PRESIDENCIA DE LA REPUBLICA
CORREO ELECTRÓNICO
Artículo 57.- Los servicios institucionales de correo electrónico deberán considerar al menos:
a) La inserción de una leyenda de confidencialidad de la información en los correos institucionales emitidos;
b) El control institucional de la totalidad de los correos contenidos en las carpetas de los usuarios;
c) Soluciones de filtrado para correo no deseado o correo no solicitado, así como programas informáticos que protejan del envío y recepción de correos electrónicos con software malicioso;
d) Técnicas de autenticación de correo electrónico que permita al receptor comprobar que un correo electrónico fue enviado y autorizado por la Institución poseedora del dominio;
e) Que el envío por internet se realice con mecanismos de cifrado de la información; así como
f) Contar con los mecanismos necesarios para evitar la divulgación no autorizada de datos o información Institucional por parte de los servidores públicos.
Adicionalmente, cuando los servicios de correo electrónico sean contratados a un proveedor, éste deberá garantizar, al menos:
I. Que la Institución podrá acceder y tener a su disposición la totalidad de los correos contenidos en las carpetas de los usuarios, durante la vigencia de la contratación y al término de ésta, en el formato establecido en los Estándares Técnicos; y entregar un respaldo de los mismos en medio no editable;
II. La suscripción de un Acuerdo de Confidencialidad respecto de la información y datos personales relacionados con los correos electrónicos y usuarios del servicio prestado, el cual deberá prevenir efectos legales durante y después de la vigencia del contrato;
III. Que concluida la vigencia de los servicios contratados y una vez entregado el respaldo a la Institución, se elimine toda información y contenido de los correos electrónicos institucionales en la infraestructura del proveedor; y
IV. Que los procedimientos de borrado seguro se efectúen ante la supervisión de servidores públicos de la Institución y se genere evidencia de su realización.
CAPÍTULO IV
APLICATIVOS DE CÓMPUTO
Artículo 58.- Se entenderá por Aplicativo de Cómputo, el software y/o los sistemas informáticos que se conforman por un conjunto de componentes o programas construidos con herramientas que habilitan una funcionalidad o digitalizan un proceso, de acuerdo con los requerimientos previamente definidos;
Artículo 59.- La persona titular de la UTIC será responsable de que todos los aplicativos de cómputo desarrollados o financiados por la Institución se encuentren registrados en el Inventario de bienes y servicios de TIC de la APF y su código fuente se encuentre siempre actualizado y disponible en el repositorio de software de la APF.
Artículo 60.- En todo proyecto relacionado con el desarrollo y mantenimiento de aplicativos de cómputo, deberá considerarse el Inventario de bienes y servicios de TIC de la APF y el repositorio de software de la APF, a fin de evitar duplicidades y maximizar el aprovechamiento de los existentes;
Artículo 61.- Las Instituciones podrán implementar aplicativos de cómputo de propósito general provenientes de repositorios públicos de software libre, siempre que tengan las características requeridas para el ejercicio de las funciones públicas y representen un beneficio tecnológico que genere ahorros reales para el Estado mexicano. A su vez, las Instituciones podrán colaborar con proyectos e iniciativas de desarrollo de software libre de conformidad con la normatividad mexicana en la materia.
Artículo 62.- La titularidad y disposición de los aplicativos de cómputo y la totalidad de sus componentes tales como el código fuente, el código objeto, el diseño físico y lógico, los diagramas de operación y de la arquitectura tecnológica, la imagen institucional, los manuales técnicos y de usuario, desarrollados por personal de la Institución o por terceros que se financien con recursos públicos federales, deberá asegurarse en favor del Estado Mexicano, el cual podrá a su vez, otorgar licencias de uso, copia, modificación y/o distribución, de conformidad con la legislación aplicable en la materia.
Artículo 63.- Cuando se trate de desarrollos basados en software libre, se respetarán las condiciones de su licenciamiento original, y las Instituciones deberán documentar la contribución que en el ámbito de sus atribuciones efectuaron a dicho software libre, justificando la utilidad pública de dicha intervención.
Artículo 64.- En las actividades de desarrollo y mantenimiento de aplicativos de cómputo que se realicen por personal interno de la Institución o por proveedores, deberán aplicarse las metodologías más adecuadas en función de las características del proyecto, considerando en los casos que se determine viable, un enfoque de desarrollo ágil de software que permita generar entregas tempranas de software funcional, seguro y con integración continua, favoreciendo la obtención de productos que se implementen en el corto plazo.
En todos los casos, deberá generarse la documentación indispensable que mantenga y enlace el diseño, la codificación y la calidad del software.
Artículo 65.- Los procesos de desarrollo y mantenimiento de aplicativos de cómputo deberán seguir un modelo de arquitectura de software que genere aplicaciones reutilizables e interoperables entre las áreas de la Institución y otras Instituciones, asimismo, deberán privilegiar el uso de lenguajes de programación y las plataformas de desarrollo basadas en software libre y estándares abiertos que se establezcan en los Estándares Técnicos.
Artículo 66.- Las Instituciones deberán observar en sus procesos de desarrollo y mantenimiento de aplicativos de cómputo, los estándares técnicos en materia de datos abiertos, con el propósito de homologar sus características y facilitar su acceso, uso, reutilización y distribución para cualquier fin, conforme con los ordenamientos jurídicos aplicables.
Artículo 67.- Los proyectos de servicios de desarrollo o mantenimiento de software deberán incluir el diseño detallado o conceptual del aplicativo a desarrollar, que comprenda por lo menos:
a) Requerimientos del negocio;
b) Mecanismos o esquemas de seguridad de la información;
c) Políticas de privacidad y protección de datos personales, de conformidad con la legislación aplicable;
d) Alcance de los módulos;
e) Perfiles de usuario;
f) Matriz de trazabilidad;
g) Protocolos de pruebas y;
h) Mecanismos de autenticación a través de la Firma Electrónica Avanzada (e-firma), cuando resulte aplicable.
Artículo 68.- Los nuevos desarrollos de software deberán considerar la información estructurada disponible en la Institución, a fin de disminuir su dispersión y duplicidad. Para ello deberán fomentarse bases de datos institucionales que concentren, compartan y estandaricen la información de los sistemas gubernamentales.
Artículo 69.- Los aplicativos de cómputo que operen sobre datos críticos, confidenciales o sensibles, deberán garantizar que el procesamiento y transferencia de la información se realice a través de mecanismos que garanticen su seguridad e integridad, como priorizar su alojamiento en territorio nacional. Para ello, deberán atender los Estándares Técnicos emitidos por la CEDN, la legislación en materia de protección de datos personales y las disposiciones que sean emitidas en materia de Seguridad Nacional.
Artículo 70.- El desarrollo de sistemas electrónicos de trámites y servicios deberá priorizar los procesos de digitalización que permitan proveer trámites digitales simplificados y con utilidad social, así como los que formen parte del Expediente de Trámites y Servicios que se deriva de la Ley General de Mejora Regulatoria.
Artículo 71.- Los aplicativos de cómputo o servicios de TIC y de seguridad de la información, deberán contemplar como campo llave para su interoperabilidad, la Clave Única de Registro de Población (CURP) o el RFC al tratarse de personas físicas o el Folio Mercantil en el caso de personas morales y, en su caso, otros atributos que permitan realizar la autenticación electrónica correspondiente, como lo es la Firma Electrónica Avanzada (e-firma), en todos los casos, deberán preverse medidas de protección a los datos personales, de conformidad con la legislación aplicable.
Artículo 72.- El diseño de nuevas soluciones tecnológicas y servicios de TIC deberá cumplir con la normativa técnica de domicilios geográficos del Instituto Nacional de Estadística y Geografía (INEGI).
CAPÍTULO V
PLATAFORMAS DIGITALES DE PÁGINAS WEB
Artículo 73.- Todas las Instituciones deberán estandarizar la estructura e imagen de sus sitios web apegándose a la identidad gráfica del gobierno federal, de acuerdo con las guías, manuales y documentos técnicos emitidos por la Coordinación General de Comunicación Social y la CEDN.
Artículo 74.- La implementación de todos los servicios de plataformas digitales de páginas web que realicen las Instituciones, deberá observar, al menos lo siguiente:
I. Considerar la aplicación de los Estándares Técnicos de la CEDN en materia de arquitecturas de desarrollo e interoperabilidad, y servicios de hospedaje;
II. Aplicar las mejores prácticas para el desarrollo de plataformas web, como los estándares y recomendaciones del Consorcio de la Red Informática Mundial (W3C, World Wide Web Consortium) relativos a uso de lenguajes de marcado, hojas de estilo, accesibilidad web y validadores;
III. Compatibilidad con todos los navegadores actuales y de nuevas generaciones, así como con sistemas operativos móviles y sus navegadores;
IV. Contar con versiones de páginas web adaptables a las resoluciones de dispositivos móviles;
V. Incluir funciones de accesibilidad para personas con discapacidad, de conformidad con los Estándares Técnicos de la CEDN;
VI. Incluir Aviso de privacidad, así como términos y condiciones de uso claros y actualizados, en los términos de la legislación aplicable; así como
VII. Garantizar que el acceso a las plataformas digitales de páginas web se realice a través de mecanismos de autenticación y cifrado mediante certificados digitales.
CAPÍTULO VI
SEGURIDAD DE LA INFORMACIÓN
Artículo 75.- Las Instituciones deberán contar con un Marco de Gestión de Seguridad de la Información (MGSI) alineado a la política general de SI, que procure los máximos niveles de confidencialidad, integridad y disponibilidad de la información generada, recibida, procesada, almacenada y compartida por dichas Instituciones, a través de sus sistemas, aplicaciones, infraestructura y personal; dicho MGSI deberá contribuir al cumplimiento de los objetivos institucionales, de TIC, regulatorios, organizacionales, operativos y de cultura de la seguridad de la información.
La política general de seguridad de la información está orientada a garantizar certidumbre en la continuidad de la operación y la permanencia e integridad de la información institucional.
Artículo 76.- El MGSI deberá conformarse, al menos por los siguientes elementos:
a) El establecimiento de objetivos alineados a la política general de seguridad de la información;
b) La identificación de los procesos y activos esenciales de la Institución, a través de un diagnóstico que involucre a las áreas que participan en la gestión de la información;
c) Elaboración de un análisis de riesgos para identificar las amenazas y vulnerabilidades;
d) La implementación de los controles mínimos de seguridad de la información, con base en la clasificación de los activos de información institucionales, y de conformidad con los Estándares Técnicos de la CEDN;
e) Programa de gestión de vulnerabilidades, que incluya su identificación, evaluación y corrección. La identificación de las mismas deberá partir de un análisis de vulnerabilidades al interior de la Institución, así como de las alertas o investigaciones de seguridad divulgadas por fuentes externas;
f) Un protocolo de respuesta ante incidentes de seguridad de la información, que contemple la conformación de un Equipo de Respuesta a Incidentes de Seguridad de la Información (ERISC), acciones de preparación, detección y análisis, contención, erradicación y recuperación, así como actividades posteriores al incidente, de conformidad con el Protocolo Nacional Homologado para la Gestión de Incidentes Cibernéticos;
g) Plan de continuidad de operaciones y plan de recuperación ante desastres que consideren los aspectos para el restablecimiento de la operación de TIC, la información y los servicios;
h) Los mecanismos de supervisión y evaluación que permitan medir la efectividad de los controles de SI y de madurez institucional en la gestión de SI;
i) Un Programa de formación en la cultura de la seguridad de la información para las personas servidoras públicas de la Institución; así como
j) Un Programa de implementación del MGSI que considere los incisos anteriores.
Lo anterior, con base en procesos de planeación, implementación, supervisión y mejora continua.
Con la información y documentos generados, la UTIC deberá completar la información requerida a través de la Herramienta en la sección correspondiente al MGSI.
Artículo 77.- En cada Institución, la persona titular de la UTIC tendrá el rol de Responsable de la Seguridad de la Información (RSI), a excepción de las Instituciones que por su legislación específica o estructura organizacional cuenten con un área de Seguridad de la Información que no dependa de la UTIC, en dichos casos el rol de Responsable recaerá en la persona titular del área de Seguridad de la Información.
Artículo 78.- El RSI creará grupos de trabajo para la definición, implementación y evaluación del MGSI, los cuales se conformarán por la persona titular de la UTIC, los servidores públicos involucrados en la operación institucional y procesos relacionados con la seguridad de la información, y el RSI cuando este rol no recaiga en la persona titular de la UTIC. Cada grupo de trabajo documentará sus objetivos, actividades y definirá los roles de los servidores públicos que formen parte del mismo.
Artículo 79.- El RSI, tendrá entre otras, las siguientes responsabilidades:
I. Dar seguimiento a la conformación del MGSI, así como a su implementación y al cumplimiento de los controles mínimos de seguridad;
II. Presentar a sus superiores jerárquicos, incluido el titular de la Institución, un informe sobre la integración del MGSI, con la finalidad de comunicar su contenido y mecanismos de ejecución. En la presentación deberá considerarse la presencia de la persona titular de la UTIC cuando el rol de RSI no recaiga en éste;
III. Dar aviso inmediato a la CEDN sobre los incidentes de seguridad de la información que se presenten, y asegurarse del cumplimiento del Protocolo Nacional Homologado para la Gestión de Incidentes Cibernéticos;
IV. Implementar un programa de evaluaciones, que contemple al menos, una evaluación trimestral del MGSI para verificar el desempeño de los controles de seguridad y determinar acciones de mejora;
V. Hacer del conocimiento del OCF en la institución y/o de las autoridades competentes, las irregularidades u omisiones en cumplimiento del MGSI, o delitos relacionados con la seguridad de la información en que incurran las personas servidoras públicas, y en su caso los proveedores y su personal, obligados a su observancia; así como
VI. Mantener un proceso de mejora continua del MGSI para cumplir con las disposiciones aplicables.
Artículo 80.- En aquellos casos en que la Institución requiera, para su operación y adecuada implementación del MGSI, efectuar una contratación para la adquisición, arrendamiento o prestación de servicios en materia de SI, dicha contratación deberá ser justificada y realizarse de conformidad con el proceso de planeación y dictamen que se detallan en los Títulos Segundo y Tercero de este Acuerdo.
Artículo 81.- El proceso de mejora continua del MGSI será revisado por la CEDN bajo las siguientes directrices:
I. En enero y julio de cada ejercicio, la Institución deberá actualizar en la Herramienta, la documentación del MGSI, e incorporar, adicionalmente, un informe que contenga el resultado de las evaluaciones efectuadas a los controles de seguridad y la descripción de las acciones de mejora implementadas en el último semestre;
II. Dicha información será revisada por la CEDN, que podrá emitir en cualquier momento, las observaciones que considere pertinentes, otorgando a las Instituciones, un plazo de hasta 15 días para solventarlas;
III. La CEDN podrá sugerir a las Instituciones la realización de evaluaciones técnicas adicionales, así como su colaboración para efectuarlas, con la finalidad de favorecer los máximos umbrales posibles en la eficacia del MGSI; así como
IV. Las recomendaciones que emita la CEDN deberán ser atendidas por la Institución.