Protocolo del Servicio Web de la Universidad de Jaén

Aprobado en sesión de Consejo de Gobierno nº 37, de 28 de septiembre de 2021

1.- Disposiciones generales

1.1.- Objeto.

Este protocolo tiene por objeto establecer el marco que regirá el Servicio Web de la Universidad de Jaén (UJA). Se establecen los requisitos para fomentar una imagen institucional homogénea y coherente, junto con medidas para garantizar la accesibilidad web, protección de datos y unas condiciones mínimas de seguridad.

1.2.- Ámbito de aplicación.

El Servicio Web de la UJA se compone de todos los contenidos publicados por sus servidores y sitios web. Este protocolo se aplica a:

  • Servidores, sitios web y contenidos de la Universidad de Jaén, publicados bajo un nombre de dominio o dirección IP propiedad de la Universidad.
  • Contenidos web designados como “oficiales” por el Comité Web (Oferta Académica, Centros, etc.), publicados por un PDI o PAS de la UJA, independientemente del servidor/sitio web, dirección IP o nombre de dominio utilizados

1.3.- Definiciones

  • Sitio web: conjunto de archivos electrónicos y páginas web referentes a un tema en particular bajo un nombre de dominio y a los que se accede utilizando un navegador web.
  • Servidor web: máquina física o virtual que aloja uno o varios sitios web.
  • Servidor/sitio web autorizado: servidor que tiene el VºBº del Comité Web para publicar en Internet y que además cumple con los requisitos de calidad. Con carácter general, todos los servidores no autorizados expresamente serán locales. La visibilidad de sus contenidos estará limitada a la Red de la Universidad de Jaén.
  • Promotor del sitio web: responsable del Equipo de Gobierno que da las directrices y decide los objetivos y contenidos del sitio web.
  • Responsable funcional del servidor/sitio web: PAS o PDI encargado de todas las gestiones del servidor (instalación, configuración, mantenimiento, etc.), así como de la resolución de incidencias. La externalización de las tareas técnicas no exime de funciones a la persona responsable del servidor. La condición de responsable del servidor web (máquina física) y del sitio web puede recaer en la misma persona.
  • Editor web: se encarga de crear páginas web y subir los archivos electrónicos al sitio web.

2.- Comité Web

2.1.- Funciones

Corresponden al Comité Web las siguientes funciones:

  • Coordinar la publicación de información de la Universidad de Jaén a través de la web institucional.
  • Velar por la correcta adecuación de los contenidos e imagen del portal institucional de la Universidad de Jaén.
  • Asesorar a miembros de la comunidad universitaria en el ámbito de la publicación de información en Internet.
  • Supervisar y garantizar que se mantiene un diseño visual homogéneo, acorde con el Manual de Identidad Visual.
  • Velar por el cumplimiento de las normativas aplicables.
  • Supervisar asignación de URLs a sitios.
  • Explorar nuevos entornos tecnológicos en el ámbito de las Tecnologías de la Información y Comunicación en la web.
  • Las correspondientes a la Unidad Responsable de Accesibilidad descritas en el artículo 16 del Real Decreto 1112/2018, de 7 de septiembre.

2.2.- Composición

El Comité Web está constituido por los siguientes miembros:

  • Responsable del Equipo de Gobierno con competencias en Universidad Digital, que asume su presidencia.
  • Responsable del Equipo de Gobierno con competencias en Comunicación y Proyección Institucional.
  • Titular de la jefatura del Servicio de Informática.
  • Titular de la jefatura del Servicio de Información, Registro y Administración Electrónica.
  • Un/a representante del Vicerrectorado de Universidad Digital.
  • Un/a representante del Vicerrectorado de Comunicación y Proyección Institucional
  • Un/a representante del Gabinete de Comunicación y Proyección Institucional
  • Dos representantes del Servicio de Informática con competencias en el Servicio Web.

La composición del Comité Web se revisará, al menos, al inicio del mandato del/de la Rector/a y cuando se produzcan cambios en los nombramientos de los Vicerrectorados con competencias en Universidad Digital y Comunicación.

3.- Unidad Responsable de Accesibilidad (URA)

La Unidad Responsable de Accesibilidad se encarga de garantizar el cumplimiento de los requisitos de accesibilidad de los sitios web y aplicaciones para dispositivos móviles dentro de su ámbito competencial.

La persona responsable del Equipo de Gobierno con competencias en Universidad Digital, actuará como titular de la Unidad Responsable de Accesibilidad con las funciones establecidas en el Real Decreto 1112/2018, de 7 de septiembre, sobre
accesibilidad de los sitios web y aplicaciones para dispositivos móviles del sector público.

Las funciones de la URA están descritas en el artículo 16 del Real Decreto 1112/2018 y serán asumidas por el Comité Web.

4.- Solicitud, VºBº Comité Web y registro de servidor web autorizado

El PDI y PAS de la Universidad de Jaén podrá solicitar un Servidor Web Autorizado a través del Portal de Autoservicio TIC (Murphy).

El Comité Web estudiará las peticiones, aplicando principios de racionalización para evitar duplicidad de contenidos, reutilizando sitios u hospedajes ya existentes. En este sentido, el Servicio de Informática ofertará en su Catálogo servicios para el
alojamiento de sitios web corporativos.

Un servidor/sitio web autorizado es aquel que cumple los requisitos de calidad establecidos para servidores y sitios web y ha obtenido el VºBº del Comité Web para publicar en Internet

El acceso a Internet solo se abrirá cuando se cumplan todos los requisitos establecidos.

El Servicio de Informática mantendrá un registro con los servidores y sitios web autorizados, datos de su responsable y demás detalles técnicos.

La autorización para un servidor no se extenderá a otros sitios web que este aloje. Cada sitio web nuevo que se añada a un servidor previamente autorizado, deberá cumplir también los requisitos de calidad.

Los sitios web de los que no tenga conocimiento el Comité Web o que no hayan obtenido el VºBº para publicar en Internet, serán de ámbito local y la visibilidad de sus contenidos estará limitada a la Red de la Universidad de Jaén.

Respecto a los paneles de administración de dispositivos hardware (NAS, cámara web, impresoras en red, etc.) con servidores web embebidos, no se abrirán a Internet. En caso necesario, se habilitará una conexión cifrada VPN-SSL para que las personas administradoras accedan a ellos.

5.- Requisitos de calidad para servidores y sitios web

Los servidores y sitios web descritos en el apartado 1.2, deberán cumplir los siguientes requisitos de calidad:

5.1.- Requisitos de contenidos y propósito

El contenido estará de acuerdo con las funciones establecidas para la Universidad de Jaén en sus Estatutos. Cualquier cambio en la finalidad de los contenidos deberá ser comunicada al Comité Web para verificar que continúa cumpliendo la
normativa.

5.2.- Requisitos para el responsable funcional del servicio/sitio web

Todo servidor/sitio web tendrá una persona responsable funcional, perteneciente al colectivo del PAS o PDI de la UJA, que actuará como enlace para todas las gestiones:

  • velar por el cumplimiento de los requisitos de calidad
  • realizar verificaciones de cumplimiento
  • atender comunicaciones sobre requisitos de accesibilidad, solicitudes de información accesible y quejas
  • solucionar las incidencias de seguridad reportadas sobre el servidor, aunque delegue a una empresa técnica externa su mantenimiento.

Cuando el servidor aloje varios sitios web, deberá mantenerse también un registro de las personas responsables de estos sitios.

Los cambios de responsable deberán comunicarse al Servicio de Informática.

5.3.- Requisitos de nombre de dominio

Se asignarán nombres de dominio con el formato NOMBRE.UJAEN.ES, reservando los dominios genéricos o temáticos para actividades de interés general.

No están permitidos nombres de dominios nominativos (nombreapellidos.ujaen.es), dominios de 3er. nivel o superior. (www.voluntariado.ujaen.es) o dominios que hagan referencia a empresas externas.

Se podrán asignar nombres de dominio .UJAEN.ES a servidores ubicados físicamente en el exterior de la UJA.

5.4.- Medidas de seguridad para proteger el servidor/sitio web

Los servidores/sitios web deberán implementar medidas de seguridad que minimicen el riesgo de ataques. El Servicio de Informática realizará las siguientes comprobaciones mínimas, que se podrán ampliar siguiendo criterios de seguridad:

  • Ocultar huellas digitales del servidor y de las aplicaciones.
  • Ocultar el árbol de directorios del servidor web.
  • Cierre de puertos y servicios que no estén en uso.
  • Cierre de accesos SSH desde el exterior.
  • Uso de HTTPs y redirección automática desde HTTP a HTTPs. Especialmente si se recopilan datos de carácter personal. El Servicio de Informática proporcionará los certificados SSL para el servidor.
  • Obtener, al menos, una calificación A en los tests SSL de Qualsys SSL Labs.

Estas comprobaciones no eximen a la persona responsable web de implementar otras medidas adicionales como:

  • Asignar contraseñas (passwords) robustas a las cuentas de usuario del servidor y aplicaciones.
  • Actualizar el sistema operativo con los últimos parches y actualizaciones de seguridad.
  • Actualizar las aplicaciones con los últimos parches de seguridad.
  • Realizar copias de seguridad.
  • Documentar los componentes de la instalación, sobre todo si el mantenimiento se ha contratado con una empresa externa. Exigir una memoria técnica con la información sobre instalación, configuraciones y usuarios de acceso.
  • Verificar los 10 riesgos de seguridad más importantes en aplicaciones web según OWASP (Open Web Application Security Project).

5.5.- Requisitos de accesibilidad web

Los sitios web tendrán presente lo establecido en el Real Decreto 1112/2018, de 7 de septiembre, sobre accesibilidad de los sitios web y aplicaciones para dispositivos móviles del sector público y por lo tanto aplicará la norma "UNE-EN 301 549. Requisitos de accesibilidad para productos y servicios TIC". Esta norma es la versión oficial española a la EN 301 549 V2.1.2 (2018-08) Accessibility requirements for ICT products and services, declarada como estándar armonizado en la Decisión de Ejecución (UE) 2018/2048 de la Comisión, de 20 de diciembre de 2018, y que es equivalente a cumplir todos los requisitos de nivel A y AA de las pautas WCAG 2.1.

La persona responsable web realizará revisiones de cumplimiento de los requisitos de accesibilidad tanto en la fase de diseño como antes de su puesta en funcionamiento. El resultado de las revisiones quedará recogido en un informe que se
enviará al Comité Web.

Cada sitio web publicará una sección denominada “Accesibilidad” (o su equivalente en el idioma de la página), enlazada desde todas sus páginas. La sección, específica para cada sitio, describirá su situación de cumplimiento en cuanto a los
requisitos de accesibilidad, según el formato europeo de declaración de accesibilidad. Cada año se revisará la exactitud de la declaración de accesibilidad y también cuando se realice una revisión de accesibilidad del sitio.

El Comité Web podrá realizar verificaciones con respecto a la exactitud de los informes de revisión de la accesibilidad y la declaración de accesibilidad.

Corresponde a la persona responsable web atender y dar respuesta a las consultas, sugerencias, comunicaciones, quejas y solicitudes de información accesible, en los plazos establecidos en el RD 1112/2018, de 7 de septiembre, sobre accesibilidad de los sitios web y aplicaciones para dispositivos móviles del sector público.

5.6.- Requisitos de imagen corporativa

Los sitios web adaptarán sus páginas a la imagen institucional, como se recoge en el Manual de Estilo Web de la UJA y el Manual de Identidad Visual Corporativa, aprobado por el Consejo de Gobierno de la Universidad de Jaén, en su sesión del 12 de abril de 2016 y en las posteriores revisiones que hubiera.

La imagen y presencia digital homogénea incluye todas las aplicaciones y contenidos alojados en el servidor web.

5.7.- Requisitos sobre aspectos legales.

Los sitios web tendrán presente lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 general de protección de datos (RGPD) y la Ley 34/2002, de Servicios de la Sociedad de la Información y el Comercio Electrónico.

Además, deberán publicar en su página principal la siguiente información:

  • un aviso legal con los datos del prestador de servicios.
  • la política de privacidad informando sobre los usos a los que se someten los datos de carácter personal que se recaban, con el fin de que decidan, libre y voluntariamente, si desean facilitar la información solicitada.
  • la política de cookies específica para el sitio.

En los formularios web, que se recojan datos de carácter personal, se mostrará una casilla de verificación obligatoria para que la persona usuaria conozca y acepte, en su caso, la política de privacidad.

6.- Revisiones de cumplimiento y seguimiento

6.1.- Verificación del cumplimiento de los requisitos

El Comité Web velará por el cumplimiento de los requisitos de esta normativa.
La verificación del cumplimiento los requisitos se delega a las siguientes unidades organizativas:

Unidad Organizativa que verifica los requisitos
Requisito Unidad Organizativa
Validación de datos del servidor/sitio y responsable web. Servicio de Informática
Seguridad Servicio de Informática
Imagen corporativa Vicerrectorado de Comunicación y Proyección Institucional/Gabinete de Comunicación.
Accesibilidad web Unidad Responsable de Accesibilidad/Servicio de Informática
Protección de datos de carácter personal y advertencias legales Servicio de Información, Registro y Administración Electrónica

6.2.- Revisiones periódicas y correcciones de incumplimiento

Los requisitos de calidad deberán mantenerse en el tiempo.

El Comité Web realizará revisiones periódicas de cumplimiento, al menos cada 3 años, especialmente, en los servidores/sitios web autorizados que publican contenidos en Internet. El resultado de las revisiones se trasladará a la persona responsable del servidor para que corrija los problemas detectados.

7.- Condiciones adicionales y cancelación

7.1.- Condiciones adicionales

  • Se considera incumplimiento, los supuestos siguientes:
    • Difusión de contenidos de carácter racista, xenófobo, pornográfico, sexista, de apología del terrorismo o atentado contra los derechos humanos, o actuar en perjuicio de los derechos a la intimidad, al honor, a la propia imagen o contra la dignidad de las personas.
    • Difusión de mensajes comerciales, publicitarios o similares, sin autorización expresa.
    • Actuaciones que supongan un abuso de los servicios ofrecidos.
    • Incumplimiento de la legislación sobre protección de datos personales, tratamiento y transferencia a terceros que supongan intercambio o publicación de contenidos con derecho de autor o propiedad intelectual, sin la autorización expresa de su titular.
    • Acciones que comprometan la reputación de la UJA.
    • Cesión de la cuenta TIC a terceros.
  • La persona responsable web deberá notificar cualquier incidencia que pueda surgir y que estime que puede afectar al normal comportamiento del Servicio, a través de los medios de contacto que le facilita el Servicio de Informática.
  • El incumplimiento de estas condiciones de uso se pondrá en conocimiento de los Órganos de Dirección para que tomen las medidas sancionadoras oportunas.

7.2.- Cancelación temporal

El Comité Web y/o el Comité de Seguridad de la Información de la UJA podrá cancelar temporalmente el servicio si este provoca alguna anomalía, infracción o incidencia de seguridad que afecte al buen funcionamiento de los sistemas.

La cancelación temporal se mantendrá hasta que se solucione la anomalía, infracción o incidencia de seguridad.

7.3.- Cancelación definitiva

El Comité Web podrá cancelar definitivamente el servidor, sitio web u hospedaje web, si se dan las siguientes condiciones:

  • Se incumplen los requisitos establecidos en el protocolo y no se subsanan en un plazo de 2 meses tras la recepción de la notificación de incumplimiento.
  • Está sin uso o inactivo durante dos años.
  • Su responsable web cesa y no se asigna un sustituto/a.

8.- Publicidad de este protocolo

La Universidad de Jaén podrá modificar este protocolo para reflejar cambios en el Servicio, informando a todas las personas usuarias del mismo.


Aprobado en sesión de Consejo de Gobierno nº 37, de 28 de septiembre de 2021