Servicios Web Ministerio del Interior N10
Introducción Propósito. Definir e indicar a los usuarios, los requerimientos y buenas prácticas para la implementación de los servicios y tecnologías utilizadas para la transmisión de contenidos Web a través de redes computacionales del Ministerio del Interior, minimizando la exposición de pérdida de información, daño a los recursos disponibles, como también problemas jurídicos tanto nacionales como internacionales. Alcance Las políticas mencionadas en el presente documento aplican a todos los empleados, proveedores, contratistas, personal que esté vinculado con las firmas que presten servicios al Ministerio o que estén relacionados. Se incluye además, todas las dependencias que son parte de la institución o que transite por la red del Ministerio. Donde encontrar la información Se mantendrá actualizada la información dentro de la página http://www.intranet.gov.cl/politicas del Ministerio del Interior, las normas de uso y políticas de seguridad establecidas en el presente documento. DEPENDENCIA DE LA DOCUMENTACIÓN CODIGO P00 N09 A03 A04 NOMBRE Normas y Política del Ministerio del Interior sobre seguridad y uso de los sistemas de tratamiento de información, de las redes y del correo electrónico Instalación legal de software Control de cambios Paso a producción
Norma de implementación de servicios Web Los sitios Web son el resultado de la implementación de tecnologías de transmisión de contenidos y redes computacionales, que en conjunto permiten tanto a funcionarios como ciudadanos acceder a la información que ha sido publicada para ese efecto. Para lograr un buen funcionamiento de acuerdo al estándar de la División Informática del Ministerio del Interior, es necesaria que la implementación sea realizada utilizando: Tecnologías conocidas y probadas Que cumplan las reglas/estándares utilizados por la institución e internacionales La utilización de los estándares en este tipo de servicios, permite el intercambio de información, posibilitando ofrecer nuevos contenidos y funcionalidades utilizando diferentes plataformas/tecnologías computacionales. Utilización de dominios 1 GOB.CL Y GOV.CL De acuerdo a la normativa vigente, los órganos de la Administración del Estado de Chile se encuentran obligados a registrar sus dominios utilizando las extensiones gob.cl y gov.cl en sus respectivas URL s, siendo los dominios.cl optativos. La identificación del dominio debe estar relacionada con el contenido ofrecido, facilitando la identificación de los sitios gubernamentales y su contenido. Utilización ícono de identificación 2 La institución deberá incluir el ícono (favicon.ico) dentro del sitio Web, lo que permitirá en el explorador identificar que es una página del Gobierno de Chile Existe la instancia en la cual se puede obtener la autorización del Ministerio Secretaría General de Gobierno para utilizar elementos alternativos, lo que se describe en el Artículo 3 de DS N 100/2006 Contenido del sitio Web 3 El contenido ofrecido en los sitios Web debe ser desarrollado orientado a dar facilidad al usuario, a encontrar la información de manera simple, rápida y eficiente, por lo que se debe adoptar lo siguiente: Contenido de utilidad: El sitio web deberá ser útil desde la perspectiva del usuario final. Acceso: El contenido debe equilibrar el tamaño y la calidad del contenido, con el objeto de asegurar un buen tiempo de despliegue. 1 D.S. N 100/2006 Artículo 3 2 D.S. N 100/2006 Artículo 3 3 D.S. N 100/2006 Artículo 4
Desarrollo de sitios utilizando estándar 4 Para el desarrollo de los sitios Web, se deberá utilizar estándares HTML/XML en el despliegue del sitio, debiendo cumplir con los estándares HTML 4.01 o XHTML 1.0, validando su contenido ante W3C 5 Información de la plataforma Web Infraestructura 6 El Ministerio del Interior cuenta con una infraestructura segura, de alta disponibilidad, tolerante a fallos, de alto rendimiento, la cual se compone de: Dos granjas de servidores Web Un servidor Web seguro para formularios y aplicaciones Gobierno-Ciudadano Arquitectura Las principales características de la arquitectura utilizada para los servicios Web del Ministerio del Interior son: Soporte HTML (W3C) Tolerante a fallos Alto rendimiento Optimizada para la entrega de servicios comprimidos y sin comprimir Optimizada para la transmisión de videos Seguridad (Logs de sistemas, protocolos de paso a producción, auditorías, otros) Monitoreo de servicios y actividad 7 El Ministerio del Interior cuenta con el servicio de monitoreo de servicios para su plataforma informática. Este sistema de monitoreo se aplica a la plataforma de contenidos (CMS) y los sistemas expuestos a Internet (Frontend). Se establece la obligación del encargado del sitio Web el monitorizar de forma regular la actividad del sitio con el objetivo de obtener información tanto del acceso de contenido como de errores del sitio. Se podrá solicitar la información a sistemas@interior.gov.cl, indicando el nombre del sitio Web y la fecha requerida. Administración y mantención de la plataforma La mantención de los sistemas expuestos a internet (Frontend) se realiza de forma secuencial y programada para cada uno de los servidores que lo compone. La mantención de la plataforma de contenidos (CMS) se coordina y programa con cada uno de los encargados. 4 D.S. 100/2006 Artículo 5 5 World Wide Web consortium (http://www.w3.org) 6 El Ministerio del Interior no delega la administración de sus plataformas a ninguna institución externa 7 D.S. 100/2006 Artículo 6
Sincronización de contenidos Los administradores de contenidos (CMS) son alojados en servidores internos del Ministerio del Interior, por lo que el contenido final expuesto a internet (Frontend) deberá contar con las especificaciones antes descritas. El CMS deberá generar el sitio en HTML como producto final El CMS deberá contar con un sistema de sincronización del sitio Web (Frontend) para ser utilizado en la granja de servidores Para las aplicaciones internas deberá ser considerado lo siguiente: Desarrollo en lenguaje PHP Base de datos Mysql, Postgresql Utilizar solo piezas de software incluidas en distribuciones Linux Redhat 4 o superior Condiciones de seguridad La configuración de los servicios PHP deberá considerar lo siguiente: 1. register_globals = Off 2. allow_url_fopen = Off 3. display_errors = Off 4. error_reporting = E_CORE_ERROR 5. log_errors = On 6. memory_limit = 8M El contenido del sitio Web en ningún caso deberá exponer las bases de datos a Internet. El acceso al administrador de contenidos (CMS) deberá ser seguro y contar con métodos de autentificación Deberá contar con una política de respaldo que cuente con un ciclo de vida y retención El acceso al administrador de contenido será a través de la Intranet del Ministerio del Interior. En el caso de requerir accesos extranet deberá solicitar la creación de una VPN Aplicaciones Gobierno Ciudadano Para alojar aplicaciones Gobierno Ciudadano, se ha dispuesto de un servidor que cuenta con configuraciones de protocolo seguro de comunicación (https) y base de datos Mysql. Los requerimientos de hosting de este tipo de aplicaciones se deben considerar: Código PHP optimizado y seguro Deberá funcionar bajo la url o https://sgca.interior.gov.cl/nombre-aplicación Base de datos con diseño optimizado Al menos las condiciones de seguridad anteriormente descritas respecto los registros globales de configuración
Tamaño de las páginas El tamaño de los sitios web desarrollados, deberá tener un peso razonable (kilobytes), que no impidan una correcta visualización al usuario final. Las normas internacionales indican lo siguiente respecto la visualización de contenido: 5 segundos para que aparezca algo visible en la pantalla 10 segundos para que aparezca algo legible en la pantalla 30 segundos hasta hacer un clic hacia otra parte del sitio o hacia otro sitio
Codificación de caracteres 8 Para la codificación de caracteres utilizados en las aplicaciones Web deberá ser, preferentemente, UTF-8 (8-bit Unicode Transformation Format), por lo que: Toda página Web desarrollada deberá incluir: <meta http-equiv="content-type" content="text/html; charset=utf-8" /> Para la interoperabilidad 9 de los documentos electrónicos generados en los órganos de la Administración Pública, se deberá utilizar XML con caracteres codificados en UTF-8 Normas gráficas y multimediales Para el contenido multimedia, se deberá considerar lo siguiente: Optimización de imágenes: Se debe bajar al máximo posible el peso de las imágenes; cuando esto no sea posible por su tamaño, se deberá reducir el número de colores disponibles y la resolución (72 dpi) Formato: Ante un mismo tamaño de imagen, el peso varía dependiendo de si son procesadas para desplegarse en formato GIF respecto del formato JPG. Normalmente una imagen con colores planos (como un icono) tendrá un peso menor si se guarda en GIF respecto de si es guardada en JPG. Lo contrario ocurrirá con una imagen con muchos colores diversos (como una foto). Se recomienda probar ambos formatos para determinar el óptimo. Ubicación de almacenamiento de imágenes: Se recomienda usar un solo directorio para almacenar las imágenes, tales como los iconos y otros elementos gráficos que son utilizados en diferentes páginas del sitio. Al ubicarlos en un directorio único se optimiza la utilización de la función de caché del programa, mejorando el rendimiento en el acceso y visualización de los sitios Web. Para efectos de seguridad, se recomienda impedir que un programa visualizador pueda ver el contenido de dicho directorio o cualquier otro dentro del sitio. Atributo ALT en imágenes: En el código HTML se debe usar el atributo ALT (texto alterno) en las imágenes para que éste se despliegue antes que las imágenes lo que facilitará la comprensión del contenido a los usuarios. Imágenes con alto y ancho: las imágenes (dibujos, fotos, iconos, botones) deben tener tamaño para el ancho y el alto, para que el programa visualizador pueda dejar reservado el espacio para dicho contenido antes de que se realice su despliegue visual. Plug-ins: Se recomienda incluir en el sitio Web los enlaces que permitan la descarga de archivos multimedia que lo requieran. Indicar el tamaño de los archivos: Cuando se ofrecen elementos gráficos o audiovisuales para descargar (especialmente en Video, Audio, Flash u otros), se recomienda indicar el peso de los mismos, con el objeto de ofrecerle información útil para efectuar la operación. No utilizar material que vulnere la ley de propiedad intelectual. 8 D.S. N 100/2006 Artículo 8 9 D.S N 81/2004
Páginas de error estándar Para mejorar la comprensión y resolución de los problemas en los sitios Web, se deberá incluir al menos: Identificación del Sitio Web a través de un logotipo y nombre. Sistema de navegación en el Sitio: menú, botones, etc. Título que explique el sentido de la página. Pequeño párrafo describiendo el error (no más de dos líneas). Buscador interno del Sitio Web para ayudar a encontrar lo que buscaba cuando apareció el error. Mapa del Sitio Web para ubicar al usuario respecto del contenido existente. Protocolo para el paso a producción y control de cambios Para el paso a producción o cambios que sean requeridos realizar en el sistema Web y CMS, se deberán utilizar los formularios A03 Control de cambios, A04 Paso a producción, identificando: Nombre del proyecto Descripción del cambio Definir los materiales requeridos y entregados para el funcionamiento del sistema Impacto de los cambios y alternativas Revisiones y autorizaciones
Aplicación de la política de seguridad de la información La infracción a las obligaciones establecidas en las políticas de seguridad de la información, podrá constituir una violación al principio de probidad administrativa, y será sancionada en conformidad a lo dispuesto en la Ley Nº 18.834, sobre Estatuto Administrativo. Lo anterior es sin perjuicio de la responsabilidad civil o penal que corresponda. La División Informática del Ministerio del Interior, revisará y aprobará las aplicaciones que sean solicitadas para el cumplimiento de estas políticas y a su vez, la compatibilidad con la plataforma. La División Informática no se hará responsable por incidentes producidos por el no cumplimiento de estas políticas de seguridad. Monitoreo Conforme a lo descrito a la normativa vigente: La División Informática controlará la instalación uso de activos de información que no cumplan con los derechos de autor y de software no debidamente licenciado y el uso de los recursos disponibles, evitando el mal uso de la infraestructura facilitada. Lo descrito anteriormente, se realiza con el fin de proporcionar información para el caso de revisiones y auditorias que requiera la organización.
Historial de revisiones VERSIÓN ELABORADO REVISADO APROBADO AUTORIZADO FECHA 1.0 Gino Peirano 1.1 Pablo Morán