Estándares de desenvolvemento ES e adquisición de ... · MO_v.04.00 CONTROL DE VERSIÓNS E...

Elaborado por Oficina de Calidade

Estándares de desenvolvemento e adquisición de aplicacións na Amtega

ES

MO_v.04.00

CONTROL DE VERSIÓNS E DISTRIBUCIÓN

NOME DO DOCUMENTO:Estándares de desenvolvemento e adquisición de aplicacións na Amtega

VERSIÓN: 01.00

COD. DO DOCUMENTO: AMTEGA_ES_desenvolvementoAdquisicionAplicaciones

ELABORADO POR: Oficina de Calidade DATA: 07/02/2017

VALIDADO POR:Departamento de Seguridade e Calidade

DATA: 20/03/2017

APROBADO POR: Comité de Dirección Amtega DATA: 05/04/2017

REXISTRO DE CAMBIOS

Versión Causa da nova versión Data de aprobación

01.00 Versión inicial 05/04/2017

LISTA DE DISTRIBUCIÓN (opcional)

Nome Número de copia Área/Centro/Localización

CLÁUSULA DE CONFIDENCIALIDADEEste documento é propiedade da Amtega(Axencia para a Modernización Tecnolóxica de Galicia). Deberá empregar este materialexclusivamente para os servizos que foron acordados coa Amtega e que requiren necesariamente da súa utilización. Está prohibidaa reprodución parcial ou total, por calquera medio ou método, dos contidos deste documento para calquera outro uso non acordadocoa Amtega.

Página 2 de 12AMTEGA_ES_desenvolvementoAdquisicionAplicacions_v.01.00_gal

MO_v.04.00

Índice1.Introdución.................................................................................................................................................. 4

1.1.Ámbito de aplicación............................................................................................................................ 4

2.Plataforma base corporativa....................................................................................................................... 5

2.1.Posto de usuario.................................................................................................................................. 52.2.Sistemas operativos de servidor..........................................................................................................52.3.Contedor web para PHP...................................................................................................................... 52.4.Servidores de aplicacións.................................................................................................................... 52.5.Xerador de informes/documentos........................................................................................................52.6.Servidores de bases de datos..............................................................................................................52.7.Xestores de contidos (CMS)................................................................................................................62.8.Blogs.................................................................................................................................................... 62.9.Xestores documentais.......................................................................................................................... 62.10.Teleformación..................................................................................................................................... 62.11.Virtualización...................................................................................................................................... 62.12.Correo................................................................................................................................................ 72.13.Vulnerabilidades................................................................................................................................. 7

3.Ferramentas corporativas dispoñibles........................................................................................................8

3.1.Repositorio de documentación e portais de colaboración....................................................................83.2.Xestión de proxectos............................................................................................................................ 83.3.Procesos ITIL....................................................................................................................................... 83.4.Ferramentas de soporte ao desenvolvemento.....................................................................................8

4.Estándares e procedementos..................................................................................................................... 9

4.1.Calidade............................................................................................................................................... 94.1.1.Nomenclatura................................................................................................................................ 94.1.2.Xestión da documentación............................................................................................................94.1.3.Procedemento de alta de proxectos..............................................................................................9

4.2.Desenvolvemento e adquisición de sistemas de información..............................................................94.2.1.Deseño e desenvolvemento........................................................................................................104.2.2.Integración continua.................................................................................................................... 104.2.3.Plataforma................................................................................................................................... 104.2.4.Procedementos de desenvolvemento e auditoría técnicas..........................................................104.2.5.Procedemento de publicación de aplicacións..............................................................................11

4.3.Seguridade......................................................................................................................................... 114.3.1.Xestión de persoal.......................................................................................................................114.3.2.Entrega de compromisos de confidencialidade............................................................................114.3.3.Acceso aos sistemas de información y acceso físico..................................................................114.3.4.Seguridade no desenvolvemento de aplicacións e sistemas.......................................................12


MO_v.04.00

1. IntroduciónEste documento pretende servir como guía introdutoria aos procedementos e estándares definidos polaAxencia para a Modernización Tecnolóxica de Galicia (en diante Amtega). Estes deberanse aplicar pordefecto nos proxectos e servizos licitados pola Amtega e especialmente nos proxectos dedesenvolvemento e adquisición de aplicacións software.

Indicarase en primeiro lugar a plataforma tecnolóxica base corporativa. Posteriormente enuméranse osprincipais estándares e procedementos existentes na organización, que serán de aplicación a todos osproxectos, incluíndo os de desenvolvemento, mantemento e adquisición de aplicacións de software.

A Amtega dispón de documentos específicos para cada estándar e procedemento descrito que se podenconsultar no portal XuntaTIC (http://xuntatic.xunta.es/), portal de divulgación de estándares, normativa ecalquera outra información para o persoal TIC da Xunta de Galicia. Teñen acceso ao devandito portal opersoal interno e persoal correspondente a contratacións vixentes da Amtega que dispoña dun usuario nodirectorio activo corporativo.

1.1. Ámbito de aplicaciónOs estándares descritos neste documento aplicarán por defecto en todos os proxectos e servizos licitadosen Amtega e especialmente nos proxectos de desenvolvemento, mantemento e adquisición de software.


http://xuntatic.xunta.es/

MO_v.04.00

2. Plataforma base corporativaEste apartado define a liña base de plataforma que será tomada como referencia en todos os proxectos no ámbito da Amtega. Inclúese, ademais, algún apuntamento sobre a contorna de cliente (PC do usuario). As versións concretas de determinadas produtos identificados neste apartado, ou outras versións de produtos, drivers, librerías, etc directamente relacionadas coa plataforma tecnolóxica, están dispoñibles nodocumento Plataforma Tecnolóxica de referencia para as aplicacións (GLOBAL_AT_plataformaTecnologicaAmtega_v.xx.yy).

2.1. Posto de usuarioO software que pode impactar no funcionamento das aplicacións das maqueta de PCs en Xunta é oseguinte:

● Sistema Operativo● Navegador● Máquina virtual de Java (JRE)● AWP

As versións corporativas deste software poden consultarse no documento de maqueta basee do posto detraballo.

2.2. Sistemas operativos de servidor

● Plataforma Unix: Red Hat 7.X / Centos 7.X. ● Plataforma Windows: Windows Server 2012.

2.3. Contedor web para PHP

● Apache 2: É o contedor web de referencia para aplicacións PHP.

2.4. Servidores de aplicacións

● JBOSS EAP 6 con JRE Java SE 1.7 (con soporte JRE 1.6) Entorno UNIX. A contorna JBOSSclúster soporta o despregue de aplicacións con calquera nivel de criticidade. A selección destaplataforma en lugar da plataforma Weblogic para novos proxectos, débese decidir en base acriterios como a afinidade de negocio, tecnolóxica, de administración, de soporte, etc.

● Weblogic 12c con JRE 1.7: Entorno Unix. Está orientado a albergar calquera tipo de aplicaciónJEE e de calquera criticidade. A selección desta plataforma en lugar da plataforma Jboss paranovos proxectos, débese decidir en base a criterios como a afinidade de negocio, tecnolóxica, deadministración, de soporte, etc.

● Tomcat 8 con JRE 1.7: O seu uso está reservado a proxectos existentes en plataformas herdadase, de ser necesario en novos proxectos nos que non encaixen as solucións estándar (Jboss ouWeblogic), o seu uso deberá ser correctamente argumentado e consensuado co equipo deArquitecturas Tecnolóxicas.

● IIS8: Para aplicacións .NET baixo entorno Windows 2012 R2.

2.5. Xerador de informes/documentos

● LibreOffice 4 (Servidor): Servidor para a xeración de documentos e conversión de formatos porparte das aplicacións. O acceso a este servidor debe ser a través dos servizos existentes paraeste propósito.Nota: está prevista a instalación nos próximos meses dunha plataforma de reporting baseada enJasperReportServer.

2.6. Servidores de bases de datos

● Oracle 12C (codificación AL32UTF8): É a opción corporativa a utilizar en novos proxectos. Pordefecto utilízase o modo de clúster Oracle RAC. Se nalgunha aplicación non encaixa o uso deOracle RAC por algún motivo, poderanse usar servizos SINGLETON para simular ocomportamento dunha base de datos Single Instance. Este aspecto deberá ser argumentado e


MO_v.04.00

consensuado co equipo de Arquitecturas Tecnolóxicas.● Informix 11: A selección desta plataforma en lugar da de Oracle para novos proxectos, débese

decidir en base a criterios como a afinidade de negocio, tecnoloxía, administración, soporte, etc.,previa argumentación e consenso co equipo de Arquitecturas Tecnolóxicas.Nota: está prevista unha próxima instalación da versión de Informix 12.

● MySQL 5 clúster (baseado en scripts multimaestro MHA): Entorno Unix. Orientado aaplicacións simples (divulgación, etc), cun modelo de desenvolvemento LAMP, sen requirimentosaltos de infraestrutura.

● SQL Server 2012: En proxectos nos que non encaixe o uso do xestor corporativo Oracle, poderáser avaliada a utilización de SQL Server, previa argumentación e consenso co equipo deArquitecturas Tecnolóxicas.

2.7. Xestores de contidos (CMS)

● Drupal v7: É a solución recomendada para a implementación de portais (cun modelo dedesenvolvemento LAMP), con baixas necesidades de desenvolvemento e/ou personalizacións.

● Liferay v6: Orientado a portais máis complexos onde a solución recomendada por defecto nonaplique, con necesidades de personalización altas (desenvolvementos en JEE), para contornasmultiportales con requisitos de integración importantes ou con necesidades de infraestruturatamén máis esixentes. O seu uso debe estar correctamente xustificado e validado co equipo deArquitecturas Tecnolóxicas polos problemas que presenta en canto aos recursos dedicados deinfraestrutura necesarios para o seu despregamento e mantemento.

● OpenCMS v9: SO seu uso está orientado a portais integrados con Liferay. O seu uso como CMSindependente debe estar correctamente xustificado e validado co equipo de ArquitecturasTecnolóxicas, sempre que non encaixe o uso da solución Drupal.Débense utilizar versións do CMS libres de vulnerabilidades graves.

2.8. Blogs

● http://blogs.xunta.gal/● WordPress v4: O uso de WordPress está limitado a blogs que non encaixen na plataforma

blogs.xunta.gal. O seu uso debe estar correctamente xustificado e validado co equipo deArquitecturas Tecnolóxicas e, en calquera caso, non debe utilizarse para o desenvolvemento deportais web, onde a solución corporativa recomendada é Drupal.

2.9. Xestores documentais

● Alfresco 4: Despregado sobre máquinas Linux. É a opción recomendada para a xestióndocumental nun proxecto para albergar documentación de expedientes vinculados a procesos detramitación electrónica. O acceso a Alfresco deberá realizarse a través da capa de servizosdefinida no proxecto ARPAD. Para poder realizar accesos directos a Alfresco deberá xustificarse eacordarse co equipo de Arquitecturas Tecnolóxicas, nese caso deberase utilizar o compoñentetransversal xa existente para acceso por CMIS.

● Sharepoint 2013: O uso desta plataforma está orientado exclusivamente a aplicacións que xaestán integradas con Sharepoint e á xeración de espazos de colaboración.

● Base de datos o Sistema de Ficheiros: O uso de base de datos ou sistema de ficheiros para oalmacenamento masivo de documentos non está recomendado de forma xeral, pero para aquelescasos que non encaixen no resto de escenarios, poderá valorarse o seu uso previa xustificación eautorización por parte do equipo de Arquitecturas Tecnolóxicas.

2.10. Teleformación

● Moodle 2: Entorno Unix. En proxectos nos que non encaixe a versión corporativa de Moodlepoderase avaliar, previa argumentación e consenso co equipo de Arquitecturas Tecnolóxicas, ouso doutras versións.

2.11. Virtualización

● RHEV v3: É a solución corporativa por defecto para a virtualización.● VMWare 5: É unha solución dispoñible para ámbitos reducidos, polo que o seu uso débese


http://blogs.xunta.gal/

MO_v.04.00

argumentar e acordar co equipo de Arquitecturas Tecnolóxicas en cada caso.

2.12. CorreoServizo de correo no ámbito Xunta baseado en Microsoft:

● MS Exchange

● Symantec Enterprise Vault: Servizo de arquivado de correo para Exchange.

Servidor de correo actual nos ámbitos de Educación e Xustiza baseado en:

● Postfix e Imapproxy.

2.13. Vulnerabilidades

● Ferramenta para o análise de vulnerabilidades en aplicacións web.● Servizo en liña na Amtega para a detección de virus. Pasarela de escaneo web (antivirus),

dispoñible para aplicacións web que conteñen funcionalidades de subida de arquivos


MO_v.04.00

3. Ferramentas corporativas dispoñiblesA Amtega dispón, para os diferentes proxectos e servizos, de diversas ferramentas corporativas de apoio.A continuación cítanse as ferramentas principais.

3.1. Repositorio de documentación e portais de colaboraciónToda a documentación dos proxectos depositarase na ferramenta de xestión de documentación deproxectos corporativa baseada en Sharepoint. Esta plataforma empregarase así mesmo para a xeraciónde espazos de colaboración.

3.2. Xestión de proxectosA ferramenta que se usa na Amtega para o seguimento e control dos proxectos é Redmine.

3.3. Procesos ITILA ferramenta OTRS soporta na Amtega os procesos ITIL de xestión de incidencias, xestión de peticións deservizo e xestión de configuración.

A xestión de accesos a ferramenta de xestión de incidencias corporativa detállanse na guíaGLOBAL_GU_proxectosDesenvolvementoAdquisicion_v.xx.yy.

Co fin de xestionar, identificar e controlar os elementos dos proxectos realízase o proceso de Xestión daconfiguración recollido no documento GLOBAL_BP_xestionConfiguracion_v.xx.yy. Toda a informaciónalmacénase na CMDB compartida por todos os procesos, asegurando por tanto que a xestión de activos eITIL están aliñados.

3.4. Ferramentas de soporte ao desenvolvementoAs ferramentas dispoñibles na Amtega para os proxectos de desenvolvemento e adquisición de softwareson:

■ Servidor de Integración Continua: Jenkins. Utilízase para a construción, xeración de artefactos,probas unitarias, revisión da calidade do código e automatización dos procesos de despregue nosservidores corporativos.

■ Medición da calidade do software: Sonar. Xestiona a revisión automatizada da calidade docódigo fonte de forma automatizada.

■ Xestor de probas: TestLink. Utilízase para levar a cabo a xestión de probas funcionais e nonfuncionais nas aplicacións, permitindo levar trazabilidade dos ciclos de proba executados en cadaversión.

■ Repositorio de artefactos: Nexus. Utilízase para situar as releases Final e RC, principalmente, etamén as revisións anteriores necesarias (alphas e betas).

■ Control de código fonte: Subversion. Cada proxecto contará co seu propio repositorio deSubversion. Os principais usuarios do repositorio serán os encargados do desenvolvemento, contodo, tamén o utilizará o servidor de integración continua nos procesos de construciónautomatizada do software, mediante a descarga dos fontes da versión da aplicación que constrúe.

■ Goberno de arquitectura SOA: WSO2Reg. Ferramenta que permite publicar os servizos SOAtransversais e departamentais existentes na Amtega, así como valorar e comentar aspectos deinterese de cada servizo.

■ Wiki de XuntaTIC con FAQs, exemplos de código e documentación, errores coñecidos,compoñentes API transversais dispoñibles, e outros recursos de interese para eldesenvolvemento.

■ Comité de arquitecturas: Foro corporativo de debate técnico sobre estándares e procedementosno ámbito da arquitectura dás aplicacións.


MO_v.04.00

4. Estándares e procedementos Para todos os proxectos e servizos licitados en Amtega é necesario cumprir cunha serie de estándares eprocedementos. Toda a documentación relativa a estándares e procedementos da Amtega atópasepublicada no portal de colaboración XuntaTIC.

4.1. CalidadeTodos os proxectos da Amtega deben respectar as normas de calidade establecidas para toda aorganización no referente aspectos xerais (estándares xenerais, nomenclatura, xestión documental,procesos TIC, etc.).

4.1.1. NomenclaturaA guía que establece a política de nomeado de elementos TIC na Amtega é(GLOBAL_GU_nomenclaturaGeneral_v.xx.yy). Serve como directorio de consulta de nomeado decalquera elemento TIC, así como outros elementos relacionados con estes que se xestionan na axencia.Existen ademais outras guías específicas publicadas:

■ Nomenclatura unificada de elementos tecnolóxicos da plataforma de sistemas(D_S_AT_nomenclaturaUnificadaSistemas_v.xx.yy): Regula a nomenclatura para utilizar nosdiversos elementos tecnolóxicos que forman parte da plataforma xestionada polo Departamentode Sistemas. Deste xeito, as infraestruturas consolidadas nomearán os seus compoñentes demaneira uniforme e autodescriptiva.

■ Nomenclatura unificada dos elementos da plataforma de bases de datos(D_S_AT_nomenclaturaUnificadaObjetosBBDD_v.xx.yy): Regula a nomenclatura para utilizar nosdiversos elementos da plataforma de base de datos.

4.1.2. Xestión da documentaciónToda a documentación entregada polos proxectos deberá seguir a guía(GLOBAL_GU_modelosDocumentacionAmtega_v.xx.yy) e utilizar obrigatoriamente os persoaiscorporativos baseados en LibreOffice que se atopan publicadas no devandito portal.

4.1.3. Procedemento de alta de proxectosProcedemento obrigatorio para todos os proxectos de desenvolvemento da Amtega co fin de integrar onovo proxecto na infraestrutura e os procesos TIC.

Todos os proxectos deben comezar co procedemento de alta de proxecto publicado en XuntaTIC(GLOBAL_PCD_altaProxectos_v.xx.yy).

Este procedemento deriva no cumprimento doutros procedementos e estándares da organización.

4.2. Desenvolvemento e adquisición de sistemas deinformación

Os estándares de desenvolvemento aplicables na Amtega están recollidos no documento(GLOBAL_ES_EstandaresDesarrolloAplicaciones_v.xx.yy). No recóllense principios básicos que debenterse en conta para o desenvolvemento de aplicacións para a Amtega, a destacar:

1 Para os novos desenvolvementos en plataforma corporativa é de obrigado cumprimento o uso dacontorna de desenvolvemento.

2 As primeiras versións de aplicacións que se desenvolveron en plataforma corporativa deben utilizara plataforma de integración continua e as contornas de desenvolvemento, salvo motivo xustificado,para aproveitar a lixeireza e autonomía dos despregues que dita plataforma proporciona aosequipos de proxecto. Tamén se recomenda para proporcionar autonomía a aquelas aplicaciónssuxeitas a un ciclo de vida moi activo, con requisitos de redespregues moi frecuentes.

3 As aplicacións deben estar deseñadas seguindo o principio de potabilidade, especialmente no querefire á non dependencia con librerías do servidor.

4 As integracións entre sistemas independentes deben estar rexidas polo principio de baixo axuste.Foméntase a integración baseada en servizos por encima de calquera outra solución de integración.


http://xuntatic.xunta.es/default.aspx

MO_v.04.00

Ademais deste estándar de desenvolvemento, a Amtega dispón de diversos estándares, procedementos,modelos e guías aplicables tamén nos proxectos de desenvolvemento, todos eles publicados no portalXuntaTIC que se citan nos seguinte apartados.

4.2.1. Deseño e desenvolvemento■ Estándar de desenvolvemento de aplicacións JEE

(GLOBAL_ES_EstandaresDesarrolloJEE_v.xx.yy): Conxunto mínimo de requirimentos, recomendacións técnicas, marco tecnolóxico e terminoloxía común necesarios para estandarizar os proxectos JEE da Amtega.

■ Estándares e recomendacións de deseño para bases de datos (GLOBAL_ES_EstandaresBBDD_v.xx.yy): Recomendacións importantes para manexar adecuadamente o acceso aos datos: secuencias, índices, segmentación, manexo de datos externos, etc.

■ Guía de versionado e etiquetado de software

(GLOBAL_GU_versionadoEtiquetadoSW_v.xx.yy): Describe os aspectos que relacionan oversionado das entregas, coas etapas e contornas asociados ás distintas fases do ciclo de vida dosoftware. Tamén se detallan as convencións de versionado dos diferentes elementos dunhaentrega, en función do momento do ciclo de vida onde se enmarca, procedemento, contorna aoque vai dirixida e tipoloxía.

■ Estándares de xestión de entregas (GLOBAL_ES_gestionEntregas_v.xx.yy): Descrición doproceso operativo e convencións necesarias para normalizar a xestión da entregas de códigofonte, documentación e artefactos de proxecto.

■ Modelo de goberno SOA (GLOBAL_ES_ModeloGobiernoSOA_v.xx.yy): Regular a implantacióndesta arquitectura na Amtega.

4.2.2. Integración continua■ Modelo de integración continua (GLOBAL_ES_ModeloIntegracionContinua_v.xx.yy): Descrición

do modelo de integración continua no seu conxunto coas principais características de cada un doselementos que o compoñen, así como a súa interrelación con outros compoñentes.

■ Plataforma unificada de Nexus (D_S_AT_plataformaUnificadaNexus_v.xx.yy): Define e describea arquitectura técnica estándar para a plataforma de integración continua nexus xestionada poloDepartamento de Sistemas.

Ademais existen unha serie de guías de apoio ao uso dás ferramentas:

■ Manual de uso e arquitectura GU lógica de Nexus (GLOBAL_GU_GuiaUsoNexus_v.xx.yy).

■ Guía de uso de Jenkins (GLOBAL_GU_guiaUsoJenkins_v.xx.yy).

■ Manual de uso de Testlink (GLOBAL_GU_GuiaUsoTestlink_v.xx.yy).

4.2.3. Plataforma■ Configuración unificada de servidores RHEL/CentOS

(D_S_AT_configuracionUnificadaRhelCentos_v.xx.yy): Estándar de configuración unificada para servidores con sistema operativo RHEL /CentOS.

■ Estrutura unificada de contornas (D_S_AT_estructuraUnificadaEntornos_v.xx.yy): Define unestándar de contornas que permite regular o ciclo de vida dun servizo TI a través dos sistemasxestionados polo Departamento de Sistemas.

4.2.4. Procedementos de desenvolvemento e auditoría técnicasOs novos proxectos de desenvolvemento ou adquisición de aplicacións software de negocio na Amtegadeben superar un procedemento de auditoria como requisito para a súa implantación. Os procedementospara seguir segundo o tipo de desenvolvemento son:

● CONVENCIONAL – (GLOBAL_PCD_convencionalDesarrolloAplicaciones_v.xx.yy). Aplicable namaioría dos proxectos de desenvolvemento de software aprobado pola Amtega.

● ÁXIL - (GLOBAL_PCD_agilDesarrolloAplicaciones_v.xx.yy). Aplica a todo proxecto dedesenvolvemento software aprobado pola Amtega, que polas súas características funcionais outécnicas de baixa complexidade, así como a ausencia de riscos en canto a infraestrutura ou bense desenvolvan baixo metodoloxías áxiles non necesite completar o Procedemento Convencional.


MO_v.04.00

● ADQUISICIÓN – (GLOBAL_PCD_adquisicion_v.xx.yy). Aplica a todo proxecto ou produto softwaredesenvolvido, cuxa adquisición foi aprobada pola Amtega.

Por outra parte o procedemento (GLOBAL_PCD_publicacionComponentesApiTransversales_v.xx.yy)utilízase para publicar novas librerías/compoñentes API transversais que sexan directamente reutilizablespor outras aplicacións ou sistemas.

4.2.5. Procedemento de publicación de aplicaciónsUnha vez superadas as etapas correspondentes dos procedemento de auditoria, pódese solicitar apublicación da aplicación na contorna que corresponda seguindo o procedemento(GLOBAL_PCD_publicacionAplicaciones_v.xx.yy).

Para a publicación de aplicacións deben seguirse os estándares relacionados cos proxectos dedesenvolvemento en XuntaTIC, sendo de especial interese neste punto o estándar de xestión de entregas(GLOBAL_ES_gestionEntregas_v.xx.yy) e a guía de versionado e etiquetaxe de software(GLOBAL_GU_versionadoEtiquetadoSW_v.xx.yy).

4.3. SeguridadeTodo proxecto desenvolto na Amtega, ademais da lexislación en materia de seguridade e protección dedatos europea, estatal e autonómica, como son a Lei Orgánica 15/1999 de Protección de Datos ou o RealDecreto 3/2010, polo que se regula o Esquema Nacional de Seguridade, deberá respectar o establecidono Documento de Seguridade (GLOBAL_DSE_documentoSeguridadeAmtega_v.xx.yy).

O obxecto do documento de seguridade é establecer as medidas de índole técnica e organizativanecesarias para garantir os niveis de seguridade que deben reunir os ficheiros, os tratamentos, os locais,os equipos, os sistemas, os programas e as persoas que interveñen no tratamento de datos de carácterpersoal suxeitos ao réxime da LOPD.

Ademais na Amtega existen diferentes políticas, guías e estándares de seguridade da información deobrigado cumprimento que se citan nos apartados seguintes.

4.3.1. Xestión de persoal ■ Boas prácticas no uso de sistemas de información (Decreto 230/2008): Regula as normas de

utilización dos sistemas de información e de comunicacións, fixos e móbiles, de que dispón aAdministración da Comunidade Autónoma de Galicia, e establece os dereitos e as obrigacións daspersoas usuarias destes sistemas no relativo á súa seguridade e bo uso.

■ Boas prácticas no ámbito da protección de datos (GLOBAL_BP_proteccionDatos_v.xx.yy):Mediante este documento facilítase a todas as persoas usuarias dos sistemas de información daAdministración da Comunidade Autónoma de Galicia, información suficiente para que coñezan asfuncións e obrigacións que lles correspondan no marco da protección de datos.

■ Documento de roles e responsabilidades:

(GLOBAL_PL_FuncionsObrigasLOPDPersoalAmtega_v.xx.yy): Funcións e obrigacións que opersoal debe levar a cabo en relación cos ficheiros que conteñan datos de carácter persoal, enfunción das tarefas que teñan encomendadas.

4.3.2. Entrega de compromisos de confidencialidade■ Deben entregar compromiso de confidencialidade -en formato pdf e asinado electronicamente-

seguindo o procedemento (GLOBAL_PCD_envioCompromisosConfidencialidade_v.xx.yy):

● As organizacións alleas á administración autonómica que debido á súa relación decolaboración coa Amtega accedan a información do sector público autonómico.

● Todo o persoal alleo á administración autonómica que poida ter acceso á información dosector público autonómico, de forma intencionada ou non, incluído o persoal de entidadessubcontratadas.

4.3.3. Acceso aos sistemas de información y acceso físico■ Política de acceso lóxico aos sistemas de información

(GLOBAL_PL_AccesoLoxicoSI_v.xx.yy): Establece un marco de actuación que garante un control adecuado do acceso dos usuarios aos sistemas de información da Xunta de Galicia.


MO_v.04.00

■ Política de control de acceso físico (GLOBAL_PL_ControlAccesoFisico_v.xx.yy): Conxunto demedidas de protección a aplicar nas instalacións para a prevención de posibles accesos aInformación por parte de persoas non autorizadas, e para proporcionar evidencias necesariascando se produza un acceso ou intento de acceso.

■ Política de control de acceso a la red (GLOBAL_PL_AccesoRede_v.xx.yy): Marco de referenciapara o acceso á rede coporativa da Xunta de Galicia.

■ Política de seguridade das redes sen fíos (WIFI)

(GLOBAL_PL_SeguridadeRedesSenFios_v.xx.yy): Marco para o uso de redes inalámbricas (WIFI)dentro da Rede Corporativa da Xunta de Galicia.

■ Política de acceso remoto corporativo (GLOBAL_PL_AccesoRemotoCorporativo_v.xx.yy):Establece un marco para ou acceso á rede interna e aos sistemas de información dá Xunta deGalicia accesibles desde a mesma mediante acceso remoto corporativo e que permita garantir asúa seguridade.

■ Política de contrasinais para o acceso a sistemas de información(GLOBAL_PL_PoliticaContrasinal_v.xx.yy): Establece unha política de contrasinais común para ossistemas de información corporativos da Xunta de Galicia que utilizan como método deautenticación un identificador e un contrasinal.

4.3.4. Seguridade no desenvolvemento de aplicacións e sistemas■ Políticas de seguridade Web (GLOBAL_PL_PoliticaSeguridadeWeb_v.xx.yy): Políticas de

seguridade a seguir por todos os portais e aplicacións web da Administración da ComunidadeAutónoma de Galicia.

■ Procedemento de análise de vulnerabilidades en aplicacións e sistemas(GLOBAL_PCD_ProbasSeguridade_v.xx.yy): Regula as diferentes probas de seguridade que serealizan na Amtega para a análise de vulnerabilidades en aplicacións web e sistemas.


Estándares de desenvolvemento ES e adquisición de ... · MO_v.04.00 CONTROL DE VERSIÓNS E...

Documents

Transcript of Estándares de desenvolvemento ES e adquisición de ... · MO_v.04.00 CONTROL DE VERSIÓNS E...