RESOLUCIÓN de 28 de marzo de 2018, de la Dirección General de Tecnologías de la Información y las Comunicaciones, por la que se establecen los criterios de estandarización tecnológica y las políticas de uso correcto del puesto de trabajo normalizado de los usuarios TIC en la Administración de la Generalitat y de sus organismos autónomos. [2018/3769], - Diario Oficial de la Generalitat Valenciana, de 23-04-2018

El Reglamento orgánico y funcional de la Conselleria de Hacienda y Modelo Económico (Decreto 176/2016, de 25 de noviembre, del Consell) atribuye a la Dirección General de Tecnologías de la Información y las Comunicaciones, DGTIC en lo sucesivo, las competencias de modernización, seguridad informática, planificación, coordinación, autorización y control de las tecnologías de la información, las telecomunicaciones y comunicaciones corporativas y la teleadministración de la Generalitat.

Como consecuencia de las regulaciones básicas estatales o de los desarrollos normativos propios, existen políticas para la protección de datos de carácter personal, para el uso seguro de medios tecnológicos en la Administración de la Generalitat, todo ello dentro del Esquema Nacional de Seguridad. Los estándares de los archivos (documentos, audios, vídeos, etc) se han desarrollado dentro del Esquema Nacional de Interoperabilidad. Por último, existe también una linea de uso preferente del software libre derivada del mandato de una moción de Les Corts en 2016 en ese sentido.

El control de todas estas políticas sectoriales de seguridad, interoperabilidad y promoción de software libre así como de sus regulaciones específicas debe materializarse y confluye necesariamente en la normalización del uso de las medios tecnológicos puestos a disposición de los usuarios de las tecnologías de la información y las comunicaciones de la Generalitat y de sus organismos autónomos, usuarios TIC en los sucesivo. Es responsabilidad de esta Dirección General la estandarización de medios tecnológicos de trabajo, su homologación y la creación de documentos y normas que los recojan y divulguen, dándoles además el carácter de obligado cumplimiento.

Por ello, parece conveniente y necesario recoger en una resolución específica del Puesto de Trabajo Normalizado todas las tareas de control y seguimiento de los equipos y los productos software instalados en ellos, la responsabilidad de los usuarios y los avances en el establecimiento de algunas lineas básicas de una política de buenas prácticas exigible a dichos usuarios de los medios tecnológicos de uso corporativo.

Dado que los elementos materiales o equipos y los productos software instalados en ellos habrán de evolucionar para adaptarse a nuevas necesidades, la resolución prevé los correspondientes anexos técnicos publicados y actualizados en el portal de la DGTIC www.dgtic.gva.es.

Por todo ello, resuelvo:

Primero. Objeto y ámbito de la resolución

La presente resolución tiene por objeto la definición del Puesto de Trabajo Normalizado como la integración de los elementos materiales de los equipos asignados a cada usuario, de los elementos software instalados que se muestran en el escritorio corporativo (herramientas, aplicaciones, accesos a documentación, etc.), así como las políticas que rigen el uso adecuado, seguro y correcto del puesto de trabajo informático para las finalidades administrativas y corporativas de la Generalitat.

También es objeto de esta resolución la determinación de dichos elementos integrantes del Puesto de Trabajo Normalizado y de las políticas aplicables a un uso correcto del mismo.

El ámbito de aplicación de la presente norma es la Administración de la Generalitat y sus organismos autónomos. Se excluye a la Conselleria de Sanidad Universal y Salud Pública, de conformidad con el Decreto 37/ 2017, de 10 de marzo, del Consell, por la que se aprueba su Reglamento orgánico y funcional.

Segundo. Elementos que integran los equipos del Puesto de Trabajo Normalizado

El Puesto de Trabajo Normalizado se crea para satisfacer las necesidades de equipos y servicios tecnológicos que demandan las unidades administrativas para sus usuarios TIC y la DGTIC lo instala como puesto de trabajo informático compuesto de los siguientes elementos:

1. Una CPU.

2. Una pantalla de visualización.

3. Un teclado.

4. Un dispositivo señalador: ratón, trackball, tableta, etc.

5. Un sistema operativo.

6. Un paquete ofimático estándar.

7. Unas aplicaciones homologadas y autorizadas por la DGTIC necesarias para el tratamiento de la información bajo su competencia.

8. Unos servicios finalistas y el acceso a los mismos necesarios para el tratamiento de la información bajo su competencia, para el mantenimiento del propio Puesto de Trabajo Normalizado y para asegurar la seguridad del mismo.

Los puestos de trabajo informáticos que pueden operar como Puesto de Trabajo Normalizado son los siguientes:

1. El ordenador de sobremesa en cualquiera de los formatos homologados por la DGTIC.

2. El ordenador portátil o convertible en cualquiera de los formatos homologados por la DGTIC.

3. La tableta en cualquiera de los formatos homologados por la DGTIC.

4. Otros puestos de trabajo informáticos que la DGTIC declare como homologados para su uso como Puesto de Trabajo Normalizado.

Tercero. Elementos software instalados en el Puesto de Trabajo Normalizado

El Puesto de Trabajo Normalizado requiere de una serie de productos software para su operatividad, tanto software básico, sistema operativo y herramientas complementarias, como otros componentes necesarios para el acceso a la red corporativa y para la interacción con los aplicativos de los sistemas de información de la Administración de la Generalitat y de sus organismos autónomos.

La DGTIC mantendrá en su portal www.dgtic.gva.es una lista actualizada y fechada de elementos software estándares para el Puesto de Trabajo Normalizado que estará sujeta a revisiones periódicas. Se adjunta la versión a fecha de entrada en vigor de esta resolución en el anexo I, «Elementos software estándares para el Puesto de Trabajo Normalizado».

Para conocer las versiones de cada software que forman parte del Puesto de Trabajo Normalizado, se tendrá en cuenta el plan de versiones o «release plan» en los portales web de cada producto, aceptándose en el Puesto de Trabajo Normalizado la versión actual con soporte en cada momento, la versión futura para pruebas y diagnósticos (solo en Puesto de Trabajo Normalizado de pruebas) y la versión anterior para facilitar la adaptación de otras aplicaciones más complejas a las versiones actuales.

Excepcionalmente, y previa autorización por parte de la DGTIC, se permitirá la existencia de un software en versiones no actualizadas, siempre y cuando no afecte a la arquitectura del Puesto de Trabajo Normalizado en su versión actual en lo que se refiere a la interacción con otras aplicaciones o herramientas.

Cuarto. El almacenamiento de los documentos de trabajo

Los usuarios TIC de un Puesto de Trabajo Normalizado deben almacenar todos los documentos de trabajo en los recursos compartidos destinados a este propósito por la DGTIC y no tienen permitido almacenarlos en dispositivos o soportes ajenos a la red corporativa, así como extraer copias de los mismos en cualquier soporte. Dichos recursos tienen la finalidad de restringir el acceso a los documentos, preservar la confidencialidad, auditar los accesos y ayudar y promocionar el trabajo colaborativo. Además, estos recursos son los únicos a los que se les proporciona copia de respaldo por lo que, ante cualquier incidencia que afecte a un documento de forma accidental, podrá recuperarse de manera autónoma o podrá solicitarse su recuperación.

Los nombres de los documentos y las carpetas deben ser explicativos de su contenido pero eficientes en su extensión dado que la ruta completa del archivo no puede superar los 256 caracteres.

No está permitido almacenar información privada de ninguna clase en los recursos compartidos, ni en las unidades de red, ni en las unidades locales, ni en ningún otro medio o soporte de la Generalitat.

Cuando se editan documentos se recomienda guardar cambios cada cierto tiempo para evitar la pérdida de esta información en caso de surgir cualquier problema técnico.

La estructura de recursos compartidos esta claramente definida en el dominio GENERALITAT. En este, se dispone de zonas en las que el propietario de los recursos puede establecer la estructura de directorios y a quien le da permisos para acceder a sus recursos.

Quinto. El escritorio corporativo del Puesto de Trabajo Normalizado

Se define el escritorio corporativo como aquel en el que se muestran a los usuarios las herramientas y los accesos necesarios para el desarrollo de su trabajo y está formado por una imagen de fondo que sigue las normas de identidad corporativa, una barra de tareas o acciones, una serie de iconos, una tipografía, una resolución de pantalla predeterminada, un esquema de colores, un diseño de menú de inicio y un cuadro de información del Puesto de Trabajo Normalizado y del usuario.

El escritorio corporativo es de obligada implantación en todos los Puestos de Trabajo Normalizados y responde a criterios de ergonomía común y de imagen corporativa, como la interfaz necesaria entre el usuario de las TIC y los sistemas de información de la Administración de la Generalitat.

El fondo corporativo tiene la finalidad de mantener la identidad corporativa de manera homogénea y coherente entre todo el equipamiento propiedad de la Administración de la Generalitat. Además, dicho fondo es el definido para el Puesto de Trabajo Normalizado por la DGTIC en colaboración con la Dirección General de Relaciones Informativas y Promoción Institucional, bajo los estándares de identidad corporativa.

La resolución de pantalla vendrá predeterminada, salvo en los casos en que la DGTIC autorice alternativas para el mejor uso de alguna aplicación preexistente, a través del procedimiento que se establezca desde la DGTIC. Para aplicaciones de desarrollo posterior a esta Resolución sobre el Puesto de Trabajo Normalizado, estas deberán contemplar estos estándares.

En el fondo del escritorio corporativo y en su parte inferior derecha, aparecerá siempre la información relativa al Puesto de Trabajo Normalizado, esta información podrá ser solicitada por los técnicos de la DGTIC en caso de incidencia, motivo por el cual no se puede modificar ni eliminar.

Se excepciona el caso de informe del Servicio de Prevención de Riesgos Laborables en la línea de modificación del escritorio por motivos de salud o ergonomía personalizada, en cuyo caso se activará el procedimiento para la modificación del mismo para la o las personas afectadas.

Sexto. Políticas de uso exigibles a los usuarios del Puesto de Trabajo Normalizado

1. Políticas de uso seguro del Puesto de Trabajo Normalizado

1.1. Con carácter general, la DGTIC proporcionará a los usuarios TIC de la Generalitat una cuenta personal y una contraseña, o cualquier otro procedimiento de acceso por características biométricas, para validarse en el Puesto de Trabajo Normalizado asignado. Dicha cuenta será personal e intransferible, debiendo el usuario custodiar convenientemente su identificación de acceso, siendo responsable de toda la actividad relacionada con el uso de su acceso personal autorizado, y en ningún caso se suministrará a terceras personas. El incumplimiento del deber de custodia de la cuenta supone una vulneración grave en la seguridad de los recursos TIC y por ello se podría incurrir en responsabilidad.

La DGTIC mantendrá actualizada la documentación que refleja la política de contraseñas de las cuentas de usuario que debe regir el acceso al Puesto de Trabajo Normalizado de los usuarios TIC y la publicará en su portal www.dgtic.gva.es con detalle de su fecha de aprobación. Se adjunta en el Anexo II la documentación al respecto que rige en la actualidad.

En relación con el Puesto de Trabajo Normalizado y con carácter general se seguirán las siguientes indicaciones:

a) No se permite alterar la configuración del software ni del sistema operativo de los Puestos de Trabajo Normalizados, ni desinstalar o instalar aplicaciones, aunque sean de software libre o gratuito, salvo a los técnicos autorizados para ello por la DGTIC.

b) Todo software privativo debe tener su licencia legal asociada, al corriente de pago y custodiada por la DGTIC.

c) No se permite la alteración de la configuración física de los Puestos de Trabajo Normalizados, ni de su «firmware», ni conectar ningún dispositivo a iniciativa del usuario, así como variar la ubicación del mismo, salvo a los técnicos autorizados para ello por la DGTIC. El equipamiento informático no es propiedad del usuario, es un elemento de la plaza laboral que ocupa y pertenece a la Administración de la Generalitat.

d) No se permite almacenar información cuyo tratamiento sea responsabilidad de la Administración de la Generalitat en modo local o dispositivos externos conectados a los Puestos de Trabajo Normalizados, deben emplearse los recursos descritos en primer párrafo del punto Cuarto de esta Resolución o las aplicaciones diseñadas para ello por la Generalitat.

e) Los equipos informáticos no están destinados al uso personal del usuario.

f) Al conectarse un dispositivo de almacenamiento externo previamente autorizado por la DGTIC, se tendrá la precaución de realizar un escaneo con el antivirus sobre dicha unidad para prevenir una posible infección de los sistemas informáticos.

g) Es obligatorio bloquear la sesión del usuario en el supuesto de ausentarse temporalmente del lugar de trabajo, a fin de evitar accesos de otras personas al equipo informático.

h) Al terminar la jornada laboral el usuario TIC deberá apagar completamente el Puesto de Trabajo Normalizado y todos sus periféricos conectados o relacionados con él.

En cualquier caso y en la medida de lo posible la DGTIC se asegurará del cumplimiento de estas medidas con los medios tecnológicos a su alcance.

1.2. Además de las normas de uso del punto anterior con carácter general, en el uso de los dispositivos portables se está sometido las obligaciones siguientes:

a) No se almacenará información sensible o confidencial en este tipo de dispositivos, y en caso de ser absolutamente necesario, deberá ser protegida mediante herramientas de cifrado previa solicitud a la DGTIC. No obstante, aquellos dispositivos que lo permitan y siguiendo lo dispuesto por la Orden 19/2013, de 3 de diciembre, de la Conselleria de Hacienda y Administración Pública, por la que se establecen las normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat, tendrán todos sus elementos de almacenamiento cifrados.

b) Este tipo de dispositivos estará bajo la custodia del usuario TIC que los utilice. No se dejará el Puesto de Trabajo Normalizado desatendido o abandonado en lugares donde pueda ser sustraído.

c) La pérdida o robo de cualquier dispositivo de este tipo deberá notificarse de inmediato al responsable correspondiente y este a la DGTIC.

d) Los usuarios TIC de estos equipos se responsabilizarán de que no serán usados por terceras personas ajenas a la Generalitat o no autorizadas para ello.

e) Se proporcionará acceso remoto a recursos internos de la Generalitat solo en los casos que esté debidamente justificado y además se siga el procedimiento aprobado a tal efecto por la DGTIC.

1.3. Además de lo previsto en el apartado 1. con carácter general, los dispositivos de almacenamiento externo proporcionados por la Generalitat serán los únicos autorizados, serán conformes a las normas de seguridad de esta, y serán destinados a un uso exclusivamente profesional, como herramienta de transporte de ficheros y nunca como herramienta de almacenamiento.

a) No está permitido el almacenamiento de información sensible o confidencial en este tipo de soporte. En caso de ser estrictamente necesario almacenar este tipo de información clasificada, deberá tener la autorización del responsable del fichero en el caso de datos personales, y debe ser protegida mediante herramientas de cifrado previa solicitud a la DGTIC.

b) Este tipo de dispositivos estará bajo la custodia del usuario TIC que los utilice. No se dejará el dispositivo de almacenamiento externo desatendido o abandonado en lugares donde pueda ser sustraído.

c) La pérdida o robo del dispositivo de almacenamiento externo deberá notificarse de inmediato al responsable correspondiente y este a la DGTIC.

2. Políticas de tratamiento de la Información

De conformidad con la legislación vigente, no está permitido el tratamiento de datos de carácter personal sin que previamente haya sido autorizado por el órgano responsable del fichero en la forma reglamentariamente prevista ni podrán usarse para finalidades distintas de aquellas para las que los datos hubieran sido obtenidos.

Está prohibido utilizar, copiar, extraer o trasmitir información contenida en el sistema informático, para uso privado o para cualquier otro distinto del servicio público al que está destinada.

3. Políticas de buenas prácticas del usuario TIC

3.1. En el uso del Puesto de Trabajo Normalizado los usuarios TIC han de respetar el ordenamiento jurídico aplicable y los derechos reconocidos en la Constitución española. Por ello, no es correcta, y puede derivar en responsabilidad del usuario del Puesto de Trabajo Normalizado, la utilización del Puesto de Trabajo Normalizado para una, alguna o todas las finalidades siguientes:

a) Incurrir en actividades ilícitas o ilegales de cualquier tipo y, particularmente, difundir contenidos de carácter racista, xenófobo, pornográfico, sexista, de apología del terrorismo, que atentan contra los derechos humanos o que actúan en perjuicio de los derechos a la intimidad, al honor, a la propia imagen o contra la dignidad de las personas.

b) Difundir contenidos contrarios a los principios enunciados en el ordenamiento jurídico.

c) Difundir afirmaciones o referencias falsas, incorrectas o inexactas sobre la Administración de la Generalitat, sus centros, departamentos y servicios, así como las actividades que desarrolla.

d) Congestionar intencionadamente la red corporativa de la Generalitat o interferir en su funcionamiento.

e) Establecer mecanismos o sistemas que permiten aprovechamientos indebidos de los recursos de red proporcionados por la Generalitat por terceros, como revenderlos o reutilizarlos para finalidades privadas, lucrativas o delictivas, entre otras.

f) Dañar los sistemas físicos y lógicos de la Administración de la Generalitat, introducir o difundir en la red virus informáticos y realizar cualquiera otro tipo de actividad que sea susceptible de provocar daños en la Administración de la Generalitat, a sus miembros, proveedores o terceras personas.

g) Tratar datos personales contenidos en ficheros que no sean responsabilidad de la Administración de la Generalitat.

h) Recoger datos personales, tanto de manera directa cómo intermediando tratamientos invisibles, excepto aquellas que estén directamente relacionadas con las funciones propias de la Administración de la Generalitat, o realizar cualquier tratamiento de datos personales que no sean titularidad de la Administración de la Generalitat y para el que no haya sido previamente autorizado.

i) Publicar o difundir datos, documentos o archivos que afectan a terceras personas o que estén sujetas en derechos de privacidad o propiedad intelectual o cualesquier otros derechos o intereses legítimos, sin el consentimiento expreso de las personas afectadas o del titular de los derechos.

j) Hacer uso de los recursos TIC con fines comerciales.

k) Enviar comunicaciones con finalidades comerciales o correo masivo no solicitado con finalidades publicitarias (SPAM) desde las cuentas de correo electrónico de la Generalitat.

l) Vulnerar los derechos de propiedad intelectual o industrial de terceros.

3.2. En relación con la responsabilidad del usuario TIC en el acceso a internet:

El usuario TIC se atendrá a la siguientes normas de uso:

a) La utilización de internet debe limitarse a la obtención de información relacionada con el trabajo que se desempeña como empleado o empleada pública al servicio de la Administración de la Generalitat y sus organismos autónomos o a la ejecución de aplicaciones corporativas desarrolladas o habilitadas para tal fin.

b) En particular, no está permitido el acceso a páginas web de contenido ofensivo, inapropiado, pornográfico o discriminatorio por razones de género, etnia, opción sexual, discapacidad o cualquier otra circunstancia personal o social, excepto para funciones de detección y persecución del delito, que requerirá de autorización expresa por parte de la DGTIC.

c) No se permite la descarga desde internet de cualquier clase de programas, aplicaciones, documentos o archivos.

4. Políticas de uso de los certificados digitales en el Puesto de Trabajo Normalizado

Los certificados digitales son siempre personales y es responsabilidad del usuario la solicitud, instalación, custodia y revocación de los mismos.

Se tendrá presente en todas las actuaciones que los certificados digitales se deberán instalar siempre con nivel alto de seguridad, para que se solicite la contraseña de uso cada vez que sea necesario utilizarlo. Si el certificado digital viene en tarjeta de firma electrónica, esta no se debe dejar olvidada en los lectores de tarjeta, ya sea en teclado o independientes, y deberá permanecer siempre bajo custodia del titular del certificado digital.

No se debe facilitar, bajo ningún concepto, el código de acceso del certificado digital.

En prevención de que pueda darse un borrado de datos en el Puesto de Trabajo Normalizado o una avería que supusiese la pérdida del certificado, se recomienda realizar una copia de seguridad para evitar solicitar de nuevo su certificado digital.

En caso de que un servicio, una aplicación o un tercero, solicite el archivo del certificado en formato «.pfx», no debe ser facilitado bajo ningún concepto, dado que este formato contiene la clave privada del certificado y puede permitir la suplantación.

5. Políticas de actualización continua del Puesto de Trabajo Normalizado

Los departamentos de personal de la Administración de la Generalitat y de sus organismos autónomos y las unidades administrativas, cuando se trata de personas que desarrollan tareas contratadas, están obligados a comunicar las variaciones de estado cuando un Puesto de Trabajo Normalizado deje de estar asignado a un usuario TIC por cambio de adscripción o terminación de tareas.

A partir de dicha comunicación, la DGTIC procederá a la anulación del Puesto de Trabajo Normalizado creado para el usuario cesante, lo cual incluye los medios e instalaciones tecnológicos que se le hubieran asignado, para dejar libres los equipos para nuevo uso. También se incluyen las claves, certificados instalados y las cuentas de correo corporativas.

Los cambios simples de ubicación en departamentos o edificios también deben ser comunicados por los departamentos de personal o por las unidades administrativas que los autoricen con la misma finalidad de control y actualización permanente de los recursos TIC dispuestos por parte de la DGTIC.

Séptimo. Obligado cumplimiento y responsabilidad del usuario del Puesto de Trabajo Normalizado

Todo lo que se prevé en esta Resolución en cuanto al Puesto de Trabajo Normalizado es de obligado cumplimiento para los usuarios TIC de la Generalitat y sus organismos autónomos en el ámbito de competencias de esta Dirección General.

Por ello, al acceder al equipo para el inicio de una sesión en un Puesto de Trabajo Normalizado, y como primera imagen emergente, se mostrará un resumen de lo previsto en esta Resolución para su lectura y aceptación por el usuario. La aceptación tácita y, por tanto, la responsabilidad del usuario se considera implícita al iniciar su trabajo en la sesión.

En aquellos enunciados de esta resolución que inciden en aspectos de prohibiciones o limitaciones en el uso del Puesto de Trabajo Normalizado, es de aplicación el Régimen Sancionador General para el personal propio. En cuanto a incidencias de los usuarios TIC en los procesos de desarrollos contratados con empresas adjudicatarias, se estará a lo que prevean en cuanto a responsabilidad de estas en el correspondiente pliego de contratación.

En los supuestos de incidentes referidos a los datos personales, la propiedad intelectual, la seguridad informática y otros aspectos regulados por otras disposiciones legales distintas a la presente resolución, el régimen sancionador será el correspondiente a esas disposiciones normativas.

Octavo. Publicación y efectividad de la resolución

La presente Resolución entrará en vigor el día siguiente al de su publicación en el Diari Oficial de la Generalitat Valenciana.

València, 28 de marzo de 2018.- El director general de Tecnologías de la Información y las Comunicaciones: Pedro Agustín Pernias Peco.

ANEXO

Este documento contiene un PDF, para descargarlo pulse AQUI