informaciÓn y las comumcaciones - sede.tcu.es · gerenaa subdirecciÓn de tecnologÍas de la...
TRANSCRIPT
GERENCIA
susoiseccióx DE TECNOLOGíAS DE LA
INFORMACIÓN Y LAS COMUMCACIONESw?
'sxNsí,is?s4 ur«í:w'?::.'t'v*
77...(16...3.5(j.l....d.6..7.0.l7................................. .................................... .-...............-............ -?- -
PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE
LOS SERVICIOS DEL DESARROLLO DE NUEVAS FUNCIONALIDADES
EN EL PARAMETRIZADOR DE FORMULARIOS DE LA SEDE
ELECTRÓNICA DEL TRIBUNAL DE CUENTAS
,úae"a??'?
4m'l- D' e'>- ?- Q> r(
',á'Í
GERENaA
SUBDIRECCIÓN DE TECNOLOGÍAS DE LA
INFORMACIÓN Y LAS COMUNICACIO NES
27 de abril de 2017
-i?
ªl kltuª N.l€. DiW «al7 ªt@.%'»
ÍNDICE DE CONTENIDOS
1 0bjeto del contrato ................................................................................................................ 3
2 Tareas a realizar ..................................................................................................................... 3
2.I ImplantacióndeunsistemadenotificacionesporcomparecenciaenlaSedeEIectrónica..3
2.2 Gestión de ficheros de gran tamaño .................................................................................. 4
2.3 Descarga incremental para usuarios internos..................................................................... 4
2.4 Paso a histórico de trámites............................................................................................... 4
2.5 Bitácora ............................................................................................................................. 5
2.6 Deduplicación de la documentación adjunta...................................................................... 5
2.7 Clientedefirmaelectrónica...............................................................................................6
2.8 Integración con Cl@ve....................................................................................................... 6
2.9 Borrado automático de expedientes.................................................................................. 6
2.10 Validación de ficheros adjuntos estructurados............................................................... 6//,. y C. * ª«l*T ?i<!: &> 2.11 Mejoras varias para el usuario externo .......................................................................... 7
? ? g;l Requisitosnofuncionales 8
S#=!A} 1 Rendimientodelosformularios.........................................................................................8
3.2 Compatibilidadconnavegadores.......................................................................................8
3.3 Seguridad del Parametrizador............................................................................................ 8
3.4 Calidad del código.............................................................................................................. 9
3.5 Separación de las funcionalidades frontend y backend ...................................................... 9
4 Fase de pruebas e implantación............................................................................................ 10
5 Entorno y requisitos técnicos para el desarrollo.................................................................... 10
Página 2 de 11
/;.ºJ;iªm
í??
í«íti?' <ísl uí «* í .í« .sº:
GERENCIA
SUBDIRECCIÓN DE TECNOLOGÍAS DE LA
irypoí<vúcíóx Y LAS covuxicúcio NES
27 de abril de 2017
1 0BJETO DEL CONTRATO
La Sede electrónica del Tribunal de Cuentas ofrece, entre otros servicios, una ventanilla
electrónica para la realización de trámites en procedimientos de fiscalización, de enjuiciamiento,en la rendición de cuentas, en la remisión de certificados, en el ejercicio del derecho del ciudadano
a la información pública, en la gestión de solicitudes de empleo público del Tribunal de Cuentas, yen la solicitud de certificados.
Para recibir la información y los documentos asociados a cada uno de los procedimientos, la SedeElectrónica cuenta con una herramienta de creación de trámites (un parametrizador de trámites y
formularios) desarrollado a partir de la plataforma de tramitación y notificación telemática open-source ?, impulsada por el Govern de les Illes Balears.
Esta herramienta permite la creación de formularios electrónicos en los que el usuario, a través deuna navegación sencilla y guiada, va cumplimentando los distintos datos que le son solicitados y
- -,ad3untando los documentos electronicos que se determinen por el Tribunal de Cuentas,h,'?'?ª'5}0? 'íl,ªpermitiendo el envío de la documentación de forma ágil, sencilla y segura (manteniendo su,; º' - > G fidencialidad, integridad, disponibilidad y no repudio) al ser necesario para el envio, entre otras
@'t',mkldidas, certificado electronico reconocido y quedar registradas todas las entradas en el Regístroh-
* E'Íj!ctrónÍco del Tribunal de Cuentas. Asifüsmo, se asegura el tratamiento homogéneo de la4formación, ya que ésta se recibe de forma estructurada con el formato establecido por elTribunal, lo que facilita en gran medida su explotación posterior.
Al ampliar el ámbito de utilización de la Plataforma surgen nuevas necesidades tanto en el
funcionamiento interno para los departamentos del Tribunal como en el externo de cara a las
entidades que remiten la información. Así pues, el objeto de esta licitación es la contratación de
servicios de desarrollo evolutivo para el Parametrizador de Formularios de la Sede Electrónica a fin
de incluir las nuevas funcionalidades que se detallan en los siguientes epígrafes.
2 TAREAS A REALIZAR
2.I Implantación de un sistema de notificaciones por comparecencia en laSede Electrónica
El sistema debe implementar un servicio de notificaciones mediante comparecencia en la Sede
Electrónica del Tribunal de Cuentas conforme a lo establecido en el artículo 43 de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Página 3 de 11
/ l GERENaA
susomcccióx DE TECNOLOGíAS DE LA
INFORMACIÓN Y LAS COMUNlCAaO NESd
IíXlfü':m%la.tj'l:4.taí t;í'«k%l27 de abril de 2017
Esta nueva funcionalidad debe poder utilizarse en todos los procedimientos actuales y futuros del
Parametrizador sin necesidad de desarrollos informáticos posteriores, es decir, que su aplicación a
cualquier procedimiento del Tribunal de Cuentas debe poder realizarla un usuario interno
mediante el correspondiente interfaz de usuario para su configuración.
La solución debe contemplar todos los pasos del proceso de notificación, desde el alta y gestión de
usuarios hasta la comprobación fehaciente de la publicación, recepción y lectura de lasnotificaciones.
2.2 Gestión de ficheros de gran tamaño
La mayor parte de las incidencias reportadas por el usuario externo han estado relacionadas con la
remisión de archivos de g,rari tamaño (por encima de 20MB), así como con la posibilidad de
adjuntar múltiples archivos simultáneamente. Dado que hay casos en los que se ha intentado
remitir archivos de hasta un gigabyte, se debe incluir una funcionalidad para la gestión de envíos
;;;:4e gi
' C'>'-
ran volumen que permita:l,-'
.'k
a.'»': A4ThÑ R'4a"a;5 ítaW.=bhlI:';' º;Ji La posibilidad de seleccionar múltiples archivos a la vez para su remisión.
El envío de archivos sin limitación de tamaño (en los casos en que se autorice).
La reanudación de una carga de archivos en caso de interrupción.
2.3 Descarga incremental para usuarios internos
En la actualidad, si se desea descargar la base de datos generada a partir de la información
cumplimentada en los formularios y la documentación adjunta, es necesario descargar todo lo
recibido hasta ese momento. Esta característica dificulta la utilización del Parametrizador a largo
plazo y en trámites con elevados volúmenes de rendición, por lo que resulta necesario desarrollar
una funcionalidad que permita volcados parciales: una entrada individual, volcados incrementales,
entre fechas o por usuario.
2.4 Paso a histórico de trámites
El sistema debe implementar una funcionalidad que permita trasladar automáticamente a un
sistema informático interno, no accesible desde Internet, toda la información y los documentos
Página 4 de 11
GERENaA
SUBD?RECCIÓN DE TECNOLOGÍAS DE LA
ixtoevúcióx Y LAS COMUNICACIO NES? M
lpl'lilª?'í Il Dl €'I'r'!@,N; 27 de abril de 2017
correspondientes a trámites cerrados, liberando así espacio de almacenamiento en los servidoresde la Sede, reduciendo el riesgo para la seguridad de la información, mejorando el rendimiento de
aplicación y facilitando las labores de mantenimiento.
Se realizara un traspaso por periodos configurables de datos históricos de los siguientes elementos
de la plataforma:
o Expedientes
o TramitaciOneS
Notificacioneso
solución a desarrollar debe incluir los correspondientes procedimientos de consulta y
í
t9'iljªÍ' "l(71, r?k
2:!,:' Bitácora
Í sistema debe controlar las acciones desarrolladas tanto por los usuarios externos como internosmediante un módulo específico para el registro y consulta de trazas. Por ejemplo, fechas y horas
de conexión, de edición, de subida de archivos, de firma, de validación, de registro, de publicación
de notificaciones, de acceso, de lectura, etc. indicando en todo caso si las acciones se
desarrollaron con éxito o no y utilizando sellado electrónico de tiempo cuando la acción tenga
repercusiones legales.
2.6 Deduplicación de la documentación adjunta
En la actual versión del Parametrizador, cuando un usuario externo realiza un segundo, tercer
envío, etc., de un trámite, como consecuencia de la necesidad de enviar documentación
complementaria o de solventar algún error, se copian todos los archivos del envío anterior paraincluirlos en la nueva remisión. Esto hace que el espacio de almacenamiento necesario se
duplique, triplique..., cuando, en realidad, se está almacenando el mismo documento en todas lasocasiones.
Este problema se debe solventar mediante el desarrollo de una funcionalidad de deduplicación de
archivos en el Parametrizador. Así, el usuario externo seguiría visualizando en pantalla la totalidad
de documentos enviados aunque internamente sólo se guardarían los nuevos documentos de cada
envío, evitando almacenar un mismo documento repetidas veces.
Página 5 de 11
l GERENCIA
SUBDIRECCIÓN DE TECNOLOGÍAS DE LA
INFORMAaÓN Y LAS COMUNICAC?O NES??
tNíM .'éAl .»N,« 1.T?€%%N27 de abril de 2017
2.7 Cliente de firma electrónica
Aplicación cliente que el usuario externo deberá instalar en su equipo y que se invocará
automáticamente al efectuar una operación de firma desde el Parametrizador. Este cliente deberá
funcionar tanto en entornos que usen proxy, como en aquellos que no lo hagan y evitar la
dependencia de la ejecución de Java/ActiveX u otras tecnologías en el navegador.
2.8 Integración con Cl@ve
La versión actual del Parametrizador no permite a los usuarios internos el cambio usuario y
contraseña. Para los usuarios externos permite cambiar su contraseña pero no el usuario, que es
fijado de antemano por el Tribunal, siendo, en algunos casos difícil de recordar al seguir un patrón
alfanumérico complejo.
Para simplificar la autenticación de usuarios se debe integrar el Parametrizador con el sistema
Cl@ve para el acceso electrónico de los ciudadanos a los servicios públicos. Esto permitirá la
identificación mediante claves concertadas (usuario más contraseñal sin tener que recordar
claves diferentes para acceder a los distintos servicios. La autenticación mediante Cl@ve será,«º?S mplementaria al uso de certificado electrónico o DNI electrónico, necesarios para realizar
,-..-rs=> 'Záj:%ílquier envío de información a través del Registro Electrónico del Tribunal de Cuentas.(!,í,,;= ,,.:=?rX,,Q+l4,1,y!?:.@*ª '?'
':9 Borrado automático de expedientes
El sistema debe contar con una funcionalidad para programar por omisión el borrado automático
de expedientes transcurrido un plazo sin que el usuario externo trabaje en ellos. El usuario interno
del Parametrizador podrá definir dicho plazo para cada trámite en particular o de forma global
para todos y podrá elegir si se envía aviso por correo electrónico al usuario externo antes delborrado.
2.10 Validación de ficheros adjuntos estructurados
El sistema debe facilitar la carga y validación de archivos estructurados en formato xml para
alimentar los formularios. Estos archivos podrían ser generados automáticamente por las
aplicaciones de contabilidad, contratación, personal, etc., de las entidades para automatizar la
cumplimentación de los formularios.
Página 6 de 11
l GERENCIA
SUBDIRECCIÓN DE TECNOLOGÍAS DE LA
INFORMAaÓN Y LAS COMUMCAüO NES? é
rWtlií ' 4x€, @Hl « i ?r 'rtA:.'.27 de abril de 2017
EI Parametrizador debe incluir un módulo de validaciones automáticas para comprobar el formato
y la denominación de los archivos con carácter previo al envío.
2.11 Mejoras varias para el usuario externo
* Posibilidad de adjuntar documentos en cualquier lugar del formulario, no sólo al final de
cada sección tal y como sucede en la actualidad.
* Posibilidad de dar de alta usuarios secundarios para editar un formulario determinado (ni
entrar a otros ni enviar el expediente). Así el usuario principal, que podría editarlo todos y
enviar el expediente, podría distribuir estos usuarios entre distintos servicios de su
organización para que cada uno cumplimente su parte (contratación, recursos humanos,
contabilidad, etc).
* Posibilidad de enviar alertas por correo electrónico en respuesta a distintas acciones delusuario externo de cada trámite.
*
4%
% Á'lí?"
Inclusión de un botón "justificante" después de los botones "Vista preliminar" y "Datos"
que permita la descarga del justificante de Registro Electrónico en cada uno de los
expedientes completados.
Separación del proceso de "validación" de la información del proceso de "registro", de
manera que el usuario pueda "Validar" (comprobar) la información introducida y dejarlo
todo preparado para que el usuario encargado de "Registrar" (el titular del certificado
electrónico) sólo tenga que remitir el expediente ya comprobado.
Generación de informes estadísticos sobre todos los trámites o sobre algunos en concreto.
Como mínimo se debe obtener la siguiente información por periodos:
o
o
o
o
o
o
o
o
Número total de trámites
Número total de usuarios dados de alta
Número de expedientes iniciados
Número de expedientes enviados a registro electrónico
Número total de archivos adjuntados
Tamaño total de los archivos adjuntos recibidos (GB)
Tamaño medio de los archivos adjuntados (MB)
Número de expedientes iniciados que no han Ilegado a ser enviados a registro
electrónico antes de que expire el plazo correspondiente.
Página 7 de 11
[:-i.. "'1'Q h
???
I Klíl! ' .'í '4@-J?W.. 0;«{t 'í lí%l
GERENCIA
susomtccióx DE rtcxoíocíos DE LA
INFORMACIÓN Y LAS COMUNlCAaO NES
27 de abril de 2017
o Gestión de la capacidad: tasa de incremento del número de trámites, del número
de expedientes, del número de usuarios y del espacio de almacenamiento.
3 REQUISITOS NO FUNCIONALES
3.1 Rendimiento de los formularios
El adjudicatario deberá realizar pruebas de rendimiento antes de la puesta en producción para
garantizar que no se producen pérdidas de servicio por time-out ni esperas que puedan inducir al
abandono del servicio por parte del usuario externo.
El tiempo máximo de respuesta para cualquier parte del formulario no debe superar los cinco
segundos para un número de usuarios concurrentes de cien.
Salvo que resulte técnicamente imposible, las pruebas se automatizarán mediante herramientasde código libre (p. ej. JMeter) que deberán quedar al final del proyecto a disposición del TCu, sincoste añadido, con las configuraciones necesarias para repetir las pruebas.
En caso de que el resultado de las pruebas señale que se debe ampliar los recursos hardware de la--- ' - "Sede Electronica, se hara constar de forma detallada en que medida y cual sera el beneficio
Ep%:reto esperado en los tiempos de respuesta y el número de sesiones concurrentes.AÉ.;iU
ll-
*=z . íq€/)tí'?'Svil.
A?s'a !a-k
Compatibilidad con navegadores
Ifü formularios generados por el Parametrizador deberán visualizarse y operar correctamente enlos principales navegadores (Internet Explorer, Chrome, Firefox, Safari y Edge) e integrarse en laSede Electrónica, tal como sucede en su versión actual.
3.3 Seguridad del Parametrizador
Tanto las funcionalidades relacionadas con la remisión de información y documentos (entrada a
través de Registro Electrónico) como las relacionadas con las notificaciones por comparecencia en
Ia Sede Electrónica deben cumplir los requisitos de disponibilidad, autenticidad, integridad
confidencialidad y trazabilidad que se determinan en el Esquema Nacional de Seguridad.
Con este fin, el adjudicatario realizará una auditoría OWASP TOP 10 de la aplicación para localizar
y corregir, antes de la puesta en producción, las debilidades con un un impacto mayor en la
seguridad:
Página 8 de 11
r,.,g.,a
Y 4
!,]mH
-?
IWllí€'.?tít€íÍ»»í«V?i:,%l't'i
GERENCIA
susoistccióx DE recíqoíocíús DE LA
INFORMACIÓN Y LAS COMUN?CACIO NES
27 de abril de 2017
Al: InyecciÓn
A2: Cross-Site Scripting (XSS)
A3: Autenticación y gestión de sesiones
A4: Referencias inseguras a objetos directos
A5: Configuración de Seguridad Incorrecta
A6: Exposición de Datos Sensibles
A7: Ausencia de Control de Acceso a las Funciones
A8: Falsificación de peticiones en sitios cruzados (CSRF)
A9: Uso de Componentes con Vulnerabilidades Conocidas
AIO: Redirecciones y reenvíos no validados
Se deberán solucionar las vulnerabilidades de nivel normal y crítico detectadas por la aplicación
OWASP Dependency-Check (https://www.owasp.org/index.php/OWASP Dependency Check).
ara lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos en eluema Nacional de Seguridad (R. D. 3/20101 se aplicarán las medidas de seguridad indicadas en
sü?%exo Il que sean de aplicació'n en el ámbito de este proyecto.l{Q3-'
flStnl-i('t
á?'e »º4€' ?s B'» r' "K7;mytlL
'U=:'. Calidad del código
%ªra la medición de la calidad del código fuente se utilizará Sonar v.6.3 con sus métricas pordefecto. La calidad del código fuente resultante de este proyecto debe obtener una calificación
igual o mejor que "C".
3.5 Separación de las funcíonalidades frontend y backend
Se debe separar la funcionalidad de frontend y la de backend de la aplicación de tal manera que
puedan ser desplegados en servidores diferentes, conforme a la arquitectura utilizada por elTribunal.
Página 9 de 11
h GERENaA
SUBDIRECCIÓN DE TECNOLOGiAS DE LA
INFORMAüÓN Y LAS COMUMCACIO NES? 4
l'kffll:!It.l»n?L';rAl 27 de abril de 2017
4 FASE DE PRUEBAS E IMPLANTAClóN
Una vez que el adjudicatario considere concluido, total o parcialmente, el desarrollo de lasfuncionalidades, la aplicación resultante se instalará en el entorno de pre-producción para realizarIas pruebas que el Tribunal considere oportunas.
Las pruebas incluirán tests de rendimiento para comprobar que los tiempos de respuesta encondiciones de uso normales (según volumetría) no penalizan la experiencia de usuario, conforme
al requisito no funcional 3.1 y una auditoría de seguridad OWASP según el requisito no funcional3.3.
Sólo cuando el Tribunal considere que las pruebas han sido realizadas a su plena satisfacción, el
adjudicatario abordará la fase de implantación, con especial precaución para mantener en todomomento la operatividad del servicio durante el periodo de transición entre el sistema anterior yel nuevo.
5 ENTORNO Y REQUISITOS TÉCNICOS PARA EL DESARROLLO
El entorno tecnológico del proyecto es el siguiente:
," l,!?,,J,. Q.* T(']]:'f'Á%'l'g' */'It ?'??i?oª')?Ms' */!/ '@
50: Centos 7
Servidor de aplicaciones: Tomcat 7
BD: M/SQL3
Java 1.7
Frameworks: Struts 2, Hibernate
GIT
Maven
Actualizaciones a efectuar como parte del desarrollo del proyecto :
*
*
*
*
Servidor de aplicaciones: Tomcat 9
BD: Última versión de MySQLJava 1.8
Actualización de los frameworks a las últimas versiones
Página 10 de 11
GERENCIA
SUBDIRECCIÓN DE TECNOLOGÍAS DE LA
INFORMACIÓN Y LAS COMUNICACIO NES
@@Il%l,::?Í'%R,%hlAa.%,'k.:sl'.%% 27 de abril de 2017
Para la prestación de los servicios objeto del presente contrato, las empresas licitadorasdeberán ofrecer un servicio integral que permita disponer de las personas necesarias para trabajaren horario de 9 a 14h cinco días a la semana de lunes a viernes.
El proyecto se desarrollará íntegramente en las instalaciones del TCu y utilizando los entornosde desarrollo, pre-producción y producción de la Subdirección TIC. Debido a la confidencialidad dela información no se podrá hacer copias de las bases de datos, los documentos ni el código fuentede las aplicaciones en equipos distintos de los que autorice el TCu.
El adjudicatario deberá aportar los ordenadores y licencias de software necesarios para eltrabajo de su personal. Estos ordenadores se conectarán a la red del Tribunal, cumpliendo con laspolíticas de seguridad correspondientes para el acceso seguro a los servidores corporativos.
Madrid, a 27 de abril de 2017
EL SUBDIRECTOR DE TFCNOI OGíAS
,='ºl: l,'..',- DE LA INFORMAClóN Y LAS COMUNICACIONES
?' *r'%i'ñTh ?li
/
-?'-
7,i
7Fdo. -/Juan Andrés Hermoso Franco
Página 11 de 11