DEPARTAMENTO DE ESTANDARIZACIÓN, NORMATIVAS Y AUDITORÍA TÉCNICA

Transcripción

1

2 DEPARTAMENTO DE ESTANDARIZACIÓN, NORMATIVAS Y AUDITORÍA TÉCNICA NORMA PARA LA INTEROPERABILIDAD ENTRE LOS ORGANISMOS DEL GOBIERNO DOMINICANO Santo Domingo, República Dominicana 10 de junio, 2014

3 Edición: 1era. Departamento de Estandarización, Normativas y Auditoría Técnica Fecha de aprobación: 22 de enero de 2014 Fecha de lanzamiento: 10 de junio de 2014 Categoría: A Serie de documento: 1 Año de publicación: 2014 Versión Impreso en República Dominicana

4 CONTENIDO PRÓLOGO... v MARCO LEGAL... ix INTRODUCCIÓN...xv CAPÍTULO I NORMA PARA LA INTEROPERABILIDAD ENTRE LOS ORGANISMOS DEL GOBIERNO DOMINICANO...17 SECCIÓN Alcance SECCIÓN Referencias normativas SECCIÓN Términos y definiciones SECCIÓN Conceptos generales Sub-sección Interoperabilidad organizacional...20 Sub-sección Interoperabilidad semántica...20 Sub-sección Interoperabilidad técnica...20 CAPÍTULO II CATÁLOGO DE ESTÁNDARES DE INTEROPERABILIDAD...23 SECCIÓN Uso del catálogo...23 SECCIÓN Estructura del catálogo SECCIÓN Actualización del catálogo SECCIÓN Catálogo de estándares interoperables...28 CAPÍTULO III INTEROPERABILIDAD ORGANIZACIONAL...37 SECCIÓN Gestión organizacional SECCIÓN Roles para el área de administración de proyectos TIC...38 SECCIÓN Gestión de procesos intraorganizacionales...40

5 SECCIÓN Gestión de procesos interoganizacional...42 CAPÍTULO IV INTEROPERABILIDAD SEMÁNTICA...45 SECCIÓN Interoperabilidad semántica para la visualización...45 SECCIÓN Interoperabilidad semántica para el procesamiento...46 Sub-sección Metadatos propuestos CAPÍTULO V INTEROPERABILIDAD TÉCNICA...51 SECCIÓN Implementación de estándares abiertos SECCIÓN Protocolos de intercambio de datos...52 SECCIÓN Almacenamiento de datos...53 Sub-sección Bases de datos...54 Sub-sección Archivos planos...55 SECCIÓN Extensiones y almacenamiento de archivos...55 SECCIÓN Administración de código fuente...58 Sub-sección Repositorio general...58 Sub-sección Comentarios y formatos...59 SECCIÓN Interoperabilidad web...60 SECCIÓN Aspectos generales de seguridad GLOSARIO DE TÉRMINOS...63 ABREVIATURAS Y ACRÓNIMOS...75 BIBLIOGRAFÍA ANEXOS...83 EQUIPO DE TRABAJO...88

6 PRÓLOGO La Oficina Presidencial de Tecnologías de la Información y Comunicación (OPTIC), es el organismo del Estado Dominicano responsable de fomentar el uso de las tecnologías de la información y comunicación (TIC), creado mediante el decreto No , en fecha 3 de septiembre de 2004, como dependencia directa del Poder Ejecutivo, con autonomía financiera, estructural y funcional, a fin de garantizar eficiencia, transparencia, servicios en línea y mecanismos para rendición de cuentas disponibles a favor de la ciudadanía. Para el aseguramiento del correcto uso e implementación de las TIC en el Estado, la OPTIC crea el departamento de Estandarización, Normativas y Auditoría Técnica (ENAT), el cual elabora y establece las normas y estándares tecnológicos que impulsen el gobierno electrónico en el país. Estas normas sobre TIC, denominadas NORTIC, son creadas desde el año 2013 por el ENAT, bajo el mandato del Ing. Armando García, director general de la OPTIC, y en el gobierno del Presidente de la República Dominicana, Lic. Danilo Medina. Las NORTIC fueron concebidas para normalizar, estandarizar y tener una herramienta de auditoría para el efectivo uso e implementación de las TIC en la administración pública, con el fin de llegar a la completa homogeneidad y mejora de los procesos entre los organismo gubernamentales. En este contexto, se han definido 5 categorías o tipos de NORTIC, según el alcance de estas, para ser difundidas e implementadas en toda la administración pública, como se presenta a continuación: 1. Categoría A (normas universales), para los aspectos normativos que aplican a todos los organismos gubernamentales. 2. Categoría B (normas para los departamentos de TIC), para aquellas Norma General sobre el Uso e Implementación de las Tecnologías de la Información y Comunicación en el Estado Dominicano v

7 vi normas necesarias y exclusivas a la efectiva gestión de los departamentos o áreas de TIC dentro de los distintos organismos del Estado Dominicano. 3. Categoría C (normas municipales), para las normas que aplican a las iniciativas de TIC en los ayuntamientos o municipios. 4. Categoría D (normas para embajadas), para las normas que aplican únicamente a las iniciativas de TIC de las embajadas, consulados o misiones en el extranjero. 5. Categoría E (normas especiales), para las normas que aplican a organismos gubernamentales con características específicas dependiendo de sus funciones y estructura orgánica, así como para iniciativas, proyectos o programas de Gobierno, en el cual se haga uso de las TIC. De modo, que esta Norma para la Interoperabilidad [1] entre los Organismos del, por tener un alcance universal, pertenece a la categoría A; mientras que por ser la cuarta NORTIC en elaborarse, su denominación sería NORTIC A4:2014, siendo los últimos 4 dígitos los referidos al año de lanzamiento de esta norma. En algunos casos, esta normativa puede presentarse de la forma siguiente NORTIC A4-1:2014, seguida de trece caracteres (#####-##-######), donde el número 1 que aparece después del guion (-) especifica la serie del documento (1 para directrices, 2 para guías de implementación, 3 para código de buenas prácticas, entre otros) y los demás caracteres, el Número de Identificación Único (NIU) para cada organismo del Estado. La evaluación de cada NORTIC es realizada por dos comités, la primera evaluación es ejecutada por el Comité Interno para Evaluación de las Normas (CIEN), el cual está conformado por expertos en TIC dentro de la OPTIC, mientras que la segunda evaluación es realizada por el Comité de Estándares de Tecnologías de la Información y Comunicación (COETIC), el cual está conformado por los responsables de TIC de cada organismo gubernamental, o a quienes la máxima autoridad de cada organismo designe. En vista de la responsabilidad de la OPTIC en la elaboración de políticas, estrategias y controles de TIC y de los avances en el uso de las tecnologías, de los cuales los organismos gubernamentales no quedan al margen, surge esta [1]

8 normativa para garantizar el uso efectivo de las plataformas y los procesos tecnológicos que son implementados por cada uno de dichos organismos. vii

9

10 MARCO LEGAL La OPTIC, en su rol de entidad normalizadora sobre el uso e implementación de TIC en la administración pública, ha establecido las directrices por las cuales debe regirse todo organismo gubernamental del Estado Dominicano, tanto para aquellos que están físicamente dentro del país, como para los organismos que se encuentran fuera, como son las embajadas, consulados y misiones en el extranjero. El marco legal que soporta esta norma está compuesto por las leyes y decretos presidenciales presentados a continuación: 1. El Decreto , a través del cual se constituye la OPTIC como dependencia directa del poder ejecutivo, donde se establece lo siguiente: Artículo 3.- Serán funciones de la Oficina Presidencial de Tecnologías de la Información y Comunicación, diseñar, proponer y definir las políticas, establecer los lineamientos y elaborar las estrategias, planes de acción y programas para promover, desarrollar y garantizar mayor acceso, conectividad e implantación de nuevas tecnologías de la información y comunicación, con el fin de fomentar su uso, como soporte del crecimiento económico y competitividad hacia la sociedad de la información, gestionando los proyectos conforme a tales directrices; y que garanticen el acceso equitativo a los mercados y al sector productivo como esfuerzo para la política de generación de empleo, para mejorar la calidad de vida, crear oportunidades de educación, trabajo, justicia, cultura y recreación, y otros. Artículo 5.- La Oficina Presidencial de Tecnologías de la Información y Comunicación será responsable de la formulación de políticas y la implementación del proceso de desarrollo e innovación tecnológica para la transformación y modernización del Estado hacia la sociedad de la información, promoviendo la integración de nuevas tecnologías, su Norma General sobre el Uso e Implementación de las Tecnologías de la Información y Comunicación en el Estado Dominicano ix

11 compatibilidad, interoperabilidad y estandarización en materia de TIC. Artículo 7.- La Oficina Presidencial de Tecnologías de la Información y Comunicación podrá proponer políticas para difundir y promover la generación de una cultura de TIC en el país. Artículo 9.- La Oficina Presidencial de Tecnologías de la Información y Comunicación deberá velar, asistir y supervisar en los aspectos y políticas relativas a la seguridad y privacidad de la información digitalizada y electrónica en el ámbito del sector público. 2. Para el tratamiento de los derechos sobre la protección de datos [2] personales, esta norma se ampara en la propia Constitución de la República Dominicana del 26 de enero de Artículo 44.- Derecho a la intimidad y el honor personal. Toda persona tiene derecho a la intimidad. Se garantiza el respeto y la no injerencia en la vida privada, familiar, el domicilio y la correspondencia del individuo. Se reconoce el derecho al honor, al buen nombre y a la propia imagen. Toda autoridad o particular que los viole está obligado a resarcirlos o repararlos conforme a la ley. Por tanto: º Toda persona tiene el derecho a acceder a la información y a los datos que sobre ella o sus bienes reposen en los registros oficiales o privados, así como conocer el destino y el uso que se haga de los mismos, con las limitaciones fijadas por la ley. El tratamiento de los datos e informaciones personales o sus bienes deberá hacerse respetando los principios de calidad, licitud, lealtad, seguridad y finalidad. Podrá solicitar ante la autoridad judicial competente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten ilegítimamente sus derechos. º Se reconoce la inviolabilidad de la correspondencia, documentos o mensajes privados en formatos físico, digital, electrónico o de todo otro tipo. Sólo podrán ser ocupados, interceptados o registrados, por orden de una autoridad judicial competente, mediante procedimientos legales en la sustanciación de asuntos que se ventilen en la justicia y preservando el secreto de lo privado, que no guarde [2] x

12 relación con el correspondiente proceso. Es inviolable el secreto de la comunicación telegráfica, telefónica, cablegráfica, electrónica, telemática o la establecida en otro medio, salvo las autorizaciones otorgadas por juez o autoridad competente, de conformidad con la ley. º El manejo, uso o tratamiento de datos e informaciones de carácter oficial que recaben las autoridades encargadas de la prevención, persecución y castigo del crimen, sólo podrán ser tratados o comunicados a los registros públicos, a partir de que haya intervenido una apertura a juicio, de conformidad con la ley. 3. La Ley , sobre los derechos de las personas en sus relaciones con la administración pública y de procedimiento administrativo, en donde se regulan los derechos y deberes de las personas y sus relaciones con la administración pública y se establecen los principios que sirven de sustento a esa relación, indicando los procedimientos administrativos. Artículo 4. Derecho a la buena administración y derechos de las personas en sus relaciones con la administración pública. Se reconoce el derecho de las personas a una buena administración pública, que se concreta, entre otros, en los siguientes derechos subjetivos de orden administrativo: º Derecho a no presentar documentos que ya obren en poder de la administración pública o que versen sobre hechos no controvertidos o no relevantes. Artículo 27. Actos de instrucción o investigación. Los actos de instrucción o investigación podrán consistir, entre otros, en los siguientes medios: º Párrafo I. Las actuaciones para la obtención y tratamiento de la información necesaria para adoptar una decisión bien informada podrán consistir en cualquier medio, como la cooperación, asistencia e intercambio de información con otras administraciones competentes, o las consultas a los expertos. En los términos establecidos en la legislación o en convenios internacionales, podrá recabarse la colaboración informativa de otras agencias y administraciones especializadas de otros Estados, o de organismos internacionales, al objeto de adoptar la decisión mejor informada, xi

13 al servicio de los intereses generales. 4. La Ley contra crímenes y delitos de alta tecnología. Artículo l.- Objeto de la Ley. La presente ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de la información y comunicación, y su contenido, así como la prevención y sanción de los delitos cometidos contra estos o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías en perjuicio de personas física o morales, en los términos previstos en esta ley. La integridad de los sistemas de información y sus componentes, la información o los datos, que se almacenan o transmiten a través de estos, las transacciones y acuerdos comerciales o de cualquier otra índole que se llevan a cabo por su medio y la confidencialidad de estos, son todos bienes jurídicos protegidos. 5. La Ley , sobre el libre acceso a la información pública, que establece la implementación de la sección Transparencia en los portales del. Artículo 5.- Se dispone la informatización y la incorporación al sistema de comunicación por Internet o a cualquier otro sistema similar que en el futuro se establezca, de todos los organismos públicos centralizados y descentralizados del Estado, incluyendo el Distrito Nacional y los municipios, con la finalidad de garantizar a través de este, un acceso directo del público a la información del Estado. Todos los poderes y organismos del Estado deberán instrumentar la publicación de sus respectivas páginas web a los siguientes fines: º Difusión de información: Estructura, integrantes, normativas de funcionamiento, proyectos, informes de gestión, base de datos; º centro de intercambio y atención al cliente o usuario: Consultas, quejas y sugerencias; º trámites o transacciones bilaterales; º la información a que hace referencia el párrafo anterior, será de libre acceso al público sin necesidad de petición previa. Artículo 6.- La administración pública, tanto centralizada como xii

14 descentralizada, como cualquier otro órgano o entidad que ejerza funciones públicas o ejecute presupuesto público, y los demás entes y órganos mencionados en el Artículo 1 de esta ley, tienen obligación de proveer la información contenida en documentos escritos, fotografías, grabaciones, soportes magnéticos o digitales, o en cualquier otro formato, y que haya sido creada u obtenida por ella o que se encuentre en su posesión y bajo su control. Artículo 11.- La información solicitada podrá ser entregada en forma personal, por medio de teléfono, facsímile, correo ordinario, certificado o también correo electrónico [3], o por medio de formatos disponibles en la página de Internet que al efecto haya preparado la administración a la que hace referencia el Artículo 1 de esta ley. Artículo 24.- Las entidades o personas que cumplen funciones públicas o que administren recursos del Estado deberán prever en sus presupuestos las sumas necesarias para hacer publicaciones en los medios de comunicación colectiva, con amplia difusión nacional, de los proyectos de reglamentos y actos de carácter general, a los que se ha hecho referencia en el artículo anterior. º Párrafo.- En los casos en que la entidad o persona correspondiente cuente con un portal de Internet o con una página en dicho medio de comunicación, deberá prever la existencia de un lugar específico en ese medio para que los ciudadanos puedan obtener información sobre los proyectos de reglamentación, de regulación de servicios, de actos y comunicaciones de valor general, que determinen de alguna manera la forma de protección de los servicios y el acceso de las personas de la mencionada entidad. Dicha información deberá ser actual y explicativa de su contenido, con un lenguaje entendible al ciudadano común. º Debe publicarse el contenido utilizando medios tecnológicos que garanticen la autenticidad de la información, tales como certificados digitales. 6. La Ley No sobre comercio electrónico, documentos y firma digital. [3] xiii

15 7. La Ley 1-12, sobre estrategia nacional de desarrollo. Artículo 16. En el diseño y ejecución de los programas, proyectos y actividades en que se concretan las políticas públicas, deberá promoverse el uso de las tecnologías de la información y comunicación como instrumento para mejorar la gestión pública y fomentar una cultura de transparencia y acceso a la información, mediante la eficientización de los procesos de provisión de servicios públicos y la facilitación del acceso a los mismos. 8. El Decreto No , el cual es el instructivo de aplicación de Gobierno Electrónico, contentivo de las pautas generales para el desarrollo de la Estrategia de Gobierno Electrónico en la República Dominicana. 9. El Decreto No sobre las normas y estándares elaboradas por la OPTIC. Artículo 1.- Se instruye a toda administración pública del Estado Dominicano a cumplir con las normas y los estándares tecnológicos para: (i) el desarrollo de portales gubernamentales, (ii) conectividad interinstitucional, (iii) interoperabilidad tecnológica, (iv) de seguridad, auditoría e integridad electrónica, (v) digitalización de documentos; así como cualquier otra normativa que sea redactada, aprobada y coordinada por la Oficina Presidencial de Tecnologías de la Información y Comunicación (OPTIC), en materia de tecnología de la información y la comunicación (TIC) y Gobierno Electrónico. 10. El Decreto No , que aprueba el reglamento de la Ley General de Libre Acceso a la Información Pública. 11. El Decreto , que aprueba el Reglamento de Aplicación de la Ley No , sobre Comercio Electrónico, Documentos y Firmas Digitales. xiv

16 INTRODUCCIÓN La normativa para la Interoperabilidad entre los Organismos del Gobierno Dominicano establece las directrices que deben seguir los organismos a fin de lograr interoperar con otros, permitiendo así el intercambio de información de una manera efectiva, con el objetivo de agilizar los procesos de los servicios que realizan dichos organismos reduciendo costos y evitando que el ciudadano suministre información que el Estado posee. En esta normativa se presentan 3 dimensiones de la interoperabilidad, esenciales para que esta sea posible, las cuales son interoperabilidad organizacional, semántica y técnica. Cada una de estas dimensiones es abarcada en un capítulo diferente, conteniendo en cada uno directrices específicas para cada dimensión. Por lo tanto, en esta norma se presenta desde el primer capítulo el alcance de la misma, la cual comprende todos los organismos de Estado Dominicano de manera mandataria, tanto para aquellos que están físicamente dentro del territorio dominicano, como para aquellos organismos que se encuentran fuera, como las embajadas, consulados y misiones en el extranjero y, de manera referencial, para los demás Poderes del Estado. Con el objetivo de facilitar la búsqueda de estándares permitidos en la normativa, en el capítulo 2 se ha elaborado un catálogo de estándares interoperables. En dicho capítulo se describen todos los elementos que conforman el catálogo, y la forma de uso y actualización del mismo. El siguiente capítulo trata la interoperabilidad organizacional, en donde se indican los diferentes tipos de acuerdos que deben realizar los organismos para los proyectos que se lleven a cabo, siendo estos los siguientes: Acuerdos técnicos, semánticos, organizacionales, políticos, económicos y culturales. Además se definen los roles que debe poseer la unidad de administración de proyecto del departamento de TIC y el procedimiento a seguir para el correcto manejo de los proyectos de interoperabilidad. Norma General sobre el Uso e Implementación de las Tecnologías de la Información y Comunicación en el Estado Dominicano xv

17 El capítulo IV trata sobre la interoperabilidad semántica, en donde se especifican las directrices para la descripción de los servicios y los esquemas de metadatos [1] para la información intercambiada entre los diferentes sistemas informáticos de los organismos, garantizando con esto el correcto entendimiento y aplicación de dicha información. Para el capítulo final sobre interoperabilidad técnica, se presenta un conjunto de estándares tecnológicos bajo los cuales deben regirse los organismos para el intercambio de información electrónica, además se especifican las directrices para una correcta administración del código fuente [2]. [1] [2] xvi

18 CAPÍTULO I NORMA PARA LA INTEROPERABILIDAD ENTRE LOS ORGANISMOS DEL GOBIERNO DOMINICANO Esta norma indica las directrices y recomendaciones que debe seguir cada organismo del para asegurar y garantizar que en los datos e informaciones intercambiados entre los diferentes organismos no exista ambigüedad por todas las aplicaciones que intervengan en una determinada transacción y habilita a los sistemas para combinar información recibida con otros recursos de información y así procesarlos de forma adecuada. Este conjunto de directrices y recomendaciones pretende constituirse en una herramienta de significativa utilidad para el desarrollo e implantación de la interoperabilidad en el Estado Dominicano, uniendo las dimensiones principales de la interoperabilidad y aumentando la eficacia en la realización de los procesos llevados al brindar servicios a los ciudadanos. SECCIÓN Alcance Las directrices de esta norma deben ser aplicadas por todos los organismos pertenecientes al Poder Ejecutivo, ya sean centralizados, descentralizados, o embajadas, consulados y misiones en el extranjero. Entre los organismos centralizados se encuentran los ministerios y sus dependencias, así como los organismos con nivel de ministerios, viceministerios, organismos adscritos a la Presidencia de la República, consejos y organismos asesores, direcciones generales, oficinas nacionales, procuradurías fiscales, escuelas públicas, hospitales públicos, bibliotecas y museos. Norma General sobre el Uso e Implementación de las Tecnologías de la Información y Comunicación en el Estado Dominicano 17

19 Entre los organismos descentralizados se encuentran los organismos financieros y no financieros, reguladores, seguridad social y empresas públicas. Los organismos pertenecientes a los demás Poderes del Estado, así como aquellos que entran dentro de la clasificación de Organismos Especiales, según el Ministerio de Administración Pública (MAP), también pueden implementar los estándares indicados en esta norma como un modelo de buenas prácticas, en apoyo a la estandarización del Estado Dominicano. SECCIÓN Referencias normativas Para la elaboración de esta norma se tomó como base la guía elaborada por la OPTIC en el año 2007, sobre interoperabilidad. La estructura de la NORTIC A4:2014 engloba en sus capítulos la guía anteriormente mencionada, sin embargo, la actual norma responde a los nuevos requerimientos técnicos de estos tiempos, por lo que dicha guía será derogada por esta normativa. También se tomó como referencia para la parte sobre interoperabilidad semántica, en lo que refiere a los metadatos necesarios, la norma sobre publicación de datos abiertos del Estado Dominicano (NORTIC A3:2014). Para la elaboración del tema sobre catálogo de estándares, se tomó como referencia la Guía de Aplicación de la Norma Técnica de Interoperabilidad del Gobierno de España, la cual tiene por objetivo servir como herramienta de apoyo para la aplicación e implementación de lo dispuesto en la Norma Técnica de Interoperabilidad (NTI) de dicho gobierno. Además se utilizó el estándar del Instituto Europeo de Normas de Telecomunicaciones (ETSI, por sus siglas en inglés), reporte técnico , sobre firmas e infraestructuras electrónicas para las políticas de creación de firmas electrónicas. En la normativa, también se hace referencia al conjunto de estándares ISO 639 [1], de la Organización Internacional de Normalización (ISO, por sus siglas en inglés), concerniente a la representación de los nombres y grupos de idiomas. De la misma manera se utilizó la norma ISO 8601, la cual especifica la notación estándar para la representación de fechas y horas. [1] 18

20 Se utilizó para el tema de interoperabilidad semántica, el marco de interoperabilidad para el Estado Venezolano, el cual tiene como objetivo servir de guía en la creación, desarrollo e implantación de la interoperabilidad en dicho Estado. SECCIÓN Términos y definiciones Para fines de esta norma el término Organismo gubernamental será utilizado en ciertos casos como Organismo. Cuando aparezca el término Catálogo este hará referencia al Catálogo de estándares descrito en el capítulo II. En el caso del término Interorganizacional, este hace referencia a cualquier actividad que se realiza de manera interna dentro del organismo. Por otro lado el término Intraorganizacional hace referencia a cualquier actividad que se realiza en conjunto con otros organismos. Además, los términos Software [2], Aplicaciones y Programas, para fines de esta norma, se utilizarán indistintamente. El término Elemento de datos hace referencia a una entidad [3] de información relacionada dentro de un proceso de interoperabilidad. SECCIÓN Conceptos generales Para lograr implementar interoperabilidad no basta con normalizar los sistemas, sino que también debe normalizarse los procesos entre los organismos y el correcto entendimiento de la información intercambiada. Debido a esto, en esta normativa hemos tomado en cuenta tres (3) dimensiones claves de la interoperabilidad: 1. Interoperabilidad organizacional. [2] [3] 19

21 2. Interoperabilidad semántica. 3. Interoperabilidad técnica. Sub-sección Interoperabilidad organizacional Dimensión de la interoperabilidad relativa a la capacidad de los organismos y de los procesos que estos manejan para alcanzar de manera mutua una colaboración para el logro de intercambio de información, a través de acuerdos realizados con anterioridad con relación a los servicios que estos ofrecen. La interoperabilidad organizativa involucra todos los aspectos esenciales de todo organismo, entre ellos se destacan: La estructura del organismo. Los procesos. La cultura del personal. Sub-sección Interoperabilidad semántica Dimensión de la interoperabilidad que se encarga de que la información intercambiada entre los diferentes sistemas informáticos de los organismos sea interpretada de modo unívoco, es decir con un solo significado. El objetivo de esta es que información intercambiada pueda ser interpretable de forma automática y reutilizable por aplicaciones que no intervinieron en su creación. La interoperabilidad semántica se separa en dos niveles: Interoperabilidad semántica para la visualización. Interoperabilidad semántica para el procesamiento. Sub-sección Interoperabilidad técnica Esta dimensión comprende aspectos estrictamente técnicos y tecnológicos que deben ser tomados en cuenta a la hora de querer implementar la interoperabilidad. Entre estos aspectos se encuentran las interfaces, interconexión, integración de datos y servicios, la presentación de la información, accesibilidad y la seguridad, u otros de naturaleza análoga. 20

22 CAPÍTULO II CATÁLOGO DE ESTÁNDARES DE INTEROPERABILIDAD En este capítulo se presenta el catálogo de estándares, el cual está compuesto por un conjunto de estándares interoperables para el diseño y creación de los servicios web [1] y junto con este las directrices que rigen su uso. Los estándares citados en el catálogo se enfocan en aspectos como los conceptos relacionados con los estándares y una breve descripción de su ciclo de vida, consideraciones relativas a la formación, categorización y requisitos de uso de los estándares recogidos en este, al igual que una descripción del proceso de revisión y actualización del mismo. SECCIÓN Uso del catálogo (a) (b) (c) Todo nuevo servicio de tipo electrónico que desarrolle un organismo gubernamental, debe estar alineado a los estándares especificados y permitidos en el capítulo V. Interoperabilidad técnica. Debe seleccionarse del catálogo aquellos estándares que se ajusten a las necesidades o funcionalidades que se implementará. En caso de utilizar un estándar que no se encuentre especificado en el catálogo debe enviarse la justificación de uso al correo electrónico enat@optic.gob.do para fines de evaluación del requerimiento. [1] Es una tecnología que se para intercambiar datos entre aplicaciones, implementando ciertos estándares y protocolos. Norma General sobre el Uso e Implementación de las Tecnologías de la Información y Comunicación en el Estado Dominicano 21

23 (d) (e) Cada organismo gubernamental, que funcione como cliente o consumidor de un servicio electrónico, brindado por un organismo normalizado bajo la NORTIC A4, debe seguir los estándares seleccionados por el organismo emisor del servicio o del documento electrónico en cuestión. Los estándares y tecnologías definidos en el segmento de integración de aplicaciones y servicios deben ser los utilizados en cualquier sistema o programación que intervenga en la integración de aplicaciones y/o servicios. Ver sección Catálogo de estándares interoperables. SECCIÓN El catálogo está compuesto únicamente por estándares interoperables. La estructura del catálogo se realizó en base a categorías y segmentos de interoperabilidad que engloban los diferentes estándares. Ver anexo A. Modelo de implementación de interoperabilidad (MINT). Los segmentos de interoperabilidad están definidos como sigue a continuación: 22 Estructura del catálogo Infraestructura y conectividad: Segmento en donde se encuentran todos los estándares tecnológicos utilizados para lograr la interconexión y comunicación de los servidores internamente y para los clientes a los que estos brindan servicios. Integración de datos: Segmento en donde se encuentran todos los estándares tecnológicos utilizados para lograr los modelos necesarios que permiten lograr la interoperabilidad entre sistemas heterogéneos y no heterogéneos, basados en estándares de integración. Integración de aplicaciones y servicios: Segmento en donde se realiza o se ejecuta el software o algoritmo [2] necesario para lograr la comunicación entre aplicaciones y/o servicios de forma unidireccional o bidireccional. [2]

24 Accesibilidad y seguridad: Se refiere al segmento en donde se expresan las tecnologías, metodologías y protocolos [3] necesarios para garantizar el acceso coherente por parte del usuario final, así como la seguridad de la transferencia de la información que viaja desde el motor de procesamiento de datos [4] hasta la interfaz de usuario [5] y viceversa. Las categorías y sus respectivas sub-categorías establecidas para el catálogo de estándares son las definidas a continuación: Autenticación: Estándares para la verificación de la identidad digital del remitente de una comunicación a través de la red. º Certificados: Estándares de certificados electrónicos. º Firma electrónica: Estándares para firma electrónica. º Política de firma electrónica: Estándares para políticas de creación y validación de firma electrónica. Cifrado de datos [6] : Estándares para aumentar la seguridad de un mensaje o de un archivo mediante el cifrado del contenido. Codificación: Estándares de codificación de la información. º Codificación de caracteres: Formatos de codificación del lenguaje natural [7] a lenguaje de máquina [8] para los documentos. º Idioma: Estándares de internacionalización y de codificación de idiomas. Control de acceso: Estándares de gestión de accesos a los activos de información. Formatos de archivos: Estándares para definir el formato de la información de un archivo. [3] [4] [5] [6] [7] [8] 23

25 º Imagen y/o texto: Formatos de texto e imagen. º Cartografía vectorial y Sistemas de Información Geográfica (SIG): Formatos para modelaje, transporte y almacenamiento de información geográfica, espacial, y para interacción con los mapas. º Compresión de archivos: Formatos para la compresión de archivos. Integridad: Algoritmos de función hash criptográfica [9] para la verificación de la integridad de los datos que son transferidos entre sistemas. Métricas: Estándares de medidas y métricas. Protocolos de comunicación: Estándares de conexión, comunicación y transferencia de información. º Correo electrónico: Tecnologías y protocolos para la transferencia de información mediante correo electrónico. º Servicios web: Protocolos y estándares para el intercambio de datos entre aplicaciones web. º Tecnologías de transporte y red: Protocolos de comunicación de red definidos en las capas de transporte y red del modelo OSI [10]. Semántica: Estándares para lograr la comprensión e interpretación de la información, y su reutilización por diferentes sistemas de información sean estos heterogéneos o no. º Metadatos: Estándares para la descripción de los datos intercambiados. º Tecnologías semánticas: Estándares para la representación semántica de la información. Tecnologías de integración de datos: Estándares para la integración de datos que intervienen en un proceso de intercambio de información. [9] [10] 24

26 Tecnologías para identificación: Técnicas de identificación normalizadas de recursos y localizaciones. Cada estándar en el catálogo constará de los siguientes campos informativos: Nombre: Denominación del estándar. º Nombre común: Forma habitual de nombrar el estándar. º Nombre formal: Nombre correspondiente a la especificación formal del estándar. Tipo: el cual puede ser: º Abierto: es una especificación disponible públicamente para lograr una tarea específica, el cual tiene varios derechos de uso asociados a este. Además puede tener varias propiedades de cómo fue diseñado. º Propietario: son aquellos que para su uso requiere pago o acuerdo por el derecho de propiedad y están sustentados y protegidos con patentes o derecho de autor. Normalmente se restringe la aplicación de ingeniería inversa a este tipo de formato. Versión mínima aceptada: Versión a partir de la cual debe utilizarse el estándar. Extensión(es): Listado de extensiones relacionado con la extensión. Todos los estándares de esta normativa se encuentran en un estado estable, es decir, en su versión final. SECCIÓN Actualización del catálogo Para lograr el óptimo mantenimiento del Catálogo de Estándares, este se actualizará anualmente y en cada actualización se realizarán las siguientes actividades: Eliminar aquellos estándares que se encuentren en uno de los siguientes estados: 25

27 º En desuso, que ya no están siendo utilizados por los organismos o soportados por sus diseñadores de origen. º Obsoletos, los cuales se utilizan en algunas aplicaciones, pero no son recomendados para implementaciones tecnológicas. Sustituir los estándares eliminados del catálogo por los actuales. Revisar el resto de estándares del catálogo, actualizando la información relativa a cada uno de ellos: categoría, nombre, tipo, versión, extensión y estado. Revisar la definición de categorías y la clasificación de los estándares, así mismo realizar los ajustes necesarios para actualizarlas en este sentido. Documentar los cambios introducidos para facilitar su localización por parte de los organismos. SECCIÓN Catálogo de estándares interoperables SEGMENTO CATEGORÍA FORMAL NOMBRE COMÚN TIPO V.M.A. EXT. Accesibilidad y seguridad Autenticación Firma electrónica XAdES XML- DSig XML Advanced Electronic Signatures XML Signature Syntax and Processing Abierto Abierto Segunda edición 2008.xml.dsig.xsig.xml.dsig.xsig.sig 26

28 Autenticación Política Firma electrónica ETSI TR ETSI TR Electronic Signatures and Infrastructures (ESI); ASN. 1 format for signature policies Abierto RFC N/A SSH Secure Shell Abierto 1.99 (SSH 2) N/A RFC 5878 N/A Accesibilidad y seguridad RFC 5746 RFC 5705 N/A N/A Cifrado TLS Transport Layer Security (TLS) Abierto RFC 5489 RFC 5487 N/A N/A RFC 5469 N/A RFC 5289 N/A RFC 5288 N/A 27

29 Accesibilidad y seguridad Codificación Codificación de caracteres Codificación Idioma Formatos de archivos Cartografía vectorial y SIG Formatos archivos Compresión de archivos Base16, Base32 y Base64 UCS UTF-8 UTF-16 RFC 4646 ISO 639 GML WFS The Base16, Base32 and Base64 Data Encodings ISO/IEC 10646:2003 Information technology Universal multiple Octet Coded Character Set ISO/IEC 10646:2003 RFC 4646 Tags for Identifying Languages ISO 639 Codes for the Represent. of Names of Languages Geographic Markup Languages Web Feature Service Abierto RFC 4648 N/A Abierto 2003 N/A Abierto 2003 N/A Abierto Abierto GZIP GNU ZIP Abierto RAR Roshal Archive RFC RFC 4646 N/A N/A Abierto 2007.gml Abierto 2010.gml RFC 1952 Prop. 1.5.gz.rar.rev.r0x ZIP ZIP RFC 1952 Abierto N/A.zip 7ZIP 7ZIP Abierto 9.0.7zip 28

30 Accesibilidad y seguridad Formatos archivos Imagen y/o texto CSV HTML CSS JPEG / JPG ODF Comma Separated Values HyperText Markup Language Cascading Style Sheets Join Photographic Experts Group Open Document Format Abierto RFC 4180 Abierto csv.txt.html.htm Abierto 2.1.css Abierto ISO/ IEC :1999, T.86 (06/98) Abierto 2.0 OOXML Open XML Abierto 2012.jpg.jpeg.odt.ods.odp.odg.docx.xlsx.pptx PDF PNG Portable Document Format Portable Network Graphics Abierto 1.4.pdf Abierto ISO/ IEC 15948, [1] IETF RFC 2083.png 29

31 Accesibilidad y seguridad Infraestruc. y conectividad Formatos archivos Imagen y/o texto Integridad Control de acceso Protocolos de comunicación e intercambio Correo electrónico SVG TIFF TSV Scalable Vector Graphics Tag Image File Format Tab separated Values Abierto 1.1.svg Abierto 2004.tiff Abierto N/A.tsv.tab TXT Texto Plano Abierto N/A.txt XHTML SHA LDAP IMAP POP3 SMTP extensible HyperText Markup Language Secure Hash Algorithms Lightweigth Directory Access Protocol Internet Message Access Protocol Post Office Protocol 3 Simple Mail Transfer Protocol Abierto 1.0 Abierto Abierto RFC 4634 RFC 3874 RFC 4510.html.htm N/A N/A N/A Abierto 4.0 N/A Abierto 3.0 N/A Abierto RFC 5321 N/A 30

32 AtomPub Atom Publishing Protocol Abierto N/A.atom pub.xml CDN Content Delivery Network Abierto N/A N/A DNS Domain Name System Abierto RFC 1035 N/A FTP File Transfer Protocol Abierto RFC 2428 N/A FTPS File Transfer Protocol Secured Abierto RFC 4217 N/A Infraestruc. y conectividad Protocolos de comunicación e intercambio Tecnologías de transporte y red FTP over SSH HTTP File Transfer Protocol over Secure Shell HyperText Transfer Protocol Abierto N/A N/A Abierto 1.1 N/A RFC 2616 RFC 2817 N/A N/A ICAP Internet Content Adaptation Protocol Abierto RFC 3238 N/A IPSec Security Architecture for the Internet Protocol Abierto RFC 2401 RFC 4302 RFC 4835 N/A N/A N/A NTP Network Time Protocol Abierto RFC 5905 N/A 31

33 Infraestruc. y conectividad Protocolos de comunicación e intercambio Tecnologías de transporte y red SFTP SSH File Transfer Protocol Abierto 2.0 N/A Autenticación Certificados OCSP Online Certificate Status Protocol Abierto RFC 2560 N/A SOAP Simple Object Access Protocol Abierto 1.1 N/A Integración de aplicaciones y servicios Protocolos de comunicación e intercambio Servicios Web UDDI WSDL WS- Security ASN.1 Universal Discovery, Description and Integration Web Services Definition Languages Web Services Security Abstract Syntax Notation One Abierto 3.0 N/A Abierto 1.1 N/A Abierto 1.1 N/A Abierto 2008 N/A Tecnologías para identificación URI URL Uniform Resource Identifier Uniform Resource Locators Abierto Abierto RFC 3986 RFC 5785 RFC 1738 N/A N/A N/A URN Uniform Resouce Names Abierto N/A N/A 32

34 Integración de aplicaciones y servicios Integración de datos Semántica Semántica Metadatos Semántica Tecnologías semánticas DCAT ISO 8601 MoReq PReMIS Data Catalog Vocabulary Data elements and interchange formats Information interchange Represent. of dates and times Model Requirements for the management of electronic records PREservation Metada: Implement. Strategies V2.1 Abierto N/A N/A Abierto N/A N/A Abierto N/A N/A Prop. N/A N/A N3 Notation 3 Abierto N/A.n3 RDF RDFa Resource Description Framework Resource Description Framework in attributes Abierto 1.0 N/A Abierto 2008 N/A 33

35 Integración de datos Tecnologías de integración de datos ATOM JSON JSON RPC ODATA RSS SQL XML Atom Syndication Format JavaScript Object Notation JavaScript Object Notation Remote Procedure Call Open Data Protocol Really Simple Syndication Structure Query Language Extensible Markup Language Abierto 1.0 Abierto RFC 7159 and ECMA 404 Abierto 1.0 Abierto 2.0 Abierto 2.0 Abierto SQL 2898 / 2011.atom.xml.json.jsonp.json.jsonp odata.xml.rss.xml.sql Abierto 1.0.xml XSD XML Schema Abierto 1.0.xsd 34

36 CAPÍTULO III INTEROPERABILIDAD ORGANIZACIONAL En este capítulo se especifican las directrices que deben seguir los organismos gubernamentales para lograr una eficiente coordinación entre los diferentes organismos que desean interoperar, y los procesos que estos manejan. Definiendo los roles con los que deben cumplir los organismos y cómo deben estos gestionar los proyectos de interoperabilidad. SECCIÓN Gestión organizacional Lograr la interoperabilidad entre sistemas de información heterogéneos es un tema central en la mayoría los organismos gubernamentales. Toda esta información transmitida y manejada, posee una amplia variedad de tipos de datos, estándares, metadatos, protocolos de esquemas de autentificación y de otros componentes, lo cual hace la información única en cada requerimiento. (a) Para lograr la interoperabilidad deben realizarse acuerdos, los cuales pueden ser intraorganizacionales o interorganizacionales, por lo que en esta normativa se han definido seis (6) tipos de acuerdos: Acuerdos técnicos: En estos acuerdos se incluyen formatos, protocolos, sistema de seguridad, así como la descripción y definición de los estándares seleccionados. Acuerdos semánticos: En estos acuerdos se incluyen los datos, metadatos e informaciones para una interpretación correcta de lo que se está intercambiando. Acuerdos organizacionales: En estos acuerdos se incluyen las Norma General sobre el Uso e Implementación de las Tecnologías de la Información y Comunicación en el Estado Dominicano 35

37 bases de las reglas de acceso y caducidad de información, servicios sobre las conexiones, autentificación, privacidad, seguridad de la información, entre otros. Acuerdos legales: Para estos acuerdos se requiere el uso de una política claramente definida, basada y sustentada en la creación, determinación de especificaciones y reglas dentro de un marco legalmente viable y flexible que permita agilizar la implementación fluida de la interoperabilidad gubernamental. Es importante que en este acuerdo se determinen las mejores prácticas con bases preferiblemente legales para mantener la privacidad de la información que se comparte, al igual de cual o cuales de los organismos participantes le compete dichas responsabilidades. Acuerdos económicos: Estos acuerdos consisten en la forma de hacer sustentable la implementación de un sistema interoperable, en el cual se incluyen acuerdos de cooperación, formas de pago, servicios con costos, entre otros. Acuerdos culturales: Estos son acuerdos intraorganizacionales, los cuales refieren a los mecanismos que se utilizarán para generar una cultura organizacional basada en el modelo de sistema de información interoperable. Estos acuerdos son un factor crítico para el éxito. SECCIÓN Roles para el área de administración de proyectos TIC (a) (b) (c) La unidad de TIC debe asignar responsabilidades individuales al personal dentro de la unidad de TIC, las cuales serán partícipes en todos los proyectos que refieran a la interoperabilidad entre sistemas de información. La gestión del departamento de TIC debe tener estructurada la unidad de administración de proyectos de TIC o bien, el organismo debe disponer de una unidad para la gestión de proyectos con un personal capacitado para administrar proyectos de TIC. El área de administración de proyectos de TIC debe tener el personal 36

38 adecuado para cumplir con las responsabilidades especificadas en la NORTIC A1:2014, sub-sección Estructura organizacional, así como con los roles establecidos a continuación para la gestión de los proyectos de interoperabilidad: (i) Líder de proyectos: Responsable de la toma de decisiones sobre la realización de los proyectos según sus prioridades, en base a necesidades, presupuesto e impacto dentro del organismo. Este rol posee la gran responsabilidad de lograr el correcto planteamiento de las soluciones a los distintos directivos de las áreas que afectan los proyectos definidos, así como también lograr la aceptación final de la máxima autoridad del organismo. a) Este rol debe ser asumido por una persona que tenga cierto grado de influencia en los departamentos principales del organismo, con destrezas y manejo gerencial con predominante capacidad administrativa y toma de decisiones. (ii) Manejador de proyectos: Es el responsable de la administración de los recursos tanto los financieros como los humanos que estén relacionados con los proyectos. Adicionalmente está a cargo de velar por la calidad, tiempos de entrega de las tareas y fases, así como también de la elaboración y entrega de toda la documentación de los proyectos en curso. a) Este rol debe ser asumido por una persona con un perfil de experiencia en manejo de proyectos y equipos de trabajo. (iii) Líder técnico: Responsable de la coordinación completa del equipo de trabajo técnico, este será el enlace entre el manejador de proyectos y el equipo de técnico que estará trabajando en el proyecto. a) Este rol debe ser asumido por una persona con un alto nivel técnico especialmente en el área de desarrollo de software y poseer conocimiento de metodologías de trabajo ágiles para este tipo de proyectos. (d) El personal técnico que trabajará en el proyecto, sea este interno o externo al organismo, debe asumir el rol de equipo técnico. 37

39 (e) Todas aquellas personas necesarias para la elaboración del documento de alcance con los requerimientos solicitados, deben asumir el rol de la parte interesada. SECCIÓN Gestión de procesos intraorganizacionales (a) (b) Todo organismo debe realizar estrategias tecnológicas para mejorar el desempeño de las actividades que estos realizan, buscando así la mejor satisfacción de sus clientes finales, sean estos ciudadanos o empresas que trabajan en conjunto con el Estado Dominicano. Estas estrategias deben ir alineadas con los siguientes objetivos principales para facilitar la interoperabilidad en el organismo: Alcanzar un nivel significativo de cultura y gobernanza de las TIC. Establecer mecanismos y procedimientos para la gestión y propagación de la interoperabilidad que impacten a los altos funcionarios del organismo o al personal de toma de decisiones. Mejorar y asegurar servicios y procesos gubernamentales claves. Fomentar la interoperabilidad de procesos y trámites de los organismos. Alcanzar un nivel 2 de madurez en la conectividad entre los organismos con los que interactúa con mayor frecuencia. Ver anexo C. Niveles de madurez de la interoperabilidad. Mejorar el acceso y cultura tecnológica de los empleados. (c) Para lograr una eficiente gestión de procesos para la interoperabilidad de forma intraorganizacional, deben seguirse los siguientes pasos: (i) Confirmar la correcta constitución de los roles mencionados en la sección Roles para el área de administración de proyectos de TIC. 38 (ii) Crear acuerdos culturales que comprometan al organismo al logro de la interoperabilidad.

40 (iii) Seguir el proceso establecido en la NORTIC A1:2014, sección 3.01 sobre planificación de proyectos de TIC, tomando en cuenta los aspectos mencionados a continuación para proyectos de interoperabilidad: a) El líder de proyectos debe presentar el o los proyectos a las instancias adecuadas según la estructura y organización del organismo. b) Luego de aprobado, el líder de proyectos debe comenzar la comunicación con el manejador de proyectos designado para que este pueda obtener la información general para la creación del acta de constitución de proyecto y comenzar a formar el perfil de los recursos necesarios para llevar a cabo el proyecto. c) El manejador de proyectos debe convocar al equipo técnico y seleccionar a uno o más miembros para realizar, junto con la parte interesada, el levantamiento de información utilizada en la elaboración del enunciado del alcance del proyecto. i) En la sección sobre requisitos y características del entregable del documento, deben incluirse aspectos claves como son: Definición de datos de entrada y datos de salida, metadatos y tecnologías necesarias para lograr la integración requerida, entre otros que el organismo considere relevantes. d) Debe estructurarse un diagrama de planificación de proyectos TIC, el cual debe contener los siguientes componentes: Escala inicial, en donde se especifique el nombre del proyecto y el código del mismo. Escala intermedia, en la cual se muestren las principales partes o componentes del proyecto. Escala inferior, en donde se establecen los paquetes de trabajo, en los cuales se especifiquen los recursos, el tiempo y las estimaciones de los costos, de cada uno de los componentes o partes del proyecto. 39

41 SECCIÓN Estos paquetes de trabajo deben ser asignados a los diferentes miembros del equipo. e) Debe elaborarse una documentación de cierre del proyecto, la cual muestre que el proyecto se completó satisfactoriamente y cumplió con las expectativas de las partes interesadas. Gestión de procesos interoganizacional (a) (b) Cada organismo que intervenga en un proceso de interoperabilidad interorganizacional debe cumplir la estructura organizativa expuesta en la sección Roles para el área de administración de proyectos de TIC. Al momento de iniciar un proyecto sobre interoperabilidad, cada organismo debe definirlo en una de las dos (2) iniciativas especificadas a continuación: Iniciativa individual: Es aquella que solo se genera en un solo organismo de forma única. Iniciativa común: Es aquella que se genera entre varios organismos basadas en necesidades similares. (c) Para la gestión de procesos de iniciativas individuales deben seguirse los siguientes pasos: (i) El organismo propietario de la iniciativa, debe cumplir con las exigencias tecnológicas realizadas por el o los organismo de interés, siempre que estos cumplan con estándares interoperables. (ii) En caso de que el organismo de interés no cumpla con estándares interoperables, ambos organismos deberán iniciar un proceso de negociación para la definición de las responsabilidades y compromisos acordados. a) El resultado de dicha negociación debe incluirse en un acuerdo legal entre los organismos involucrados. 40