NÚMERO 222
Jueves 14 de noviembre de 2024

58880

ANEXO I
INDICADORES DE NIVEL DE SERVICIO
1. S
 ervicio de seguridad en el desarrollo y mantenimiento de los sistemas de información.
[IND-026] Eficacia corrección de vulnerabilidades sistemas: [vulnerabilidades encontradas
corregidas en plazo/vulnerabilidades encontradas]
•V
 alores: [0-1]
•O
 bjetivo: ≥ 0,9
•F
 recuencia medición: Trimestral.
Observaciones: Se tiene en cuenta que la fecha máxima para la corrección esté en el periodo medido.
Tiempos de corrección:
•C
 ríticas: 5 días.
•G
 raves: 15 días.
•M
 edio: 30 días.
• L eve: 60 días.
[IND-027] Pases a producción de sistemas seguros: [Pases de versiones mayores con
escaneo de vulnerabilidades / Pases de versiones mayores]
•V
 alores: [0-1]
•O
 bjetivo: ≥ 0,9
•F
 recuencia medición: Trimestral
Definición de versión mayor: La actualización que suponga la creación de una nueva base de datos.
— Se modifique el mecanismo de autenticación o de autorización que utiliza.
— Se realice una modificación sustancial en la aplicación o una ampliación de las funcionalidades de la misma que según la consideración del responsable de la aplicación lo haga ser
versionado.
—L
 a aplicación incorpore interacción con otras aplicaciones del Organismo Pagador que obliguen a establecer un paso de credenciales o de información a través de mecanismos web.
— La aplicación cambie de framework / plataforma de desarrollo o de ejecución.
— Se modifique la versión del motor de base de datos en la/s base de datos utilizada/s.
— Se modifique la versión del servidor de aplicaciones (WEB, CITRIX)
— Se modifique la versión del Sistema Operativo de los servidores que le dan soporte
—L
 a aplicación incorpore una nueva librería externa a su desarrollo o una nueva versión de
las mismas.
— Se corrija una vulnerabilidad específica de seguridad anteriormente detectada.
— Siendo la versión m.n, se entenderá como versión mayor el cambio de 'm'.