Versiones comparadas

Versión anterior 4

changes.mady.by.user JUAN LUIS LARA RUIZ GRANADOS

Guardado el

comparado con

Nueva versión Actual

changes.mady.by.user LUCIA ACOSTA CABANILLAS

Guardado el

Clave

  • Se ha añadido esta línea.
  • Se ha eliminado esta línea.
  • El formato se ha cambiado.


La Subdirección Dirección General de Tecnologías Sistemas de la Información y las Comunicaciones (en adelante, STICDGSIC) del SAS en base a la Resolución SA 0157/2013 de 4 de abril de la Consejería de Salud queda establecida como la encargada de la prestación de servicios TIC en los diferentes centros de titularidad de la Consejería de Salud, lo que le confiere el carácter de único órgano competente en materia TIC de dichas entidades.

...

En este sentido, todas las peticiones de instalación, puesta en marcha o incorporación de nuevos dispositivos, aplicaciones sanitarias o sistemas de información necesitarán de la aprobación expresa y validación de su idoneidad por parte de la STICDGSIC.


La aplicación concreta de cada una de estas condiciones depende directamente del entorno tecnológico en el que se encuadra. En cualquier caso, siempre serán de estricta aplicación las condiciones establecidas por la reglamentación vigente, la normativa TIC del SAS, y las herramientas de gestión TIC y atención al usuario establecidas en este anexo.

...

De acuerdo con lo establecido en el artículo 32 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) en adelante RGPD, la figura del responsable del tratamiento, que recae en el Director Gerente del Servicio Andaluz de Salud (en adelante SAS), representado por cada Dirección Gerencia de los centros, realizará la evaluación de riesgos que determinen las medidas apropiadas para garantizar la seguridad de la información y los derechos de las personas usuarias. Asimismo, y como se detalla en el punto 2acuerdo correspondiente, el encargado del tratamiento, representado por la persona contratista, también evaluará los posibles riesgos derivados del tratamiento, teniendo en cuenta los medios utilizados (tecnologías de acceso, recursos utilizados, etc.) y cualquier otra contingencia que pueda incidir en la seguridad. La determinación de las medidas de seguridad que deben ser aplicadas por la persona contratista podrá realizarse mediante la remisión de toda la información a la plataforma Confluence corporativa de la STICDGSIC, donde se albergan las medidas de seguridad de tratamiento de información de ámbito general o para escenarios de tratamiento o cesión de información específicos. Como mínimo, se incorporarán las medidas establecidas en Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, en adelante ENS, conforme a la categoría del sistema y la declaración de aplicabilidad.

...

  1. Procedimiento de reporte de incidentes reales o sospechosos, detallando el escalado de la notificación.
  2. Procedimiento de toma de medidas urgentes, incluyendo la detención de servicios, el aislamiento del sistema afectado, la recogida de evidencias y protección de los registros, según convenga al caso.
  3. Procedimiento de asignación de recursos para investigar las causas, analizar las consecuencias y resolver el incidente.
  4. Procedimientos para informar a las partes interesadas, internas y externas.
  5. Procedimientos para:
    1. Prevenir que se repita el incidente.
    2. Incluir en los procedimientos de usuario la identificación y forma de tratar el incidente.
    3. Actualizar, extender, mejorar u optimizar los procedimientos de resolución de incidencias.

La gestión de incidentes que afecten a datos de carácter personal tendrá en cuenta lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD), en lo que corresponda.

El encargado de tratamiento prestará especial atención a las medidas de protección categorizadas en el ENS relacionadas con la protección de las aplicaciones informáticas (código [mp.sw] en el ENS) y desarrollo de aplicaciones (código [mp.sw.1] en el ENS).

  1. El desarrollo de aplicaciones se realizará sobre un sistema diferente y separado del de producción, no debiendo existir herramientas o datos de producción en el entorno de desarrollo.
  2. Se usarán pautas de desarrollo documentadas en la plataforma CONFLUENCE de la STIC que:
  1. Tome en consideración los aspectos de seguridad a lo largo de todo el ciclo de vida.
  2. Trate específicamente los datos usados en desarrollo y pruebas.
  3. Permita la inspección del código fuente.
  1. Los siguientes elementos serán parte integral del diseño del sistema:
  1. Los mecanismos de identificación y autenticación.
  2. Los mecanismos de protección de la información tratada.
  3. La generación y tratamiento de pistas de auditoría. Las pruebas anteriores a la implantación o modificación de los sistemas de información no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente.

Aceptación y puesta en servicio (código [mp.sw.2] en el ENS):

  1. Antes de pasar a producción se comprobará el correcto funcionamiento de la aplicación. Se verificará que:
  1. Se cumplen los criterios de aceptación en materia de seguridad.
  2. No se deteriora la seguridad de otros componentes del servicio.
  1. Las pruebas se realizarán en un entorno aislado (pre-producción).
  2. Las pruebas de aceptación no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente.
  3. Se realizarán las siguientes inspecciones previas a la entrada en servicio:
    1. Análisis de vulnerabilidades.
    2. Pruebas de penetración.

Protección de servicios y aplicaciones web (código [mp.s.2] en el ENS):

Los sistemas dedicados a la publicación de información deberán estar protegidos frente a las amenazas que les son propias.

  1. Cuando la información tenga algún tipo de control de acceso, se garantizará la imposibilidad de acceder a la información sin autenticación, en particular tomando medidas en los siguientes aspectos:
    1. Se evitará que el servidor ofrezca acceso a los documentos por vías alternativas al protocolo determinado.
    2. Se prevendrán ataques de manipulación de direcciones de recursos de internet (más conocidos por el término URL por sus siglas en inglés).
    3. Se prevendrán ataques de manipulación de fragmentos de información que se almacenan en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página, conocido en inglés como «cookies».
    4. Se prevendrán ataques del tipo inyección de código.
  2. Se prevendrán intentos de escalado de privilegios conforme a lo estipulado en la plataforma Confluence de la STIC.
  3. Se prevendrán ataques de «cross site scripting».
  4. Se prevendrán ataques de manipulación de programas o dispositivos que realizan una acción en representación de otros, conocidos en terminología inglesa como «proxies» y, sistemas especiales de almacenamiento de alta velocidad, conocidos en terminología inglesa como «cache».

Firma electrónica [mp.info.4]

La firma electrónica es un mecanismo de prevención del repudio; es decir, previene frente a la posibilidad de que en el futuro el signatario pudiera desdecirse de la información firmada.

La firma electrónica garantiza la autenticidad del signatario y la integridad del contenido. Cuando se emplee firma electrónica solo se utilizarán medios de firma electrónica de los previstos en la legislación vigente.

  1. Los medios utilizados en la firma electrónica serán proporcionados a la calificación de la información tratada. En todo caso:
    1. Se emplearán algoritmos acreditados por el Centro Criptológico Nacional
    2. Se emplearán, preferentemente, certificados reconocidos.
    3. Se emplearán, preferentemente, dispositivos seguros de firma.
  2. Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación:
    1. Datos de verificación y validación.
    2. Se protegerán la firma y la información mencionada en el apartado anterior con un sello de tiempo.
    3. El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes 1) y 2).
    4. La firma electrónica de documentos por parte de la Administración anexará o referenciará sin ambigüedad la información descrita en los epígrafes 1) y 2).

 Datos de carácter personal [mp.info.1]:

Cuando el sistema trate datos de carácter personal, se estará a lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y normas de desarrollo, sin perjuicio de cumplir, además, las medidas establecidas por el Real Decreto 311/2022, de 3 de mayo por el que se regula el Esquema Nacional de Seguridad.

    1. , extender, mejorar u optimizar los procedimientos de resolución de incidencias.

La gestión de incidentes que afecten a datos de carácter personal tendrá en cuenta lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD), en lo que correspondaLo indicado en el párrafo anterior también se aplicará, cuando una disposición con rango de ley se remita a las normas sobre datos de carácter personal en la protección de información.

3.                Propiedad intelectual del resultado de los trabajos

...

Este portal recoge toda la regulación en cuanto a normas y procedimientos de trabajo que ha identificado la STIC DGSIC como imprescindibles para el aseguramiento de la calidad de los servicios de intercambio de información prestado a sus clientes, así como de calidad de la semántica corporativa necesaria para mantener la coherencia de los procesos.

...

En el espacio NormativaTIC, apartado A), se enlazan todas las normas técnicas de la STICDGSIC. La persona adjudicataria se comprometerá a prestar los servicios contratados de acuerdo con este compendio normativo https://ws001.sspa.juntadeandalucia.es/confluence/display/normativaTIC, apartado A

...

Para optimizar los esfuerzos de gestión relacionados con las solicitudes que se registran y resuelven a través de las herramientas de gestión TIC, la persona adjudicataria debe dotarse de los medios técnicos necesarios para hacer uso de los servicios de integración provistos por la STIC DGSIC y mantener actualizadas dichas integraciones en todo momento. Estas actualizaciones pueden ser motivadas por la evolución o incorporación de nuevos servicios de integración.

...

Los ANS estarán disponibles y habrá un periodo en el que se actualicen en función de los datos que arrojen las herramientas operacionales que son fuentes para su cálculo. Llegado el día 10 del mes siguiente al del periodo de prestación del servicio, salvo que la STIC DGSIC estime otra cosa, se cerrarán los procesos de cálculo de los ANS.

...

Es la herramienta del SAS destinada a la construcción automatizada del software a partir del código fuente entregado en el repositorio de código del SAS. La STIC DGSIC será la responsable de la configuración de las tareas de construcción y empaquetado de cada entregable, según la información proporcionada a tal efecto por la persona adjudicataria.

...

JARVIS una aplicación realizada a medida para la recogida de peticiones de modificación y extracciones de datos desde Nueva Web Técnica y su lanzamiento automatizado y validado por la STIC DGSIC a través de MS Orchestrator, alojando los resultados en un FTP corporativo al cual tienen acceso los resolutores de la petición.

...