Firmadoc Digitalización Certificada 1.0.0

PLAN DE GESTIÓN DE CALIDAD

Versión 1.1 – 25/01/2009

Página 2 Rev. 1.1 25/01/2009

ÍNDICE

REVISIONES DEL PLAN DE GESTIÓN DE CALIDAD ................................................................ 3

INTRODUCCIÓN ................................................................................................................ 4

DESCRIPCIÓN .............................................................................................................................. 4 DOCUMENTOS REFERENCIADOS ...................................................................................................... 4

SEGURIDAD Y MANTENIMIENTO DE LOS SISTEMAS ........................................................... 5

GENERAL .................................................................................................................................... 5 DE LOS SISTEMAS OPERATIVOS ........................................................................................................ 5 DE LA BASE DE DATOS DOCUMENTAL ................................................................................................ 6 DEL APLICATIVO FIRMADOC ........................................................................................................... 8 DE LOS DISPOSITIVOS ASOCIADOS: ESCÁNER ...................................................................................... 9 DE LOS DISPOSITIVOS ASOCIADOS: DISPOSITIVOS DE CREACIÓN DE FIRMA ................................................. 9 DE LOS DISPOSITIVOS ASOCIADOS: CERTIFICADOS .............................................................................. 10

VIGENCIA DE LAS NORMAS Y ALGORITMOS ASOCIADOS ................................................. 11

GESTIÓN DE INCIDENCIAS ............................................................................................... 12

CONTRATO TIPO DE ADHESIÓN AL PLAN DE GESTIÓN DE CALIDAD .................................. 13

Página 3 Rev. 1.1 25/01/2009

REVISIONES DEL PLAN DE GESTIÓN DE CALIDAD

LANZADO POR FECHA CON LA APROBACIÓN DE FECHA

Ramiro Oliva Navas 09/05/2008 Ramiro Oliva Navas 25/01/2009

DOCUMENTO FECHA

Primera versión, revisado por KPMG Abogados 23/12/2008

Actualización de imagen corporativa (SAGE AYTOS) 25/01/2009

Página 4 Rev. 1.1 25/01/2009

INTRODUCCIÓN

Descripción

De acuerdo con el punto Cuarto de la Resolución de 24 de octubre de 2007, de la Agencia Estatal de

Administración Tributaria, sobre procedimiento para la homologación de software de digitalización

contemplado en la Orden EHA/962/2007, de 10 de abril de 2007, se entiende por Plan de Gestión de

Calidad el conjunto de operaciones de mantenimiento preventivo y comprobaciones rutinarias que

permitan garantizar mediante su cumplimiento que, en todo momento, el estado del software de

digitalización y los dispositivos asociados producen imágenes fieles e íntegras.

El objetivo es velar por la correcta calidad de la imagen obtenida y de sus metadatos,

independientemente del momento de tiempo en el que se haga uso del software de digitalización.

Dado que la explotación, mantenimiento y conservación del software se lleva a cabo por parte del

cliente con licencia de Firmadoc Digitalización Certificada 1.0.0 y en sus propias dependencias, SAGE

AYTOS ha redactado el siguiente documento de recomendaciones de mínimos, en cuanto a seguridad

que ha de respetar y cumplir el cliente.

Asimismo se adjunta el contrato tipo de adhesión donde SAGE AYTOS, una vez aceptado y

cumplimentado por el cliente, garantiza que el cliente está correctamente informado y además

acepta las normas de uso y conservación del software y de la base de datos documental.

Documentos referenciados

El presente documento Plan de Gestión de Calidad complementa al documento de descripción

técnica de la solución Firmadoc Digitalización Certificada “REF-COMP-1 Descripción Completa del

Procedimiento de Digitalización Certificada”.

Así mismo, para la correcta explotación del sistema en general, el propio aplicativo dispone de varios

manuales, de usuario y de administrador que contienen información concreta sobre cómo configurar

o utilizar cada una de las opciones del sistema.

En dichos documentos se incluyen aspectos a tener en cuenta durante la instalación y explotación del

software, tanto de requisitos mínimos de instalación, como aspectos de seguridad y control, así

como de estándares empleados en la solución.

Página 5 Rev. 1.1 25/01/2009

SEGURIDAD Y MANTENIMIENTO DE LOS SISTEMAS

General

Es deber del cliente estar informado y cumplir con los requisitos de hardware y software,

procedimiento de digitalización certificada y otros aspectos técnicos y funcionales, descritos

en la documentación técnica del producto REF-COMP-1, así como en los diversos manuales

disponibles en la aplicación.

Es obligación del cliente velar por el correcto funcionamiento del sistema y de la

preservación de las facturas digitalizadas y de los datos que la acompañen, así como por la

aplicación de medidas de seguridad y control enunciadas en este Plan de Gestión de Calidad,

que garanticen la calidad del proceso completo de digitalización certificada.

Debe designarse un responsable de seguridad del sistema que vele por el cumplimiento y

ejecución de las tareas que se incluyen en este documento.

Debe asegurarse una formación adecuada a los técnicos con acceso a la base de datos

documental.

Debe asegurarse una formación adecuada en el uso de la solución para los usuarios

implicados en el proceso de digitalización certificada.

Debe disponerse de copia firmada de este Plan de Gestión de Calidad en las instalaciones del

cliente a disposición de los técnicos de sistemas y usuarios involucrados en la seguridad y

mantenimiento del mismo, así como a terceras partes que pudieran requerirlo.

De los sistemas operativos

En las estaciones de trabajo y servidores donde se vaya a desplegar la solución, es necesario llevar a

cabo las siguientes tareas:

Comprobar la instalación de actualizaciones mayores (“Service Packs”) y de parches de

seguridad disponibles.

Comprobar la autorización de acceso de los usuarios implicados al sistema (política de

usuarios y contraseñas). Actualizar las contraseñas si no se ajustan a unos mínimos de

seguridad (se recomienda una longitud mínima de 8 caracteres, alternando mayúsculas,

minúsculas y dígitos). Se recomienda que la política de control de accesos de la entidad

incluya el cambio periódico de las contraseñas de acceso.

Página 6 Rev. 1.1 25/01/2009

Revisar y ajustar el perfil necesario de los usuarios del sistema (si deben o no deben ser

administradores de sus equipos, y por tanto pueden afectar a la instalación del software de

digitalización, instalar software sin autorización que pueda entrar en conflicto, desinstalar o

alterar componentes, etc.). Realizar revisiones periódicas de usuarios.

Configuración de seguridad de los directorios críticos de almacenamiento de información.

Verificar usuarios y contraseñas de acceso a recursos compartidos, especialmente cuando

dichos recursos puedan ser locales o bien estén apuntando a servidores donde se pueden

almacenar binarios del sistema de gestión documental. Se recomienda activar funciones de

cifrado sobre estos directorios siempre que estén disponibles en el sistema operativo o en

herramientas de terceros.

Disponer de sistemas de protección contra virus, software malintencionado (“malware”) y

otras amenazas. Programar verificaciones automáticas en los equipos. Velar por la

actualización constante del software antivirus en pro de un mejor rendimiento y maximizar la

protección.

Configurar los mecanismos de actualización automática de la solución de digitalización

certificada (actualización centralizada o desde cada puesto cliente, fechas de actualización)

así como habilitando el acceso a www.sicalwin.com, con objeto de que la solución pueda

descargar los parches y versiones. Comprobar el correcto funcionamiento tras una

actualización del producto.

Asegurar la comunicación entre Firmadoc y las autoridades de validación de certificados, con

objeto de que se pueda acceder al sistema con certificado digital, así como para la obtención

de sellos de tiempo.

De la base de datos documental

La entidad debe disponer de un documento que describa las medidas de seguridad mínimas

del “backoffice” a tener en las ubicaciones de almacenamiento de la Base de Datos

Documental y también en aquellos otros servidores donde opcionalmente se haya decidido

almacenar archivos binarios correspondientes a las imágenes de las facturas digitalizadas

(controles de acceso a la sala de servidores, condiciones de humedad, temperatura,

protección frente a inundaciones, etc.).

Revisar el protocolo de autenticación y de acceso a la base de datos documental

(autenticación del dominio, usuario/clave, mixta, etc.). Inventariar usuarios con acceso y tipo

de acceso a la base de datos documental (administradores de base de datos y usuarios

normales). Verificar las credenciales de acceso a la base de datos documental, asegurando

que éstas cumplen con unos requisitos mínimos de complejidad (longitud mínima

recomendada 8 caracteres, alternando mayúsculas, minúsculas y dígitos).

Página 7 Rev. 1.1 25/01/2009

Política de cambios en la base de datos documental. Qué usuarios y procesos podrán realizar

cambios en el esquema de la base de datos documental. Revisiones periódicas de usuarios y

procesos.

Realizar previsiones frente al aumento de la información de la base de datos, mediante

revisiones periódicas de la ocupación en disco de los ficheros.

Prever funcionamiento “en estrés” de la base de datos, verificando que los recursos del

servidor en cuanto a CPU y memoria no están agotados. Verificar las métricas de

rendimiento que pueda ofrecer el gestor de base de datos, así como las alertas de

rendimiento que pueda generar en los propios registros del sistema.

Revisar periódicamente el rendimiento de la base de datos, programando acciones de

ordenación de páginas, optimización de índices, y otras posibilidades que mantengan en

estado óptimo el gestor de base de datos relacional.

Asegurar que se dispone de al menos un usuario con acceso total y selectivo, sin demora, a

las facturas digitalizadas por el proceso de digitalización certificada, con posibilidad de

impresión y extracción a disco, así como por la posibilidad de buscar y obtener los datos

indicados en el punto séptimo de la Resolución del 24 de Octubre de 2007 sobre

procedimiento de homologación para software de digitalización certificada:

“Séptimo. Acceso completo y sin demora.–Se entiende por acceso completo y sin

demora aquel que posibilite una consulta en línea a los datos que permita la

visualización de los documentos con todo el detalle de su contenido, la búsqueda

selectiva por cualquiera de los datos que deban reflejarse en los libros registro

regulados en los artículos 62 y siguientes del Real Decreto 1624/1992, de 29 de

diciembre, la copia o descarga en línea en los formatos originales y la impresión a

papel de aquellos documentos que sean necesarios a los efectos de la verificación o

documentación de las actuaciones de control fiscal.

La base de datos creada debe permitir la consulta a los siguientes datos: los de la

firma electrónica de la imagen, incluido, en su caso, el sello de tiempo; la información

del certificado y los metadatos a los que se hace mención en el apartado Tercero de

esta Resolución; la referencia identificativa de la homologación acordada, una marca

de tiempo, y el nombre y número de versión del software de digitalización.”

El cliente debe disponer de un documento donde se describa la política de gestión de copias

de seguridad (“backup”), que debe incluir la relación de bases de datos, el intervalo de copia,

la ubicación donde se custodien las copias y los responsables de realizar tales copias,

custodiarlas y recuperarlas en caso necesario.

Se deben realizar copias de seguridad periódicas de la base de datos documental. La

destrucción de las facturas en papel sólo podrá llevarse a cabo cuando se halla verificado y

custodiado apropiadamente la copia de seguridad que contenga la versión digitalizada y

todos los datos que la acompañan.

Página 8 Rev. 1.1 25/01/2009

Debe mantenerse un registro de copias de seguridad realizadas.

Los archivos a incluir en las copias de seguridad son los propios de la base de datos

documental (ficheros de datos y de transacciones), así como todos los ficheros alojados en

volúmenes secundarios.

Se recomienda un etiquetado organizado que no indique de manera clara la información

contenida en cada soporte, así como cifrar y/o proteger con contraseña las copias de

seguridad realizadas.

Es recomendable realizar un análisis de riesgos y disponer de un plan de contingencias que

incluya acciones con objeto de que se garantice la recuperación de los archivos informáticos

en caso de siniestro, sustracción o avería del sistema informático en el que se almacenan las

facturas o documentos sustitutivos.

El cliente se compromete a no modificar, eliminar o alterar de forma directa las facturas

digitalizadas según el proceso de digitalización certificada, ni ningún dato de la base de datos

documental relacionado con las facturas, ni ninguno de los archivos en los volúmenes

secundarios, ni insertar registros directamente en la base de datos.

Del aplicativo Firmadoc

Configurar los mecanismos de acceso aceptados por Firmadoc (“Single-Sign-On” mediante

autenticación Windows, usuario/contraseña y/o certificado digital).

Revisar la autorización de los usuarios del sistema operativo al aplicativo Firmadoc.

Definir el organigrama de la entidad incluyendo las áreas, servicios, secciones, negociados,

departamentos, grupos y cargos necesarios.

Configurar los periodos de habilitación de cargos, indicando qué usuarios ocupan cada cargo

del organigrama, desde que fechas y posibles fechas de cese.

Configurar correctamente los roles, privilegios y permisos sobre tipos de objetos.

Definir opcionalmente la visibilidad de los tipos de documentos entre las distintas unidades

organizativas de la entidad del cliente, en especial de las facturas.

Configurar el registro de acciones de los usuarios, de forma que se registren por lo menos las

acciones de los últimos 30 días.

Asignar el privilegio de Digitalización Certificada exclusivamente a los usuarios implicados en

el proceso de digitalización certificada.

Asignar permisos de acceso al tipo de documento “facturas” a todos aquellos usuarios que lo

requieran.

Página 9 Rev. 1.1 25/01/2009

Realizar revisiones periódicas de la ocupación de cargos, así como de los usuarios

autorizados al aplicativo.

De los dispositivos asociados: escáner

El sistema requiere que el escáner incluya un driver TWAIN. Debe asegurarse que él driver

del escáner es 100% compatible con el sistema operativo empleado.

Se recomiendan escáneres de la marca Fujitsu, con los que ha sido probado exhaustivamente

el producto (Fujitsu 5120c, Fujitsu 5220c, o modelos más recientes).

No se garantiza el correcto funcionamiento con cualquier marca/modelo de escáner. El

cliente deberá realizar pruebas de digitalización simple y multi-página antes de proceder a la

puesta en marcha en real del sistema.

Se deberá velar por el cuidado y buen uso de estos dispositivos, así como de su limpieza

periódica.

Deben configurarse los parámetros de digitalización en Firmadoc, indicando profundidad de

color y resolución. La profundidad de color recomendada es 1 bit (B/N) y para el parámetro

resolución se recomienda mantener el mínimo que acepta el sistema: 200 ppp.

De los dispositivos asociados: dispositivos de creación de firma

El cliente debe verificar el funcionamiento de los dispositivos de firma (tarjetas inteligentes,

certificados de software) y comprobar su compatibilidad con la configuración del producto,

previa a la puesta en marcha en real del mismo.

Debe controlarse que la instalación de dispositivos seguros de creación de firma se lleve a

cabo por personal cualificado y verificar que, en caso de instalarse más de un dispositivo en

un mismo equipo, que no exista incompatibilidad.

Debe procederse a la actualización del CSP, driver o componente hardware si el fabricante

del mismo así lo recomienda y no hacerlo pueda afectar al rendimiento o seguridad del

proceso

Página 10 Rev. 1.1 25/01/2009

De los dispositivos asociados: certificados

El aplicativo Firmadoc emite un aviso de caducidad próxima del certificado configurable. Se

recomienda activar un aviso 15 días antes de la caducidad del mismo. El cliente debe velar

por la vigencia de los certificados y es responsable de la renovación de los mismos, tiempo

antes de que venzan.

Deben configurarse en Firmadoc los parámetros de aceptación y verificación de los

certificados empleados. Deben aceptarse únicamente certificados admitidos por la AEAT,

cuya relación puede encontrarse en el documento REF-COMP-1, del 23/12/2008, pág. 31.

Es imprescindible que se active la verificación del estado de revocación, que procederá a la

verificación de cada certificado empleando los servicios web de @Firma o los propios de la

entidad de certificación habilitada (CatCert, ACCV, Camerfirma, FNMT)

Debe velarse por la precisión de la hora del servidor de base de datos documental o bien del

servidor que se haya establecido como referencia para la obtención de todo tipo de fechas

del sistema.

Debe velarse por la obtención automática de sellos de tiempo, si dicha opción está habilitada

en el monitor de indexación. Estos sellos de tiempo se obtienen automáticamente a partir de

entonces y en “background” para cada una de las firmas realizadas. El cliente debe habilitar

permiso de paso a través de cualquier cortafuegos con objeto de que la aplicación pueda

invocar el servicio de sello de tiempo (descrito en el documento REF-COMP-1, del

23/12/2008, pág. 11).

En caso de pérdida del certificado, puesta en compromiso de la clave privada o de cualquier

otra actuación indebida, el cliente debe notificar a la entidad de certificación solicitando la

revocación del mismo y solicitando un certificado nuevo si fuera necesario.

Página 11 Rev. 1.1 25/01/2009

VIGENCIA DE LAS NORMAS Y ALGORITMOS ASOCIADOS

SAGE AYTOS ofrecerá asesoramiento gratuito al cliente bajo contrato de mantenimiento y

soporte en todas las cuestiones técnicas y normativas del producto de digitalización

certificada, del procedimiento de digitalización certificada así como de cuestiones

relacionadas con la certificación digital y firma electrónica.

No obstante, la obtención, utilización, revocación, suspensión o renovación de certificados

digitales únicamente incumbe al cliente y la entidad de certificación elegida por el cliente.

SAGE AYTOS notificará a todos sus clientes a través de los cauces habituales de contacto de

cambios y novedades en las normativas o técnicas relacionadas con los sistemas, productos,

y procedimientos de digitalización certificada, así como de nuevas versiones del producto

que se adapten a nuevos requerimientos.

No obstante, el cliente debe velar en todo momento por el cumplimiento de la normativa

vigente en cuanto a digitalización certificada y realizar las acciones necesarias preventivas

para asegurar en todo momento la validez de todo el procedimiento, siendo éste único

responsable en última instancia de la correcta aplicación del procedimiento.

El cliente deberá velar porque los algoritmos empleados de “hashing” y firma electrónica,

SHA1/RSA empleados actualmente en el producto, siguen siendo válidos y admitidos por la

Agencia Tributaria. SAGE AYTOS velará por la incorporación de nuevos algoritmos, según el

estado de la técnica y factores de interoperabilidad, actualizando el producto y ofreciendo

nuevas versiones que incluyan algoritmos más modernos, cuando así lo exija la Agencia

Tributaria o una norma que afecte al cliente en cuanto al proceso de digitalización certificada

en el ámbito del cliente.

El cliente es responsable de aplicar cuantas actualizaciones de software sean necesarias y

estén disponibles con objeto de cumplir con la normativa vigente.

Página 12 Rev. 1.1 25/01/2009

GESTIÓN DE INCIDENCIAS

Se recomienda designar un responsable de soporte interno que centralice cualquier

incidencia detectada en el sistema y sirva de tutor o administrador del producto Firmadoc,

así como de enlace con el Departamento de Soporte Técnico de SAGE AYTOS.

SAGE AYTOS pone a disposición del cliente un número de atención telefónica para cualquier

tipo de duda, sugerencia o incidencia en el sistema: 902 401 402.

El cliente puede ponerse en contacto también por correo electrónico, a través de las

direcciones publicadas en la página web www.sageaytos.es.

O bien, por correo postal en la dirección:

Avda. Blas Infante 6, 2º

41400 Écija ( Sevilla )

Página 13 Rev. 1.1 25/01/2009

CONTRATO TIPO DE ADHESIÓN AL PLAN DE GESTIÓN DE CALIDAD

D. ___________________________________, en _________________________ a fecha

__/__/____, en representación de la entidad ________________________, con CIF:

________________ cliente de SAGE AYTOS, declaro haber leído el Plan de Gestión de Calidad para el

mantenimiento del software Firmadoc Digitalizacion Certificada 1.0.0, el cual permite velar por la

correcta calidad de la imagen obtenida en el proceso de digitalización y de sus metadatos,

independientemente del momento de tiempo en el que se haga uso del software de digitalización.

Asimismo, adquiero el compromiso expreso de llevar a cabo el conjunto de operaciones de

mantenimiento preventivo y comprobaciones rutinarias que permitan garantizar mediante su

cumplimiento que, en todo momento, el estado del software de digitalización y sus dispositivos

asociados producen imágenes fieles e íntegras, de acuerdo con la ORDEN EHA/962/2007, de 10 de

abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y

conservación electrónica de facturas, contenidas en el Real Decreto 1496/2003, de 28 de noviembre,

por el que se aprueba el reglamento por el que se regulan las obligaciones de facturación; y de

acuerdo con la RESOLUCIÓN de 24 de octubre de 2007, de la Agencia Estatal de Administración

Tributaria sobre procedimiento para la homologación de software de digitalización contemplado en

la citada ORDEN EHA/962/2007, de 10 de abril de 2007.

Adicionalmente he recibido por parte de SAGE AYTOS el documento REF-COMP-1

DESCRIPCIÓN COMPLETA DEL PROCEDIMIENTO DE DIGITALIZACIÓN CERTIFICADA donde se

especifican las medidas técnicas del sistemas de facturación digital, así como el procedimiento de

digitalización, entre otros documentos, con el fin de llevar a cabo un proceso de digitalización que se

adecue a las especificaciones de la ORDEN y de la RESOLUCIÓN antes mencionadas y se consiga una

imagen fiel e íntegra, tal y como se describe en este Plan de Gestión de Calidad.

_______________, __ de _________________ de ____

Firma