Constructing happy incidence bigraphs

a. Apoyo al usuario. b. Administración de la Seguridad. c. Reportes y consultas. d. Auditoría y control. e. Contingencia. REQUERIMIENTOS GENERALES

No. Descripción del requerimiento Cumple

(SI/NO)

Particularización Observaciones

APOYO AL USUARIO

RG.1 El sistema deberá disponer a nivel general y en todos sus módulos diversos niveles de ayuda en línea en idioma español que contribuya a facilitar al usuario la comprensión de las diversas pantallas, campos, objetos y reportes del sistema. RG.2 El sistema deberá ser flexible para la parametrizacion de

políticas contables según las Normas Internacionales de Información Financiera (NIIF)

RG.3 El sistema, deberá permitir notificación automática (avisos, alarmas, etc.) de situaciones definidas por los usuarios (ej. vencimiento de facturas, anomalías presentadas en la operación de la aplicación).

RG.4 El sistema, deberá soportar que se pueda editar y modificar el texto de los mensajes de error y de ayuda, a fin de facilitar la identificación de errores por el usuario final.

RG.5 El sistema, deberá permitir la definición de listas de valores para ciertos campos, independientemente de que la facilidad esté incorporada en el manejador de la base de datos. RG.6 El sistema, se deberá adaptar fácilmente a cambios en los

procesos, normas y reglamentos sin modificaciones mayores en su configuración e implementación y sin compilar programas y rutinas.

RG.7 El sistema, deberá permitir la automatización de procesos con base en las mejores prácticas y es adaptable a requerimientos particulares sin la incorporación de una solución fuera del ERP (correr procesos externos).

RG.8 El sistema, deberá manejar tablas de tipos de cambio de referencia de la moneda nacional con respecto a otras monedas en diferente periodicidad (ej. diaria, mensual, promedio, de cierre, históricas u otras definidas por el usuario).

RG.9 El sistema, deberá proveer conversión automática de valores en monedas diferentes según tipo de cambio de referencia especificado por el usuario.

RG.10 El sistema, deberá ofrecer herramientas para el Procesamiento Analítico en Línea (OLAP), integrando datos financieros y operacionales, sin correr algún proceso externo. Es decir que esté integrado dentro de la funcionalidad del ERP

RG.11 El sistema, deberá permitir al usuario realizar modificaciones por bloques de información.

RG.12 La aplicación, deberá operar a través de un navegador de Internet compatible con Internet Explorer 8. o superior, bajo sistema operativo Windows XP o superior

RG.13 El sistema, debe permitir hacer cortes o cierres preliminares de información de forma periódica a criterio del usuario administrador del Módulo

RG.14 El sistema, deberá contar con la capacidad de comunicación a través de multi-protocolos TCP/IP, HTTP, HTTPS, en redes como: LAN, WAN, Internet, intranet, extranet.

ADMINISTRACIÓN DE LA SEGURIDAD

RG.15 El sistema ―DEBE‖ proteger la información de accesos no autorizados bajo cualquier esquema de acceso (http; https, webservices, base de datos, entre otros).

El sistema ―DEBE‖ asegurar que ningún usuario que no esté autorizado podrá tener acceso a la base de datos, ni a través de las aplicaciones o funciones de software, ni a través de las utilidades de la base de datos ni reporteadores.

RG.16 La información manejada por el sistema de información no ―DEBE‖ perder la integridad en ningún momento, a pesar de las posibles fallas o intentos de acceso no permitido. RG.17 El BCH administra actualmente la seguridad basada en

Microsoft Active Directory, por lo que los mecanismos de

seguridad ―DEBERAN‖ funcionar bajo dicho esquema, es decir implementar la seguridad integrada de Windows. Todos los usuarios ―DEBERÁN‖ incorporarse a un grupo especifico para la ejecución de su respectivo perfil de usuario dentro de los Servicios de Directorio Activo.

RG.18 Todos los usuarios ―DEBERÁN‖ autenticarse a este sistema haciendo uso de la autenticación mediante doble factor vía tokens.

RG.19 El Sistema ―DEBE‖ gestionar cambios periódicos de claves de acceso y bloqueos de sesiones por time out. El tiempo definido para el time-out deberá ser un parámetro del sistema. RG.20 Las contraseñas del sistema no deberán ser editables aún para

el nivel máximo de administrador del sistema, el único autorizado para realizar dicha acción será el administrador del

Microsoft Active Directory.

RG.21 El sistema, deberá permitir definir el número máximo permitido de intentos de acceso no exitosos en la autentificación inicial al ERP.

RG.22 El sistema ―DEBE‖ permitir manejar diferentes roles, perfiles o categorías de usuarios, de tal forma que sea factible definir para cada usuario a cuales funcionalidades del sistema tiene acceso y a cuales no tiene; considerando, también la función de calendarios, horarios de trabajo y habilitación del sistema . La información de usuarios y roles ―DEBE‖ incorporarse al Active Directory Server.

RG.23 El sistema ―DEBE‖ manejar el concepto de administración de usuario-rol ó perfil-actividad donde se restrinjan los accesos a través del otorgamiento de privilegios tanto a nivel de opciones de interfaz (menú, botones, browser, etc.) acceso a tablas físicas del sistema, ejecución de procedimientos, objetos del sistema, webservices, estado de usuarios (ej. activo, suspendido, vencido) entre otros.

RG.24 El sistema, deberá permitir la personalización de los menús por usuario, por grupos de usuarios o por tipo de usuario La separación de tareas debe ser de estricta aplicación para programas y funciones sensibles como en los casos de doble intervención ―capturador/autorizador‖.

las cuales el usuario tiene acceso.

RG.26 El sistema ―DEBE‖ manejar el concepto de ―usuario administrador‖ por cada módulo, quien tiene los permisos para utilizar las funcionalidades que permiten parametrizar cada módulo. Este usuario también es responsable de la administración de usuario y asignación de roles.

RG.27 El sistema ―DEBE‖ permitir segmentar la información, entendiéndose la segmentación de información como el hecho de que un usuario sólo tiene acceso a la información relacionada con los casos o tareas que tiene asignados. RG.28 El sistema ―DEBE‖ manejar en los diferentes módulos el

concepto de usuario supervisor. Este tipo de usuario tiene responsabilidades por los casos propios y por los que manejan las personas que supervisa, por lo tanto tiene acceso a la información de sus casos o tareas y los de sus supervisados. RG.29 El sistema, deberá permitir restringir el acceso a la aplicación,

mediante combinación de los siguientes niveles de autorización:

A nivel de módulo, menús, transacción, campo, archivo, reportes e información de pantalla.

RG.30 El sistema, deberá permitir control de la seguridad de datos tanto a nivel de instancias de bases de datos como de servidores.

RG.31 El sistema ―DEBE‖ proveer de bitácoras de navegación y acceso a los datos que permitan el seguimiento de las actividades realizadas por los usuarios autorizados con el fin de hacer reconstrucción de información; asimismo, registrar los intentos de los no autorizados.

RG.32 El sistema ―DEBE‖ permitir incorporar certificados y firmas digitales en las opciones/módulos que se requieran.

RG.33 El sistema, deberá permitir la encriptación de contraseñas y archivos para mantener la confidenciadilidad de la información.

RG.34 El sistema, deberá contener alertas sobre cambios y vencimientos de certificados digitales, contraseñas, expiración de time out.

RG.35 El sistema, deberá permitir inactivar el permiso de acceso a usuarios por determinados periodos debido a situaciones de vacaciones, inasistencia por enfermedad, etc.

REPORTES Y CONSULTAS

RG.36 El sistema, deberá contar con herramientas para generar reportes; mismos, que deberán ser incorporados en las opciones de reportes del módulo que corresponda

RG.37 El sistema, deberá permitir usar comodines (wildcards), y operadores relacionales (>, < , >= , etc.) así como usar operadores lógicos (and, or, not) en la especificación de criterios de búsqueda.

RG.38 El sistema, deberá facilitar la construcción de consultas (queries y subqueries) anidados y multiniveles con base en la selección gráfica de tablas / campos de la base de datos. RG.39 El sistema, deberá permitir consultar la información a

diferentes niveles de detalle partiendo de lo general a lo particular y viceversa.

RG.40 El sistema, deberá permitir a los usuarios diseñar reportes o consultas según la necesidad sin requerir cambios en el sistema

RG.41 El sistema, deberá permitir direccionar los reportes para generar archivos, mostrarlos en pantalla o impresora definida por el usuario o exportarlo a otras aplicaciones como Excel, Word, PDF, archivo plano, XML, HTML etc.

RG.42 El sistema, deberá permitir generar reportes gráficos (histograma, circular, tridimensionales, entre otros.).

RG.43 El sistema, deberá permitir generar reportes en línea y por lotes (batch).

consultas e informes de ó hacia archivos de texto, con delimitador de campo definido por el usuario, HTML, XML, PDF y formatos de programas Microsoft Office sin problemas de compatibilidad.

RG.45 Cada reporte, ―DEBE‖ contener información descriptiva de cuál fue la fuente de datos utilizada para obtener la información (módulo/tabla/campo) que presenta el reporte. RG.46 El sistema, ―DEBE‖ ser compatible con los estándares

internacionales de intercambios de archivos (EDI) para la exportación electrónica de información.

RG.47 El sistema, ―DEBE‖ permitir la carga de documentos digitalizados que sirven de soporte a las operaciones asociadas en los diferentes procesos de cada módulo, debiendo validar que el formato sea: PDF, Archivos MicroSoft Office y JPG; con un tamaño, no mayor a 50MB (Tamaño parametrizable en el sistema).

RG.48 El sistema ―DEBE‖ interactuar con aplicativos Anti-virus a fin de evitar incorporar archivos que pongan en riesgo la integridad de la información y del sistema.

AUDITORÍA Y CONTROL

RG.49 El sistema ―DEBE‖ mantener actualizado un detalle de usuarios autorizados para acceder al sistema, incluyendo el nombre del usuario, fecha de autorización, inicio al acceso, dirección IP de la máquina del usuario, cambios en permisos de acceso al sistema y nivel de acceso de cada usuario, para uso exclusivo del Departamento de Auditoría Interna del BCH.

RG.50 El sistema ―DEBE‖ mantener un log de auditoría donde se registren todas las actividades realizadas por los usuarios, al que solamente personal autorizado podrá efectuar consultas. RG.51 El sistema ―DEBE‖ registrar todos los accesos de los usuarios.

La bitácora de accesos ―DEBE‖ como mínimo registrar el nombre del usuario, la mac address e IP de la máquina del usuario, fecha y hora de ingreso y egreso.

RG.52 El sistema ―DEBE‖ impedir cualquier intento de modificar los archivos de auditoría y guardar registro de esos intentos. RG.53 El sistema ―DEBE‖ registrar en un log especial el momento en

que se actualiza algún log particular y manteniendo un consecutivo sobre los archivos de log.

RG.54 El sistema ―DEBE‖ permitir la generación de reportes basados en los logs de auditoría, permitiendo generar filtros sobre los distintos elementos de información, ordenar los resultados por un campo seleccionado por el usuario y exportar el resultado de los reportes o consultas a formatos que puedan ser leídos por otros aplicativos (XML, XLS o similares).

RG.55 El sistema ―DEBE‖ permitir la generación de reportes a partir de pistas de auditoría de Grano Fino (FGA) definidas en la Base de Datos.

RG.56 El sistema, deberá permitir auditorias: por tipo de operación (ej. generación de cheques), archivo (ej. tabla), módulo (ej. presupuesto), usuario que realizó la transacción, terminal desde la cual se ejecutó la transacción, fecha y hora de la transacción, dato anterior y dato actual.

RG.57 El sistema, deberá llevar un registro histórico de modificaciones a los catálogos. Donde guarda el usuario, la fecha y la hora de las modificaciones.

RG.58 El sistema, deberá producir informes de los parámetros del estado en el que se encuentra.

RG.59 El sistema ―DEBE‖ contar con mecanismos de monitoreo, control, generación de alertas electrónicas y reportes relacionadas al uso y rendimientos del sistema.

El sistema, deberá proveer indicadores de desempeño estándares y permitirá la creación de nuevos para que indique o avise medición del rendimiento.

RG.60 El sistema ―DEBE‖ permitir la generación de alertas de seguridad tipo: mensaje intermitente, alerta de sonido, mensaje de beeper, mensaje de texto, de teléfono móvil SMS, correo

electrónico y otras alertas en terminal de los usuarios con roles determinados por el administrador de cada módulo y dependiendo de los distintos niveles de alerta (critico, grave, informativo)

RG.61 El sistema, ―DEBE‖ contar con opciones para parametrizar los receptores de las alertas (ejemplo: al operador, al supervisor, personal del Departamento de Tecnología y Comunicaciones, Unidad de Cumplimiento, Departamento de Auditoría Interna, Departamentos usuarios, administradores del Sistema.)

RG.62 El sistema, ―DEBE‖ poseer la capacidad de realizar comparación de registros entre un estado actual y un estado anterior.

RG.63 El sistema ―DEBE‖ brindar un mecanismo de consulta que proporcione información de desempeño, tiempo de acceso, efectividad de las búsquedas, frecuencia de utilización de las funciones del sistema y en general consulta del log, permitiendo al usuario generar filtros basados en los distintos elementos de información guardados en los logs.

RG.64 El sistema, ―DEBE‖ incluir herramientas de respaldo automático, independientes de las que tenga la base de datos y el sistema operativo.

RG.65 El sistema, ―DEBE‖ disponer de logs o bitácoras de las excepciones o errores que se presentan durante la ejecución del sistema. El logs deberá brindar información adecuada para facilitar las labores de mantenimiento.

CONTINGENCIA

RG.66 En el caso de fallas parciales o totales en el sitio primario de procesamiento, el reinicio del servicio en el sitio alterno ―DEBE‖ ser completado dentro de un máximo de tiempo de 30 minutos con intervención mínima del usuario para lo cual el BCH ha definido una infraestructura tecnológica de contingencia que apoyará al SIGEF.

RG.67 El Sistema ―DEBE‖ contar con la opción de suspender el procesamiento durante el transcurso del día normal y reiniciar operaciones sin la pérdida o duplicación de información. RG.68 El sistema, ―DEBE‖ contener mecanismos de contingencia

que permiten regresar al sistema a un punto de control anterior en caso de fallas.

RG.69 El sistema, ―DEBE‖ contener mecanismos o planes de contingencia que permiten regresar a versiones de sistema anteriores en caso de fallas en el registro de nuevas versiones, derivadas de update del software.

RG.70 El sistema, ―DEBE‖ generar informes que permitan dar continuidad al proceso iniciado en caso que por alguna contingencia se presente una interrupción en el mismo.

VALIDACIONES

RG.71 El sistema, ―DEBE‖ establecer candados en registros que eviten contabilizaciones erróneas.

RG.72 El sistema ―DEBE‖ contener mecanismos de validación y control que eviten la generación de errores, captura de información equivocada, descuadres contables y presupuestarios, errores de lógica matemática, contable/financiera, de fechas.

2.3.1.1 Opciones Adicionales:

En caso que el sistema propuesto por los licitantes incluya herramientas o funcionalidades adicionales a las requeridas, se solicita a los licitantes incluir en el anexo 4 de su Oferta un apartado denominado “Opciones adicionales que el sistema propuesto incluye”, en la cual brinden detalles de dichas herramientas o funcionalidades y alcances.

2.3.2 Requerimientos funcionales o de negocio (Funcionalidades o Herramientas