OMC CP Gestor de certificados médicos electrónicos v1 ·...

Gestor de certificados electrónicos

Documento de Concurrencia Pública

OMC: Gestor de certificados electrónicos.

2

Índice

Índice .................................................................................................................................2 1. Resumen ejecutivo.......................................................................................................4 1.1. Visión general.............................................................................................................. 4 1.2. Antecedentes .............................................................................................................. 4 1.3. Objetivos ..................................................................................................................... 6

2. Alcance ........................................................................................................................7 2.1. Incluido en el alcance.................................................................................................. 7 2.2. Excluido del alcance .................................................................................................... 9 2.3. Restricciones ............................................................................................................... 9 2.4. Impacto de los cambios previstos ............................................................................. 10

3. Planificación del proyecto ..........................................................................................12 4. Casos de uso de negocio de certificados médicos electrónicos ...................................13 4.1. Diagramas de caso de uso de negocio ...................................................................... 13 4.2. Descripciones de caso de uso de negocio ................................................................. 14 4.2.1. CUN01. Adquirir certificado médico .................................................................. 14 4.2.2. CUN02. Expedir certificado médico ................................................................... 16 4.2.3. CUN03. Remitir certificado médico.................................................................... 18 4.2.4. CUN04. Imprimir certificado médico.................................................................. 20 4.2.5. CUN05. Verificar certificado médico .................................................................. 22

5. Casos de uso de negocio de certificados administrativos electrónicos ........................24 5.1. Diagramas de caso de uso de negocio ...................................................................... 24 5.2. Descripciones de caso de uso de negocio ................................................................. 26 5.2.1. CUN01. Solicitar certificado administrativo ....................................................... 26 5.2.2. CUN02. Revisar solicitud y adjuntar certificado administrativo......................... 30 5.2.3. CUN03. Generar certificado administrativo ....................................................... 34 5.2.4. CUN04. Verificar certificado administrativo....................................................... 38 5.2.5. CUN05. Administrar certificados administrativos .............................................. 40

6. Actores de certificados médicos electrónicos ............................................................41 6.1. Empleados................................................................................................................. 41 6.2. Actores de negocio.................................................................................................... 41 6.3. Otros sistemas........................................................................................................... 42

7. Actores de certificados administrativos electrónicos..................................................43


3

7.1. Empleados................................................................................................................. 43 7.2. Actores de negocio.................................................................................................... 43 7.3. Otros sistemas........................................................................................................... 44

8. Estados de los certificados médicos electrónicos........................................................45 8.1. Solicitudes de certificados médicos electrónicos...................................................... 45 8.2. Certificados médicos electrónicos............................................................................. 45

9. Estados de los certificados administrativos electrónicos ............................................46 9.1. Solicitudes de certificados administrativos electrónicos .......................................... 46 9.2. Certificados administrativos electrónicos ................................................................. 47

10. Otros requerimientos funcionales ............................................................................48 10.1. Plataforma de portafirmas...................................................................................... 48 10.2. Plataforma de validación de certificados y firmas electrónicas .............................. 51 10.3. Plataforma de sellado de fecha y hora.................................................................... 53

11. Requerimientos no funcionales................................................................................53 11.1. Requerimientos de volumen y almacenamiento .................................................... 53 11.2. Requerimientos de desarrollo................................................................................. 54 11.3. Requerimientos de plataforma ............................................................................... 55 11.4. Requerimientos de accesibilidad ............................................................................ 57 11.5. Requerimientos de seguridad ................................................................................. 59 11.6. Requerimientos de interoperabilidad ..................................................................... 60 11.7. Requerimientos de fiabilidad .................................................................................. 61 11.8. Requerimientos de formación ................................................................................ 61

12. Identificación de riesgos...........................................................................................61 13. Aspectos económicos del proyecto ..........................................................................62 14. Presentación de proposiciones: lugar y plazo de presentación, formalidades y

documentación.................................................................................................................62 15. Criterios de valoración para la adjudicación .............................................................63


4

1. Resumen ejecutivo

1.1. Visión general

Este documento contiene los requerimientos para la construcción y explotación de una

plataforma de certificados médicos electrónicos, a partir de un conjunto de necesidades de

negocio, funcionales y no funcionales, que definen un sistema de información que soporte la

expedición y gestión del ciclo de vida de los certificados médicos electrónicos, en sustitución

del actual sistema de certificado médico en soporte papel.

Adicionalmente, este documento contiene los requerimientos para integración de los

certificados administrativos electrónicos en la plataforma del e-‐Colegio permitiendo

gestionar su ciclo de vida de forma totalmente electrónica. Los certificados administrativos

que se implementarán se ubicarán en la distintas ventanillas únicas de los Colegios y del

CGCOM.

1.2. Antecedentes

Certificados médicos electrónicos

Los certificados médicos son documentos privados oficiales, asimilados a documentos

administrativos, y con un valor reforzado penalmente, que expiden médicos colegiados a los

ciudadanos, para el cumplimiento de deberes y obligaciones públicas, o el acceso a

beneficios o disfrute de derechos.

Algunos ejemplos de certificados médicos incluyen los certificados médicos de defunción, los

certificados médicos de aptitud deportiva o los certificados médicos expedidos a efectos del

permiso de conducción o de armas.


5

Los certificados médicos son expedidos por los Colegios de Médicos, empleando los

formularios editados en exclusiva por el Consejo General, de acuerdo con lo establecido en

los artículos 59 y siguientes de los Estatutos Generales de la Organización Médica Colegial y

del Consejo General de Colegios Oficiales, aprobados por Real Decreto 1018/1980, de 19 de

mayo, modificado por Real Decreto 757/2006, de 16 de junio, por el que se aprueban los

Estatutos generales del Consejo General de Colegios Oficiales de Médicos. A dicho Consejo

corresponde fijar las clases de certificados, el importe de los mismos y su actualización.

En los actuales modelos de certificados médicos en soporte papel no existe ningún sistema

que permita la comprobación de la identidad del médico firmante del certificado, ni

tampoco existe la garantía de que el certificado médico sea íntegro, ni de que haya sido

realmente firmado por el médico que aparece reflejado en el mismo.

Así pues, la falsificación es una posibilidad real, y que ya se ha detectado en varias ocasiones,

lo cual redunda en una pérdida de confianza en el instrumento por parte de las

administraciones consumidoras.

Esta situación degrada de forma muy importante el valor y la función de los certificados

médicos, en aras a la protección de los ciudadanos, por lo que resulta necesario proceder a

la creación de un sistema de certificados médicos electrónicos, fiables e interoperables.


Certificados administrativos electrónicos

Actualmente, los certificados administrativos emitidos por los distintos Colegios y el CGCOM

se elaboran mediante informes elaborados a través de Crystal Report y herramientas

ofimáticas, remitiéndose por correo electrónico o entregándose en mano.


6

1.3. Objetivos

Los principales objetivos del proyecto son:

• Certificados médicos electrónicos

o Desarrollo, implementación y puesta en marcha de un sistema de certificado

médico electrónico, que permita la completa sustitución del certificado

médico en papel, así como permita la gestión segura y eficiente de los

procedimientos privados y públicos en los que intervengan este tipo de

certificados.

o El sistema de certificado médico electrónico se enmarca en el proceso de

implantación de administración electrónica que ha emprendido la OMC como

consecuencia de la aplicación de la Directiva de Servicios (Ley Ómnibus) y la

Ley de Administración Electrónica a las llamadas Autoridades Competentes,

entre las que se encuentran las corporaciones médicas.

o La tecnología, arquitectura y esquema funcional del proyecto del certificado

médico electrónico deben estar en armonía con los desarrollos ya realizados

por la OMC en el marco de su sistema de Ventanilla Única, integrando la

información en la misma si bien el sistema no debe construirse

necesariamente empleando esta plataforma, ya que debe ofrecer servicios a

todos los Colegios de Médicos independientemente de la aplicación que

gestione su Ventanilla Única.

o Adicionalmente, en el caso que aplique directamente al CGCOM la solución

deberá integrarse con el gestor documental de archivo implantado en la

organización.

• Certificados administrativos electrónicos

o El objetivo principal del proyecto es el desarrollo, implementación de los

trámites necesarios para la expedición de certificados administrativos

electrónicos.

o Este trámite se integrará con la plataforma del e-‐Colegio y VUDS OMC,

plataforma desarrollada para la aplicación de la Directiva de Servicios (Ley

Ómnibus) y la Ley de Administración Electrónica a las llamadas Autoridades

Competentes, entre las que se encuentran las corporaciones médicas.


7

o Adicionalmente, en el caso que aplique directamente al CGCOM la solución

deberá integrarse con el gestor documental de archivo implantado en la

organización.

• Servicio de monitorización

• Servicio de portafirmas

• Plataforma de validación de certificados y firmas electrónicas

• Plataforma de sellado de fecha y hora

2. Alcance

2.1. Incluido en el alcance


El proyecto pretende la sustitución de todos los tipos de certificados médicos que

actualmente se emiten en formato papel.

Los certificados y sus usos más significativos afectados por la propuesta son los siguientes:

- Certificados médicos de defunción.

- Certificados médicos de adopción.

- Certificados médicos para entidades deportivas.

- Certificados médicos para permiso de armas.

- Certificados médicos para carné de conducir y para la recuperación de puntos del

carné.

- Certificados médicos de salud laboral.

- Certificados médicos para seguridad privada.

- Certificados médicos para homologación de permisos para extranjeros.

- Certificados médicos para trabajos peligrosos (grúas, etc).


8

- Certificados médicos para propietarios de perros peligrosos.

- Certificados médicos de aptitud para náutica.

- Certificados médicos de aptitud para la pesca.

- Certificados médicos de aptitud actividades subacuáticas.

- Cualquier otro certificado que demande cualquier actividad que requiera de una

certificación especifica del estado de salud para su realización.


El proyecto deberá comprender:

-‐ la presentación de la solicitud por parte del interesado.

-‐ la gestión del flujo de firmas necesarias para su validación utilizando un portafirmas.

-‐ implementación de un repositorio de documentos para el colegio y CGCOM.

-‐ la generación del certificado con un CVE estampado que permita su verificación

posterior en el repositorio de documentos del colegio y CGCOM.

Los certificados y sus usos más significativos afectados por la propuesta son los siguientes:

- Certificados de idoneidad profesional.

- Certificados colegiales.

Servicio de monitorización

El proyecto deberá incluir la creación de un sistema de monitorización tipo Nagios de la

plataforma tecnológica que de soporte al sistema de certificado médico electrónico, así

como una propuesta de soporte de tercer nivel 24x7 para dicha plataforma.

Servicio de portafirmas

El proyecto ofrecerá un servicio de portafirmas que cumpla los requisitos expuestos más

adelante.

Plataforma de validación de certificados y firmas electrónicas

El proyecto ofrecerá una plataforma de validación de certificados y firmas que cumpla los

requisitos expuestos más adelante.


9

Plataforma de sellado de fecha y hora

El proyecto ofrecerá una solución completa de sellado de fecha y hora que cumpla los

requisitos expuestos más adelante.

2.2. Excluido del alcance

Todas las funcionalidades no expresamente incluidas se encuentran expresamente excluidas

del alcance.

2.3. Restricciones


Los certificados médicos electrónicos deben ser interoperables con las Administraciones

Públicas, sanitarias y no sanitarias. Los certificados médicos electrónicos deben poder ser

accedidos y consultados directamente por las Administraciones Públicas, y entidades que lo

precisen para el desarrollo de su actividad (por ejemplo Federaciones deportivas) de

acuerdo con la legislación vigente.

El sistema gestor de certificados médicos electrónicos debe integrarse con la plataforma ya

existente del e-‐Colegio implementada por la OMC, prestando especial atención a la

implantación y configuración de un repositorio único centralizado de Usuarios (LDAP) para

su uso desde cualquier aplicación informática del e-‐Colegio. Por este motivo, es necesario

revisar la robustez y capacidad de dicha plataforma, redimensionándola y mejorándola para

ofrecer los servicios requeridos por el gestor de certificados médicos electrónicos.

Se valorarán aquellas propuestas basadas en arquitecturas orientadas a servicio que faciliten

la reutilización en otros proyectos de todos los componentes y servicios desarrollados.


10

2.4. Impacto de los cambios previstos


Caso de uso de

negocio

¿Nuevo? Funcionalidad

deseada

Funcionalidad

actual (si se

modifica)

Afectados Prioridad

Adquirir

certificado

médico

Sí Solicitud y pago

de un

certificado

médico

N/A Ciudadano Alta

Expedir

certificado

médico

Sí Creación, firma

y registro de un

certificado

médico

electrónico

N/A Médico

expedidor

Alta

Remitir

certificado

médico

Sí Envío o puesta

a disposición de

un certificado

médico

electrónico

N/A Médico

expedidor

Alta

Imprimir

certificado

médico

Sí Impresión en

papel de un

certificado

médico

expedido

N/A Médico

expedidor,

ciudadano,

Administra-‐

ción

Alta

Verificar

certificado

médico

Sí Comprobación

en línea de la

autenticidad de

un certificado

médico

N/A Médico

expedidor,

ciudadano,

Administra-‐

ción

Alta


11

mediante CVE

Administrar

certificados

médicos

electrónicos

Sí Gestión del

ciclo de vida de

los certificados

médicos

electrónicos

expedidos

N/A Médico

expedidor,

Administra-‐

dor del

servicio

(empleado

CGCOM)

Media

Administrar el

gestor de

certificados

médicos

electrónicos

Sí Configurar y

gestionar la

plataforma de

servicio

N/A Administra-‐

dor del

servicio

(empleado

CGCOM)

Alta


Caso de uso

de negocio

¿Nuevo? Funcionalidad

deseada

Funcionalidad

actual (si se

modifica)

Afectados Prioridad

Solicitar

certificado

administrativo

Sí Solicitud de

certificado

administrativo en

el colegio

N/A Médico

colegiado /

Empleado

del Colegio

Alta

Revisar solicitud

y adjuntar

certificado

administrativo

Sí Revisar solicitud y

adjuntar

certificado

administrativo

N/A Empleado

del Colegio

Alta

Generar

certificado

administrativo

Sí Creación, firma y

registro de un

certificado

administrativo

N/A Empleado

del Colegio

Alta


12

Verificar

certificado

administrativo

Sí Comprobación en

línea de la

autenticidad de

un certificado

administrativo

mediante CVE

N/A Interesado Alta

Administrar

certificados

administrativos

Sí Gestión del ciclo

de vida de los

certificados

administrativos

expedidos

N/A Empleado

del Colegio

Media

3. Planificación del proyecto

La empresa deberá aportar la planificación en relación con la ejecución del proyecto, que

considere al menos, los siguientes hitos:

- Análisis funcional detallado del servicio.

- Diseño técnico del servicio.

- Construcción del servicio.

- Implantación del servicio.

- Pruebas e inicio de operaciones.

La empresa podrá hacer uso de diversas metodologías de desarrollo, incluidas las

metodologías denominadas ágiles, por lo cual podrá adaptar los hitos anteriores según

resulte conveniente.


13

4. Casos de uso de negocio de certificados médicos

electrónicos

4.1. Diagramas de caso de uso de negocio

Nota: Los casos de uso de negocio “Administrar certificados médicos electrónicos” y

“Administrar el gestor de certificados médicos electrónicos” no se tratan en esta sección, si

bien deberán ser desarrollados mediante los correspondientes casos de uso técnicos.


14

4.2. Descripciones de caso de uso de negocio

4.2.1. CUN01. Adquirir certificado médico

(Estilo semi-‐formal)

Condición previa: Ninguna.

Condición posterior, en caso de éxito: Se ha solicitado y abonado un nuevo certificado

médico electrónico.

Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a

la solicitud del certificado médico.

Actores principales: Ciudadano, empleado del Colegio de Médicos, médico expedidor.

Actores secundarios: e-‐Colegio, TPV Virtual.


15

Flujo principal:

1. El ciudadano, o en su caso el empleado del Colegio de Médicos, accede a la ventanilla

única del Colegio de médicos al que pertenece el médico expedidor.

2. El ciudadano selecciona la opción de adquisición de certificados médicos.

3. El ciudadano selecciona el tipo de certificado médico a expedir.

4. El ciudadano introduce sus datos personales, incluyendo correo electrónico. 5. La solicitud se registra en el registro de entrada de documentos.

6. El ciudadano abona el coste del certificado médico, mediante el TPV virtual.

7. El ciudadano visualiza los datos del certificado, para poder acudir al médico

correspondiente.

8. El sistema remite al ciudadano un correo electrónico con el recibo de la transacción, y

los datos del certificado, para poder acudir al médico correspondiente.

Extensiones:

1.a. Si el ciudadano acude directamente al médico expedidor, éste puede tramitar la

adquisición directamente.

6.a. El pago se puede realizar posteriormente, en el momento de acudir al médico

expedidor.


16

4.2.2. CUN02. Expedir certificado médico



17

Condición previa: Existe una solicitud de expedición de certificado médico, abonada.

Condición posterior, en caso de éxito: Se ha expedido e impreso un nuevo certificado



la expedición del certificado médico.

Actores principales: Médico expedidor.

Actores secundarios: Registro de profesionales.

Flujo principal:

1. El médico expedidor se autentica frente al sistema.

2. El médico expedidor selecciona la opción de expedición de certificados médicos.

3. El médico expedidor selecciona el tipo de certificado médico a expedir.

4. El sistema verifica si el médico expedidor tiene permisos para expedir el tipo concreto

de certificado médico que ha elegido. Esta verificación incluye la consulta al registro

de profesionales.

5. El médico expedidor introduce los datos del ciudadano, recupera el certificado

médico adquirido y lo cumplimenta, empleando un formulario web.

6. El médico expedidor firma electrónicamente el certificado médico, en formato XML,

con firma XAdES internally detached.

7. El sistema registra los metadatos del certificado médico en la base de datos del

sistema, y almacena el certificado médico firmado en XML.

8. El sistema anota el documento en el registro electrónico de salida, agrega dicha

información al certificado médico firmado en XML y lo almacena.

9. El sistema produce un código de verificación electrónica para el certificado médico

registrado de salida en XML.

10. El sistema produce una copia auténtica del certificado médico registrado de salida en

XML en PDF, al que adjunta la dirección de consulta y el código de verificación

electrónica del certificado médico.

11. El sistema imprime el certificado médico electrónico en formato PDF, y lo entrega al

interesado.

12. El sistema registra las operaciones realizadas, a efectos de auditoría.


18

Extensiones:

1.a. El sistema devuelve error de autenticación de usuario.

4.a. El sistema devuelve error de autorización al usuario.

6.a. El sistema devuelve error de firma electrónica al usuario.

4.2.3. CUN03. Remitir certificado médico


Condición previa: Existe un certificado médico electrónico registrado en el sistema.

Condición posterior, en caso de éxito: Se ha remitido electrónicamente un certificado

médico.


la remisión del certificado médico.



19

Actores secundarios: Servicio de notificación electrónica, Registro de entrada/salida de

documentos,

Flujo principal:


2. El médico expedidor selecciona la opción de remisión de certificados médicos.

3. El médico expedidor busca el certificado médico a remitir.

4. El sistema comprueba que el certificado médico se encuentra vigente.

5. El médico expedidor introduce los datos del receptor del certificado médico.


XML en formato PDF, al que adjunta la dirección de consulta y el código de

verificación electrónica del certificado médico.

7. El sistema firma electrónicamente la copia auténtica con un sello electrónico del

CGCOM.

8. El sistema remite el certificado médico electrónico en formato PDF, empleando el

servicio de notificación electrónica.


Extensiones:


4.a. Cuando el certificado médico no se encuentra vigente, el sistema marca la copia con

la leyenda “Certificado expirado”.

Nota: Debido a la sensibilidad de los datos contenidos en un certificado médico electrónico,

la remisión del mismo se realiza en general a través de un servicio de notificación electrónica

segura (integrada en el e-‐Colegio), descartándose mecanismos sin garantía de

confidencialidad como el correo electrónico.


20

4.2.4. CUN04. Imprimir certificado médico


Condición previa: Existe un certificado médico electrónico registrado en el sistema.

Condición posterior, en caso de éxito: Se ha impreso un certificado médico electrónico.


la impresión del certificado médico.


Actores secundarios: Ciudadano, Administración.


21

Flujo principal:


2. El médico expedidor selecciona la opción de impresión de certificados médicos.

3. El médico expedidor busca el certificado médico a imprimir.

4. El médico expedidor verifica que el solicitante tiene derecho a acceder al certificado

médico electrónico, y registra su identidad en el sistema, a efectos de trazabilidad.



XML en PDF, al que adjunta la dirección de consulta y el código de verificación

electrónica del certificado médico.

7. El médico expedidor imprime y entrega presencialmente la copia en papel del

certificado médico.


Extensiones:




5.b. Si el certificado médico ha sido transferido al archivo, se recupera desde el

correspondiente sistema.

6.a. Opcionalmente, el certificado médico se puede remitir mediante mensajería postal.


22

4.2.5. CUN05. Verificar certificado médico


Condición previa: Existe un certificado médico electrónico registrado en el sistema

Condición posterior, en caso de éxito: Se ha cotejado una copia auténtica de un certificado

médico electrónico contra su original.


la verificación del certificado médico.

Actores principales: Ciudadano, Administración, Médico expedidor

Actores secundarios:


23

Flujo principal:

1. El usuario accede de forma anónima a la Ventanilla Única del CGCOM.

2. El usuario selecciona la opción de verificar certificado médico electrónico mediante

CVE.

3. El usuario selecciona el tipo de certificado médico a verificar.

4. El usuario introduce sus datos de identidad personal, finalidad de la consulta, los datos de la persona a la que se expidió el certificado y el CVE.



XML en HTML.

Extensiones:



5.b. Si el certificado médico ha sido transferido al archivo, no se puede recuperar

mediante este procedimiento.


24

5. Casos de uso de negocio de certificados administrativos

electrónicos

5.1. Diagramas de caso de uso de negocio

Colegio de Médicos


25

CGCOM


26

5.2. Descripciones de caso de uso de negocio

5.2.1. CUN01. Solicitar certificado administrativo

CUN01A. Colegio de Médicos


27


Condición previa: el interesado será médico colegiado del Colegio de Médicos. El colegio de

médicos donde se presente la solicitud será un Colegio adherido a la plataforma VUDS-‐OMC.

Condición posterior, en caso de éxito: Se ha solicitado un nuevo certificado administrativo

electrónico.


la solicitud del certificado administrativo.

Actores principales: Médico colegiado, empleado del Colegio de Médicos.

Actores secundarios: e-‐Colegio.

Flujo principal:

1. El médico colegiado o en su caso el empleado del Colegio de Médicos, accede con su

certificado electrónico a la ventanilla única del Colegio de médicos al que pertenece.

2. El sistema valida el certificado electrónico y autentica al médico colegiado en el

sistema.

3. El médico colegiado selecciona la opción de solicitud de certificados administrativos.

4. El médico colegiado selecciona el tipo de certificado administrativo que desea

solicitar y la modalidad.

5. El médico colegiado firma y presenta electrónicamente su solicitud.

6. El sistema valida la solicitud firmada por el médico colegiado.

7. La solicitud se registra en el registro de entrada de documentos.

8. El sistema remite al médico colegiado un correo electrónico o notificación electrónica

con el recibo de la transacción y se lo presenta en pantalla.

Extensiones:


5.a. El sistema devuelve error de firma electrónica del usuario.


28

CUN02. CGCOM



29

Condición previa:

Condición posterior, en caso de éxito: Se ha solicitado un nuevo certificado administrativo

electrónico en la VUDS CGCOM.


la solicitud del certificado administrativo.

Actores principales: Ciudadano, Médico colegiado, empleado de Colegio de Médicos,

empleado de CGCOM.

Actores secundarios: e-‐Colegio, gestor documental de archivo.

Flujo principal:

1. El interesado (ciudadano, médico colegiado o empleado de Colegio de Médicos) o en

su caso el empleado del CGCOM, accede con su certificado electrónico a la ventanilla

única del CGCOM.

2. El sistema valida el certificado electrónico y autentica al interesado en el sistema.

3. El interesado selecciona la opción de solicitud de certificados administrativos.

4. El interesado selecciona el tipo de certificado administrativo que desea solicitar y la

modalidad.

5. El interesado firma y presenta electrónicamente su solicitud.

6. El sistema valida la solicitud firmada por el interesado .

7. La solicitud se registra en el registro de entrada de documentos.

8. El sistema remite al interesado un correo electrónico o notificación electrónica con el

recibo de la transacción y se lo presenta en pantalla.

Extensiones:


5.a. El sistema devuelve error de firma electrónica del usuario.


30

5.2.2. CUN02. Revisar solicitud y adjuntar certificado administrativo




31

Condición previa: Existe una solicitud de certificado administrativo presentada en el e-‐

Colegio.

Condición posterior, en caso de éxito: Se ha revisado, validado y generado un certificado

administrativo electrónico.


la generación del certificado administrativo.

Actores principales: empleado del Colegio de Médicos.

Actores secundarios: Registro de profesionales, e-‐Colegio

Flujo principal:

13. El empleado del Colegio de Médicos accede a la ventanilla única y, dentro de la

misma, a la bandeja de entrada de tareas pendientes.

14. El empleado del Colegio de Médicos selecciona la solicitud de certificado

administrativo que desea tramitar.

15. El empleado del Colegio de Médicos revisa la solicitud y adjunta el certificado

administrativo generado desde la aplicación de Registro de profesionales del Colegio,

mediante su firma electrónica.

16. El sistema valida la firma del empleado del Colegio de Médicos.

17. El sistema registra el certificado administrativo en la base de datos del sistema y

almacena el certificado administrativo.

18. El sistema anota la resolución en el registro de salida. El sistema informa a la persona

que realizó la solicitud.


Extensiones:




32

CUN02B. CGCOM



33

Condición previa: Existe una solicitud de certificado administrativo presentada en el e-‐

Colegio.

Condición posterior, en caso de éxito: Se ha revisado, validado y generado un certificado




Actores principales: empleado del CGCOM.

Actores secundarios: Registro de profesionales, e-‐Colegio, gestor documental de archivo.

Flujo principal:

1. El empleado del CGCOM accede a la ventanilla única y, dentro de la misma, a la

bandeja de entrada de tareas pendientes.

2. El empleado del CGCOM selecciona la solicitud de certificado administrativo que

desea tramitar.

3. El empleado del CGCOM revisa la solicitud y adjunta el certificado administrativo

generado desde la aplicación de Registro de profesionales del CGCOM, mediante su

firma electrónica.

4. El sistema valida la firma del empleado del CGCOM .

5. El sistema registra el certificado administrativo en la base de datos del sistema y

almacena el certificado administrativo.

6. El sistema anota la resolución en el registro de salida. El sistema informa a la persona

que realizó la solicitud.


Extensiones:




34

5.2.3. CUN03. Generar certificado administrativo



Condición previa: Existe el colegiado en el Registro de Profesionales del Colegio.

Condición posterior, en caso de éxito: Se ha generado un certificado administrativo

electrónico.


35



Actores principales: empleado de Colegio de Médicos, Registro de profesionales,

Portafirmas


Flujo principal:

1. El empleado del Colegio de Médicos accede a su Registro de Profesionales.

2. El empleado del Colegio selecciona la opción de generación de certificados.

3. El empleado del Colegio introduce los datos del colegiado necesarios y selecciona el

tipo de certificado administrativo electrónico.

4. El empleado del Colegio firma electrónicamente la tarea.

5. El sistema valida la firma del empleado del Colegio de Médicos.

6. El sistema genera el certificado administrativo y adjunta el código de verificación

electrónica asociado así como la dirección de consulta.

7. El sistema envía el certificado administrativo generado al servicio de portafirmas para

su firma por parte de los responsables designados.

8. El sistema almacena en el repositorio el certificado administrativo firmado una vez

devuelto por el portafirmas.


Extensiones:



7.a. El certificado administrativo no requiere firma electrónica por lo que no se envía al

portafirmas (este caso de uso está implementado previamente en el sistema).


36

CUN03B. CGCOM


Condición previa: Existe el colegiado en el Registro de Profesionales del CGCOM.

Condición posterior, en caso de éxito: Se ha generado un certificado administrativo

electrónico.



Actores principales: empleado de CGCOM, Registro de profesionales del CGCOM,

Portafirmas, gestor documental de archivo.


37


Flujo principal:

1. El empleado del CGCOM accede a su Registro de Profesionales.

2. El empleado del CGCOM selecciona la opción de generación de certificados.

3. El empleado del CGCOM introduce los datos del colegiado necesarios y selecciona el

tipo de certificado administrativo electrónico.

4. El empleado del CGCOM firma electrónicamente la tarea.

5. El sistema valida la firma del empleado del CGCOM.

6. El sistema genera el certificado administrativo y adjunta el código de verificación

electrónica asociado así como la dirección de consulta.

7. El sistema envía el certificado administrativo generado al servicio de portafirmas para

su firma por parte de los responsables designados.

8. El sistema almacena en el repositorio el certificado administrativo firmado una vez

devuelto por el portafirmas.


Extensiones:



7.a. El certificado administrativo no requiere firma electrónica por lo que no se envía al

portafirmas (este caso de uso está implementado previamente en el sistema).


38

5.2.4. CUN04. Verificar certificado administrativo



Condición previa: Existe un certificado administrativo electrónico registrado en el sistema


administrativo electrónico contra su original.


la verificación del certificado administrativo.

Actores principales: Ciudadano, Administración, empleado de Colegio de Médicos


Flujo principal:

1. El usuario accede de forma anónima a la Ventanilla Única del Colegio.


39

2. El usuario selecciona la opción de verificar certificado administrativo electrónico

mediante CVE.

3. El usuario introduce el CVE. 4. El sistema comprueba que el certificado administrativo se ha emitido por el Colegio

de Médicos.

5. El sistema produce una copia auténtica del certificado administrativo registrado de

salida en XML en HTML.

Extensiones:

4.a. Cuando el CVE no se corresponden con ningún certificado administrativo emitido

por el colegio.

CUN04B. CGCOM


Condición previa: Existe un certificado administrativo electrónico registrado en el sistema


40


administrativo electrónico contra su original.


la verificación del certificado administrativo.

Actores principales: Ciudadano, Médico colegiado, Administración, empleado de Colegio de

Médicos, empleado de CGCOM

Actores secundarios: gestor documental de archivo.

Flujo principal:

1. El usuario accede de forma anónima a la Ventanilla Única del CGCOM.

2. El usuario selecciona la opción de verificar certificado administrativo electrónico

mediante CVE.

3. El usuario introduce el CVE. 4. El sistema comprueba que el certificado administrativo se ha emitido por el CGCOM.

5. El sistema produce una copia auténtica del certificado administrativo registrado de

salida en XML en HTML.

Extensiones:

4.a. Cuando el CVE no se corresponden con ningún certificado administrativo emitido

por el CGCOM.

5.2.5. CUN05. Administrar certificados administrativos

Este caso de uso de negocio no se trata en esta sección, si bien deberá ser desarrollado

mediante los correspondientes casos de uso técnicos tanto para el CGCOM como para los

Colegios de Médicos.

El sistema deberá permitir al menos incorporar los certificados administrativos a las fichas

colegiales correspondientes, modificar sus metadatos y la explotación estadística de los

mismos (permitir listados exportables).


41

6. Actores de certificados médicos electrónicos

6.1. Empleados

Unidad/puesto

Impacto general en el proyecto

Administrador del

servicio

Se responsabiliza del funcionamiento del gestor de certificados

médicos electrónicos, y ofrece soporte a los médicos expedidores.

6.2. Actores de negocio

Actor


Médico expedidor

Crea, firma y expide certificados médicos electrónicos. En su caso,

remite o imprime y entrega certificados médicos electrónicos en

papel.

Ciudadano Solicita y adquiere certificados médicos electrónicos. Accede y verifica

sus certificados médicos electrónicos. En su caso, imprime copias en

papel de los certificados médicos electrónicos.

Administración Accede y verifica certificados médicos electrónicos, en función de su

propósito. En su caso, imprime copias en papel de los certificados

médicos electrónicos.


42

6.3. Otros sistemas

Sistema


Registro de

profesionales

Soporta la comprobación de la condición y especialidad del médico

expedidor.

Registro de

entrada/salida de

documentos

Soporta el registro de salida del certificado médico electrónico, a

efecto de garantía de fecha y hora, y fehaciencia de la actuación.

e-‐Colegio Soporta la solicitud por los ciudadanos y su entrega posterior del

certificado médico electrónico.

Concede acceso al gestor de certificados médicos electrónicos para

operaciones de consulta, verificación e impresión.

Gestor

documental de

archivo

Soporta la conservación a largo plazo de las actuaciones de expedición

y posterior gestión de los certificados médicos electrónicos.

TPV Virtual Soporta la realización de pagos en línea, en relación con los

certificados médicos electrónicos.


43

7. Actores de certificados administrativos electrónicos

7.1. Empleados

Unidad/puesto


Administrador del

servicio

Se responsabiliza del funcionamiento de la plataforma del e-‐

Colegio, VUDS CGCOM y Registro de Profesionales.

7.2. Actores de negocio

Actor


Empleado del

CGCOM

Adjunta, genera y gestiona certificados administrativos

electrónicos. En su caso, remite o imprime y entrega certificados

administrativos electrónicos en papel.

Empleado del

colegio

Adjunta, genera y gestiona certificados administrativos

electrónicos. En su caso, remite o imprime y entrega certificados

administrativos electrónicos en papel.

Ciudadano Solicita certificados administrativos electrónicos. En su caso,

imprime copias en papel de los certificados administrativos

electrónicos.

Médico colegiado Solicita certificados administrativos electrónicos. En su caso,

imprime copias en papel de los certificados administrativos

electrónicos.


44

Responsables de

firma

Firma electrónicamente los certificados administrativos que lo

requieran.

Interesado Accede y verifica certificados administrativos electrónicos, en

función de su propósito. En su caso, imprime copias en papel de

los certificados administrativos electrónicos.

Administración Accede y verifica certificados administrativos electrónicos, en

función de su propósito. En su caso, imprime copias en papel de

los certificados administrativos electrónicos.

7.3. Otros sistemas

Sistema


Registro de

profesionales

Soporta la gestión de la ficha colegial.

Registro de

entrada/salida de

documentos

Soporta el registro de salida del certificado administrativo

electrónico, a efecto de garantía de fecha y hora, y fehaciencia

de la actuación.

VUDS CGCOM Soporta la solicitud por los ciudadanos y médicos colegiados y

su entrega posterior del certificado administrativo electrónico.

Concede acceso al empleado del CGCOM para operaciones de

consulta, verificación e impresión.

e-‐Colegio Soporta la solicitud por los médicos colegiados y su entrega

posterior del certificado administrativo electrónico.

Concede acceso al empleado del Colegio para operaciones de

consulta, verificación e impresión.


45

Gestor

documental de

archivo

Soporta la conservación a largo plazo de las actuaciones de

expedición y posterior gestión de los certificados

administrativos electrónicos.

Portafirmas Soporta la realización de firmas múltiples sobre los certificados

administrativos electrónicos.

8. Estados de los certificados médicos electrónicos

8.1. Solicitudes de certificados médicos electrónicos

Las solicitudes de certificados médicos electrónicos se pueden encontrar en los siguientes

estados:

- Solicitud generada: Se ha generado y cumplimentado adecuadamente una solicitud

de certificado médico electrónico.

- Solicitud resuelta: Se ha tramitado completamente la solicitud de certificado médico

electrónico.

8.2. Certificados médicos electrónicos

Los certificados médicos electrónicos se pueden encontrar en los siguientes estados:

- Certificado médico solicitado: Se ha solicitado un nuevo certificado médico

electrónico.


46

- Certificado médico adquirido: Se ha adquirido y abonado un nuevo certificado


- Certificado médico generado: Se ha generado y cumplimentado adecuadamente un

certificado médico electrónico.

- Certificado médico firmado: Se ha firmado un certificado médico electrónico.

- Certificado médico registrado: Se ha registrado de salida un certificado médico

electrónico.

- Certificado médico expedido: Se ha remitido o puesto a disposición el certificado

médico electrónico y se encuentra vigente.

- Certificado médico expirado: Ha transcurrido el plazo de vigencia y uso del certificado

médico.

- Certificado médico archivado: Se ha transferido el expediente del certificado médico

electrónico al archivo electrónico de documentos.

9. Estados de los certificados administrativos electrónicos

9.1. Solicitudes de certificados administrativos electrónicos

Las solicitudes de certificados administrativos electrónicos se pueden encontrar en los

siguientes estados:

- Solicitud generada: Se ha generado y cumplimentado adecuadamente una solicitud

de certificado administrativo electrónico.


47

- Solicitud resuelta: Se ha tramitado completamente la solicitud de certificado


9.2. Certificados administrativos electrónicos

Los certificados administrativos electrónicos se pueden encontrar en los siguientes estados:

- Certificado administrativo solicitado: Se ha solicitado un nuevo certificado


- Certificado administrativo adjuntado: Se ha adjuntado un nuevo certificado


- Certificado administrativo generado: Se ha generado adecuadamente un certificado


- Certificado administrativo firmado: Se ha firmado un certificado administrativo

electrónico.

- Certificado administrativo registrado: Se ha registrado de salida un certificado


- Certificado administrativo archivado: Se ha transferido el expediente del certificado

administrativo electrónico al archivo electrónico de documentos.


48

10. Otros requerimientos funcionales

10.1. Plataforma de portafirmas

El portafirmas es una aplicación vertical que permite, de forma autónoma, la gestión de

flujos de firma electrónica de documentos. El caso de uso principal considera el

procesamiento de un documento electrónico al cual se asocia una o varias firmas

electrónicas.

El sistema recibe documentos a firmar y una definición de flujo de firmas aplicable a cada

documento.

La definición de flujo de firmas aplicable es un fichero de control (en sintaxis XML) que

describe las acciones de flujo y la política de firma aplicable a cada acción de firma. El

sistema debe permitir crear, almacenar, intercambiar e interpretar estos ficheros, así como

las políticas de firma electrónica, empleando la sintaxis prevista en ETSI TR 102038 y ETSI TR

102272, sin perjuicio de sus equivalentes.

Se deben poder definir flujos de firmas de diferente naturaleza y, al menos, secuencias

ordenadas y arbitrarias de firmas electrónicas, donde cada acción de firma prevea, al menos,

firmas colectivas (todas las personas previstas deben firmar para que se considere cumplida

esta acción del flujo de firmas, por ejemplo, en el caso de firmas mancomunadas) y firmas

alternativas (una de las personas previstas deben firmar para que se considere cumplida esta

acción del flujo de firmas, por ejemplo, en el caso de las firmas solidarias).

Los documentos a firmar pueden ser cargados manualmente por un administrador de la

plataforma, ser leídos de un repositorio o carpeta de entrada, o ser recibidos mediante un

servicio web desde una aplicación de negocio.

Los documentos a procesar se almacenan en un repositorio propio del sistema, con los

metadatos necesarios para su correcta gestión.


49

El sistema dispone de una interfaz donde muestra los documentos pendientes de firma a

cada firmante humano, de acuerdo con la información del flujo. El sistema es capaz de

comunicarse con cada firmante mediante correo electrónico, SMS, WhatsApp u otros

métodos, para indicarles que disponen de documentos pendientes de firma.

El firmante accede al sistema y se autentica (con certificado digital o autenticación delegada

al sistema – WSSO), accediendo al listado de documentos pendientes de firma. La selección

de los documentos que puede firmar se realiza mediante el metadato “NIF del firmante” o

mediante otros metadatos previstos en la definición de flujo de firmas, como por ejemplo

“Cargo del firmante”, que se comprobarán mediante la información contenida en el

certificado electrónico que presente el firmante.

El firmante puede revisar el contenido de cualquier documento a firmar, de lo que el sistema

debe dejar traza.

El firmante puede escoger firmar documentos individualmente, o firmar grupos de

documentos, en cuyo caso no se le debe solicitar una nueva autenticación ni autorización

para cada documento.

El sistema debe permitir al firmante negarse explícitamente a firmar un documento, de lo

cual se dejará traza.

El sistema también debe permitir la generación de firmas automatizadas, sin intervención de

usuario, empleado un certificado X.509 instalado en el sistema, accedido mediante CAPI o

P11, incluso en HSM con certificación FIPS 140-‐2 nivel 3.

El sistema debe verificar las firmas anteriores en el flujo, antes de generar una nueva firma

electrónica, remitiendo la correspondiente consulta a la plataforma de validación de

certificados y firmas electrónicas. El sistema también debe verificar el certificado del

firmante antes de generar una firma electrónica, y cuando la persona se autentica frente al

sistema.

El sistema debe poder ser interrogado sobre el estado de ejecución de un flujo de firma, así

como informar a la aplicación de negocio de la finalización del flujo, devolviendo las


50

informaciones relevantes sobre las operaciones realizadas, de acuerdo con la definición del

flujo de firma.

El sistema debe permitir la generación de las siguientes sintaxis de firma electrónica,

previstas por la NTI de política de firma electrónica:

-‐ XAdES, de acuerdo con ETSI TS 101 903, versión vigente a octubre de 2012. En todas las modalidades (enveloped, enveloping, detached e internally detached) y con todos los elementos de firma longeva (formas –BES, –EPES, –C, –X, –XL y –A). Se deben permitir contrafirmas, de acuerdo con la NTI de política de firma electrónica. Los elementos a incluir en la firma se deben escoger mediante interpretación automática de la política de firma aplicable, cuando se haya definido.

-‐ CAdES, de acuerdo con ETSI TS 101 733, versión vigente a octubre de 2012. En todas las modalidades (attached, detached) y con todos los atributos de firma longeva (formas –BES, –EPES, –C, –X, –XL y –A). Se deben permitir contrafirmas, de acuerdo con la NTI de política de firma electrónica. Los elementos a incluir en la firma se deben escoger mediante interpretación automática de la política de firma aplicable, cuando se haya definido.

-‐ PAdES, de acuerdo con ETSI TS 102 778-‐3, versión vigente a octubre de 2012. En todas las modalidades y con todos los atributos de firma longeva (formas –BES, –EPES, –C, –X, –XL y –A). Se deben permitir contrafirmas, de acuerdo con la NTI de política de firma electrónica. Los elementos a incluir en la firma se deben escoger mediante interpretación automática de la política de firma aplicable, cuando se haya definido.

Para el cumplimiento de lo anteriormente establecido, el sistema podrá delegar operaciones

a la plataforma de firma electrónica. Se anticipa la necesidad de hacerlo para las operaciones

de completado y mantenimiento de la firma longeva.

Será requisito indispensable que el sistema pueda generar documentos que cumplan lo

establecido en la Decisión 2011/130/UE, de 25 de febrero, por la que se establecen los

requisitos mínimos para el tratamiento transfronterizo de los documentos firmados

electrónicamente por las autoridades competentes en virtud de la Directiva 2006/123/CE del

Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior.


51

Además, y en todo caso, la relación entre una firma y el documento firmado se debe poder

realizar mediante el XSD definido al efecto en la NTI de documento electrónico y mediante el

formato definido en ETSI TS 102 918, Associated Signature Containers, en todas sus

modalidades.

El sistema, opcionalmente, permitirá incrustar objetos de firma en determinados tipos

documentales, como ISO 32000-‐1, ISO 29500 o ISO 26300.

Se valorará el cumplimiento de los requisitos definidos en CEN CWA 14170, así como la

certificación de la solución de acuerdo con los perfiles de protección de INTECO.

10.2. Plataforma de validación de certificados y firmas electrónicas

La plataforma de validación de certificados y firmas electrónicas es una aplicación, o

conjunto de aplicaciones, vertical que permite que cualquier aplicación delegue la

comprobación del estado de un certificado o de una firma electrónica.

El sistema debe disponer de una interfaz OASIS DSS, y sus perfiles correspondientes, para la

solicitud y respuesta de servicios. La petición DSS se podrá transportar mediante servicios

web seguros o mediante REST con medidas adicionales de seguridad.

El sistema debe permitir la validación de un certificado X.509v3 de acuerdo con lo

establecido en la sección 6 de IETF RFC 5280, debiendo poder construir cadenas de

certificación hasta un punto fiable, gestionado por el administrador del sistema mediante la

correspondiente interfaz del sistema.

El sistema debe permitir el establecimiento de equivalencias de políticas de certificados, así

como de categorías de certificados-‐tipo a verificar.

El sistema debe poder obtener e interpretar TSLs de forma automática y desatendida, de

forma que se puedan emplear los puntos de confianza definidos en las mismas para

determinadas operaciones de validación, según definición del administrador del sistema. Al

menos se deberán poder tratar las TSLs expedidas por las Autoridades competentes de los

Estados miembro de la Unión Europea expedidas de acuerdo con la Decisión 2009/767/CE,


52

de 16 de octubre, por la que se adoptan medidas que facilitan el uso de procedimientos por

vía electrónica a través de las «ventanillas únicas» con arreglo a la Directiva 2006/123/CE del

Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior, modificada

por Decisión 2010/425/UE.

El sistema debe permitir la interpretación y extracción de todas las informaciones contenidas

en los certificados que se encuentren definidas en IETF RFC 5280, ETSI TS 101 862 y ETSI TS

102 280, así como permitir la extracción de informaciones por atributos contenidos en los

campos Subject Name, Subject Alternative Name y Subject Directory Attributes, según defina

el administrador del sistema.

Respecto a las firmas electrónicas, el sistema ha de ser capaz de verificar de forma completa

firmas electrónicas, así como completarlas y mantener su longevidad, de acuerdo con lo

establecido en ETSI TS 101 903 (XAdES) y ETSI TS 101 733 (CAdES), así como en la NTI de

política de firma electrónica.

Para ello, el sistema debe implementar clientes de OCSP, CRL y TSA, de acuerdo con sus

correspondientes especificaciones técnicas, y obtener, procesar y almacenar las

correspondientes informaciones en un repositorio seguro.

Las reglas aplicables a una concreta operación de firma electrónica (validación provisional,

validación definitiva, completado, mantenimiento) se encontrarán descritas en la

correspondiente política de firma electrónica. El sistema deberá poder acceder en línea al

repositorio de la política, descargarla e interpretarla de forma automatizada, y aplicarla,

siempre mediante procesamiento automatizado de los formatos técnicos de la política de

firma electrónica, según se encuentran descritos en ETS TR 102 038 y ETSI TR 102 272.

El sistema debe ser completamente configurable por el administrador, establecer sus

propias políticas de firma electrónica, permitir equivalencias de políticas y trazar todas las

operaciones.


53

10.3. Plataforma de sellado de fecha y hora

La plataforma de sellado de fecha y hora es una aplicación vertical que permite la expedición

de sellos de fecha y hora criptográficamente asegurados.

La aplicación debe cumplir todos los requisitos y condiciones previstos en IETF RFC 3616,

ETSI TS 102 023, que establece requisitos a cumplir por las entidades de sellado de fecha y

hora, y ETSI TS 101 861, que establece requisitos de contenidos referidos a los sellos

emitidos.

Asimismo, la plataforma debe cumplir las normas del RD 4/2010, de 8 de enero, por el que

se regula el Esquema Nacional de Interoperabilidad, y sus normas técnicas de desarrollo, de

obligado cumplimiento para los sellos empleados en las operaciones del Sector Público.

La plataforma debe incluir una fuente de tiempo fiable consistente en un equipamiento

físico que ofrezca garantías de fecha y hora con precisión inferior o máxima de 1 segundo,

para lo cual deberá disponer de una fuente GPS, DCF-‐77 o similar, y un controlador de

referencia basado en mecanismo de cesio, rubidio o análogo. En todo caso, deberá

sincronizarse con un laboratorio nacional de tiempo y operar como STRATUM-‐1.

11. Requerimientos no funcionales

11.1. Requerimientos de volumen y almacenamiento

Aunque el volumen total de certificados médicos electrónicos a expedir resulta difícil de

calcular, se estiman las siguientes cifras, basadas en estadísticas públicas y otras fuentes:

- Certificados médicos de defunción: hasta 400.000 unidades anuales (fuente: sistema

de información del Sistema Nacional de Salud).


54

- Certificados médicos de aptitud deportiva: hasta 3.500.000 unidades anuales (fuente:

Consejo General de Deportes).

- Certificados médicos de conducción: hasta 4.000.000 unidades anuales (fuente:

Dirección General de Tráfico).

- Otros certificados: Hasta 100.000 unidades anuales (estimación).

La empresa debe dimensionar el servicio para soportar hasta 8.000.000 certificados anuales,

con un mínimo del 10%, ofreciendo un modelo de evolución en costes que permita llegar al

100% de cobertura en un periodo máximo de dos años.

11.2. Requerimientos de desarrollo

Desarrollo seguro

- Se deberá seguir una metodología para el desarrollo seguro de software. Al menos

debe cumplirse lo establecido en el proyecto OWASP.

- Se deberían considerar requisitos de seguridad del sistema que debe desarrollarse

aquellos controles de seguridad propuestos por la norma ISO/IEC 27002 que sean

aplicables.

- El adjudicatario deberá aplicar técnicas y criterios de programación segura que

consideren las vulnerabilidades de los lenguajes utilizados.

- Se deberá evitar, en la medida de lo posible, el uso de galletas (cookies)

especialmente cuando permitan controlar la persistencia del usuario en diferentes

sesiones. La propuesta de uso de cookies debe ir acompañada de una justificación

escrita de su necesidad, y del análisis de las alternativas posibles y del impacto

correspondiente.

- Las aplicaciones cliente se desarrollarán considerando técnicas y métodos de

detección de errores y vulnerabilidades de seguridad común en la plataforma cliente.

- El código de las aplicaciones cliente se firmará utilizando un certificado digital de

firma de código, para que su distribución sea fiable.


55

Tecnologías

La solución deberá ser compatible con los siguientes sistemas operativos y navegadores:

- Sistemas operativos Microsoft Windows XP, 7, Vista, Linux (Ubuntu, RedHat) y Mac

OS.

- Internet Explorer 8 y posteriores.

- Mozilla 10 y posteriores

- Safari 5 y posteriores

El desarrollo que se realice debe cumplir las siguientes características:

- El lenguaje de programación será Java.

- Se utilizará YINGO para la implementación de los flujos de información.

- El código fuente de todos los componentes debe estar correctamente documentado

y debe entregarse al finalizar el desarrollo.

- Como componente de firma local se integrarán los componentes cliente de firma

electrónica de @firma.

11.3. Requerimientos de plataforma

La empresa debe proponer a la OMC la plataforma tecnológica necesaria para soportar el

servicio de forma evolutiva para un periodo de 2 años.

Deberá incluir también en su propuesta la creación de un servicio de monitorización tipo

Nagios del software y hardware que integren la plataforma que preste el servicio tal que:

- Dote al Administrador del servicio de un sistema completo de monitorización a través

de Nagios o similar de sus aplicativos e infraestructura.

- Permita que ante cualquier evento detectado desde el sistema de Monitorización se

genere un evento adecuado al mismo, alertando al soporte que se especifique, tanto

a través de mensajería SMS como a través de un correo electrónico.

- Se disponga de un registro de las incidencias detectadas en la plataforma.


56

La empresa debe proponer igualmente a la OMC un servicio de soporte de tercer nivel 24x7 para la resolución de incidencias técnicas fuera del horario de oficina del Administrador y durante 2 años después de la puesta en producción del servicio en los siguientes ámbitos:

- Cobertura sobre la plataforma HW implantada: cabina de almacenamiento, Switches

FC, servidores o cualquier otro elemento de la red SAN (cableado, gbits, tarjetas HBA,

etc.).

- Cobertura sobre toda la plataforma virtual: vCenter, ESXi ́s, configuración

almacenamiento y red, funcionalidades como HA, vMotion, etc.

- Cobertura sobre los servidores virtuales creados: backends, frontends.

- Cobertura sobre los aplicativos que se correrán sobre los backend y frontends.

La propuesta deberá contener un acuerdo de nivel de servicio en el que se especifique, al

menos:

- Niveles de severidad de incidencias.

- Ciclo de vida de incidencias según su nivel de severidad.

- Tipo de soporte prestado según incidencia (presencial, remoto, etc).

- Tiempo de respuesta ante incidencias.

- Comunicación de incidencias.

- Registro y documentación de incidencias.

La empresa deberá proporcionar informes a la OMC de mantenimiento preventivo y

mantenimiento evolutivo según las necesidades del servicio con la periodicidad que crea

conveniente.

Adicionalmente, se establecen los siguientes requerimientos tecnológicos para dotar a la

arquitectura actual de todos los componentes necesarios para su correcto escalado y

funcionamiento:

- Dispositivos extras de backup: solución IMATION DataGuard Data Protection

Appliances. DataGuard T5R includes 2x Power cable (EU/UK)-‐2x Ethernet Cable

Manual Keys Screws

o 2 dispositivos IMATION DataGuard T5R 10TB (5 X 2TB HDD)


57

- Módulo criptográfico para gestión de claves: certificado FIPS 140-‐2 nivel 3.

Cualquiera de los siguientes productos: • Thales nShield Connect

• Safenet Luna SA

• Realsec Criprosec LAN

• ARX CoSign

11.4. Requerimientos de accesibilidad

El gestor de certificados médicos electrónicos dispone de diversas interfaces web con

personas físicas usuarias, tanto empleados de la OMC como médicos expedidores de

certificados médicos electrónicos y ciudadanos y empleados públicos de las

Administraciones, receptores de certificados médicos electrónicos.

El gestor de certificados administrativos electrónicos dispone de diversas interfaces WEB con

personas físicas usuarias, tanto empleados del Colegio, médicos colegiados y ciudadanos y

empleados públicos de las Administraciones, receptores de certificados administrativos

electrónicos.

La Ley 51/2003, de 2 de diciembre, de igualdad de oportunidades, no discriminación y

accesibilidad universal de las personas con discapacidad, modificada por Ley 26/2011, de 1

de agosto, de adaptación normativa a la Convención Internacional sobre los Derechos de las

Personas con Discapacidad, establece condiciones básicas de accesibilidad y no

discriminación en las relaciones con las administraciones públicas (disposición final quinta) y

condiciones básicas de accesibilidad y no discriminación para el acceso y la utilización de las

tecnologías, productos y servicios relacionados con la sociedad de la información y medios

de comunicación social (disposición final séptima).

La Ley 59/2003, de 19 de diciembre, de firma electrónica establece en su disposición

adicional novena, una garantía de accesibilidad para las personas con discapacidad y de la

tercera edad, indicando que los servicios, los procesos, los procedimientos y los dispositivos

de firma electrónica han de ser plenamente accesibles a las personas con discapacidad y de

la tercera edad, las cuales no pueden ser en ningún caso discriminadas en el ejercicio de los


58

derechos y de las facultades que reconoce la ley por causas basadas en razones de

discapacidad o edad avanzada.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios

públicos, también considera la accesibilidad como un elemento de gran importancia. El

artículo 4.c) de la Ley 11/2007 establece como principio legal la accesibilidad a la

información y a los servicios por medios electrónicos en los términos establecidos por la

normativa vigente en esta materia, a través de sistemas que permitan obtenerlos de manera

segura y comprensible, garantizando especialmente la accesibilidad universal y el diseño

para todos de los soportes, canales y entornos con objeto de que todas las personas puedan

ejercer sus derechos en igualdad de condiciones, incorporando las características necesarias

para garantizar la accesibilidad de aquellos colectivos que lo requieran.

La disposición final séptima de la Ley 51/2003 ha sido desarrollada por Real Decreto

1494/2007, de 12 de noviembre, por el que se aprueba el Reglamento sobre las condiciones

básicas para el acceso de las personas con discapacidad a las tecnologías, productos y

servicios relacionados con la sociedad de la información y medios de comunicación social.

El artículo 5.1 del Real Decreto indica que la información disponible en las páginas de

internet de las administraciones públicas deberá ser accesible a las personas mayores y

personas con discapacidad, con un nivel mínimo de accesibilidad que cumpla las prioridades

1 y 2 de la Norma UNE 139803:2004. Asimismo, el artículo 5.4 del propio texto establece que

de igual modo, serán exigibles, y en los mismos plazos, estos criterios de accesibilidad para

las páginas de Internet de entidades y empresas que se encarguen, ya sea por vía

concesional o a través de otra vía contractual, de gestionar servicios públicos, en especial, de

los que tengan carácter educativo sanitario y servicios sociales.

Así mismo, respecto a la lengua de signos, las mencionadas páginas de Internet han de tener

en cuenta dispuesto en la Ley 27/2007, de 23 de octubre, por la que se reconocen las

lenguas de signos españolas y se regulan los medios de apoyo a la comunicación oral de las

personas sordas, con discapacidad auditiva y sordociegas.


59

11.5. Requerimientos de seguridad


Los certificados médicos electrónicos, en cuanto a su naturaleza de documentos privados

oficiales asimilados a documentos administrativos, deben encontrarse sujetos al Real

Decreto 3/2010, de 8 de enero, por el cual se regula el Esquema Nacional de Seguridad en el

ámbito de la Administración Electrónica.

De acuerdo con el Esquema Nacional de Seguridad, se debe establecer la categoría de

seguridad del sistema de información de administración electrónica, a partir del nivel de

seguridad (y sensibilidad LOPD) de la información tratada y del servicio prestado.

El sistema de información correspondiente al gestor de certificados médicos electrónicos

previsto en este documento debe cumplir les medidas de seguridad de nivel medio

indicadas en el anexo II del Real Decreto 3/2010.

Así mismo, por contener datos de carácter personal los certificados médicos electrónicos, el

sistema de información que los gestiona debe cumplir las previsiones de la Ley orgánica

15/1999, de 13 de diciembre, y del Real decreto 1720/2007, de 21 de diciembre, para datos

de nivel alto LOPD.


De acuerdo con el Esquema Nacional de Seguridad, se debe establecer la categoría de

seguridad del sistema de información de administración electrónica, a partir del nivel de

seguridad (y sensibilidad LOPD) de la información tratada y del servicio prestado.

El sistema de información correspondiente a la gestión de certificados administrativos

electrónicos previsto en este documento debe cumplir las medidas de seguridad de nivel

medio, indicadas en el anexo II del Real Decreto 3/2010, las mismas que se establecen para

la plataforma del e-‐Colegio y Registro de profesionales mencionados a lo largo del presente

documento .


60

11.6. Requerimientos de interoperabilidad

Los certificados médicos electrónicos, en cuanto a su naturaleza de documentos privados

oficiales asimilados a documentos administrativos, típicamente producidos para su

recepción y utilización por parte de las Administraciones Públicas, deben encontrarse sujetos

al Real Decreto 4/2010, de 8 de enero, por el cual se regula el Esquema Nacional de

Interoperabilidad en el ámbito de la Administración Electrónica.

El sistema de información debe cumplir los siguientes requerimientos:

- Se debe mantener actualizado un inventario de tipos de documentos objeto de

tratamiento por el gestor de certificados médicos electrónicos.

- Se deben establecer y publicar los modelos de datos de intercambio que resulten

aplicables a este sistema.

- Se deben publicar las informaciones y documentos accesibles por los ciudadanos,

médicos y empleados públicos de las Administraciones utilizando formatos

correspondientes, como mínimo, a estándares abiertos. En cualquier caso, los

documentos se deben poder visualizar, acceder y utilizar de forma que se respete el

principio de neutralidad tecnológica, evitando la discriminación de los ciudadanos por

razón de su elección tecnológica.

- Se debe sincronizar el sistema con la hora oficial, con una precisión y desfase que

garanticen la certeza de los plazos del procedimiento administrativo, en su caso con

el Real Instituto y Observatorio de la Armada.

- Se debe disponer de una política de firma electrónica para las informaciones y

documentos comunicados.

- Los documentos generados se deben incorporar al correspondiente expediente

electrónico cumpliendo los requerimientos de formato y de metadatos mínimos

obligatorios.


61

11.7. Requerimientos de fiabilidad


Los certificados médicos requieren de una elevada fiabilidad, debido a los efectos jurídicos

que producen. La empresa deberá realizar propuestas para garantizar que el número de

defectos en la producción de certificados es el menor posible.


Los certificados médicos administrativos requieren la misma fiabilidad que el resto de

plataformas sobre las que se sustenta (e-‐Colegio y Registro de profesionales). La empresa

deberá realizar propuestas para garantizar que el número de defectos en la producción de

certificados es el menor posible.

11.8. Requerimientos de formación

La empresa debe proponer un plan de formación adecuado y suficiente que alcance a los

empleados de la OMC, presencialmente, y en modalidad a distancia, a los empleados de los

Colegios y los médicos colegiados, para su autoformación en el empleo del servicio, sus

procedimientos y sus resultados.

12. Identificación de riesgos

Se valorará la identificación, por la empresa, de los riesgos potenciales para el proyecto,

incluyendo los siguientes tipos de riesgos:

- Riesgos tecnológicos.


62

- Riesgos de capacidades.

- Riesgos políticos.

- Riesgos de negocio.

- Riesgos de requerimientos.

- Otros riesgos.

13. Aspectos económicos del proyecto

La empresa deberá aportar un presupuesto del proyecto, lo más completo posible a partir de

las informaciones disponibles en este documento, con un cálculo del retorno de la inversión

que eventualmente deba efectuar.

14. Presentación de proposiciones: lugar y plazo de presentación, formalidades y documentación.

Lugar y plazo de presentación.-‐ Las propuestas se presentarán en el Registro del Consejo

General de Colegios Oficiales de Médicos, Plaza de las Cortes, 11, en mano, en horario de 9 a

14 horas, de lunes a viernes, durante los diez (10) días naturales siguientes a la publicación

en dos diarios nacionales y en la página web del Consejo General. Se anotará en el Libro

Registro la entrada lo que acreditará la recepción.


63

15. Criterios de valoración para la adjudicación

- Adaptación de la oferta a las funcionalidades requeridas.

- Solvencia técnica de la solución/es presentada/s

- Solvencia económica de la/las empresa/s ofertantes.

- Importe económico del proyecto

- Calendario de ejecución.

Nota.-‐ En base a las ofertas presentadas podrá adjudicarse la totalidad o parte de las

funcionalidades requeridas a una o varias de las ofertas presentadas.

OMC CP Gestor de certificados médicos electrónicos v1 ·...

Documents

Transcript of OMC CP Gestor de certificados médicos electrónicos v1 ·...