Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Octubre 2014
Cdigo:
Versin: 3
Fecha:
Pgina: 2 de 73
Contenido
1.
INTRODUCCION.................................................................................................................................... 7
2.
OBJETIVO.............................................................................................................................................. 7
3.
ALCANCE .............................................................................................................................................. 7
4.
DEFINICIONES....................................................................................................................................... 8
5.
6.
7.
8.
8.1.
8.1.1. Normas que rigen para la estructura organizacional de seguridad de la informacin ......................13
8.2.
9.1.
9.2.1. Normas aplicables durante la vinculacin de funcionarios y personal provisto por terceros...........19
Cdigo:
Versin: 3
Fecha:
Pgina: 3 de 73
9.3.
9.3.1. Normas para la desvinculacin, licencias, vacaciones o cambios de labores de los funcionarios y
personal provisto por terceros ..........................................................................................................20
10.
10.1.
11.1.
Cdigo:
Versin: 3
Fecha:
Pgina: 4 de 73
POLTICAS DE CRIPTOGRAFIA.............................................................................................................37
12.1.
13.1.
14.1.
14.4.1. Normas de registro de eventos y monitoreo de los recursos tecnolgicos y los sistemas de
informacin ........................................................................................................................................48
14.5.
Cdigo:
Versin: 3
Fecha:
Pgina: 5 de 73
15.1.
16.1.
16.2.1. Normas de desarrollo seguro, realizacin de pruebas y soporte de los sistemas .............................61
16.3.
17.1.
17.1.1. Normas de inclusin de condiciones de seguridad en la relacin con terceras partes .....................64
17.2.
Cdigo:
Versin: 3
Fecha:
Pgina: 6 de 73
18.
18.1.
19.1.
20.1.
Cdigo:
Versin: 3
Fecha:
Pgina: 7 de 73
1.
INTRODUCCION
2.
OBJETIVO
El objetivo de este documento es establecer las polticas en seguridad de la informacin del
ICETEX, con el fin de regular la gestin de la seguridad de la informacin al interior de la
entidad.
3.
ALCANCE
Las polticas de seguridad de la informacin cubren todos los aspectos administrativos y de
control que deben ser cumplidos por los directivos, funcionarios y terceros que laboren o
tengan relacin con el ICETEX, para conseguir un adecuado nivel de proteccin de las
caractersticas de seguridad y calidad de la informacin relacionada.
Cdigo:
Versin: 3
Fecha:
Pgina: 8 de 73
4.
DEFINICIONES
Activo de informacin: cualquier componente (humano, tecnolgico, software,
documental o de infraestructura) que soporta uno o ms procesos de negocios del instituto
y, en consecuencia, debe ser protegido.
Acuerdo de Confidencialidad: es u documento en los que los funcionarios del ICETEX o
los provistos por terceras partes manifiestan su voluntad de mantener la confidencialidad de
la informacin del instituto, comprometindose a no divulgar, usar o explotar la informacin
confidencial a la que tengan acceso en virtud de la labor que desarrollan dentro de la
misma.
Anlisis de riesgos de seguridad de la informacin: proceso sistemtico de
identificacin de fuentes, estimacin de impactos y probabilidades y comparacin de dichas
variables contra criterios de evaluacin para determinar las consecuencias potenciales de
prdida de confidencialidad, integridad y disponibilidad de la informacin.
Autenticacin: es el procedimiento de comprobacin de la identidad de un usuario o
recurso tecnolgico al tratar de acceder a un recurso de procesamiento o sistema de
informacin.
Capacity Planning: es el proceso para determinar la capacidad de los recursos de la
plataforma tecnolgica que necesita la entidad para satisfacer las necesidades de
procesamiento de dichos recursos de forma eficiente y con un rendimiento adecuado.
Centros de cableado: son habitaciones donde se debern instalar los dispositivos de
comunicacin y la mayora de los cables. Al igual que los centros de cmputo, los centros
de cableado deben cumplir requisitos de acceso fsico, materiales de paredes, pisos y
techos, suministro de alimentacin elctrica y condiciones de temperatura y humedad.
Centro de cmputo: es una zona especfica para el almacenamiento de mltiples
computadores para un fin especfico, los cuales se encuentran conectados entre s a travs
de una red de datos. El centro de cmputo debe cumplir ciertos estndares con el fin de
garantizar los controles de acceso fsico, los materiales de paredes, pisos y techos, el
suministro de alimentacin elctrica y las condiciones medioambientales adecuadas.
Cifrado: es la transformacin de los datos mediante el uso de la criptografa para producir
datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una tcnica muy
til para prevenir la fuga de informacin, el monitoreo no autorizado e incluso el acceso no
autorizado a los repositorios de informacin.
Confidencialidad: es la garanta de que la informacin no est disponible o divulgada a
personas, entidades o procesos no autorizados.
Cdigo:
Versin: 3
Fecha:
Pgina: 9 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 10 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 11 de 73
5.
Cdigo:
Versin: 3
Fecha:
Pgina: 12 de 73
6.
COMPROMISO DE LA DIRECCION
La Junta Directiva de ICETEX aprueba esta Poltica de Seguridad de la Informacin como
muestra de su compromiso y apoyo en el diseo e implementacin de polticas eficientes
que garanticen la seguridad de la informacin de la entidad.
La Junta Directiva y la Alta Direccin de la entidad demuestran su compromiso a travs de:
La revisin y aprobacin de las Polticas de Seguridad de la Informacin contenidas en
este documento.
La promocin activa de una cultura de seguridad.
Facilitar la divulgacin de este manual a todos los funcionarios de la entidad.
El aseguramiento de los recursos adecuados para implementar y mantener las polticas
de seguridad de la informacin.
La verificacin del cumplimiento de las polticas aqu mencionadas.
7.
Cdigo:
Versin: 3
Fecha:
Pgina: 13 de 73
8.
Cdigo:
Versin: 3
Fecha:
Pgina: 14 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 15 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 16 de 73
La Direccin de Tecnologa debe contar con una solucin de copias de seguridad para la
informacin contenida en los dispositivos mviles institucionales de ICETEX; dichas
copias deben acogerse a la Poltica de Copias de Respaldo de la Informacin.
La Direccin de Tecnologa debe instalar un software de antivirus tanto en los
dispositivos mviles institucionales. como en los personales que hagan uso de los
servicios provistos por el instituto
La Direccin de Tecnologa debe activar los cdigos de seguridad de la tarjeta SIM para
los dispositivos mviles institucionales antes de asignarlos a los usuarios y almacenar
estos cdigos en un lugar seguro.
Normas dirigidas a: TODOS LOS USUARIOS
Los usuarios deben evitar usar los dispositivos mviles institucionales en lugares que no
les ofrezcan las garantas de seguridad fsica necesarias para evitar prdida o robo de
estos.
Los usuarios no deben modificar las configuraciones de seguridad de los dispositivos
mviles institucionales bajo su responsabilidad, ni desinstalar el software provisto con
ellos al momento de su entrega.
Los usuarios deben evitar la instalacin de programas desde fuentes desconocidas; se
deben instalar aplicaciones nicamente desde los repositorios oficiales de los
dispositivos mviles institucionales.
Los usuarios deben, cada vez que el sistema de sus dispositivos mviles institucionales
notifique de una actualizacin disponible, aceptar y aplicar la nueva versin.
Los usuarios deben evitar hacer uso de redes inalmbricas de uso pblico, as como
deben desactivar las redes inalmbricas como WIFI, Bluetooth, o infrarrojos en los
dispositivos mviles institucionales asignados.
Los usuarios deben evitar conectar los dispositivos mviles institucionales asignados por
puerto USB a cualquier computador pblico, de hoteles o cafs internet, entre otros.
Los usuarios no deben almacenar videos, fotografas o informacin personal en los
dispositivos mviles institucionales asignados.
Cdigo:
Versin: 3
Fecha:
Pgina: 17 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 18 de 73
9.
DE
CONTRATO,
VICEPRESIDENTES,
Cdigo:
Versin: 3
Fecha:
Pgina: 19 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 20 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 21 de 73
DE
CONTRATO,
VICEPRESIDENTES,
Cdigo:
Versin: 3
Fecha:
Pgina: 22 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 23 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 24 de 73
Todas las estaciones de trabajo, dispositivos mviles y dems recursos tecnolgicos son
asignados a un responsable, por lo cual es su compromiso hacer uso adecuado y
eficiente de dichos recursos.
En el momento de desvinculacin o cambio de labores, los funcionarios deben realizar la
entrega de su puesto de trabajo al Vicepresidente, Director o Jefe de Oficina o quien
este delegue; as mismo, deben encontrarse a paz y salvo con la entrega de los recursos
tecnolgicos y otros activos de informacin suministrados en el momento de su
vinculacin.
Cdigo:
Versin: 3
Fecha:
Pgina: 25 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 26 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 27 de 73
estos.
Cdigo:
Versin: 3
Fecha:
Pgina: 28 de 73
Los usuarios que requieren utilizar los tokens de seguridad deben contar con una cuenta
de usuario en los portales o sitios de uso de los mismos; dichos tokens harn parte del
inventario fsico de cada usuario a quien se haya asignado.
Los usuarios deben devolver el token asignado en estado operativo al Administrador de
los tokens cuando el vnculo laboral con el ICETEX se d por terminado o haya cambio
de cargo, para obtener el paz y salvo, el cual ser requerido para legalizar la finalizacin
del vnculo con el instituto.
Cada usuario de los portales o sitios de uso de los tokens debe tener su propio
dispositivo, el cual es exclusivo, personal e intransferible, al igual que la cuenta de
usuario y la contrasea de acceso.
El almacenamiento de los tokens debe efectuarse bajo estrictas medidas de seguridad,
en la tula o sobre asignado para cada token, dentro de caja fuerte o escritorios con llave
al interior de las reas usuarias, de tal forma que se mantengan fuera del alcance de
terceros no autorizados.
Los usuarios deben notificar al Administrador de los tokens en caso de robo, prdida,
mal funcionamiento o caducidad para que este a su vez, se comunique con las
entidades emisoras de dichos tokens.
Los usuarios no deben permitir que terceras personas observen la clave que genera el
token, as como no deben aceptar ayuda de terceros para la utilizacin del token.
Los usuarios deben responder por las transacciones electrnicas que se efecten con la
cuenta de usuario, clave y el token asignado, en el desarrollo de las actividades como
funcionarios del ICETEX. En caso de que suceda algn evento irregular con los tokens
los usuarios deben asumir la responsabilidad administrativa, disciplinaria y econmica.
Los usuarios deben mantener los tokens asignados en un lugar seco y no introducirlos
en agua u otros lquidos.
Los usuarios deben evitar exponer los tokens a campos magnticos y a temperaturas
extremas.
Los usuarios deben evitar que los tokens sean golpeados o sometidos a esfuerzo fsico.
Cdigo:
Versin: 3
Fecha:
Pgina: 29 de 73
Los usuarios no deben abrir los tokens, retirar la batera o placa de circuitos, ya que
ocasionar su mal funcionamiento.
Los usuarios no deben usar los tokens fuera de las instalaciones del ICETEX para evitar
prdida o robo de estos.
Cdigo:
Versin: 3
Fecha:
Pgina: 30 de 73
Los funcionarios y el personal provisto por terceras partes deben acoger las condiciones
de uso de los perifricos y medios de almacenamiento establecidos por la Direccin de
Tecnologa.
Los funcionarios del ICETEX y el personal provisto por terceras partes no deben
modificar la configuracin de perifricos y medios de almacenamiento establecidos por la
Direccin de Tecnologa.
Los funcionarios y personal provisto por terceras partes son responsables por la custodio
de los medios de almacenamiento institucionales asignados.
Los funcionarios y personal provisto por terceras partes no deben utilizar medios de
almacenamiento personales en la plataforma tecnolgica del ICETEX.
Cdigo:
Versin: 3
Fecha:
Pgina: 31 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 32 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 33 de 73
11.3.1.
Cdigo:
Versin: 3
Fecha:
Pgina: 34 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 35 de 73
La Oficina de Riesgos debe validar que las polticas de contraseas establecidas sobre
la plataforma tecnolgica, los servicios de red y los sistemas de informacin son
aplicables a los usuarios administradores; as mismo, debe verificar que el cambio de
contrasea de los usuarios administradores acoja el procedimiento definido para tal fin.
La Oficina de Riesgos debe revisar peridicamente la actividad de los usuarios con altos
privilegios en los registros de auditoria de la plataforma tecnolgica y los sistemas de
informacin.
Cdigo:
Versin: 3
Fecha:
Pgina: 36 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 37 de 73
Los desarrolladores deben certificar que se inhabilitan las cuentas luego de un nmero
establecido de intentos fallidos de ingreso a los sistemas desarrollados.
Los desarrolladores deben asegurar que si se utiliza la reasignacin de contraseas,
nicamente se enve un enlace o contraseas temporales a cuentas de correo
electrnico previamente registradas en los aplicativos, los cuales deben tener un periodo
de validez establecido; se deben forzar el cambio de las contraseas temporales
despus de su utilizacin.
Los desarrolladores deben certificar que el ltimo acceso (fallido o exitoso) sea
reportado al usuario en su siguiente acceso exitoso a los sistemas de informacin.
Los desarrolladores deben asegurar la re-autenticacin de los usuarios antes de la
realizacin de operaciones crticas en los aplicativos.
Los desarrolladores deben, a nivel de los aplicativos, restringir acceso a archivos u otros
recursos, a direcciones URL protegidas, a funciones protegidas, a servicios, a
informacin de las aplicaciones, a atributos y polticas utilizadas por los controles de
acceso y a la informacin relevante de la configuracin, solamente a usuarios
autorizados.
Los desarrolladores deben establecer que peridicamente se re-valide la autorizacin de
los usuarios en los aplicativos y se asegure que sus privilegios no han sido modificados.
Cdigo:
Versin: 3
Fecha:
Pgina: 38 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 39 de 73
Las solicitudes de acceso al centro de cmputo o a los centros de cableado deben ser
aprobadas por funcionarios de la Direccin de Tecnologa autorizados; no obstante, los
visitantes siempre debern estar acompaados de un funcionario de dicha direccin
durante su visita al centro de cmputo o los centros de cableado.
La Direccin de Tecnologa debe registrar el ingreso de los visitantes al centro de
cmputo y a los centros de cableado que estn bajo su custodia, en una bitcora
ubicada en la entrada de estos lugares de forma visible.
La Direccin de Tecnologa debe descontinuar o modificar de manera inmediata los
privilegios de acceso fsico al centro de cmputo y los centros de cableado que estn
bajo su custodia, en los eventos de desvinculacin o cambio en las labores de un
funcionario autorizado.
La Direccin de Tecnologa debe proveer las condiciones fsicas y medioambientales
necesarias para certificar la proteccin y correcta operacin de los recursos de la
plataforma tecnolgica ubicados en el centro de cmputo; deben existir sistemas de
control ambiental de temperatura y humedad, sistemas de deteccin y extincin de
incendios, sistemas de descarga elctrica, sistemas de vigilancia y monitoreo y alarmas
en caso de detectarse condiciones ambientales inapropiadas. Estos sistemas se deben
monitorear de manera permanente.
La Direccin de Tecnologa debe velar porque los recursos de la plataforma tecnolgica
del ICETEX ubicados en el centro de cmputo se encuentran protegidos contra fallas o
interrupciones elctricas.
La Direccin de Tecnologa debe certificar que el centro de cmputo y los centros de
cableado que estn bajo su custodia, se encuentren separados de reas que tengan
lquidos inflamables o que corran riesgo de inundaciones e incendios.
La Direccin de Tecnologa debe asegurar que las labores de mantenimiento de redes
elctricas, de voz y de datos, sean realizadas por personal idneo y apropiadamente
autorizado e identificado; as mismo, se debe llevar control de la programacin de los
mantenimientos preventivos.
Normas dirigidas a: VICEPRESIDENTES, DIRECTORES Y JEFES DE OFICINA
Cdigo:
Versin: 3
Fecha:
Pgina: 40 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 41 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 42 de 73
La Oficina de Control Interno tiene la responsabilidad de incluir dentro del plan anual de
auditoras la verificacin aleatoria a los equipos de cmputo de todas las dependencias y
puntos de atencin de la entidad.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe evaluar y analizar los informes de verificacin de equipos de
cmputo de las diferentes reas del instituto, en particular de las reas sensibles.
Normas dirigidas a: SECRETARIA GENERAL GRUPO DE RECURSOS FISICOS
El Grupo de Recursos Fsicos debe revisar los accesos fsicos en horas no hbiles a las
reas donde se procesa informacin.
El Grupo de Recursos Fsicos debe restringir el acceso fsico a los equipos de cmputo
de reas donde se procesa informacin sensible.
Cdigo:
Versin: 3
Fecha:
Pgina: 43 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 44 de 73
Los equipos de cmputo, bajo ninguna circunstancia, deben ser dejados desatendidos
en lugares pblicos o a la vista, en el caso de que estn siendo transportados.
Los equipos de cmputo deben ser transportados con las medidas de seguridad
apropiadas, que garanticen su integridad fsica.
Los equipos porttiles siempre deben ser llevados como equipaje de mano y se debe
tener especial cuidado de no exponerlos a fuertes campos electromagnticos.
En caso de prdida o robo de un equipo de cmputo del ICETEX, se debe informar de
forma inmediata al lder del proceso para que se inicie el trmite interno y se debe poner
la denuncia ante la autoridad competente.
Los funcionarios del instituto y el personal provisto por terceras partes deben asegurar
que sus escritorios se encuentran libres de los documentos que son utilizados durante el
desarrollo de sus funciones al terminar la jornada laboral y, que estos sean almacenados
bajo las protecciones de seguridad necesarias.
Cdigo:
Versin: 3
Fecha:
Pgina: 45 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 46 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 47 de 73
Los usuarios deben asegurarse que los archivos adjuntos de los correos electrnicos
descargados de internet o copiados de cualquier medio de almacenamiento, provienen
de fuentes conocidas y seguras para evitar el contagio de virus informticos y/o
instalacin de software malicioso en los recursos tecnolgicos.
Los usuarios que sospechen o detecten alguna infeccin por software malicioso deben
notificar a la Mesa de Ayuda, para que a travs de ella, la Direccin de Tecnologa tome
las medidas de control correspondientes.
Cdigo:
Versin: 3
Fecha:
Pgina: 48 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 49 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 50 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 51 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 52 de 73
dependen de ellas; as mismo, velar por que se cuente con los mecanismos de seguridad
que protejan la integridad y la confidencialidad de la informacin que se transporta a travs
de dichas redes de datos.
De igual manera, propender por el aseguramiento de las redes de datos, el control del
trfico en dichas redes y la proteccin de la informacin reservada y restringida del instituto.
Cdigo:
Versin: 3
Fecha:
Pgina: 53 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 54 de 73
Los mensajes y la informacin contenida en los buzones de correo son propiedad del
ICETEX y cada usuario, como responsable de su buzn, debe mantener solamente los
mensajes relacionados con el desarrollo de sus funciones.
Los usuarios de correo electrnico institucional tienen prohibido el envi de cadenas de
mensajes de cualquier tipo, ya sea comercial, poltico, religioso, material audiovisual,
contenido discriminatorio, pornografa y dems condiciones que degraden la condicin
humana y resulten ofensivas para los funcionarios del instituto y el personal provisto por
terceras partes.
No es permitido el envo de archivos que contengan extensiones ejecutables, bajo
ninguna circunstancia.
Todos los mensajes enviados deben respetar el estndar de formato e imagen
corporativa definidos por el ICETEX y deben conservar en todos los casos el mensaje
legal corporativo de confidencialidad.
Cdigo:
Versin: 3
Fecha:
Pgina: 55 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 56 de 73
productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o
que contengan archivos ejecutables y/o herramientas que atenten contra la integridad,
disponibilidad y/o confidencialidad de la infraestructura tecnolgica (hacking), entre
otros. La descarga, uso, intercambio y/o instalacin de informacin audiovisual (videos e
imgenes) utilizando sitios pblicos en Internet debe ser autorizada por el jefe respectivo
y la Direccin de Tecnologa, o a quienes ellos deleguen de forma explcita para esta
funcin, asociando los procedimientos y controles necesarios para el monitoreo y
aseguramiento del buen uso del recurso.
No est permitido el intercambio no autorizado de informacin de propiedad del ICETEX,
de sus clientes y/o de sus funcionarios, con terceros.
Cdigo:
Versin: 3
Fecha:
Pgina: 57 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 58 de 73
SECRETARIA
GENERAL
COORDINACION
DE
Cdigo:
Versin: 3
Fecha:
Pgina: 59 de 73
EL
ESTABLECIMIENTO
DE
REQUISITOS
DE
El ICETEX asegurar que el software adquirido y desarrollado tanto al interior del instituto,
como por terceras partes, cumplir con los requisitos de seguridad y calidad establecidos
por l. Las reas propietarias de sistemas de informacin, la Direccin de Tecnologa y la
Oficina de Riesgos incluirn requisitos de seguridad en la definicin de requerimientos y,
posteriormente se asegurarn que estos se encuentren generados a cabalidad durante las
pruebas realizadas sobre los desarrollos del software construido.
INFORMACIN,
Cdigo:
Versin: 3
Fecha:
Pgina: 60 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 61 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 62 de 73
sistema de informacin estn actualizados con todos los parches generados para las
versiones en uso y que estn ejecutando la ltima versin aprobada del sistema.
La Direccin de Tecnologa debe incluir dentro del procedimiento y los controles de
gestin de cambios el manejo de los cambios en el software aplicativo y los sistemas de
informacin del instituto.
Normas dirigidas a: DESARROLLADORES (INTERNOS O EXTERNOS)
Los desarrolladores de los sistemas de informacin deben considerar las buenas
prcticas y lineamientos de desarrollo seguro durante el ciclo de vida de los mismos,
pasando desde el diseo hasta la puesta en marcha.
Los desarrolladores deben proporcionar un nivel adecuado de soporte para solucionar
los problemas que se presenten en el software aplicativo del ICETEX; dicho soporte
debe contemplar tiempos de respuesta aceptables.
Los desarrolladores deben construir los aplicativos de tal manera que efecten las
validaciones de datos de entrada y la generacin de los datos de salida de manera
confiable, utilizando rutinas de validacin centralizadas y estandarizadas.
Los desarrolladores deben asegurar que los sistemas de informacin construidos validen
la informacin suministrada por los usuarios antes de procesarla, teniendo en cuenta
aspectos como: tipos de datos, rangos vlidos, longitud, listas de caracteres aceptados,
caracteres considerados peligrosos y caracteres de alteracin de rutas, entre otros.
Los desarrolladores deben suministrar opciones de desconexin o cierre de sesin de
los aplicativos (logout) que permitan terminar completamente con la sesin o conexin
asociada, las cuales deben encontrarse disponibles en todas las pginas protegidas por
autenticacin.
Los desarrolladores deben asegurar el manejo de operaciones sensibles o crticas en los
aplicativos desarrollados permitiendo el uso de dispositivos adicionales como tokens o el
ingreso de parmetros adicionales de verificacin.
Los desarrolladores deben asegurar que los aplicativos proporcionen la mnima
informacin de la sesin establecida, almacenada en cookies y complementos, entre
otros.
Cdigo:
Versin: 3
Fecha:
Pgina: 63 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 64 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 65 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 66 de 73
17.2.1.
Cdigo:
Versin: 3
Fecha:
Pgina: 67 de 73
18.1.1.
Cdigo:
Versin: 3
Fecha:
Pgina: 68 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 69 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 70 de 73
19.2.1.
Normas de redundancia
CON
REQUISITOS
LEGALES
Cdigo:
Versin: 3
Fecha:
Pgina: 71 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 72 de 73
Cdigo:
Versin: 3
Fecha:
Pgina: 73 de 73