Tener a disposición y salvaguardar la documentación requerida que podrá ser solicitada por División de Sistemas a la Unidad Administrativa responsable para garantizar las medidas de seguridad de la información del activo que se desea hospedar, esta información es:
Copia de la Cédula del Programador o responsable técnico.
Hoja de Vida de la experiencia en programación o desarrollo web, donde se redacten trabajos similares efectuados por el mismo en dicha área
Certificaciones o capacitaciones realizadas en la herramienta de programación a utilizar.
Descripción del proyecto donde se incluye:
Herramienta de programación o desarrollo a utilizar
Motor de base de dato requerido
Plugins, plantillas, u otros elementos adicionales necesarios para el proyecto.
Modalidad de licenciamiento del software.
Cesión de derechos de autor a favor de la Universidad de Cartagena de forma vitalicia.
Duración del proyecto en todas sus etapas.
Caso de que se requiera versiones licenciadas de los productos, licencias a favor de la Universidad.
Contrato de confidencialidad caso de tener acceso a datos personales, así como adecuar el aplicativo a las políticas de tratamiento de datos personales que tiene la Universidad de Cartagena.
Ya que la División de Sistemas no posee ingenieros expertos en cada una de las herramientas existentes en el mercado, la dependencia o Unidad académica acordará con el programador o responsable técnico el soporte técnico por la vida del proyecto y ambos se comprometen en facilitar el soporte que sea requerido por la división de sistemas en casos de que se detecten riesgos para la Seguridad
El programador o responsable técnico se compromete a:
Mantener sus herramientas utilizadas para el desarrollo de forma que:
Todas las herramientas y componentes estén libres de virus
Todos los componentes y herramientas son originales con licencia o bajo modalidad de GNU
Los aplicativos caso de realizar envíos de correo electrónicos, evitaran envíos masivos, y si lo hace adaptaran mecanismos para evitar envíos de spam
Si la herramienta es web, deberá permitir certificado SSL, así como el acceso mediante contraseña también estará cifrado para evitar la falsificación del sitio o el robo de contraseña.
Evitará y adoptara medidas para que desde la página no se pueda realizar actos considerados terroristas, de robo informático, generar daños a terceros, o propagar o difundir mensajes sin autorización de la dependencia o unidad académica.
Caso de necesitar el acceso a datos personales mediante formularios u otros mecanismos, informará de sus derechos de acceso y rectificación acorde a las normas de protección de datos personales existentes en la Universidad de Cartagena, y buscará mecanismos para que una vez sean actualizadas dichas políticas los usuarios puedan ser informado antes de acceder su información.
Se evitará la solicitud de datos sensibles, como cuentas bancarias, datos religiosos, políticos, etc. de los usuarios.
Los datos privados de los usuarios serán encriptados a nivel de base de datos para en caso de inyección de código en el motor no sean visibles o accesibles.
Permitirá en cualquier momento y apoyará las auditorias de seguridad de la información que sean requeridas por la división de sistemas.
Apoyará a la División de Sistemas en los procesos de investigación que puedan abrirse como consecuencia de alteraciones, mal uso, o accesos indebidos.
La herramienta contará mínimo con los siguientes logs:
Logs de acceso
Logs de errores
Si existen formularios logs que registren los cambios en la información
La herramienta contará con los distintos perfiles que sean requeridos y el perfil de super administrador.
Si la pagina estará visible en espacio Europeo además deberá incorporar el aviso sobre el tratamiento de los cookies, o desactivar el uso de los mismo.
La Unidad administrativa o académica de la Universidad cuidara de tener una relación contractual que incluya el soporte con el ingeniero, caso de ser reemplazado por otro deberá comunicar a la División de Sistemas dicho cambio y realizar la entrega de claves de súper administración durante el proceso de cambio de ingeniero.
La División de Sistemas dará soporte del servidor, manteniendo actualizados el sistemas operativo a usar siempre a la última versión, también aportara protección cortafuegos durante protegiendo a la página de ataques de ddos, escaneando virus y activando políticas que sean necesarias para mantener la seguridad a nivel de capa de internet. Si por motivo de actualización del servidor su software presenta problemas deberá actualizar su herramienta acorde a las nuevas necesidades de los sistemas.
La División de Sistemas aportara una dirección IP pública para el aplicativo y subdominio de unicartagena.edu.co caso de ser posible.
Si el ingeniero administra el Sistema Operativo deberá programar la realización de al menos 1 backup diario, 1 backup semanal y 1 backup mensual los cuales serán sustituidos por sus backups siguientes. No nos hacemos responsable si por daños en los contenidos o cualquier otro factor (rotura de disco, virus, etc.) los backups están defectuosos.
La División de sistemas podrá suspender temporalmente el servicio si:
Por mantenimiento en el datacenter programado
Por mantenimiento en el datacenter no programado
Por daños en la conexión de internet
Por daños en las plantas
Por medidas de seguridad.
La División de Sistemas podrá suspender definitivamente el servicio si:
Se requiere el programador o responsable técnico para cualquiera de los motivos anteriormente mencionados y no atiende las peticiones de la División de Sistemas.
Se evidencia malas prácticas en el aplicativo
Se evidencia la desactualización de la herramienta
No existe soporte para dicha herramienta.
Consumo excesivo de recursos.
Se evidencia material digital no acorde al fin del proyecto o material ilícito.
La cesión de espacio a terceros
Almacenamiento de bakups.
La utilización de sus direcciones de correo electrónico con fines de spam, mail bombing, phishing, escrow fraud, scam 419, pharming, difusión de virus (troyanos, gusanos, etc.), o cualquier otro tipo de actividad realizada con ánimo saboteador, fraudulento o delictivo. La División de Sistemas advierte expresamente al Cliente de que sus correos electrónicos salientes podrían ser filtrados automáticamente para detectar, en su caso, dichas actividades. Pudiendo la cuenta ser suspendida unilateralmente a fin de prevenir la caída de sus servicios.
La División de Sistemas podrá exigir responsabilidades al programador o responsable técnico si:
Por malas prácticas o falta de mantenimiento se ve afectada la ip pública y nos obliga a costear los gastos de eliminación de reportes ante los distintos entes.
Se desarrollan actividades ilícitas de forma encubierta desde el aplicativo, incluido la minería de datos.
Se realizan robos informáticos, terrorismo, extorsiones desde del aplicativo
De los daños ocasionados en los sistemas por motivo de malas prácticas informáticas.
Este es un resumen del manual de políticas para el desarrollo web y de aplicativos, estas políticas son dinámicas y están en continuo desarrollo adaptándose a la flexibilidad y demanda de la seguridad este mismo podrá ser actualizado. La no aceptación de las actualización deberá ser comunicada de forma expresa a la división de sistemas en el correo de Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. y como resultado se le desactivará el servicio.
La División de Sistemas podrá reportar los intentos de intrusión, virus y robots que están frecuentando su aplicación para que adopte las medidas de protección adecuadas.
Si existen usuarios que accedan a la plataforma se informará de las condiciones de uso de su portal.
A fin del proyecto o tras suspensión definitiva la página o producto será eliminada del servidor y la información existente en el plazo que la división de sistemas considere oportuno, sin responsabilidad alguna sobre los datos contenidos
La División de Sistemas podrá utilizar la modalidad de hosting compartido si lo considera oportuno
La División de Sistemas dará acceso al servidor mediante usuario y clave intransferibles, la cual será debidamente custodiada por el usuario para evitar acceso no autorizado. El cual será devuelto al finalizar el proyecto.
La información publicada en el aplicativo o pagina web no será de índole confidencial o de carácter reservado y si lo es notificará para realizar un plan de protección acorde a las necesidades.
La dependencia o unidad académica o administrativa no podrán alojar en el sistema contenidos que sean contrarios a la Constitución o la ley, que contravengan el Orden Público o atenten contra la moral y las buenas costumbres, que vulneren derechos de la Empresa o de terceros.
Las fotografías o imágenes publicadas donde aparezcan lugares, edificios o personas identificables deberán aportar la debida autorización de uso para evitar posibles reclamaciones legales. La supervisión de la misma será realizada por la dependencia o unidad académica o administrativa
