Normas sobre Tecnologías de la Información y Comunicación - NORTIC

Normas sobre Tecnologías de la Información y Comunicación - NORTIC

Administración y seguridad

Los medios web del organismo tienen que contar con políticas y herramientas para minimizar los posibles riesgos de ataques o errores fatales en su estructura interna, de modo, que se proteja tanto la infraestructura que les soportan, así como la integridad de la información de sus usuarios.

Comité administrador de los medios web

  1. El organismo debe crear un Comité Administrador de los Medios Web (CAMWEB), mediante una resolución administrativa interna.
  2. El CAMWEB debe estar conformado mínimamente por los responsables, y a quien estos designen, de las áreas listadas a continuación:
    1. Comunicaciones, prensa o relaciones públicas, la cual sería el área responsable del contenido que se presenta en todos los medios web del organismo, así como de su actualización constante, a excepción del sub-portal de transparencia.
    2. Oficina de Acceso a la Información, la cual sería el área responsable del contenido que se presenta en el sub-portal de transparencia del organismo, así como de su actualización constante.
    3. Tecnologías de la Información, para dar soporte técnico a los medios web del organismo.
    4. Cualquier otra área que designe la máxima autoridad del organismo.

Nombres de dominio

  1. El nombre de dominio del portal debe estar bajo la jerarquía .GOB, .MIL o .EDU, según aplique, seguido del dominio de nivel superior geográfico para República Dominicana .DO.
  2. La URL del sub-portal de transparencia debe formarse por el nombre de dominio del organismo, seguido de la palabra “transparencia” (en minúscula), separadas por una barra diagonal (/) como se muestra en el ejemplo siguiente: [nombredominio.gob.do/transparencia].
  3. La URL de la versión móvil del portal debe formarse por la letra “m” (en minúscula), seguida del nombre de dominio del organismo (en minúscula), separadas por un punto (.) como se muestra en el ejemplo siguiente: [m.nombredominio.gob.do].

Estadísticas de los medios web

  1. Los medios web deben contar con una herramienta de estadísticas de uso de los mismos.
    1. La herramienta debe ofrecer mínimamente la siguiente información:
      1. Porcentaje de cambios.

      2. Visitantes y visitantes únicos.

      3. Páginas por visita.

      4. Porcentaje de abandonos.
      5. Promedio de tiempo en el sitio.

      6. Páginas más populares.

      7. Fuentes de tráfico.

      8. Palabras clave.

      9. Conversiones totales.

      10. Ruta de clics.

Administrador de contenidos

  1. Los medios web deben estar desarrollados bajo un manejador de contenidos (CMS, por sus siglas en inglés) que permita actualizar con frecuencia, libertad y facilidad los mismos.
    1. Si el manejador de contenidos está basado en licencias libres como la GNU General Public License (GNU/GPL), y por la Berkeley Software Distribution (BSD), debe mostrarse en su código fuente las declaraciones de derecho de autor y créditos por el código fuente.
    2. Los medios web del organismo no deben mostrar en sus divisiones, paneles, secciones ni en ninguna parte del código fuente, alguna información referente a empresa, persona o institución que haya desarrollado los mismos.
    3. El manejador de contenidos debe contar con las funcionalidades mínimas siguientes:
      1. Publicación de contenidos organizados por secciones y categorías.

      2. Gestor de menús.

      3. Administrador de imágenes y archivos.

      4. Gestor de usuarios, el cual también permita el control de roles específicos para usuarios registrados.

      5. Diseño basado en módulos.

      6. Escalabilidad e implementación de nuevas funcionalidades, permitiendo la instalación de módulos, componentes y plugins.

      7. Manejo de plantillas.

      8. Redifusión web.

      9. Localizador uniforme de recursos (URL) amigable.

      10. Gran comunidad en Internet para soporte técnico.

      11. Editor de texto tipo WYSIWYG.

      12. Herramienta para la optimización en los motores de búsqueda.

Seguridad

  1. Los medios web deben estar protegidos por un programa anti-virus capaz de detectar, controlar y eliminar virus informáticos y algunos códigos maliciosos.
  2. Los medios web deben estar protegidos por un programa anti-spam capaz de detectar, controlar y eliminar correos spam.
  3. El organismo o su proveedor de alojamiento web deben contar con una herramienta de protección que permita filtrar y bloquear en base a reglas, direcciones web, puertos, protocolos, entre otros.
  4. En el caso que el organismo requiera datos del usuario, a través de sus medios web, estos deben asegurar la información del usuario mediante un mecanismo de encriptación, donde se pueda cifrar y descifrar la información con claves secretas, y solo pueda ser leída por las personas autorizadas a quienes van dirigidas.
  5. En el caso que el organismo tenga un sistema de transacciones de pago o de captación de información confidencial por parte del usuario, el medio web debe tener un certificado de seguridad que permita el cifrado de los datos entre el servidor y el ordenador del usuario.
  6. Los formularios deben utilizar el método POST para enviar la información de su contenido.
  7. Los formularios deben verificar que los campos del formulario permitan una cantidad razonable de caracteres y que respeten el formato pedido.
  8. Los formularios deben estar protegidos de inyección de SQL.
  9. Los medios web deben estar protegido de falsificación de petición en sitios cruzados (XSRF, por sus siglas en inglés).
  10. Debe crearse un plan de respaldo para el aseguramiento de la información.

Recomendaciones sobre la administración y la seguridad

  1. Tener en el organismo la figura del responsable del portal, también llamado en inglés webmaster o webmistress (en su forma femenina), para dar mantenimiento, actualización o programación a los medios web, entre otras funciones.
  2. Tener en el organismo la figura del responsable de la comunidad, también llamado en inglés community manager, para establecer, estudiar y direccionar la información que se difundirá, a través de las redes sociales, entre otras funciones.
  3. Procurar que el nombre de dominio del organismo sea corto y fácil de recordar.
  4. Registrar el nombre de dominio bajo la jerarquía .GOV.
  5. Registrar varios dominios relacionados al principal nombre de dominio del organismo, de modo que estén reservados solo para fines de uso del organismo, como es el caso de los .COM, .NET, .ORG, entre otros.
  6. Evitar el uso de números y rayas (-) en los nombres de dominios.
  7. Registrar los nombres de dominios por varios años.
  8. Procurar URL amigable.
  9. Procure que las URL estén compuestas por letras en minúsculas.
  10. Utilice URL descriptivas para el contenido accedido.
  11. En las URL separe las palabras por guiones (-).
  12. Utilice un CMS de código abierto para el desarrollo de los medios web del organismo.
  13. Establecer una política de cambio de contraseñas.
  14. Evite contraseñas de longitud corta, utilice un mínimo de 8 caracteres, combinada con letras minúsculas y mayúsculas, así como con números y caracteres especiales.