ift INSTITUTO FEDERAL DE TELECOMUNICACIONES UNIDAD DE ADMINISTRACIÓN DIRECCIÓN GENERAL DE TECNOLOGfAS DE LA INFORMACIÓN Y COMUNICACIONES NORMAS PARA LA ADMINISTRACIÓN, OPERACIÓN Y MANTENIMIENTO DE SOLUCIONES DE TECNOLOGfAS DE LA INFORMACIÓN Y COMUNICACIONES DEL INSTITUTO FEDERAL DE TELECOMUNICACIONES Administración Director General de Tecnologías de la Información y Comunicaciones Lic. Guillermo Fernández Martínez Director de Seguridad de la Informac ión lng. Abraham Adán Orduña Cortés Director de Infraestructura Tecnológica lng. José Javier Ulises Miranda Nieto Director de Desarrollo de Sistemas Lic. Roberto Rolando Reséndiz Sánchez ift INSTITUTO FEDERAL DE TELECOMUNICACIONES BITÁCORA DE ACTUALIZACIONES ~ ~~~lslón · ¡ - - Motivo 1 Emisión del documento Fecha de entrada en vigor 09 Febrero 2016 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES fNDICE Capítulo l . Disposiciones Generales .................................... ................. ................ 4 Capítulo 11. Programación de Proyectos de TIC ...................................... ...... 4 Capítulo 111. Clclo de Vida de Soluciones Tecnológicas ............................ 5 Capítulo IV. Normas específicas aplicables a la Fase "Modelado del Negocio " ........................................................................................... 10 Capítulo V. Normas específicas aplicables a la Fase "Análisis y Diseño" ........................................................................................................ 12 Capítulo VI. Normas específicas aplicables a la Fase "Construcción" ....................................................................................... 25 Capítulo VII. Normas específicas aplicables a la Fase "Pruebas " ...... 27 Capítulo VIII. Normas específicas aplicables a la Fase 1 1:~~~· c~~~;~~;~~;~~~~~l~-~I~~ : : : :::::: :: ::\ : :s:~ Disposiciones Transitorias .................................................................................................. 35 f;. 3 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Mario Alberto Fócil Ortega, Titular de la Unidad de Administración del Instituto Federal de Telecomunicaciones, con fundamento en lo dispuesto los artículos 57, primer párrafo y 61 fracción IV, del Estatuto Orgánico del Instituto Federal de Telecomunicaciones, emite las siguientes: "Normas para la administración, operación y mantenimiento de soluciones de tecnologías de la Información y comunicaciones del Instituto Federal de Telecomunlcaclones" Capítulo l. Disposiciones Generales Artículo 1. Objeto Las presentes normas tienen por objeto instrumentar las medidas que las Unidades Administrativas (UA) del IFT deberán considerar para la ejecución de proyectos que incluyan en su alcance total o parcial el uso o aplicación de tecnologías de la información y comunicaciones (en lo sucesivo TIC), así como aquellas que aseguren la correcta transición e implementación de las soluciones tecnológicas a la operación y mantenimiento por parte de la Dirección General de Tecnologías de la Información y Comunicaciones (DGTIC) del Instituto. Artículo 2. Ámbito de aplicación Las presentes normas son de observancia general y obligatoria para todas las UA que integran el Instituto Federal de Telecomunicaciones. Artículo 3. Glosarlo de términos Los términos y definiciones utilizados en las presentes normas forman parte del documento "Glosario de Términos" adjunto al presente como Anexo 1. Capítulo 11. Programación de Proyectos de TIC Con la finalidad de dimensionar los esfuerzos necesarios para satisfacer las necesidades tecnológicas de las UA del Instituto para cada ejercicio fiscal, la DGTIC realizará un levantamiento de información con las UA acerca de los proyectos que en su alcance total o parcial incluyan TIC. Dicho levantamiento será la base para estructurar el "Programa anual de proyectos de TIC", el cual deberá realizarse durante el último trimestre del ejercicio fiscal anterior al año del que se trate. )\ __ ri}~ La información obtenida del levantamiento será analizada por la DGTIC ~~ coordinación con las Direcciones Generales de Finanzas, Presupuesto Contabilidad y de Adquisiciones, Recursos Materiales y Servicios Generales, verificando que cada UA tenga capacidad financiera para ejecutar los proyectos, 4 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES haciendo para ello el análisis de información contra el Presupuesto de Egresos del IFT y el Programa Anual de Adquisiciones, Arrendamientos y Servicios (PAAAS. El Programa anual de proyectos de TIC, será presentado al Coordinador Ejecutivo y al Coordinador General de Planeación Estratégica a efectos de que conozcan los esfuerzos y proyectos de TIC que serán ejecutados y validen en su caso la alineación de los mismos al cumplimiento de los objetivos institucionales. Ésta información también será compartida a las UA solicitantes de proyectos de TIC con el fin de dar el seguimiento correspondiente a cada uno de ellos. Capítulo 111. Clclo de Vida de Soluciones Tecnológicas Estas normas se basan en un modelo ordenado por fases que facilitan el seguimiento a l ciclo de vida de una solución tecnológica, considerando desde su concepción hasta su posterior operación y mantenimiento en condiciones óptimas para los usuarios del Instituto. Los productos generados en cada una de las fases del ciclo de vida deberán observar los elementos técnicos y administrativos que se describen en este documento. o e e e o Modelado de Negocio Análisis y Diseño Construcción Pruebas Despliegue • • • • • Fase l. Modelado del Negocio. Se integra por actividades de levantamiento de información para traducir las necesidades tecnológicas de las UA en requerimientos funcionales y no funcionales que permitan conceptualizar soluciones tecnológicas que las satisfagan . Esta fase opera a través del acompañamiento a las UA con la finalidad de: 1. Incrementar los beneficios al invertir en TIC como herramientas para eficientar las funciones de las UA; 2. Alinear las necesidades tecnológicas de las UA con los beneficios esperados a través de la solución tecnológica a adquirir, contratar o desarrollar; 3. que se puedan aprovechar a fin de solventar de forma total o parcial las necesidades de las UA; 5 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES 4. Asegurar que desde el dimensionamiento inicial, se consideren los procedimientos, estándares y políticas vigentes establecidos por la DGTIC; 5. Prevenir y proyectar las necesidades de TIC del Instituto; 6. Fortalecer técnicamente la documentación de la solución tecnológica requerida (Documento de Entendimiento de Solución Tecnológica "Anexo 2" y/o Anexo Técnico, formato vigente emitido por la Unidad de Administración), y 7. Recomendar los estándares apropiados en materia de TIC aplicables a la solución tecnológica. El procedimiento a través del cual se deberá solicitar el acompañamiento, realizar el análisis técnico y emitir las recomendaciones técnicas aplicables hasta obtener el modelado del negocio que traduce la necesidad tecnológica, se describe en el "Proceso para el modelado de negocio de necesidades de TIC" (Anexo 3). Como resultado de este proceso se determina si la solución tecnológica será provista por la DGTIC, o en su defecto, por el proveedor que tenga contratado el Instituto para prestar el servicio de fábrica de software. En caso contrario, la UA podrá iniciar, un procedimiento de contratación conforme a lo dispuesto por las Normas y Lineamientos en materia adquisiciones, arrendamientos y servicios del Instituto Federal de Telecomunicaciones. En caso de que una iniciativa de solución tecnológica coincida con otra respecto al tiempo en que se requiere iniciar o tener en operación o bien que no cuenten con recursos financieros para ejecutarla, la DGTIC evaluará la viabilidad de atenderla observando las cargas de trabajo y asignación de recursos (humanos, técnicos o financieros) en los proyectos que se encuentren en ejecución. En caso de no contar con la capacidad instalada para dar atención a las iniciativas que se empalmen, la DGTIC notificará a la Coordinación Ejecutiva y a la Coordinación General de Planeación Estratégica la necesidad de determinar la prioridad de atención de las iniciativas, para analizar y determinar en conjunto el orden de atención de las mismas; para este fin, se convocará a las UA involucradas. Con el objeto de Identificar la prioridad de una solución tecnológica se utilizará el formato "Hoja de Evaluación de Iniciativas de TIC" (Anexo 4), que considera la evaluación de dicha Iniciativa a partir de criterios de impacto al interior y exterior ~ del Instituto, lo que permitirá asignar una calificación y con base en el resultado más alto se tomará la decisión de atención. El resultado deberá ser documentado .,.-....~ formalmente y aceptado por todos los asistentes a las reuniones de evaluación. ~ ro(_ Los criterios que se consideran en la herramienta mencionada son los siguientes:\ 1. Cobertura Institucional. Este factor involucra la identificación del\ universo al que impactará la ejecución y puesta en marcha de la iniciati~ 6 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES en evaluación, es decir, cuántas áreas del Instituto se impactan o son beneficiadas con la existencia de la iniciativa de TIC y a cuántos concesionarios, usuarios o, en general, terceros beneficia. Se considera que las iniciativas que tienen una cobertura al exterior del Instituto tendrán mayor peso ya que el propio Instituto basa sus operaciones en la atención y satisfacción de necesidades del país. 2. Impacto y alineación con los objetivos estratégicos del Instituto. Se trata de determinar si la iniciativa impacta de forma directa al logro de los objetivos estratégicos del Instituto. Dichos objetivos se encuentran descritos en la "Planeación Estratégica" del Instituto Federal de Telecomunicaciones. Se deberá considerar la versión más actualizada de la documentación en la que se presenten. 3. Riesgos. Este criterio busca validar que se haya llevado a cabo un ejercicio de Identificación de riesgos inherentes a la iniciativa y que se tenga planeado para cada riesgo un tratamiento o acción que lleve a su mitigación, eliminación o bien a la transferencia del mismo. La intención de evaluar este factor es darle un peso mayor a las iniciativas que han tenido un mayor análisis y por ende se tiene más capacidad de responder para evitar impactos por riesgos no identificados. El análisis de riesgos realizado a las iniciativas se puede realizar a través de la metodología de análisis de riesgos institucional emitida como parte del Sistema de Control Interno Institucional vigente. 4. Urgencia. Este factor considera aspectos del tiempo en que se requiere tener la iniciativa de TIC en cuestión a disposición de la UA o bien de los entes externos a l Instituto y determinar si la misma deriva de una disposición normativa que delimite un tiempo específico de entrega. En éste último caso, la inic iativa tendrá un mayor peso y por lo tanto, cobra mayor prioridad. 5. Mejora Tecnológica. Este factor evalúa el impacto que tendrá la iniciativa en la optimización del uso de los recursos involucrados en la ejecución de los procesos de las UA (tecnológicos, financieros, materiales y humanos). Adicionalmente, considera la alineación a políticas de conversión digital de los trámites y servicios que ofrece el Instituto a sus áreas internas y a los entes externos al mismo. El alcance y la forma en que se atenderá la solución tecnológica por la DGTIC bien por un tercero, deberá documentarse y ser aprobada por la UA solicitante, asegurándose que la descripción general de la soluc ión tecnológica y el trabajo a el caso de los proyectos de ejecución interna o por el proveedor del seNicio de 7 /J ift INSTITUTO FEDERAL DE TELECOMUNICACIONES fábrica de software se deberá usar el formato "Propuesta de Solución Tecnológica" (Anexo 5). En el caso de los proyectos con terceros, éstos podrán entregar su propuesta en formato libre, alineándose en todo momento a lo indicado en el Anexo Técnico correspondiente. Las propuestas de terceros, serán revisadas y validadas por la DGTIC, con la finalidad de asegurar su alineación a lo estipulado en las normas específicas aplicables que se citan en los capítulos siguientes. Las soluciones tecnológicas que serán adquiridas como un producto listo para ser instalado y que, por ende, no serán sometidas a las fases de Análisis y Diseño y de Construcción, deberán respetar la plataforma tecnológica estándar definida, en caso contrario, contar con la revisión y aprobación por parte de la DGTIC. Deberá también someterse a las pruebas de calidad y seguridad necesarias para garantizar su buen funcionamiento y considerar la programación de despliegues y los planes y documentación de soporte necesaria para su administración, operación y mantenimiento. Fase 2. Análisis y Diseño. En esta fase se deberán ejecutar todas las acciones necesarias para identificar y documentar de forma detallada los requerimientos funcionales y no funcionales alrededor de la solución tecnológica, así como las reglas de operación y de negocio que deberán considerarse para cada uno de los requerimientos. Esta fase considera también la traducción de los requerimientos a diagramas, procesos, gráficos, prototipos, o cualquier otro medio de presentación, los cuales deberán presentarse a la UA solicitante quien deberá validar que los requerimientos han sido comprendidos en su totalidad por parte de los proveedores o por la DGTIC. Otro factor importante además de delimitar el alcance de la solución tecnológica, son los criterios bajo los cuales se considera que los requerimientos cumplen con las expectativas de la UA que las solicita, indicando por cada requerimiento el criterio mediante el cual se dará por aceptado cada uno de los requerimientos solicitados y acordados. Tocios los productos generados deben ser validados y firmados por las UA para mantener la evidencia necesaria de los acuerdos y la conformidad de su ~ entendimiento. ~~ Fase 3. Construcción. Realiza las acciones necesarias para desarrollar ~ implementar la solución tecnológica, preparar los ambientes de pruebas y producción, así como los recursos tecnológicos necesarios (infraestructura, comunicaciones y seguridad) bajo las condiciones (requerimientos, reglas de 8 l"2>( ift INSTITUTO FEDERAL DE TELECOMUNICACIONES operación y lineamientos técnicos) acordadas entre la UA y la DGTIC o un tercero en cuestión. En esta fase, el administrador del proyecto (si es realizado por un tercero) o el líder técnico de la solución (si es creada por la DGTIC), deberá dar seguimiento puntual a los avances en la construcción conforme a lo establecido en el plan de trabajo y demás documentación administrativa del proyecto. Los avances de cada etapa deberán hacerse de conocimiento de las áreas involucradas con el fin de que éstas realicen las actividades que les correspondan y en su caso puedan identificar riesgos potenciales que afecten el alcance o tiempo de proyecto acordados y tomar las medidas preventivas o correctivas necesarias. Fase 4. Pruebas . Son las acciones necesarias para realizar el aseguramiento y control de calidad, lo que considera el cumplimiento de cada uno de los requerimientos y sus criterios de aceptación. Asimismo, se validará que se hayan implementado los requerimientos de seguridad de la información acordados. Cabe mencionar que ésta fase es de suma importancia para un proyecto de cualquier índole, por lo que se deben considerar los tiempos, personas y herramientas necesarias para ejecutar los ciclos de pruebas que permitan dictaminar el estado en el que una solución tecnológica entra a la operación diaria de las funciones del Instituto. Fase 5. Despllegue. Realizar las acciones necesarias para transferir la solución tecnológica a la operación diaria del Instituto o bien de la UA solicitante. Como parte de la planeación de la transición, se deben considerar y documentar las actividades a realizar en caso de una afectación a la operación del Instituto, asegurando con ello la recuperación de la operación normal a un punto estable. Es importante considerar acciones de transferencia de conocimientos y capacitación para el personal que usará la solución tecnológica, así como las necesarias para la correcta operación, administración y mantenimiento de las mismas. En el caso de proyectos con terceros los puntos de inicio del soporte o bien de las presente fase. 9 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Capítulo IV. Normas específicas aplicables a la Fase "Modelado del Negocio " Dura nte la fase de Modelado de Negocio se deberán observar las siguientes normas específica s: Norma específica Descripción Se deberá inc luir a la DGTIC desde la concepción d e la soluc ió n tecnológica con la fina lida d d e identificar buenas prácticas y recomendaciones q ue minimicen los riesgos técnicos y d e segurida d d e la información del Instituto. Considerar a la DGTIC desde la concepción de la solución tecnológica Identificar y documentar los requerimientos (de alto nivel) Lo anterior p odrá realizarse a través de una reunió n entre la DGTIC y la UA solic itante, en la que se expong an los objetivos de la soluc ión, los requerimie ntos y reglas de negocio de alto nivel del área usuaria, los b enefic ios que espera n d e la soluc ión, a ctores involuc rados y t od a aquella información necesaria para delimitar el alcance general de la misma . En su defecto, se podrá revisar un d ocumento inic ial (Documento de Ente ndimiento o borrador d e Anexo Técnico) en donde se haya registrad o to d o lo antes c itad o. Posteriormente, se deb erán ejecutar reuniones y / o revisiones periódicas entre los resp onsa b les d e la soluc ión t ecnológic a a construir y la DGTIC, para a segurar la implementac ión d e buenas práctica s técnicas y d e seguridad a plic a b les a la soluc ión tecnológica de q ue se trate, así como conocer los avances generales d el proyecto. Se deberá n identificar y d ocumentar los requerimientos func iona les y no funciona les que atiendan la necesidad d e la UA solicitante, involuc ra ndo c uando sea necesario al equipo técnico de la DGTIC. Debe inc luir los requerimientos de alto nivel con su especificación o c rite rio de a ceptac ió n. Clasificación del tipo de información Se deberá identificar el ti po d e informac ión que se gestionará a través d e la solución tecnológica, clasificándola de ~ a c uerdo a la Ley Fed eral d e Transparenc ia y Acceso a la Informac ión Pública Guberna mental (LGTAIPG) y/o la Ley General d e Transparencia y Acceso a la Información (LGTAI). En c a so d e que el sistema ma neje datos personales, es de suma importa nc ia que le sea comunicad o a la DGTI C, con la fina lidad de prevenir las acciones necesarias para a segurar la 10 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción informac ión y c umplir con la normatividad aplic a ble a la información. Clasificación de volumen de Información La definic ión d e la solución tecnológica q ue satisfa c e las necesidad es del área solic ita nte requiere de la identificación de alto nivel de las tra nsacciones gene ra d as p or el sistema, sus características de p rocesamiento, la estimación de c recimiento e ind icar si la informac ión electrónica se a lmacenará como arc hivos históricos o se deberá mantener en línea para consulta o a ná lisis. Asegurar soporte y mantenimiento desde el dimensionamiento de la solución Desd e la concep c ió n de la soluc ión tecnológica se deben considerar tod os los planes de sop orte, mantenimiento y/o g ara ntía necesarios, ya sea durante e l c ic lo d e vida de la solución o bien posterior a su liberación. Dic hos pla nes deberán acordarse d esd e e l inicio y que dar establecidos en e l d ocumento d e "Entendimiento d e Soluc ión Tecnológic a ", como un requerimient o no funciona l y/ o e n el Anexo Técnico d el proyecto. Validación de propuestas de proveedores La UA solic itante d eberá asegurarse de q ue todo lo q ue ha solicita d o a través d e su documento de Entendimiento d e Soluc ió n Tecnológica" y/o en el Anexo Técnico d el proyecto ha sido inc luido como parte de la propuesta de cad a uno d e los proveedores q ue pa rtic ipen para su realiza ción. Asimismo, deberá info rmar y compartir a la DGTIC cada una de las propuestas de los proveedores, para asegurar q ue contengan las necesidades y lineamientos técnicos establecidos por la misma. Integrar acuerdos con base en las necesidades de cada fase Es obligación de los líderes de la soluc ión tecnológic a (de p royecto, de negocio y técnico) incluir las ac ciones necesarias p ara definir, ejecutar o imp le mentar las normas esp ecífic a s c itad a s en todas las fases d el Ciclo de Vida de Soluc iones Tecnológicas (descritas en los capítulos siguientes). Dic has a cciones deben ma ntenerse asentadas en 1\ documentac ión contrac tua l o d onde se acuerde el alcance d el proyecto a fin de delimitar las estimaciones d e esfuerzos y costos asociados. 11 ift INSTITUTO FEDERAL DE TELECOMUNIC ACIONES Capítulo V. Normas específicas aplicables a la Fase "Anállsls y Diseño" Durante la fase de Análisis y Diseño se deberán considerar las siguientes normas específicas: Norma específica Descripción Se deberá considerar como parte d e la arquitectura de la solución tec nológica, la conceptualización de al menos una capa de presentac ión (servidores de aplicación Web), una capa de negoc io (servidores de contenido y reglas de negocio) y una capa de datos (almacenamiento en base de datos), tal y como se ilustra en el diagrama anexo. Arquitectura de la solución tecnológica Comunicación con otras soluciones tecnológicas Cluste , deServldotes de Servldort:.s- de Contenido Apt/cad ooe sWeb (Regjas de Negodo) e ase de Datos Capa de Presentación Cap• de Negodo Capa de Dato s 8 La distribución de los componentes a nivel red, así como el número de servidores que formarán parte de la arquitectura tecnológica deberá acordarse entre el administrador del proyecto o líder técnico y la DGTIC. Es obligatorio identificar la interoperabilidad de la solución tecnológica requerida con otras soluciones tecnológicas existentes en el Instituto o en otras organizaciones. Se deben describir todos los parámetros de configuración y conexión e incluir un diagrama detallado de interoperabilidad en donde se visualicen todos los componentes de TIC involucrados y su interrelación. Deberán existir ambientes independientes de producción, ~ pruebas y desarrollo de software de tal forma que no IYl compartan recursos tecnológicos entre sí. Las versiones de ~ sistema operativo, base de datos, servidores de aplicación\ ejec utables y cualquier otro software instalado deberán ser idénticos en todos los ambientes que formen parte de la solución tecnológica. ~ "'1, Ambientes independientes: desarrollo, pruebas y producción 12 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción Para el caso de desarrollos tercerizados, será responsabilidad del proveedor proporcionar todos los elementos correspondientes al ambiente de desarrollo así como su Instalación y configuración . Dicho ambiente podrá ubicarse en las instalaciones del proveedor o en cualquier otra ubicación que al mismo le convenga. La DGTIC proporcionará los ambientes de pruebas y producción acordes a la arquitectura de la solución definida (servidores y sistema operativo). La instalación y configurac ión de estos ambientes será responsabilidad del proveedor. Los servidores proporcionados por la DGTIC cuentan con las siguientes características: l . Servidores virtualizados bajo la plataforma VMWare. 2. Unidad de almacenamiento para el sistema operativo de 80 GB. 3. Memoria instalada 4GB en RAM. 4. Procesador de 2 cores. En caso de requerir características adicionales de almacenamiento, de hardware o software, la UA solicitante o bien el responsable técnico de la solución deberá presentar la justificación técnica de la solicitud, la cual será revisada por la DGTIC para verificar la disponibilidad de recursos existentes y la viabilidad técnica del requerimiento. Con la finalidad de estandarizar las p lataformas tecnológicas utilizadas en el Instituto, la DGTIC ha aprobado el uso de lo siguiente: Portales WEB Plataformas tecnológicas soportadas Sistema Operativo: RedHat Enterprise Linux 6. 7 o superior Base de Datos: MySQL Servidor de Aplicaciones Apache Web Server Lenguaje de Programación: • • • • • PHP HTML5 CSS3 JQuery Bootstrap ~ ~ 13 ift INSTITUTO FEDERAL DE TELECOMUN ICACIONES Norma específica Descripción • Modelado de Procesos CMS Drup al Oracle BPM Aplicaciones WEB internas Open Source Microsoft Sistema Operativo: Windows Server 2008 R2 EE o superior Base de Datos: SQLServer MySQL Servidor de Aplicaciones Mic rosoft SharePoint Apac he Web Server RedHa t Enterprise Linux 6.7 o superio r 1 Lenguaje de Programación: • • • • Visual Studio 201 3, Fram ework 4.5 HTML css JQ uery • • • • • • PHP HTML 5 CSS3 JQ uery Bootstrap CMS Drupal Siste mas Transaccio nales Oracle Sistema Operativo: Base de Datos: Servidor de Aplicaciones Lenguaje de Programación: Microsoft RedHa t Enterp rise Linux 6. 7 o superior Windows Server 2008 R2 EE o superior Oracle 12c o superior SQL Server Oracle WebLogic Internet lnformation Services (IIS) •JAVA • Vista - HTML 5 css 3 • • C# última versió n .NET última versión ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción - JQuery - JSF 2.0 • Modelo JPA 2.0 • Controlador EJB 3.1 Modelado de Procesos O racle 8PM lnteroperabilidad entre sistemas Los protocolos de interoperabilidad se d eberán validar con la DGTIC para cada uno de los sistemas con los que se pretenda comunicar la soluc ión tecnológica. Nota: Las herramientas y p lataformas sobre las que se desarrolle y ponga en operación el sistema deberán ser las versiones más actua les y estables de acuerdo a l fabricante. Dichas versiones d eberán ser establecidas en conjunto con e l administrador d el p royecto o líder técnico y la DGTIC y deberán corresponder con la plataforma tec nológica a ceptada en el Instituto. Cifrado y comunicación segura El intercambio de información sensitiva entre la solución tecnológica y los usuarios (credenciales de usuario, datos personales, información confidencial, informac ión reservada, etc.) deberá realizarse a través de medios seguros, utilizando mecanismos de c ifrado SSLde al menos 128 b its y un algoritmo de cifrado SHA-2. Será responsabilidad d el proveedor facilitar e implementar los certificados SSL necesarios para el funcionamiento del sistema, los certificados deberán ser expedidos por una autoridad certificadora de confianza y tener una vigencia de 3años. Identificar y documentar la trazabilldad de los . requerimientos detallados \ Se deberán identificar y documentar los requerimientos de forma detallada, incluyendo información específica de los mismos, involucrando a la UA solicitante y en su cas~ , a l equipo técnico necesario de la DGTIC. I 15 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Descripción Norma específica Los elementos mínimos a considerar para documentar los reque rimientos son: ID: Número identificador único de reque rimiento. Requerimiento: Descripción de la necesidad del cliente. (Identificar si es requerimiento es funcional o no funcional). Criterio de aceptación: Descripción de la funcionalidad esperada. Clasificación del Requerimiento: Indicar si se trata de un requerimiento funcional o no funcional. ID requerimiento (s) relacionado (s): ID de los requerimientos relacionados. Descripción de la relación: Especificar las relaciones con otros requerimientos. Módulos del Sistema: Indicar los módulos del sistema vinculados a l requerimiento. Sub-módulos del Sistema: Indicar los sub -módulos del sistema vinculados al requerimiento (si aplica). Se deberá asegurar la trazabilidad de los reque rimientos detectados a lo largo del ciclo de desarrollo con la finalidad de identificar los requerimientos que han sido cubiertos por la solución tecnológica . Nota: El proveedor o bien líder técnico de la DGTIC será responsable de la creación, actualización y entrega de la matriz de trazabilidad de requerimientos. Para asegurar la correcta comprensión de los requerimientos se deberá utilizar el estándar para la representac ión de procesos o esquemas de software (UML) que permita identificar los componentes y posibles escenarios en los que operará el sistema. Modelado UML Para cada requerimiento se deberá identificar el modelo UML correspondiente en la "Matriz de trazabilidad de ~. yr) ~:q:::~~::::" será responsablede entregar lodo la~ -~ ~ documentación necesaria conforme a UML 2.0, como : • Caso de Uso*,que al menos deber incluir: o Diagrama de Caso de Uso 16 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción o Precondiciones o Post-condiciones Reglas de Negoc io o Validaciones o Actores o Excepciones del Caso de Uso o Flujo Primario o Flujos Alternos Diagrama d e Clases** Diagrama de Objetos** Diagrama de Estados** Diagrama de Secuenc ias** Diagrama de Actividades** Diagrama de Colaboraciones** Diagrama de Componentes** Diagrama de Distribuc ión** Diagrama de Interfaces** o • • • • • • • • • *Obligatorio **En caso de que alguno de los anteriores no aplique, se deberá justificar téc nicamente. Para la elaboración de la documentación UML aplicable, el Instituto cuenta con Guías de apoyo para la elaboración de los mismos. Términos relacionados al negocio Es de carácter obligatorio realizar la descripción de los términos y palabras utilizadas en el negocio. Enlistar Reglas de Negocio Se debe estipular un listado de todas las reglas de negocio recopiladas en el análisis, se concentran en un documento para evitar redundancias en las reglas. Deberán especificarse los requerimientos gráficos aplicables, entre estos: Interfaz Gráfica Modelo Entidad Relación (Modelo Lógico) • Alineación a la norma d e accesibilidad emitida por la W3C • Manual de Identidad vigente en el Instituto • Visualización en diferentes navegadores web • Compatibilidad con dispositivos móviles (sistema\ responsivos) El proveedor deberá alinear la solución tec nológica al estándar de modelo entidad definido por la DGTIC en el documento de "Estándares de Base de Datos". /1}/ ¿lf 17 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción Para el caso de la imp lementac ión, gestión, administración y/o almacenamiento de información el p roveedor debe ajustarse a las p lataformas de base de datos establecidas por la DGTIC, e implementar los esquemas y/o bases de dat os generales (Catálogos comunes a los sistemas, ejemplo : catálogo de municipios, estados, etc .) que ponga a su disposición el área de Bases de Datos. Un diseño correcto de una base de datos debe considerar el tipo de información que se requiere a lmacenar, asegurando la consistencia e integridad de las tablas y los registros. Modelo entidad - relación (Modelo Físico) El modelo entidad relación debe explicar gráficamente por lo menos la interacción existent e entre los objetos de la base de datos como; entidad, atributo, relación, conjunto de re lac iones, restricciones y llaves. Se deberá inc luir un d iagrama de tablas, con el deta lle de todos sus elementos . Para definir un modelo de datos deberá consultarse el documento anexo "Estándares de Bases de Datos". El diccionario de datos inc luye las reglas de por lo menos la estandarización de nomenclaturas, tipo y longitud, lo a nte rio r fac ilita la identificación y administrac ión de sus componentes. Diccionario de Datos • • • • • • • • • Descripción de la nomenclatura utilizada . Detalles de los dat os. Nombre. Descripción. Tipo de dato. Longitud. Valor por defecto. Estructura. Restricciones. Para definir un modelo de datos deberá consultarse el documento anexo "Estándares de Bases de Datos". Proyección del crecimiento de la base de datos El c recimiento de la base de datos debe de ser previsto para evitar una degradación en el servicio tomando en c uenta la cantidad de transacciones de las tablas más usadas \ concurrentes en función del tiempo de acceso proporcionadas por la UA. ~ ~ ~ El p roveedor deberá e ntregar la descripción del método ')r) _,,,.,.­ usado, así como los resultados de la p royección de¿.),-';?] 18 A ift INSTITUTO FEDERAL DE TELECOM UNICACIONES Norma específica Descripción crecimiento en RAM y en Disco Duro (con base a la información proporcionada por la UA). • • • • Tipos de base de datos. Tamaño inicial. Modelo de crecimiento. Proyección a l y 2 años. Como parte del Diseño de la Solución Tecnológica se deberá considerar la creación de Casos de Prueba, a través de éstos se deberán definir y documentar las variables o condiciones que serán revisadas por el equipo de Calidad para determinar que el requerimiento ha sido cubierto de forma satisfactoria y cumpla los criterios de aceptación definidos. En el caso de soluciones tecnológicas creadas por la DGTIC, el equipo de Calidad será el responsable de generar dicha documentación y validarla con la UA solicitante. Para proyectos creados por terceros, es responsabilidad del administrador de proyecto identificar y documentar el total de variaciones que se deberán validar. Asimismo, que éstos han sido aprobados por la UA solicitante. Dicha documentación deberá contener por lo menos la siguiente información: Documentar Casos de Prueba • • • • • • • • • Nombre del sistema o proyecto ID del caso de prueba Nombre del caso de prueba Aplicación/ Módulo Descripción de la prueba Privilegios Pre-requisitos Scripts y herramientas de ejecución de la prueba Secuencia de la prueba (orden de ejecución, pasos a ejecutar y resultados esperados) • Nombre del desarrollador (cuando se conoce) Nota: Para la ejecución de las pruebas y seguimiento de defectos se podrá hacer uso de una herramient~ automatizada, que haya sido acordada entre la DGTIC y el proveedor o Líder Técnico del IFT, pudiendo ser ésta provista por el propio Instituto a través de accesos autorizados a la misma o bien acceder a una herramienta propiedad del proveedor. /7/ ¿Y p 1 19 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción La soluc ión tecnológica deberá conte ner un módulo de administración de usuarios (alta, baja, cambios) que permita validar la identidad de los usua rios a través de un mecanismo de autenticación basado en contraseñas. El acceso a dicho módulo deberá estar limitado a la red de datos interna del Instituto, de tal forma que ningún usuario pueda acceder al módulo desde Internet a menos q ue utilice una VPN configurada por el área responsable en el Instituto. El módulo de adm inistración de usuarios deberá permitir la administración de contraseñas considerando: Administración y autenticación de usuarios • Reglas configurables para asignar la complejidad de las contraseñas (longitud mínima de caracteres, uso de mayúsculas, minúsculas, números y símbo los). • Cambio periódico de contraseñas. • Bloqueo automático del acceso a la cuenta de usuario después de un número determinado de inte ntos fallidos. de cont raseñas por parte del • Reinicio administrador del sistema a solicitud de un usuario. • Almacenamiento seguro de contraseñas a través de los a lgo ritmos de cifrado SHA2 o AES 128 o 256 bits. En caso de que el módulo de autenticación se encuentre expuesto a Internet se deberán implementar mecanismos orientados al c ontrol de acceso seguro a través de una prueba desafío - respuesta (captc ha) que minimice los riegos de ataque de diccionario por sistemas automatizados o robots. Matriz de roles y privilegios El módulo de administración de usuarios de la solución t ecnológica deberá contar con un mecanismo de autorización basado e n roles o perfiles que permita al sistema verificar qué ro les tienen permisos sobre qué recursos; qué opciones de me nú configurar; o q ué informació n mostrar en tiempo de ejecución. ~ ~ El proveedor deberá documentar en una matriz los roles que pueden acceder a los distintos recursos que provee el sistema" \ y con qué privilegios pueden hacerlo. ~ La matriz deberá presentar de forma c lara los perfiles c reados _4}~ para los usuarios, los módulos a los que tie nen acceso y los ?""?' ¡ 20 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción permisos sobre cada objeto del sistema, así como una breve descripción de cada uno de estos elementos. La solución tecnológica deberá asegurar q ue los recursos puedan ser accedidos sólo por los usuarios autorizados. El uso de contraseñas vacías o "harcodeadas" hace posible su obtención con el desensamblado de la aplicación, por lo que un usuario ma licioso podría acceder a las mismas. Uso de credenciales de acceso a sistema (BD/OS) Manejo de datos personales Se recom ienda almacenar la información sensitiva en lugares a los que solo el aplicativo pueda acceder, y preferentemente, cifrar dicha información. Los algoritmos para el cifrado de la información deberán ser acordados entre el á rea de seguridad y e l proveedor de tal fo rma que no impacte el rendimiento de la plataforma del sistema. En caso de que la soluc ión tecnológica recolecte o gestione información c lasificada como datos personales, entiéndase por datos personales c ualquier información concerniente a una persona física identificada o identificable, el proveedor o líder técnico del IFT deberán Integrar a la inte rfaz gráfica del usuario e l aviso de privacidad correspondient e en el que se consideren los e lementos establecidos por la LFTAIPG y/o LGTAIP. El administrador del proyecto o líder técnico del IFT y el área de seguridad generarán una versión preliminar del aviso de privacidad y deberá contener el visto bueno del área juríd ica del Instituto. Entiéndase por cookie como c ualquier tipo de archivo o dispositivo que se descarga en el equipo de cómputo de un usuario con la finalidad de a lmacenar datos q ue podrán ser actualizados y recuperados por la entidad responsable de su instalación. Manejo de cookles Almacenar el nombre y la contraseña de un usuario en una cookie no es una buena práctica de seguridad ya que permite que cualquier persona que use el equipo de cómputo pueda tener acceso a esos datos. El p roveedor de la soluc ión tecnológica (interno o extern~ deberá asegurar que el uso de cookies, para identificar a u usuario, no permita la lectura de cookies desde el lado del usuario, sólo desde el servidor y preferentemente utilizando un identificador único temporal asociado con el usua) ¡ ¡}/ ,,1 ¿,Y /// r 21 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción En caso de que la solución tecnológica utilice cookies para re cabar información concerniente a los usuarios, se deberá notificar. La validación de los datos de entrada deberá realizarse y parametrizarse en los diferentes módulos que conformen este sistema de tal forma que se mitiguen ataques tales como inyección de código (SQL, LDAP o XPath), así como ataques de sitios cruzados (XSS). Ataque por sistemas automatizados o robots. Con la finalidad de evitar la inserción de datos inválidos provenientes de sistemas automatizados o robots, cualquier formulario expuesto a Internet deberá contener una prueba de validación desafío - respuesta, también conocida como Captcha. Validación de datos de entrada SQL lnjection. Se recomienda validar todos los campos por medio de listas blancas. De esta forma, sólo se a c eptarán caracteres no peligrosos. Es Importante normalizar la entrada para evitar las evasiones por medio de codificaciones en los parámetros. De ser posible, se rec omienda el uso de "prepared statements", ya que resulta la opción más segura hasta la fecha, para construir sentencias SQL con parámetros externos. Cross Site Scripting. Como regla general, no se debe confiar en información recibida por el usuario. Resulta peligroso utilizar, en la generación de páginas de respuesta, datos recibidos directamente del usuario sin realizar la codificación adecuada según el caso. Buffer Overflow. Por norma general, cualquier operación que conlleve copia de datos sobre un área de memoria, debe de ser realizada con especial cuidado a fin de garantizar que el área de memoria destino reservada será suficiente para albergar los datos que se quieren copiar. :fJ' "Yn Path Manipulation. Se recomienda no utilizar datos provenientes del usuario para construir el nombre de los ficheros. En caso de ser necesario, se recomienda aplicar filtrado sobre los dalos recibidos, preferentemente en base uso de listas blancas. \ q Bitácoras de eventos La solución tecnológica deberá ser c apaz de generar bitácoras de todos los eventos que suceden~con este. Se entiende por evento, las acciones que realizan los usuarios, lo 22 ~ , ~ . ift INSTITUTO FEDERAL DE TELECO MUNICACIONES Norma específica Descripción sistemas de form a automática y otros sistemas al interactuar con e l sistema, así como los intentos no autorizad os de acceder a c ua lquiera de los ele m entos que lo componen. Las bitácoras deberán contener a l menos la siguiente información: ¿Quién lo hizo? ¿Qué hizo? ¿Cuándo lo hizo? ¿Dónde lo hizo? y una breve descripción del evento. La soluc ión tecnológica deberá resguardar las bitácoras preferentemente en una instancia independiente a la base de datos del sistema. En caso de q ue la plataforma tecno lógica no lo permita, podrá optarse por resguardar las bitácoras en fo rmato de texto plano. Será responsabilidad d el Proveedor proponer las m edidas para m antener la integridad y confidencialidad de las bitácoras en texto pla no. El borrado de los registros deberá realizarse a nivel lógico, se recomienda contemplar un campo "estatus " en el cual se determine e l estado como cancelado cuando se haya e liminado un registro. Se deberá justificar ante la DGTIC cualquier borrado físico de los registros. La solución tecnológica deberá proveer los mecanismos necesarios para garantizar que e l contenido de las bitácoras no ha sido a lterado a nivel de registro. Esto es, deberá garantizar que están registrados todos los eventos y que estos eventos no han sido alterados, inc luso por el adm inistrador del Sistema . La solución tecnológica deberá m antener los archivos de la bitácora disponibles por a l menos un determinado periodo de tiempo y deberá manten er separadas las bitácoras de eventos de acuerdo a los componentes q ue lo integran (Al menos: sistema operativo, base de datos, aplicativo). El periodo de tiempo que deberán mantenerse disponibles las bitácoras será establecido entre el administrador del proyecto del proveedor o líder técnico del IFT, el á rea de seguridad y la UA solicitante, tomando com o base la c riticidad de la información contenida en e l siste ma. Las bitácoras deberán estar consideradas como parte de 1~ información que deberá respaldarse . . ~ Manejo de errores / Las respuestas ante un error en la solución tecnológica no deberán entregar información que pudiera revelar detalle acerca de cómo está hecha o funcionan los procedimientos de la misma, por lo que se deberán utilizar siempre que sea 23 1). / J íJ ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción posible controles d e e rror (try - catc h) para el manejo de excep c iones o e rrores inesperad os. Será resp onsabilidad del proveed or la c re a c ión de una página personalizada que se despliegue c ada vez que el sistema genere un error, por ejemplo los típicos errores 404, y que e limine la divulgación de info rmación rela tiva a la arquitectura d el sistema . Los mensajes d e e rrores d eberá n almacenarse (bitácora de eventos) d e tal forma que permitan la correcció n de los errores sin esperar que un usuario los rep orte, a demás de que podrá n utilizarse para la reso luc ión d e p roblemas. Validación de datos de salida Se d eberán asegurar que los mensajes de salid a devueltos a los usuarios a l momento de la autenticación o interacción con la soluc ión tecno lógica no especifiquen mayor información sobre la existenc ia de usuarios o valores válidos, por ejemp lo : " Error d e ingreso: La com binación de usuario y clave proporc ionados no es válida". Asimismo, el proveedor deberá asegurarse de enmascarar el direccionamiento del sistema para evitar la publica c ión de la s direcciones IP homologadas d e los servidores d e a plicación Web . Sincronización de tiempo del sistema Finalizar sesión por Inactividad El proveed or d eberá desarrollar un mecanismo configurable que permita la sinc ro nización del siste ma con un servic io de Network Time Protocol "NTP" definido por el IFT. Dic ho servicio de reloj d eberá utilizarse como insumo de las bitácoras d e eventos, inactividad d e sesió n y limitación del tiempo d e conexión al sistema. La soluc ión tecnológica deberá contar con un mecanism config urable que permita la terminación de la sesión de un usuario d espués de un determinado tie mpo de inactividad. Una vez cerrada la sesión, se deb erá notificar al usuario q ue su sesión ha expirado por inac tividad. ift INSTITUTO FEDERAL DE TELECOM UNIC A C IO NES Norma específica Limitación del tiempo de conexión al sistema Descripción Previo a la validación d el re querimie nto, la soluc ión tecnológica deb erá ser capaz d e limitar el acceso a los usuarios en hora rios específicos definidos por el administrador del proyecto en conjunto con el á rea usuaria. Es respo nsa bilid ad del p roveedor desarrollar un mecanismo configura ble q ue permita al Instituto limitar el horario de conexión al sistema de acuerdo a una fecha en específica o a un rango de tiempo d efinido por el Instituto . Para el caso de una solución tecno lógic a planteada por un te rc ero contratado p or el Instituto, que no estuviera a linea da a lo establecido en a lg una(s) de las normas esp ecífic a s d e este c a pítulo, el proveedo r debe rá justific ar y documentar dic ha(s) excepclón(es) p ara ser revisad a(s) y en su c aso aprobada(s) por la DGTIC. Capítulo VI. Normas específicas aplicables a la Fase "Construcción" Durante la fase d e Co nstrucció n se deberán considerar las sig uientes no rmas específicas: Norma específica Descripción La soluc ión tecnológica d ebe c umplir c uando menos con las siguientes buenas prác tic a s de progra mación: • Implementar Buenas Prácticas de Programación • Ajustar código a mejores prácticas d e programación d efinidas por el área d e desarro llo. Utilizar repositorio d e Subversión dentro del IFT. DGTIC se reserva el d erecho d e realizar las comprobac io nes necesarias p ara el c ump limiento d e buenas práctica s y está ndares so lic itados. El sist ema operativo deberá pasar por un proceso de fortalecimiento que p ermita minimizar el número d e vulnera bilidades contenidas. Fortalecimiento de Sistemas Operativos El sistema operativo deberá tener instala d as todas la~ a ctualizac iones y parc hes q ue se enc uentre n d isponibles, p~~~ p arte del fab ric ante, al momento d e la imp lementación y d eberá a p licar para cad a uno d e los servidores que formarán~ p arte d el sistema . La a plicación d e p arc hes y 9ctua lizaciones 25 .· ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción sobre el sistema operativo deberá acordarse en conjunto con la DGTIC. Las guías de endurecimiento serán proporcionadas por el área de seguridad para su implementac ión por el proveedor o responsable del proyecto, las cuales están orientadas a la eliminación, desactivación o cierre de software, usuarios, puertos TCP/IP y servicios Innecesarios para el funcionamiento del sistema. El servidor de aplicaciones web deberá pasar por un proceso de fortalecimiento que permita minimizar el número de vulnerabilidades contenidas. El servidor de aplicaciones, para los ambientes de pruebas, desarrollo y producción, deberá tener instaladas todas las actualizaciones y parches que se encuentren disponibles por parte del fabricante al momento de la instalac ión, considerando que los a mbient es de pruebas, desarrollo y producción deberán ser idénticos en versiones y parches instaladas. Los parches y actualizaciones posteriores a la implementac ión Fortalecimiento de Servidor de los ambientes deberán considerarse como una fase de de Aplicaciones actualización posterior a la liberación del sistema en producción. La instalac ión, implementación y actualizac ión de los servidores de aplicación será responsabilidad del proveedor o área técnica responsable del proyecto. La aplicación de parches y actualizaciones sobre el sistema operativo deberá acordarse en conjunto con la DGTIC. Las guías de endurecimiento serán proporcionadas por el á rea de seguridad para su implementac ión por el proveedor, las c uales están orientadas a la eliminación, desactivac ión o cierre de software, usuarios, puertos TCP/IP y servic ios innecesarios para el func ionamiento del sistema. Instalación del motor de Base de Datos La instalac ión inicial y configurac ión básica del Sistema ~ Manejador de Base de Datos, en cada uno de los diversos ambientes donde será utilizado deberá realizarse por el proveedor en conjunto con la DGTIC. \ Pruebas unitarias El proveedor deberá realizar pruebas unitarias a los módulos ~ d esarrollados que conforman la soluc ión tecnológic/ V .<.:--' 26 ift INSTITUTO FEDERA L DE TELECOMUNICACIONES Norma específica Descripción generando las evidencias necesarias para verificar su correcta realización. Capítulo VII. Normas específicas apllcables a la Fase "Pruebas " Durante la fase de Pruebas se deberán considerar las siguientes normas específicas: Norma específica Protección de los datos de prueba del sistema Descripción El administrador del proyecto del proveedor o líder técnico del IFT en conjunto con el á rea usuaria y la Dirección de Seguridad de la Información deberá seleccionar, proteger y controlar c uidadosamente los datos utilizados para las pruebas del sistema, asegurándose de que la Información confidenc ial y reservada d el Instituto no sea divulgada a personal no autorizado. Deberán apoyarse del área de Base de Datos del Instituto para generar informac ión aleatoria q ue pueda utilizarse en las pruebas func ionales del sistema en los ambientes de desarrollo y de pruebas. · Ambiente de Pruebas El proveedor deberá realizar una primera implementación de la solución tecnológica en el ambiente de pruebas, de tal forma que se valide el ma nua l d e instalación y configuración, así como el manual de usuario. Previo a esta fase es necesario que el responsable de la construcción de la soluc ión tecnológica, realice por lo menos las pruebas unitarias de integración y funcionales, presentando evidenc ia documental de su ejecuc ión. En c aso d e detectar algún defecto o desviación deberá inc luir la documentación de la resoluc ión de estos. Ejecución de Pruebas funcionales Se deberán ejecutar las pruebas que buscan determinar la satisfacción del requerimiento solicitado, considerando todas las variables que hayan sido documentadas para cada un\ en los Casos de Prueba. Para inic iar con la ejecució n de las p ruebas es mandatorio considerar los sig uientes documentos: ~ 27 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción • Matriz de Trazabilidad de Requerimientos • Casos de Prueba • Credenciales d e acceso a la solución tecnológica • Matriz de Pruebas La severidad de los hallazgos identificados durante las pruebas se c lasificará n de acuerdo a la siguiente ponderación: • Crítico: Obstac uliza o imposibilita la operación del siste ma. • Alto: No cumple con la func iona lidad esperada o regla de negocio. • Medio: El requerimiento no está codificad o correctamente o envía errores aleato rios. • Bajo: Se detectan fallas en el d iseño o errores gramaticales en los mensajes. Para aquellas soluc iones tecnológicas desarrolladas por el Instituto a través de la Dirección de Desarrollo de Software (desarrollos internos o desarrollos gestionados por la fábrica de software contratada por la DGTIC), las pruebas de calidad serán realizadas por el área de calidad de la DGTIC. Es responsabilidad del líder técnico asegurarse de que ha n sido estimados y programados los tiempos de ejecución de pruebas, siendo la base de cálc ulo, un 25% con respecto al tiempo programado de la Fase de "Construcción", considerando por lo menos dos ciclos de revisión. Para las soluciones tec nológicas desarrolladas por terceros, las pruebas de calidad serán responsabilidad del proveedor, quien deberá generar la evidenc ia suficiente (matriz de pruebas) para comp robar su ejecuc ión, considerando a l menos: • Identificad or de la prueba ~ ~ ~• Descripción del proceso de la prueba • Versión de la solución tecnológica sobre la que se realiza la prueba \ • Ruta de trazabilidad donde se ejecutó la prueba • Tipo de defecto: Mejora / Defecto • Severidad: Crítico / Alto / Medio / Bajo • Estatus: Abierto / Cerrado / Rechazado 28 • ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción La DGTIC se reseNa el derecho de verificar la correcta atención de los defectos reportados en la matriz de pruebas por parte del proveedor a través de la ejecuc ión de pruebas exploratorias a la solución La totalidad de los Casos de Pruebas deben de c umplir con los c riterios de aceptación definidos por la UA. Resultados de la ejecución de la matriz de pruebas Pruebas funcionales de seguridad Para solicitar la validac ión para liberar en ambientes productivos del IFT, será necesario haber atendido los hallazgos reportados durante la ejecución de las pruebas. No podrán ser liberad os a producción sistemas o módulos que no hayan atendido los hallazgos clasificados como "Críticos" o "Altos". Para poder liberar la solución tecnológica a un ambiente productivo, se deberá contar con el visto bueno del líder de proyecto, líder técnico, de la UA solicitante y de la DGTIC. La DGTIC será la responsable de realizar pruebas func ionales de seguridad sobre la soluc ión tecnológica desarrollada, con la finalidad de verificar la correcta implementac ión d e las recomendaciones de seguridad establecidas y acordadas por el área de seguridad y el proveedor de la solución. Será responsabilidad de la DGTIC reportar los hallazgos encontrados, anexando la evidenc ia del incumplimiento detectado. Para la liberación del sistema en un ambiente productivo, será responsabilidad del proveedor o líder téc nico del IFT atender los d efectos de seguridad funcional del sistema que hayan sido encontrados por la DGTIC. Antes de que la solución tecnológica sea implementada en un ambiente productivo, se d eberá realizar un análisis de vulnerabilidades que permita identificar las vulnerabilidades de la solución y el nivel de riesgo que estas representan para los activos de informac ión del IFT. Análisis de vulnerabilidades Será responsabilidad de la DGTIC la ejecución del análisis de vulnerabilidades sobre la aplicación e infraestruc tura, as'\ como clasificarlas de acuerdo a su posibilidad de explotación e impacto a los activos de informac ión del IFT; estas pueden ser: Críticas, Altas, Medias, Bajas o Informativas. Será responsabilidad del proveedor o líder téc nico del IFT atender las vulnerabilidades identificadas sobre la solucióv 29 ~ ( t6' ift INSTITUTO FEDERAL DE TELEC OMUNICA C IO NES Norma específica Descripción considerando que el sistema no podrá liberarse a producción con vulnerabilidades c lasificadas con un nivel c rítico o a lto. Para las vulnerabilidades de nivel Medio o inferior, el proveedor o líder técnico del IFT, deberá establecer un plan de mitigación para corregir d ichas vulnerabilidades que deberá ser ejecutado satisfactoriament e para dar por finalizado el desarrollo del sistema. La atención de las vulnerabilidades detectadas no deberá tener un costo adicional para el Instituto . Capítulo VIII. Normas específicas aplicables a la Fase "Despliegue" Durante la fase de Despliegue se deberán considerar las siguientes normas específicas: Norma específica Descripción Ambiente para liberación a producción Consiste en la preparación y entrega del ambiente productivo de la soluc ión tecnológica, el proveedor o Líder Técnico del IFT deberá validar la correcta instalac ión y configuración del ambiente. Resguardo del código fuente del sistema El proveedor deberá proporcionar a la DGTIC el código fuente de la solución tecnológica, d ic ho código deberá estar documentado de tal forma que permita identificar al menos: los requerimientos del negocio, variables, funciones y componentes de la solución tecnológica. Resguardo de llaves criptográficas El proveedor deberá los parámetrbs de configuración, licenciamiento, contraseñas, archivos y llaves correspondientes a los certificados SSL o c ualquier otro mecanismo de c ifrado. Toda la información concerniente deberá ser entregada a la Dirección de Seguridad de la Información. Plan de Instalación / Retorno Como parte de las acciones que se deberán considera antes de la liberación de una nueva versión o soluc ión tecnológica, se deberán identificar las actividades, tiempos, actores y recursos para lograr de forma exitosa su liberaciór0 a producción. ¿ U 30 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción El líder técnico de la DGTIC -tratándose de proyectos internos- o el administrador del proyecto del proveedor deberá identificar los posibles escenarios y sus riesgos asociados, generando por cada escenario los procedimientos a ejec utar para regresar la operación a un punto estable anterior. El plan deberá ser validado por todos los involuc rados antes de proceder a la liberación a producción. Es fundamental coordinar los recursos nec esarios para la migración de datos a l identificar correctamente los componentes a ser migrados evitando problemas que afecten la operación . Plan de migración de la Informac ión El líder técnico, deberá de establecer los tiempos, recursos humanos, técnicos y administrativos (procesos) de los componentes a ser migrados con base en los requerimientos. • • • • • • • Información a migrar. Tamaño . Fecha de migración . Equipo de trabajo. Afectaciones. Método de migración . Roll back / Controles. Es un c onjunto de pasos que aseguran que las tablas, y datos sean migrados completamente c on sus relaciones y atributos correspondientes, con el fin de mantener la consistenc ia e integridad de los registros. Reglas de transformación de datos El líder técnico del proveedor o del IFT, deberá de incluir un reporte detallado que contenga el resultado de las reglas de transformación de datos; estas se identificarán en una matriz que contenga el nombre del objeto, ruta origen y ruta destino, reglas aplicadas y atributos, así mismo incluirá c ifras de control, identificación de volúmenes y tipos de datos. • • • • • / / Manual de instalación y configuración Método de transformación. Reglas aplicadas. Matriz de migración. Controles de supervisión . Aceptación de la información migrada. Es mandatorio que el proveedor proporcione la descripción ~ , completa y a detalle del proceso de instalación,¿;Y ~ ~· 31 ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Norma específica Descripción ----------- configuración, encendido y apagado, de la solución tecnológica. Se deberán describir los procesos para la Instalación de la solución tecnológica, dicha información deberá contener al menos: números de licencias, números de serie, elementos de hardware, elementos de software y cualquier otra información relativa al licenciamiento y operación del sistema. El proveedor deberá entregar un inventario de los componentes de software identificados como necesarios para la operación del sistema. Antes de la puesta a producción de la solución tecnológica, el proveedor deberá actualizar toda la documentación solicitada dentro de cada una de las fases de este documento. Se debe de asegurar la continuidad de la operación por medio de ambientes tolerantes a fallos. El proveedor debe de llenar el documento de Políticas d e respaldo indicando periodos de retención y rutas a respaldar. El proveedor deberá documentar los componentes (instancias d e bases de datos, archivos ejecutables, carpetas de sistemas operativos, etcétera) del sistema que deberán respaldarse de forma periódica con la finalidad de: Políticas de respaldos • Permitir la restauración de información a un punto anterior. • Garantizar su recuperación y /o replicación en un nuevo ambiente completamente independiente. Adicionalmente. documentará la forma en que deberán realizarse dichos respaldos y la periodicidad con que deberán ejecutarse. Será responsabilidad del proveedor en colaboración con la DGTIC ejecutar pruebas de restauración de información a partir de los respaldos realizados, siguiendo los manuales entregados, de tal forma que demuestre que los respaldos y doc umentació\ generada funcionan de forma correcta. Documento de Mantenimiento de la Base de Datos Consiste en el conjunto de actividades de mantenimiento y optimización recomendadas para su aplicación en la BD, 32 vr¿ ift INSTITUTO FEDERAL DE TELECOM UNIC A CIONES Norma específica Descripción con el p rop ósito de mejo rar el rendimiento y garantizar la Integridad y resguardo de los datos • • • • Optimización de índ ices Revisión de integridad d e la BD Respaldos Generació n de estadísticas El p roveedor deberá d efinir y documentar las a cciones que se llevará n a cabo d ura nte una contingencia, con la fina lidad de minimizar el impacto de la interrup c ión y restaurar la operació n del sistema en el p eriodo más breve de tiempo posible. El plan de recuperación de las operaciones deberá incluir un p lan de respaldo, un plan d e emergenc ia y un plan de recuperac ión d e desastres. Plan de recuperación de desastres Cada uno d e los p lanes d eberá indicar el escenario p ara el que fue c reado, el orden secuenc ial d e actividad es q ue d eberá ejec utarse, el tiempo de recuperac ión a proximado y los recursos (humanos, técnicos y a dministrativos) requeridos para su implementación. El proveed or deberá realizar una tra nsferencia de conocimientos de los planes al persona l designad o por el IFT que inc luya al menos la simula c ión teórico -p ráctica d el p eor esc enario d ocumenta d o . Manual de usuario Es d e c aráct er o blig ato rio fa c ilitar el ma nual d e usuario en el que se describa d e forma senc illa y entendible, las actividades que re alizan los múltiples roles de usuario d entro d e la soluc ión tecnológica, flujos d e proceso, negocio y administración. Planes de capacitación Se d eb erá considerar d entro de los tiempos y p resup uest o d e l proyecto para el d esarrollo de la soluc ión tec nológic a , la impartic ión de capacitación a usuarios finales y capacitación a usuarios que administre n la herramienta. Derechos de Autor Salvo q ue exista impedimento, la estipulación d e que los d erechos inherentes a la propiedad intelectua l, invaria blemente se constituirá n a favor d el Instituto, en\ términos de las d isp osic iones legales aplicables, así c omo que el proveed or se abstenga de distrib uir, reproducir, decompilar, adaptar, traduc ir, o realizar c ualquier acción en perjuic io de los d erechos cedidos al Instituto . ~( A~ 33 J, ift INSTITUTO FEDERA L D E TELECOM UNIC A C IO NES Descripción Norma específica Será responsabilidad del proveed or prop orc ionar el licenciamiento d e c ua lquier componente que sea utilizado en la construcción del sist ema y que se enc uentre p rotegido por las leyes federa les d e l d erecho de a uto r. El periodo d e la vigenc ia deberá ser determinado en conjunto con la UA solic ita nte y la DGTIC. Aceptación del usuario de la solución tecnológica Carta de inicio de garantía y/o soporte de la solución tecnológica . : •• Reporte y control de incidencias Documento en el c ual la UA solic itant e acepta a su entera satisfacción la solución tecnológica y la liberación del sistema a p roducción. Documento en el cual la UA solic itante, el proveedor y la DGTIC indican el período d e garantía (inicio y fin) para el caso d e los proyectos tercerizad os, así como el proceso d e sop orte y d e escalamiento Inc luyendo la información d e contac to para proveer d el soporte requerido. Es mandatorio que e l p roveed or o líder técnico d etermine a través d e este documento los niveles d e escalación, niveles d e servic io, tiempos d e respuesta, tiempos d e soluc ión, p ersona l a c argo d e la a tenc ión y tipo de servicio (en sitio, vía telefónica o de forma remota) para la atenc ión de las incidencias. Post e rior a la p uesta en p roducción es necesario que el p roveed or y/ o líder técnico d e la soluc ión tecnológica, lleve un control o registro de tod as las incidencias (vicios ocultos, cambios y actualizaciones), así como el control de: • • • Borrado Seguro Errores Causa Soluc ión Para los proyectos tercerizados se d eberá considerar que al fina lizar el contrato, la informac ión propie dad d el IFT d eberá ser proporcionad a al Instituto y e liminada a través de medios seguros d e c ua lquier medio de almacenamiento ajeno a l ~ J\ Instituto. Capítulo IX. Consideraciones Finales .~ r \ ~ El conte nido de las normas esp ecífic as previstas en los Ca pítulos IV, V, VI, VII y VIII d eberá n incluirse, en su caso, en los c ontratos a suscribir con los proveedores. p 34 ~ ift INSTITUTO FEDERAL DE TELECOMUNICACIONES Con el fin de vigilar el cumplimiento de las presentes Normas, la DGTIC realizará las actividades de monitoreo necesarias, conforme a las atribuciones que le confiere el Estatuto Orgánico del Instituto Federal de Telecomunicaciones, así mismo resolverá cualquier situación no prevista en las mismas. Disposiciones Transitorias 1 Única. Las presentes Normas deberán publicarse en el Portal de Transparenc~ Institucional, sin perjuicio de publicar el aviso correspondiente en el Diario Oficial de la Federación, y entrarán en vigor al día siguiente al de la publicación d~ __;--­ mencionado aviso. ~ Dado en la Ciudad de México, el 9 de febrero de 2016. 35