Upload
doanthu
View
225
Download
0
Embed Size (px)
Citation preview
Firmadoc Digitalización Certificada 1.0.0
PLAN DE GESTIÓN DE CALIDAD
Versión 1.1 – 25/01/2009
Página 2 Rev. 1.1 25/01/2009
ÍNDICE
REVISIONES DEL PLAN DE GESTIÓN DE CALIDAD ................................................................ 3
INTRODUCCIÓN ................................................................................................................ 4
DESCRIPCIÓN .............................................................................................................................. 4 DOCUMENTOS REFERENCIADOS ...................................................................................................... 4
SEGURIDAD Y MANTENIMIENTO DE LOS SISTEMAS ........................................................... 5
GENERAL .................................................................................................................................... 5 DE LOS SISTEMAS OPERATIVOS ........................................................................................................ 5 DE LA BASE DE DATOS DOCUMENTAL ................................................................................................ 6 DEL APLICATIVO FIRMADOC ........................................................................................................... 8 DE LOS DISPOSITIVOS ASOCIADOS: ESCÁNER ...................................................................................... 9 DE LOS DISPOSITIVOS ASOCIADOS: DISPOSITIVOS DE CREACIÓN DE FIRMA ................................................. 9 DE LOS DISPOSITIVOS ASOCIADOS: CERTIFICADOS .............................................................................. 10
VIGENCIA DE LAS NORMAS Y ALGORITMOS ASOCIADOS ................................................. 11
GESTIÓN DE INCIDENCIAS ............................................................................................... 12
CONTRATO TIPO DE ADHESIÓN AL PLAN DE GESTIÓN DE CALIDAD .................................. 13
Página 3 Rev. 1.1 25/01/2009
REVISIONES DEL PLAN DE GESTIÓN DE CALIDAD
LANZADO POR FECHA CON LA APROBACIÓN DE FECHA
Ramiro Oliva Navas 09/05/2008 Ramiro Oliva Navas 25/01/2009
DOCUMENTO FECHA
Primera versión, revisado por KPMG Abogados 23/12/2008
Actualización de imagen corporativa (SAGE AYTOS) 25/01/2009
Página 4 Rev. 1.1 25/01/2009
INTRODUCCIÓN
Descripción
De acuerdo con el punto Cuarto de la Resolución de 24 de octubre de 2007, de la Agencia Estatal de
Administración Tributaria, sobre procedimiento para la homologación de software de digitalización
contemplado en la Orden EHA/962/2007, de 10 de abril de 2007, se entiende por Plan de Gestión de
Calidad el conjunto de operaciones de mantenimiento preventivo y comprobaciones rutinarias que
permitan garantizar mediante su cumplimiento que, en todo momento, el estado del software de
digitalización y los dispositivos asociados producen imágenes fieles e íntegras.
El objetivo es velar por la correcta calidad de la imagen obtenida y de sus metadatos,
independientemente del momento de tiempo en el que se haga uso del software de digitalización.
Dado que la explotación, mantenimiento y conservación del software se lleva a cabo por parte del
cliente con licencia de Firmadoc Digitalización Certificada 1.0.0 y en sus propias dependencias, SAGE
AYTOS ha redactado el siguiente documento de recomendaciones de mínimos, en cuanto a seguridad
que ha de respetar y cumplir el cliente.
Asimismo se adjunta el contrato tipo de adhesión donde SAGE AYTOS, una vez aceptado y
cumplimentado por el cliente, garantiza que el cliente está correctamente informado y además
acepta las normas de uso y conservación del software y de la base de datos documental.
Documentos referenciados
El presente documento Plan de Gestión de Calidad complementa al documento de descripción
técnica de la solución Firmadoc Digitalización Certificada “REF-COMP-1 Descripción Completa del
Procedimiento de Digitalización Certificada”.
Así mismo, para la correcta explotación del sistema en general, el propio aplicativo dispone de varios
manuales, de usuario y de administrador que contienen información concreta sobre cómo configurar
o utilizar cada una de las opciones del sistema.
En dichos documentos se incluyen aspectos a tener en cuenta durante la instalación y explotación del
software, tanto de requisitos mínimos de instalación, como aspectos de seguridad y control, así
como de estándares empleados en la solución.
Página 5 Rev. 1.1 25/01/2009
SEGURIDAD Y MANTENIMIENTO DE LOS SISTEMAS
General
Es deber del cliente estar informado y cumplir con los requisitos de hardware y software,
procedimiento de digitalización certificada y otros aspectos técnicos y funcionales, descritos
en la documentación técnica del producto REF-COMP-1, así como en los diversos manuales
disponibles en la aplicación.
Es obligación del cliente velar por el correcto funcionamiento del sistema y de la
preservación de las facturas digitalizadas y de los datos que la acompañen, así como por la
aplicación de medidas de seguridad y control enunciadas en este Plan de Gestión de Calidad,
que garanticen la calidad del proceso completo de digitalización certificada.
Debe designarse un responsable de seguridad del sistema que vele por el cumplimiento y
ejecución de las tareas que se incluyen en este documento.
Debe asegurarse una formación adecuada a los técnicos con acceso a la base de datos
documental.
Debe asegurarse una formación adecuada en el uso de la solución para los usuarios
implicados en el proceso de digitalización certificada.
Debe disponerse de copia firmada de este Plan de Gestión de Calidad en las instalaciones del
cliente a disposición de los técnicos de sistemas y usuarios involucrados en la seguridad y
mantenimiento del mismo, así como a terceras partes que pudieran requerirlo.
De los sistemas operativos
En las estaciones de trabajo y servidores donde se vaya a desplegar la solución, es necesario llevar a
cabo las siguientes tareas:
Comprobar la instalación de actualizaciones mayores (“Service Packs”) y de parches de
seguridad disponibles.
Comprobar la autorización de acceso de los usuarios implicados al sistema (política de
usuarios y contraseñas). Actualizar las contraseñas si no se ajustan a unos mínimos de
seguridad (se recomienda una longitud mínima de 8 caracteres, alternando mayúsculas,
minúsculas y dígitos). Se recomienda que la política de control de accesos de la entidad
incluya el cambio periódico de las contraseñas de acceso.
Página 6 Rev. 1.1 25/01/2009
Revisar y ajustar el perfil necesario de los usuarios del sistema (si deben o no deben ser
administradores de sus equipos, y por tanto pueden afectar a la instalación del software de
digitalización, instalar software sin autorización que pueda entrar en conflicto, desinstalar o
alterar componentes, etc.). Realizar revisiones periódicas de usuarios.
Configuración de seguridad de los directorios críticos de almacenamiento de información.
Verificar usuarios y contraseñas de acceso a recursos compartidos, especialmente cuando
dichos recursos puedan ser locales o bien estén apuntando a servidores donde se pueden
almacenar binarios del sistema de gestión documental. Se recomienda activar funciones de
cifrado sobre estos directorios siempre que estén disponibles en el sistema operativo o en
herramientas de terceros.
Disponer de sistemas de protección contra virus, software malintencionado (“malware”) y
otras amenazas. Programar verificaciones automáticas en los equipos. Velar por la
actualización constante del software antivirus en pro de un mejor rendimiento y maximizar la
protección.
Configurar los mecanismos de actualización automática de la solución de digitalización
certificada (actualización centralizada o desde cada puesto cliente, fechas de actualización)
así como habilitando el acceso a www.sicalwin.com, con objeto de que la solución pueda
descargar los parches y versiones. Comprobar el correcto funcionamiento tras una
actualización del producto.
Asegurar la comunicación entre Firmadoc y las autoridades de validación de certificados, con
objeto de que se pueda acceder al sistema con certificado digital, así como para la obtención
de sellos de tiempo.
De la base de datos documental
La entidad debe disponer de un documento que describa las medidas de seguridad mínimas
del “backoffice” a tener en las ubicaciones de almacenamiento de la Base de Datos
Documental y también en aquellos otros servidores donde opcionalmente se haya decidido
almacenar archivos binarios correspondientes a las imágenes de las facturas digitalizadas
(controles de acceso a la sala de servidores, condiciones de humedad, temperatura,
protección frente a inundaciones, etc.).
Revisar el protocolo de autenticación y de acceso a la base de datos documental
(autenticación del dominio, usuario/clave, mixta, etc.). Inventariar usuarios con acceso y tipo
de acceso a la base de datos documental (administradores de base de datos y usuarios
normales). Verificar las credenciales de acceso a la base de datos documental, asegurando
que éstas cumplen con unos requisitos mínimos de complejidad (longitud mínima
recomendada 8 caracteres, alternando mayúsculas, minúsculas y dígitos).
Página 7 Rev. 1.1 25/01/2009
Política de cambios en la base de datos documental. Qué usuarios y procesos podrán realizar
cambios en el esquema de la base de datos documental. Revisiones periódicas de usuarios y
procesos.
Realizar previsiones frente al aumento de la información de la base de datos, mediante
revisiones periódicas de la ocupación en disco de los ficheros.
Prever funcionamiento “en estrés” de la base de datos, verificando que los recursos del
servidor en cuanto a CPU y memoria no están agotados. Verificar las métricas de
rendimiento que pueda ofrecer el gestor de base de datos, así como las alertas de
rendimiento que pueda generar en los propios registros del sistema.
Revisar periódicamente el rendimiento de la base de datos, programando acciones de
ordenación de páginas, optimización de índices, y otras posibilidades que mantengan en
estado óptimo el gestor de base de datos relacional.
Asegurar que se dispone de al menos un usuario con acceso total y selectivo, sin demora, a
las facturas digitalizadas por el proceso de digitalización certificada, con posibilidad de
impresión y extracción a disco, así como por la posibilidad de buscar y obtener los datos
indicados en el punto séptimo de la Resolución del 24 de Octubre de 2007 sobre
procedimiento de homologación para software de digitalización certificada:
“Séptimo. Acceso completo y sin demora.–Se entiende por acceso completo y sin
demora aquel que posibilite una consulta en línea a los datos que permita la
visualización de los documentos con todo el detalle de su contenido, la búsqueda
selectiva por cualquiera de los datos que deban reflejarse en los libros registro
regulados en los artículos 62 y siguientes del Real Decreto 1624/1992, de 29 de
diciembre, la copia o descarga en línea en los formatos originales y la impresión a
papel de aquellos documentos que sean necesarios a los efectos de la verificación o
documentación de las actuaciones de control fiscal.
La base de datos creada debe permitir la consulta a los siguientes datos: los de la
firma electrónica de la imagen, incluido, en su caso, el sello de tiempo; la información
del certificado y los metadatos a los que se hace mención en el apartado Tercero de
esta Resolución; la referencia identificativa de la homologación acordada, una marca
de tiempo, y el nombre y número de versión del software de digitalización.”
El cliente debe disponer de un documento donde se describa la política de gestión de copias
de seguridad (“backup”), que debe incluir la relación de bases de datos, el intervalo de copia,
la ubicación donde se custodien las copias y los responsables de realizar tales copias,
custodiarlas y recuperarlas en caso necesario.
Se deben realizar copias de seguridad periódicas de la base de datos documental. La
destrucción de las facturas en papel sólo podrá llevarse a cabo cuando se halla verificado y
custodiado apropiadamente la copia de seguridad que contenga la versión digitalizada y
todos los datos que la acompañan.
Página 8 Rev. 1.1 25/01/2009
Debe mantenerse un registro de copias de seguridad realizadas.
Los archivos a incluir en las copias de seguridad son los propios de la base de datos
documental (ficheros de datos y de transacciones), así como todos los ficheros alojados en
volúmenes secundarios.
Se recomienda un etiquetado organizado que no indique de manera clara la información
contenida en cada soporte, así como cifrar y/o proteger con contraseña las copias de
seguridad realizadas.
Es recomendable realizar un análisis de riesgos y disponer de un plan de contingencias que
incluya acciones con objeto de que se garantice la recuperación de los archivos informáticos
en caso de siniestro, sustracción o avería del sistema informático en el que se almacenan las
facturas o documentos sustitutivos.
El cliente se compromete a no modificar, eliminar o alterar de forma directa las facturas
digitalizadas según el proceso de digitalización certificada, ni ningún dato de la base de datos
documental relacionado con las facturas, ni ninguno de los archivos en los volúmenes
secundarios, ni insertar registros directamente en la base de datos.
Del aplicativo Firmadoc
Configurar los mecanismos de acceso aceptados por Firmadoc (“Single-Sign-On” mediante
autenticación Windows, usuario/contraseña y/o certificado digital).
Revisar la autorización de los usuarios del sistema operativo al aplicativo Firmadoc.
Definir el organigrama de la entidad incluyendo las áreas, servicios, secciones, negociados,
departamentos, grupos y cargos necesarios.
Configurar los periodos de habilitación de cargos, indicando qué usuarios ocupan cada cargo
del organigrama, desde que fechas y posibles fechas de cese.
Configurar correctamente los roles, privilegios y permisos sobre tipos de objetos.
Definir opcionalmente la visibilidad de los tipos de documentos entre las distintas unidades
organizativas de la entidad del cliente, en especial de las facturas.
Configurar el registro de acciones de los usuarios, de forma que se registren por lo menos las
acciones de los últimos 30 días.
Asignar el privilegio de Digitalización Certificada exclusivamente a los usuarios implicados en
el proceso de digitalización certificada.
Asignar permisos de acceso al tipo de documento “facturas” a todos aquellos usuarios que lo
requieran.
Página 9 Rev. 1.1 25/01/2009
Realizar revisiones periódicas de la ocupación de cargos, así como de los usuarios
autorizados al aplicativo.
De los dispositivos asociados: escáner
El sistema requiere que el escáner incluya un driver TWAIN. Debe asegurarse que él driver
del escáner es 100% compatible con el sistema operativo empleado.
Se recomiendan escáneres de la marca Fujitsu, con los que ha sido probado exhaustivamente
el producto (Fujitsu 5120c, Fujitsu 5220c, o modelos más recientes).
No se garantiza el correcto funcionamiento con cualquier marca/modelo de escáner. El
cliente deberá realizar pruebas de digitalización simple y multi-página antes de proceder a la
puesta en marcha en real del sistema.
Se deberá velar por el cuidado y buen uso de estos dispositivos, así como de su limpieza
periódica.
Deben configurarse los parámetros de digitalización en Firmadoc, indicando profundidad de
color y resolución. La profundidad de color recomendada es 1 bit (B/N) y para el parámetro
resolución se recomienda mantener el mínimo que acepta el sistema: 200 ppp.
De los dispositivos asociados: dispositivos de creación de firma
El cliente debe verificar el funcionamiento de los dispositivos de firma (tarjetas inteligentes,
certificados de software) y comprobar su compatibilidad con la configuración del producto,
previa a la puesta en marcha en real del mismo.
Debe controlarse que la instalación de dispositivos seguros de creación de firma se lleve a
cabo por personal cualificado y verificar que, en caso de instalarse más de un dispositivo en
un mismo equipo, que no exista incompatibilidad.
Debe procederse a la actualización del CSP, driver o componente hardware si el fabricante
del mismo así lo recomienda y no hacerlo pueda afectar al rendimiento o seguridad del
proceso
Página 10 Rev. 1.1 25/01/2009
De los dispositivos asociados: certificados
El aplicativo Firmadoc emite un aviso de caducidad próxima del certificado configurable. Se
recomienda activar un aviso 15 días antes de la caducidad del mismo. El cliente debe velar
por la vigencia de los certificados y es responsable de la renovación de los mismos, tiempo
antes de que venzan.
Deben configurarse en Firmadoc los parámetros de aceptación y verificación de los
certificados empleados. Deben aceptarse únicamente certificados admitidos por la AEAT,
cuya relación puede encontrarse en el documento REF-COMP-1, del 23/12/2008, pág. 31.
Es imprescindible que se active la verificación del estado de revocación, que procederá a la
verificación de cada certificado empleando los servicios web de @Firma o los propios de la
entidad de certificación habilitada (CatCert, ACCV, Camerfirma, FNMT)
Debe velarse por la precisión de la hora del servidor de base de datos documental o bien del
servidor que se haya establecido como referencia para la obtención de todo tipo de fechas
del sistema.
Debe velarse por la obtención automática de sellos de tiempo, si dicha opción está habilitada
en el monitor de indexación. Estos sellos de tiempo se obtienen automáticamente a partir de
entonces y en “background” para cada una de las firmas realizadas. El cliente debe habilitar
permiso de paso a través de cualquier cortafuegos con objeto de que la aplicación pueda
invocar el servicio de sello de tiempo (descrito en el documento REF-COMP-1, del
23/12/2008, pág. 11).
En caso de pérdida del certificado, puesta en compromiso de la clave privada o de cualquier
otra actuación indebida, el cliente debe notificar a la entidad de certificación solicitando la
revocación del mismo y solicitando un certificado nuevo si fuera necesario.
Página 11 Rev. 1.1 25/01/2009
VIGENCIA DE LAS NORMAS Y ALGORITMOS ASOCIADOS
SAGE AYTOS ofrecerá asesoramiento gratuito al cliente bajo contrato de mantenimiento y
soporte en todas las cuestiones técnicas y normativas del producto de digitalización
certificada, del procedimiento de digitalización certificada así como de cuestiones
relacionadas con la certificación digital y firma electrónica.
No obstante, la obtención, utilización, revocación, suspensión o renovación de certificados
digitales únicamente incumbe al cliente y la entidad de certificación elegida por el cliente.
SAGE AYTOS notificará a todos sus clientes a través de los cauces habituales de contacto de
cambios y novedades en las normativas o técnicas relacionadas con los sistemas, productos,
y procedimientos de digitalización certificada, así como de nuevas versiones del producto
que se adapten a nuevos requerimientos.
No obstante, el cliente debe velar en todo momento por el cumplimiento de la normativa
vigente en cuanto a digitalización certificada y realizar las acciones necesarias preventivas
para asegurar en todo momento la validez de todo el procedimiento, siendo éste único
responsable en última instancia de la correcta aplicación del procedimiento.
El cliente deberá velar porque los algoritmos empleados de “hashing” y firma electrónica,
SHA1/RSA empleados actualmente en el producto, siguen siendo válidos y admitidos por la
Agencia Tributaria. SAGE AYTOS velará por la incorporación de nuevos algoritmos, según el
estado de la técnica y factores de interoperabilidad, actualizando el producto y ofreciendo
nuevas versiones que incluyan algoritmos más modernos, cuando así lo exija la Agencia
Tributaria o una norma que afecte al cliente en cuanto al proceso de digitalización certificada
en el ámbito del cliente.
El cliente es responsable de aplicar cuantas actualizaciones de software sean necesarias y
estén disponibles con objeto de cumplir con la normativa vigente.
Página 12 Rev. 1.1 25/01/2009
GESTIÓN DE INCIDENCIAS
Se recomienda designar un responsable de soporte interno que centralice cualquier
incidencia detectada en el sistema y sirva de tutor o administrador del producto Firmadoc,
así como de enlace con el Departamento de Soporte Técnico de SAGE AYTOS.
SAGE AYTOS pone a disposición del cliente un número de atención telefónica para cualquier
tipo de duda, sugerencia o incidencia en el sistema: 902 401 402.
El cliente puede ponerse en contacto también por correo electrónico, a través de las
direcciones publicadas en la página web www.sageaytos.es.
O bien, por correo postal en la dirección:
Avda. Blas Infante 6, 2º
41400 Écija ( Sevilla )
Página 13 Rev. 1.1 25/01/2009
CONTRATO TIPO DE ADHESIÓN AL PLAN DE GESTIÓN DE CALIDAD
D. ___________________________________, en _________________________ a fecha
__/__/____, en representación de la entidad ________________________, con CIF:
________________ cliente de SAGE AYTOS, declaro haber leído el Plan de Gestión de Calidad para el
mantenimiento del software Firmadoc Digitalizacion Certificada 1.0.0, el cual permite velar por la
correcta calidad de la imagen obtenida en el proceso de digitalización y de sus metadatos,
independientemente del momento de tiempo en el que se haga uso del software de digitalización.
Asimismo, adquiero el compromiso expreso de llevar a cabo el conjunto de operaciones de
mantenimiento preventivo y comprobaciones rutinarias que permitan garantizar mediante su
cumplimiento que, en todo momento, el estado del software de digitalización y sus dispositivos
asociados producen imágenes fieles e íntegras, de acuerdo con la ORDEN EHA/962/2007, de 10 de
abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y
conservación electrónica de facturas, contenidas en el Real Decreto 1496/2003, de 28 de noviembre,
por el que se aprueba el reglamento por el que se regulan las obligaciones de facturación; y de
acuerdo con la RESOLUCIÓN de 24 de octubre de 2007, de la Agencia Estatal de Administración
Tributaria sobre procedimiento para la homologación de software de digitalización contemplado en
la citada ORDEN EHA/962/2007, de 10 de abril de 2007.
Adicionalmente he recibido por parte de SAGE AYTOS el documento REF-COMP-1
DESCRIPCIÓN COMPLETA DEL PROCEDIMIENTO DE DIGITALIZACIÓN CERTIFICADA donde se
especifican las medidas técnicas del sistemas de facturación digital, así como el procedimiento de
digitalización, entre otros documentos, con el fin de llevar a cabo un proceso de digitalización que se
adecue a las especificaciones de la ORDEN y de la RESOLUCIÓN antes mencionadas y se consiga una
imagen fiel e íntegra, tal y como se describe en este Plan de Gestión de Calidad.
_______________, __ de _________________ de ____
Firma