ANEXO No. 2 DOCUMENTO TECNICO CONSULTORÍA FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE MISTERIO DE CULTURA

Transcripción

1 ANEXO No. 2 DOCUMENTO TECNICO CONSULTORÍA FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE MISTERIO DE CULTURA CONSULTORIA PARA EL ANÁLISIS, DISEÑO, DESARROLLO E IMPLEMENTACIÓN DEL SISTEMA DE INFORMACIÓN INTEGRADO DE SEGUIMIENTO Y EVALUACIÓN (SIISE) PARA LA RED NACIONAL DE BIBLIOTECAS PÚBLICAS DEL PAÍS OFERTA CERRADA OCC BOGOTÁ D.C., JULIO DE 2013

2 1. DESCRIPCIÓN DE LA NECESIDAD A SATISFACER 1.1. ANTECEDENTES El Plan Nacional de Lectura y de Bibliotecas, es un programa del Gobierno Nacional que se viene adelantando en todo el país desde el año 2002, bajo la coordinación del Ministerio de Cultura, a través de la Biblioteca Nacional de Colombia, mediante seis estrategias fundamentales: 1. Fortalecimiento de las bibliotecas públicas 2. Formación, promoción y fomento de lectura 3. Ampliación de los sistemas de producción y circulación de los libros 4. Información, seguimiento y evaluación de la RNBP 5. Banco de Experiencias exitosas 6. Programa de comunicación y medios La Biblioteca Nacional de Colombia identificó la necesidad de implementar un sistema de información con el fin de ofrecer información útil para orientar y focalizar las acciones y decisiones que debe adelantar el Grupo de Bibliotecas Públicas en su rol de coordinación y fortalecimiento de la Red Nacional de Bibliotecas Públicas. De acuerdo con lo anterior, se ha venido realizado un análisis de las necesidades, con el fin de implementar un sistema que permita recoger la información requerida por los procesos y actividades presentes en el Grupo de Bibliotecas Públicas y proyecto TIC. Lo anterior busca, además de incrementar la eficiencia en la operación y ejecución de los procesos, contar con información oportuna, centralizada y confiable, realizar seguimiento, evaluación y garantizar el apoyo en la toma de decisiones; así mismo ejecutar las actividades programadas en el Plan Operativo del Convenio en ejecución del Plan Nacional de Lectura y Bibliotecas. 2. DESCRIPCIÓN Y ALCANCE DEL OBJETO A CONTRATAR 2.1. DESCRIPCION El Fondo Financiero de Proyectos de Desarrollo FONADE, está interesado en contratar el análisis, diseño, desarrollo e implementación del sistema de información integrado de seguimiento y evaluación (SIISE) para la Red Nacional de Bibliotecas Públicas del País ALCANCE Las actividades del contrato a ejecutar de acuerdo con la metodología de desarrollo de software que proponga el contratista se detallan a continuación. En cualquier caso debe estar alineada con buenas prácticas de procesos del ciclo de vida del software (Software Development Life Cycle). Objetivo Actividad Entregables Seman a Anexo No. 02 OCC Página 2 de 17

3 Objetivo Actividad Entregables Seman a 1. Realizar un análisis detallado de los procesos de negocio de la RNBP, detallados en los términos de este contrato. Adelantar sesiones de trabajo para definir y elaborar una propuesta del plan de trabajo, incluyendo los posibles riesgos Identificar Requerimientos funcionales y no funcionales de los procesos definidos en estos términos, que existen en el Grupo de Bibliotecas Públicas y en el Proyecto TIC Documento con el plan de desarrollo propuesto por el contratista y aprobado por el equipo de la Biblioteca Nacional : cronograma, recursos, actividades y asignación de responsabilidades, lista de riesgos Documento de requerimientos funcionales y no funcionales en conjunto con la definición de cada uno de sus procesos 3 Elaborar una propuesta para el desarrollo Documento de propuesta Documento del plan de desarrollo que contenga al menos los siguientes componentes: Propósito del documento Estructura de la documentación Objetivos y alcances, conceptualización (destinatarios finales, documentación relacionada, convenciones utilizadas) 2. Diseñar los componentes necesarios para la ejecución y desarrollo del proyecto Elaborar el plan de desarrollo Contextualización (descripción de la aplicación, y procesos soportados por la aplicación) Descripción general (versión, idiomas compatibles, perfil del técnico de soporte, tareas realizadas por la aplicación, matriz de relación entre tareas y usuarios) 7 Mapa de navegación Pre-requisitos de hardware para el despliegue e implementación Software (sistema operativo y base de datos) Dimensionamiento del sistema de información. Anexo No. 02 OCC Página 3 de 17

4 Objetivo Actividad Entregables Elaborar la propuesta de diseño gráfico, teniendo en cuenta el manual de imagen institucional de la Biblioteca Nacional y Portal Web de la RNBP Arquitectura del sistema de información, listado de casos de uso, diagrama de contexto, modelo conceptual de los datos, modelo físico de los datos, diagrama de procesos, diagrama de despliegue, diagrama de componentes, diagrama de colaboración, diagrama de secuencias, clasificación de módulos, descripción de los componentes de cada módulo, descripción y construcción de reportes, registros de auditoría) Instalación y configuración (instrucciones, información de respaldo, soporte a usuario, tarea de soporte, problemas, tipos de problema, solución de problemas, contactos y medio de comunicación para soporte técnico, características de operación, guía de mensajes y códigos de error, controles de acceso al sistema, ayuda en línea, glosario) Diseño del modelo de datos Diseño de acuerdos de integración Diseño de componentes transversales Diseño de los módulos a implementar Documento que contenga al menos los siguientes componentes: Presentación de bocetos de diseño gráfico, mapa de navegación, estudio de wireframes [1], interfaz del usuario, componentes multimedia, parametrización de elementos de diseño. Prototipo funcional de wireframes en operación Seman a 3. Construir el sistema de información 4. Desarrollar y ejecutar un plan de pruebas y evaluación para cada uno de los componentes. Construcción de los módulos Plan de desarrollo refinado (componentes de integración, conectores, modelo de datos, iteraciones, entre otros) 15 Refinamiento del modelo de datos Desarrollar componentes para la Módulos desarrollados e implementados integración Elaborar el plan de pruebas (Set, casos de pruebas y población) Configurar ambiente de pruebas Realizar las pruebas operativas, técnicas y funcionales Estrategias y plan de pruebas firmados por el comité operativo dando el visto bueno. El plan de pruebas debe estar dirigido a los funcionarios y contratistas del Grupo de Bibliotecas Públicas, el equipo del Proyecto TIC y bibliotecarios. 18 Anexo No. 02 OCC Página 4 de 17

5 Objetivo Actividad Entregables Documentar incidencias Documento de incidencias con los errores encontrados para realizar los ajustes pertinentes. Documento con el resultado y evaluación de las pruebas ejecutadas y firmadas. Módulos con correcciones, desarrollados e implementados Seman a 5. Detallar actividades suplementarias Ejecutar pruebas de verificación de corrección de incidencias Preparar Ambiente productivo Desplegar el Sistema de Información Capacitación a usuarios administradores y al Comité operativo Entrega final Acta de corrección de incidencias Acta de aceptación final aprobada parte de la Biblioteca Nacional por Manual de requerimientos técnicos para el despliegue Acta del despliegue final aprobada por parte de la biblioteca nacional Manual de usuario final Manual de usuario técnico Acta de aceptación firmada por los usuarios capacitados (funcionarios y contratistas del Grupo de Bibliotecas, el equipo del Proyecto TIC y bibliotecarios) Código fuente con su respectiva documentación en medio magnético Informe final de entrega que incluye certificado de garantía expedida por el contratista 20 Desarrollar e implementar un plan soporte técnico Realizar seguimiento, soporte técnico y mantenimiento en la etapa de estabilización Plan de soporte técnico y mantenimiento elaborado y aprobado Población Objetivo Los usuarios del sistema son: Funcionarios y contratistas GBP y Proyecto TIC Bibliotecarios o encargados de las bibliotecas adscritas a la RNBP Coordinadores departamentales Promotores regionales y tutores Departamentales Entes gubernamentales (Alcaldes, Gobernadores, Ministerio de cultura) Componentes Transversales El sistema de información, debe contar con los siguientes componentes transversales: Seguridad Componentes Administración de roles, perfiles y permisos de usuarios por servicio y Descripción general Administra la asignación de roles y perfiles a los usuarios registrados en el sistema de información Anexo No. 02 OCC Página 5 de 17

6 operación (Consulta, Edición, o control) Log de eventos y auditoría Configuración de accesos Administración de contraseñas Administración de copias de seguridad Administra el registro de cada uno de los eventos o acciones realizadas por los usuarios Administra la asignación de módulos y accesos a los perfiles de usuario del sistema articulado con el portal web o por medio de un sistema Single Sign On teniendo en cuenta la autenticación basada en claims(funcionalidades habituales de autenticación y autorización en una aplicación, centralizando todo el proceso en servicios externos a la propia aplicación) Gestiona el proceso de asignación de contraseñas a los usuarios Administra el proceso de copias de seguridad (periodicidad de los respaldos) y ejecuta tareas programadas Estadísticas, indicadores y reportes Componentes Administración de reportes Administración de indicadores Generación de estadísticas e informes Descripción general Administra los reportes (configuración, creación, asignación de usuario, otros) a visualizar por parte de los usuarios. Administrar los indicadores de cada uno de los procesos del Grupo de Bibliotecas Públicas y del Proyecto TIC, relacionados en este documento Genera las estadísticas e informes que se requieren en la RNBP y el Proyecto TIC Alertas y notificaciones Componentes Administración de alertas y notificaciones Descripción general Administra las alertas informativas correspondientes a cada uno de los procesos relacionados en este documento Módulos del sistema (Procesos de Negocio) El sistema debe contener los siguientes módulos: Módulo de Administración: Este módulo Gestiona la administración del sistema de información. Componentes Administración de las tablas de datos maestras del modelo de datos Administración de la configuración técnica del sistema Carga de archivos (.pdf,.jpg,.xls,.xlsx,.docx,.doc,.csv, XML) Administración de formularios de captura de información Descripción general Administra la información de los datos contenidos en las tablas maestras del sistema (Departamentos, Municipios, Centros poblados, Bibliotecas, tipos, entre otros). Configuración Dinámica interna y parametrizable del sistema de información (entidades, campos con su respectivo tipo, creación de formularios, parametrización de formatos para la carga de archivos). Capacidad de realizar procesos de importación y exportación de datos para cada uno de los módulos de proceso. Las estructuras que se generen deben ser interpretadas por el sistema con el fin de adaptarse y almacenar la información (Estructuras dinámicas). Gestiona el proceso de configuración de los formatos de captura de información: FUR (Formulario Único de Registro) FUE (Formulario Único de Estadísticas) FCT (Formulario de caracterización tecnológica) La estructura técnica de los formulación debe ser dinámica con el fin de que a futuro nos permita crear nuevos formulación Módulo de procesos: Este módulo contiene los procesos de negocio, que serán implementados. Anexo No. 02 OCC Página 6 de 17

7 Inicio Dotación Formación Módulos Formulario único de registro - FUR Formulario de caracterización tecnológica - FCT Formulario único de estadísticas-fue Descripción general Menú principal, espacio para notificaciones. Administra el proceso de dotación y legalización de material bibliográfico, audiovisual y tecnológico de las bibliotecas públicas registradas en la RNBP, ver anexo prototipo 11.1 Administra el conjunto de estrategias impulsadas y desarrolladas por el Ministerio de Cultura y la Biblioteca Nacional orientadas a mejorar permanente los conocimientos y habilidades del personal bibliotecario vinculado a las bibliotecas públicas adscritas a la Red Nacional de Bibliotecas Públicas, ver anexo prototipo 11.2 Corresponde al formulario de registro de las bibliotecas en la RNBP, mediante el cual se realiza su caracterización, ver anexo prototipo 11.3 Corresponde al formulario de diagnóstico de las condiciones físicas y tecnológicas de las bibliotecas, ver anexo prototipo 11.4 Corresponde al formulario de registro de estadísticas de las bibliotecas adscritas a la RNBP, ver anexo prototipo 11.5 Definición Técnica Se sugieren las siguientes condiciones técnicas mínimas para el sistema de información: Plataforma tecnológica Tecnología Descripción general Base de Datos Motor de base de datos SQL SERVER 2012 Plataforma tecnológica Microsoft visual Studio 2012 y NET Framework 4.5 Lenguaje Programación Servidor Web de ASP.NET AJAX Control Toolkit RadControls for ASP.NET AJAX ORM (Object-relational mapping) Web services Plataforma Arquitectura de Software Exploradores C#.Net IIS 7 o superior Current: Ultimo Release Status: Estable Versión Microsoft Visual Studio 2013 LINQ (Language Integrated Query) Estándares SOAP,WDSL,REST Windows Arquitectura definida por el ministerio de cultura, ver numeral Arquitectura empresarial plataforma.net. Compatible con Explorer 8 o superior, Chrome, Opera, Firefox, Safari en versiones vigentes, bajo estándar HTML5 y CSS3. Aspectos generales A continuación se describen los aspectos generales de los componentes a tener en cuenta en cada una de las etapas del desarrollo e implantación del proyecto de la RNBP: Componente Hosting Descripción general Debe ser provisto por el contratista durante el desarrollo del proyecto. Una vez se realice del despliegue y entrega final éste será provisto por la Biblioteca Nacional. Anexo No. 02 OCC Página 7 de 17

8 Sesiones Versión Mobile Múltiples sesiones, el número se determina en el transcurso de las necesidades (parametrizable) Acceso a través de dispositivos móviles. Durante el diseño debe tenerse en cuenta el estándar de Responsive Web Design Accesibilidad Estándares de accesibilidad NTC 5854 Especificaciones GEL Usabilidad Interactividad Diseño Gráfico Ambiente pruebas Dominio e de Especificaciones del Ministerio de TIC relacionadas con Gobierno En Línea para el desarrollo de Portales contenidas en la última versión del manual de usabilidad del gobierno en línea. Usabilidad (Wireframe) e interfaz gráfica de usuario óptima para tener buena experiencia de navegación. Estándares de usabilidad de gobierno en línea. Los elementos no deben estar encapsulados en objetos flash porque esto limita su operatividad y buena administración. Todos los elementos del diseño se deben poder administrar. Se deben tener en cuenta los lineamientos establecidos por la Biblioteca Nacional y las buenas prácticas de Responsive Web Design, HTML5 y CSS3. Provisto por el contratista Provisto por la Biblioteca Nacional Metodología Determinada en conjunto con el comité operativo y contratista. Se sugiere RUP, SCRUM o hibrida. Interoperabilidad Estándares definidos por Gobierno en Línea (GEL), última versión de Gel-XML lenguaje estándar de intercambio de información URL Sistema de URLs rewrite nativo o Personalización y modificación de las URL amigables en cada sección o página del sitio web y sistema de información Seguridad Sistema de autenticación que garantice que los accesos, usuarios y contraseñas no se vulneren, ni se den accesos a través de enlaces diferentes al portal principal. Protocolo para encriptación de datos. Medidas de seguridad pertinentes para aplicaciones web y evitar cualquier riesgo que posibilite ataques XSS, SQL injection o similares que puedan llegar a permitir a un usuario anónimo tomar control del sistema de información. Rendimiento del sistema Confidencialidad Pruebas especializadas de seguridad, ver numeral Requerimientos mínimos de seguridad Pruebas de concurrencia, usabilidad y seguridad. El contratista debe garantizar la confidencialidad de toda la información suministrada. Copias seguridad de Implementar un sistema de respaldos de información del sistema de información. La periodicidad de las copias debe ser diaria, desde el despliegue y hasta el vencimiento del soporte técnico de este contrato. Interoperabilidad y comunicación entre los componentes Se debe garantizar la interoperabilidad y comunicación entre el sistema integrado de información de seguimiento y evaluación SIISE, Portal Web de la RNBP y fuentes externas de datos, por lo tanto es necesario crear un acuerdo de integración que contemple los siguientes aspectos: Origen Destino Componente Salidas interoperabilidad Fuente de datos SIISE - Portal web FUR FTC Directorio nacional de bibliotecas públicas Directorio de bibliotecas adscritas a la RNBP Directorio de redes de bibliotecas públicas Acuerdo de Caracterización (web Service) Anexo No. 02 OCC Página 8 de 17

9 Origen Destino Componente Salidas interoperabilidad departamentales Directorio de redes de bibliotecas públicas distritales Directorio de redes de bibliotecas públicas municipales Directorio de bibliotecas patrimoniales Directorio de bibliotecas públicas proyecto uso y apropiación TIC Ficha de información general de la bibliotecas Directorio Proyecto TIC Condiciones de infraestructura física y tecnológica de las bibliotecas FUE PNLB en cifras Estadísticas de la RNBP Informes en general Reporte de línea de base Proyecto TIC Transversal de seguridad - SIISE - Portal web Indicadores Proyecto TIC Autenticación única por usuario, para cada uno de estos destinos Single Sign-On - Portal BN - Moodle Nota: La definición y especificación del acuerdo de integración se trabajará de manera conjunta entre la empresa contratista y el equipo de la Biblioteca Nacional Capacitación, garantía y soporte técnico La capacitación sobre los usos y funcionalidades del sistema de información, se debe realizar al Grupo de Bibliotecas Públicas y al equipo del Proyecto TIC y responsable de la administración del sistema. Estas capacitaciones se deben realizar antes de la puesta en marcha del proyecto. Capacitación de tipo funcional, máximo a 50 usuarios. Capacitación de tipo técnica y administrativa, máximo a 10 usuarios. La capacitación será dada en la sede de la Biblioteca Nacional de Colombia Calle 24 No El responsable de la logística de la capacitación, estas estarán a cargo de una persona de la Biblioteca Nacional, una vez adjudicado el proceso de selección, se realizará la respectiva notificación. La garantía y soporte técnico debe cubrir mínimo un (1) año después del despliegue final del sistema de información. Las actividades mínimas requeridas a ejecutar durante el periodo de garantía, corresponden a la corrección de errores que genere el sistema derivados del Anexo No. 02 OCC Página 9 de 17

10 mal funcionamiento de las funcionalidades implementadas en relación a los requerimientos definidos en las reglas de participación. Se aclara, que la garantía cubre defectos o errores, lo que significa que no incluye el desarrollo de nuevas funcionalidades. El soporte técnico debe darse de lunes a viernes de 8:00 a.m. a 6:00 p.m. para los funcionarios y / contratistas del GBP y el Proyecto TIC a través de los siguientes canales de comunicación: presencial, telefónico o chat y debe contar con algún sistema de tickets. Este servicio debe cubrir las detecciones de riesgos a la seguridad y los problemas funcionales u operativos del sistema de información Instalaciones, servicios, y recursos a ser provistos por la entidad contratante Los documentos disponibles para el contratista una vez haya sido seleccionado son: 1. Información de los procesos ejecutados por el GBP. 2. Instrumentos de medición del Grupo de Bibliotecas Públicas y el Proyecto TIC (variables, formatos, reportes, entre otros). 3. Diseño y manual de la arquitectura de software del ministerio de cultura para la implementación del sistema (línea de base). 4. Modelo inicial de datos. 5. Estructura del manual técnico como guía documental del proyecto. 6. Lineamientos de interoperabilidad y accesibilidad de gobierno en línea GEL, última versión. 7. Manual de imagen institucional de la Biblioteca Nacional de Colombia. 8. Otros que se consideren pertinentes en el transcurso del desarrollo del contrato Transferencia de conocimiento La empresa desarrolladora deberá trasferir al equipo del proyecto el conocimiento de valor que se considere pertinente para el adecuado desempeño del proyecto actual y a futuro. La transferencia de conocimiento se centra en una sesión de preguntas y respuestas entre el personal de la Biblioteca y el contratista, con el fin de compartir aspectos de índole técnico sobre el proyecto Informes A continuación se hace referencia a los informes a presentar por parte del contratista: Informes de avance Actas de Reuniones Informe de Entregables Se debe presentar un informe semanal con las acciones realizadas y por realizar. Se debe elaborar un acta de reunión que deberá ser enviada al proyecto al siguiente día de cada reunión. Por cada uno de los entregables de la sección Entregables y alcances de este documento, se debe realizar un informe que soporte su entrega Gestión y administración Con el fin de realizar el acompañamiento y seguimiento durante el proceso de diseño, desarrollo e implementación del sistema de información, se creó un Comité Operativo de la Biblioteca Nacional, encargado de dar visto bueno a los entregables recibidos. El Comité estará compuesto por: Anexo No. 02 OCC Página 10 de 17

11 Coordinador Grupo de Bibliotecas Públicas o quién haga sus veces Coordinador de sistemas de información Grupo de Bibliotecas Públicas BN o quién haga sus veces Coordinador Sistemas Biblioteca Nacional o quién haga sus veces Coordinador tecnología Proyecto TIC o quién haga sus veces Coordinador sistemas Ministerio de Cultura o quién haga sus veces Cualquier adecuación, cambio, actualización y mejora técnica sobre cualquier componente que influya directamente en los servicios, funcionamiento o desarrollo del sistema, debe ser aprobado por el comité operativo. Los canales de responsabilidad y comunicación entre los contratistas y el equipo del proyecto son: Arquitectura empresarial plataforma.net Arquitectura Lógica La solución deberá ser construida usando el Framework 4.5 de.net, bajo la arquitectura tanto lógica como física implementada por el Ministerio de Cultura. El lenguaje de programación deberá ser C#. La implementación de tecnologías, ensamblados y/o API s de terceros deberá ser aprobada por el Ministerio de Cultura. Deberán usarse los siguientes estilos arquitecturales: N-Layered Client/Server Components Based Domain Driven Design Object Oriented La solución deberá ser particionada en N-Capas Anexo No. 02 OCC Página 11 de 17

12 Cada capa deberá poseer un diseño cohesivo Se deberán aplicar patrones estándar de arquitectura para que la dependencia en las capas este basada en abstracciones y no dependiendo una capa directamente de la otra. La solución deberá contener las siguientes capas: Capa de Presentación: Responsable de mostrar información al usuario e interpretar sus acciones. Capa de Servicios Distribuidos: Proporciona un medio de acceso remoto basado en canales de comunicación y mensajes de datos, debe ser lo más ligera posible y no incluye lógica de negocio. Capa de Aplicación: Define los trabajos que la aplicación como tal debe realizar y re-dirige a los objetos del dominio que son los que realmente deben resolver los problemas. Es una capa delegada. No tiene lógica de negocio, contiene estados que reflejan el progreso de una tarea de la aplicación a ser mostrada al usuario. Capa de Dominio: Responsable de representar conceptos del negocio, información sobre la situación de los procesos de negocio e implementación de las reglas de dominio. También contiene los estados que reflejan la situación de los procesos de negocio, aun cuando los detalles técnicos de persistencia se delegan a las capas de infraestructura. Capa de Infraestructura de Acceso a Datos: Proporciona la capacidad de persistir datos así como acceder a los mismos. Capa de Infraestructura transversal: Proporciona capacidades técnicas genéricas que dan soporte a capas superiores. La solución deberá superar las pruebas de vulnerabilidad e intrusión TOP 10 de OWASP Se debe implementar WS-* Security Toda la estructura de la arquitectura de la solución debe estar desacoplada con base en el principio de inversión de dependencias y contenedores DI. El Ministerio de Cultura proveerá el marco de referencia que soporta la implementación de la arquitectura definida (Estructura de directorios para la solución y distribución de proyectos) El Ministerio de Cultura realizará auditoria y validación técnica, de seguridad y de las mejores prácticas en el desarrollo e implementación de software. Dependiendo del tipo de sistema pueden hacerse opcionales algunos de los requerimientos establecidos en este documento, pero esto sólo si es aprobado por Anexo No. 02 OCC Página 12 de 17

13 el ministerio de cultura. Así mismo pueden requerirse otros requerimientos de arquitectura aquí no establecidos. Arquitectura Física Despliegue en N-Niveles Anexo No. 02 OCC Página 13 de 17

14 Patrones de diseño A continuación se detallan los patrones de diseño por capa: Infraestructura Factory Repository Unit of Work Data Concurrency Control Identity Map Lazy Loading Query Object Layer Supertype Data Mapper Dependency Injection and IoC Service Agent Dual Access Dominio Especification Layer Supertype Domain Model Strategy Decorator Aplicación Layer Supertype Facade Transaction Script Dependency Injection and IoC Tecnologías Servicios Distribuidos Facade Document Message Request-Response Data Transfer Object Dependency Injection and IoC Presentación Layer Supertype Proxy Template Method Service Agent Service Locator Model-View-Presenter Ajax Dependency Injection and IoC La solución debe ser desarrollada usando C# en.net Framework 4.5, a continuación se detallan las tecnologías por capas: Anexo No. 02 OCC Página 14 de 17

15 Infraestructura Microsoft Enterprise Library 5.0 Entity framework 5.0 SQL Server 2012 (.Net Objects) SSRS 2012 SSIS 2012 Dominio Aplicación Servicios Distribuidos WWF WCF Windows Server AppFabric Presentación Jquery/Utilidades (última versión) Ajax Xhtml strict CSS Requerimientos Mínimos de Seguridad en Aplicaciones Requerimientos técnicos: Seguridad de Plataforma: Optimización y hardening de componentes: Para el desarrollo de los sistemas de información cualquiera que este sea se requiere que el proveedor presente las guías que considera necesarias en el proceso de hardening o aseguramiento de servidores, y/o servicios a instalar, si ser los únicos casos: Aseguramiento de bases de datos Aseguramiento de servicios Web, si son requeridos Aseguramiento de servidores de aplicaciones Aseguramiento de Sistemas Operacionales En el debido caso que no se requiera ninguna guía o no la posee, el proveedor debe garantizar que ninguna de las reglas de hardening de la organización deban ser cambiadas, refiriéndose exactamente a: Cambio en los privilegios de acceso Cambio en los privilegios de usuario Cambio en las configuraciones existentes de servicios, o servidores Cambio en las configuraciones de seguridad de los elementos de control de la organización. Pruebas de Intrusión: Es necesario que se realicen una vez entregada la aplicación pruebas de intrusión del mismo software por parte de quien recibe el sistema de información de tal manera que se garantice el cumplimiento de los requerimientos de seguridad, en caso de encontrar fallas de seguridad el proveedor debe garantizar que estas sean corregidas y realizar una reprueba para la misma, mientras sea el proceso de entrega por parte del proveedor. Anexo No. 02 OCC Página 15 de 17

16 Seguridad de Aplicaciones Validación de los datos de entrada y salida: Se debe verificar que los datos son los apropiados y con los formatos que se esperan en pro de evitar posibles ataques de inyección o código malicioso. Para todas las situaciones de entrada y salida de datos se debe realizar los procesos de validación Diseño simple: Los mecanismos de seguridad de la aplicación debe ser lo más simple y sencillo posible, de tal forma que la facilidad para el usuario final no se pierda. La probabilidad de que los pasos para proteger una aplicación compleja no se cumplan es muy alta. Utilización de mecanismos de cifrado de datos: Es muy importante la utilización de SSL o TLS al interior de la aplicación teniendo en cuenta que esta solo garantiza la protección a través del cifrado de los datos entre el servidor y el cliente, pero se debe tener presente que no garantiza la seguridad de la aplicación. Verificación de privilegios: Es importante que el sistema sea diseñado con la menor cantidad de privilegios posibles. Ofrecer la mínima información: Es indispensable y de carácter obligatorio que en caso de un error o una validación negativa, la aplicación responda ofreciendo la menor cantidad posible de información. Documentación de Información: La aplicación debe tener de manera clara la documentación del software todos sus componentes, así mismo la documentación de las configuraciones necesarias en todo el proceso requerido para su funcionamiento. Usuarios: Es importante que se realice de manera adecuada la autenticación del usuario teniendo en cuenta, un esquema de autenticación basado en la definición del modelo de roles y perfiles. Definiendo que: Rol: El Rol es el nombre que se le confiere al conjunto de perfiles que le son asignados al usuario para el ejercicio de sus funciones. Perfil: Es la descripción detallada de las posibles transacciones que puede realizar un usuario en el sistema. Usuario: Persona que interactúa con el sistema. Por lo tanto un usuario definido para el sistema debe tener definido un rol dentro del mismo que tiene un perfil asociado con el cual puede realizar las operaciones del sistema. Es importante en este modelo garantizar. El cifrado de la contraseña, para las siguientes situaciones Almacenamiento en Base de Datos Viaje a través de la red, para integrarse con otros sistemas de autenticación. Soporte de esquemas fuertes de contraseña, que contemple caracteres especiales ascii. Cuidado al momento del manejo de sesiones para evitar ataques de hombre en el medio, en el caso del manejo de sesiones se deben autenticar las sesiones a ser utilizadas para las operaciones, y consideraciones en el manejo de los tiempos de vida de las sesiones. El desarrollo de aplicaciones con autenticación de los usuarios debe evitar los procesos de recordar contraseñas en los browser, en caso de utilizarse. Anexo No. 02 OCC Página 16 de 17

17 Auditoria y registro: Es importante que se registren las actividades de la aplicación a desarrollar, diferente de los eventos registrados a través de la infraestructura implementada para la operación del sistema de información sin ser los únicos (logs de sistema operacional, bases de datos, servidores de aplicaciones, servidores de bases de datos, y demás componentes de la infraestructura tecnológica) para ello es indispensable que se registre. Tiempo en el que un evento se presenta. Quien realiza la acción. Descripción de la actividad realizada. Interfaces de Administración: Deben estar totalmente segregadas de las funciones de usuario final, los usuarios convencionales no deben utilizar de ninguna forma dicha interfaz, es indispensable que se provee del suficiente nivel de auditoría, de igual manera si un usuario está asociado a un perfil, este no debe poder ejecutar actividades de otro perfil, a menos que sea autorizado. Cuentas por defecto: Para ningún caso, sea en las interfaces de administración y las bases de datos se pueden dejar habilitados y/o configurados cuentas por defecto, y por ninguna circunstancia debe realizarse conexiones a la base de datos con usuario administrador. Longitud de contraseñas: En caso de ser necesarias, estas deberán tener una longitud mínima de seis caracteres y deben validar la utilización y combinación de letras y números para la creación de contraseñas. No se deben permitir por ninguna razón password en blanco o con menos de la cantidad especificada, de igual manera la contraseña no debe ser igual a los nombres o apellidos de la persona que realiza el ingreso. Autenticación: Es importante que la el proceso de ingreso a la aplicación a través de un sistema de credenciales valide el número de intentos ejecutados para tal fin de tal manera que al momento de más de tres ingresos debe bloquear al usuario y registrar en los sistemas de logs de la aplicación dicha operación, igualmente realizar la destrucción total de la sesión utilizada para tal fin. Tiempos de Vida: Es importante validar y determinar los tiempos de inactividad dentro del sistema, prudente un tiempo máximo de 15 minutos dentro del mismo, después de este tiempo de inactividad debe destruirse la sesión y realizar el proceso de logoff del sistema. Anexo No. 02 OCC Página 17 de 17