Acceso especial para personas ciegas.

Dictámenes y normativa

Registro especial de asistencia y determinación de horas de trabajo; Certificación;

ORD. N°1056

Atiende presentación de Sr. Mauricio Gómez Arancibia, en representación de empresa Comercial Vortec Ltda., sobre autorización de sistema de registro y control de asistencia.

07-mar-2017

DEPARTAMENTO JURIDICO

K12499 (2807) 2016

ORD.:1056/

MAT.: Registro especial de asistencia y determinación de horas de trabajo; Certificación;

RORD.: Atiende presentación de Sr. Mauricio Gómez Arancibia, en representación de empresa Comercial Vortec Ltda., sobre autorización de sistema de registro y control de asistencia.

ANT.: 1) Correo electrónico de 03.02.2017, de Subjefe Departamento de Tecnologías de la Información.

2) Memo N°57, de 31.12.2016, de Jefe Departamento Jurídico.

3) Presentación de 14.12.2016, de Sr. Mauricio Gómez Arancibia, en representación de empresa Comercial Vortec Ltda.

SANTIAGO, 07.03.2017

DE : JEFE DEPARTAMENTO JURÍDICO

A : SR. MAURICIO GÓMEZ ARANCIBIA

EMPRESA COMERCIAL VORTEC LTDA.

SIMÓN BOLIVAR N°2901

ÑUÑOA

Mediante su presentación del antecedente 3), usted ha solicitado un pronunciamiento de este Servicio, a fin de determinar si las plataformas de registro y control de asistencia que presenta, denominadas AsissCAD Pro, AsissCAD Web, AsissCAD Cloud y AsissCAD Cloud GPS, y su respectivo proceso de verificación, se ajustan a las exigencias que sobre la materia establece el dictamen Nº1140/027, de 24.02.2016.

Sobre el particular, cumplo con informar a Ud. que los antecedentes acompañados fueron remitidos al Departamento de Tecnologías de esta Dirección, con el objeto de determinar el cumplimiento de los aspectos técnicos que deben comprender los sistemas computacionales de control de asistencia y determinación de las horas de trabajo de acuerdo al citado dictamen.

Ahora bien, a fin de validar el cumplimiento de las indicadas exigencias, la recurrente ha presentado un informe de certificación emitido por la empresa IT-Consulting Ltda., Rut N°76097261-4.

En tal contexto, es del caso señalar que el citado Departamento de Tecnologías, a través de memorándum de correo electrónico de antecedente 1), y una vez analizada la documentación, ha indicado que el informe acompañado no permite colegir que la solución de control de asistencia de que se trata da cumplimiento a las exigencias contenidas en el dictamen Nº1140/027, de 24.02.2016.

En efecto, el mismo memorándum, realiza los siguientes reparos:

1-. Las cuatro plataformas aparentemente comparten tecnología, como códigos de registro de marcajes, estructura de base de datos, entre otros.

2-. La empresa genera un "checklist" (requerimientos funcionales - RF) de elementos a certificar en función de las indicaciones de la norma ya citada. De la lectura de este checklist y sus evidencias, manifestamos nuestras observaciones a la forma y contenido presentado:

a) La evidencia presentada, para el RF3.0 relacionada con las marcaciones, no da cuenta de lo solicitado en el citado dictamen, ya que aquél indica lo que debe contener la marcación del trabajador y la evidencia presentada da cuenta de la base de datos en la cual se almacenan los datos de los trabajadores. Tampoco se evidencia la aparición de los datos del empleador.

b) Respecto de la evidencia de la generación de un "checksum" o "hash", exigido para las marcaciones en el dictamen Nº1140/027, de 24.02.2016, la evidencia presentada no permite validar su cumplimiento, dado que el objetivo de este requerimiento se traduce en que cada registro de marcaje tenga un número único que dé cuenta del contenido del mismo, de tal forma que permita validar la integridad de dicho registro. En el ejemplo que se ha tenido a la vista, la marca de "checksum" es la misma para los tres registros de prueba que se indican lo que, como se señaló, no se ajusta a la exigencia indicada. Además, se debe indicar el mecanismo de cálculo del "checksum" que utilizó.

c) Respecto de los requerimientos funcionales, el informe realiza una observación acerca de las marcaciones fallidas. Sobre el punto, debe señalarse que se espera que el sistema registre cada marcación, incluso las fallidas, dado que aunque no se vinculen con un trabajador en particular, precisamente esa es la falla, estas sirven para determinar la existencia de problemas, por ejemplo con los lectores de huellas, cuando su presencia es numerosa.

d) Los ejemplos de comprobantes de marcaje enviados por correo electrónico, no dan cuenta de su envío automático, tal como se exige, sino que se exhibe un mail enviado con fecha 03.11.2016, correspondiente a un marcaje realizado el 19.12.2008, antecedente que claramente no permite determinar el cumplimiento de la exigencia de que se trata.

e) La presentación de la arquitectura de las plataformas dan cuenta de una situación futura -la que se adaptaría a los potenciales clientes- y no de una estructura que se encuentre en funcionamiento, por lo que no resulta posible validar este ítem.

f) Lo mismo ocurre respecto de los mecanismos de seguridad de las plataformas, dado que se indica que ellos dependerán de cada cliente lo que, en primer término, permite colegir que las plataformas no cuentan con un estándar mínimo uniforme de seguridad y, en segundo lugar, impide emitir una opinión sobre sus niveles de seguridad.

g) El informe de certificación señala en varios puntos que las plataformas cuentan con mecanismos de "encriptación" para garantizar los datos de los sistemas, sin embargo no los especifica, por lo que no se pueden tener por acreditados.

h) Con relación a la seguridad de las plataformas, sólo las denominadas "AsissCAD Cloud" y "AsissCAD Cloud GPS", contendrían ciertas medidas de seguridad de la información, las que no pueden validarse técnicamente. Entre otras deficiencias, podemos indicar lo siguiente:

h.1) Dado que el sistema está diseñado para ser adaptado en cada implementación a clientes determinados, no permite una certificación única, dado que dichos usuarios tendrán distintas capacidades técnicas que afectarán el funcionamiento, disponibilidad, integridad y confidencialidad de la información.

h.2) Se utiliza una versión "express" de software de gestión de bases de datos, el que no entrega las características esperadas para este tipo de plataformas, como replicación, respaldos, entre otros.

h.3) En relación al mecanismo de respaldo, la empresa propone un respaldo local en el mismo servidor donde se aloja la base de datos, lo que es una falta a las normas mínimas de seguridad.

i) El informe de certificación no da cuenta de aspectos de seguridad y funcionales importantes que la normativa exige, a saber:

i.1) Portal de acceso para fiscalización

i.2) Mecanismo de cifrado de información en el portal web (HTTPS).

En conclusión, analizada la información acompañada a la luz de la jurisprudencia administrativa invocada y consideraciones formuladas, cumplo con informar a usted que el informe de certificación acompañado, correspondiente a las plataformas de registro y control de asistencia denominadas AsissCAD Pro, AsissCAD Web, AsissCAD Cloud y AsissCAD Cloud GPS, desarrolladas por la empresa Comercial Vortec Ltda., presenta serias deficiencias, las que atendida su entidad se estiman no subsanables, por lo que el respectivo proceso de verificación debe ser realizado nuevamente.

Saluda a Ud.,

JOSÉ FRANCISCO CASTRO CASTRO

ABOGADO

JEFE DEPARTAMENTO JURÍDICO

DIRECCIÓN DEL TRABAJO

LBP/RCG

Distribución:

Jurídico - Partes - Control

ORD. N°1056
Imprimir
registro especial asistencia y determinación horas trabajo, certificación,