Pliego de prescripciones técnicas particulares del contrato de servicios de accesibilidad web de los servicios aoc

La ley de accesibilidad: RD 1112/2018, establece que los sitios webs de las entidades públicas deben ser accesibles según la norma europea EN 301 549, requisitos de accesibilidad para productos y servicios TIC. Esta norma, es la versión oficial española a la EN EN 301549 V2.1.2 (2018-08) Accessibility requirements for ICT products and services, declarada como estándar armonizado en la Decisión de Ejecución (UE) 2018/2048 de la Comisión, de 20 de diciembre de 2018, y que es equivalente a cumplir todos los requisitos de nivel a y AA de las WCAG 2.1.

Dentro de este contexto habrá que revisar y adaptar todas las mencionadas aplicaciones web del Consorcio AOC los requisitos obligatorios que marca el Real Decreto.

Los sitios web tienen que cumplir con el nivel AA de las WCAG 2.1., Esto implica cumplir con los 30 criterios del nivel A, los 20 criterios del nivel AA y los 5 requisitos de conformidad.

El objetivo del Consorcio AOC pues, es la de aplicar las pautas de la accesibilidad para responder a las necesidades de los diferentes colectivos que utilizan las diferentes herramientas del Consorcio AOC.

Dadas las circunstancias, el Consorcio AOC considera imprescindible ejecutar las revisiones y seguimientos simplificados (automáticos) y en profundidad (manuales), poder dar respuesta a las necesidades actuales y futuras de los servicios web de la administración electrónica del Consorcio AOC marcadas por el RD 111 272 018 , contratar los servicios para realizar la auditoría con el informe final de accesibilidad, y dar apoyo y formación a técnicos y editores del Consorcio AOC, por su adaptación.

En el 2020 elaboramos los informes de cumplimiento de la accesibilidad digital que estamos obligados a entregar a nuestra URA (Unidad responsable de accesibilidad) que en nuestro caso es la Generalidad de Cataluña.

En este proceso nos hemos apoyado en la solución de SiteImprove que nos permitía hacer un seguimiento y correcciones de la accesibilidad y de la calidad de los contenidos de nuestras webs.

Las principales tecnologías que utiliza actualmente el Consorcio son las siguientes:

- Web AOC: Wordpress

- Servicios AOC:

o Liferay

o Java

o Microsoft .NET

1.2 Objeto del contrato ‌

Este pliego tiene por objeto contratar los servicios de accesibilidad web de los servicios AOC (incluidas las webs) mediante:

- la elaboración de un plan anual de accesibilidad para definir prioridades y planificar las actuaciones

- la revisión de la accesibilidad web para garantizar el cumplimiento de la normativa con el nivel AA de las WCAG 2.1

- la formación continuada a los desarrolladores y generadores de contenidos para prevenir incidencias de accesibilidad

- la monitorización automatizada del cumplimiento de la normativa para facilitar el seguimiento de las incidencias y las correcciones

- la evaluación anual del grado de cumplimiento de la normativa de accesibilidad para conocer el estado de situación y los avances

Los servicios anteriores de accesibilidad web son tareas de mejora continua a aplicar de forma iterativa a todos los nuevos desarrollos, mejoras correctivas y nuevos contenidos.

1.3 alcance ‌

El alcance de los trabajos son los servicios y webs de la AOC. Ahora bien, dado que la AOC tiene un catálogo de más de 30 servicios que son utilizados por más de 1.000 organismos públicos de media, la implantación de la accesibilidad deberá hacerse de forma gradual a los próximos años, en función de las prioridades que se definen de acuerdo al impacto y la complejidad, y que se concretarán en el plan anual de accesibilidad.

El Consorcio AOC facilitará los accesos necesidades para llevar a cabo las revisiones.

2. REQUISITOS DE LA PRESTACIÓN DEL SERVICIO‌

2.1 servicios profesionales ‌

Los servicios contratados deberán adecuarse a la normativa de accesibilidad exigida por la Unión Europea y las diversas normativas aplicables de las webs.

Los servicios profesionales de accesibilidad de las webs del Consorcio AOC deben cumplir con los siguientes requisitos:

Requisitos de los servicios de accesibilidad de las webs

R 1. Evaluación y elaboración de informes en profundidad de cada servicio y / o proyecto digital y seguimiento de su accesibilidad. Propuesta y ejecución de las soluciones técnicas para alcanzar el objetivo 100% accesible con los criterios AA de las WCAG 2.1.

R 2. Validación de los gestores de contenidos y aplicaciones, analizando sus plantillas, proponiendo soluciones técnicas a las inconformidades detectadas.

R 3. Servicio de subtitulación y / o audiodescripción de los vídeos para que sean accesibles

R 4. Realización de informes periódicos para publicar el estado de accesibilidad de las webs y las webs móviles con carácter cuatrimestral.

R 5. Creación y actualización de guías y manuales de accesibilidad adaptados a nuestros servicios y usuarios.

R 6. Creación, actualización y mantenimiento de las declaraciones de accesibilidad publicadas en los servicios.

R 7. Gestión de la accesibilidad de documentos PDF (elaboración, revisión, corrección y formación)

R 8. formación sobre accesibilidad orientada según tipos de usuarios: gestores de contenidos, diseñadores, programadores y maquetadores.

R 9. maquetación web accesible dado un diseño

2.2 Servicios tecnológicos y otros ‌

Para la prestación de los servicios profesionales deberá disponer de un conjunto de servicios tecnológicos que se detallan a continuación.

2.2.1 Servicio de monitorización de accesibilidad y control de calidad de los contenidos web del Consorcio AOC

El servicio objeto del contrato debe cumplir con los siguientes requisitos:

Servicio de monitorización de accesibilidad y control de calidad de los contenidos web

R 10. Servicios de monitorización automática de accesibilidad web (detección de errores según la normativa WCAG 2 A, AA, AAA, según el reglamento de accesibilidad vigente (Real Decreto 1112/2018)

R 11. Detección de errores dentro de las páginas web y los documentos PDF

R 12. Desglosar los problemas de accesibilidad en tareas prioritarias y gestionables

R 13. Automatización de los tests de accesibilidad

R 14. Controles de accesibilidad automatizados que incluya las pautas de accesibilidad

R 15. Clasificación de los errores por tipo de problema

R 16. Supervisión del progreso de mejora

R 17. Gestión de usuarios (mínimo 25 usuarios). División de tareas para usuarios desarrolladores y editores

R 18. Debe cubrir los diferentes servicios de validación especificados en una única Suite, y no de manera fragmentada en diferentes plataformas.

R 19. La interfaz de la plataforma debe estar disponible en catalán x xxxxxxxxxx

R 20. Debe ofrecer un PlugIn de validación para Wordpress

R 21. Debe validar la legibilidad del contenido de la web al menos en base a los standards Lix y Xxxxxx Xxxxxxx

R 22. Debe permitir la configuración de políticas personalizadas relativas a contenido, documentos o imágenes

R 23. Dispondrá de una Interfaz de programación y aplicaciones (API)

R 24. Monitorizar, como mínimo, 25.000 páginas o URLs

2.2.2 Requisitos de seguridad

2.2.2.1 Requisitos de seguridad generales

R 25. Con el fin de preservar y garantizar la seguridad de los datos, la transferencia de datos entre el Consorcio AOC y el adjudicatario será siempre por canales cifrados punto a punto o con los datos cifrados.

R 26. Los datos del Consorcio AOC y los sistemas de tratamiento de las mismas estarán ubicadas en salas especialmente habilitadas para tal efecto, con control de acceso físicos y sistemas de control de temperatura y humedad.

R 27. Está prohibido transferir datos del Consorcio AOC soporte portátiles, así como el tratamiento de datos desde equipos portátiles. En caso de tener que hacerlo, habrá que pedir permiso al AOC y cifrar los datos en los soportes portátiles.

2.2.2.2 Requisitos de seguridad de la plataforma tecnológica de monitorización

R 28. Durante el tiempo de ejecución del contrato, el licitador deberá implantar las medidas de seguridad de sistemas de nivel bajo de la ENS, y que están indicadas en el documento anexo "ANEXO I - Medidas seguridad nivel BAIX.xlsx". Para acreditar que se cumplen las medidas de seguridad el adjudicatario deberá aportar la declaración de conformidad en sistemas de categoría baja, que el adjudicatario podrá hacer mediante una autoevaluación.

El formato y contenido de la declaración de conformidad deberá respetar lo dispuesto en la Resolución del 13 de octubre de 2016, Anexo 1 y 2, publicado en el BOE a la siguiente URL: xxxxx://xxx.xxx.xx/xxxxxx_xxx/xxx.xxx?xxxXXX-X-0000-00000

2.3 Análisis técnico de seguridad inicial de la infraestructura y solución ‌

Previo a la puesta en marcha del servicio, el Consorcio AOC podrá realizar un análisis técnico de seguridad inicial de la infraestructura y la solución, para garantizar el cumplimiento de los requisitos especificados.

2.4 normativa aplicable ‌

El adjudicatario se compromete a que los servicios y sistemas de información que proponga cumplirán la siguiente normativa y requisitos en relación a:

• Las normas ISO / UEC / UNE 17799 de mejores prácticas de seguridad de la información y UNE71502 de gestión de la seguridad de la información, adaptadas a la estructura administrativa, personal y entorno tecnológico del cliente y aplicadas de forma proporcional a los riesgos reales.

• También se compromete a aplicar las medidas, procesos y requisitos que el cliente solicite para mejorar la calidad y seguridad y proponerle los que considere necesarios para mejorar las soluciones.

• Se compromete a realizar, el análisis de los requisitos del sistema, la función de dar soporte metodológico y documentar los resultados del análisis de los riesgos del sistema y de la clasificación de la criticidad y sensibilidad de los datos y procesos. Este análisis incluirá también el apoyo metodológico y la documentación de la clasificación de los datos personales en los niveles establecidos por el Esquema Nacional de Seguridad, y se prestará especial atención al cumplimiento del Reglamento General de Protección de Datos (UE) 2016/679, durante todo el desarrollo de los trabajos.

• En cuanto al diseño del sistema, se definirán los controles sobre seguridad, incluyendo, entre otros, los controles de cumplimiento del Esquema Nacional de Seguridad y el Reglamento General de Protección de Datos (UE) 2016/679, y la actualización de los planes de contingencias y continuidad. También se realizará la prueba de los controles de seguridad.

• La Directiva (UE) 2016/2102, del Parlamento Europeo y del Consejo, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público, transpuesta al ordenamiento jurídico al Real Decreto 1112/2018, de 7 de septiembre.

3. MEJORAS EN LOS REQUISITOS‌

3.1 Mejoras de los requisitos funcionales, técnicos y de SLA ‌

Aparte de las prestaciones recogidas en este documento se valorarán todas aquellas prestaciones superiores o complementarias a las exigidas que las empresas licitadoras proporcionen en sus ofertas y que se consideren de valor añadido para facilitar la gestión del servicio.

Los ámbitos de estas mejoras adicionales están concretados en el Pliego de cláusulas administrativas particulares, apartado de Criterios de Valoración (H2).

4. CLASIFICACIÓN DE LA INFORMACIÓN Y EL SERVICIO‌

Para determinar las medidas de seguridad aplicables para proteger los datos y el servicio, se ha clasificado la información y el servicio en función del valor que ésta tiene para la organización.

La clasificación del sistema se ha hecho siguiendo las guías de Agencia Catalana de Ciberseguridad y del Esquema Nacional de Seguridad.

Según la guía GUIT049-C del Agencia Catalana de Ciberseguridad, la clasificación de la información se puede medir en 5 niveles (Muy crítico, Crítico, Sensible, Interno y Público) y la clasificación del servicio en 4 niveles (Esencial, Estratégico, Importante y básico).

Denominación del subsistema	Servicio (Disponibilidad)	Información (Seguridad)	RTO / RPO
Plataforma de monitorización de accesibilidad y calidad	básico	público	5 días / 1 día
Valor máximo registrado	básico	público	2 días / 1 día

La clasificación del sistema según el Esquema Nacional de Seguridad se ha hecho siguiendo la guía CCN-STIC 803. Según esta metodología la clasificación del sistema se puede medir en 3 niveles (Alto, Medio y Bajo).

La clasificación del servicio según esta metodología es:

Denominación del subsistema	tipo	C	Y	D	A	T	DP
Plataforma de monitorización de accesibilidad y calidad	Info y servicio	NA	B	B	B	B	N / A
La valoración del sistema es Baja (C = NA, Y = B, D = B, A = B, T = B, DP = B)

Las medidas de seguridad a aplicar para mitigar los riesgos según la clasificación se detallarán en el subencargo de tratamiento de datos a firmar por el adjudicatario. En el anexo "Marco de Ciberseguridad de Protección de Datos: medidas mitigatorias identificación remota" se concreta la propuesta de subencargo de tratamiento de datos.

5. CONDICIONES DE EJECUCIÓN: SERVICIOS INCLUIDOS‌

5.1 obligaciones básicas ‌

El adjudicatario deberá cumplir las siguientes obligaciones básicas:

• El adjudicatario deberá realizar reuniones periódicas con el Consorcio AOC para exponer el cumplimiento del servicio on-site y tratar los posibles problemas o mejoras del servicio.

• El adjudicatario deberá realizar la formación de los técnicos designados, en todos aquellos aspectos que el Consorcio AOC crea oportunos y que sean de directa aplicación a los servicios requeridos.

• Presentación de informes mensuales de presentación del servicio de acuerdo con los indicadores que el Consorcio AOC considere apropiados.

• Elaboración de la documentación técnica.

• Elaboración de los manuales y otra documentación destinada a la formación de los usuarios.

5.2 Acuerdos de nivel de servicio ‌

Se deberá cumplir los requisitos del acuerdo de nivel de servicio de la AOC definido en las condiciones generales de servicio del Consorcio AOC .

El acuerdo de nivel de servicio se regulará de acuerdo a los siguientes criterios.

5.2.1 Definiciones de las tipologías de incidencias

nivel

Descripción

bloqueando

Una incidencia se catalogará con criticidad bloqueando si impide la utilización total del servicio a todos los usuarios de este.

alta

Una incidencia se catalogará con criticidad alta si impide la utilización de una parte concreta del servicio, a todos o algunos usuarios, y la afectación por el negocio es elevada.

media

Una incidencia se catalogará con criticidad media si impide la utilización de una funcionalidad concreta de alguno de los servicios a todos o algunos usuarios externos a la plataforma y la afectación por el negocio es relativamente baja.

baja

Una incidencia se catalogará con criticidad baja si no impide la utilización ni parcial ni total de alguno de los servicios a ninguno de los usuarios.

5.2.2 Tiempo de respuesta y de resolución

El tiempo de respuesta y de resolución se establece según el tipo de incidencia:

• Tiempo de respuesta.

Se define como tiempo de respuesta el tiempo que transcurre desde que la incidencia es comunicada, y el usuario recibe el ticket de su incidencia. El tiempo de respuesta se cuenta sobre el horario de soporte de recepción de incidencias.

• Tiempo de resolución.

Se define el tiempo de resolución de una incidencia como el número de horas que transcurren desde que el usuario recibe el ticket de la incidencia hasta el momento en que la incidencia está solucionada. En el cálculo del tiempo de resolución de una incidencia no se tiene en cuenta los posibles incrementos de tiempo provocados por la intervención inevitable de terceros en el proceso de resolución (por ejemplo, soporte de Oracle, intervención de otros organismos, etc. ..).

• Horario garantizado según las Condiciones Generales de Servicio del AOC Período de tiempo en que se dispone de soporte técnico especializado en la resolución de incidencias técnicas de los servicios del Consorcio AOC.

o Todo el año: de lunes a viernes 8h a 15h

o Excepciones: días festivos del Estado y de Cataluña.

El tiempo máximo permitido por la respuesta y resolución de una incidencia dependerá del nivel de criticidad de la incidencia. En la siguiente tabla se muestran los tiempos máximos permitidos por la resolución de una incidencia en función del nivel de criticidad:

criticidad Incidencia

Tiempo de respuesta (s)

Tiempo de resolución (horas)

horario

% De resolución dentro del tiempo comprometido

Bloqueando

0,5

horario garantizado

95%

1 Alta

horario garantizado

95%

2 Media

horario garantizado

95%

3 Baja

horario garantizado

95%

Para el cálculo del tiempo de resolución de una incidencia excluirán los posibles incrementos de tiempo provocados por la intervención inevitable en el proceso de resolución por parte de terceros.

6. MODELO DE RELACIÓN‌

6.1 Modelo de relación ‌

Como mínimo, sin embargo, será necesario que se establezca los siguientes niveles de interlocución:

• Reuniones de dirección con las siguientes características:

o Interlocutores: jefe de proyecto y / o responsable del servicio por parte del licitador. Gestor del servicio por parte del Consorcio AOC.

o Periodicidad: 1 mes

o Objetivo: hacer el seguimiento del contrato, analizando diversos aspectos: productividad, control de horas, temas de facturación, seguimiento de hitos (a alto nivel), etc.

o Entregables: actas de las reuniones, informes ejecutivos, informes con control de horas (hechas y pendientes) etc.

• Reuniones de seguimiento con las siguientes características:

o Interlocutores: las personas asignadas por el licitador para llevar a cabo el servicio. Por parte del Consorcio AOC será el jefe de proyecto / servicio o alguno de los técnicos asignados al proyecto.

o Objetivo: seguimiento del cumplimiento de la ANS, rendimiento de la plataforma e incidencias más destacables.

o entregables:

▪ Informe resumen de las actuaciones ya resueltas y horas realizadas.

▪ Informe de situación de las actuaciones en curso y horas realizadas.

▪ Informe resumen de las actuaciones pendientes y horas estimadas.

▪ Planificación de las actuaciones a realizar.

▪ Escandall de horas total realizadas en el mes.

▪ Informe de las incidencias abiertas, resueltas, tiempo de resolución, etc.

6.2 Devolución del servicio ‌

El adjudicatario deberá asumir sin coste para el Consorcio AOC el plan de transición para hacerse cargo del servicio. Al final del servicio el adjudicatario deberá planificar y ejecutar el plan de devolución del servicio en caso de cambio de proveedor. El coste del plan de devolución del servicio está incluido en el presupuesto del contrato.

El adjudicatario deberá hacer una eliminación segura de toda la información del servicio una vez éste haya sido transferido.

6.3 Gestión del servicio con JIRA y Teams ‌

La comunicación, gestión de las tareas, incidencias y propuestas de mejora se realizará mediante la herramienta JIRA y Microsoft Teams del Consocio AOC.

6.4 Entregables y criterios de selección ‌

Los entregables y los criterios de selección están definido en el cuadro de características de la presente licitación.

Subdirección de Estrategia e Innovación del Consorcio AOC

ANEXO I. MEDIDAS DE SEGURIDAD DE NIVEL BAJO‌

naturaleza

grupo

medida

nivel

Descripción Nivel

Medidas de Organización

Normativa, procedimientos y estándares de protección de datos

normativa

básico

1. La Normativa de protección de datos ha de plasmar de forma clara y precisa, al menos, lo siguiente: a) Organización de protección de datos: - Designación del Delegado de Protección de Datos (DPD) de los tratamientos automatizados y no automatizados.- Designación del Comité o Comités para la gestión y coordinación de la protección de datos, detallando el ámbito de responsabilidad, los miembros y la relación con otros elementos del organización.- Designación del Responsable de ciberseguridad y cumplimiento de protección de datos .- Definición de los roles y funciones definiendo para cada uno los deberes y responsabilidades. b) Definición de la categorización de cada puesto de trabajo en materia de protección de datos que defina las funciones, deberes y obligaciones del personal; y los criterios y reglas de uso encaminados a la correcta utilización de las herramientas de trabajo y los servicios. Debe incluir la responsabilidad de los usos indebidos y las medidas disciplinarias asociadas. c) Modelo de relación con la autoridad de control. d) Registro de Actividades de Tratamiento que deberá contener como mínimo los siguientes campos: - Nombre y datos de contacto del DPD, del Responsable del Tratamiento y, en su caso, del corresponsable y del representante del responsable.- Actividades y finalidades de los tratamientos.- Descripción de las categorías de datos y los interesados.- categorías de los destinatarios a los que se le han comunicado o comunicarán los datos, incluidos los destinatarios en terceros países u organizaciones internacionales.- Transferencias internacionales de datos.- Cuando sea posible, información asociadas. g) Definición de los niveles de riesgo de las Actividades de Tratamiento y los criterios para la clasificación.

h) Metodología de Evaluación de Impacto relativa a la Protección de Datos (AIPD) i) Identificación de las medidas de ciberseguridad asociadas los diferentes niveles de risc.2. La normativa referida en este apartado deberá mantenerse en todo momento actualizada y será revisada siempre que se produzcan

cambios rellevants.3. Cualquier incumplimiento

o excepción de la normativa deberá ser correctamente documentado. La normativa referida en este apartado deberá mantenerse en todo momento actualizada y será revisada siempre que se produzcan cambios rellevants.3. Cualquier incumplimiento o excepción de la normativa deberá ser correctamente documentado. La normativa referida en este apartado deberá mantenerse en todo momento actualizada y será revisada siempre que se produzcan cambios rellevants.3. Cualquier incumplimiento o excepción de la normativa deberá ser correctamente documentado.

procedimientos

básico

1. Se dispondrá, como mínimo, los siguientes documentos que detallen de forma clara y precisa cómo llevar a cabo los tratamientos automatizados: a) Control de acceso lógico (gestión de usuarios). Debe incluir el control de acceso a los datos que tienen limitado el tratamiento. b) Identificación y autenticación. c) Gestión de suports. d) Copias de seguridad y restauración de datos. e) Control de acceso físico. f) tratamiento de ficheros temporales. g) Eliminación segura de información en la reutilización o destrucción de soportes y sistemas. h) Devolución de activos. i) Registro de accesos. j) Gestión de excepciones. k) Trabajo fuera de los locales del responsable de las Actividades de Tratamiento o encargados de los tratamientos. l) Notificación, registro y

gestión de incidencias. m) Notificación de

vulneraciones de seguretat.2. Los documentos referidos en este apartado se

Procedimientos de autorización

básico

1. Se establecerá un proceso formal de autorizaciones que cubra, como mínimo, los siguientes aspectos: a) Uso de dispositivos móviles (ordenadores portátiles, dispositivos móviles inteligentes, tabletas, agendas electrónicas, etc.). b) Uso de soportes (dispositivos ópticos (CD, DVD), discos duros externos, cintas y discos de copias de seguridad, unidades USB o pendrives, tarjetas de memoria (SD, microSD, etc.)). c) Salida de dispositivos móviles y suports. d) Tratamiento fuera de los locales del responsable del Tratamiento o Encargado del Tratamiento. e) Acceso remoto.

f) Ejecución de los procedimientos de recuperación de datos. g) Entrada en producción y mantenimiento de equipos y aplicacions.2. Los documentos referidos en este apartado se deberán mantener en todo momento actualizados y serán revisados

siempre que se produzcan cambios relevantes.

Conocimiento de la normativa, procedimientos y estándares de protección de datos

Deberes y obligaciones del personal

básico

1. Se debe informar al personal de: a) Las funciones, deberes y obligaciones tanto durante el período el cual ejerce el puesto de trabajo como en caso de finalización de la asignación o traslado a otro lugar de trabajo . b ) Los requisitos a cumplir respecto los datos a los que ha tenido acceso, en particular, en términos de confidencialidad, tanto durante el periodo en el que ha sido adscrito como posteriormente a su finalización. c) las medidas disciplinarias en caso

de incumplimiento .

Formación y concienciación

básico

1. En coordinación con el DPD, se deben llevar a cabo las acciones necesarias para formar y concienciar regularmente el personal sobre su papel y responsabilidad en materia de protección de datos para que la seguridad de los tratamientos automatizados y no automatizados alcance los niveles exigidos . En particular, con respecto a: a) La normativa, procedimientos y estándares de seguridad relativa al buen uso de los sistemas y los tratamientos en papel.

b) La detección y reacción a incidentes de seguridad, actividades o comportamientos sospechosos. c) El procedimiento de notificación de incidentes y vulneraciones de

seguridad. d) La gestión de la información en cualquier formato en que se encuentre. Se

deben cubrir al menos las siguientes actividades: empleos ordenados, almacenamiento, transferencia, copias, distribución, destrucción y uso de archivos temporales.

Medidas de Gestión

Protección de datos en el diseño y por defecto

Arquitectura de seguridad

básico

1. Se deben diseñar y configurar los sistemas y redes aplicando la regla de mínima funcionalidad y la seguridad por defecto. 2. El diseño de arquitectura de seguridad debe contemplar las instalaciones, los sistemas, el esquema de líneas de defensa y los sistemas de identificación y autenticación. 3. Se deben configurar de forma segura los equipos, previamente a al su entrada en producción de forma que se apliquen medidas técnicas y organizativas que garanticen, por defecto: a) la limitación del tratamiento de datos por parte de los usuarios de los diferentes sistemas de información de acuerdo con las funciones que el usuario debe desarrollar .b) la retirada de cuentas y contraseñas por defecto. c) que no se proporcionen funciones innecesarias, ni de operación, ni de administración, ni de auditoría, de manera que se reduzca su perímetro al mínimo imprescindible. d) que no se proporcionen funciones que no sean de interés, ni sean necesarias y, incluso, las que sean inadecuadas al fin que se persegueix.4. Se debe mantener documentación tanto del diseño de arquitectura como de la configuración de los equipos. 5. De manera previa a la entrada en producción se debe realizar un análisis de vulnerabilidades. 6. Se debe pedir autorización relativa a la entrada en producción y mantenimiento de equipos y aplicaciones. De manera previa a la entrada en producción se debe realizar un análisis de vulnerabilidades. 6. Se debe pedir autorización relativa a la entrada en producción y mantenimiento de equipos y aplicaciones. De manera previa a la entrada en producción se debe realizar un análisis de vulnerabilidades. 6. Se debe pedir autorización relativa a la entrada en producción y

mantenimiento de equipos y aplicaciones.

desarrollo seguro

básico

1. El desarrollo de aplicaciones debe hacerse sobre un sistema diferente y separado del de producción y no debe haber herramientas o datos de desarrollo en el entorno de producció.2. Se aplicará una metodología de desarrollo reconocida que: a) Tome en consideración los aspectos de seguridad en todo el ciclo de vida. b) Utilice algoritmos, software y bibliotecas reconocidas. c) Contemple la generación y el tratamiento de pistas de auditoría que permita registrar las actividades de los usuarios tal y como se especifica en la medida Id 20 "Registro y protección de actividad de los usuarios" .3. De manera previa a la entrada en producción se realizará: a) Comprobación del funcionamiento correcto de la aplicación. b) Análisis de vulnerabilidades.

pruebas

básico

1. Las pruebas se realizarán en un entorno aislado del de producción. 2. Las pruebas anteriores a la entrada en producción o modificación no se deben hacer con datos reales, a menos que se asegure que el entorno en el que se hagan las pruebas tenga implementadas las medidas de ciberseguridad establecidas por el nivel de seguridad del

tratamiento de los datos.

Gestión de accesos de los usuarios

Requisitos de acceso y segregación de funciones

básico

1. Los requisitos de acceso deben atenerse a lo que se indica a continuación: a) Todo sistema de información debe disponer de mecanismos de autenticación para validar la identidad de los usuarios que acceden. b) Los recursos del sistema deben protegerse con algún mecanismo que impida su utilización, salvo las entidades, usuarios o personas que disfruten de derechos de acceso suficientes. c) Los derechos de acceso de cada recurso han de establecer según las decisiones de la persona responsable del recurso, y se atendrán a la normativa de seguridad del sistema. d) Particularmente, se debe controlar el acceso a los componentes del sistema y sus archivos o registros de configuración .

Identificación y autenticación

básico

1. Antes de proporcionar las credenciales de autenticación a los usuarios, éstos deben haber identificado y registrado de manera fidedigna ante el sistema o ante un proveedor de identidad electrónica reconocido por la Administración. Se prevén varias posibilidades de registro de los usuarios: - Mediante la presentación física del usuario y la verificación de su identidad de acuerdo con la legalidad vigente, ante un funcionario habilitado para ello. - De manera telemática, mediante DNI electrónico o un certificado electrónico cualificado.- de manera telemática, utilizando otros sistemas admitidos legalmente para la identificación de los ciudadanos de los que prevea la normativa aplicable.2. Los mecanismos de autenticación empleados en cada sistema deben adecuarse al nivel del sistema y responder a los mecanismos autorizados en el Reglamento Europeo 910/2014 (eIDAS) y reglamentos de ejecución del mismo, así como el Protocolo de Identificación y Firma Electrónica, aprobado por la Orden GRI / 233/2015, de 20 de julio, y la Política de Identificación y Firma Electrónica del Marco Normativo de Seguridad de la Información de la Generalitat de Cataluña. Los mecanismos pueden utilizar los factores de autenticación siguientes: - "Factores de conocimiento": contraseñas o claves concertadas. Deben disponer de reglas básicas de calidad (extensión, tipo de caracteres, etc.) .- "Factores de posesión": componentes lógicos (tales como certificados de software) o dispositivos físicos (tokens, teléfonos móviles, dispositivos) .- "Factores inherentes o propios del usuario ": elementos biomètrics.3. En el ámbito básico se requerirá como mínimo un factor de autenticación. Los factores anteriores se pueden utilizar de manera aislada o combinarse para generar mecanismos de autenticación fuerte (ver niveles superiores). 4. La identificación de los usuarios del sistema se hará de acuerdo con lo que se indica a continuación: a) Los identificadores de usuario deben cumplir con el MCPD y el Marco Normativo de la Seguridad de la Información de la Generalidad de Catalunya. b) Se pueden utilizar como identificador único los sistemas de identificación que prevea la normativa aplicable.

c) Cuando el usuario tenga diferentes roles ante

el sistema (por ejemplo como ciudadano, como

trabajador interno del organismo y como administrador de los sistemas), debe recibir identificadores singulares para cada uno de los casos de manera que siempre queden delimitados privilegios y registros de actividad.

d) Cada entidad (usuario o proceso) que accede al sistema debe disponer de un identificador único de forma que: - Se puede saber quién recibe y qué derechos de acceso rep.- se puede saber quién ha hecho algo y que ha fet.5. Las credenciales se gestionar de la manera siguiente: a) Se deben activar una vez estén bajo el control efectivo del usuario. b) Deben estar bajo el control exclusivo del usuario. c) El usuario debe reconocer que las ha recibido y que conoce y acepta las obligaciones que implica su tenencia, en particular, el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida. d) Deben ser inhabilitados en los casos siguientes: cuando el usuario deja la organización por cualquier causa; cuando el usuario cesa en la función para la que se requería la cuenta de usuario; o cuando la persona que lo autorizó da orden en sentido contrario. En definitiva, cuando se termina la relación con el sistema. e) Se retener durante el periodo necesario para atender las necesidades de trazabilidad de los registros de actividad asociados. A este periodo se le denomina período de retención. f) deben revisar periódicamente los identificadores y verificar si es necesario que accedan a los sistemas de información. g) En el caso de que sean contraseñas deben ser configurados según ' estándar de contraseñas del Marco Normativo de Seguridad de la Información de la Generalitat de Cataluña. Concretamente, en lo referente a la complejidad, longitud, caducidad, limitación del número de intentos fallidos, reutilización y

almacenamiento. En caso de utilizar OTPs éstos no tendrán una duración superior a 24 horas.

Gestión de derechos de acceso de los usuarios

básico

1. La asignación y el uso de los privilegios de acceso debe estar restringida y controlada. La asignación de derechos de acceso privilegiados debe estar recogida en un proceso formal de autorización, de acuerdo con la normativa de control de acceso aplicable. Sólo el personal autorizado puede conceder, alterar o anular la autorización de acceso a los recursos, de conformidad con los criterios establecidos por su propietari.2. Los derechos de acceso de cada usuario se limitarán atendiendo a los principios siguientes: a) Mínimo privilegio. Los privilegios de cada usuario se deben reducir al mínimo estrictamente necesario para cumplir sus obligaciones. b) Necesidad de conocer. Los privilegios deben limitarse de forma que los usuarios sólo accedan al conocimiento de aquella información requerida para cumplir sus obligacions.3. El asignación de derechos debe tener en cuenta lo siguiente: a) Xxxxxxxx identificarse los derechos de acceso privilegiados asociados a cada sistema o proceso (p.ej. sistema operativo, sistema de gestión de BBDD, aplicaciones) junto con los usuarios a los que se deben asignar. b) se autorizará la asignación de privilegios y se registrarán todos los privilegios asignados. Los derechos de acceso no se harán efectivos hasta que se complete el proceso de autorización. c) Deben definirse los requisitos para el vencimiento de los derechos de acceso privilegiados. d) Los derechos de acceso deben 'asignarse a un identificador de usuario e) deben revisar periódicamente los permisos asignados a los usuarios y, verificar que se corresponden a sus funciones .f) en caso de que

sea recomendable por criterios de

Se considera acceso local al realizado desde puestos de trabajo dentro de las mismas instalaciones de la organización y desde los recursos propios ubicados en dichas instalaciones. Se considera acceso remoto al realizado desde fuera de las mismas instalaciones de la organización, a través de redes o recursos de terceros que no estén puestos a disposición específicamente como recursos locales o propios de la Generalidad de Cataluña.1. Se debe garantizar la seguridad del sistema cuando accedan remotamente usuarios u otras entidades, lo que implica proteger tanto el acceso en sí mismo como el canal de acceso remoto. La concepción de acceso remoto se deberá aplicar a las formas establecidas de Teletrabajo en el Marco Normativo de Seguridad de la Información de la Generalitat de Cataluña.2. Los accesos deberán cumplir con las siguientes medidas según el nivel de los tratamientos: a) Se prevendrán ataques que

básico puedan revelar información del sistema sin llegar a acceder. La información revelada a quien intenta acceder debe ser la mínima imprescindible (los diálogos de acceso sólo deben proporcionar la información indispensable) .b) El sistema informará al usuario de sus obligaciones, si fueran específicas, inmediatamente después de obtener el acceso. Esta información en relación con las obligaciones generales aplicables a los sistemas de la Generalidad se mostrará la primera vez que el usuario acceda al sistema. c) Pasado un cierto tiempo de inactividad en la sesión del usuario, ya sea con el sistema o con una aplicación en particular, se cancelarán las sesiones abiertas desde dicho lugar de trabajo.3. Se aplicarán a las conexiones en remoto las medidas de seguridad establecidas para el acceso local, siempre y cuando resulten adecuadas. En caso contrario se definirán medidas equivalentes para alcanzar un nivel de seguridad comparable.

Acceso local y remoto

Gestión de Servicios Externos

Contratación y acuerdos de nivel de servicio

básico

1. Se suscribir, si son de aplicación los escenarios descritos, los siguientes contratos u otros actos jurídicos con los siguientes actores:

a) Encargados del Tratamiento. Estos deben establecer de forma clara y concisa, como mínimo: - Objeto.- Duración.- Naturaleza y finalidad del tratamiento (características del servicio prestado) .- Tipo de datos personales.- Categoría de los interesados.- Obligaciones, responsabilidades y derechos del Responsable.- Obligaciones, responsabilidades y derechos del Encargado según el clausulado del artículo 28.3 RGPD.- Medidas técnicas y organizativas que ofrezcan unas garantías suficientes de acuerdo con el nivel de riesgo de las datos.- Niveles de servicio (tiempo de respuesta en caso de violaciones de seguridad, resolución de incumplimientos, etc.) .- Consecuencias del incumplimiento. - Devolución o destrucción de los datos a la finalización de la encargo. b) Prestadores de servicios sin acceso a datos. Estos deben establecer de forma clara y concisa, como mínimo: - Naturaleza y finalidad del servicio.- Prohibición de acceder a los datos personales.- Obligación de deber xx xxxxxxx respecto a los datos que el personal hubiera podido conocer con motivo de la prestación de servicio.- Consecuencias del incompliment.2. Los Encargados del Tratamiento suscribirán contratos u otros actos jurídicos con los subencarregats que utilicen para llevar a cabo determinadas actividades de tratamiento. Estos deberán establecer, como mínimo, las mismas obligaciones de protección que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado. Las subcontrataciones deben estar autorizadas por el Responsable del Tractament.3. El Responsable del tratamiento debe identificar las actividades de los tratamientos y sistemas de información tratados por cuenta de terceros con referencia expresa al encargado, al contrato o documento que regule las condiciones y la vigencia de la encàrrec.4. Si se actúa como Encargado del Tratamiento se debe identificar y registrar las actividades de tratamiento y sistemas de información que trata por cuenta de terceros, en su caso, con referencia expresa al Responsable del tratamiento, al contrato o documento que regule las condiciones y la vigencia de la encàrrec.5. En caso de disponer de encargados de tratamiento el Responsable

deberá establecer un sistema de garantías para

acreditar la calidad y adecuación profesional del encargado de tratamiento.

Medidas de Protección

Protección de las instalaciones e infraestructuras

Acondicionamiento de los locales

básico

1. Los locales donde se ubiquen los sistemas de información y sus componentes deben disponer de elementos adecuados para el funcionamiento eficaz del equipamiento instalado allí. Y, especialmente: a) Condiciones de temperatura y humedad. b) Energía eléctrica, y sus presas correspondientes, necesaria para funcionar, de forma que se garantice el suministro de potencia eléctrica y el funcionamiento correcto de las luces de emergencia. c) protección contra las amenazas identificadas en el análisis de riesgos. d) protección del cableado contra incidentes fortuitos o deliberats.2. Se debe garantizar el suministro eléctrico a los sistemas en caso de fallo del suministro general y garantizar el tiempo suficiente para que finalicen ordenadamente los procesos, salvaguardando la información.

Control de acceso físico

básico

El equipamiento se instalará en áreas específicas para su función (áreas de CPDs x xxxxx técnicas, edificios o ubicaciones donde se encuentre ubicado este equipamiento). Se deben controlar los accesos a las áreas indicadas de forma que sólo se pueda acceder las entradas previstas y vigilades.1. Deben quedar registradas la entrada y salida de las personas en las áreas separadas y concretamente la identificación de la persona, la fecha y hora de entrada y sortida.2. El registro de accesos debe estar controlado por una persona autorizada.

Registro de entrada y salida de equipamiento y soportes

básico

Se debe garantizar que el equipamiento y los soportes están bajo control y que satisfacen sus requisitos de seguridad mientras están siendo desplazados de un lugar a otro. A tal efecto: 1. Se debe llevar un registro detallado de cualquier entrada y salida de equipamiento y soportes de los CPDs, salas técnicas, edificios o ubicaciones donde se encuentren estos equipamientos o soportes, incluyendo la identificación de la persona que autoriza el movimiento. El registro debe reflejar: fecha y hora, identificación inequívoca del equipamiento, persona que realiza la entrada o salida, persona que autoriza la entrada o salida y persona que realiza el registre.2. Se elaborará una lista de servicios autorizados de transporte o mensajería a emprar.3.

Monitorización de la actividad e incidencias

Controles de auditoría de los sistemas de la información

básico

1. El Responsable de tratamiento deberá tener un modelo de cumplimiento que permita el seguimiento, revisión y autoevaluación de las medidas de seguridad aplicadas a los tratamiento de datos de carácter personal. Este modelo de cumplimiento debe permitir acreditar y disponer de las evidencias pertinentes para acreditar el nivel de cumplimiento en relación con el presente MCPD o con las medidas excepcionales que se hayan determinado las correspondientes AIPD.

Registro y protección de la actividad de los usuarios

básico

1. Se registrarán las actividades de los usuarios en el sistema, de forma que: a) El registro debe indicar quien hace la actividad, cuando la hace y sobre qué información y las actividades efectuadas con éxito y los intentos fallidos .b) se incluirá la actividad de los usuarios y, especialmente, la de los operadores y administradores cuando puedan acceder a la configuración y actuar en el mantenimiento del sistema. c) la determinación de qué actividades se deben registrar y con qué niveles de detalle se deben adoptar en vista del análisis de riesgos hecha sobre el sistema y las capacidades del mateix.2. Se deben activar los registros de actividad en los servidors.3. El período de conservación de la información se regirá por la normativa de gestión de trazas del Marco Normativo de Seguridad de la Información de la Generalidad de Cataluña (18 meses). 4.

Gestión de incidentes y sistema de notificaciones de incidentes

básico

1. Se establecerá un registro de incidentes en los que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que hace la notificación, a quien se le comunica, los efectos derivados y las medidas correctoras aplicadas. Además, deberán registrarse las restauraciones de copias de seguridad, indicando la persona que realiza el proceso, los datos restaurados y los datos que hayan tenido que grabar manualmente en

el proceso de recuperación.

Protección de activos

Inventario de activos

básico

1. Se deben mantener inventarios actualizados de todos los elementos del sistema (información, software, hardware, servicios, terceros, personas, instalaciones, soportes de información), detallando como mínimo: a) El responsable. b) Tipo de activo (servidor, ordenador, router, etc.). c) Identificador, fabricante y modelo. d) Ubicació.2. Los inventarios se actualizarán en función de los plazos establecidos en la normativa.

archivos temporales

básico

1. Los ficheros temporales que se hubieran creado exclusivamente para la realización de trabajos temporales auxiliares deberán cumplir con las medidas establecidas que se apliquen a los ficheros considerados definitius.2. Todo fichero temporal así creado será borrado una vez haya dejado de ser necesario para la finalidad que motivó su creación.

Protección de equipos

básico

1. El puesto de trabajo se bloqueará al cabo de un tiempo prudencial de inactividad y debe requerir una nueva autenticación del usuario para reanudar la actividad en curs.2. Los equipos deben disponer de protección antivirus y antimalware.3. Los equipos que sean susceptibles de salir de las instalaciones de la organización y no se puedan beneficiar de la protección física correspondiente, con un riesgo manifiesto de pérdida o robo, se deben proteger adecuadamente. Sin perjuicio de las medidas generales que les afecten, se debe evitar, en la medida de lo posible, que el equipo contenga claves de acceso remoto a la organización. Se consideran claves de acceso remoto las que sean capaces de habilitar un acceso a otros equipos de la organización, u otros de naturaleza análoga.

Mantenimiento de equipamiento

básico

Se aplicarán las medidas preventivas y correctivas necesarias para mantener el equipamiento físico y lógico asegurando la confidencialidad, integridad y disponibilidad continua de los equipos y sistemas. De acuerdo con ello, se dispondrá de: 1. Las especificaciones de los fabricantes en cuanto a la instalación y mantenimiento de los sistemes.2. Un seguimiento continuo de los anuncios de defectos, utilizando mecanismos, como por ejemplo, la suscripción de correo de avisos de defectos por parte xxx xxxxxxxxx.3. Un procedimiento para analizar, priorizar y determinar cuándo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas

versiones.

Protección de los soportes de información

básico

1. Los soportes de información se identificarán mediante etiquetado o mecanismo equivalente de forma que, sin revelar su contenido, indique el nivel de seguridad de la información contenida de más qualificació.2. Las etiquetas o mecanismos equivalentes deberían ser fácilmente identificables. Se informará a los usuarios sobre estos mecanismos de identificación para que, o bien mediante simple inspección, o bien mediante el recurso a un repositorio, puedan entender el significado. 3. Se podrá excluir, por previsión a la normativa, la obligación de etiquetado en caso de soportes en que no se pudiera cumplir por sus características físicas, estableciendo medidas alternativas para asegurar su identificación y

localització.4.

Devolución de activos

básico

El personal interno o externo deberá devolver todos los activos de la organización que estén en su poder al finalizar la relación laboral, el contrato o acuerdo.

Protección de la información

Protección del puesto de trabajo

básico

1. Se exigirá que los puestos de trabajo permanezcan despejados, sin más material sobre la mesa que el requerido para la actividad que se realiza en cada momento.

Limitación del tratamiento de datos personales

básico

Una vez finalice el tratamiento de datos y cuando el Responsable del tratamiento haya establecido que los datos personales deben conservarse por los motivos establecidos en el RGPD oa la legislación aplicable, que impliquen una limitación de uso de las mismas, se deberán adoptar medidas técnicas para proteger los datos de acuerdo con este nuevo estado, como las siguientes: 1. Control de accés.2. Ubicación de los datos en un sistema diferent.3. Cifrado.

Copias de Seguridad

básico

1. Se realizarán copias de seguridad que permitan recuperar datos perdidos, accidentalmente o intencionadamente con una antigüedad determinada. En particular, se debe considerar la conveniencia o necesidad, según corresponda, que las copias de seguridad estén xifrades.2. Estas copias deben tener el mismo nivel de seguridad que los datos originales. 3. Las copias de seguridad deben incluir: a) Información de trabajo de la organización que se refiera a datos personales. b) Aplicaciones en explotación, incluyendo los sistemas operativos mediante las que se traten datos personales. c) Claves utilizadas para preservar la confidencialidad de las dades.4. Semestralmente se verificará la correcta definición, funcionamiento y aplicación de los procedimientos de realización de las copias y de los procedimientos de recuperació.5.

Protección de la información en tratamientos no automatizados

Control de acceso a la documentación

básico

1. Se han de limitar los accesos de los usuarios únicamente a los recursos necesarios para el desarrollo de sus funciones. A tal efecto, el Responsable del tratamiento debe elaborar una relación actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada

uno de ellos.

Custodia, almacenamiento y destrucción

básico

1. Se debe disponer de medidas físicas o lógicas, o ambas, que obstaculicen la apertura de los dispositivos de almacenamiento que contengan datos de carácter personal. Si no es posible adoptar esta medida el responsable del tratamiento deberá adoptar medidas que impidan el acceso de personas no autorizadas.

2. Si, por encontrarse en proceso de tramitación o revisión, la documentación no se encuentra archivada en los dispositivos de almacenamiento adecuados, la persona que se encuentre al cargo de la misma deberá custodiar la documentación impidiendo el acceso a cualquier persona no autoritzada.3. Se exigirá que los puestos de trabajo permanezcan despejados, sin más documentación sobre la mesa que la requerida para la actividad que se realiza en cada moment.4. Se debe destruir cualquier documento que contenga datos de carácter personal que sea rebutjat.5. La destrucción se llevará a cabo mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en los mismos o su recuperación posterior para eliminar el riesgo de acceso indebido.

Copia y reproducción de documentos

básico

1. Deben destruir las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.

Traslado de documentación

básico

1. Cuando el tratamiento de datos se realice fuera de los locales del responsable o del encargado del tratamiento el responsable del tratamiento lo deberá autorizar prèviament.2. Se debe llevar un registro detallado de cualquier entrada y salida de documentación. El registro debe reflejar: fecha y hora, identificación de la documentación, el número de documentos, el tipo de información que contienen, persona que realiza la entrada o salida, la forma de envío, la persona que autoriza la entrada o salida y la persona que realiza el registro.

Criterios de archivo

básico

1. Se debe garantizar la correcta conservación de los documentos, la localización y consulta de la información de conformidad con los criterios previstos en la legislación vigente sobre archivística. Estos criterios han posibilitar el ejercicio de los derechos previstos en la normativa de protección de datos. En aquellos casos en los que no exista normativa aplicable, el responsable del tratamiento deberá establecer los criterios y procedimientos de actuación que deberán seguirse en materia de

archivo.

Gestión de incidentes y sistema de notificaciones de incidentes - papel

básico

Procedimientos - papel

básico

1. Se dispondrá de los siguientes procedimientos por los tratamientos no automatizados: a) Trabajo fuera de los locales del responsable de las actividades de los tratamientos o encargados de los tratamientos.

b) Notificación, registro y gestión de incidencias.

c) Control de acceso. d) Criterios de archivo. e) Dispositivos de almacenamiento. f) Custodia. g) Copia o reproducción. h) Traslado. i) Destrucción papel.

Document Metadata

Table of Contents

Pliego de prescripciones técnicas particulares del contrato de servicios de accesibilidad web de los servicios aoc

Document Metadata