Upload
dinhdiep
View
215
Download
0
Embed Size (px)
Citation preview
Pautas de acreditación de proveedorestecnológicos para carpeta de despacho
electrónica.
Abril de 2012
2
1. Introducción. ..................................................................................................................................... 12. Metodología de evaluación............................................................................................................... 1
2.1. Objetivos evaluación. ................................................................................................................. 12.2. Esquema de evaluación .............................................................................................................. 12.3. Escala de evaluación................................................................................................................... 52.4. Consideraciones Generales de validación. ................................................................................. 52.5. Presentación de Antecedentes ................................................................................................... 6
3. Evaluación de admisibilidad .............................................................................................................. 73.1. Requerimientos Legales y financieros requeridos para Agentes de Aduana. ............................ 73.2. Requerimientos Legales y financieros requeridos para empresas Prestadoras de Servicios deCarpetas de Despacho Electrónicas. ..................................................................................................... 7
4. Requisitos de Acreditación ................................................................................................................ 84.1. Requisitos de la aplicación. ........................................................................................................ 84.2. Requisitos Generales de Infraestructura .................................................................................... 94.2.1. Site .......................................................................................................................................... 94.2.2. Suministro eléctrico. ............................................................................................................... 94.2.3. Plataforma de diseño de operación...................................................................................... 104.2.4. Plataforma de Almacenamiento ........................................................................................... 104.2.5. Plataforma de Comunicaciones. ........................................................................................... 104.2.6. Plataforma de Soporte a usuarios. ....................................................................................... 104.3. Requisitos Generales de Servicio...............................................................................................114.4. Requisitos de seguridad ........................................................................................................... 12
5. Evaluación de Requisitos................................................................................................................. 135.1. Revisión documental ................................................................................................................ 135.2. Etapa de revisión “Prueba de aplicación: aspectos técnicos y casos de uso”. ......................... 135.3. Etapa de revisión visita de verificación. ................................................................................... 14
6. Anexos ............................................................................................................................................. 156.1. ANEXO 1: Formulario de Postulación a PSR. ............................................................................ 156.2. ANEXO 2: .................................................................................................................................. 166.3. ANEXO 3: .................................................................................................................................. 32
1
1. Introducción.Este documento tiene como objetivo dar las pautas necesarias para acceder a la acreditación paraproveer los servicios de repositorio de carpeta de despacho electrónica. Esta pauta asume el nivelbásico de seguridad de documentos electrónicos, de acuerdo a las definiciones del Decreto Su-premo N° 83 del 3 de junio de 2004 sobre “Normas técnicas sobre seguridad y confidencialidad deldocumento electrónico” y las prácticas señaladas en la norma chilena Nch-ISO 27002 - Of.2009 so-bre “Código de prácticas para la gestión de la seguridad de la información”.
El desglose del documento considera los siguientes elementos:
- Metodología de evaluación.
- Requisitos de Admisibilidad.
- Requisitos de Acreditación.
- Evaluación de requisitos.
- Anexos.
2. Metodología de evaluaciónEsta sección expone el método mediante el cual el Servicio Nacional de Aduanas entregará laacreditación a las empresas interesadas en proveer el servicio de repositorio de carpeta dedespacho electrónica.
2.1. Objetivos evaluación.
El objetivo general de la evaluación es acreditar que se ha implementado una infraestructura yprocedimientos operacionales que permitirán proveer el servicio de carpeta de despachoelectrónico, bajo parámetros de seguridad, confianza y durabilidad definidos por el ServicioNacional de Aduanas.
2.2. Esquema de evaluación
El proceso de acreditación se efectuará por medio de la verificación de cumplimiento de losrequisitos según el siguiente procedimiento:
a) Verificación de antecedentes y evaluación de admisibilidad.
Evaluación de los antecedentes presentados para determinar el cumplimiento de losrequisitos legales y financieros, para definir la admisibilidad del postulante al proceso.
b) Evaluación de antecedentes de infraestructura y modelo operacional.
La evaluación se efectuará conforme a escala indicada en punto 2.3 y los requisitos
2
establecidos en el punto 3 del presente documento.
c) Visitas de auditoría.
Conforme a las pautas de auditoría en estas materias, la parte evaluadora podrá verificar losantecedentes por medio de una visita. De igual forma, podrá solicitar antecedentes in-situpara verificar el cumplimiento de los requisitos.
d) Observaciones.
Aquellos aspectos que fueran calificados con A-, según escala de evaluación, tendrán unplazo de 10 días para presentar un Plan Correctivo, que indique el modo en que serán enmediano plazo subsanadas las observaciones.
e) Elaboración de resolución de acreditación.
Una vez emitido favorablemente los informes de evaluación de los requisitos establecidosen las presentes pautas, la resolución de acreditación es el instrumento mediante el cual elpostulante quedará habilitado para proveer el servicio de de repositorio de carpeta dedespacho electrónica.
A continuación se entrega un detalle de los plazos máximos para la realización de cada una de lasfases del proceso de acreditación. Como se puede observar, el plazo máximo del proceso es de 55días hábiles.
Nombre de la Etapa Plazos
Verificación de antecedentes y evaluación de admisibilidad 5 días
Plazo para completar presentación de antecedentes 5 días
Evaluación de antecedentes de infraestructura y modelo operacional. 15 días
Visitas de auditoría 5 días
Formulación de observaciones 5 días
Plazo para presentar Plan Correctivo 10 días
Evaluación de Plan Correctivo 5 días
Elaboración de resolución de acreditación 5 días
A continuación se presenta un diagrama del proceso de acreditación.
3
Agente de Aduana Comisión de acreditación
o Empresa PSR (DEFIOP y Subdirección Informática)
Aplica criterios definidos en pautas y evalúa
Etapas
Adm
isibi
lidad
(pla
zo 5
día
s) /
Com
plet
a An
tece
dent
es (5
día
s)Ev
alua
ción
de a
ntec
eden
tes (
15 d
ías)
Visit
a (5
día
s)O
bser
vacio
nes
(5 d
ías)
Departamento Fic. de Agentes Especiales
Sub. Fiscalización
Flujo Proceso de Acreditación para prestadores de Servicio de Carpeta de Despacho Electrónico
Verificación deantecedentesAntecedentes
¿Esadmisible?
NOCompletaantecedentes
SI
Remite antecedentespara evaluación
¿Cumple losrequisitos?
Prueba de aplicación:aspectos técnicos y casos
de uso
¿Requierevisita?
Visita deverificación
Informe deobservaciones
NO
SI
NO
Revisión documental deAntecedentes
4
Apro
bació
n de
acr
edita
ción
(5 d
ías)
Eval
uació
n de
Pla
n Co
rrec
tivo
(5 d
ías)
Plan
Cor
rect
ivo
(10
días
)
Plan de MedidasCorrectivas
Remite antecedentespara aprobación de
plan
¿Apruebael plan?
Notificado Resoluciónfundada deniega
acreditación
NO
FIN
Elabora informeaprobación de
requisitos
Notificado Resoluciónacreditación
FIN
SI
Resoluciónacreditación
5
2.3. Escala de evaluación.
Cada requisito será evaluado en conformidad con la siguiente escala:
Calificación Descripción
A EL postulante cumple totalmente el requisito exigido.
A- EL postulante no cumple totalmente el requisito, pero se determina que el cumplimiento es subsanabley no afecta el correcto funcionamiento del sistema ni los fines previstos en las normativas definidas porel Servicio Nacional de Aduanas. En estos casos el postulante debe presentar una propuesta de trabajosegún formato anexo 3.
B EL postulante no cumple totalmente el requisito y no es subsanable y afecta el correcto funcionamientodel sistema y los fines previstos en las normativas definidas por el Servicio Nacional de Aduanas.
El objetivo de la calificación A-, es permitir que el PSR pueda modificar los aspectos negativos queson subsanables en un corto periodo de tiempo y así optar a la acreditación durante su primerapostulación.
Las postulaciones que poseen calificación B no podrán acceder a la acreditación. En caso desubsanar los incumplimientos, deberá iniciar un nuevo proceso de acreditación.
2.4. Consideraciones Generales de validación.
Las consideraciones generales con las que se realizará la comprobación del buen funcionamientode los servicios son las siguientes:
Transparencia: El proceso de acreditación pondrá a disposición pública toda la informaciónnecesaria requerida para conocer el estado del sistema de prestación de servicio de carpetaelectrónica acreditado, con el propósito de entregar confianza a los usuarios y generar lascondiciones y los acuerdos necesarios para el desarrollo de la actividad en conformidad anormas y acuerdos internacionales que se celebren. En este sentido, se considera necesariala información que muestre el cumplimiento de los requisitos mínimos, manteniéndosereserva de cumplimientos de valor agregado que signifiquen una diferenciación entre unprestador y su competencia, en la medida que sea posible separar dichas informaciones.
Gradualidad: Los niveles de exigencia del proceso de acreditación serán graduales y se iránadaptando desde un estado inicial en que las exigencias apuntarán a cumplir estándaressuficientes que provean confianza en el sistema y compatibles con la realidad nacional, hastael cumplimiento estricto de los estándares internacionales a medida que el desarrollo de laactividad lo requiera.
6
Privacidad: El proceso de acreditación, requiere de información estratégica de parte de losPrestadores. Por lo anterior, la entidad acreditadora se compromete a no divulgar ni usar lainformación entregada por los Prestadores, más que para el proceso y fin del propioprocedimiento de acreditación.
2.5. Presentación de Antecedentes
Los antecedentes deberán ser presentados en la Subdirección Jurídica del Servicio Nacional deAduanas.
El formato de los antecedentes podrá ser entregado en formato digital, papel o combinación deellos.
El postulante deberá presentar:
a) Formulario de postulación indicado en Anexo 1.
b) Matriz de evidencia, completada según instrucciones indicadas en Anexo 2 (formatodigital).
c) Antecedentes legales y financieros indicados en Anexo 3.
d) Declaración simple que autorice al Servicio Nacional de Aduanas para que, en cualquiermomento, pueda efectuar fiscalizaciones con el objeto de verificar el cumplimiento de lasnormas que regulan a las Prestadoras de Servicios de Carpetas de Despacho Electrónicas,pudiendo solicitarle información documental o efectuar visitas a las instalaciones.
e) Designación de persona natural en calidad de contacto con el Servicio Nacional deAduanas. Esta persona deberá estar en posesión de, a lo menos, un título técnico de nivelsuperior. Indicar en Anexo 1.
La entrega de los antecedentes deberá contar con un índice guía de los antecedentes conforme alcapítulo de requerimientos. De igual forma, los antecedentes proporcionados en formato digitaldeberán estar contenidos y ordenados en carpetas cuyos nombres indiquen el requerimientorespectivo.
7
3. Evaluación de admisibilidad
La evaluación de admisibilidad corresponde a la etapa mediante la cual se podrá identificar si lasempresas han puesto a disposición la totalidad de los documentos solicitados en el punto 2.5presentación de antecedentes y el cumplimiento de los requerimientos legales y financierosestablecidos en la resolución que entrega el marco general de Carpeta de Despacho Electrónico.
La no presentación de los anexos solicitados en las presentes pautas de acreditación, serán causal deinadmisibilidad de la solicitud de acreditación presentada.
3.1. Requerimientos Legales y financieros requeridos para Agentes de Aduana.
No se efectuará evaluación de los requerimientos legales y financieros para el caso de los Agentesde Aduana que se auto preverán el servicio, debido a que los requisitos establecidos en esta áreason equivalentes a los dispuestos para ostentar la calidad de Agente.
Para comprobar el cumplimiento del requisito se verificará que en la fecha de ingreso de susolicitud de acreditación este se encuentre vigente en la ficha única de registro, disponible en elDepartamento de Agentes Especiales.
3.2. Requerimientos Legales y financieros requeridos para empresas Prestadoras de Servicios deCarpetas de Despacho Electrónicas.
Corresponden a todos los elementos de carácter legal y financieros que debe presentar elpostulante con lo cual formaliza su solicitud y establece el cumplimiento del marco jurídico que loconstituye como empresa y prestador de servicios.
Se validará el cumplimiento de los siguientes elementos, siendo responsabilidad del postulantepresentar con antecedentes necesarios para su validación:
El postulante PSR deberán estar constituidas como personas jurídicas, teniendo por objetoprincipal la creación, modificación, conservación y administración de documentoselectrónicos y digitales.
Su capital social pagado, no podrá ser inferior a 2.500 Unidades de Fomento a la fecha de suautorización.
8
4. Requisitos de AcreditaciónLos requisitos mínimos que debe cumplir un postulante para prestar el servicio de Repositorio deCarpetas de Despacho Electrónicas, se agrupan en función de la protección de la información y elproceso de negocio.
Para optimizar la entrega de información y evaluación posterior de la misma, las empresas yagentes de aduana interesados en participar del proceso de acreditación deberán llenar la Matrizde Evidencia (descrita en anexo 2). Dicha matriz contempla la auto evaluación del nivel decumplimiento de los requisitos expuestos a continuación, una descripción de las brechasexistentes entre los requisitos y el estado actual, y la identificación de los documentos o evidenciasque permitirán comprobar la auto evaluación.
4.1. Requisitos de la aplicación.
La solución requerida establece el desarrollo de servicios e interfaces para el uso de los Agentes deAduanas y personal del Servicio Nacional de Aduana.
El desarrollo de software deberá estar sujeto a los siguientes requerimientos:
4.1.1 Se deberán cumplir los requerimientos de desarrollo y estándares indicados en eldocumento de “Especificaciones del Modelo Operacional y Tecnológico de Carpetade Despacho Electrónica”.
4.1.2 Las aplicaciones deben correr sobre Browser Explorer 8 o superior y Mozilla Firefox3.6 o superior.
El postulante a PSR deberá proporcionar los siguientes elementos para evaluar el cumplimiento delos requisitos:
a) Flujo grama del proceso indicando aplicaciones y funcionalidades.
b) Especificaciones de la tecnológica utilizada para implementar las aplicaciones y servicios(Software básico, software aplicativo) y modelo operacional.
c) Descripción de la plataforma operativa.
d) Especificaciones del proceso de desarrollo y calidad.
e) Descripción de XML, XLS y XSD utilizadas según definiciones establecidas en el ModeloOperacional.
f) Procedimiento y descripción de firma digital de documentos.
g) URL del sitio web (acceso).
9
h) Procedimiento de digitalización
4.2. Requisitos Generales de Infraestructura
Se deberá proporcionar los antecedentes de la arquitectura tecnológica empleada.
La plataforma que soporta los procesos de solicitud, consulta, intercambio, carga yalmacenamiento de las carpetas electrónicas deben cumplir con los siguientes requerimientos:
4.2.1. Site
Las dependencias donde residen los servidores y se almacena la información debe contar con lassiguientes características:
a) Las instalaciones deberán contar con sistema de temperatura controlada entre 18° y 24°Celsius (climatización).
b) La humedad del centro de proceso y almacenamiento deberá estar controlada.
c) Control de acceso a las instalaciones, seguridad y control perimetral.
d) Construcción antisísmica.
e) Alejado de lugares con riesgo de naturaleza (desbordes de ríos, desmoronamientos,aluviones, maremotos, etc.) o actos vandálicos.
f) No ubicado en subterráneos o directamente sobre estacionamientos.
g) No haber adyacentes tuberías de gas, agua u otro tipo de elementos que pongan en riesgo lasinstalaciones.
h) Sistema de detección de incendios.
i) Elementos para extinción manual de incendios.
4.2.2. Suministro eléctrico.
La plataforma deberá contar a lo menos con las siguientes características:
a) Contener canalización separada de corrientes fuertes y débiles.
b) Energía eléctrica no interrumpida con disponibilidad de 99,5%. Eso implica contar con:
c) Sistema de UPS de auto respaldo.
d) Sistema de continuidad en el suministro eléctrico (grupo electrógeno), para equipos y sistemade climatización.
e) Alimentación 220 volts +/- 5%.
10
f) Frecuencia 50 HZ +/- 0.5%
g) Tierra de Servicio.
4.2.3. Plataforma de diseño de operación
La plataforma que sustenta los servicios de carga, publicación, consulta, transacción yadministración de documentos y carpeta electrónica debe contar con los siguientesrequerimientos:
a) Plataforma de alta disponibilidad.
b) Servidores con componentes redundantes.
c) Redundancia en plataforma de servidores y equipos de comunicación.
d) Acceso a red de comunicaciones para distintos proveedores.
e) Servicio de soporte y mantención para todo el equipamiento involucrado.
f) Disponibilidad de 99,5% anual.
4.2.4. Plataforma de Almacenamiento
En lo que respecta al proceso de almacenamiento de información, se requiere:
a) Contar con Política y procedimientos de respaldo.
b) Política de % mínimo libre de espacio en sistema principal.
c) Plataforma de almacenamiento redundante.
d) Procedimientos de recuperación de datos y sistemas.
4.2.5. Plataforma de Comunicaciones.
La plataforma de comunicaciones deberá cumplir con:
a) Sistema redundante de enlace.
b) Hardware de comunicaciones en conformación redundante.
c) Disponibilidad de 99,5%
d) Reglas sobre prácticas de recepción, envío y almacenaje de documentos que sean objetivas yno discriminatorias.
4.2.6. Plataforma de Soporte a usuarios.
Para proporcionar soporte a los usuarios se deberá cumplir con los siguientes requerimientos:
11
a) Disponer de sistema de monitoreo.
b) Niveles de escalamiento, ante alarmas y eventos.
c) Sistema de registro de solicitudes de atención.
d) Servicio mínimo de 7x12.
e) Teléfono de contacto y casilla e-mail.
El postulante a PSR podrá proporcionar los siguientes elementos para evaluar el cumplimiento delos requisitos, u otros que antecedente que permitan demostrar el cumplimiento. Un ejemplo delos documentos que podrán presentar son los siguientes:.
Descripción de infraestructura donde alojan los equipos y servicios principales.
Descripción, capacidad y características del sistema de detección y extinción deincendios.
Descripción del sistema de protección perimetral del Site.
Descripción del esquema de alta disponibilidad.
Especificaciones de la plataforma de servidores y equipos de respaldo.
Política y procedimientos de respaldo.
Contratos y SLA de servicios de comunicación contratados.
SLA y procedimientos de atención a usuarios.
En caso de contar con servicios externos de Housing, hosting u otro, se deberá adjuntarlos contratos, SLA correspondientes, características específicas del servicio einfraestructura contratada, adjuntando los mismos antecedentes indicados en losnumerales anteriores.
4.3. Requisitos Generales de Servicio
Corresponde a:
Contratos con terceros que mantengan la operatividad tecnológica.
SLA's de la plataforma tecnológica y los servicios.
En caso de subcontratar servicios, se debe adjuntar contratos, SLA contratados y aspectostécnicos de la plataforma y servicios externos.
Los estándares de servicio mínimo son los indicados en el documento “Especificaciones delModelo Operacional y Tecnológico de Carpeta de Despacho Electrónica”, entre otros:
a) Tiempo máximo de interrupción del servicio (tiempo de desconexión): 2 horas continuas.
12
b) Tiempo de respuesta: hasta 5 segundos en el peor caso, inferior a 2 segundos para el 95%de las transacciones.
c) Acceso a bitácoras para registros de los últimos 5 años: hasta 5 segundos en el peor caso,inferior a 2 segundos para el 95% de las transacciones.
d) Acceso a bitácoras para registros de carpetas disponibilizadas, aunque tengan más de 5años: hasta 5 segundos en el peor caso, inferior a 2 segundos para el 95% de lastransacciones.
e) Frecuencia y procedimientos de respaldos: a definir por parte de entidad acreditadora paravelar por el cumplimiento de tiempos de disponibilización de carpetas.
f) Tiempo durante el cual una carpeta disponibilizada estará accesible para el ServicioNacional de Aduanas: al menos 15 días.
g) Ancho de banda disponible: no inferior a 5 Mbps para tráfico entre el Servicio Nacional deAduanas y el PSR.
h) Latencia de conexión: inferior a 200 ms.
i) Jitter o variabilidad de la conexión: inferior a 150 ms.
j) Pérdida de paquetes en conexión: inferior a 1%.
k) Digitalización de documentos de origen papel: mínimo resolución de 200 ppi, 256 tonos degris en general, 256 colores para documentos que requieren color.
4.4. Requisitos de seguridad
Son aquellos requisitos que permiten determinar los servicios de seguridad que dispone el PSR pa-ra presentar sus servicios. Están relacionados con la valorización de riesgos y amenazas, según lasprácticas señaladas en las definiciones del Decreto Supremo N° 83 del 3 de junio de 2004 sobre“Normas técnicas sobre seguridad y confidencialidad del documento electrónico” y las prácticasseñaladas en la norma chilena Nch-ISO 27002 - Of.2009 sobre “Código de prácticas para la gestiónde la seguridad de la información”.
El conjunto de requisitos asociados a la Nch-ISO 27002 que serán solicitados, tanto como las evi-dencias que deberán ser presentadas, son especificadas en el anexo 2 del presente documento co-rrespondientes a la Matriz de evidencia para la auto evaluación.
13
5. Evaluación de Requisitos
Se generará una validación por cada una de las ramas especificadas como parte del diseño delsistema. La mejor práctica de validación de la plataforma tecnológica es basada en los estándaresya conocidos, como por ejemplo: TIA/EIA-942 para temas de estructura de Data Center, ITIL, parael manejo y manipulación de la plataforma ya en producción, y otros estándares que hacenmención a lo relacionado a comunicaciones (HTTP o HTTPS), etc.
Para las fases de desarrollo, mantención, explotación y gestión del sistema de registros de carpetaelectrónica deberán estar basadas, a lo menos en el marco ITSM (IT Service management)adscribiéndose a algún estándar o patrón de recomendaciones tales como ITIL, MOF, CMMI, ISO27001, ISO 9000, COBIT, etc.
5.1. Revisión documental
La revisión documental de los antecedentes o evidencia, se realizará a partir de la informaciónprovista en el anexo 2 del presenta documento.
5.2. Etapa de revisión “Prueba de aplicación: aspectos técnicos y casos de uso”.
La etapa de revisión de los aspectos técnicos y casos de uso descritos en el documentodenominado “Modelo operacional y tecnológico”, se llevarán a cabo en los plazos señalados en elflujo del proceso de acreditación y entre otros considerarán las siguientes acciones:
Revisión de la funcionalidad de los casos de uso descritos en el documento “Modelooperacional y tecnológico”.
Configuración del tiempo oficial de Chile para los equipos que compongan la solución yque a lo más exista una diferencia de 0,5 segundos.
Validar zona horaria, como por ejemplo desfase de no más de 0,5 segundos.
Realizar visualización de los 3 tipos de documentos definidos. Según el esquemaentregado por el Servicio Nacional de Aduanas, la validación de la visualización de losdiversos tipos de documentos que contenga una carpeta, es a través del protocolo devisualización en XHTML, donde su estándar está definido y se podrá obtener resultadosesperados en las funcionalidades de visualización, no obstante también debe
14
considerarse visualizar un documento mediante el formato PDF.
Actividades de notificación de eventos.
5.3. Etapa de revisión visita de verificación.
Finalmente para efectuar la revisión de los requisitos de acreditación se ha contemplado la visitade verificación a las instalaciones de las empresas o agentes de aduana. El detalle de los aspectosa revisar serán definidos por los auditores que componen la comisión de acreditación, en base alos antecedentes entregados por los interesados.
Entre otros podrán realizarse las siguientes verificaciones:
Controles de paso a Producción.
Normas para cumplir respecto a Data Center.
Conectividad o aseguramiento de acceso.
Validar el tipo de conexión contratado y su uptime de conexión establecido.
Ambientes de Testing y Producción separados y con restricciones independientes paralos usuarios que pueden acceder a cada una.
Validar redundancia, como por ejemplo: redundancia en fuentes de poder, UPS.
Realizar distintas acciones y medir tiempos de respuestas.
15
6. Anexos
6.1. ANEXO 1: Formulario de Postulación a PSR.
FORMULARIO DE POSTULACIÓN PARA ACREDITACIÓN DE SERVICIOS DE CARPETA ELECTRONICA
Empresa
Nombre: RUT:
Dirección:
Giro:
Representante Legal
Nombre: Nombres / Apellido Paterno / Apellido Materno RUT:
Dirección:
Teléfono Fijo: Teléfono móvil: e-mail:
Contacto Administrativo
Nombre: Nombres / Apellido Paterno / Apellido Materno RUT:
Cargo y Título profesional:
Dirección:
Teléfono Fijo: Teléfono móvil: e-mail:
Contacto Técnico
Nombre: Nombres / Apellido Paterno / Apellido Materno RUT:
Cargo y Título profesional:
Dirección:
Teléfono Fijo: Teléfono móvil: e-mail:
Dirección de Site / Laboratorios / Servicios:
Dirección de Site / Laboratorios / Servicios:
Firma Representante:
Solicita : Nombre/ Firmas / timbres / Fecha Recepción: Firmas / timbres / Fecha
16
6.2. ANEXO 2:
La planilla se separa por dominios conforme a norma vigente y exigencias particulares de esteproyecto.
Se debe completar la condición de cumplimiento (Sí/No) e indicar la evidencia o informe que señale lacondición de cumplimiento. La planilla sugiere evidencia a entregar. El postulante deberá entregar laevidencia conforme a sus procesos y estándares.
En el caso de tener servicios externalizados, se deberán proveer los antecedentes de validación quepermitan establecer el cumplimiento del tercero.
4.1 Requisitos de la Aplicación
4.3 Requisitocumple(Si/NO/
No aplica)
Antecedente de cumplimiento y descrip-ción / referencias al documento descrip-
tivo y evidencia.
NIVELTOLERANCIA
A / A-
Aplicación corre sobre Explorer 8 o sup. yFirefox 3.6 o sup.
Indicar el Browser utilizados. Se verificaal ejecutar ciclo de prueba. A
a)Flujograma del proceso indicandoaplicaciones y funcionalidades Entrega de documento técnico con la
descripción de la aplicación
A
b)Especificaciones tecnológicas de aplicativos ysw básico asociado + modelo operacional A
c) Descripción Plataforma OperativaEntrega documento con descripcióntécnica de la plataforma que soporta laaplicación
A
d)Especificaciones del proceso de desarrollo ycalidad.
Entrega de documento de descripcióndel proceso para asegurar calidad delproducto.
A
e)Descripción de XML, XLS y XSD utilizadassegún definiciones establecidas en elModelo Operacional.
Entrega de documento XML, XLS y XSD,según lo descrito en el ModeloOperacional.
A
f)Procedimiento y descripción de firma digitalde documentos.
Entrega documento que contengaprocedimiento descriptivo del uso de lafirma digital.
A
g) URL al sitio WEB de acceso Indicar dirección de acceso A
h) Procedimiento de digitalización Entregar documento con descripcióndel modelo A-
17
4.2 Requisitos Generales Infraestructura
UBICACIÓN DEL SITE PRINCIPALUBICACIÓN DEL SITE SECUNDARIO (CONTINGENCIA)
SITE
4.2.1 RequisitoSITE
Principal(Si/NO)
SITEContingencia
(SI/NO)
Antecedente decumplimiento y
descripción /referencia al do-
cumento
NIVEL TO-LERANCIA
A / A-
aLas instalaciones deberán contar con sistema de tem-peratura controlada entre 18° y 24° Celsius (climatiza-ción). A
b La humedad del centro de proceso y almacenamientodeberá estar controlada. A
c Control de acceso a las instalaciones, seguridad y con-trol perimetral. A
d Construcción Antisísmica A
eAlejado de lugares con riesgo de naturaleza (desbor-des de ríos, desmoronamientos, aluviones, maremo-tos, etc.) o actos vandálicos. A
f No ubicado en subterráneos o directamente sobreestacionamientos. A
g No haber adyacentes tuberías de gas, agua u otro tipode elementos que pongan en riesgo las instalaciones. A
h Sistema de detección de incendios. Ai Elementos para extinción manual de incendios. A
CertificacionesContratos Asociados
Descripción de infraestructura donde alojan los equi-pos y servicios.
18
Suministro Eléctrico
4.2.2. RequisitoSITE
Principal(Si/NO)
SITEContingencia
(SI/NO)
Antecedente decumplimiento y
descripción /referencia al do-
cumento
NIVEL TO-LERANCIA
A / A-
a Contener canalización separada de corrientes fuertes ydébiles. A
b Energía eléctrica no interrumpida con disponibilidadde 99,5%. A
c Sistema de UPS de auto respaldo. A
dSistema de continuidad en el suministro eléctrico (gru-po electrógeno) para equipos y sistemas de climatiza-ción. A
e Alimentación 220 volts +/- 5% Af Frecuencia 50 HZ +/- 0.5% Ag Tierra de Servicio A
CertificacionesContratos Asociados
Plataforma de Operación
4.2.3. RequisitoSITE
Principal(Si/NO)
SITEContingencia
(SI/NO)
Antecedente decumplimiento y
descripción /referencia al do-
cumento
NIVEL TO-LERANCIA
A / A-
a Plataforma de alta disponibilidad. Ab Servidores con componentes redundantes. A
c Redundancia en Plataforma de Servidores y Equipo deComunicación. A
d Acceso a red de comunicaciones para distintos pro-veedores. A
e Servicio de soporte y mantención para todo el equi-pamiento involucrado. A
f Disponibilidad 99,5% anual. AEsquema de alta Disponibilidad
CertificacionesContratos AsociadosSLAs
19
Plataforma de Almacenamiento
4.2.4. RequisitoSITE
Principal(Si/NO)
SITEContingencia
(SI/NO)
Antecedente decumplimiento y
descripción /referencias al
documento des-criptivo y eviden-
cia.
NIVEL TO-LERANCIA
A / A-
a Contar con Política y procedimientos de respaldo. A
b Política de % mínimo libre de espacio en sistema prin-cipal. A
c Plataforma de almacenamiento redundante. Ad Procedimientos de recuperación de datos y sistemas. A
CertificacionesContratos AsociadosSLAs
Plataforma de Comunicaciones
4.2.5. RequisitoSITE
Principal(Si/NO)
SITEContingencia
(SI/NO)
Antecedente decumplimiento y
descripción /referencias al
documento des-criptivo y eviden-
cia.
NIVEL TO-LERANCIA
A / A-
a Sistema redundante de enlace A
bHardware de comunicaciones en conformación redun-dante. A
c Disponibilidad de 99,5% A
dReglas sobre recepción, envío y almacenaje de docu-mentos a los usuarios finales A-Descripción de plataforma de comunicaciones.CertificacionesSLAs
20
Plataforma de Soporte a Usuarios
4.2.6. Requisito (Si/NO)
Antecedente decumplimiento y
descripción /referencias al
documento des-criptivo y eviden-
cia.
NIVELTOLERANCIA
A / A-
a Disponer de sistema de monitoreo A-b Niveles de escalamiento, ante alarmas y eventos Ac Sistema de registro de solicitudes de atención A-d Servicio mínimo de 7x12. A-e Teléfono de contacto y casilla e-mail A
Descripción del modelo de soporte a usuariosSLA y procedimientos de atención a usuariosUbicación del lugar donde operan los servicios desoporteCertificaciones asociadas a soporte de usuariosContratos de Servicio externalizados
21
4.3 Requisitos Generales de Servicio
Estándares de servicio mínimo
4.3 Requisito cumple(Si/NO)
Antecedente de cumplimiento ydescripción / referencias al docu-
mento descriptivo y evidencia.
NIVELTOLERANCIA
A / A-
a Tiempo máximo de interrupción del servicio (tiempo dedesconexión): 2 horas continuas. A
b Tiempo de respuesta: hasta 5 segundos en el peor caso,inferior a 2 segundos para el 95% de las transacciones. A
cAcceso a bitácoras para registros de los últimos 5 años:hasta 5 segundos en el peor caso, inferior a 2 segundospara el 95% de las transacciones. A
d
Acceso a bitácoras para registros de carpetas disponibili-zadas, aunque tengan más de 5 años: hasta 5 segundosen el peor caso, inferior a 2 segundos para el 95% de lastransacciones. A
e Frecuencia y procedimientos de respaldos A
fTiempo durante el cual una carpeta disponibilizada estaráaccesible para el Servicio Nacional de Aduanas: al menos15 días. A
g Ancho de banda disponible: no inferior a 5 Mbps paratráfico entre el Servicio Nacional de Aduanas y el PSR. A
h Latencia de conexión: inferior a 200 ms. Ai Jitter o variabilidad de la conexión: inferior a 150 ms. Aj Pérdida de paquetes en conexión: inferior a 1%. A
kDigitalización de documentos de origen papel: mínimoresolución de 200 ppi, 256 tonos de gris en general, 256colores para documentos que requieren color. A
22
4.4 Requisitos de Seguridad
DO
MIN
IO
CO
NTR
OL
ISO
2700
2
REF
. DS-
83
AMBITO CONTROL ENTREGABLE
NIV
EL D
E C
UM
PLI-
MIE
NTO
NIV
EL T
OLE
-R
AN
CIA
0
Polít
ica
de S
egur
idad
A.5.1.1 Art.11 Documento de la
política de seguri-dad de la informa-ción
¿Existe un documento denomina-do Política de Seguridad de lainformación, oficializado, y querefleja claramente el compromiso,apoyo e interés en el fomento ydesarrollo de una cultura de segu-ridad?
Política General de Seguri-dad A
Art.11 a
El documento Política de Seguri-dad: ¿contiene una definición deseguridad de los activos de infor-mación, sus objetivos globales,alcance e importancia?
Política General de Seguri-dad A-
A.5.1.1 En la actualidad, el documentoPolítica de Seguridad: ¿se publicay se comunica a todos los funcio-narios y partes externas relevan-tes?
Pantallazo Intranet, correoinstitucional, documento oel medio por el cual sepublique según sea el caso.
A-
Org
aniz
ació
n de
la S
egur
idad
de la
Info
rmac
ión
A.6.1.1 Art.12
Compromiso de ladirección con laseguridad de lainformación
¿ha designado formalmente unEncargado de Seguridad de laInformación?
Documento de Nombra-miento
A
A.6.1.3 Art.12 a
Asignación de lasresponsabilidadesde la seguridad dela información
En el nombramiento del Encarga-do de Seguridad de la Información:¿se encuentra explicitada la fun-ción: "Tener a su cargo el desarro-llo inicial de las políticas de seguri-dad al interior de su organización yel control de su implementación, yvelar por su correcta aplicación"?
Documento de Nombra-miento
A-
Art.12 b
En el nombramiento del Encarga-do de Seguridad de la Información:¿se encuentra explicitada la fun-ción: "Coordinar la respuesta aincidentes que afecten a los acti-vos de información instituciona-les"?
Documento de Nombra-miento
A-
A.6.1.6 Contacto con lasautoridades
En la actualidad: ¿existe un pro-cedimiento que especifique cuán-do y qué autoridades deben sercontactadas (bomberos, carabine-ros, PDI, proveedor de Internet,etc)?
Procedimiento
A-
23
Org
aniz
ació
n de
la S
egur
idad
de
la In
form
ació
n
A.6.1.4 Proceso de autori-zación para mediosde procesamientode información.
En la actualidad: ¿existe un proce-dimiento de autorización parainstalar nuevos medios de proce-samiento de información?
Procedimiento de autoriza-ción
A
A.6.1.5 Acuerdos de confi-dencialidad
En la actualidad: ¿existen acuer-dos o contratos de confidencialidado no-divulgación que reflejen lasnecesidades de protección de lainformación?
Acuerdo o contrato conclausula de confidenciali-dad o no divulgación A
A.6.2.1 Art.10Letraa
Identificación delos riesgos relacio-nados con losgrupos externos
En la actualidad: ¿Identifica elriesgo para la información y susmedios de procesamiento quesurge al involucrar a entidadesexternas en los procesos de nego-cio?
Registro de incidentes deseguridad
A
A.6.2.2 Art.10Letraa-b-c
Tratamiento de laseguridad cuandose lidia con terce-ros
En la actualidad: ¿se abordantodos los requerimientos de seguri-dad antes de entregar acceso a losactivos de información a sus clien-tes/usuarios/beneficiarios?
Registro de incidentes deseguridad
A
A.6.2.3 Art.10Letraa-b-c
Tratamiento de laseguridad enacuerdos conterceros
En la actualidad: ¿los contratoscon terceros que involucren acce-so, procesamiento, comunicación omanejo de la información o mediosde procesamiento de información, olos contratos que impliquen agregarproductos o servicios a los mediosde procesamiento de información,abarcan todos los requerimientosde seguridad relevantes?
Registro de incidentes deseguridad
A-
Ges
tión
de A
ctiv
os
A.7.1.1 Art. 13 Inventario de losactivos
¿se identifican los activos deinformación y se elabora uninventario de ellos?
Inventario de Activos deInformación dentro delalcance del proyecto. A
A.7.1.2 Art. 14 Propiedad de losactivos
¿se ha designado un responsablepor los activos de información?
Documento, inventario deActivos de Información connominaciones, Acta deAcuerdos. Dentro delalcance del proyecto.
A-
A.7.1.3 Art 15 Uso aceptable de losactivos
¿existen normas para el Copiado delos activos de información?
Procedimiento demanipulación. Dentro delalcance del proyecto. A
¿existen normas para elAlmacenamiento de los activos deinformación?
Procedimiento demanipulación, dentro delalcance del proyecto.
A
¿existen normas para Transmisiónpor correo electrónico de los activosde información?
Procedimiento demanipulación, dentro delalcance del proyecto.
A
¿existen normas para la Destrucciónde los activos de información?
Procedimiento demanipulación, dentro delalcance del proyecto.
A
A.7.2.2 Art. 15Art. 16
Etiquetado y manejode la información
¿existen procedimientos deetiquetado y manejo de los activosde información que consideren dichaclasificación?
Procedimiento demanipulación, dentro delalcance del proyecto. A-
24
Segu
ridad
de
recu
rsos
hum
anos
A.8.1.1 Roles y responsa-bilidades
En la actualidad: ¿cuenta conuna definición de roles de losfuncionarios, tanto contrata,planta como personal a honora-rios, que especifiquen su res-ponsabilidad en temas deseguridad de la información?
Manual de RRHH con defini-ción de roles, dentro del alcan-ce del proyecto.
A-
A.8.1.2 Investigación deantecedentes
En la etapa de selección: ¿Selleva a cabo la verificación deantecedentes legales, compor-tamientos éticos, y otros ante-cedentes de relevancia segúnla clasificación de la informa-ción a la cual va a tener acce-so, de todos los candidatos aun cargo, sea de planta, contra-ta o personal a honorarios?
Check list - Manual RRHH paraactuaciones en un proceso deselección dentro del alcancedel proyecto.
A
A.8.2.1 Art.20Letraa
Responsabilidadesde la dirección
¿ha impartido instruccionessobre el uso de sistemas in-formáticos, con énfasis enprohibición de instalación desoftware no autorizado, docu-mentos y archivos guardadosen el computador?
Procedimiento o instruccióndentro del alcance del proyecto
A
Art.20Letrab
¿ha impartido instruccionessobre el uso de la red interna,uso de Internet, uso del correoelectrónico, acceso a serviciospúblicos, recursos compartidos,servicios de mensajería ycomunicación remota?
Procedimiento o instruccióndentro del alcance del proyecto
A
Art.20Letrac
¿ha impartido instruccionessobre la generación, transmi-sión, recepción, procesamientoy almacenamiento de activosde información?
Procedimiento o instruccióndentro del alcance del proyecto
A
Art.20Letrad
¿ha impartido procedimientospara reportar incidentes deseguridad?
Procedimiento o instruccióndentro del alcance del proyecto
A
A.8.3.3 Retiro de los dere-chos de acceso
¿existe un procedimiento paraeliminar los derechos de acce-so a los medios de procesa-miento de la información detodo el personal, al término desus funciones o de su contrato,o para ajustarlos según elcambio de funciones?
Procedimiento o instruccióndentro del alcance del proyecto
A-
25
Segu
ridad
Fís
ica
y A
mbi
enta
l
A.9.1.1 Art.17
Perímetro de segu-ridad física
¿se utilizan perímetros deseguridad (paredes, rejascontroladas por tarjetas orecepcionistas, u otros simila-res) para proteger las áreasque contienen información ysus medios de procesamiento?
Descripción de la medida deseguridad
A
A.9.1.2 Art.17
Controles de ingre-so físico
¿se han impartido instruccionespara que sólo acceda personalautorizado a las áreas segu-ras?
Política o procedimiento dentrodel alcance del proyecto. A
A.9.1.4 Art.17
Protección contraamenazas externase internas
¿Cuenta con protección contradaños causados por fuego?
Descripción de la medida deseguridad A
Art.17
¿Cuenta con protección contradaños causados por inunda-ción?
Descripción de la medida deseguridad A
¿Cuenta con protección contradaños causados por terremoto?
Descripción de la medida deseguridad A
¿Cuenta con protección contradaños causados por explosión?
Descripción de la medida deseguridad A
¿Cuenta con protección contradaños causados por revueltacivil?
Descripción de la medida deseguridad A
Art.17
¿Cuenta con protección contraotras formas de desastresnaturales o por causa humana?
Descripción de la medida deseguridad A
A.9.1.6 Art.17
Áreas de accesopúblico, entrega ycarga
¿Ha impartido instruccionesrespecto al control de las áreasde acceso público, entrega ycarga?
Política o procedimiento dentrodel alcance del proyecto. A-
A.9.2.1 Art.17
Ubicación y protec-ción del equipo
¿El equipamiento está ubicadoo protegido de forma que sereduzcan las amenazas ypeligros ambientales y accesono autorizado?
Política o procedimiento dentrodel alcance del proyecto.
A
Art.18letraa
¿La autoridad ha impartidoinstrucciones relativas al con-sumo de alimentos, bebidas ytabaco en las cercanías de losmedios de procesan y soportaninformación?
Política o procedimiento dentrodel alcance del proyecto.
A-
A.9.2.2 Art.17
Servicios públicosde soporte
¿el equipamiento está protegi-do de fallas de energía y otrasinterrupciones causadas porfallas en los servicios básicosde soporte?
Contrato, factura, resolución oinforme técnico.
A
A.9.2.3 Art.10Letraa
Seguridad delcableado
¿la autoridad ha impartidoinstrucciones para protegercontra intercepción o daño elcableado usado para energía ylas telecomunicaciones paratransmisión de datos o sopor-tan los servicios de informa-ción?
Contrato, factura, resolución oinforme técnico.
A-
A.9.2.4 Mantenimiento deequipo
¿se han impartido instruccionespara asegurar que se hagamantenimiento del equipamien-to?
Procedimiento dentro del al-cance del proyecto o contratode mantención A
26
Segu
ridad
Fís
ica
y A
mbi
enta
l A.9.2.5 Seguridad delequipo fuera delas localidades
¿ha impartido instruccionespara que se aplique seguridadal equipamiento fuera de lasdependencias de la institución?
Procedimiento dentro del alcan-ce del proyecto o medida A-
A.9.2.6 Art.26Letrae
Seguridad de laeliminación o re-uso del equipo
¿se ha establecido que sedebe chequear el equipamientoque contiene información paraasegurarse que se haya retira-do o sobre-escrito cualquierdato confidencial o licenciaantes de su eliminación?
Procedimiento dentro del alcan-ce del proyecto o medida
A-
A.9.2.7 Retiro de propie-dad
¿En el servicio se ha previstoque haya una autorizaciónantes del retiro de equipamien-to, información o software?
Procedimiento dentro del alcan-ce del proyecto o medida A-
Ges
tión
de la
s co
mun
icac
ione
s y
oper
acio
nes
A.10.1.1 Art. 7Letrab-c
Procedimientos deoperacióndocumentados
Los procedimientos deoperación, ¿estándocumentados, al día y puestosa disposición de todos losusuarios que los necesiten?
Procedimientos formalizados, concontrol de cambios, para elalcance del proyecto A-
A.10.1.2 Gestión del cambio ¿Se controlan los cambios en losmedios y sistemas deprocesamiento de lainformación?
Procedimientos de operación,formalizados, para el alcance delproyecto. A-
A.10.1.3 Art. 7Letra f
Segregación de losdeberes
Los deberes y áreas deresponsabilidad, ¿sonsegregados de manera dereducir las oportunidades de unamodificación no-autorizada o maluso no-intencional o mal uso delos activos de la institución?
Entregar pantallazo de laaplicación de proyecto, con listade perfiles de administración.
A
A.10.1.4 Separación de losmedios dedesarrollo, prueba yoperación
Los medios de desarrollo,prueba y operación, ¿estánseparados de manera de reducirlos riesgos de acceso no-autorizado o cambios en elsistema operacional?
Esquema de desarrollomostrando arquitectura ydiferenciación de los ambientes,de la aplicación del proyecto.Demostrando que operación seencuentra en un ambienteseparado de los otros ambientes.
A
A.10.2.1 Entrega del servicio ¿Se aseguran que los controlesde seguridad, definiciones delservicio y niveles de entregaincluidos en el acuerdo deentrega del servicio de tercerosse implementen, operen ymantengan?
Acuerdo de niveles de serviciocon terceros (contrato,procedimientos, políticas, etc),dentro del alcance del proyecto. A-
A.10.2.2 Monitoreo y revisiónde los servicios deterceros
Los servicios, reportes yregistros provistos por terceros,¿son monitoreados y revisadosregularmente?
Procedimiento de revisión de losniveles de servicio, dentro delalcance del proyecto. A-
A.10.2.3 Manejo de cambiosen los servicios deterceros
¿Se manejan los cambios en laprovisión de servicios,incluyendo el mantenimiento ymejoramiento de las políticas,procedimientos y controles deseguridad de la informaciónexistentes, teniendo en cuenta elgrado crítico de los sistemas yprocesos del negocioinvolucrados y la re-evaluaciónde los riesgos?
Procedimientos de operación parael control de cambios enarquitectura tecnológica,formalizados, dentro del alcancedel proyecto.
A
27
Ges
tión
de la
s co
mun
icac
ione
s y
oper
acio
nes
A.10.3.1 Gestión de lacapacidad
¿Se monitorea y afina el uso delos recursos?
Reporte de monitoreo eninfraestructura dentro del alcancedel proyecto. A-
¿Se realizan proyecciones de losrequerimientos de capacidadfutura para asegurar eldesempeño requerido delsistema?
Procedimiento de generación dereporte de análisis de capacidad,en infraestructura para el alcancedel proyecto.
A-
A.10.3.2 Aceptación delsistema
¿Se establece el criterio deaceptación de los sistemas deinformación nuevos,actualizaciones o versionesnuevas?
Procedimientos de operación parael control de cambios ensistemas, formalizados para elalcance del proyecto. A
A.10.4.1 Art. 22Letra cArt. 26
Controles contracódigos maliciosos
¿ Existen controles de detección,prevención y recuperación paraproteger contra códigosmaliciosos?
Pantallazo de sistemas deprevención de códigos maliciosos(antivirus, antispyware, etc). A
A.10.5.1 Art. 24Letraa-b-c-d-e-f-g
Respaldo deinformación
¿Se realizan copias de respaldode la información y software? y
Política de respaldo,procedimiento y evidencia de suejecución, dentro del alcance delproyecto.
A-
A.10.6.1 Controles de redes Las redes, ¿son adecuadamentemanejadas y controladas parapoder proteger la información ymantener la seguridad de lossistemas y aplicaciones,incluyendo la información entránsito?
Diagrama de arquitectura de lared.
A-
A.10.6.2 Seguridad de losservicios de la red
En todo contrato de redes, ¿seidentifican e incluyen lascaracterísticas de seguridad?,
Identificación de cláusula deseguridad en contrato de redescon terceros y niveles deservicios.
A-
¿los niveles de servicio? Y Identificación de cláusula deseguridad en contrato de redescon terceros y niveles deservicios.
A-
¿los requerimientos de gestiónde todos los servicios de red, yasea que estos servicios seanprovistos interna oexternamente?
Identificación de cláusula deseguridad en contrato de redescon terceros y niveles deservicios.
A-
A.10.7.1 Art. 24Letra e
Gestión de mediosremovibles
¿Existen procedimientos para lagestión de los mediosremovibles?
Procedimiento formalizado paragestión de medios removibles,dentro del alcance del proyecto. A
A.10.7.2 Art. 15Letra b
Procedimientospara el manejo deinformación
¿Se establecen losprocedimientos para el manejo yalmacenaje de información paraproteger esta información de unadivulgación no-autorizada o maluso?
Procedimiento formalizado paramanejo de información, dentro delalcance del proyecto. A
A.10.7.3 Art. 15Letra b
Seguridad de ladocumentación delsistema
¿Se protege la documentacióndel sistema de accesos no-autorizados?
Descripción del método deprotección de la información.
A
28
Ges
tión
de la
s co
mun
icac
ione
s y
oper
acio
nes
A.10.8.1 Art. 9Art. 10Letra a
Políticas yprocedimientos deintercambio deinformación
¿Se establecen políticas,procedimientos y controles deintercambio formales paraproteger el intercambio deinformación a través del uso detodos los tipos de medios decomunicación?
Política o procedimiento deseguridad de intercambio deinformación, sancionada.
A
A.10.8.3 Medios físicos entránsito
Los medios que contieneninformación, ¿son protegidoscontra accesos no-autorizados,mal uso o corrupción durante eltransporte más allá de los límitesfísicos de una institución?
Política o procedimiento deseguridad de medios físicos entránsito, sancionada.
A-
A.10.9.2 Transacciones en-línea
¿Se protege la informacióninvolucrada en las transaccionesen-línea para evitar unatransmisión incompleta, routingequivocado, alteración no-autorizada del mensaje,divulgación no-autorizada,duplicación o repetición no-autorizada del mensaje?
Política de seguridad y/opantallazo de configuración deseguridad en serviciosconectados en redes públicas(uso de certificados SSL, etc). A
A.10.9.3 Art. 26Letra b
Informaciónpúblicamentedisponible
¿Se protege la integridad de lainformación puesta a disposiciónen un sistema públicamentedisponible para evitar unamodificación no-autorizada?
Política de seguridad y/opantallazo de configuración deseguridad en serviciosconectados en redes públicas(uso de certificados SSL, etc).
A
A.10.10.1 Art. 23 Registro deauditoría
¿Se producen y mantienenregistros de auditoría de lasactividades, excepciones yeventos de seguridad de lainformación durante un períodoacordado para ayudar eninvestigaciones futuras?
Pantallazo de registros de logs deauditoría
A-
¿Se monitorea el control deacceso?
Procedimiento formalizado demonitoreo de control de acceso. A
A.10.10.4 Registros deladministrador yoperador
¿Se registran las actividades deladministrador del sistema? y
Pantallazo de registros de logs deauditoría A-
¿Del operador del sistema? Pantallazo de registros de logs deauditoría A-
A.10.10.5 Registro de fallas ¿Se registran y analizan lasfallas?, y
Procedimiento formalizado deregistro de fallas y respuestas. A-
¿Se toman las accionesnecesarias?
Procedimiento formalizado deregistro de fallas y respuestas. A-
A.10.10.6 Sincronización derelojes
Los relojes de todos los sistemasde procesamiento deinformación relevantes dentro deuna organización o dominio deseguridad, ¿Se sincronizan conuna fuente que proporcione lahora exacta acordada?
Procedimiento o pantallazo de lasincronización de relojes de losservidores.
A
29
Con
trol
de
acce
so
A.11.2.1 Art. 27Art. 28Art. 29
Registro del usuario ¿Existe un procedimiento formalpara el registro y des-registro delusuario para otorgary revocar el acceso a todos lossistemas y servicios deinformación?
Procedimiento formalizado deadministración de usuarios
A
A.11.2.2 Art. 30 Gestión deprivilegios
¿Se restringe y controla laasignación y uso de privilegios?
Procedimiento formalizado quecontenga gestión de privilegios A
A.11.2.3 Art. 32 Gestión de lascontraseñas de losusuarios
La asignación de contraseñas,¿Se controla a través de unproceso de gestión formal?
Procedimiento formalizado quecontenga gestion de contraseñasde los usuarios
A
A.11.3.1 Art. 27 Uso de Contraseñas ¿Se requiere a los usuarios quesigan buenas prácticas deseguridad en la selección y usode contraseñas?
Política o procedimientoformalizado A-
A.11.4.7 Control de routing dela red
¿Se implementan controles derouting en las redes paraasegurar que las conexiones dela computadora y los flujos deinformación no violen la políticade control de acceso de lasaplicaciones de negocio?
Pantallazo de reglas de Firewallo routing
A
A.11.5.2 Art. 27 Identificación yautenticación delusuario
¿Todos los usuarios tienen unidentificador único (ID deusuario) para su uso personal?, y
Regla de verificación de cuentasde usuario A
¿Se escoge una técnica deautenticación adecuada parasustanciar la identidad de unusuario?
Regla de autenticación deusuario A
A.11.5.4 Uso de las utilidadesdel sistema
¿Se restringe y controlaestrechamente el uso de losprogramas de utilidad quepodrían ser capaces de superarlos controles del sistema y laaplicación?
pantallazo de políticas querestrinjan la instalación desoftware en el usuario A
A.11.5.5 Art. 31Letra b
Cierre de una sesiónpor inactividad
Las sesiones inactivas, ¿soncerradas después de un períodode inactividad definido?
Procedimiento formalizado,pantallazo de políticaautomatizada A-
A.11.5.6 Limitación del tiempode conexión
¿Se utilizan restricciones sobrelos tiempos de conexión paraproporcionar seguridad adicionalpara las aplicaciones de altoriesgo?
Procedimiento formalizado,pantallazo de políticaautomatizada A-
A.11.7.1 Art. 7Letra aArt. 9
Computación ycomunicacionesmóviles
¿Se establece una política y seadoptan las medidas deseguridad apropiadas paraproteger contra los riesgos deutilizar medios de computación ycomunicación móvil?
Politica de seguridad formalizada
A-
30
Adq
uisi
ción
, des
arro
llo y
man
teni
mie
nto
de lo
s Si
stem
a de
Info
rmac
ión
A.12.2.1 10.2.1 Validación de la datade entrada
¿Se valida la input data para lasaplicaciones para asegurar queesta data sea correcta yapropiada?
Política o procedimientoformalizado; pantallazo deejemplo de las reglas de
validación de entrada
A
A.12.2.4 10.2.4 Validación de la datade salida
¿Se validan los datos de salidade una aplicación, para asegurarque el procesamiento de lainformación almacenada sea elcorrecto y el apropiado para lascircunstancias?
Política o procedimientoformalizado; pantallazo deejemplo de las reglas de
validación de salida
A
A.12.4.1 10.4.1 Control del softwareoperacional
¿Se establecen procedimientospara el control de la instalacióndel software en los sistemasoperacionales?
Política o procedimientoformalizado de control de
instalación del software en lossistemas operacionale
A
A.12.4.3 10.4.3 Control de acceso alcódigo fuente delprograma
¿Se restringe el acceso al códigofuente del programa? Pantallazo del acceso al equipo
donde se ubica el código fuente. A
A.12.5.1 10.5.1 Procedimientos delcontrol del cambio
¿Se controla la implementaciónde los cambios mediante el usode procedimientos formales parael control del cambio?
Política o procedimientoformalizado de control de
cambiosA
A.12.5.2 10.5.2 Revisión técnica dela aplicacióndespués de cambiosen el sistema
Cuando se cambian los sistemasde operación, ¿se revisan yprueban las aplicaciones denegocio críticas para asegurarque no exista un impactoadverso sobre las operacionesinstitucionales o en la seguridad?
Política o procedimientoformalizado de control de
cambiosA
A.12.5.3 10.5.3 Restricciones sobrelos cambios en lospaquetes desoftware
Las modificaciones a paquetesde software, ¿Se limitan a loscambios necesarios? Y
Política o procedimientoformalizado de control de
cambiosA
¿Todos los cambios sonestrictamente controlados?
Política o procedimientoformalizado de control de
cambiosA-
A.12.5.4 10.5.4 Filtración deinformación
¿Se evitan las oportunidadespara el filtrado de información?
Política o procedimientoformalizado sobre filtración de
información.A
A.12.5.5 10.5.5 Desarrollo desoftware abastecidoexternamente
El desarrollo del softwareabastecido externamente, ¿essupervisado y monitoreado?
Política o procedimientoformalizado sobre desarrollo de
software abastecidoexternamente.
A
0
Ges
tión
de u
n in
cide
nte
en la
segu
ridad
de
la in
form
ació
n
A.13.1.1 Art. 12Letra b
Reporte de eventosen la seguridad de lainformación
En la actualidad: ¿cuenta con unprocedimiento de reporte deeventos que afecten a laseguridad de la información?
Procedimiento o instrucción
A-
A.13.2.1 Art. 12Letra b
Responsabilidades yprocedimientos
En la actualidad: ¿cuenta conprocedimientos para manejardiversos tipos de incidentes deseguridad de la información deforma rápida, eficaz y ordenada?
Procedimiento o instrucción
A-
31
Ges
tión
de la
con
tinui
dad
del n
egoc
io
A.14.1.1 Incluir la seguridadde la informaciónen el proceso degestión de conti-nuidad del negocio
¿se ha establecido un procesopara gestionar la continuidaddel negocio?
Política o procedimiento
A-
A.14.1.2 Art. 7LetradArt. 8
Continuidad delnegocio y evalua-ción del riesgo
¿ha identificado los eventosque pueden causar interrupcio-nes?
Política o procedimientoA-
¿Se ha identificado la probabi-lidad de ocurrencia, el impactoy consecuencias de dichasinterrupciones?
Política o procedimiento
A-
A.14.1.3 Art.35
Desarrollar e im-plementar losplanes de continui-dad incluyendo laseguridad de lainformación
¿hay planes de continuidad denegocio que incluyan la seguri-dad de la información (disponi-bilidad en nivel y escala detiempo después de la falla)?
Política o procedimiento
A-
32
6.3. ANEXO 3:
A continuación se entrega plantilla para presentar plan de acciones correctivas. Este plan podrá serpropuesto al momento de presentar la solicitud, si en el proceso de autoevaluación la empresa oagente de aduana ha evaluado que no cumple el requisito propuesto y dicho requisito contempla unnivel de tolerancia calificado con A- en el anexo 2.
Este mismo formato deberá ser utilizado si en el proceso de evaluación de antecedentes realizado porel Servicio Nacional de Aduanas, la empresa o agente de aduana es calificada con un A- producto de larevisión de la evidencia presentada.
FORMULARIO DE MEDIDAS CORRECTIVASAcreditación de proveedores tecnológicos para carpeta de despacho electrónica
Identificación delrequisito
Descripción de labrecha
Descripción de la medida comprometidapara subsanar la brecha
Plazos Responsable de laimplementación