Analizamos en esta entrada los aspectos normativos que se deben tener en cuenta a la hora de realizar la selección. Este apartado específico también es de aplicación a los desarrollos a medida de este tipo de soluciones, sobre todo en lo referente a la LAECSP, TRLCSP, LFE, ENS y ENI:
Ley De Acceso Electrónico De Los Ciudadanos A Los Servicios Públicos (LAECSP):
La Administración Electrónica, y en este caso la contratación pública electrónica, tiene que mantener en todo momento las mismas garantías de seguridad jurídica de las actuaciones administrativas en papel (ver Manual Práctico de Supervivencia en la Administración Electrónica, realizado por Alberto López Tallón):
– Identificación: que no pueda haber ambigüedad a la hora de establecer la identidad de una persona física o jurídica. Tema resuelto por la Ley de Firma Electrónica (Ley 56/2007).
– Autenticación: la garantía de conocer fehacientemente la identidad de una persona física o jurídica. Este concepto guarda una estrecha relación con el no repudio (imposibilidad de rechazar la autoría de una determinada acción o documento). La principal herramienta para la autenticación son sistemas de usuario/clave y la firma electrónica. Ambos mecanismos permiten asimismo el no repudio.
– Integridad: se refiere a que se puede confiar en que una determinada información, por ejemplo, de un documento electrónico no fue manipulada y corresponde a su estado original. Lo que se consigue con la imposición de Sellos de Tiempo.
– Confidencialidad: guardar el secreto frente a terceros sobre una determinada información, ya sea un documento, comunicación, etc. La herramienta principal para lograr este objetivo es la criptografía.
– Disponibilidad: se refiere a la disponibilidad en todo momento de la información y/o servicios. Esto implica servicios de alta disponibilidad 24×7, servidores redundados, centros de respaldo, etc.
– Trazabilidad: se refiere a la información histórica que es importante conocer y conservar, ¿qué cambios ha sufrido la información?, ¿quién ha accedido a ella?, etc.
– Conservación: la correcta conservación y archivo de la información de modo que se encuentre disponible e integra aún después de que hayan pasado largos periodos de tiempo. En el caso de la contratación pública las Administraciones Públicas deben custodiar la información de los concursos durante 5 años.
Real Decreto Legislativo 3/20111 (Por El Que Se Aprueba El Texto Refundido De La Ley De Contratos Del Sector Público – TRLCSP):
La Plataforma seleccionada, o desarrollada a medida si fuese el caso, deberá soportar todos los procedimientos de contratación pública prevista por el TRLCSP. En el caso de las soluciones Cloud sería recomendable una auditoría de un tercero que certificase la adecuación normativa.
Ley De Firma Electrónica (LFE – Ley 56/2007):
El sistema deberá permitir la firma electrónica reconocida, basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. La firma electrónica reconocida, como así lo establece la Ley, tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
La plataforma, de acuerdo al principio de no discriminación, deberá admitir cualquier certificado admitido por el Ministerio de Industria, Turismo y Comercio.
Esquema Nacional De Seguridad (ENS):
La plataforma de contratación pública electrónica deberá garantizar la adecuación con los ENS, que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
Un tercero deberá acreditar su grado de adecuación. Simplificando, los ENS bajan al terreno los aspectos mencionados por la LAECSP: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. Tras la auditoría pertinente, la adecuación de la colusión será catalogada como: BÁSICA, MEDIA O ALTA.
¿Qué se debe analizar? (información extraída de Presentación de INTECO)
Principios básicos:
– Seguridad Integral
– Gestión de riesgos
– Prevención, reacción y recuperación
– Líneas de defensa
– Reevaluación periódica
– La seguridad como función diferenciada
Requisitos mínimos:
– Organización e implantación del proceso de seguridad
– Análisis y gestión de los riesgos
– Gestión del personal
– Autorización y control de accesos
– Protección de las instalaciones
– Integridad y actualización del sistema
– Protección de la información almacenada y en tránsito
– Prevención ante otros sistemas de información interconectados
– Registro de actividad
– Incidentes de seguridad
– Continuidad en la Actividad
– Mejora Continua del Proceso de Seguridad
Medidas de seguridad:
– Marco Organizativo
– Marco Operacional
– Marco de Protección
Esquema Nacional De Interoperabilidad (ENI):
Las soluciones contratadas por las Administraciones públicas deberán usar estándares abiertos, así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos, al objeto de garantizar la independencia en la elección de alternativas tecnológicas por los ciudadanos y las Administraciones públicas y la adaptabilidad al progreso de la tecnología y, de forma que:
– Los documentos y servicios de administración electrónica que los órganos o Entidades de Derecho Público emisores pongan a disposición de los ciudadanos o de otras Administraciones públicas se encontrarán, como mínimo, disponibles mediante estándares abiertos.
– Los documentos, servicios electrónicos y aplicaciones puestos por las Administraciones públicas a disposición de los ciudadanos o de otras Administraciones públicas serán, según corresponda, visualizables, accesibles y funcionalmente operables en condiciones que permitan satisfacer el principio de neutralidad tecnológica y eviten la discriminación a los ciudadanos por razón de su elección tecnológica.
Ley Orgánica De Protección De Datos (LOPD):
La Plataforma seleccionada deberá proteger los datos de carácter personal de los usuarios registrados en la Plataforma. El proveedor del servicio deberá garantizar que todos los ficheros de datos de carácter personal deberán estar inscritos y legalizados ante la Agencia Española de Protección de Datos. Asimismo, todos los datos de carácter personal recogidos por la empresa, deben contar con el consentimiento del afectado.
– Ley de Servicios de la Sociedad de la Información (LSSI)
– Los empresarios o profesionales que presten un servicio de la sociedad de la información deben tener accesible la siguiente información
– Nombre o denominación social.
– Residencia, domicilio o dirección de establecimiento permanente en España.
– Dirección de correo electrónico.
– Cualquier otro dato que permita establecer una comunicación directa y efectiva.
– Datos de inscripción en el registro público con efectos constitutivos (R. Mercantil, por ejemplo).
– En caso de que corresponda, datos identificativos de la autorización administrativa previa necesaria para el ejercicio de la actividad.
– Número de Identificación Fiscal.
– Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.
– Etc.
Esperamos que este análisis os haya sido útil.