PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Elaborado por: Revisado por: Código: PR13-GITE/TI Versión: 04 Página: 1 de 32 Aprobado por: Firmado digitalmente por ZAPATA MIRANDA Fernando Antonio FAU 20291973851 soft Motivo: Doy V° B° Fecha: 08.09.2022 13:55:29 -05:00 Sub Gerente de Gobierno Digital e Innovación Firmado digitalmente por CAMPOS CHUMACERO Mariela Esther FAU 20291973851 soft Motivo: Soy el autor del documento Fecha: 08.09.2022 11:29:09 -05:00 Jefe de Control de Calidad de Software Firmado digitalmente por POSADA PAJUELO Napoleon David FAU 20291973851 soft Motivo: Doy V° B° Fecha: 08.09.2022 13:29:04 -05:00 Sub Gerente de Sistemas de Sistemas de Información Firmado digitalmente por MONTENEGRO VEGA Roberto Carlos FAU 20291973851 hard Motivo: Doy V° B° Fecha: 13.09.2022 09:16:38 -05:00 Gerente de Informática y Tecnología Electoral Firmado digitalmente por SAMAME BLAS Jose Edilberto FAU 20291973851 soft Motivo: Doy V° B° Fecha: 09.09.2022 12:09:54 -05:00 Sub Gerente de Infraestructura y Seguridad Tecnológica Firmado digitalmente por SALAS PALACIOS Maria Rocio FAU 20291973851 soft Motivo: Doy V° B° Fecha: 10.09.2022 20:29:06 -05:00 Gerente de Planeamiento y Presupuesto 1. OBJETIVO: Establecer las actividades para el aseguramiento y control de calidad de un producto software, de los proyectos de sistemas de información por proceso electoral y por funcionamiento en la ONPE. 2. ALCANCE: Es aplicable, para la Gerencia de Informática y Tecnología Electoral, a través de la Sub Gerencia de Gobierno Digital e Innovación, desde la elaboración del Plan de Pruebas de un producto Software hasta la generación de copias de un producto software. 3. BASE NORMATIVA: 3.1. Ley N° 29733, Ley de Protección de Datos Personales, su reglamento y su directiva. 3.2. Ley Nº 28612, Ley que norma el uso, adquisición y adecuación del software en la Administración Pública y su Reglamento, aprobado por el Decreto Supremo N° 024-2005-PCM. 3.3. Ley N° 30276 de 13 de noviembre de 2014, que modifica la Ley de Derecho de Autor (Decreto Legislativo N° 822 de 23 de abril de 1996) (2014). 3.4. Norma Técnica Peruana “NTP-ISO/IEC 12207:2016-Ingeniería de Software y Sistemas. Procesos del ciclo de vida del software. 3a Edición”. 3.5. Norma Técnica Peruana “NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2ª Edición” en todas las entidades integrantes del Sistema Nacional de Informática. 3.6. Norma Técnica Peruana NTP ISO/IEC 9126-1:2004 Ingeniería de software. Calidad del producto. Parte 1: Modelo de Calidad. 3.7. Norma Técnica Peruana NTP ISO/IEC 12119:2005, Tecnología de la Información. Paquetes software. Requerimientos de calidad y pruebas. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE PR13-GITE/TI Versión: 04 Página: 2 de 32 3.8. International Standard ISO/IEC 25021:2012, Systems and Software Engineering - Systems and Software Quality Requirements and Evaluation (SQuaRE) - Quality Measure Elements. 3.9. Reglamento de Organización y Funciones de la Oficina Nacional de Procesos Electorales, aprobado por Resolución Jefatural N° 000902-2021-JN-ONPE y su modificatoria. 3.10. Manual de Organización y Funciones de la Oficina Nacional de Procesos Electorales, aprobado por la Resolución Jefatural N° 081-2014-J/ONPE y sus modificatorias. Nota: Los documentos mencionados son los vigentes incluyendo sus modificatorias. 4. REFERENCIAS: 4.1. 4.2. 4.3. 4.4. 4.5. DI02-GITE/TI: Requerimiento y Desarrollo de Software Institucional a Medida. PR12-GITE/TI: Gestión de Requerimiento y Desarrollo de Software Institucional a Medida. PR14-GITE/TI: Pase a producción de un producto software. PR26-GITE/TI: Preparación de Imagen Máster. PR10-GITE/TI: Preparación de Equipos Informáticos Electorales para la Solución Tecnológica de Apoyo al Escrutinio. 4.6. PR25-GITE/TI: Control de Acceso para la Gestión de la Infraestructura Tecnológica. Nota: Los documentos mencionados son los vigentes incluyendo sus modificatorias. 5. DEFINICIONES Y ABREVIATURAS: 5.1. N° 1. Definiciones TÉRMINO Amenaza 2. Analista Funcional 3. Control de Calidad 4. Especificación de Requerimientos de Software (ERS) 5. Informe de Pruebas 6. Jefe de Control de Calidad de Software 7. Líder de Proyecto de TI o Encargado de Proyecto 8. Líder Usuario 9. Lista de Verificación de Documentos de un Producto Software DEFINICIÓN Es la causa potencial de un daño a un activo. Es el responsable por la calidad del producto software, de la definición del alcance, planificación y seguimiento de las actividades definidas en el desarrollo y/o mantenimiento del sistema informático, designado por la SGSI. Parte de la gestión de la calidad orientada al cumplimiento de los requisitos de la calidad (ISO 9000). Indica los requisitos funcionales y no funcionales, que deben ser consideradas para la validación y verificación de un producto de software. Resultado detallado de errores, defectos y fallos encontrados durante las pruebas de verificación y validación y/o Pruebas de Seguridad de un producto software. Es el responsable asegurar y controlar el cumplimiento de los requisitos funcionales y no funcionales especificados del producto software; y da la conformidad al producto software. Es el responsable de la planificación y ejecución de las actividades definidas en el desarrollo del proyecto de TI, es designado por la Subgerencia de la GITE que corresponda. Es el responsable de definir y aceptar el cumplimiento de los requerimientos y requisitos del producto software, es designado por el Órgano o Unidad Orgánica solicitante del producto software. Registro que evidencia las actividades de la verificación a los documentos relacionados al producto software. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE N° 10. 11. TÉRMINO Lista de Verificación de Equipos Informáticos Lista de Verificación de un Producto Software PR13-GITE/TI Versión: 04 Página: 3 de 32 DEFINICIÓN Registro que evidencia las actividades de la verificación/validación de la operatividad de un producto software en los equipos informáticos. Registro que evidencia las actividades de la verificación/validación de los escenarios de un Producto Software. 12. Manual de Técnico Documento que describe instrucciones técnicas del producto software (lógica de programación, modelamiento de base de datos, entre otros) dirigido al personal con conocimiento técnico. 13. Manual de Usuario Documento que describe instrucciones de uso del producto software. 14. Medio de Almacenamiento 15. Plan de Pruebas 16. Producto Software 17. Propietario del Riesgo 18. Reglas de Negocio (RN) Medio magnético, óptico o de cualquier otra tecnología que permite almacenar información digital. Documento que describe las actividades a realizar en la verificación y validación del producto software. Conjunto de programas de computadora, procedimientos y posible documentación y datos asociados (NTP ISO/IEC 14598-1). También se le puede llamar sistema informático. Unidad organizativa que tiene la responsabilidad y autoridad para gestionar el riesgo. Describe las operaciones (modo de trabajo), definiciones y restricciones en un Órgano o Unidad Orgánica y que son de vital importancia para modelar el diseño del producto software. Requisitos que deben de tenerse en cuenta dentro del ciclo de vida de software, la cual garantizaran la seguridad de la información. Efecto de la incertidumbre sobre el logro de los objetivos. Confirmación mediante el suministro de evidencia objetiva de que se han cumplido los requerimientos para una utilización o aplicación específica prevista (NTP-ISO 12207). Confirmación mediante la aportación de evidencia objetiva de que se han cumplido los requerimientos especificados (NTP-ISO 12207). 20. Requisitos de Seguridad: Riesgo 21. Validación 22. Verificación 23. Vulnerabilidad 5.2. Abreviaturas 19. Debilidad de un activo que puede ser aprovechada por una amenaza. N° ABREVIATURA DEFINICION 1. CAU Centro de Atención al Usuario. 2. SGD Sistema de Gestión Documental. 3. SGGDI Sub Gerencia de Gobierno Digital e Innovación. 4. SGIST Sub Gerencia de Infraestructura y Seguridad Tecnológica. 5. SGOI Sub Gerencia de Operaciones Informáticas. 6. SGSI Sub Gerencia de Sistemas de Información. 7. TI Tecnologías de Información. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE PR13-GITE/TI Versión: 04 Página: 4 de 32 6. DESARROLLO: 6.1. Elaboración de Plan de Pruebas de un Producto Software N° DESCRIPCIÓN DE LA ACTIVIDAD ROL RESPONSABLE REGISTRO 1. Recibir a través del SGD o correo electrónico de la SGSI el listado de proyectos por Proceso Electoral y por Funcionamiento que serán remitidas al área de control de calidad para el año en curso con las fechas estimadas de puesta en producción. Jefe de Control de Calidad de Software ---- Jefe de Control de Calidad de Software ---- Coordinar y definir el cronograma de atención para cada proyecto del listado y realizar el seguimiento de los tiempos y fechas de entregas, inducciones, entre otros puntos, junto al Líder de Proyecto TI o Encargado de Proyecto. 2. 3. Nota 1: a. En la coordinación también puede estar presente el Equipo de Control de Calidad del proyecto. b. Se debe tener en cuenta que la coordinación para la definición de los tiempos y fechas se debe realizar desde la concepción y se tomará en cuenta el alcance del proyecto, en caso contrario, las tareas correspondientes a la Verificación y Validación de un Producto Software estarán sujetas a los periodos propios del Área de Control de Calidad. Recibir del Sub Gerente de la SGSI o Encargado del Proyecto, el FM46-GITE/TI: Acta de Entrega de Gestión de Proyectos de TI, con los documentos mínimos requeridos del Producto Software, los cuales son: a. FM36-GITE/TI: Acta de Constitución del Proyecto. b. FM37-GITE/TI: Alcance y cronograma del Proyecto. c. FM38-GITE/TI: Plan de Gestión del Proyecto. d. FM39-GITE/TI: Reglas de Negocio. e. FM40-GITE/TI: Especificación de Requerimientos del Software. f. FM41-GITE/TI: Arquitectura del sistema, con la del diseño de la base de datos y diseño de la arquitectura por parte de la SGIST y la SGSI. Jefe de Control de Calidad de Software FM46-GITE/TI La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE N° DESCRIPCIÓN DE LA ACTIVIDAD PR13-GITE/TI Versión: 04 Página: 5 de 32 ROL RESPONSABLE REGISTRO Jefe de Control de Calidad de Software ---- Jefe de Control de Calidad de Software ---- Equipo de Control de Calidad FM54-GITE/TI De acuerdo a la Metodología utilizada en el Análisis y Diseño del Producto Software, también podría incluirse el FM43-GITE/TI: Historias de Usuarios. 4. 5. 6. 7. Nota 2: a. Los documentos deben encontrarse revisados y aprobados. b. Los documentos deben ser enviados previos al Pase a Control de Calidad y/o Actualización del Pase a Control de Calidad según corresponda, de preferencia con una semana de anticipación, caso contrario la entrega no será recibida. c. En caso hubiese cambios en cualquiera de los documentos mencionados, el Sub Gerente de la SGSI o Encargado del Proyecto deberá entregar los documentos actualizados mediante el FM46GITE/TI: Acta de Entrega de Gestión de Proyectos de TI. Entregar los documentos al Equipo de Control de Calidad. Elaborar el FM54-GITE/TI: Plan de Pruebas de un Producto Software, en base a los documentos recibidos mediante el FM46-GITE/TI: Acta de Entrega de Gestión de Proyectos de TI, el cual será considerado para realizar el conjunto de tareas asignadas. Revisar si se cuenta con los requerimientos de hardware, software y/o plataforma de base de datos indicados en el FM41-GITE/TI: Arquitectura del Sistema. Nota 3: Si es un nuevo requerimiento, gestionarlo a través del Jefe de Control de Calidad de Software, mediante un correo electrónico, quien solicitará el requerimiento de acuerdo a los Procedimientos PR01GITE/TI: Gestión de Incidentes y Requerimientos de Tecnologías de Información. Equipo de Control de Calidad Correo electrónico La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE N° DESCRIPCIÓN DE LA ACTIVIDAD PR13-GITE/TI Versión: 04 Página: 6 de 32 ROL RESPONSABLE REGISTRO Jefe de Control de Calidad de Software FM47-GITE/TI FM49-GITE/TI Jefe de Control de Calidad de Software ---- Jefe de Control de Calidad de Software FM47-GITE/TI Recibir del Analista Funcional o Encargado de Proyecto, el documento correspondiente para la verificación y validación del producto software: a. FM47-GITE/TI: Pase a Control de Calidad. b. FM49-GITE/TI: Actualización del Pase a Control de Calidad. 8. Nota 4: a. Los documentos pueden ser recibidos en un medio de almacenamiento o en un repositorio compartido donde se encuentren los entregables, para el caso de fuentes deben estar comprimidos y para el caso de script de base de datos deben indicar la fecha de creación y actualización. b. Los ejecutables, instaladores, programas fuentes según corresponda, debe incluir la versión y fecha de actualización del producto software. c. El Pase o Actualización de Pase a Control de Calidad debe contener todos los entregables necesarios para el despliegue del producto software y que formarán parte de la conformidad (esto incluye el Backup en Frío, instaladores, entre otros). Para mejor detalle, ver Anexo N° 8.1: Consideraciones Generales para el Aseguramiento y Control de Calidad. Revisar el documento recibido, ya que puede tratarse de una “Verificación y Validación de un Producto Software”, “Revisión de Documentos de un Producto Software” o la “Validación de la Operatividad de un Producto Software en Equipos Informáticos”: 9. 10. a. De tratarse de un pase a control de calidad, realizar la actividad 10 del numeral 6.1. del presente procedimiento. b. De tratarse de una actualización del pase a control de calidad, realizar la actividad 11 del numeral 6.1. del presente procedimiento. Verificar y suscribir el FM47-GITE/TI: Pase a Control de Calidad y sus entregables. a. Si la actividad se encuentra programada realizar la actividad 12 del numeral 6.1. del presente procedimiento. b. En caso contrario, programar la atención de acuerdo a la disponibilidad del área. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE N° DESCRIPCIÓN DE LA ACTIVIDAD PR13-GITE/TI Versión: 04 Página: 7 de 32 ROL RESPONSABLE REGISTRO Jefe de Control de Calidad de Software FM49-GITE/TI Jefe de Control de Calidad de Software ---- Equipo de Control de Calidad ---- ROL RESPONSABLE REGISTRO Equipo de Control de Calidad Correo Electrónico Equipo de Control de Calidad ---- Equipo de Control de Calidad ---- Verificar y suscribir el FM49-GITE/TI: Actualización del Pase a Control de Calidad y sus entregables y validar: 11. 12. 13. 6.2. N° 1. 2. 3. a. Si la actividad se encuentra programada realizar la actividad 12 del numeral 6.1. del presente procedimiento. b. En caso contrario, programar la atención de acuerdo a la disponibilidad del área. Nota 5: Si se trata de una actualización de un Producto Software en producción, se deberá adjuntar el FM15GITE/TI: Solicitud de Cambio, aprobado. Entregar los documentos al Equipo de Control de Calidad para realizar los procedimientos de acuerdo a la Solicitud. Recibir los documentos con relación al Control de Calidad del Producto Software con el objetivo de dar inicio a la: a. Verificación y Validación de un Producto Software, descrito en el numeral 6.2. del presente procedimiento. b. Revisión de Documentos de un Producto Software, descrito en el numeral 6.4. del presente procedimiento. c. Validación de la Operatividad de un Producto Software en Equipos Informáticos, descrito en el numeral 6.5. del presente procedimiento. Verificación y Validación de un Producto Software DESCRIPCIÓN DE LA ACTIVIDAD Habilitar y desplegar los entregables del producto software en el ambiente de pruebas acorde al documento recibido. a. Si cuenta con los permisos/requisitos necesarios y ambientes homologados, realizar la actividad 4 del numeral 6.2. del presente procedimiento. b. En caso contrario, gestionarlo directamente con el CAU, previa comunicación al Jefe de Control de Calidad de Software y luego, realizar la actividad 2 del numeral 6.2. del presente procedimiento. Solicitar el alta de cuentas de usuario, de acuerdo al PR25-GITE/TI: Control de Acceso para la Gestión de la Infraestructura Tecnológica. Realizar el seguimiento al CAU hasta que la solicitud sea atendida correctamente e informar al Jefe de Control de Calidad. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE N° 4. 5. 6. DESCRIPCIÓN DE LA ACTIVIDAD Ejecutar las actividades de verificación y validación definidas en el FM54-GITE/TI: Plan de Pruebas de un Producto Software y/o consideraciones del FM47GITE/TI: Pase a Control de Calidad o FM49-GITE/TI: Actualización del Pase a Control de Calidad. a. Si se evidencian observaciones, proceder con las actividades del numeral 6.3. del presente procedimiento. b. Si se evidencian vulnerabilidades de seguridad, proceder con la actividad 3 del numeral 6.3 del presente procedimiento. c. En caso contrario, realizar la actividad 5 del numeral 6.2. del presente procedimiento. Nota 6: Registrar la evidencia de las actividades de la verificación y validación en la Lista de verificación de un producto software. Para mayor detalle, consultar el Anexo N° 8.1: Consideraciones Generales para el Aseguramiento y Control de Calidad y el Anexo N° 8.4: Requisitos de Seguridad de Aplicaciones Web y Móviles del presente procedimiento. Elaborar el FM08-GITE/TI: Informe de Conformidad de Control de Calidad, indicando la conformidad y las consideraciones del alcance de las pruebas realizadas y entregar al Jefe de Control de Calidad de Software. Recibir, revisar y suscribir el FM08-GITE/TI: Informe de Conformidad de Control de Calidad. PR13-GITE/TI Versión: 04 Página: 8 de 32 ROL RESPONSABLE REGISTRO Equipo de Control de Calidad ---- Equipo de Control de Calidad FM08-GITE/TI Jefe de Control de Calidad de Software FM08-GITE/TI Remitir al Sub Gerente de la SGSI o Encargado del Proyecto, el FM08-GITE/TI: Informe de Conformidad de Control de Calidad, para continuar con las actividades descritas en el PR14-GITE/TI: Pase a producción de un producto software. 7. Adicionalmente: a. Si se requiere Generar Copias de un Producto Software, realizar las actividades del numeral 6.6. del presente procedimiento. b. Elaborar el cuadro de métricas según lo indicado en el numeral 8.1.8 del Anexo Nro. 8.1: Consideraciones Generales para el Aseguramiento y Control de Calidad. Equipo de Control de Calidad Nota 7: Los entregables, producto de las validaciones realizadas, pueden ser colocados en el repositorio compartido o en un medio de almacenamiento externo. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. ---- Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE 6.3. N° PR13-GITE/TI Versión: 04 Página: 9 de 32 Tratamiento de Observaciones DESCRIPCIÓN DE LA ACTIVIDAD ROL RESPONSABLE REGISTRO Equipo de Control de Calidad Herramientas Informáticas Equipo de Control de Calidad Informe de Pruebas Equipo de Control de Calidad Informe de Pruebas de Seguridad Equipo de Control de Calidad FM09-GITE/TI Jefe de Control de Calidad de Software FM09-GITE/TI Consolidar y registrar las observaciones en la herramienta informática. 1. 2. 3. 4. 5. 6. 7. 8. Nota 8: Para mayor detalle, consultar el Anexo N° 8.2: Categorización de Observaciones o Vulnerabilidades por Nivel de Riesgo, del presente procedimiento. Elaborar el Informe de Pruebas en base a las observaciones encontradas, consolidadas y registradas en la herramienta informática. Elaborar el Informe de Pruebas de Seguridad en base a las vulnerabilidades encontradas. Elaborar el FM09-GITE/TI: Cargo de Entrega de Resultados de las Pruebas de Control de Calidad, indicando en su resumen las observaciones y/o vulnerabilidades más resaltantes y entregar el Jefe de Control de Calidad de Software. Recibir y revisar el Informe de Pruebas y/o Informe de Pruebas de Seguridad y/o el FM55-GITE/TI: Lista de Verificación de Documentos de un Producto Software y suscribir el FM09-GITE/TI: Cargo de Entrega de Resultados de las Pruebas de Control de Calidad. Enviar el FM09-GITE/TI: Cargo de Entrega de Resultados de las Pruebas de Control de Calidad y el Informe de pruebas de control de calidad y/o Informe de Pruebas de Seguridad, al Líder de Proyecto de TI o Encargado de Proyecto. Nota 9: Los entregables, producto de las validaciones realizadas, pueden ser colocados en el repositorio compartido o en un medio de almacenamiento externo. Evaluar las observaciones y/o vulnerabilidades y registrar el sustento para el levantamiento de las mismas haciendo uso de las herramientas informáticas y/o correo electrónico y/o el FM55-GITE/TI: Lista de Verificación de Documentos de un Producto Software: a. Realizar una nueva entrega subsanando las observaciones y/o vulnerabilidades y continuar con la actividad 8 del numeral 6.1. del presente procedimiento. b. En caso contrario, de tratarse de vulnerabilidades realizar la actividad 8 del numeral 6.3, de tratarse de observaciones realizar la actividad 9 del numeral 6.3 del presente procedimiento. Elaborar el FM53-GITE/TI: Acta de Aceptación de Observaciones, colocando las observaciones no resueltas y/o el FM56-GITE/TI: Acta de Aceptación de Riesgos colocando las vulnerabilidades no resueltas por las cuales se aceptan y asumen los riesgos. Equipo de Control de Calidad Líder de Proyecto de TI o Encargado de Proyecto Líder de Proyecto de TI o Encargado de Proyecto ---- Herramientas Informáticas y/o correo electrónico FM53-GITE/TI FM56-GITE/TI La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE PR13-GITE/TI Versión: 04 Página: 10 de 32 N° DESCRIPCIÓN DE LA ACTIVIDAD ROL RESPONSABLE REGISTRO 9. Recibir el FM53-GITE/TI: Acta de Aceptación de Observaciones y/o FM56-GITE/TI: Acta de Aceptación de Riesgos y gestionar el informe de conformidad, para ello proceder con la actividad 5 del numeral 6.2. del presente procedimiento. Jefe de Control de Calidad de Software ---- ROL RESPONSABLE REGISTRO Equipo de Control de Calidad FM55-GITE/TI Equipo de Control de Calidad FM55-GITE/TI Equipo de Control de Calidad FM08-GITE/TI Jefe de Control de Calidad de Software FM08-GITE/TI FM55-GITE/TI 6.4. N° 1. 2. 3. 4. 5. Revisión de Documentos de un Producto Software DESCRIPCIÓN DE LA ACTIVIDAD Preparar el FM55-GITE/TI: Lista de Verificación de Documentos de un Producto Software y revisar la documentación recibida, que puede ser: a. FM44-GITE/TI: Manual Técnico del Sistema, y/o b. FM45-GITE/TI: Manual de Usuario del Sistema. Nota 10: a. Si existen observaciones, proceder con la actividad 2 del numeral 6.4. del presente procedimiento. b. En caso contrario, proceder con la actividad 3 del numeral 6.4. del presente procedimiento. Registrar las observaciones encontradas durante la revisión de los documentos en el FM55-GITE/TI: Lista de Verificación de Documentos de un Producto Software y proceder con la actividad 4 del numeral 6.3. del presente procedimiento. Elaborar el FM08-GITE/TI: Informe de Conformidad de Control de Calidad, indicando las consideraciones del alcance de las pruebas realizadas y entregar al Jefe de Control de Calidad de Software. Recibir, revisar y suscribir el FM08-GITE/TI: Informe de Conformidad de Control de Calidad y FM55-GITE/TI: Lista de Verificación de Documentos de un producto software. Remitir el FM08-GITE/TI: Informe de Conformidad de Control de Calidad y el FM55-GITE/TI: Lista de Verificación de Documentos de un Producto Software al Sub Gerente de la SGSI o Encargado del Proyecto. Nota 11: Los entregables, producto de las validaciones realizadas, pueden ser colocados en el repositorio compartido o en un medio de almacenamiento externo. Equipo de control de calidad FM08-GITE/TI FM55-GITE/TI La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE 6.5. N° PR13-GITE/TI Versión: 04 Página: 11 de 32 Validación de la Operatividad de un Producto Software en los Equipos Informáticos DESCRIPCIÓN DE LA ACTIVIDAD ROL RESPONSABLE REGISTRO Verificar el cumplimiento de las especificaciones técnicas de los equipos informáticos, de acuerdo al documento recibido FM07-GITE/IMO: Cargo de entrega y FM57-GITE/TI: Lista de Verificación de Equipo Informáticos. 1. 2. 3. 4. 5. 6. Nota 12: a. El FM07-GITE/IMO: Cargo de Entrega y el FM57GITE/TI: Lista de Verificación de Equipo Informáticos deben estar acompañado del Pase a Control de Calidad respectivo. b. El FM07-GITE/IMO: Cargo de Entrega debe contener los códigos de verificación de la imagen máster y del sistema operativo contenido en esta imagen para su validación. Validar la operatividad del producto software en los equipos informáticos de acuerdo al FM57-GITE/TI: Lista de Verificación de Equipos Informáticos: a. Si se han presentado observaciones, realizar la actividad 3 del numeral 6.5. del presente procedimiento. b. En caso contrario, proceder con la actividad 7 del numeral 6.5. del presente procedimiento. Nota 13: Para mayor detalle, consultar el Anexo N° 8.1: Consideraciones Generales para el Aseguramiento y Control de Calidad del presente procedimiento. Registrar en el FM57-GITE/TI: Lista de Verificación de Equipos Informáticos, las observaciones encontradas de la operatividad del producto software en el equipo informático. Elaborar y enviar al Jefe de Control de Calidad de Software el FM09-GITE/TI: Cargo de Entrega de Resultados de las Pruebas de Control de Calidad, indicando en su resumen las observaciones más resaltantes y el FM57-GITE/TI: Lista de Verificación de Equipos Informáticos. Recibir, revisar y suscribir el FM09-GITE/TI: Cargo de Entrega de Resultados de las Pruebas de Control de Calidad junto a las observaciones encontradas y registradas en el FM57-GITE/TI: Lista de Verificación de Equipos Informáticos. Entregar el FM09-GITE/TI: Cargo de Entrega de Resultados de las Pruebas de Control de Calidad y el FM57-GITE/TI: Lista de Verificación de Equipos Informáticos al Líder de Proyecto de TI o Encargado de Proyecto y proceder con la actividad 6 del numeral 6.1 del presente procedimiento. Equipo de Control de Calidad FM07-GITE/IMO FM57-GITE/TI Equipo de Control de Calidad FM57-GITE/TI Equipo de Control de Calidad FM57-GITE/TI Equipo de Control de Calidad FM09-GITE/TI FM57-GITE/TI Jefe de Control de Calidad de Software FM09-GITE/TI Equipo de Control de Calidad ---- La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE N° 7. 8. 9. 6.6. N° 1. 2. 3. 4. DESCRIPCIÓN DE LA ACTIVIDAD Elaborar el FM08-GITE/TI: Informe de Conformidad de Control de Calidad, indicando las consideraciones del alcance de las pruebas realizadas y entregar al Jefe de Control de Calidad de Software. Recibir, revisar y suscribir el FM08-GITE/TI: Informe de Conformidad de Control de Calidad y el FM57-GITE/TI: Lista de Verificación de Equipos Informáticos. Remitir el FM08-GITE/TI: Informe de Conformidad de Control de Calidad y el FM57-GITE/TI: Lista de Verificación de Equipos Informáticos al Líder de Proyecto de TI o Encargado de Proyecto. Nota 14: Los entregables, producto de las validaciones realizadas, pueden ser colocados en el repositorio compartido o en un medio de almacenamiento externo. Luego del Informe de Conformidad, el equipo de control de calidad realizará las actividades correspondientes descritas en el PR10-GITE/TI: Preparación de Equipos Informáticos Electorales para la Solución Tecnológica de Apoyo al Escrutinio. PR13-GITE/TI Versión: 04 Página: 12 de 32 ROL RESPONSABLE REGISTRO Equipo de Control de Calidad FM08-GITE/TI Jefe de Control de Calidad de Software FM08-GITE/TI FM57-GITE/TI Equipo de Control de Calidad FM57-GITE/TI FM08-GITE/TI Generación de Copias de un Producto Software DESCRIPCIÓN DE LA ACTIVIDAD Recibir del Supervisor de Operaciones de la SGOI, los medios de almacenamiento externo mediante el FM07GITE/IMO: Cargo de Entrega, el cual debe contener la cantidad de copias a generar y la cantidad de medios de almacenamiento externo entregados. Nota 15: Los medios de almacenamiento externo, deben ser de la misma característica. Suscribir el FM07-GITE/IMO: Cargo de Entrega, conservar una copia e Informar al Jefe de Control de Calidad de Software. Realizar la generación de copias en las cantidades indicadas en el FM07-GITE/IMO: Cargo de Entrega. Verificar la integridad de las copias generadas y consignar un visto bueno en cada medio de almacenamiento externo como señal de conformidad: a. Si se han presentado observaciones: Y se cuenta con insumos adicionales, realizar la actividad 3 del numeral 6.6. del presente procedimiento. De no contar con los insumos, solicitarlos al Supervisor de Operaciones de la SGOI y realizar la actividad 3 del numeral 6.6. del presente procedimiento. b. De no haberse presentado observaciones, proceder con la actividad 5 del numeral 6.6. del presente procedimiento. ROL RESPONSABLE REGISTRO Equipo de Control de Calidad ---- Equipo de Control de Calidad FM07-GITE/IMO Equipo de Control de Calidad ---- Equipo de Control de Calidad ---- La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE PR13-GITE/TI Versión: 04 Página: 13 de 32 N° DESCRIPCIÓN DE LA ACTIVIDAD ROL RESPONSABLE REGISTRO 5. Elaborar y suscribir el FM07-GITE/IMO: Cargo de Entrega, en donde se registra la entrega de la cantidad de copias generadas y verificadas e informar al Jefe de Control de Calidad. Equipo de Control de Calidad FM07-GITE/IMO 7. FORMATOS ASOCIADOS: N° Código 1. 2. FM07-GITE/IMO FM08-GITE/TI 3. FM09-GITE/TI 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. FM15-GITE/TI FM36-GITE/TI FM37-GITE/TI FM38-GITE/TI FM39-GITE/TI FM40-GITE/TI FM41-GITE/TI FM43-GITE/TI FM44-GITE/TI FM45-GITE/TI FM46-GITE/TI FM47-GITE/TI FM49-GITE/TI FM53-GITE/TI FM54-GITE/TI FM55- GITE/TI FM56-GITE/TI FM57-GITE/TI Definición Cargo de Entrega. Informe de Conformidad de Control de Calidad. Cargo de Entrega de Resultados de las Pruebas de Control de Calidad. Solicitud de Cambio. Acta de Constitución del Proyecto. Alcance y cronograma del Proyecto. Plan de Gestión del Proyecto. Reglas de Negocio. Especificación de Requerimientos del Software. Arquitectura del sistema. Historias de Usuarios. Manual Técnico del Sistema. Manual de Usuario del Sistema. Acta de Entrega de Gestión de Proyectos de TI. Pase a Control de Calidad. Actualización del Pase a Control de Calidad. Acta de Aceptación de Observaciones. Plan de Pruebas de un Producto Software. Lista de Verificación de Documentos de un Producto Software. Acta de Aceptación de Riesgos. Lista de Verificación de Equipo Informáticos. 8. ANEXOS 8.1. Consideraciones Generales para el Aseguramiento y Control de Calidad. 8.1.1. El proyecto debe contar con la autorización previa del propietario del producto software o líder usuario, según el Anexo N°8.3: Mapa de proceso del ciclo de vida de un producto software. 8.1.2. El Líder de Proyecto de TI o Encargado de Proyecto designado debe establecer, en conjunto con el Líder Usuario, el alcance del proyecto (qué está incluido, qué está excluido, los requisitos exactos y requerimientos consecuentes) de forma completa, precisa, clara, contextual, pertinente, ordenada, organizada en las ideas expuestas, gramaticalmente correcta y sin faltas ortográficas. 8.1.3. Los Pases a Control de Calidad, que lleguen después de las 15:00 horas, serán atendidos al siguiente día útil, a menos que se solicite su atención indicando su priorización mediante un correo electrónico del Sub Gerente de Sistemas de Información y al Sub Gerente de Gobierno Digital e Innovación. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Código: PR13-GITE/TI Versión: 04 Página: 14 de 32 8.1.4. Las pruebas estarán sujetas a suspensión, una suspensión implica la interrupción total de las pruebas que se encuentren realizando. 8.1.5. Las causales de suspensión (devolución del pase) se tipifican de la siguiente manera: a. Fallo en la ejecución del procedimiento de despliegue. b. Opciones de menú caídos. c. No funcionan los botones Grabar, Modificar o Eliminar. d. Generación de datos duplicados e inconsistentes. e. Si más del 50% de formularios revisados presentan errores. 8.1.6. El Líder de Proyecto de TI o Encargado de Proyecto debe asegurar que en Desarrollo se hayan realizado las pruebas básicas, internas y unitarias, como requisito previo a las pruebas de Control de Calidad. Las pruebas internas y unitarias están orientadas a eliminar problemas en el producto software. 8.1.7. Como parte del Control de Calidad del producto software. Las pruebas realizadas por el Equipo de Calidad comprenden: a. Pruebas de interfaz de Usuario: se realizarán en tres (03) aspectos, los cuales son: i. Verificación de la Interfaz gráfica de usuario: se verificará que las pantallas y mensajes sean claros para el usuario. ii. Validación de ingreso de datos: se verificará que los datos ingresados sean procesados de forma correcta y que sólo permita registrar los válidos o, en su defecto, emitir la advertencia o mensaje de error. iii. Prueba de estandarización de controles: se verificará que los controles utilizados en la aplicación cuenten con la misma versión, así como sus distintas pantallas sean un estándar de diseño, el Líder de Proyecto de TI o Encargado de proyecto debe indicar en el pase a control de calidad que estándar utilizará, en caso contrario no se realizará dicha prueba. b. Pruebas de Seguridad: se comprobará el cumplimiento del Anexo N° 8.4: Requisitos de Seguridad de Aplicaciones Web y Móviles del presente procedimiento, de acuerdo a los controles técnicos establecidos en la NTP-ISO 27001:2014. El Líder de Proyecto de TI o Encargado de Proyecto deberá justificar en detalle aquellos controles que no serán implementados. c. Pruebas de Compatibilidad: se comprobará que la aplicación mantenga su funcionalidad con navegadores web de acuerdo a lo indicado por el Líder de Proyecto de TI o Encargado de Proyecto. d. Prueba de Confiabilidad: se verificará que los cálculos sean los correctos y que se procesen datos consistentes, y se comprobará que la aplicación no duplique datos o adicione datos extraños. e. Pruebas Funcionales: a través de los casos de prueba, con los que se debe validar que la aplicación entregue la funcionalidad requerida y constatar que los resultados sean los esperados. f. Pruebas No Funcionales: cuando se requieran realizar pruebas no funcionales en las que necesiten utilizar herramientas especiales, capacitación al equipo de control de calidad, adquisición de equipos, entre otros, deberá ser gestionado previamente caso contrario las pruebas no podrán ser realizadas por el área de control de calidad. g. Pruebas de Regresión: a través de estas pruebas se busca asegurar que las funcionalidades anteriormente probadas y que estuvieron trabajando normalmente y que no fueron modificadas sigan funcionando sin problemas después de una modificación o corrección. h. Pruebas Exploratorias: Las pruebas son intuitivas, planteando casuísticas por la experiencia adquirida del Testeador, se refiere a ejecutar las pruebas a medida que se piensa en ellas, sin gastar demasiado tiempo en preparar o explicarlas, confiando en los instintos, es decir, es una técnica de prueba en la cual quien la efectúa controla activamente el diseño durante el proceso y utiliza la información obtenida en la exploración para diseñar nuevas y mejores pruebas. i. Pruebas de Aceptación: Son las pruebas finales que se realiza con el usuario el cual validará que la aplicación cumple con los requerimientos y que satisface con las necesidades para lo cual fue desarrollado, el Líder de Proyecto de TI o Encargado de La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE PR13-GITE/TI Versión: 04 Página: 15 de 32 Proyecto debe garantizar que dichas pruebas sean realizadas conjuntamente con el Líder Usuario. j. Documentales: según la relación de documentos definidos en la cual se debe evidenciar que la aplicación está cumpliendo con las especificaciones de requerimiento de software. 8.1.8. Se debe de considerar la elaboración de Métricas de acuerdo a lo descrito en la ISO/IEC 25021 teniendo como base: a. Los documentos entregados al Equipo de Control de Calidad: FM47-GITE/TI: Pase a Control de Calidad. FM49-GITE/TI: Actualización del Pase a Control de Calidad. FM39-GITE/TI: Reglas de Negocio. FM40-GITE/TI: Especificación de Requerimientos del Software. b. Los documentos emitidos por el Equipo de Control de Calidad: FM09-GITE/TI: Cargo de Entrega de Resultados de las Pruebas de Control de Calidad, Informe de Pruebas e Informe de Pruebas de Seguridad. FM54-GITE/TI: Plan de Pruebas de un Producto Software. Las Métricas deben seguir el formato sugerido en el numeral 6.2 de la ISO/IEC 25021. Las Métricas consideradas deben ser mínimamente las siguientes: N° Elemento de Medida de Calidad a. Nombre del Elemento de Medida de Calidad b. Propósito del Elemento de Medida de Calidad c. Objetivos y Propiedades a Cuantificar d. Medidas de Calidad Relevante(s) e. Método de Medida 1 Lista de Subpropiedades Relacionadas con la Propiedad a Cuantificar (opcional) g. Definición de cada Subpropiedad (opcional) h. Entrada para el Elemento de Medida de Calidad i. Unidad de Medida para el Elemento de Medida de Calidad j. Reglas Numéricas k. Tipo de Escala Descripción Cantidad de bugs nuevos por iteración. Medir la cantidad de bugs nuevos por iteración. Bugs nuevos en revisión. Bugs nuevos. Contar la cantidad de bugs nuevos por iteración, para luego compararla con la cantidad total de bugs y de esa forma obtener el porcentaje de bugs nuevos por iteración. f. Cantidad de bugs nuevos Cantidad de bugs iteración. por iteración X es la cantidad de bugs nuevos por iteración. Plan de Pruebas, informe de Pruebas y Bugzilla. Bugs Nuevos. X = SUM(X) Ordinal. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE N° Elemento de Medida de Calidad l. m. n. a. b. c. d. e. f. 2 g. h. i. j. k. l. m. n. a. 3 b. PR13-GITE/TI Versión: 04 Página: 16 de 32 Descripción Este QME es utilizable especialmente por su Contexto del Elemento confiabilidad, facilidad de mantenimiento y de Medida de Calidad portabilidad. Procesos del Ciclo de Etapa de Pruebas Funcionales. Vida del Software Restricciones de Sin restricción. Medida (opcional) Nombre del Elemento Cantidad de bugs corregidos y cancelados por de Medida de Calidad iteración. Propósito del Medir la Cantidad de bugs corregidos y cancelados Elemento de Medida por iteración. de Calidad Objetivos y Propiedades a Corrección y cancelación de bugs en revisión. Cuantificar Medidas de Calidad Corrección y cancelación de bugs. Relevante(s) Contar la cantidad de bugs corregidos y cancelados, para luego compararlos con la Método de Medida cantidad de bugs nuevos por iteración y de esa forma obtener el porcentaje de bugs corregidos y cancelados por iteración. Lista de Subpropiedades Cantidad de bugs corregidos. Relacionadas con la Cantidad de bugs cancelados. Propiedad a Cantidad de bugs nuevos por iteración. Cuantificar (opcional) X es el porcentaje de bugs corregidos/cancelados por iteración. Definición de cada Y es la cantidad de bugs corregidos/cancelados por Subpropiedad iteración. (opcional) Z es la cantidad de bugs nuevos que tuvo el aplicativos por iteración. Entrada para el Elemento de Medida Plan de Pruebas, informe de Pruebas y Bugzilla. de Calidad Unidad de Medida para el Elemento de Corregidos y Cancelados. Medida de Calidad Reglas Numéricas X = (Y*100) / Z Tipo de Escala Porcentual. Este QME es utilizable especialmente por su Contexto del Elemento confiabilidad, facilidad de mantenimiento y de Medida de Calidad portabilidad. Procesos del Ciclo de Etapa de Pruebas Funcionales. Vida del Software Restricciones de Sin restricción. Medida (opcional) Nombre del Elemento Nivel de Complejidad de bugs por iteración. de Medida de Calidad Propósito del Elemento de Medida Medir la complejidad de bugs nuevos por iteración. de Calidad La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE N° PR13-GITE/TI Versión: 04 Página: 17 de 32 Elemento de Medida de Calidad c. Objetivos y Propiedades a Cuantificar d. Medidas de Calidad Relevante(s) Complejidad de bugs en revisión. e. Método de Medida Contar la cantidad de bugs nuevos por iteración, para luego desglosarlos por su complejidad y de esa forma obtener el porcentaje de bugs por complejidad en cada iteración. f. Lista de Subpropiedades Relacionadas con la Propiedad a Cuantificar (opcional) g. Definición de cada Subpropiedad (opcional) h. Entrada para el Elemento de Medida de Calidad i. Unidad de Medida para el Elemento de Medida de Calidad j. Reglas Numéricas k. Tipo de Escala l. m. n. a. b. c. 4 d. e. Descripción Nivel de Complejidad de bugs. Nivel de Complejidad de bugs (Alto, Medio, Bajo, Recomendación). Cantidad de bugs nuevos por iteración. X es el porcentaje de bugs por complejidad por iteración. Y es la cantidad de bugs por complejidad por iteración. Z es la cantidad de bugs nuevos que tuvo el aplicativos por iteración. Plan de Pruebas, informe de Pruebas y Bugzilla. Nivel de Complejidad de bugs. X = (Y*100) / Z Porcentual. Este QME es utilizable especialmente por su Contexto del Elemento confiabilidad, facilidad de mantenimiento y de Medida de Calidad portabilidad. Procesos del Ciclo de Etapa de Pruebas Funcionales. Vida del Software Restricciones de Sin restricción. Medida (opcional) Nombre del Elemento Cantidad de escenarios fallidos por iteración. de Medida de Calidad Propósito del Medir la cantidad de escenarios fallidos por Elemento de Medida iteración. de Calidad Objetivos y Propiedades a Escenarios Fallidos en revisión. Cuantificar Medidas de Calidad Escenarios Fallidos. Relevante(s) Contar la cantidad de escenarios fallidos por iteración, para luego compararlos con la cantidad Método de Medida total de escenarios y de esa forma obtener el porcentaje de escenarios fallidos por iteración. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE N° Elemento de Medida de Calidad f. Lista de Subpropiedades Relacionadas con la Propiedad a Cuantificar (opcional) g. Definición de cada Subpropiedad (opcional) h. Entrada para el Elemento de Medida de Calidad i. Unidad de Medida para el Elemento de Medida de Calidad j. Reglas Numéricas k. Tipo de Escala l. m. n. a. b. c. d. e. 5 f. g. h. PR13-GITE/TI Versión: 04 Página: 18 de 32 Descripción Escenarios fallidos. Cantidad de escenarios por iteración. X es el porcentaje de escenarios fallidos por iteración. Y es la cantidad de escenarios fallidos por iteración. Z es la cantidad total de escenarios que tiene el aplicativo. Plan de Pruebas, informe de Pruebas y Bugzilla. escenarios Fallidos. X = (Y*100) / Z Porcentual. Este QME es utilizable especialmente por su Contexto del Elemento confiabilidad, facilidad de mantenimiento y de Medida de Calidad portabilidad. Procesos del Ciclo de Etapa de Pruebas Funcionales. Vida del Software Restricciones de Sin restricción. Medida (opcional) Nombre del Elemento Cantidad de bugs persistentes por iteración. de Medida de Calidad Propósito del Medir la cantidad de bugs persistentes por Elemento de Medida iteración. de Calidad Objetivos y Propiedades a Bugs encontrados en revisión. Cuantificar Medidas de Calidad Bugs Persistentes. Relevante(s) Contar la cantidad de bugs persistentes por iteración, para luego compararlos con la cantidad Método de Medida de bugs por iteración y de esa forma obtener el porcentaje de bugs persistentes por iteración. Lista de Subpropiedades Bugs Persistentes. Relacionadas con la Cantidad de bugs por iteración. Propiedad a Cuantificar (opcional) X es el porcentaje de bugs persistentes por Definición de cada iteración. Subpropiedad Y es la cantidad de bugs persistentes por iteración. (opcional) Z es la cantidad total de bugs que tuvo el aplicativo por iteración. Entrada para el Elemento de Medida Plan de Pruebas, informe de Pruebas y Bugzilla. de Calidad La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE N° Elemento de Medida de Calidad i. Unidad de Medida para el Elemento de Medida de Calidad j. Reglas Numéricas k. Tipo de Escala PR13-GITE/TI Versión: 04 Página: 19 de 32 Descripción Bugs. X = (Y*100) / Z Porcentual. Este QME es utilizable especialmente por su l. Contexto del Elemento confiabilidad, facilidad de mantenimiento y de Medida de Calidad portabilidad. m. Procesos del Ciclo de Etapa de Pruebas Funcionales. Vida del Software n. Restricciones de Sin restricción. Medida (opcional) 8.2. Categorización de Observaciones o Vulnerabilidades por Nivel de Riesgo. a. Alto: En esa categoría se contempla lo relacionado a la información / cálculos inexactos o faltantes, así como todo error que impida la funcionalidad de la aplicación exitosamente o vulnerabilidades que ponen en riesgo la seguridad de la información. b. Medio: En esta categoría se contempla a los mensajes de advertencia o de errores o vulnerabilidades que tendrían un impacto leve pero que a pesar de ello permita continuar con la funcionalidad del software. También se encuentra en ese criterio todo aquel error que causa confusión en el usuario, poniendo en riesgo el éxito de la tarea. c. Bajo: En esta categoría se contempla a las incidencias que pueden generar errores de interpretación al usuario o vulnerabilidades que no ocasionarían mayores inconvenientes d. Recomendaciones: En esta categoría se contemplan los comentarios, modificaciones, recomendaciones, aportes, mejoras o hallazgos que no comprometen la seguridad de la información y que permiten mejorar los controles implementados. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Código: PR13-GITE/TI Versión: 04 Página: 20 de 32 8.3. Mapa de Proceso del Ciclo de Vida de un Producto Software 8.4. Requisitos de Seguridad de Aplicaciones Web y Móviles 8.4.1. Requisitos de Seguridad para Desarrollo de Aplicaciones Web N° Lista de requisitos de seguridad para el desarrollo de aplicaciones web 1 Se requiere que la aplicación presente controles de seguridad para la protección contra: ejecución de código malicioso, inyección de CRLF; LDAP, SQL XPATH, Inclusión de archivos, entre otros. 2 Se requiere que la aplicación presente controles de seguridad para la protección contra: desvío de autenticación, fuerza bruta de contraseñas, uso de canales inseguro, cifrado débiles, etc. 3 Se requiere que la aplicación presente controles de seguridad para la protección contra XFS, XSS entre otros. 4 5 Se requiere que la aplicación controle las vulnerabilidades XML, External Entity, es un tipo de ataque contra una aplicación que analiza la entrada XML. Este ataque ocurre cuando una entrada XML que contiene una referencia a una entidad externa procesada por un analizador XML debidamente configurado. Se requiere que la aplicación controle que el WS_FTP. Esta aplicación Esta aplicación crea un archivo de registros denominado WS_FTP.LOG. Este archivo contiene datos confidenciales como el origen/destino de archivos y nombre de archivo, fecha / hora de carga, etc. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Código: PR13-GITE/TI Versión: 04 Página: 21 de 32 N° Lista de requisitos de seguridad para el desarrollo de aplicaciones web 6 Se requiere que la aplicación presente controles de seguridad para la protección contra: ataques de directorio transversal, etc. 7 Se requiere que la aplicación presente controles de seguridad para la protección contra: creación de archivos en forma arbitraria, desbordamiento de pila, mala configuración DoS, envenenamiento de protocolos, malware, divulgación de información personal, mensajes de errores con información sensible, etc. 8 Se requiere que la aplicación no presente servicios innecesarios a la naturaleza de su negocio. 9 10 11 Se requiere controlar la confidencialidad, integridad y disponibilidad de los drives de cada componente de hardware donde se ejecuta el aplicativo. Se requiere que la aplicación presente controles de seguridad para la protección conta: errores de validación de variables de entrada, mensajes de errores, validación de variables de entorno. Ejemplo: Errores de red, divulgación de código fuente, credenciales débiles, subida de archivos, entre otros. Se requiere que la aplicación presente controles de seguridad para la protección contra: abusos de funcionalidad, accesos inseguros de administración, escalamiento de privilegios no controlados, etc. 12 Controlar las restricciones incorrectas de intentos de autenticación excesiva 13 Controlar el uso de credenciales por defecto o fácil identificación. Se requiere que la aplicación presente controles de seguridad para la protección contra CSRF, SSRF, etc. Se requiere que la aplicación presente controles de seguridad para la protección: Vulnerabilidades conocidas, actualizaciones incompletas. fallidas no dadas, etc. Se requiere que la aplicación presente controles de seguridad para la protección contra: redireccionamiento URL. Se requiere que la aplicación controle la respuesta HTTP, por lo que un atacante malicioso a una aplicación vulnerable y la aplicación incluye datos en un encabezado de respuesta HTTP. 14 15 16 17 8.4.2. Requisitos de Seguridad para el Desarrollo de Aplicaciones Móviles 8.4.2.1. Requisitos de Arquitectura, Diseño y Modelado de Amenazas Objetivo de control: Implementar controles de seguridad en todas las fases de ciclo de desarrollo de software. 1 2 3 4 5 6 Los controles de seguridad nunca se aplican sólo en el cliente, sino que también en los respectivos servidores. Se definió una arquitectura de alto nivel para la aplicación y los servicios y se incluyeron controles de seguridad en la misma. Se identificó claramente la información considerada sensible en el contexto de la aplicación móvil. Todos los componentes de la aplicación están definidos en términos de la lógica de negocio o las funciones de seguridad que proveen. Se realizó un modelado de amenazas para la aplicación móvil y los servicios en el que se definieron las mismas y sus contramedidas. Existe un mecanismo para forzar las actualizaciones de la aplicación móvil. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Código: PR13-GITE/TI Versión: 04 Página: 22 de 32 8.4.2.2. Requisitos de Almacenamiento de datos y Privacidad Objetivo de control: Implementar controles para la protección de datos personales e información sensible. 1 2 Las funcionalidades de almacenamiento de credenciales del sistema deben de ser utilizadas para almacenar información sensible, tal como información personal, credenciales de usuario o claves criptográficas. No se debe almacenar información sensible fuera del contenedor de la aplicación o del almacenamiento de credenciales del sistema. 3 No se escribe información sensible en los registros (logs) de la aplicación. 4 No se comparte información sensible con servicios externos salvo que sea una necesidad de la arquitectura. 5 Se desactiva la caché del teclado en los campos de texto que contienen información sensible. 6 No se expone información sensible mediante mecanismos de comunicación entre procesos (IPC). 7 No se expone información sensible como contraseñas y números de tarjetas de crédito a través de la interfaz o capturas de pantalla. 8 No se incluye información sensible en las copias de seguridad generadas por el sistema operativo. 9 10 11 12 13 14 15 La aplicación elimina toda información sensible de la vista cuando la aplicación pasa a un segundo plano. La aplicación no conserva ninguna información sensible en memoria más de lo necesario y la memoria se limpia tras su uso. La aplicación obliga a que exista una política mínima de seguridad en el dispositivo, como que el usuario deba configurar un código de acceso. La aplicación educa al usuario acerca de los tipos de información personal que procesa y de las mejores prácticas en seguridad que el usuario debería seguir al utilizar la aplicación. No se guarda ningún tipo de información sensible de forma local en el dispositivo móvil. En su lugar, esa información debería ser obtenida desde un sistema remoto sólo cuando es necesario y únicamente residir en memoria. En caso de ser necesario guardar información sensible de forma local, ésta debe de ser cifrada usando una clave derivada del hardware de almacenamiento seguro, el cual debe requerir autenticación previa. El almacenamiento local de la aplicación debe de ser borrado tras un número excesivo de intentos fallidos de autenticación. 8.4.2.3. Requisitos de Criptografía Objetivo de Control: Proteger la información almacenada de un dispositivo móvil mediante controles criptográficos. 1 La aplicación no depende únicamente de criptografía simétrica cuyas claves se encuentran directamente en el código fuente de la misma. 2 La aplicación utiliza implementaciones de criptografía probadas. 3 La aplicación no utiliza protocolos o algoritmos criptográficos ampliamente considerados obsoletos para su uso en seguridad. 4 La aplicación no reutiliza una misma clave criptográfica para varios propósitos. 5 Los valores aleatorios son generados utilizando un generador de números aleatorios suficientemente seguro. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Código: PR13-GITE/TI Versión: 04 Página: 23 de 32 8.4.2.4. Requisitos de Autenticación y Manejo de Sesiones Objetivo de control: Arquitectura global de aplicaciones móviles es que los usuarios deben inician sesión en un servicio remoto. Si la aplicación provee acceso a un servicio remoto, un mecanismo aceptable de autenticación 1 como usuario y contraseña es realizado en el servidor remoto. Si se utiliza la gestión de sesión por estado, el servidor remoto usa tokens de acceso aleatorios 2 para autenticar los pedidos del cliente sin requerir el envío de las credenciales del usuario en cada uno. Si se utiliza la autenticación basada en tokens sin estado, el servidor proporciona un token que 3 se ha firmado utilizando un algoritmo seguro 4 Cuando el usuario cierra sesión se termina la sesión también en el servidor. 5 El servidor implementa mecanismos, cuando credenciales de autenticación son ingresadas una cantidad excesiva de veces. 6 Las sesiones y los tokens de acceso expiran luego de un tiempo predefinido de inactividad. 7 8 9 La autenticación biométrica, si la hay, no está asociada a eventos (p. ej. usando una API que simplemente retorna “true” o “false”), sino basada en el desbloqueo del keychain/keystore (almacenamiento seguro). El sistema remoto implementa un mecanismo de segundo factor de autenticación (2FA) y lo impone consistentemente. Para realizar transacciones críticas se requiere una autenticación adicional (step-up). 10 La aplicación informa al usuario acerca de todas las actividades sensibles en su cuenta. El usuario es capaz de ver una lista de los dispositivos conectados, información contextual (dirección IP, localización, etc.), y es capaz de bloquear ciertos dispositivos. 11 Los modelos de autorización deberían de ser definidos e impuestos por el sistema remoto. 8.4.2.5. Requisitos de Comunicación a través de la red Objetivo de Control: Asegurar la confidencialidad e integridad de la información intercambiada entre la aplicación móvil y los servicios del servidor. Como mínimo se deben utilizar canales seguros y cifrados utilizando el protocolo TLS con las configuraciones apropiadas. La información es enviada cifrada utilizando TLS. El canal seguro es usado consistentemente en 1 la aplicación. Las configuraciones del protocolo TLS siguen las mejores prácticas de la industria, o lo hacen lo 2 mejor posible en caso de que el sistema operativo del dispositivo no soporte los estándares recomendados. La aplicación verifica el certificado X.509 del sistema remoto al establecer el canal seguro y sólo 3 se aceptan certificados firmados por una CA de confianza. La aplicación utiliza su propio almacén de certificados o realiza pinning del certificado o la clave 4 pública del servidor. Bajo ningún concepto establecerá conexiones con servidores que ofrecen otros certificados o claves, incluso si están firmados por una CA de confianza. La aplicación no depende de un único canal de comunicaciones inseguro (email o SMS) para 5 operaciones críticas como registro de usuarios o recuperación de cuentas. 6 La aplicación sólo depende de bibliotecas de conectividad y seguridad actualizadas. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Código: PR13-GITE/TI Versión: 04 Página: 24 de 32 8.4.2.6. Requisitos de Interacción con la Plataforma Objetivo de Control: Asegurar que utilicen las APIs de la plataforma y componentes estándar de una manera segura. Además, se cubre la comunicación entre aplicaciones (IPC). 1 2 3 4 5 6 7 La aplicación requiere la cantidad de permisos mínimamente necesaria. Todo dato ingresado por el usuario o cualquier fuente externa debe ser validado y, si es necesario, saneado. Esto incluye información recibida por la UI o mecanismos IPC como los Intents, URLs y datos provenientes de la red. La aplicación no expone ninguna funcionalidad sensible a través esquemas de URL salvo que dichos mecanismos estén debidamente protegidos. La aplicación no expone ninguna funcionalidad sensible a través de mecanismos IPC salvo que dichos mecanismos estén debidamente protegidos. JavaScript se encuentra deshabilitado en los WebViews salvo que sea necesario. Las WebViews se configuran para permitir el mínimo de los esquemas (idealmente, sólo https). Esquemas peligrosos como file, tel y app-id están deshabilitados. Si objetos nativos son expuestos en WebViews, debe verificarse que cualquier componente JavaScript se carga exclusivamente desde el contenedor de la aplicación. 8 La serialización de objetos, si se realiza, debe implementarse utilizando API seguras. 9 La aplicación se protege contra ataques de tipo screen overlay. (sólo Android) 10 11 La caché, el almacenamiento y los recursos cargados (JavaScript, etc.) de las WebViews deben de borrarse antes de destruir la WebViews. Verificar que la aplicación impide el uso de teclados de terceros siempre que se introduzca información sensible. (sólo iOS) 8.4.2.7. Requisitos de Calidad de Código y Configuración del Compilador Objetivo de Control: Asegurar que se siguieron las prácticas de seguridad básicas en el desarrollo de la aplicación. Y que se activaron las funcionalidades “gratuitas” ofrecidas por el compilador. 1 2 3 4 5 La aplicación es firmada y provista con un certificado válido, cuya clave privada está debidamente protegida. La aplicación fue publicada en modo release y con las configuraciones apropiadas para el mismo (por ejemplo, non-debuggable). Los símbolos de depuración fueron eliminados de los binarios nativos. Cualquier código de depuración y/o de asistencia al desarrollador (p. ej. código de test, backdoors, configuraciones ocultas) debe ser eliminado. La aplicación no hace logs detallados de errores ni de mensajes de depuración. Todos los componentes de terceros se encuentran identificados y revisados en cuanto a vulnerabilidades conocidas. 6 La aplicación captura y gestiona debidamente las posibles excepciones 7 Los controles de seguridad deniegan el acceso por defecto. 8 En código no administrado, la memoria es solicitada, utilizada y liberada de manera correcta. 9 Las funcionalidades de seguridad gratuitas de las herramientas, tales como minificación del bytecode, protección de la pila, soporte PIE y conteo automático de referencias, se encuentran activadas. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE PR13-GITE/TI Versión: 04 Página: 25 de 32 8.4.2.8. Requisitos de Resistencia ante la Ingeniería Inversa Objetivo de Control: Manipulación no autorizada de la aplicación y/o la ingeniería inversa del código. 1 2 3 4 5 6 7 8 9 10 11 12 13 La aplicación detecta y responde a la presencia de un dispositivo rooteado, ya sea alertando al usuario o finalizando la ejecución de la aplicación. La aplicación impide la depuración o detecta y responde a la misma. Se deben cubrir todos los protocolos de depuración. La aplicación detecta y responde a cualquier modificación de ejecutables y datos críticos de la propia aplicación. La aplicación detecta la presencia de herramientas de ingeniería inversa o frameworks comúnmente utilizados. La aplicación detecta y responde a ser ejecutada en un emulador La aplicación detecta y responde ante modificaciones de código o datos en su propio espacio de memoria. La aplicación implementa múltiples mecanismos de detección para los puntos del 8.1 al 8.6. Nótese que, a mayor cantidad y diversidad de mecanismos usados, mayor será la resistencia. Los mecanismos de detección provocan distintos tipos de respuestas, incluyendo respuestas retardadas y silenciosas. La ofuscación se aplica a las defensas del programa, lo que a su vez impide la desofuscación mediante análisis dinámico. La aplicación implementa un “enlace al dispositivo” utilizando una huella del dispositivo derivado de varias propiedades únicas al mismo. Todos los archivos ejecutables y bibliotecas correspondientes a la aplicación se encuentran cifrados, o bien los segmentos importantes de código se encuentran cifrados o “empaquetados” (packed). De este modo cualquier análisis estático trivial no revelará código o datos importantes. Si el objetivo de la ofuscación es proteger código propietario, debe utilizarse un esquema de ofuscación apropiado para la tarea particular y robusto contra métodos de desofuscación manual y automatizada, considerando la investigación actual publicada. La eficacia del esquema de ofuscación debe verificarse mediante pruebas manuales. Nótese que, siempre que sea posible, las características de aislamiento basadas en hardware son preferibles a la ofuscación A modo de defensa en profundidad, además de incluir un refuerzo (hardening) sólido de la comunicación, puede implementarse el cifrado de datos (payloads) a nivel de aplicación como medida adicional contra ataques de eavesdropping. 9. CUADRO DE CONTROL DE CAMBIOS: Versión anterior Fecha de aprobación Sección / Ítem Categoría N: nuevo M: Modificado E: Eliminado 03 21/06/2022 3/3.9 y 3.10 N Se precisa el N° Jefatural que aprobó. 03 21/06/2022 5/5.1 (7); 6.1/2, 8; 6.3/6, 7,8; 6.5/6,9; 8.1/8.1.2, 8.1.6, 8.1.7 M Se Modifica “Lider de Proyecto de TI” por “Lider de Proyecto de TI o Encargado de Proyecto” 03 21/06/2022 5/5.1 (12) E 03 21/06/2022 6.1/3; 7/3 M Cambios realizados con respecto a la versión anterior Resolución Se retira Lista de Verificación de Seguridad de Aplicaciones. Se modifica el nombre del FM37GITE/TI: Alcance del Proyecto por La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Versión anterior Fecha de aprobación Sección / Ítem Categoría N: nuevo M: Modificado E: Eliminado 03 21/06/2022 6.1/3 y 4; 6.2/7; 6.4/5 M 03 21/06/2022 6.2/4 E 03 21/06/2022 6.3/8 E 03 21/06/2022 8 / 8.1.5 (a) N 03 21/06/2022 8 / 8.1.8 (a) M 03 21/06/2022 8 / 8.4 M 02 22/11/2018 Sección Revisado Por M 02 22/11/2018 2 M 02 02 22/11/2018 22/11/2018 3 (11) 4 (4.4) E N 02 22/11/2018 4 (4.5) M 02 02 22/11/2018 22/11/2018 4 (4.6) 5.1 N M 02 22/11/2018 5.1. (1) N 02 22/11/2018 5.1. (4) M 02 22/11/2018 5.1. (7) E 02 22/11/2018 5.1. (11) N 02 22/11/2018 5.1. (17) N 02 22/11/2018 5.1. (18) M PR13-GITE/TI Versión: 04 Página: 26 de 32 Cambios realizados con respecto a la versión anterior FM37-GITE/TI: Alcance y cronograma del Proyecto. Se precisa Sub Gerente de la SGIST o Encargado del Proyecto. Se elimina la Lista de Verificación de Seguridad de Aplicaciones de la nota 6. Se retira la actividad sobre la revisión de vulnerabilidades. Se agrega “Fallo en la ejecución del procedimiento de despliegue”. Se modifican los códigos de los siguientes formatos: FM36-GITE/TI por FM39-GITE/TI FM38-GITE/TI por FM40-GITE/TI FM30-GITE/TI por FM47-GITE/TI FM52-GITE/TI por FM49-GITE/TI Se reemplaza “requerimiento” por “requisito” y “requerimientos” por “requisitos” Se actualiza denominaciones de la SGSI y la SGGDI, de acuerdo a lo dispuesto en la Resolución Jefatural N° 000902-2021-JN/ONPE. Se actualiza denominación de la Sub Gerencia de Gobierno Digital e Innovación, según Resolución Jefatural N° 000902-2021JN/ONPE. Se retira el documento. Se adiciona el PR36-GITE/TI Se modifica el nombre del PR10GITE/TI Se adiciona el PR25-GITE/TI Se agrega Analista Funcional. Se adiciona el término “Amenaza” y su definición. Se modifica la definición del término “Informe de pruebas”. Se elimina el término Lista de Verificación de Copias de un Producto Software y su definición. Se adiciona el término “Lista de Verificación de Seguridad de Aplicaciones” y su definición. Se adiciona el término “Propietario del Riesgo” y su definición. Se modifica la definición del término “Reglas de Negocio (RN)”. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Versión anterior Fecha de aprobación Sección / Ítem Categoría N: nuevo M: Modificado E: Eliminado 02 22/11/2018 5.1. (19) N 02 22/11/2018 5.1. (20) N 02 22/11/2018 5.1. (23) N 02 22/11/2018 5.2. (2), (6) y (7) N 02 22/11/2018 5.2. (3) M 02 22/11/2018 5.2. (4) N 02 22/11/2018 5.2. (5) N 02 22/11/2018 6.1 M 02 22/11/2018 6.1, 6.2, M 02 22/11/2018 6.1 (1) M 02 22/11/2018 6.1 (1) N 02 22/11/2018 6.1 (3) y (4) M 22/11/2018 6.1 (2) 6.1 (3) 6.1 (4) 6.1 (5)6.1 (13) 6.1 (14) 6.1 (15) E 02 PR13-GITE/TI Versión: 04 Página: 27 de 32 Cambios realizados con respecto a la versión anterior Se adiciona el término “Requisitos de Seguridad” y su definición. Se adiciona el término “Riesgo” y su definición. Se adiciona el término “Vulnerabilidad” y su definición. Se adiciona las abreviaturas: SGD. SGSI y TI. Se actualiza denominación y abreviatura de la SGGDI, de acuerdo a lo dispuesto en la Resolución Jefatural N° 0009022021-JN/ONPE. Se adiciona la denominación y abreviatura de la Sub Gerencia de Infraestructura y Seguridad Tecnológica. Se adiciona la denominación y abreviatura de la Sub Gerencia de Operaciones Informáticas. Se actualiza nombre por “Elaboración de Plan de Pruebas de un Producto Software” Se recodifican los siguientes formatos: FM26-GITE/TI por FM36-GITE/TI FM27-GITE/TI por FM37-GITE/TI FM28-GITE/TI por FM38-GITE/TI FM36-GITE/TI por FM39-GITE/TI FM38-GITE/TI por FM40-GITE/TI FM37-GITE/TI por FM41-GITE/TI FM39-GITE/TI por FM43-GITE/TI FM31-GITE/TI por FM46-GITE/TI FM30-GITE/TI por FM47-GITE/TI FM52-GITE/TI por FM49-GITE/TI Se modifica la descripción de la actividad, en relación a la fecha de entrega e inducciones. Se añade registro” Acta de Reunión o Correo electrónico”. Se reemplaza Líder de Proyecto de TI o Encargado del Proyecto por Sub Gerente de la SGSI. Se eliminan actividades. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Versión anterior Fecha de aprobación Sección / Ítem Categoría N: nuevo M: Modificado E: Eliminado 02 22/11/2018 6.1 (3) (c, d, e, f) M 02 22/11/2018 6.1 (2) N 02 22/11/2018 6.1 (3) E 02 22/11/2018 6.1 (4) E 02 22/11/2018 6.1 (3) N 02 22/11/2018 6.1 (3) N 02 22/11/2018 6.1 (6) E 02 22/11/2018 6.1 (4) M 02 22/11/2018 6.1 (6) E 02 22/11/2018 6.1 (6) E 02 22/11/2018 6.1 (7) M 02 22/11/2018 6.1 (7) E 02 22/11/2018 6.1 (8) (a) M 02 22/11/2018 6.1 (8) (a) E 02 22/11/2018 6.1 (8) (a) M 02 22/11/2018 6.1 (8) (b) M 02 22/11/2018 6.1 (9) (a) E 02 22/11/2018 6.1 (9) (a) M 02 22/11/2018 6.1 (9) (b) M 02 22/11/2018 6.2 (1) M PR13-GITE/TI Versión: 04 Página: 28 de 32 Cambios realizados con respecto a la versión anterior Se añaden documentos mínimos requeridos en descripción de actividad y registro. Se añade Nota b. Se elimina “quienes se encargarán de analizarlo”. Se eliminaron los términos “recibir los documentos”. Se eliminan los documentos del método RUP y las notas a y b. Se añade término “mediante FM46GITE/TI: Acta de Entrega de Gestión de Proyectos de TI”. Se añade actividad y responsable relacionado al FM41-GITE/TI: Arquitectura del Sistema. Se elimina formato FM07GITE/IMO. Se modifican las notas a, b y c. Se modifica el número de Anexo. Se elimina la nota d. Se elimina los formatos FM07GITE/IMO y FM53-GITE/TI en registros. Se modifica “actividad 11” por “actividad 8”. Se modifica “actividad 12” por “actividad 9”. Se elimina la nota C (formato FM07GITE/IMO). Se modifica “actividad 16” por “actividad 10”. Se elimina “en el cronograma de trabajo del Jefe de Control de Calidad de Software”. Se modifica “actividad 16” por “actividad 10”. Se modifica la descripción del ítem “b”. Se elimina “en el cronograma de trabajo”. Se modifica “actividad 16” por “actividad 10”. Se modifica ítem “b”. Se modifica descripción de la actividad. Se modifica “actividad 6” por “actividad 3”. Se modifica ítem b). La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Versión anterior Fecha de aprobación Sección / Ítem Categoría N: nuevo M: Modificado E: Eliminado PR13-GITE/TI Versión: 04 Página: 29 de 32 Cambios realizados con respecto a la versión anterior Se modifica “actividad 2”. “actividad 02 22/11/2018 6.2 (2) M Se modifica la responsable y registro. 02 22/11/2018 6.2 (3) 6.2 (5) E Se eliminan actividades. 02 22/11/2018 6.2 (3) N 02 22/11/2018 6.2 (4) M 02 22/11/2018 6.2 (5) M 02 22/11/2018 6.2 (7) M 02 22/11/2018 6.2 (7) E 02 22/11/2018 6.2 (8) N 02 22/11/2018 6.3 M 02 22/11/2018 6.3 (1) M 02 22/11/2018 6.3 (1) E 02 22/11/2018 6.3 (2) M 02 22/11/2018 6.3 (3) N 02 22/11/2018 6.3 (4) E 02 22/11/2018 6.3 (4) N 02 22/11/2018 6.3 (7), (9), (10). (12). (13) y (14) E 02 22/11/2018 6.3 (5) M 02 22/11/2018 6.3 (6) M 02 22/11/2018 6.3 (6) M 02 22/11/2018 6.3 (7) N 4” por actividad, Se añade “informar al Jefe de Control de Calidad”. Se modifica descripción de la actividad. Se modifica ítem “b” y se añade el ítem “c”. Se modifica descripción de la actividad. Se modifica la descripción de la actividad y se reemplaza Líder de Proyecto de TI o Encargado del Proyecto por Sub Gerente de la SGSI. Se elimina registro FM08-GITE/TI. Se añade actividad adicional y responsable. Se actualiza título por “Tratamiento de Observaciones” Se modifica la descripción de la actividad. Se elimina ítems a y b, y nota b. Se modifica descripción de la actividad y se elimina la nota. Se añade actividad adicional, responsable y registro. Se elimina la actividad, responsable y registro. Se adiciona actividad, responsable y registro. Se eliminan las actividades. Se modifica descripción de la actividad. Se modifica descripción de la actividad, se añade nota y se modifica el responsable de actividad. Se modifica descripción de la actividad y sus numerales. Se adiciona la actividad, responsable y registro. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Versión anterior Fecha de aprobación Sección / Ítem Categoría N: nuevo M: Modificado E: Eliminado 02 22/11/2018 6.3 (8) M 02 22/11/2018 6.3 (9) M 02 22/11/2018 6.4 (1) y (4) E 02 22/11/2018 6.4 (1) M 02 22/11/2018 6.4 (2) M 02 22/11/2018 6.4 (3) M 02 22/11/2018 6.4 (4) M 02 22/11/2018 6.4 (5) M 02 22/11/2018 6.5 (1) M 02 22/11/2018 6.5 (2) M 02 22/11/2018 6.5 (3), (4) y (6) E 02 22/11/2018 6.5 (3) M 02 22/11/2018 6.5 (3) E PR13-GITE/TI Versión: 04 Página: 30 de 32 Cambios realizados con respecto a la versión anterior Se modifica descripción de la actividad y responsable. Se modifica descripción de la actividad. Se eliminan actividades. Se añade formatos FM44-GITE/TI y FM45-GITE/TI. Se modifica nota a) “actividad 3” por “actividad 2”. Se modifica nota b) “actividad 4” por “actividad 3”. Se modifica “actividad 1” por “actividad 4” y se añade registro FM55-GITE/TI. Se modifica descripción de la actividad relacionado al Informe de Conformidad de Control de Calidad. Se añade el registro formato FM08GITE/TI. Se modifica descripción de la actividad y se añade el registro formato FM08-GITE/TI. Se modifica “enviar” por “remitir”, Líder de Proyecto de TI o Encargado del Proyecto por Sub Gerente de la SGSI, se modifica el responsable de la actividad y se añade el registro formato FM08-GITE/TI. Se modifica la descripción de la actividad, en relación a la verificación del cumplimiento de las especificaciones técnicas de los equipos informáticos. Se añade registro FM07-GITE/IMO: Cargo de entrega. Se modifica la descripción de la actividad, en relación a Validar la operatividad del producto software en los equipos informáticos. Se eliminan actividades. Se modifica la descripción de la actividad, en relación al registro Lista de Verificación de Equipos Informáticos. Se elimina el registro: Lista de Verificación de Equipos Informáticos. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Versión anterior Fecha de aprobación Sección / Ítem Categoría N: nuevo M: Modificado E: Eliminado PR13-GITE/TI Versión: 04 Página: 31 de 32 Cambios realizados con respecto a la versión anterior Se modifica la descripción de la actividad, en relación al FM09GITE/TI: Cargo de Entrega de Resultados de las Pruebas de Control de Calidad. Se añade registro FM09-GITE/TI. Se modifica la descripción de la actividad, en relación al FM09GITE/TI: Cargo de Entrega de Resultados de las Pruebas de Control de Calidad. Se modifica la descripción de la actividad, en relación al FM08GITE/TI: Informe de Conformidad de Control de Calidad. Se añade registro FM08-GITE/TI. Se modifica la descripción de la actividad, en relación al FM08GITE/TI: Informe de Conformidad de Control de Calidad, se modifica el responsable y se añade el registro FM08-GITE/TI. 02 22/11/2018 6.5 (4) y (5) M 02 22/11/2018 6.5 (6) M 02 22/11/2018 6.5 (7) y (8) M 02 22/11/2018 6.5 (9) M 02 22/11/2018 6.5 (10), (11), (12) y (13) E Se eliminan actividades. 02 22/11/2018 6.6 (6), (7) y (8) E Se eliminan actividades. 02 22/11/2018 6.6 (1) M 02 22/11/2018 6.6 (4) M 02 22/11/2018 6.6 (5) M 02 22/11/2018 8 (8.1), (8.2), (8.3), (8.4), (8.5) y (8.6) E 02 22/11/2018 8.1.8 M 02 22/11/2018 8.7 E 02 22/11/2018 8.7.3 M Se modifica la descripción de la actividad. Se modifica la descripción de la actividad del ítem “a”. Se modifica la descripción de la actividad. Se retiran los diagramas de flujo. Se recodifican los siguientes formatos: FM36-GITE/TI por FM39-GITE/TI FM38-GITE/TI por FM40-GITE/TI FM30-GITE/TI por FM47-GITE/TI FM52-GITE/TI por FM49-GITE/TI Se retira la actividad (8.7.6): Es causal de rechazo que en tres (03) ciclos de pruebas continuos haya resultados fallidos. Se modifica texto en relación a la atención del Pase a Control de Calidad. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”. Código: PROCEDIMIENTO ASEGURAMIENTO Y CONTROL DE CALIDAD DE UN PRODUCTO SOFTWARE Versión anterior Fecha de aprobación Sección / Ítem Categoría N: nuevo M: Modificado E: Eliminado PR13-GITE/TI Versión: 04 Página: 32 de 32 Cambios realizados con respecto a la versión anterior Se elimina término “rechazo o” y “Un rechazo implica que no habría un (04) cuarto Pase a Control de Calidad, en caso contrario se solicitará una autorización. Por otro lado”. Se modifica texto en relación a las causales de suspensión, y se elimina numeral e. 02 22/11/2018 8.7.4 E 02 22/11/2018 8.7.5 M 02 22/11/2018 8.7.6 8.7.7 8.7.8 M Se actualiza correlativo del numeral. 02 22/11/2018 8.9 M Se adecua figura, de acuerdo lo dispuesto en la Resolución Jefatural N° 000902-2021-JN/ONPE. La reproducción total o parcial de este documento, constituye una “COPIA NO CONTROLADA”.