d'identitat corporativa.
La resolució de pantalla estarà predeterminada, excepte en els casos en què la DGTIC autoritze alternatives per al millor ús d'alguna aplicació preexistent, a través del procediment que s'establisca des de la DGTIC. Per a aplicacions de desenvolupament posterior a aquesta resolució sobre el Lloc de Treball Normalitzat, aquestes hauran de preveure aquests estàndards.
En el fons de l'escriptori corporatiu i en la part inferior dreta, apareixerà sempre la informació relativa al Lloc de Treball Normalitzat, aquesta informació podrà ser sol·licitada pels tècnics de la DGTIC en cas d'incidència, motiu pel qual no es pot modificar ni eliminar.
S'exceptua el cas d'informe del Servei de Prevenció de Riscos Laborables en la línia de modificació de l'escriptori per motius de salut o ergonomia personalitzada i en aquest cas s'activarà el procediment per a la modificació d'aquest per a la persona o les persones afectades.
Sisé. Polítiques d'ús exigibles als usuaris del Lloc de Treball Normalitzat
1. Polítiques d'ús segur del Lloc de Treball Normalitzat
1.1. Amb caràcter general, la DGTIC proporcionarà als usuaris TIC de la Generalitat un compte personal i una contrasenya, o qualsevol altre procediment d'accés per característiques biomètriques, perquè el validen en el Lloc de Treball Normalitzat assignat. El dit compte serà personal i intransferible. L'usuari haurà de custodiar convenientment la seua identificació d'accés i serà responsable de qualsevol activitat relacionada amb l'ús del seu accés personal autoritzat, i en cap cas se subministrarà a terceres persones. L'incompliment del deure de custòdia del compte suposa una vulneració greu en la seguretat dels recursos TIC i per això es podria incórrer en responsabilitat.
La DGTIC mantindrà actualitzada la documentació que reflecteix la política de contrasenyes dels comptes d'usuari que ha de regir l'accés al Lloc de Treball Normalitzat dels usuaris TIC i la publicarà en el portal www.dgtic.gva.es amb detall de la seua data d'aprovació. S'adjunta en l'annex II la documentació respecte d'això que regeix en l'actualitat.
Quant al Lloc de Treball Normalitzat i amb caràcter general se seguiran les indicacions següents:
a) No es permet alterar la configuració del programari ni del sistema operatiu dels Llocs de Treball Normalitzats, ni desinstal·lar o instal·lar aplicacions, encara que siguen de programari lliure o gratuït, excepte als tècnics autoritzats per a això per la DGTIC.
b) Qualsevol programari privatiu ha de tindre la seua llicència legal associada, al corrent de pagament i custodiada per la DGTIC.
c) No es permet l'alteració de la configuració física dels Llocs de Treball Normalitzats, ni del seu microprogramari, ni connectar cap dispositiu a iniciativa de l'usuari, com tampoc variar-ne la ubicació, excepte als tècnics autoritzats per a això per la DGTIC. L'equipament informàtic no és propietat de l'usuari, és un element de la plaça laboral que ocupa i pertany a l'Administració de la Generalitat.
d) No es permet emmagatzemar informació el tractament del qual siga responsabilitat de l'Administració de la Generalitat en mode local o dispositius externs connectats als Llocs de Treball Normalitzats, han d'utilitzar-se els recursos descrits en el primer paràgraf del punt quart d'aquesta resolució o les aplicacions dissenyades per a això per la Generalitat.
e) Els equips informàtics no estan destinats a l'ús personal de l'usuari.
f) Al connectar-se un dispositiu d'emmagatzematge extern prèviament autoritzat per la DGTIC, es tindrà la precaució de realitzar un escaneig amb l'antivirus sobre la dita unitat per a previndre una possible infecció dels sistemes informàtics.
g) És obligatori bloquejar la sessió de l'usuari en el supòsit d'absentar-se temporalment del lloc de treball, a fi d'evitar accessos d'altres persones a l'equip informàtic.
h) En acabar la jornada laboral l'usuari TIC haurà d'apagar completament el Lloc de Treball Normalitzat i tots els seus perifèrics connectats o relacionats amb aquest.
En qualsevol cas i en la mesura que siga possible la DGTIC s'assegurarà del compliment d'aquestes mesures amb els mitjans tecnològics al seu abast.
1.2. A més de les normes d'ús del punt anterior amb caràcter general, en l'ús dels dispositius portables s'està sotmés a les obligacions següents:
a) No s'emmagatzemarà informació sensible o confidencial en aquest tipus de dispositius, i en cas que siga absolutament necessari, haurà de ser protegida per mitjà d'eines de xifrat amb la sol·licitud prèvia a la DGTIC. No obstant això, aquells dispositius que ho permeten i seguint el que disposa l'Ordre 19/2013, de 3 de desembre, de la Conselleria d'Hisenda i Administració Pública, per la qual s'estableixen les normes sobre l'ús segur de mitjans tecnològics en l'Administració de la Generalitat, tindran tots els seus elements d'emmagatzematge xifrats.
b) Aquest tipus de dispositius estarà sota la custòdia de l'usuari TIC que els utilitze. No es deixarà el Lloc de Treball Normalitzat desatés o abandonat en llocs on puga ser sostret.
c) La pèrdua o robatori de qualsevol dispositiu d'aquest tipus s'haurà de notificar immediatament al responsable corresponent i aquest a la DGTIC.
d) Els usuaris TIC d'aquests equips es responsabilitzaran que no seran usats per terceres persones alienes a la Generalitat o no autoritzades per a això.
e) Es proporcionarà accés remot a recursos interns de la Generalitat només en els casos que estiga degudament justificat i, a més, se seguisca el procediment aprovat a aquest efecte per la DGTIC.
1.3. A més del que preveu l'apartat 1, amb caràcter general, els dispositius d'emmagatzematge extern proporcionats per la Generalitat seran els únics autoritzats, seran conformes a les normes de seguretat d'aquesta i seran destinats a un ús exclusivament professional, com a eina de transport de fitxers i mai com a eina d'emmagatzematge.
a) No està permés l'emmagatzematge d'informació sensible o confidencial en aquest tipus de suport. En cas que siga estrictament necessari emmagatzemar aquest tipus d'informació classificada, haurà de tindre l'autorització del responsable del fitxer en el cas de dades personals i haurà de ser protegida per mitjà d'eines de xifrat amb la sol·licitud prèvia a la DGTIC.
b) Aquest tipus de dispositius estarà sota la custòdia de l'usuari TIC que els utilitze. No es deixarà el dispositiu d'emmagatzematge extern desatés o abandonat en llocs on puga ser sostret.
c) La pèrdua o robatori del dispositiu d'emmagatzematge extern haurà de notificar-se immediatament al responsable corresponent i aquest a la DGTIC.
2. Polítiques de tractament de la informació
De conformitat amb la legislació vigent, no està permés el tractament de dades de caràcter personal sense que prèviament haja sigut autoritzat per l'òrgan responsable del fitxer en la forma reglamentàriament prevista ni podran usar-se per a finalitats diferents d'aquelles per a les quals les dades hagueren sigut obtingudes.
Està prohibit utilitzar, copiar, extraure o transmetre informació continguda en el sistema informàtic per a ús privat o per a qualsevol altre diferent del servei públic a què està destinada.
3. Polítiques de bones pràctiques de l'usuari TIC
3.1. En l'ús del Lloc de Treball Normalitzat els usuaris TIC han de respectar l'ordenament jurídic aplicable i els drets reconeguts en la Constitució Espanyola. Per això, no és correcta, i pot derivar en responsabilitat de l'usuari del Lloc de Treball Normalitzat, la utilització del Lloc de Treball Normalitzat per a una, alguna o totes les finalitats següents:
a) Incórrer en activitats il·lícites o il·legals de qualsevol tipus i, particularment, difondre continguts de caràcter racista, xenòfob, pornogràfic, sexista, d'apologia del terrorisme, que atempten contra els drets humans o que actuen en perjuí dels drets a la intimitat, a l'honor, a la pròpia imatge o contra la dignitat de les persones.
b) Difondre continguts contraris als principis enunciats en l'ordenament jurídic.
c) Difondre afirmacions o referències falses, incorrectes o inexactes sobre l'Administració de la Generalitat, els seus centres, departaments i serveis, així com les activitats que desenvolupa.
d) Congestionar intencionadament la xarxa corporativa de la Generalitat o interferir en el seu funcionament.
e) Establir mecanismes o sistemes que permeten aprofitaments indeguts dels recursos de xarxa proporcionats per la Generalitat per tercers, com revendre'ls o reutilitzar-los per a finalitats privades, lucratives o delictives, entre altres.
f) Danyar els sistemes físics i lògics de l'Administració de la Generalitat, introduir o difondre en la xarxa virus informàtics i realitzar qualsevol altre tipus d'activitat que siga susceptible de provocar danys en l'Administració de la Generalitat, als seus membres, proveïdors o terceres persones.
g) Tractar dades personals contingudes en fitxers que no siguen responsabilitat de l'Administració de la Generalitat.
h) Arreplegar dades personals, tant de manera directa com mitjançant tractaments invisibles, excepte aquelles que estiguen directament relacionades amb les funcions pròpies de l'Administració de la Generalitat, o realitzar qualsevol tractament de dades personals que no siguen titularitat de l'Administració de la Generalitat i per al qual no haja sigut prèviament autoritzat.
i) Publicar o difondre dades, documents o arxius que afecten terceres persones o que estiguen subjectes en drets de privacitat o propietat intel·lectual o qualsevol altres drets o interessos legítims, sense el consentiment exprés de les persones afectades o del titular dels drets.
j) Fer ús dels recursos TIC amb fins comercials.
k) Enviar comunicacions amb finalitats comercials o correu massiu no sol·licitat amb finalitats publicitàries (correu brossa) des dels comptes de correu electrònic de la Generalitat.
l) Vulnerar els drets de propietat intel·lectual o industrial de tercers.
3.2. En relació amb la responsabilitat de l'usuari TIC en l'accés a internet:
L'usuari TIC s'atindrà a les normes d'ús següents:
a) La utilització d'internet s'ha de limitar a l'obtenció d'informació relacionada amb el treball que es realitza com a empleat o empleada pública al servei de l'Administració de la Generalitat i els seus organismes autònoms o a l'execució d'aplicacions corporatives desenvolupades o habilitades per a aquesta finalitat.
b) En particular, no està permés l'accés a pàgines web de contingut ofensiu, inapropiat, pornogràfic o discriminatori per raons de gènere, ètnia, opció sexual, discapacitat o qualsevol altra circumstància personal o social, excepte per a funcions de detecció i persecució del delicte, que requerirà d'autorització expressa per part de la DGTIC.
c) No es permet la descàrrega des d'internet de qualsevol classe de programes, aplicacions, documents o arxius.
4. Polítiques d'ús dels certificats digitals en el Lloc de Treball Normalitzat
Els certificats digitals són sempre personals i és responsabilitat de l'usuari la sol·licitud, instal·lació, custòdia i revocació d'aquests.
Es tindrà present en totes les actuacions que els certificats digitals s'hauran d'instal·lar sempre amb un nivell alt de seguretat, perquè se sol·licite la contrasenya d'ús cada vegada que siga necessari utilitzar-lo. Si el certificat digital va amb targeta de firma electrònica, aquesta no s'ha de deixar oblidada en els lectors de targeta, ja siga en el teclat o independents, i haurà de romandre sempre sota la custòdia del titular del certificat digital.
No s'ha de facilitar, en cap concepte, el codi d'accés del certificat digital.
En previsió que puga donar-se un esborrament de dades en el Lloc de Treball Normalitzat o una avaria que suposara la pèrdua del certificat, es recomana realitzar-ne una còpia de seguretat per a evitar sol·licitar novament el certificat digital.
En el cas que un servei, una aplicació o un tercer, sol·licite l'arxiu del certificat en format «.pfx», no ha de ser facilitat en cap concepte, atés que aquest format conté la clau privada del certificat i pot permetre la suplantació.
5. Polítiques d'actualització contínua del Lloc de Treball Normalitzat
Els departaments de personal de l'Administració de la Generalitat i dels seus organismes autònoms i les unitats administratives, quan es tracta de persones que desenvolupen tasques contractades, estan obligats a comunicar les variacions d'estat quan un Lloc de Treball Normalitzat deixe d'estar assignat a un usuari TIC per canvi d'adscripció o finalització de tasques.
A partir de la dita comunicació, la DGTIC procedirà a l'anul·lació del Lloc de Treball Normalitzat creat per a l'usuari cessant, la qual cosa inclou els mitjans i les instal·lacions tecnològics que se li hagueren assignat, per a deixar lliures els equips per a nou ús. També s'inclouen les claus, certificats instal·lats i els comptes de correu corporatius.
Els canvis simples d'ubicació en departaments o edificis també han de ser comunicats pels departaments de personal o per les unitats administratives que els autoritzen amb la mateixa finalitat de control i actualització permanent dels recursos TIC disposats per part de la DGTIC.
Seté. Obligat compliment i responsabilitat de l'usuari del Lloc de Treball Normalitzat
Tot el que es preveu en aquesta resolució quant al Lloc de Treball Normalitzat és de compliment obligatori per als usuaris TIC de la Generalitat i els seus organismes autònoms en l'àmbit de competències d'aquesta Direcció General.
Per això, en accedir a l'equip per a l'inici d'una sessió en un Lloc de Treball Normalitzat, i com a primera imatge emergent, es mostrarà un resum del que estableix aquesta resolució per a la seua lectura i acceptació per l'usuari. L'acceptació tàcita i, per tant, la responsabilitat de l'usuari es considera implícita en iniciar el seu treball en la sessió.
En aquells enunciats d'aquesta resolució que incideixen en aspectes de prohibicions o limitacions en l'ús del Lloc de Treball Normalitzat és d'aplicació el règim sancionador general per al personal propi. Quant a incidències dels usuaris TIC en els processos de desenvolupaments contractats amb empreses adjudicatàries, caldrà ajustar-se al que prevegen quant a responsabilitat d'aquests en el corresponent plec de contractació.
En els supòsits d'incidents referits a les dades personals, la propietat intel·lectual, la seguretat informàtica i altres aspectes regulats per altres disposicions legals diferents de la present resolució, el règim sancionador serà el corresponent a aqueixes disposicions normatives.
Huité. Publicació i efectivitat de la resolució
La present resolució entrarà en vigor l'endemà de la seua publicació en el Diari Oficial de la Generalitat Valenciana.
València, 28 de març de 2018. El director general de Tecnologies de la Informació i les Comunicacions: Pedro Agustín Pernias Peco.
ANNEX I
Elements programari estàndards per
al Lloc de Treball Normalitzat
Versió data 5 de març de 2018
El present annex es distribueix en 3 taules que representen els tres components bàsics del Lloc de Treball Normalitzat quant a programari: sistemes operatius, programari bàsic i remediacions.
Remediacions
Quant a programari les remediacions es divideixen en dos categories principals: Sistema Operatiu i Tecnologia.
Sistemes Operatius
Nom del programari Codi PTN Versió Fi de vida
Lliurex Administració PTN ELC32 15.05, 32 bits 2018
Microsoft Windows PTN EPC32 7 Pro SP1, 32 bits 2019
Microsoft Windows PTN EPC32 10 E3/Pro, 32 bits 2030
Tecnologia
Nom del programari Versió en
PTN EPC Versió en
PTN ELC Tipus Fi de vida
Java 1.4.2_19 Tecnologia ACABAT
Java 1.5.22 Tecnologia ACABAT
Java 1.6.45 Tecnologia ACABAT
Java 1.7.71 Tecnologia ACABAT
.NET 4.5 Mono 4.2 Tecnologia ACABAT
Glossari
PTN ELC: es tracta del Lloc de Treball Normalitzat amb Escriptori Lliure Corporatiu, és a dir, basat el sistema operatiu de desenvolupament propi de la Generalitat «Lliurex Admin» basat en Linux.
PTN EPC: es tracta del Lloc de Treball Normalitzat amb Escriptori Propietari Corporatiu, és a dir, basat en el sistema operatiu Microsoft Windows.
Remediacions: es tracta de programari i/o configuracions instal·lades de manera excepcional que permeten l'execució d'aplicacions necessàries per als usuaris però que no s'han pogut actualitzar encara i no podrien funcionar sense aqueixes remediacions.
Fi de vida: si no ha acabat, es tracta de l'any en què finalitza el suport del producte per part del fabricant o del desenvolupador.
Tipus: el tipus de programari es correspon amb la classificació següent:
Tipus Descripció
Ofimàtica Programari per a generar i editar documents.
Internet Programari per a mostrar pàgines web o realitzar altres tasques que requerisquen l'accés a internet.
Utilitat Visors de documents, compressors, impressores virtuals, traductors, agendes, etc.
Infraestructura Programari d'utilitat, gestió, control i seguretat de la DGTIC: antivirus, clients de gestió, clients d'accés, servidors d'accés, etc.
Multimèdia Programari per a visionar o crear contingut multimèdia: fotos, vídeos i àudio.
Tecnologia Connectors de navegadors, entorn de treball, llibreries. Programari intermediari en general.
Missatgeria Programari per a llegir i crear correu, videoconferència i veu IP, missatges instantanis, etc.
ANNEX II
Política de contrasenyes en l'Administració de la GV
1. Introducció
El Decret 66/2012, de 27 d'abril, del Consell, pel qual s'estableix la política de seguretat de la informació de la Generalitat, en l'article 14 especifica que la política es desenvoluparà en un conjunt de documents l'objectiu del qual és facilitar que el tractament d'informació es realitze d'acord amb els objectius i principis exposats en aquesta. Que aquests documents estaran agrupats en tres col·leccions: normes, procediments i guies de bones pràctiques; que les normes proporcionaran un primer nivell de concreció, cada una d'aquestes estarà dirigida a un determinat tipus d'activitat; els procediments descriuran la seqüència concreta de passos per a completar una tasca, i les guies de bones pràctiques oferiran recomanacions sobre com actuar en situacions específiques. Que les normes i els procediments tindran caràcter obligatori i s'hauran de justificar les possibles excepcions.
L'Ordre 19/2013, de 3 de desembre, de la Conselleria d'Hisenda i Administració Pública, per la qual s'estableixen les normes sobre l'ús segur de mitjans tecnològics a l'Administració de la Generalitat, en l'article 7.4 estableix que els usuaris han d'utilitzar contrasenyes segures d'acord amb la política de contrasenyes definida per l'òrgan amb competències en matèria de tecnologies de la informació.
El Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica, en l'annex II sobre les mesures de seguretat, estableix en l'apartat 4.2.5 que els mecanismes d'autenticació s'adequaran al nivell del sistema accedit. En concret, per als sistemes catalogats de nivell alt, no s'admetrà l'ús de claus concertades i s'exigirà l'ús de certificats digitals en dispositius físics personalitzats o biometria.
El Decret 130/2012, de 24 d'agost, del Consell, pel qual s'estableix l'organització de la seguretat de la informació de la Generalitat, en l'article 11 estableix que el responsable de seguretat de la informació té la responsabilitat de vetlar per la seguretat de la informació i dels serveis prestats pels sistemes d'informació, d'acord amb el que estableix la política de seguretat de la informació, i entre les seues funcions estan les funcions d'elaborar i aprovar els procediments operatius i les guies de bones pràctiques de seguretat de la informació. I en l'article 14 estableix que els administradors de la seguretat del sistema tenen la missió de la implementació, gestió i manteniment de les mesures de seguretat aplicables en el sistema d'informació i entre les seues funcions estan les d'assegurar que són aplicats els procediments aprovats per a manejar els sistemes d'informació i els mecanismes i serveis de seguretat requerits.
Es configura el present document com a Política de Contrasenyes a l'Administració de la Generalitat, que tindrà caràcter d'obligatori com a procediment operatiu. S'hi incorpora un apartat amb recomanacions sobre com actuar en situacions específiques que tindrà, a tots els efectes, la consideració de guia de bones pràctiques.
2. Objecte
L'objectiu fonamental d'aquest document és establir la Política de Contrasenyes a l'Administració de la Generalitat, la qual cosa inclou unes directrius sobre la selecció, ús i custòdia de contrasenyes, així com unes recomanacions sobre com actuar en situacions específiques.
3. Àmbit
L'àmbit d'aquesta política inclou tots aquells usuaris de les aplicacions, serveis i recursos informàtics que tenen o són responsables d'un compte (o qualsevol altre tipus d'accés que requerisca una contrasenya) en qualsevol dels sistemes corporatius de l'àmbit definit en el Decret 130/2012, de 24 d'agost, del Consell, pel qual s'estableix l'organització de la seguretat de la informació de la Generalitat.
4. Definicions
Contrasenya: informació d'autenticació confidencial, usualment composta per una cadena de caràcters.
Compte d'usuari: és aquell compte personal que dóna accés a aplicació, recurs o servei informàtic de la Generalitat (com per exemple compte del sistema operatiu, compte de correu, compte de servei web, etc.)
Compte d'administració: és aquell compte que dóna accés a aplicació, recurs o servei informàtic amb privilegis d'administració (com per exemple arrels, administradors Windows, comptes d'administració d'aplicacions, etc).
Compte instrumental d'aplicació: és aquell compte genèric que es crea per a interactuar entre aplicacions o dispositius (com per exemple compte definit en el servidor d'aplicacions per a connectar-se al SGBD).
5. Directrius
Totes les contrasenyes de comptes definides en l'apartat anterior que donen accés a sistemes d'informació de la Generalitat hauran de seguir les directrius assenyalades a continuació:
Sempre que siga tècnicament possible, els sistemes o aplicacions es configuraran per a forçar que es complisquen les directrius indicades en aquest document. En tot cas, persisteix l'obligació de l'usuari a complir-les.
Els comptes d'administració han de tindre contrasenyes distintes entre si i diferents de la resta de comptes mantinguts pel dit usuari.
Les contrasenyes per defecte associades als sistemes o aplicacions hauran de ser canviades abans de posar aquests sistemes en producció.
Algunes aplicacions, recursos o serveis informàtics en què siga especialment crític mantindre la seguretat de la contrasenya podran determinar-se mesures més restrictives de protecció d'aquesta.
5.1. Morfologia
Les contrasenyes hauran de complir les especificacions que es defineixen a continuació:
Han de tindre una longitud mínima de 8 caràcters.
Han d'incloure caràcters com a mínim de tres de les categories següents: majúscules, minúscules, números i caràcters no alfanumèrics, com a signes de puntuació i símbols.
No ha de contindre el nom del compte de l'usuari, l'adreça electrònica o parts del nom de l'usuari.
No es pot repetir cap de les 5 contrasenyes anteriors que s'hagen usat.
5.2. Bloqueig
S'aplicarà el sistema de bloqueig d'accés que s'indica a continuació:
Quan un usuari introduïsca 5 vegades seguides una contrasenya errònia, l'accés d'aqueix usuari quedarà bloquejat provisionalment.
Es podran establir mecanismes en què el mateix usuari puga desbloquejar el seu compte, sempre que puga identificar-se a través d'un certificat digital vàlid.
No s'establirà cap mecanisme de desbloqueig automàtic de comptes, pel mer fet de transcórrer un cert espai de temps.
5.3. Canvi
S'aplicarà el sistema de canvi obligatori de contrasenya que s'indica a continuació:
Els comptes d'usuari hauran de canviar la contrasenya almenys cada 3 mesos.
Els comptes instrumentals d'aplicació i les d'administració s'han de canviar anualment.
El sistema recordarà a l'usuari que ha de canviar la contrasenya 10 dies abans que caduque.
Si en acabar el termini no s'ha fet el canvi, el sistema sol·licitarà el canvi obligatòriament.
No podrà canviar-se abans de dos dies.
5.4. Lliurament i custòdia
El lliurament de les contrasenyes inicials es realitzarà per mitjans que n'eviten la intercepció i que al seu torn permeten verificar-ne la identitat del receptor.
Les contrasenyes inicials seran generades automàticament amb les característiques recomanades en aquesta política i es trobaran en estat expirat, per a obligar l'usuari a canviar-la en el primer ús que facen del compte.
Per a donar validesa a la seua contrasenya l'usuari haurà de fer una acceptació expressa d'aquesta política de contrasenyes. Des d'aqueix moment és responsabilitat de l'usuari mantindre en secret la dita clau.
No s'ha de compartir ni revelar els comptes i contrasenyes amb ningú, totes les contrasenyes han de ser tractades com informació sensible i confidencial, fins i tot encara que li parlen en nom de la DGTI o d'un superior seu en l'organització.
L'emmagatzematge de les contrasenyes en els sistemes d'autenticació ha de realitzar-se de manera xifrada perquè es garantisca la confidencialitat d'aquesta i que ningú, excepte l'usuari, tinga el control sobre aquesta.
No s'ha d'utilitzar la característica de «Recordar Contrasenya» existent en algunes aplicacions.
S'establiran auditories sobre el canvi de contrasenyes per a detectar i controlar qualsevol incidència que puga afectar l'accés d'un compte.
5.5. Inactivitat
Els comptes d'usuari es bloquejaran després d'una inactivitat de 3 mesos.
Per als comptes de nova creació, el període d'inactivitat serà de 15 dies.
6. Recomanacions
6.1. Recomanacions generals per a la selecció de contrasenyes
La seguretat de l'autenticació amb contrasenya es basa en la premissa que la contrasenya és suficient robusta per a no ser desxifrada fàcilment.
Una contrasenya «robusta» (segura) és una cadena de caràcters que té les següents característiques:
Té una longitud mínima de 8 caràcters.
No es troba en el diccionari (espanyol o estranger).
No pot derivar-se d'informació personal de l'usuari:
Data de naixement,
Adreça o telèfon,
DNI,
Noms de familiars, animals, companys de treball, amics o personatges de ficció.
No és d'ús comú, com per exemple:
Termes i marques informàtics, comandaments, companyies comercials, maquinari, programari.
Patrons de lletres o números, com ara aaabbb', qwerty', zxywvu', 123321,
Qualsevol de l'anterior escrit al revés.
Qualsevol de l'anterior precedit o seguit per un dígit, per exemple secret1 o 1secret'.
S'intentaran crear contrasenyes que es puguen recordar fàcilment. Una senzilla forma de recordar-la és crear una contrasenya basada en una frase recordable amb facilitat.
6.2. Recomanacions per a la protecció de la contrasenya
A continuació es presenta una llista de recomanacions:
No ha d'utilitzar-se la mateixa contrasenya que s'utilitza per a altres comptes externs a l'organització.
No revelar la contrasenya en missatges de correu electrònic ni a través de qualsevol altre mitjà de comunicació electrònica. Si algú li sol·licita la contrasenya, faça referència a aquest document.
Mai escriure la contrasenya en paper ni emmagatzemar-la en fitxers d'ordinador sense xifrar o desproveït d'algun mecanisme de seguretat.
No revelar la contrasenya en cap qüestionari o formulari, independentment de la confiança que inspire aquest.
Davant de la menor sospita que algun dels seus comptes o les seues contrasenyes puguen haver sigut compromeses, ha de tractar açò com un incident de seguretat, comunicar-ho per les vies establides per a això i hauria de canviar les contrasenyes de tots els seus comptes.
En cap concepte, se sol·licita als usuaris que introduïsquen les seues credencials per a validació' en llocs de tercers ni en correus electrònics, per la qual cosa qualsevol correu en què se li sol·licite introduir aquest tipus d'informació serà fraudulent.