ACUERDO por el que se modifican las políticas y disposiciones para la Estrategia Digital Nacional, en materia de Tecnologías de la Información y Comunicaciones, y en la de Seguridad de la Información, así como el Manual Administrativo de Aplicación Gener ACUERDO por el que se modifican las políticas y disposiciones para la Estrategia Digital Nacional, en materia de Tecnologías de la Información y Comunicaciones, y en la de Seguridad de la Información, así como el Manual Administrativo de Aplicación General en dichas materias.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Gobierno de la República.- Secretaría de Gobernación.- Secretaría de la Función Pública.
JESÚS ALFONSO NAVARRETE PRIDA Secretario de Gobernación y ARELY GÓMEZ GONZÁLEZ Secretaria de la Función Pública, con fundamento en los artículos 10, 27, fracciones X, XXVI, XXVIII, XXIX y XLIII y 37 fracciones VI, XXVI y XXIX de la Ley Orgánica de la Administración Pública Federal; 12, fracciones II y VII, 18 y 55 de la Ley de Seguridad Nacional; 10, 11 y 24, fracción VII, del Reglamento para la Coordinación de Acciones Ejecutivas en materia de Seguridad Nacional; 1, 5, fracciones II, XXV y XXVIII, y 71 del Reglamento Interior de la Secretaría de Gobernación; así como 1, 6 y 7, fracciones I y XXI, del Reglamento Interior de la Secretaría de la Función Pública, y
CONSIDERANDO
Que tomando en consideración la importancia de seguir consolidando el desarrollo de las Tecnologías de la Información y Comunicaciones en el Gobierno Federal, así como en atención a la necesidad de eficientar y digitalizar los procesos conforme a las prioridades que en materia de austeridad y eficiencia presupuestal ha establecido el propio Gobierno Federal, resulta necesario actualizar las políticas y disposiciones para la Estrategia Digital Nacional contenidas en el Acuerdo que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias, publicado en el Diario Oficial de la Federación el 8 de mayo de 2014, y reformado el 4 de febrero de 2016, de manera que con ello se continúe combatiendo el rezago tecnológico en el que se encontraba la Administración Pública Federal, así como para simplificar y clarificar el citado documento y los procesos que integra en su Manual.
Que el avance en materia de Tecnologías de la Información y Comunicaciones ha permitido a la Administración Pública Federal eficientar sus procesos internos, proveer mejores servicios y mecanismos de comunicación con los ciudadanos, utilizando diferentes canales de atención tomando una gran preponderancia los canales digitales especialmente las redes sociales, y la prestación de trámites y servicios a través de aplicaciones móviles;
Que las tecnologías emergentes como el Internet de las Cosas (IoT), la Inteligencia Artificial (IA), la robótica, el uso de tecnologías criptográficas basadas en redes de bloques distribuidos (blockchain), el poder de análisis de la computación cuántica, entre otras, ofrecen la posibilidad de acelerar el proceso de transformación digital, trayendo grandes beneficios para el gobierno y la población, volviendo indispensable la incorporación de dichas tecnologías en los procesos al interior del gobierno y en la prestación de servicios a la ciudadanía.
Que para el uso y aprovechamiento de las Tecnologías de la Información y Comunicaciones se requiere de una activa participación de diferentes actores (academia, organismos internacionales, industria, sociedad civil, ciudadanía, entre otros) en proyectos encaminados a generar casos e innovaciones en el de uso de nuevas tecnologías, por lo que se expide el siguiente
ACUERDO POR EL QUE SE MODIFICAN LAS POLÍTICAS Y DISPOSICIONES PARA LA ESTRATEGIA
DIGITAL NACIONAL, EN MATERIA DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES,
Y EN LA DE SEGURIDAD DE LA INFORMACIÓN, ASÍ COMO EL MANUAL ADMINISTRATIVO DE
APLICACIÓN GENERAL EN DICHAS MATERIAS
ARTÍCULO PRIMERO.- SE REFORMAN el primer párrafo del artículo 1; 2; segundo párrafo del artículo 3; el título del Capítulo III; 4 BIS; el párrafo primero y fracción IX del artículo 5; las fracciones I y III del artículo 6; 8; 9; primer párrafo y las fracciones I, II, V, VII, X y XI del artículo 10; las fracciones V y VI del artículo 11; las fracciones IV y VIII del artículo 13; las fracciones II, III y IV del artículo 14; las fracciones I y II del artículo 15; las fracciones I y IX del artículo 17; la fracción V del artículo 19; la fracción VIII del artículo 27 y el último párrafo del artículo 28; SE ADICIONAN un párrafo segundo al artículo 4; el artículo 4 TER; un párrafo segundo al artículo 7; un segundo párrafo a la fracción II y la fracción XII al artículo 10; la fracción IX y un segundo párrafo al artículo 13 y la fracción III al artículo 15 del Acuerdo que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias y el diverso que lo modifica, para quedar como sigue:
Artículo 1.- El presente Acuerdo tiene por objeto emitir políticas y disposiciones para la instrumentación de la Estrategia Digital Nacional, en materia de Tecnologías de la Información y Comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias, contenido en su Anexo Único, que serán de observancia obligatoria en la Administración Pública Federal y en la Procuraduría General de la República.
...
Artículo 2.- Para los efectos del presente Acuerdo, se entiende por:
I. Accesibilidad: las medidas pertinentes para asegurar el acceso de las personas con discapacidad, en igualdad de condiciones con los demás, al entorno físico, el transporte, la información y las comunicaciones, incluidos los sistemas y las TIC y a otros servicios e instalaciones abiertos al público o de uso público, tanto en zonas urbanas como rurales de conformidad a la Ley General para la Inclusión de las Personas con Discapacidad;
II. Activos de TIC: los aplicativos de cómputo, bienes informáticos, soluciones tecnológicas, sus componentes, las bases de datos o archivos electrónicos y la información contenida en éstos;
III. Acuerdo: el Acuerdo que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el manual administrativo de aplicación general en dichas materias;
IV. Aplicativo de Cómputo: el software y/o los sistemas informáticos, que se conforman por un conjunto de componentes o programas construidos con herramientas que habilitan una funcionalidad o digitalizan un proceso, de acuerdo a requerimientos previamente definidos;
V. Arquitectura Empresarial: la información del estado actual y futuro de una Institución, a partir del análisis con perspectiva estratégica; considerando modelos de negocio, procesos, aplicativos y tecnologías de la información y comunicaciones;
VI. Arquitectura Orientada a Servicios: la metodología y marco de trabajo, para construir componentes de software reutilizables para la interoperabilidad de aplicativos de cómputo;
VII. Bases de Colaboración: los instrumentos consensuales celebrados por las Instituciones para establecer acciones que modernicen y mejoren la prestación de los servicios públicos, promocionen la productividad en el desempeño de sus funciones y reduzcan gastos de operación, a fin de incrementar la eficiencia y eficacia y cumplir con los objetivos previstos en el Programa y formalizar los compromisos, así como sus respectivos indicadores de desempeño;
VIII. Borrado Seguro: el proceso mediante el cual se elimina de manera permanente y de forma irrecuperable la información contenida en medios de almacenamiento digital;
IX. Cartera Ejecutiva de Proyectos de TIC: Conjunto total de proyectos de TIC que la institución propondrá a la Unidad para su seguimiento;
X. Cartera Operativa de Proyectos de TIC: Conjunto total de proyectos que soportan la operación diaria de la UTIC y no son considerados como estratégicos;
XI. Centro: el Centro de Investigación y Seguridad Nacional, órgano desconcentrado de la Secretaría de Gobernación;
XII. Centro de Datos: el lugar físico en los que se ubiquen los activos de TIC y desde el que se proveen servicios de TIC;
XIII. CNTSE: el Catálogo Nacional de Trámites y Servicios del Estado, al que se alude en el Programa;
XIV. Cómputo en la Nube: al modelo de prestación de servicios digitales que permite a las Instituciones acceder a un catálogo de servicios digitales estandarizados, los cuales pueden ser: de infraestructura como servicios, de plataforma como servicios y de software como servicios;
XV. Decreto: el Decreto que establece las medidas para el uso eficiente, transparente y eficaz de los recursos públicos, y las acciones de disciplina presupuestaria en el ejercicio del gasto público, así como para la modernización de la Administración Pública Federal, publicado en el Diario Oficial de la Federación el 10 de diciembre de 2012;
XVI. Decreto de Datos Abiertos: el Decreto por el que se establece la regulación en materia de Datos Abiertos publicado en el Diario Oficial de la Federación el 20 de febrero de 2015;
XVII. Dependencias: las Secretarías de Estado, incluyendo a sus órganos administrativos desconcentrados y la Consejería Jurídica del Ejecutivo Federal, así como a la Oficina de la Presidencia de la República y la Procuraduría General de la República; así como los Órganos Reguladores Coordinados en Materia Energética;
XVIII. Dictamen Técnico: el resultado del análisis de la contratación sometida a estudio de la Unidad, a través del cual se verifica que la misma sea en materia de TIC y/o TO, su alineación a la Estrategia Digital Nacional, así como el cumplimiento de los requisitos formales que establece este Acuerdo;
XIX. Diseminación: la transmisión o entrega de información considerada de seguridad nacional, a quienes cumplan con los requisitos para conocer esa información, de acuerdo con el nivel de acceso autorizado;
XX. Dominio Tecnológico: las agrupaciones lógicas de TIC denominadas dominios, que conforman la arquitectura tecnológica de la Institución, los cuales podrán ser, entre otros, los grupos de seguridad, cómputo central y distribuido, cómputo de usuario final, telecomunicaciones, colaboración y correo electrónico, internet, intranet y aplicativos de cómputo;
XXI. EDN: la Estrategia Digital Nacional contenida en el Objetivo número 5 del Programa;
XXII. EIDA: el Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal, establecido mediante Acuerdo publicado en el Diario Oficial de la Federación el 6 de septiembre de 2011;
XXIII. Entidades: los organismos descentralizados, empresas de participación estatal mayoritaria, instituciones nacionales de crédito, organizaciones auxiliares nacionales de crédito e instituciones nacionales de seguros y de fianzas, y fideicomisos públicos que en términos de la Ley Orgánica de la Administración Pública Federal y de la Ley Federal de las Entidades Paraestatales, sean considerados entidades de la Administración Pública Federal Paraestatal;
XXIV. ERISC: equipo de respuesta a incidentes de seguridad en TIC en la Institución;
XXV. Esquema de Tiempo y Materiales: los servicios en que el proveedor asigna, durante un periodo, un determinado número de recursos humanos, que cumplirán actividades definidas mediante un contrato;
XXVI. Estándar abierto: a las especificaciones cuya utilización esté disponible de manera gratuita o que no suponga una dificultad de acceso, y que su uso y aplicación no esté condicionada al pago de un derecho de propiedad;
XXVII. Herramienta de Gestión de la Política TIC: el sistema web de control y gestión de las actividades establecidas en el presente Acuerdo y en el MAAGTICSI, considerando el reporte de PETIC, la obtención del Dictamen Técnico y Visto Bueno que emite la Unidad, la Arquitectura Empresarial, reporte de cumplimiento de obligaciones, entre otros;
XXVIII. Identidad Digital: la información y datos que permiten identificar de manera individual e inequívoca los atributos de una persona física o moral, por medio de la Clave Única de Registro de Población o la clave del Registro Federal de Contribuyentes, o firma electrónica avanzada (e.firma); a título personal o a través de su representante legal, con la finalidad de acceder a un aplicativo de cómputo o un servicio electrónico y que permite darle trazabilidad a las acciones realizadas ante el mismo.
XXIX. Infraestructura Activa: elementos de las redes de telecomunicaciones o radiodifusión que almacenan, emiten, procesan, reciben o transmiten escritos, imágenes, sonidos, señales, signos o información de cualquier naturaleza;
XXX. Infraestructuras Críticas de Información: Las infraestructuras de información esenciales consideradas estratégicas, por estar relacionadas con la provisión de bienes y prestación de servicios públicos esenciales, y cuya afectación pudiera comprometer la Seguridad Nacional en términos de la Ley de la materia;
XXXI. Infraestructuras de Información esenciales: Las redes, servicios, equipos e instalaciones asociados o vinculados con activos de información, TIC y TO, cuya afectación, interrupción o destrucción tendría un impacto mayor en la operación de las Instituciones;
XXXII. Infraestructura de TIC: el hardware, software, redes e instalaciones requeridas para desarrollar, probar, proveer, monitorear, controlar y soportar los servicios de TIC;
XXXIII. Infraestructura Pasiva: elementos accesorios que proporcionan soporte a la infraestructura activa, entre otros, bastidores, cableado subterráneo y aéreo, canalizaciones, construcciones, ductos, obras, postes, sistemas de suministro y respaldo de energía eléctrica, sistemas de climatización, sitios, torres y demás aditamentos, dentro de las instalaciones de las dependencias o entidades, que sean necesarios para la instalación y operación de las redes, así como para la prestación de servicios de procesamiento de datos, de telecomunicaciones y radiodifusión;
XXXIV. Instancias de Seguridad Nacional: las Instituciones o autoridades que en función de sus atribuciones participen directa o indirectamente en la seguridad nacional, conforme a lo dispuesto en la fracción II del artículo 6 de la Ley de Seguridad Nacional, incluidas aquellas que tengan reconocido dicho carácter por Acuerdo tomado en el seno del Consejo de Seguridad Nacional;
XXXV. Institución: las dependencias y entidades de la Administración Pública Federal, tal y como se definen en este Acuerdo;
XXXVI. Lineamientos: los Lineamientos para la aplicación y seguimiento de las medidas para el uso eficiente, transparente y eficaz de los recursos públicos, y las acciones de disciplina presupuestaria en el ejercicio del gasto público, así como para la modernización de la Administración Pública Federal, publicados en el Diario Oficial de la Federación el 30 de enero de 2013;
XXXVII. MAAGMAASSP: el Manual Administrativo de Aplicación General en Materia de Adquisiciones, Arrendamientos y Servicios del Sector Público;
XXXVIII. MAAGTICSI: el Manual Administrativo de Aplicación General en las materias de tecnologías de la información y comunicaciones, y en la de seguridad de la información. Anexo Único del presente Acuerdo;
XXXIX. Niveles de servicio: el establecimiento en un lenguaje no técnico del servicio brindado, incluyendo al menos la definición, disponibilidad, calidad, tiempos de respuesta y solución;
XL. PETIC: el conjunto de proyectos que elaboran las Instituciones, conformado por un máximo de 7 proyectos estratégicos, en los términos establecidos en el presente Acuerdo;
XLI. Portafolio de proyectos de TIC: es el total de los proyectos de TIC agrupados según su clasificación en Cartera Ejecutiva de Proyectos de TIC y Cartera Operativa de Proyectos de TIC que la Institución planea desarrollar, en los términos establecidos por el MAAGTICSI;
XLII. Procesamiento de Datos: cualquier ordenación o tratamiento de datos (elementos básicos de información) que se lleva a cabo de manera automática por medio de sistemas o aplicativos de cómputo;
XLIII. Programa: el Programa para un Gobierno Cercano y Moderno 2013-2018, aprobado mediante Decreto publicado en el Diario Oficial de la Federación el 30 de agosto de 2013;
XLIV. Proyectos de TIC: el esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado de TIC y que cuenta con presupuesto para su ejecución; considerando 2 tipos: proyectos operativos que soportan las actividades diarias de la UTIC y proyectos estratégicos en los términos señalados en el presente Acuerdo;
XLV. Retos Públicos: el modelo que fomenta la democratización del gasto público y la innovación, invitando a los emprendedores del país a plantear soluciones a retos de gobierno mediante el desarrollo de aplicativos tecnológicos web y móviles;
XLVI. SEGOB: la Secretaría de Gobernación;
XLVII. Seguridad de la Información: la capacidad de preservar la confidencialidad, integridad y disponibilidad de la información, así como la autenticidad, confiabilidad, trazabilidad y no repudio de la misma;
XLVIII. Seguridad Nacional: las acciones a las que se refiere el artículo 3 de la Ley de Seguridad Nacional;
XLIX. SFP: la Secretaría de la Función Pública;
L. SHCP: la Secretaría de Hacienda y Crédito Público;
LI. Software Público: el creado por entes públicos y puesto a disposición de entes públicos y privados bajo los principios de software libre, estándares abiertos y de código abierto que promuevan la colaboración, innovación y sustentabilidad;
LII. Tecnologías verdes: el conjunto de mecanismos y acciones sobre el uso y aprovechamiento de las tecnologías de la información y comunicaciones, que reducen el impacto de éstas sobre el medio ambiente, contribuyendo a la sustentabilidad ambiental; considerando inclusive el reciclaje de componentes utilizados en el uso de estas tecnologías;
LIII. TIC: las Tecnologías de la Información y Comunicaciones que comprenden el equipo de cómputo, software, dispositivos de impresión, infraestructura y servicios que sean utilizadas para almacenar, procesar, convertir, proteger, transferir y recuperar información, datos, voz, imágenes y video;
LIV. TO: las Tecnologías de Operación que comprenden el hardware o software que detecta o genera un cambio a través del control y/o monitoreo de dispositivos físicos, procesos y eventos en las Instituciones;
LV. Unidad: la Unidad de Gobierno Digital de la SFP;
LVI. UPCP: la Unidad Política de Control Presupuestario de la SHCP;
LVII. UTIC: la Unidad de Tecnologías de Información y Comunicaciones o área responsables de las TIC en la Institución;
LVIII. Ventanilla Única Nacional: la establecida a través del Decreto publicado en el Diario Oficial de la Federación el 3 de febrero de 2015, y
LIX. Visto Bueno: la validación técnica de la Unidad en términos del cumplimiento del estándar de servicios digitales conforme a los criterios técnicos, metodologías, guías, instructivos y demás instrumentos análogos que emita la propia Unidad.
Artículo 3.- ...
El Órgano Interno de Control competente, podrá emitir las sugerencias u observaciones que de manera fundada y motivada considere pertinentes, derivado de la observancia de este Acuerdo y su Anexo, a través de la Herramienta de Gestión de la Política TIC.
Capítulo III
Políticas para instrumentar la Estrategia Digital Nacional
Artículo 4.- ...
Las Instituciones deberán facilitar un ambiente de innovación tecnológica abierta, sustentable y colaborativa con el fin de fortalecer el desarrollo del país, conforme a la normatividad aplicable; propiciando, entre otros, el ahorro de recursos humanos y económicos respecto a los requerimientos tecnológicos en materia de software para la Administración Pública Federal y la Procuraduría General de la República.
Artículo 4 BIS.- El modelo de contrataciones en materia de tecnología de la información y comunicación deberá adoptar y desarrollar estándares abiertos que permitan la implementación de la interoperabilidad, escalabilidad, sostenibilidad, estabilidad, así como flexibilidad ante la evolución tecnológica, considerando el fomento de la neutralidad tecnológica y el mejor beneficio para el Estado, atendiendo los objetivos del proyecto al que se destine la tecnología a contratar. Asimismo, deberá contribuir en la adopción e implementación de la política de software público que sea emitida por la Unidad.
Artículo 4 TER.- Las Instituciones cuyos sitios se encuentren en proceso de migración al portal www.gob.mx, deberán publicar los Términos de libre uso de datos bajo los cuales se indique al público usuario las actividades y las condiciones que pueden aplicar respecto de los datos ahí contenidos y que de conformidad con la normatividad aplicable sean considerados de libre uso.
Para aquellos sitios que se encuentren migrados al portal www.gob.mx resultarán aplicables los términos de libre uso de dicho portal.
Artículo 5.- El Portafolio de Proyectos de TIC se sujetará a lo dispuesto en los artículos 4 y 4 BIS, para lo cual atenderá lo siguiente:
I. a VIII. ...
IX. Someter al Visto Bueno de la Unidad, los aplicativos de cómputo para dispositivos móviles que planeen desarrollar o que estén próximos a liberar. Estos deberán dar cumplimiento a los criterios que en materia de gobierno móvil emita la Unidad. La Unidad deberá emitir el Visto Bueno correspondiente en un plazo máximo de 15 días hábiles siguientes a la recepción de la solicitud correspondiente.
Artículo 6.- ...
I. Las Instituciones presentarán a la Unidad, a través de la Herramienta de Gestión de la Política TIC, durante el mes de octubre de cada año, la Cartera Ejecutiva de Proyectos de TIC del año siguiente, la cual deberá de quedar comprendida en un solo paquete; para conformar el PETIC deberán identificar como máximo 7 Proyectos de TIC como estratégicos, considerando como criterios para su identificación, aquellos que aporten mayores beneficios a la población o cuenten con alto impacto en el cumplimiento de los objetivos institucionales, de la EDN, del Programa y del Decreto. Durante la vigencia de dicha Cartera, se podrán realizar las actualizaciones que se consideren pertinentes, mismas que deberán de hacerse del conocimiento de la Unidad para su seguimiento a través de los mecanismos que para ello sean habilitados a través de la Herramienta de Gestión de la Política TIC;
Una vez presentada la Cartera Ejecutiva de Proyectos de TIC, la Unidad remitirá a las Instituciones, en su caso, el Visto Bueno de dicha Cartera, a más tardar el 31 de diciembre del año anterior al que corresponda a la Cartera Ejecutiva de Proyectos de TIC presentada. En el supuesto que la Unidad formule observaciones, las Instituciones contarán con 15 días hábiles a partir del día hábil siguiente que se les notifique, para solventarlas y presentar nuevamente su Cartera Ejecutiva de Proyectos de TIC incluido el PETIC; en cuyo caso, la Unidad contará con 15 días hábiles para dar una respuesta;
II. ...
III. Las Instituciones promoverán el desarrollo de aplicativos de cómputo para dispositivos móviles bajo el modelo de Retos Públicos, asegurando que dichos aplicativos sean acordes con estas políticas y demás disposiciones aplicables.
Artículo 7.- ...
Asimismo, cuando sea aplicable, deberán asegurarse de que los aplicativos de cómputo o servicios de TIC existentes o por contratar incluyan, como campo llave para la interoperabilidad entre éstos, la Clave Única de Registro de Población y en su caso, otros atributos que permitan verificar la identidad digital correspondiente.
Artículo 8.- Las Instituciones deberán compartir recursos de infraestructura, bienes y servicios en todos los dominios tecnológicos, utilizando soluciones tecnológicas comunes a nivel institucional, sectorial y de la Administración Pública Federal, conforme a los criterios que emita la Unidad, teniendo en consideración la seguridad de la información, la privacidad y protección de datos personales de acuerdo a la normatividad aplicable a la materia.
Artículo 9.- Las Instituciones para la contratación de TIC y/o TO en sus modalidades de adquisición, arrendamiento y servicios, además de sujetarse a las disposiciones que se establecen en la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, su Reglamento, el MAAGMAASSP, y demás disposiciones aplicables en la materia, deberán observar lo siguiente:
I. En la planeación de las contrataciones, se sujetarán a las estrategias y líneas de acción de la EDN contenidas en el Programa;
II. En la investigación de mercado que deban realizar para seleccionar el procedimiento de contratación, verificarán si existe algún ente público, con la debida certificación o acreditación que, conforme a su objeto y niveles de servicio, esté en posibilidad de suministrar los bienes o prestar los servicios que se requieran, a efecto de considerarlo en dicha investigación;
III. Para la contratación de servicios, se establecerá en la convocatoria a la licitación pública, en la invitación a cuando menos tres personas, en las solicitudes de cotización, o en el contrato que se celebre, según corresponda, la obligación de presentar, además de los precios unitarios del servicio, un desglose de los componentes técnicos que integren el servicio a prestar, de acuerdo a la normatividad aplicable;
IV. Cuando se pretenda adquirir, arrendar o contratar servicios de bienes de TIC y/o TO, las Instituciones deben justificar ante la Unidad, en el estudio de factibilidad, el costo-beneficio de la adquisición, arrendamiento o servicio de que se trate.
Quedan exceptuados los arrendamientos o contrataciones de servicios de bienes de TIC y/o TO inferiores al equivalente a trescientas veces el Valor de la Unidad de Medida y Actualización vigente, por lo que no requerirá el Dictamen Técnico de la Unidad. Para el caso de adquisiciones, será necesario el Dictamen Técnico de la Unidad sin importar el monto que éstas impliquen, y
V. Contratar bienes o servicios que respeten los derechos de propiedad intelectual de terceros.
La UTIC registrará en la Herramienta de Gestión de la Política TIC su Estudio de Factibilidad y verificará que se haya anexado lo siguiente:
a. El resultado de la investigación de mercado;
b. El estudio de costo beneficio;
c. El pronunciamiento sobre la existencia de un ente público que esté en posibilidad de suministrar los bienes o prestar los servicios que se requieran, y
d. El documento que acredite el inicio del trámite o la autorización, en el caso contrataciones plurianuales.
Dichos documentos deberán ser integrados con los elementos establecidos en las presentes disposiciones jurídicas aplicables a la Herramienta de Gestión de la Política TIC antes referida para después turnarlo al Órgano Interno de Control respectivo para que de conformidad con lo señalado en el numeral 32 de los Lineamientos emita sus sugerencias u observaciones de manera fundada y motivada a través del mismo medio, a más tardar, dentro de los 8 días hábiles siguientes a la recepción. Una vez que la UTIC reciba dicha respuesta podrá enviar el estudio en cuestión a la Unidad.
En el caso de adquisiciones, la Unidad emitirá el dictamen técnico correspondiente a más tardar a los 10 días hábiles posteriores a la recepción de la solicitud y lo turnará a la UPCP junto con la solicitud y sus anexos. La UPCP en el ámbito de sus atribuciones emitirá el pronunciamiento dentro de los 20 días hábiles posteriores a la recepción de la solicitud, tal y como lo establece el numeral 33 de los Lineamientos.
Tratándose de arrendamientos y contratación de servicios de bienes de TIC y/o TO la Unidad emitirá, en su caso, el Dictamen Técnico, a través de la Herramienta de Gestión de la Política TIC, en un término de 15 días hábiles posteriores a la recepción de la solicitud correspondiente. Las solicitudes se tendrán por dictaminadas favorablemente, si transcurrido el plazo señalado la Unidad no emite pronunciamiento alguno.
En caso de que la Unidad requiera mayor información, podrá regresar la solicitud a la Institución y formular el requerimiento respectivo, en dicho caso el cómputo del plazo señalado en los párrafos anteriores se reiniciará una vez que se presente la información requerida.
Para la contratación de servicios de hospedaje de infraestructura y aplicaciones en un centro de datos, incluyendo hospedaje en la nube, las Instituciones deberán solicitar el Dictamen Técnico de la Unidad, de conformidad con el numeral 35 de los Lineamientos, la que emitirá el mismo a más tardar a los 10 días hábiles posteriores a la recepción de la solicitud. En este caso, las Instituciones y los proveedores deberán someterse a la jurisdicción de las leyes y tribunales mexicanos sin importar el territorio en el que los datos se encuentren alojados.
Tratándose de la creación de dominios y apertura de cuentas en redes sociales, las Instituciones deberán solicitar el Visto Bueno de la Unidad. Para tal caso, la Unidad emitirá dicho Visto Bueno en un término de 10 días hábiles posteriores a la recepción de la solicitud correspondiente. Las dependencias y entidades priorizarán el uso del dominio de la cabeza de sector, salvo que la funcionalidad requerida no cubra la funcionalidad estándar de la Ventanilla Única Nacional.
Dicha solicitud se hará atendiendo, entre otras, lo siguiente:
a. Deberá ser enviada por la Dependencia o Entidad cabeza de sector por medio del enlace de comunicación digital;
b. Se enviará mediante oficio, con copia para el Órgano Interno de Control, que contenga: la funcionalidad y finalidad del sitio, así como el nombre del dominio;
c. En caso de sólo requerir la reserva del dominio, esta se realizará por parte de la Unidad de Gobierno Digital, y
d. Todo dominio o cuenta de red social que no cuente con el Visto Bueno de la Unidad será dado de baja.
En caso de que la Unidad requiera mayor información, en cualquiera de los casos anteriores, podrá regresar la solicitud a la Institución y formular el requerimiento respectivo. En dicho caso el cómputo del plazo señalado en los párrafos anteriores se reiniciará una vez que se presente la información requerida. En caso de que la Unidad detecte información omisa o imprecisa por segunda ocasión, se negará el Dictamen Técnico o Visto Bueno, según corresponda.
La Unidad se podrá allegar de la opinión de servidores públicos de las diversas dependencias y entidades de la Administración Pública Federal para la emisión del Dictamen Técnico o Visto Bueno correspondiente.
Artículo 10.- En las contrataciones relacionadas con los servicios de desarrollo, implementación, soporte a la operación y mantenimiento de aplicativos de cómputo, las Instituciones deberán prever en las convocatorias a la licitación pública, en las invitaciones a cuando menos tres personas o en las solicitudes de cotización, o bien en cualquier otro contrato que se celebre con otros entes públicos, según corresponda, lo siguiente:
I. Una vez que cuenten con el Dictamen Técnico referido en el artículo anterior, las Instituciones deberán requerir a los participantes en el procedimiento de contratación o al ente público con el que se pretenda contratar, cuando se considere aplicable, la presentación de acreditaciones de Normas Oficiales Mexicanas, Normas Mexicanas y Normas Internacionales en términos de la Ley Federal sobre Metrología y Normalización, así como la certificación de otros estándares o modelos reconocidos por la industria como las mejores prácticas. Previo a establecer el requerimiento de certificaciones o acreditaciones antes mencionado, las Instituciones deberán obtener el Dictamen Técnico favorable de la Unidad, para lo cual presentarán la justificación correspondiente a través de la Herramienta de Gestión de la Política TIC, sujetándose a los plazos establecidos en el artículo 9 de este Acuerdo;
II. Incluir el diseño detallado del aplicativo que se vaya a desarrollar, considerando por lo menos, requerimientos del negocio, de seguridad de la información, de privacidad y protección de datos personales, técnicos, casos de uso, módulos, matriz de trazabilidad y protocolos de pruebas; así como el uso de la Identidad Digital y, en su caso, lo dispuesto en los artículos 19, fracción IV y 26 del presente Acuerdo; considerando los criterios que emita la Unidad a través de su portal;
Para el desarrollo de aplicativos de cómputo en los que participen las Instituciones, se deberán indicar las etapas de su participación, así como los objetivos e indicadores de resultado que se espera obtener para las mismas;
III. a IV. ...
V. Señalar expresamente, para los aplicativos de cómputo desarrollados con recursos públicos por personal de la Institución o por terceros, que éstos queden bajo la titularidad de la Institución en los términos de la ley aplicable en la materia, en el que se incluirán la totalidad de los componentes del aplicativo de cómputo, como son, el código fuente, el código objeto, el diseño físico y lógico, los manuales técnicos y de usuario; exceptuando a todos aquellos cuya titularidad corresponda a un tercero, de conformidad con la normatividad aplicable;
VI. ...
VII. Prever que la transferencia, envío y recepción de datos se realice sobre canales seguros en donde se favorezca el cifrado y la integridad de los datos críticos, confidenciales sensibles, en concordancia con el MAAGTICSI, en lo referente a Seguridad de la Información;
VIII. a IX. ...
X. Analizar la viabilidad de llevar a cabo el desarrollo de aplicativos web o móviles a través del modelo de retos públicos; considerando los criterios que emita la Unidad a través de su portal de conformidad a las disposiciones que resulten aplicables;
XI. En los trámites y servicios digitales que ofrezcan, deberán establecer como medio de acreditación personal la Identidad Digital, según resulte procedente. Al efectuar el diseño de aplicativos de cómputo y de servicios nuevos o que requieran de actualizaciones se implementará la Identidad Digital y,
XII. Para el caso de desarrollo de software para sistemas electrónicos de trámites y servicios, deberán cumplir con la Guía para la estandarización y certificación de los trámites digitales con el Sello de Excelencia en Gobierno Digital, publicada en el Diario Oficial de la Federación el 3 de agosto del 2016.
Artículo 11.- ...
I. a IV. ...
V. Prever que la infraestructura pasiva dentro de las instalaciones de la Institución e incluida en el contrato respectivo quede a favor de la Institución al término de éste, en las convocatorias a la licitación pública, en las invitaciones a cuando menos tres personas o las solicitudes de cotización, o bien en los contratos que celebren con otros entes públicos, y
VI. Considerar que los equipos de frontera soporten como mínimo la versión 4 y preferentemente se instale la última versión del protocolo de internet.
Artículo 13.- ...
I. a III. ...
IV. Analizar el alojamiento de su infraestructura crítica en un Centro de Datos de una Institución agrupada en su mismo sector, o en su defecto, en un Centro de Datos de otra Institución, bajo un modelo de cómputo en la nube, cuando no cuenten con un Centro de Datos propio y no tengan contratados servicios de Centro de Datos;
V. a VII. ...
VIII. En la contratación de servicios de hospedaje, gestión u operación de Centro de Datos, deberán asegurarse se establezca el acceso irrestricto a la información y datos propiedad de la Institución, durante la vigencia del contrato, así como asegurarse que el proveedor ponga a disposición de la Institución, al término de éste:
a. La información y datos de acuerdo a lo establecido conjuntamente en el contrato correspondiente;
b. Usuarios y contraseñas de acceso a las consolas aplicables;
c. Inventarios de servicios, usuarios, grupos y roles actualizados, incluyendo contraseñas vigentes, y
d. Arquitecturas, diagramas y documentación de soporte.
IX. Prever que la infraestructura pasiva dentro de las instalaciones de la Institución e incluida en el contrato respectivo quede a favor de la Institución al término de este, en las convocatorias a la licitación pública, en las invitaciones a cuando menos tres personas o las solicitudes de cotización, o bien en los contratos que celebren con otros entes públicos.
Las instituciones y proveedores deberán someterse a la jurisdicción de las leyes y tribunales mexicanos sin importar el territorio en el que los datos se encuentren alojados.
Artículo 14.- ...
I. ...
II. La obligación del proveedor de poner a disposición de la Institución la totalidad de los correos electrónicos al término del contrato, durante el plazo que establezcan conjuntamente en el mismo;
III. Las instituciones deberán validar la información recibida en términos de la fracción anterior y, en su caso, solicitar al proveedor las aclaraciones correspondientes, lo anterior, dentro del plazo establecido en el contrato, y
IV. Al término del plazo señalado en el contrato, y no habiendo aclaraciones pendientes de resolver, o bien, que el contrato no se encuentre en proceso de renovación, el proveedor no conservará información alguna, por lo que deberá utilizar métodos de Borrado Seguro, bajo procedimientos previamente auditados.
Artículo 15.- ...
I. Se separe en capas el acceso a dichas plataformas;
II. La administración e infraestructura esté clasificada en zonas de seguridad basadas en funciones, tipo de datos y requerimientos de acceso a los espacios de almacenamiento, y
III. Se privilegie el procesamiento de datos en territorio nacional. En aquel procesamiento de datos que por su alto volumen exceda las capacidades de cómputo existentes en territorio nacional, ya sea del Gobierno Federal o de terceros, podrá contratarse el servicio de cómputo en la nube para procesamiento de datos desde el extranjero, verificando en todo momento que cumpla con los estándares de seguridad de la información y la legislación aplicable en materia de archivo y de protección de datos personales, así como de mejores prácticas nacionales e internacionales en materia de cómputo en la nube.
Artículo 17.- ...
I. Utilizar tecnología que soporte como mínimo la versión 4 del protocolo de internet y los mecanismos de cifrado estándar que resulten aplicables en las comunicaciones de voz y video, cifrado en señalización y preferente en media;
II. a VIII. ...
IX. Maximizar el uso de los sistemas de voz, de video o de ambos en las solicitudes de cotización, estudios de mercado, convocatorias a la licitación pública, en las invitaciones a cuando menos tres personas y en los contratos que celebren con otros entes públicos, incluidos como parte del servicio, para la elaboración y ejecución conjunta de un plan de adopción tecnológica.
Artículo 19.- ...
I. a IV. ...
V. Prever que cuenten con elementos de accesibilidad, de acuerdo a las disposiciones jurídicas aplicables en la materia; así como a los criterios técnicos, metodologías, guías, instructivos o demás instrumentos análogos que emita la Unidad y los estándares incluidos en el Apéndice IV.B "Matriz de metodologías, normas y mejores prácticas aplicables a la gestión de las TIC" del MAAGTICSI, y
VI. ...
Artículo 27.- ...
I. a VII. ...
VIII. Establecer herramientas de filtrado de nueva generación, que incluya búsquedas e imágenes en internet, y permitan la segmentación en distintas categorías, reportes y soporte de sitios de nueva generación y/o micro-aplicaciones.
Artículo 28.- ...
I. a V. ...
...
...
Lo dispuesto en este artículo se aplicará sin perjuicio de lo establecido en la normativa aplicable en materia de transparencia y demás disposiciones aplicables.
ARTÍCULO SEGUNDO.- SE REFORMAN el Marco Jurídico; el numeral 20 de las Reglas Generales; el numeral 1 de los Factores Críticos del PE-3 Validar, aprobar, comunicar y adecuar de ser necesario, la Cartera Ejecutiva de Proyectos del TIC del I.A Proceso de Planeación Estratégica (PE) de I. Procesos de Gobernanza; el numeral 4 de los Factores Críticos del APCT3 Estudios de Factibilidad del I.B Proceso de Administración del Presupuesto y las Contrataciones (APCT) de I. Procesos de Gobernanza; el numeral 13 de los Factores Críticos del ASI 4 Identificar las infraestructuras de información esenciales y, en su caso, críticas, así como los activos clave del II.C. Proceso de Administración de la Seguridad de la Información (ASI) de II. Procesos de Organización SE DEROGA la definición de Tecnologías de Operación (TO) de los Términos del apartado de Definiciones del Anexo Único. Manual Administrativo de Aplicación General en las Materias de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información, para quedar como sigue:
ANEXO ÚNICO
MANUAL ADMINISTRATIVO DE APLICACIÓN GENERAL EN LAS MATERIAS DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Y DE SEGURIDAD DE LA INFORMACIÓN.
MARCO JURÍDICO
Los ordenamientos jurídicos referidos en este apartado, se citan de manera enunciativa y no limitativa.
1. Constitución Política de los Estados Unidos Mexicanos.
2. Ley General de Bienes Nacionales.
3. Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
4. Ley General de Responsabilidades Administrativas.
5. Ley General de Transparencia y Acceso a la Información Pública.
6. Código Penal Federal.
7. Ley Federal de Archivos.
8. Ley Federal de las Entidades Paraestatales.
9. Ley Federal de Presupuesto y Responsabilidad Hacendaria.
10. Ley Federal de Telecomunicaciones y Radiodifusión.
11. Ley Federal de Transparencia y Acceso a la Información Pública.
12. Ley Federal sobre Metrología y Normalización.
13. Ley Orgánica de la Administración Pública Federal.
14. Ley Orgánica de la Procuraduría General de la República.
15. Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.
16. Ley de Firma Electrónica Avanzada.
17. Ley de Seguridad Nacional.
18. Ley del Sistema de Horario en los Estados Unidos Mexicanos.
19. Plan Nacional de Desarrollo 2013-2018.
20. Reglamento de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.
21. Reglamento de la Ley de Firma Electrónica Avanzada.
22. Reglamento de la Ley Federal de las Entidades Paraestatales.
23. Reglamento de la Ley Federal de Presupuesto y Responsabilidad Hacendaria.
24. Reglamento para la Coordinación de Acciones Ejecutivas en Materia de Seguridad Nacional.
25. Reglamento de la Oficina de la Presidencia de la República.
26. Reglamento Interior de la Secretaría de Gobernación.
27. Reglamento Interior de la Secretaría de la Función Pública.
28. Programa para un Gobierno Cercano y Moderno 2013-2018.
29. Decreto que establece las medidas para el uso eficiente, transparente y eficaz de los recursos públicos, y las acciones de disciplina presupuestaria en el ejercicio del gasto público, así como para
la modernización de la Administración Pública Federal.
30. Lineamientos para la aplicación y seguimiento de las medidas para el uso eficiente, transparente y eficaz de los recursos públicos, y las acciones de disciplina presupuestaria en el ejercicio del gasto público, así como para la modernización de la Administración Pública Federal.
31. Acuerdo mediante el cual se aprueban los Lineamientos Generales de Protección de Datos Personales para el Sector Público.
32. Acuerdo por el que se establece el Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal.
33. Acuerdo que tiene por objeto crear en forma permanente la Comisión Intersecretarial para el Desarrollo del Gobierno Electrónico.
34. Lineamientos para la operación, funcionalidad, comunicación y seguridad de los sistemas automatizados de control de gestión.
35. Documento Técnico para la Interoperabilidad de los Sistemas Automatizados de Control de Gestión.
DEFINICIONES
...
Términos:
Tecnologías de Operación (TO): Se deroga.
REGLAS GENERALES
Las reglas generales aplicables a los nueve procesos de este manual son las siguientes:
1. a 19. ...
20. El titular de la UTIC deberá asegurarse, conjuntamente con las áreas solicitantes de los aplicativos de cómputo o servicios de TIC, que se incluyan en éstos, como campo llave para la interoperabilidad entre éstos, la Clave Única de Registro de Población (CURP) y, en su caso, otros atributos que permitan verificar la identidad digital correspondiente.
I. PROCESOS DE GOBERNANZA
I.A. PROCESO DE PLANEACIÓN ESTRATÉGICA (PE)
Actividades del Proceso.
PE-3 Validar, aprobar, comunicar y adecuar, de ser necesario, la Cartera Ejecutiva de Proyectos de TIC.
...
Factores críticos:
...
1. a 3.
El responsable de la planeación estratégica de la UTIC deberá:
1. Dar seguimiento al avance de la Cartera Ejecutiva de Proyectos de TIC, y reportarlo trimestralmente a la Unidad, previa la obtención del Visto Bueno.
2. ...
I.B. Proceso de Administración del Presupuesto y las Contrataciones (APCT)
Actividades del Proceso.
APCT 3 Estudios de Factibilidad.
...
Factores Críticos:
...
1. a 3. ...
4. Verificar que la documentación soporte que deba entregarse al área contratante de la Institución se encuentre debidamente integrada, en términos de lo señalado en el numeral 4.2.1.1.8 del MAAGMAASSP; por otra parte la UTIC verificará que la investigación de mercado esté integrada de conformidad con el numeral 4.2.1.1.10 y el estudio de costo beneficio estén integrados con los elementos establecidos en las disposiciones jurídicas aplicables; asimismo, que el anexo técnico que la misma elabore contenga las especificaciones y requerimientos técnicos del bien o servicio de TIC que se pretenda contratar, entre otros:
a) a h)...
5. a 8. ...
II. PROCESOS DE ORGANIZACIÓN
II.C. PROCESO DE ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (ASI)
ASI 4 Identificar las infraestructuras de información esenciales y, en su caso, críticas, así como los activos clave.
...
Factores Críticos
...
1. a 12. ...
13. Asegurarse de que se observe lo establecido en la Ley de Seguridad Nacional, en la Ley Federal de Transparencia y Acceso a la Información Pública y demás disposiciones aplicables, para la clasificación y resguardo de la información generada en esta actividad.
14.- ...
TRANSITORIOS
Primero.- El presente Acuerdo entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.
Segundo.- Las instituciones contarán con dieciocho meses contados a partir de la entrada en vigor del presente Acuerdo para dar cumplimiento a lo dispuesto en el segundo párrafo del artículo 7.
Tercero.- Quedan sin efectos las disposiciones administrativas que se opongan a lo establecido en este Acuerdo.
Dado en la Ciudad de México, a 11 de julio de 2018.- El Secretario de Gobernación, Jesús Alfonso Navarrete Prida.- Rúbrica.- La Secretaria de la Función Pública, Arely Gómez González.- Rúbrica.
En el documento que usted está visualizando puede haber texto, caracteres u objetos que no se muestren correctamente debido a la conversión a formato HTML, por lo que le recomendamos tomar siempre como referencia la imagen digitalizada del DOF o el archivo PDF de la edición.
|