NORMAS

NO.TI.010.V4 Diseño y desarrollo de aplicaciones

Página: 1 de 7 PR.TI.010.V4 Diseño y desarrollo de aplicaciones

I. GENERALES

1. Del documento
 El diseño del contenido del presente documento será responsabilidad de (l)
la(s) área(s), responsable(s) de la ejecución de las actividades normadas a
través del mismo.
 La documentación de las normas y procesos relacionados con el presente
documento, será responsabilidad del área de Procesos de Bancamiga.
 Todas las actualizaciones que se requiera realizar en el presente documento,
deberán ser canalizadas a través del área de Procesos, previa aprobación del
Comité que corresponda de acuerdo al tipo de Macro proceso al que
responda o del área usuaria responsable, según aplique.
 Las áreas usuarias y áreas de control son/serán responsables de la certificación
de los documentos que especifiquen lineamientos, y en caso de que requiera
la Junta Directiva es el ente facultado para aprobar dichos documentos de
acuerdo a la política vigente.
 El área de Procesos, es el área responsable de formalizar y divulgar el presente
documento, previa aprobación del área usuario o área solicitante.
 El área de Procesos será la unidad responsable de resguardar el original del
presente documento, con las respectivas firmas de conformidad y autorización
para su implantación.
 Toda persona que participe en las normas aquí descritas será directamente
responsable de estar plenamente familiarizado con el contenido del
documento, así como de velar por el cumplimiento y actualización
permanente del mismo para ofrecer un apoyo óptimo a la gestión de las áreas
involucradas.
 Estas normas son de uso exclusivo de Bancamiga, Banco Universal, C.A. por lo
tanto se deberá cuidar que su contenido se maneje internamente y de forma
confidencial, no podrá ser distribuido, copiado o dado a conocer a terceras
personas sin la previa autorización de la Institución.
 El desconocimiento de las normas aquí descritas no justifica su incumplimiento,
el mismo está sujeto a la aplicación de las sanciones establecidas de
conformidad con el reglamento interno de Bancamiga, Banco Universal, C.A.
y demás instituciones que la regulan.
2. Del proceso
 El presente documento, contiene las normas que regulan el proceso de diseño
y desarrollo seguro de aplicaciones.
 Todo desarrollo interno y externo debe garantizar la correcta aplicación de las
técnicas de codificación segura, cumpliendo con lo establecido en el manual
regulatorio Revisión de las Técnicas de Codificación Segura.

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD08.2022
USO PRIVADO PL.PF.002.V10.0818 - Normas
Fecha de aprobación: 27-04-2022
 NORMAS

NO.TI.010.V4 Diseño y desarrollo de aplicaciones

Página: 2 de 7 PR.TI.010.V4 Diseño y desarrollo de aplicaciones

 Los desarrollos internos y externos, deben ser solicitados y gestionados de

acuerdo a lo establecido en el manual de metodología Atención de
requerimientos proyectos e incidencias.
 Antes de emprender el desarrollo del sistema, se deberá estudiar la factibilidad
del mismo, con la finalidad de determinar la viabilidad presupuestaria,
tecnológica y si el mismo está acorde con las necesidades del negocio.
 Toda solicitud de implantación del nuevo sistema o modificación del existente,
se presentará mediante el formulario “Solicitud de Control de Cambio”
debidamente documentada y justificada ante el Comité de Control de
Cambio, para su aprobación.

II. CONSULTOR DE PROYECTOS

1. Tendrá la responsabilidad de:

 Formalizar y apoyar en el establecimiento del alcance o etapas, que se deberá
contemplar el proyecto; así como las fechas de inicio y culminación de cada
una de las actividades del proyecto.
 Validar se desarrollen en su totalidad, las adecuaciones solicitadas en el
documento de especificaciones funcionales del proyecto, que elabora el área
de Gestión de pruebas y que el mismo se guarde en la carpeta correspondiente.

III. LÍDER DE DESARROLLO (GERENTE DE DESARROLLO SISTEMAS CENTRALIZADOS

/ DESARROLLO SISTEMAS DISTRIBUIDOS)

1. Tendrá la responsabilidad de:

 Apoyar al área de Gestión de Pruebas, para suministrar el insumo para el
documento de especificaciones funcionales, relacionado a los aspectos
técnicos a considerar durante el diseño y desarrollo de la aplicación
(restricciones del diseño, requerimientos de documentación en línea y de
sistemas de ayuda, interfaces, requerimientos de licenciamiento y
requerimientos de servidores, necesarios para el desarrollo interno o externo,
cumpliendo con lo establecido en el manual de metodología “Atención de
requerimientos, proyectos e incidencias”.
 Todo desarrollo en materia de mejora, errores, fallas, nuevo proyecto, entre otros,
deberá ser solicitado a través del formulario “Documentación de
Especificaciones Funcionales”. En caso de ser un Proyecto Nuevo y/o
Regulatorio, será enviado al Comité de Tecnología para su estudio de
factibilidad y aprobación. Todos los requerimientos que impliquen desarrollo o
mantenimiento de software deberán considerarse las versiones existentes.

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD08.2022
USO PRIVADO PL.PF.002.V10.0818 - Normas
Fecha de aprobación: 27-04-2022
 NORMAS

NO.TI.010.V4 Diseño y desarrollo de aplicaciones

Página: 3 de 7 PR.TI.010.V4 Diseño y desarrollo de aplicaciones

 Los desarrollos de software realizados por Proveedores (servicios externos),

deberán ser monitoreados cumpliendo los acuerdos de servicio establecidos y
el manual regulatorio Lineamientos de codificación segura (proveedores).
 Realizar la documentación Técnica de la Aplicación y/o Sistema, que incluye la
programación, el flujo de información, procesamiento, diseño y disposición del
hardware necesario.
 En todas las fases del Desarrollo, se deberán realizar reuniones según la
frecuencia establecida en el “Plan de Comunicación”; que permitan garantizar
un seguimiento continuo al proyecto.
 Si el desarrollo de la Aplicación y/o Sistema es realizado por un “Proveedor
Externo”, se deberá garantizar la funcionalidad por cualquier defecto de
programación o mal funcionamiento, así como también, se deberá revisar la
correcta aplicación de las técnicas de codificación segura.
 Realizar la verificación o revisión a cada código desarrollado en conjunto con el
área de Seguridad de la Información, mediante la herramienta establecida para
tal fin, en la cual se detecten los aspectos de seguridad, con la finalidad de
corregir vulnerabilidades, brechas de seguridad y mitigar los riesgos,
garantizando así la aplicación correcta de las técnicas de codificación segura,
cumpliendo con lo establecido en los manuales de usuario herramienta
SonarQube y Jenkins - Integración continua del código.
 Garantizar la utilización de la herramienta para el Control de Versiones
establecida en la organización cumpliendo con los lineamientos del manual de
usuario Control de Versiones Plataforma Distribuida Gitlab.

IV. ESPECIALISTA DE DESARROLLO SISTEMAS CENTRALIZADOS/ ESPECIALISTA DE

DESARROLLO SISTEMAS DISTRIBUIDOS

1. Tendrá la responsabilidad de:

 En la fase de análisis, utilizar la información levantada en la “Documentación de
Especificaciones Funcionales” y realizar una comparación de los procesos
manuales y automatizados desde una perspectiva conceptual.
 Programar siguiendo los lineamientos establecidos en el manual regulatorio
Diseño y Desarrollo de Aplicaciones.
 Aplicar buenas prácticas en la codificación segura para Desarrollos WEB:

 Validación de entrada.
 Codificación de Salidas.
 Manejo de Log de Cambios.
 Practicas Criptográficas.
 Manejo de errores y Logs.
 Manejo de archivos.
Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD08.2022
USO PRIVADO PL.PF.002.V10.0818 - Normas
Fecha de aprobación: 27-04-2022
 NORMAS

NO.TI.010.V4 Diseño y desarrollo de aplicaciones

Página: 4 de 7 PR.TI.010.V4 Diseño y desarrollo de aplicaciones

 Manejo de Memoria.
 Estandarización y Reutilización de Funciones de Seguridad.

 En cumplimiento con lo establecido en la norma PCI DSS, las buenas prácticas

de codificación segura, deben corresponder a lo siguiente:

 Errores de inyección, en especial, errores de inyección SQL, comandos de

OS, LDAP y Xpath, así como otros errores de inyección.
 Validación de la entrada para comprobar que los datos de los usuarios no
puedan modificar el significado de los comandos ni de las consultas y uso
de consultas basadas en parámetros.
 Desbordamiento de Búfer: validación de los límites del buffer y
Truncamiento de cadenas de entrada.
 Almacenamiento cifrado inseguro: prevención de errores de cifrado y
utilización de claves y algoritmos criptográficos sólidos.
 Abordaje de las comunicaciones inseguras mediante técnicas de
codificación que autentique y cifren correctamente todas las
comunicaciones confidenciales.
 Manejo inadecuado de errores: utilización de técnicas de codificación que
no filtran información por medio de mensajes de error (por ejemplo,
enviando detalles genéricos del error, en lugar de enviar detalles
específicos).
 Utilización de técnicas de codificación que aborden las vulnerabilidades
de “alto riesgo” que puedan afectar la aplicación, consulta de fuentes
externas para analizar el impacto de las nuevas tendencias de
vulnerabilidades de seguridad.
 Lenguaje de comandos entre distintos sitios (XSS): abordaje de técnicas de
codificación para la validación de todos los parámetros antes de la
inclusión y uso de técnicas de escape sensibles al contexto.
 Control de acceso inapropiado (como referencias no seguras a objetos
directos, no restricción de acceso a URL y exposición completa de los
directorios, y la no restricción de acceso a las funciones por parte de los
usuarios), incluyendo lo siguiente:

 Autenticación correcta de usuarios.

 Desinfección de entradas.
 No exposición de referencias a objetos internos a usuarios.
 Interfaces de usuarios que no permitan el acceso a funciones no
autorizadas.

 Falsificación de solicitudes entre distintos sitios (CSRF): utilización de

técnicas de codificación que aseguren que las aplicaciones no confían en

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD08.2022
USO PRIVADO PL.PF.002.V10.0818 - Normas
Fecha de aprobación: 27-04-2022
 NORMAS

NO.TI.010.V4 Diseño y desarrollo de aplicaciones

Página: 5 de 7 PR.TI.010.V4 Diseño y desarrollo de aplicaciones

las credenciales de autorización ni en los tokens que los exploradores

presentan automáticamente.
 Autenticación y administración de sesión interrumpidas: técnicas de
codificación que, generalmente, incluyen lo siguiente:

 Marcas de tokens de sesión (por ejemplo, cookies) como “seguros”.

 Evitar la exposición de las ID de la sesión en el URL.
 Incorporación de tiempos de espera apropiados y rotación de las ID de
la sesión después de iniciar sesión satisfactoriamente.

 Revisar el desarrollo durante todo el ciclo de vida, para garantizar que se

apliquen correctamente las técnicas de codificación segura y probar
meticulosamente el sistema mediante pruebas unitarias en el ambiente de
desarrollo, con el fin de detectar fallas y/o errores, cuyo objetivo es verificar que
el sistema sea seguro y funcione de acuerdo a sus especificaciones y a la
manera que los usuarios esperan que lo haga, a fin de poder detectar cualquier
anomalía, antes de que el sistema sea puesto en marcha (producción),
cumpliendo con lo establecido en el manual de norma y proceso Ejecución de
pruebas unitarias.
 Gestionar con el proveedor o programador, la aplicación de las correcciones
necesarias sobre el código que ha sido desarrollado, las cuales han sido emitidas
por la VP de Seguridad de la Información, Gerente de Desarrollo Sistemas
Centralizados o el Gerente de Desarrollo Sistemas Distribuidos.

V. ESPECIALISTA DE PRUEBAS DE PROYECTOS / ESPECIALISTA DE

REQUERIMIENTOS E INCIDENCIAS Y/O ANALISTA DE PRUEBAS

1. Tendrá la responsabilidad de:

 Entregar el informe de incidencia o documento de especificaciones funcionales
para realizar el desarrollo de los sistemas requeridos.
 Gestionar con la VP de Seguridad de la información, aportando la ubicación del
código fuente, la verificación de código seguro del desarrollo realizado, para
poder iniciar las pruebas del sistema y solicitar a Desarrollo o al proveedor, las
correcciones necesarias sobre el mismo, que han sido solicitadas por la VP de
Seguridad de la Información, de ser el caso.

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD08.2022
USO PRIVADO PL.PF.002.V10.0818 - Normas
Fecha de aprobación: 27-04-2022
 NORMAS

NO.TI.010.V4 Diseño y desarrollo de aplicaciones

Página: 6 de 7 PR.TI.010.V4 Diseño y desarrollo de aplicaciones

VI. VICEPRESIDENTE DE SEGURIDAD DE LA INFORMACIÓN

1. Tendrá la responsabilidad de:

 Garantizar que se desarrollen aplicaciones basadas en directrices de
codificación seguras, de acuerdo a las necesidades de la organización, el
cumplimiento de la norma PCI DSS y a las nuevas tendencias.
 Velar por el cumplimiento de las políticas de seguridad de la información, los
procedimientos operativos y la normativa existente.

VII. COORDINADOR DE SEGURIDAD DE LA INFORMACIÓN / ESPECIALISTA DE

GESTIÓN Y MONITOREO DE SEGURIDAD

1. Tendrá la responsabilidad de:

 Revisar el código que ha sido desarrollado durante los distintos ciclos de pruebas,
(de unitarias a integrales y de integrales a certificadas) antes de su puesta en
producción, a fin de verificar que se hayan aplicado las técnicas de
codificación segura.
 De acuerdo a la revisión realizada de las técnicas de codificación segura,
solicitar al Especialista de Desarrollo Sistemas Centralizados / Desarrollo Sistemas
Distribuidos, las correcciones necesarias al código que ha sido desarrollado.
 Emitir el formulario de Certificación de Seguridad de la Información, en señal
conformidad de la revisión.

VIII. CONSULTOR DE PROCESOS

1. Tendrá la responsabilidad de:

 Generar y publicar la documentación orientada a la actualización de los
procesos internos que se ven impactados, o bien elaborar o modificar los
existentes tales como: Manuales de usuario, Normas, Procesos, Políticas,
Formatos, entre otros documentos generados en el proyecto.

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD08.2022
USO PRIVADO PL.PF.002.V10.0818 - Normas
Fecha de aprobación: 27-04-2022
 HOJA DE CONTROL DE VERSIONES

NO.TI.010.V4 Diseño y desarrollo de aplicaciones

Página: 7 de 7 PR.TI.010.V4 Diseño y desarrollo de aplicaciones

CONTROL DE EDICIÓN DEL DOCUMENTO

Nombre de Norma Diseño y desarrollo de aplicaciones
Nombre del archivo NO.TI.010.V4 - Diseño y Desarrollo de Aplicaciones
Breve descripción del
Fecha Versión Elaborado Revisor
cambio realizado
Gerencia de
20-04-2014 1 Gestión Roberto Parra. Elaboración del documento.
Empresarial
Actualización del
Carlos Jaimes / José documento por cambios en
03-06-2020 2 T. Paraco.
Perdomo / Yesenia Ruiz el proceso y en la estructura
organizativa.
Actualización del
Carlos Jaimes / Jesús
documento por cambios en
02-03-2021 3 Ydarik Zapata Garcia/ José Perdomo /
el proceso y en la estructura
Yesenia Ruiz
organizativa.
Actualización del
Carlos Jaimes / Jesús
documento por cambios en
09-05-2022 4 Cesar Gutierrez Garcia/ José Perdomo /
el proceso y en la estructura
Yesenia Ruiz
organizativa.

APROBACIÓN DEL DOCUMENTO

Fecha Versión Nº Acta Nombre del Aprobador Unidad Administrativa

20-04-2014 1 No aplica. Junta Directiva Junta Directiva

04-06-2020 2 JD10.2020 Junta Directiva Junta Directiva
04-03-2021 3 JD05.2021 Junta Directiva Junta Directiva
27-04-2022 4 JD08.2022 Junta Directiva Junta Directiva

Este documento ha sido elaborado, revisado y aprobado por los suscritos quienes se hacen responsables del uso y cumplimiento de las descripciones
contenidas en el mismo. El presente documento bajo toda circunstancia es propiedad de BANCAMIGA BANCO UNIVERSAL C.A y no debe ser utilizado,
divulgado, reproducido o distribuido sin previa autorización. El documento original reposa en los archivos digitales del área de Procesos.
Nº Acta: JD08.2022
USO PRIVADO PL.PF.002.V10.0818 - Normas
Fecha de aprobación: 27-04-2022