Criterios Minimos de Seguridad para El Desarrollo y Adquisicion de Software
Criterios Minimos de Seguridad para El Desarrollo y Adquisicion de Software
Criterios Minimos de Seguridad para El Desarrollo y Adquisicion de Software
En la presente Guía se establecen aquellos criterios de seguridad mínimos que una institución debe
contemplar en los requerimientos para el desarrollo y adquisición de software e implementaciones con
software de terceros de modo a poder cumplir con los controles establecidos en la "Guía de Controles
Críticos de Ciberseguridad".
Estos criterios mínimos de seguridad son aplicables al software desarrollado internamente por las
instituciones públicas, adquirido de una empresa o desarrollador tercerizado y/o a través de donaciones
a la institución.
1. Todo el software desarrollado debe contar con soporte de software del fabricante. Al momento
de la adquisición se debe establecer claramente el tiempo de vida mínimo que se requiere para
el software o sistema, y el fabricante debe ofrecer un tiempo de soporte igual o superior a dicho
tiempo de vida.
2. En caso de que no sea posible contar con soporte de software del fabricante, el modelo de
licenciamiento y la disponibilidad del código fuente debe ser tal que permita a la institución o a
otra empresa o desarrollador de software nacional asumir dicho soporte.
3. El fabricante o servicio de soporte debe tener un canal de comunicación y/o mecanismo de
reporte de vulnerabilidades o bugs de programación, de manera a que el cliente pueda
contactarlo en caso de descubrimiento de vulnerabilidades. En caso de que el reporte ocurra
dentro de la ventana de tiempo de vida solicitado, el fabricante o servicio soporte debe ser
capaz de proporcionar una corrección a la vulnerabilidad de manera oportuna, según el acuerdo
del nivel del servicio (por sus siglas en inglés, Service Level Agreement o SLA) especificado en
el contrato o pliego de bases y condiciones.
4. El software debe poder ser inventariado por herramientas estándar automatizadas de inventario
de software basados en el estándar Common Platform Enumeration (CPE), debiendo incluir
como mínimo la información del nombre, versión, autor y fecha de instalación del mismo.
Cifrado:
1. El software debe cifrar toda la información sensible en tránsito, especialmente aquella
información de carácter confidencial y/o cuya integridad deba asegurarse. Para ello se deberán
utilizar protocolos de red cifrados, tales como HTTPS, SSH, SCP, SFTP/FTPS, etc.
2. Para sistemas basados en web, se adoptará el modelo SSL/TLS para el cifrado del tráfico. Los
protocolos aprobados son TLS v.1.2 o superiores. Los protocolos TLS v.1.1 e inferiores y SSLv3