Propuestas de Modificación al proyecto de “Acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y comunicación, y la seguridad de la información en la Administración Pública Federal” 20 de Agosto 2021 /// Texto Proyecto Regulatorio: Artículo 3.- Para todos los proyectos institucionales que comprendan servicios e implementaciones tecnológicas y de seguridad de la información, la persona titular de la UTIC deberá atender las siguientes políticas y disposiciones generales: II. Privilegiar la realización de contratos específicos que deriven de contratos marco vigentes, o la realización de contrataciones consolidadas y licitaciones públicas que garanticen las mejores condiciones para el Estado; // Propuesta de Modificación: Artículo 3.- Para todos los proyectos institucionales que comprendan servicios e implementaciones tecnológicas y de seguridad de la información, la persona titular de la UTIC deberá atender las siguientes políticas y disposiciones generales: II. Privilegiar la realización de contratos que garanticen las mejores condiciones para el Estado a través de los mecanismos de contratación previstos en la LAASSP tales como contratos marco vigentes o la realización de compras consolidadas, así como las licitaciones públicas, y que aseguren la libre competencia y concurrencia en las adquisiciones; // Comentario: Consideramos que la adquisición mediante contratos marco, debe permitir la adhesión de proveedores calificados en el tiempo, en condiciones no discriminatorias. El limitar la participación de proveedores en los contratos marco, afecta negativamente la competencia en el mercado entre los distintos proveedores de servicios TIC y la posibilidad para que los proyectos institucionales garanticen logren realmente garantizar las mejores condiciones para el Estado en cuanto a precio, calidad, financiamiento y oportunidad, tal como se fundamenta en el Art. 1 de la LAASSP. /// Texto Proyecto Regulatorio: Artículo 3.- … V. Privilegiar el alojamiento de la información en territorio nacional y en instalaciones del Estado. // Propuesta de Modificación: V. Privilegiar el alojamiento de la información en instalaciones del Estado, Centros de Datos o usando Servicios en la Nube, que garanticen la integridad, seguridad, confidencialidad y disponibilidad de los datos, en cumplimiento con los principales estándares internacionales y el marco jurídico vigente. // Comentario: Respecto al inciso V, se considera que el criterio de territorialidad no aporta ningún valor agregado tratándose de equipos e infraestructura que están conectados a una red pública de telecomunicaciones, ya que la seguridad no depende del lugar físico de las instalaciones sino de los protocolos de seguridad de la información (lógicos) y los controles físicos y administrativos que se apliquen. Asimismo, se considera que en los términos de Ley Federal de Transparencia y Acceso a la Información Pública (Art. 3) establece que la información generada, obtenida, adquirida, transformada o en posesión de los sujetos obligados en el ámbito federal, es pública, accesible a cualquier persona y sólo podrá ser clasificada excepcionalmente como reservada de forma temporal por razones de interés público y seguridad nacional o bien, como confidencial; siendo responsabilidad de las entidades garantizar y ejercer ejercer el control de dicha información, salvaguardando la confidencialidad de la información a través de los servicios TIC que cuenten con dichos estándares. En este sentido, se solicita atentamente considerar que los mecanismos de seguridad no dependen de la territorialidad donde dichos datos sean alojados, si no del tratamiento confidencial y las salvaguardas de seguridad que se dé a los mismos de conformidad con la regulación aplicable en la materia. /// Texto Proyecto Regulatorio: Artículo 46.- ... (primer párrafo). En caso de no contar con esta disponibilidad, podrán contratarse servicios de Centros de Datos a terceros, procurando que la información se aloje en territorio nacional. // Propuesta de Modificación 1: Artículo 46.- … (primer párrafo). En caso de no contar con esta disponibilidad, podrán contratarse servicios de Centros de Datos a terceros o Servicios de Nube, procurando que la información se aloje en instalaciones que garanticen la integridad, seguridad, confidencialidad y disponibilidad de la información, en cumplimiento con los principales estándares internacionales y el marco jurídico vigente. // Comentario: Fundamentos para la propuesta 1) La seguridad no estriba en el lugar/territorio donde se aloje la información, sino en los controles físicos administrativos o lógicos que se apliquen. Lo anterior de conformidad con los estándares internacionales más exigentes en materia de seguridad de la información. // Propuesta de Modificación 2: En caso de no contar con esta disponibilidad, podrán contratarse servicios de Centros de Datos a terceros o Servicios de Nube, procurando que la información se aloje en territorio nacional solo en aquellos supuestos en los que dicha información sea sensible de conformidad al marco jurídico vigente. // Comentario: Fundamento para la propuesta 2) Los Estados miembro bajo el TMEC pueden establecer especificaciones técnicas de conformidad a lo dispuesto por el artículo siguiente: Artículo 13.11: Especificaciones Técnicas. 1. Una entidad contratante no preparará, adoptará, o aplicará cualquier especificación técnica o prescribirá algún procedimiento de evaluación de la conformidad con el propósito o el efecto de crear un obstáculo innecesario al comercio entre las Partes. (….) 7. Para mayor certeza, este Capítulo no pretende impedir que una Parte o sus entidades contratantes preparen, adopten, o apliquen especificaciones técnicas que se requieran para proteger información gubernamental sensible, incluidas especificaciones que podrán afectar o limitar el almacenamiento, hospedaje, o procesamiento de tal información fuera del territorio de la Parte. En ese sentido y con apego a lo dispuesto por el TMEC, no podría impedirse que la EDN de manera excepcional, emita una disposición tendiente a proteger información gubernamental sensible que limite el almacenamiento de información fuera del territorio nacional, tal y como lo establece en el artículo 69 del Proyecto de Acuerdo de Política TIC, para los servicios de aplicaciones y software que corran sobre información. Por lo anterior, se solicita atentamente que se considere reflejar el mismo espíritu en los artículos 42 y 69, así como hacer referencia al marco jurídico en materia de información cuya sensibilidad o criticidad pudiera verse afectada en un momento dado. No se considera que dejar un privilegio genérico para la contratación de servicios de centros de datos gubernamentales y Servicios de Nube en el territorio nacional sea adecuada, ya que por la eficiencia y dinamismo de múltiples dependencias y entidades de la APF, que no manejan información ni reservada o confidencial, se dejaría fuera a distintos proveedores cuyas soluciones ad-hoc, representarían ventajas en materia de análisis de información, ciberseguridad, entre otros, que limita a las dependencias y entidades para tomar las mejores decisiones costo-calidad que se encuentran disponibles en el mercado, ergo, afectando la libre competencia y la capacidad de responder caso por caso, de manera más eficiente por el gobierno. // Texto Proyecto Regulatorio: Artículo 46.- … (primer párrafo) … (segundo párrafo) En casos específicos, podrá requerirse la contratación de Servicios en la Nube Pública, en este supuesto, deberán aportarse datos que justifiquen la contratación, dentro del Estudio de Factibilidad. // Propuesta de Modificación: Eliminar Párrafo /// Proyecto Regulatorio: ​​Artículo 69.- Los aplicativos de cómputo que operen sobre datos críticos, confidenciales o sensibles, deberán garantizar que el procesamiento y transferencia de la información se realice a través de mecanismos que garanticen su seguridad e integridad, como priorizar su alojamiento en territorio nacional. Para ello, deberán atender los Estándares Técnicos emitidos por la CEDN, la legislación en materia de protección de datos personales y las disposiciones que sean emitidas en materia de Seguridad Nacional. // Propuesta de Modificación: Artículo 69.- Los aplicativos de cómputo que operen sobre datos sensibles de conformidad con la legislación vigente, deberán garantizar que el procesamiento y transferencia de la información se realice a través de mecanismos que garanticen su integridad, seguridad, confidencialidad y disponibilidad atendiendo los principales estándares internacionales y el marco jurídico vigente. // Comentario: Véase los comentarios expresados en relación con las propuestas a los Artículos 3, fracción V, y 49.