UNIVE

RISDA
D
TECNIC

NORM
AS DE
CONTR
OL DE
NOMB
RE:
Carina
Bautis
ta,
Mauric

1. ORGANIZACIN INFORMTICA
Las entidades y organismos del sector pblico deben estar
acopladas en un marco de trabajo para procesos de tecnologa
de informacin que aseguren la transparencia y el control, as
como el involucramiento de la alta direccin, por lo que las
actividades y procesos de tecnologa de informacin de la
organizacin deben estar bajo la responsabilidad de una unidad
que se encargue de regular y estandarizar los temas
tecnolgicos a nivel institucional.
Las entidades u organismos del sector pblico, establecern una
estructura organizacional de tecnologa de informacin que refleje las
necesidades institucionales, la cual debe ser revisada de forma
peridica para ajustar las estrategias internas que permitan satisfacer
los objetivos planteados y soporten los avances tecnolgicos. Bajo este
esquema se dispondr como mnimo de reas que cubran proyectos
tecnolgicos, infraestructura tecnolgica y soporte interno y externo de
ser el caso, considerando el tamao de la entidad y de la unidad de
tecnologa.

2. SEGREGACIN DE FUNCIONES
Las funciones y responsabilidades del personal de tecnologa de
informacin y de los usuarios de los sistemas de informacin
sern claramente definidas y formalmente comunicadas para
permitir que los roles y responsabilidades asignados se ejerzan
con suficiente autoridad y respaldo.
La asignacin de funciones y sus respectivas responsabilidades
garantizarn una adecuada segregacin, evitando funciones
incompatibles. Se debe realizar dentro de la unidad de tecnologa de
informacin la supervisin de roles y funciones del personal dentro de
cada una de las reas, para gestionar un adecuado rendimiento y
evaluar las posibilidades de reubicacin e incorporacin de nuevo
personal.
La descripcin documentada y aprobada de los puestos de trabajo que
conforman la unidad de tecnologa de informacin, contemplar los
deberes y responsabilidades, as como las habilidades y experiencia
necesarias en cada posicin, a base de las cuales se realizar la
evaluacin del desempeo.

3. PLAN INFORMTICO ESTRATGICO DE TECNOLOGA

La unidad de tecnologa de la informacin elaborar e
implementar un plan informtico estratgico para administrar y
dirigir todos los recursos tecnolgicos, el mismo que estar
alineado con el plan estratgico institucional y ste con el Plan
Nacional de Desarrollo y las polticas pblicas de gobierno.
Tendr un nivel de detalle suficiente para permitir la definicin de
planes operativos de TI y especificar como sta contribuir a los

objetivos estratgicos de la organizacin; incluir un anlisis de la

situacin actual y las propuestas de mejora con la participacin de
todas las unidades de la organizacin, se considerar la estructura
interna, procesos, infraestructura, comunicaciones, aplicaciones y
servicios a brindar, as como la definicin de estrategias, riesgos,
cronogramas, presupuesto de la inversin y operativo, fuentes de
financiamiento y los requerimientos legales y regulatorios de ser
necesario.
Los planes operativos asegurarn que se asignen los recursos
apropiados de la funcin de servicios de tecnologa de informacin a
base de lo establecido en su plan estratgico.
El plan estratgico y los planes operativos de tecnologa de
informacin sern analizados y aprobados por la mxima autoridad de
la organizacin e incorporados al presupuesto anual de la organizacin.

4. POLTICAS Y PROCEDIMIENTOS
La mxima autoridad de la entidad aprobar las polticas y
procedimientos que permitan organizar apropiadamente el rea
de tecnologa de informacin y asignar el talento humano
calificado e infraestructura tecnolgica necesaria.
La unidad de tecnologa de informacin definir, documentar y
difundir las polticas, estndares y procedimientos que regulen las
actividades
relacionadas
con
tecnologa
de
informacin
y
comunicaciones en la organizacin
Temas como la calidad, seguridad, confidencialidad, controles internos,
propiedad intelectual, firmas electrnicas y mensajera de datos,
legalidad del software, entre otros, sern considerados dentro de las
polticas y procedimientos a definir, los cuales adems, estarn
alineados con las leyes conexas emitidas por los organismos
competentes y estndares de tecnologa de informacin.
5. MODELO DE INFORMACIN ORGANIZACIONAL
La unidad de tecnologa de informacin definir el modelo de
informacin de la organizacin a fin de que se facilite la
creacin, uso y comparticin de la misma; y se garantice su
disponibilidad, integridad, exactitud y seguridad sobre la base
de la definicin e implantacin de los procesos y procedimientos
correspondientes.
El diseo del modelo de informacin que se defina deber constar en
un diccionario de datos corporativo que ser actualizado y
documentado de forma permanente, incluir las reglas de validacin y
los controles de integridad y consistencia, con la identificacin de los
sistemas o mdulos que lo conforman, sus relaciones y los objetivos
estratgicos a los que apoyan a fin de facilitar la incorporacin de las
aplicaciones y procesos institucionales de manera transparente.

6. ADMINISTRACIN DE PROYECTOS TECNOLGICOS

La unidad de tecnologa de informacin definir mecanismos que
faciliten la administracin de todos los proyectos informticos
que ejecuten las diferentes reas que conformen dicha unidad.
Los aspectos a considerar son:
1. Descripcin de la naturaleza, objetivos y alcance del proyecto, su
relacin con otros proyectos institucionales, sobre la base del
compromiso, participacin y aceptacin de los usuarios interesados.
2. Cronograma de actividades que facilite la ejecucin y monitoreo del
proyecto que incluir el talento humano (responsables), tecnolgicos y
financieros adems de los planes de pruebas y de capacitacin
correspondientes.
3. La formulacin de los proyectos considerar el Costo Total de
Propiedad CTP; que incluya no slo el costo de la compra, sino los
costos directos e indirectos, los beneficios relacionados con la compra
de equipos o programas informticos, aspectos del uso y
mantenimiento, formacin para el personal de soporte y usuarios, as
como el costo de operacin y de los equipos o trabajos de consultora
necesarios. 4. Para asegurar la ejecucin del proyecto se definir una
estructura en la que se nombre un servidor responsable con capacidad
de decisin y autoridad y administradores o lderes funcionales y
tecnolgicos con la descripcin de sus funciones y responsabilidades.
5. Se cubrir, como mnimo las etapas de: inicio, planeacin, ejecucin,
control, monitoreo y cierre de proyectos, as como los entregables,
aprobaciones y compromisos formales mediante el uso de actas o
documentos electrnicos legalizados.
6. El inicio de las etapas importantes del proyecto ser aprobado de
manera formal y comunicado a todos los interesados.
7. Se incorporar el anlisis de riesgos. Los riesgos identificados sern
permanentemente evaluados para retroalimentar el desarrollo del
proyecto, adems de ser registrados y considerados para la
planificacin de proyectos futuros.
8. Se deber monitorear y ejercer el control permanente de los
avances del proyecto.
9. Se establecer un plan de control de cambios y un plan de
aseguramiento de calidad que ser aprobado por las partes
interesadas.
10. El proceso de cierre incluir la aceptacin formal y pruebas que
certifiquen la calidad y el cumplimiento de los objetivos planteados
junto con los beneficios obtenidos.

7. DESARROLLO Y ADQUISICIN DE SOFTWARE APLICATIVO

La unidad de tecnologa de informacin regular los procesos de

desarrollo y adquisicin de software aplicativo con lineamientos,
metodologas y procedimientos. Los aspectos a considerar son:
1. La adquisicin de software o soluciones tecnolgicas se realizarn
sobre la base del portafolio de proyectos y servicios priorizados en
los planes estratgico y operativo previamente aprobados
considerando las polticas pblicas establecidas por el Estado.
2. Adopcin, mantenimiento y aplicacin de polticas pblicas y
estndares internacionales para: codificacin de software,
nomenclaturas, interfaz de usuario, interoperabilidad, eficiencia de
desempeo de sistemas, escalabilidad, validacin contra
requerimientos, planes de pruebas unitarias y de integracin.
3. Incluye, tipos de usuarios, requerimientos de: entrada, definicin
de interfaces, archivo, procesamiento, salida, control, seguridad,
plan de pruebas y trazabilidad o pistas de auditora de las
transacciones en donde aplique.
4. Especificacin de criterios de aceptacin de los requerimientos que
cubrirn la definicin de las necesidades, su factibilidad
tecnolgica y econmica
5. En los procesos de desarrollo, mantenimiento o adquisicin de
software aplicativo se considerarn: estndares de desarrollo, de
documentacin y de calidad, el diseo lgico y fsico de las
aplicaciones, la inclusin apropiada de controles de aplicacin
diseados para prevenir, detectar y corregir errores e
irregularidades de procesamiento, de modo que ste, sea exacto,
completo, oportuno, aprobado y auditable.
6. En caso de adquisicin de programas de computacin (paquetes de
software) se prevern tanto en el proceso de compra como en los
contratos respectivos, mecanismos que aseguren el cumplimiento
satisfactorio de los requerimientos de la entidad.
7. En los contratos realizados con terceros para desarrollo de software
deber constar que el derecho de autor ser de la entidad
contratante y el contratista entregar el cdigo fuente.
8. La implementacin de software aplicativo adquirido incluir los
procedimientos
de
configuracin,
aceptacin
y
prueba
personalizados e implantados.
9. Los derechos de autor del software desarrollado a la medida
pertenecern a la entidad y sern registrados en el organismo
competente. Para el caso de software adquirido se obtendr las
respectivas licencias de uso.
10.Formalizacin con actas de aceptacin por parte de los usuarios,
del paso de los sistemas probados y aprobados desde el ambiente
de desarrollo/prueba al de produccin y su revisin en la postimplantacin.
11.Elaboracin de manuales tcnicos, de instalacin y configuracin;
as como de usuario, los cuales sern difundidos, publicados y
actualizados de forma permanente.
8. Adquisiciones de infraestructura tecnolgica

La unidad de tecnologa de informacin definir, justificar,

implantar y actualizar la infraestructura tecnolgica de la
organizacin para lo cual se considerarn los siguientes
aspectos:
1. Las adquisiciones tecnolgicas estarn alineadas a los objetivos de
la organizacin, principios de calidad de servicio, portafolios de
proyectos y servicios, y constarn en el plan anual de contrataciones
aprobado de la institucin, caso contrario sern autorizadas por la
mxima autoridad previa justificacin tcnica documentada.
2. La unidad de tecnologa de informacin planificar el incremento de
capacidades, evaluar los riesgos tecnolgicos, los costos y la vida
til de la inversin para futuras actualizaciones, considerando los
requerimientos de carga de trabajo, de almacenamiento,
contingencias y ciclos de vida de los recursos tecnolgicos. Un
anlisis de costo beneficio para el uso compartido de Data Center
con otras entidades del sector pblico, podr ser considerado para
optimizar los recursos invertidos.
3. En la adquisicin de hardware, los contratos respectivos, tendrn el
detalle suficiente que permita establecer las caractersticas tcnicas
de los principales componentes tales como: marca, modelo, nmero
de serie, capacidades, unidades de entrada/salida, entre otros, y las
garantas ofrecidas por el proveedor, a fin de determinar la
correspondencia entre los equipos adquiridos y las especificaciones
tcnicas y requerimientos establecidos en las fases precontractual y
contractual, lo que ser confirmado en las respectivas actas de
entrega/recepcin.
4.

Los contratos con proveedores de servicio incluirn las

especificaciones formales sobre acuerdos de nivel de servicio,
puntualizando explcitamente los aspectos relacionados con la
seguridad y confidencialidad de la informacin, adems de los
requisitos legales que sean aplicables. Se aclarar expresamente
que la propiedad de los datos corresponde a la organizacin
contratante.

9. MANTENIMIENTO Y CONTROL DE LA INFRAESTRUCTURA

TECNOLGICA
La unidad de tecnologa de informacin de cada organizacin
definir y regular los procedimientos que garanticen el
mantenimiento y uso adecuado de la infraestructura tecnolgica
de las entidades.
Los temas a considerar son:
1. Definicin de procedimientos para mantenimiento y liberacin de
software de aplicacin por planeacin, por cambios a las
disposiciones legales y normativas, por correccin y mejoramiento
de los mismos o por requerimientos de los usuarios.

2. Los cambios que se realicen en procedimientos, procesos, sistemas

y acuerdos de servicios sern registrados, evaluados y autorizados
de forma previa a su implantacin a fin de disminuir los riesgos de
integridad del ambiente de produccin. El detalle e informacin de
estas modificaciones sern registrados en su correspondiente
bitcora e informados a todos los actores y usuarios finales
relacionados, adjuntando las respectivas evidencias.
3. Control y registro de las versiones del software que ingresa a
produccin.
4. Actualizacin de los manuales tcnicos y de usuario por cada
cambio o mantenimiento que se realice, los mismos que estarn en
constante difusin y publicacin.
5. Se establecern ambientes de desarrollo/pruebas y de produccin
independientes; se implementarn medidas y mecanismos lgicos
y fsicos de seguridad para proteger los recursos y garantizar su
integridad y disponibilidad a fin de proporcionar una infraestructura
de tecnologa de informacin confiable y segura.
6. Se elaborar un plan de mantenimiento preventivo y/o correctivo
de la infraestructura tecnolgica sustentado en revisiones
peridicas y monitoreo en funcin de las necesidades
organizacionales (principalmente en las aplicaciones crticas de la
organizacin), estrategias de actualizacin de hardware y software,
riesgos, evaluacin de vulnerabilidades y requerimientos de
seguridad.
7. Se mantendr el control de los bienes informticos a travs de un
inventario actualizado con el detalle de las caractersticas y
responsables a cargo, conciliado con los registros contables.
8. El mantenimiento de los bienes que se encuentren en garanta ser
proporcionado por el proveedor, sin costo adicional para la entidad.
Estrategias
Establecer planes de mantenimientos preventivo y correctivo de la
infraestructura tecnolgica peridicamente con el fin de tener a
punto y al mximo nivel la misma de la organizacin y as mismo un
monitoreo permanente para detectar las necesidades de la
organizacin o empresa
Llevar inventarios de los equipos que tengan garantas vigente con el
fin de que los mismos sean revisados por los proveedores y as
ahorrar recursos para la empresa tanto en tiempo y personal que
podran cubrir otras necesidades de la empresa
Mantener informes de versiones de sistemas que se encuentres en los
diferentes entornos de la empresa es decir desarrollo, pruebas y
produccin con el fin de llevar un control de los niveles en que se
encuentra desarrollado el sistema

10 Seguridad de tecnologa de informacin

La unidad de
que protejan
fsicos y la
informticos,
medidas.

tecnologa de informacin, establecer mecanismos

y salvaguarden contra prdidas y fugas los medios
informacin que se procesa mediante sistemas
para ello se aplicarn al menos las siguientes

1. Ubicacin adecuada y control de acceso fsico a la unidad de

tecnologa de informacin y en especial a las reas de: servidores,
desarrollo y bibliotecas.
2. Definicin de procedimientos de obtencin peridica de respaldos en
funcin a un cronograma definido y aprobado.
3. En los casos de actualizacin de tecnologas de soporte se migrar
la informacin a los medios fsicos adecuados y con estndares
abiertos para garantizar la perpetuidad de los datos y su recuperacin.
4. Almacenamiento de respaldos con informacin crtica y/o sensible en
lugares externos a la organizacin.
5. Implementacin y administracin de seguridades a nivel de
software y hardware, que se realizar con monitoreo de seguridad,
pruebas peridicas y acciones correctivas sobre las vulnerabilidades o
incidentes de seguridad identificados.
6. Instalaciones fsicas adecuadas que incluyan mecanismos,
dispositivos y equipo especializado para monitorear y controlar fuego,
mantener ambiente con temperatura y humedad relativa del aire
contralado, disponer de energa acondicionada, esto es estabilizada y
polarizada, entre otros.
7. Consideracin y disposicin de sitios de procesamiento alternativos.
8. Definicin de procedimientos de seguridad a observarse por parte
del personal que trabaja en turnos por la noche o en fin de semana.
Estrategias

Se implementara controles de acceso para evitar la entrada de

personas extraas al rea de TI, como servidores, desarrollo y as
prevenir perdidas fsicas y de informacin
Planes de control y seguridad en los niveles de software y hardware,
con monitoreo con la finalidad se sobreguardar la integridad de estos
niveles

11 Plan de contingencias
Corresponde a la unidad de tecnologa de informacin la definicin,
aprobacin e implementacin de un plan de contingencias que
describa las acciones a tomar en caso de una emergencia o
suspensin en el procesamiento de la informacin por problemas en
los equipos, programas o personal relacionado.
Los aspectos a considerar son:

1. Plan de respuesta a los riesgos que incluir la definicin y asignacin

de roles crticos para administrar los riesgos de tecnologa de
informacin, escenarios de contingencias, la responsabilidad especfica
de la seguridad de la informacin, la seguridad fsica y su
cumplimiento.
2. Definicin y ejecucin de procedimientos de control de cambios,
para asegurar que el plan de continuidad de tecnologa de informacin
se mantenga actualizado y refleje de manera permanente los
requerimientos actuales de la organizacin.
3. Plan de continuidad de las operaciones que contemplar la puesta
en marcha de un centro de cmputo alterno propio o de uso
compartido en un data Center Estatal, mientras dure la contingencia
con el restablecimiento de las comunicaciones y recuperacin de la
informacin de los respaldos.
4. Plan de recuperacin de desastres que comprender:

Actividades previas al desastre (bitcora de operaciones)

Actividades durante el desastre (plan de emergencias,
entrenamiento)
Actividades despus del desastre.

5. Es indispensable designar un comit con roles especficos y nombre

de los encargados de ejecutar las funciones de contingencia en caso de
suscitarse una emergencia.
6. El plan de contingencias ser un documento de carcter confidencial
que describa los procedimientos a seguir en caso de una emergencia o
fallo computacional que interrumpa la operatividad de los sistemas de
informacin. La aplicacin del plan permitir recuperar la operacin de
los sistemas en un nivel aceptable, adems de salvaguardar la
integridad y seguridad de la informacin.
7. El plan de contingencias aprobado, ser difundido entre el personal
responsable de su ejecucin y deber ser sometido a pruebas,
entrenamientos y evaluaciones peridicas, o cuando se haya efectuado
algn cambio en la configuracin de los equipos o el esquema de
procesamiento.
Estrategia
Implementar un plan contingencia para que la empresa contine con sus
operaciones en todo momento en casos de apagones tener una planta con
una respuesta inmediata a la ocasin as mismo en el caso de servidores un
clster que responda de manera rpida y eficiente a las peticiones de los
usuarios

12 Administracin de soporte de tecnologa de informacin

La unidad de tecnologa de informacin definir, aprobar y
difundir procedimientos de operacin que faciliten una adecuada
administracin del soporte tecnolgico y garanticen la seguridad,
integridad, confiabilidad y disponibilidad de los recursos y datos,

tanto como la oportunidad de los servicios tecnolgicos que se

ofrecen.
Los aspectos a considerar son:
1. Revisiones peridicas para determinar si la capacidad y desempeo
actual y futura de los recursos tecnolgicos son suficientes para cubrir
los niveles de servicio acordados con los usuarios.
2. Seguridad de los sistemas bajo el otorgamiento de una identificacin
nica a todos los usuarios internos, externos y temporales que
interacten con los sistemas y servicios de tecnologa de informacin
de la entidad.
3. Estandarizacin de la identificacin, autenticacin y autorizacin de
los usuarios, as como la administracin de sus cuentas.
4. Revisiones regulares de todas las cuentas de usuarios y los
privilegios asociados a cargo de los dueos de los procesos y
administradores de los sistemas de tecnologa de informacin.
5. Medidas de prevencin, deteccin y correccin que protejan a los
sistemas de informacin y a la tecnologa de la organizacin de
software malicioso y virus informticos.
6. Definicin y manejo de niveles de servicio y de operacin para todos
los procesos crticos de tecnologa de informacin sobre la base de los
requerimientos de los usuarios o clientes internos y externos de la
entidad y a las capacidades tecnolgicas.
7. Alineacin de los servicios claves de tecnologa de informacin con
los requerimientos y las prioridades de la organizacin sustentados en
la revisin, monitoreo y notificacin de la efectividad y cumplimiento
de dichos acuerdos.
8. Administracin de los incidentes reportados, requerimientos de
servicio y solicitudes de informacin y de cambios que demandan los
usuarios, a travs de mecanismos efectivos y oportunos como mesas
de ayuda o de servicios, entre otros.
9. Mantenimiento de un repositorio de diagramas y configuraciones de
hardware y software actualizado que garantice su integridad,
disponibilidad y faciliten una rpida resolucin de los problemas de
produccin.
10. Administracin adecuada de la informacin, libreras de software,
respaldos y recuperacin de datos.
11. Incorporacin de mecanismos de seguridad aplicables a la
recepcin, procesamiento, almacenamiento fsico y entrega de
informacin y de mensajes sensitivos, as como la proteccin y
conservacin de informacin utilizada para encriptacin y
autenticacin.
Estrategias

Control peridico de las tecnologas para verificar la funcionalidad y

desempeos con el fin de tener la infraestructura tecnolgica
funcionando a s mximo nivel
Tener claves nica de acceso a los sistemas para que tengan acceso
solo usuarios con privilegios o funciones en los mismos y as sobre
guardar la informacin sensible de la organizacin

13 Monitoreo y evaluacin de los procesos y servicios

Es necesario establecer un marco de trabajo de monitoreo y definir
el alcance, la metodologa y el proceso a seguir para monitorear la
contribucin y el impacto de tecnologa de informacin en la
entidad.
La unidad de tecnologa de informacin definir sobre la base de las
operaciones de la entidad, indicadores de desempeo y mtricas del
proceso para monitorear la gestin y tomar los correctivos que se
requieran.
La unidad de tecnologa de informacin definir y ejecutar
procedimientos, mecanismos y la periodicidad para la medicin, anlisis y
mejora del nivel de satisfaccin de los clientes internos y externos por los
servicios recibidos.
La unidad de tecnologa de informacin presentar informes peridicos de
gestin a la alta direccin, para que sta supervise el cumplimiento de los
objetivos planteados y se identifiquen e implanten acciones correctivas y
de mejoramiento del desempeo.

Estrategias
Presentacin de informes peridicos de la gestin realizada a la alta
direccin para verificar si se estn cumpliendo las acciones para alcanzar
las metas planeadas y de no ser as se aplique las normas o medidas
correspondientes

14 Sitio web, servicios de internet e intranet

Es responsabilidad de la unidad de tecnologa de informacin
elaborar las normas, procedimientos e instructivos de instalacin,
configuracin y utilizacin de los servicios de internet, intranet,
correo electrnico y sitio WEB de la entidad, a base de las
disposiciones legales y normativas y los requerimientos de los
usuarios externos e internos.
La unidad de tecnologa de informacin considerar el desarrollo de
aplicaciones web y/o mviles que automaticen los procesos o trmites
orientados al uso de instituciones y ciudadanos en general.
Estrategia

La unidad de TI implementaras aplicaciones para automatizar procesos o

tramites dentro de la organizacin como correo electrnico y as mejorar
la comunicacin interna de los colaboradores

15 Capacitacin informtica
Las necesidades de capacitacin sern identificadas tanto para el
personal de tecnologa de informacin como para los usuarios que
utilizan los servicios de informacin, las cuales constarn en un
plan de capacitacin informtico, formulado conjuntamente con la
unidad de talento humano. El plan estar orientado a los puestos
de trabajo y a las necesidades de conocimiento especficas
determinadas en la evaluacin de desempeo e institucionales.
Estrategias
Se mantendr un monitoreo a los colaboradores con el fin de identificar las
reas en las cuales necesitan capacitacin para el uso de las diferentes
tecnologas y as mejorar el desempeo y productividad de la empresa

16 Comit informtico
Para la creacin de un comit informtico institucional, se considerarn los
siguientes aspectos:
- El tamao y complejidad de la entidad y su interrelacin con entidades
adscritas.
- La definicin clara de los objetivos que persigue la creacin de un
comit de informtica, como un rgano de decisin, consultivo y de
gestin que tiene como propsito fundamental definir, conducir y evaluar
las polticas internas para el crecimiento ordenado y progresivo de la
tecnologa de la informacin y la calidad de los servicios informticos, as
como apoyar en esta materia a las unidades administrativas que
conforman la entidad.
- La conformacin y funciones del comit, su reglamentacin, la creacin
de grupos de trabajo, la definicin de las atribuciones y responsabilidades
de los miembros del comit, entre otros aspectos.
Estrategia
El comit de TI delegara atribuciones y responsabilidades a los diferentes
miembros del comit en diferentes departamentos de la organizacin para
tener un control de las necesidades de la misma

17 Firmas electrnicas
Las entidades, organismos y dependencias del sector pblico, as
como las personas jurdicas que acten en virtud de una potestad
estatal, ajustarn sus procedimientos y operaciones e incorporarn

los medios tcnicos necesarios, para permitir el uso de la firma

electrnica de conformidad con la Ley de Comercio Electrnico,
Firmas y Mensajes de Datos y su Reglamento.
El uso de la firma electrnica en la administracin pblica se sujetar a
las garantas, reconocimiento, efectos y validez sealados en estas
disposiciones legales y su normativa secundaria de aplicacin.
Las servidoras y servidores autorizados por las instituciones del sector
pblico podrn utilizar la firma electrnica contenida en un mensaje de
datos para el ejercicio y cumplimiento de las funciones inherentes al
cargo pblico que ocupan.
Los aplicativos que incluyan firma electrnica dispondrn de
mecanismos y reportes que faciliten una auditora de los mensajes de
datos firmados electrnicamente.
a) Verificacin de autenticidad de la firma electrnica
Es responsabilidad de las servidoras y servidores de las entidades o
dependencias del sector pblico verificar mediante procesos
automatizados de validacin, que el certificado de la firma electrnica
recibida sea emitido por una entidad de certificacin de informacin
acreditada y que el mismo se encuentre vigente.
b) Coordinacin interinstitucional de formatos para uso de la
firma electrnica
Con el propsito de que exista uniformidad y compatibilidad en el uso
de la firma electrnica, las entidades del sector pblico sujetos a este
ordenamiento coordinarn y definirn los formatos y tipos de archivo
digitales que sern aplicables para facilitar su utilizacin.
Las instituciones pblicas adoptarn y aplicar los estndares
tecnolgicos para firmas electrnicas que las entidades oficiales
promulguen, conforme a sus competencias y mbitos de accin.
c) Conservacin de archivos electrnicos
Los archivos electrnicos o mensajes de datos firmados
electrnicamente se conservarn en su estado original en medios
electrnicos seguros, bajo la responsabilidad del usuario y de la
entidad que los gener. Para ello se establecern polticas internas de
manejo y archivo de informacin digital.
d) Actualizacin
electrnicas

de

datos

de

los

certificados

de

firmas

Las servidoras y servidores de las entidades, organismos y

dependencias del sector pblico titulares de un certificado notificarn
a la entidad de certificacin de Informacin sobre cualquier cambio,
modificacin o variacin de los datos que constan en la informacin
proporcionada para la emisin del certificado.

Cuando un servidor pblico deje de prestar sus servicios temporal o

definitivamente y cuente con un certificado de firma electrnica en
virtud de sus funciones, solicitar a la entidad de certificacin de
informacin, la revocacin del mismo, adems, el superior jerrquico
ordenar su cancelacin inmediata.
El dispositivo portable seguro ser considerado un bien de la entidad
o dependencia pblica y por tanto, a la cesacin del servidor, ser
devuelto con la correspondiente acta de entrega recepcin.
e) Seguridad de los certificados y dispositivos portables seguros
Los titulares de certificados de firma electrnica y dispositivos
portables seguros sern responsables de su buen uso y proteccin.
Las respectivas claves de acceso no sern divulgadas ni compartidas
en ningn momento. El servidor solicitar la revocacin de su
certificado de firma electrnica cuando se presentare cualquier
circunstancia que pueda comprometer su utilizacin.
f) Renovacin del certificado de firma electrnica
El usuario solicitar la renovacin del certificado de firma electrnica
con la debida anticipacin, para asegurar la vigencia y validez del
certificado y de las actuaciones relacionadas con su uso.
g) Capacitacin en el uso de las firmas electrnicas
La entidad de certificacin capacitar, advertir e informar a los
solicitantes y usuarios de los servicios de certificacin de informacin
y servicios relacionados con la firma electrnica, respecto de las
medidas de seguridad, condiciones, alcances, limitaciones y
responsabilidades que deben observar en el uso de los servicios
contratados. Esta capacitacin facilitar la comprensin y utilizacin
de las firmas electrnicas, en los trminos que establecen las
disposiciones legales vigentes.