Ordinarios
Sistema de registro y control de asistencia electrónico
ORD. N°844
05-mar-2021
El sistema de registro y control de asistencia consultado por la empresa Sociedad Comercial Elipse Ltda., denominado “ASISTAWEB”, presenta serias deficiencias, por lo que no se autoriza su utilización en el contexto de la relación laboral.
Departamento Jurídico y Fiscalía
Unidad de Pronunciamientos,
Innovación y Estudios Laborales
E43910 (1528) 2020
ORD. N°844
MAT.: Sistema de registro y control de asistencia electrónico.
RORD.: El sistema de registro y control de asistencia consultado por la empresa Sociedad Comercial Elipse Ltda., denominado "ASISTAWEB", presenta serias deficiencias, por lo que no se autoriza su utilización en el contexto de la relación laboral.
ANT.: 1) Instrucciones de 05.10.2020 y 18.02.2020, de Jefa Unidad de Pronunciamientos, Innovación y Estudios Laborales.
2) Correo electrónico de 02.02.2021, de Sr. Fernando González Contreras, en representación de empresa Sociedad Comercial Elipse Ltda.
3) Presentación de 31.08.2020, de Sr. Fernando González Contreras, en representación de empresa Sociedad Comercial Elipse Ltda.
SANTIAGO, 05.03.2021
DE : JEFE DEPARTAMENTO JURÍDICO Y FISCAL
A : SR. FERNANDO GONZÁLEZ CONTRERAS
EMPRESA SOCIEDAD COMERCIAL ELIPSE LTDA.
AVENIDA LOS CERRILLOS N°853
CERRILLOS
Mediante presentación del antecedente 3), usted ha solicitado un pronunciamiento de este Servicio, a fin de determinar si el sistema de registro y control de asistencia que presenta, denominado "ASISTAWEB", y su respectivo proceso de verificación, se ajustan a las exigencias que sobre la materia establecen los Dictámenes Nº1140/027, de 24.02.2016 y N°5849/133, de 04.12.2017.
Ahora bien, a fin de validar el cumplimiento de las indicadas exigencias, la solicitante acompañó informe de certificación emitido por la empresa Smart Resources Gallardo S.p.A., Rut N°76.226.819-1.
En tal contexto, es del caso señalar que los antecedentes acompañados fueron sometidos al pertinente análisis técnico, a fin de verificar el cumplimiento de la normativa administrativa precitada.
Como resultado de dicho proceso, es dable informar a usted que se han realizado las siguientes observaciones:
1-. En cuanto a lo dispuesto en el Dictamen N°1140/027, cabe señalar:
1.1-. Respecto del N°1, Marcaciones: Si existiere algún inconveniente al realizar la marcación, el sistema deberá generar una alerta señalando día, hora y lugar de la operación fallida, emitiendo, además, un código de la operación y un mensaje de error, los que serán almacenados en el sistema y entregados al trabajador, sea en formato de papel o mediante su envío de manera electrónica. Finalmente, cabe señalar que todas las marcaciones deberán ser transferidas, en línea, a una base de datos central -sin importar si se trata de equipos fijos o móviles-. Ello, sin perjuicio de los respaldos que puedan contemplarse opcionalmente.
Observación: No adjunta evidencia respecto de las marcaciones fallidas.
1.2-. Respecto del N°5, Disponibilidad del servicio: El servicio de aplicaciones (sistema o sitio web, por ejemplo) que mantiene funcionando la solución tendrá que estar distribuido en más de un servidor (equipo) y/o datacenter, de manera que el trabajador no pierda la posibilidad de registrar los eventos asociados con la jornada. Igualmente, el servicio de base de datos que mantenga almacenada la información que se genere con la utilización de la plataforma, deberá encontrarse replicado y respaldado en dispositivos de almacenamiento externos, de tal forma que, en caso de algún incidente, se pueda recuperar la información histórica. Además, las bases de datos deberán tener sistemas de seguridad que impidan el acceso a personal no autorizado y que prevengan la adulteración de información post-registro.
Observación: No adjunta evidencia al respecto.
1.3-. Respecto del N°6.1, Seguridad: La plataforma tecnológica completa deberá incorporar las medidas necesarias para impedir la alteración de la información o intrusiones no autorizadas. Tales como controles de acceso restringido, cifrado de información confidencial, etc. En particular, el sistema deberá considerar un control de acceso que asegure la autenticación y autorización correcta para cada perfil de usuario que utilice la plataforma. La plataforma deberá asegurar el registro de cada actividad realizada, de forma tal que puedan determinarse los riesgos o incidentes de seguridad.
Observación: No adjunta evidencia respecto de las medidas de seguridad implementadas en la plataforma.
1.4-. Respecto del N°6.2, Confidencialidad: La plataforma deberá considerar componentes y desarrollos tecnológicos que aseguren la visualización de información de acuerdo con perfiles de seguridad pertinentes y apropiados para cada función (empleador, trabajador, fiscalizador, etc.). La definición de cada perfil, así como la respectiva asignación de personas a los mismos, deberá quedar registrada en un sistema de auditoría de la plataforma. Este registro deberá ser automático y sólo deberá ser accesible mediante perfiles de administración.
Observación: No adjunta evidencia respecto de las medidas de confidencialidad, ni auditorias implementadas en la plataforma.
2-. En cuanto a lo dispuesto en el Dictamen N°5849/133, cabe señalar:
2.1-. Respecto del N°1.3, Marcaciones automáticas: Si bien todas las marcaciones deben ser registradas y transferidas en línea de manera automática y centralizada, se debe tener en consideración que en ciertas actividades productivas o áreas geográficas, puede no haber conexión permanente de datos para su transmisión, por lo que se considerará ajustado a la norma aquél sistema que permita capturar y almacenar la correspondiente marca, sin perjuicio de que su envío a la plataforma Web se realice de manera posterior, pero automáticamente al recuperar la señal.
Observación: No adjunta evidencia al respecto.
2.2-. Respecto del N°1.4, Obligación de emitir un mensaje de alerta para las marcaciones fallidas: Sobre la materia, se debe considerar que los sistemas de registro y control de asistencia, como todo producto tecnológico, están expuestos a fallas tanto de software como de hardware.
Además, se estima necesario que las plataformas cuenten, dentro de sus funcionalidades, con un registro electrónico de incidentes que provoquen su cese operacional total o parcial, lo que permitirá lograr una trazabilidad entre el uso del mecanismo de contingencia y los incidentes registrados.
Observación: No adjunta evidencia al respecto.
2.3-. Respecto del N°1.7-. Reportes: A efectos de permitir el adecuado desarrollo de los procesos de fiscalización de este Servicio, las plataformas deben permitir a los respectivos funcionarios obtener, como mínimo, ciertos reportes, indicando en cada caso la jornada de los respectivos trabajadores.
Observaciones:
a) La plataforma no contiene los filtros de búsqueda exigidos por la normativa.
B) La plataforma no cuenta con los reportes exigidos por la normativa.
c) Los informes disponibles no cuentan con la información pertinente.
2.4-. Respecto del N°2.1, se exige la generación de un "HASH" o "Checksum" para validar la integridad del registro de marcaje, los cuales deberán ser recalculados y establecidos como nuevo código de validación en la base de datos, en caso de que la marca ya almacenada en dicha base sea modificada.
Lo señalado, busca no afectar la revisión de las marcaciones en situaciones de auditoría o fiscalizaciones. Asimismo, el informe de certificación deberá indicar el algoritmo y mecanismo de cálculo de este código de verificación, entregando ejemplos para su comprobación.
Observación: No se adjunta el algoritmo de cálculo.
2.5-. Respecto del N°2.5, las soluciones deberán encontrarse alojadas en servidores con sistemas operativos en versiones vigentes (con soporte), y considerar una plataforma tecnológica que permita dar cuenta de un alto volumen de transacciones (marcajes) tanto para su procesamiento como para su almacenamiento.
Observación: No adjunta evidencia al respecto.
2.6-. Respecto del N°2.6, El sistema de base de datos deberá estar protegido con mecanismos que aseguren la disponibilidad del servicio de almacenamiento de información y de sus respaldos. En tal sentido, se podrán implementar, por ejemplo, procesos de replicación en línea de los registros entre dos servidores de base datos, en la medida que ellos se encuentren distantes unos de otros en, al menos, 5 kilómetros, pudiendo utilizar tecnologías basadas en nube pública privada. Por otro lado, los respaldos no podrán ser almacenamos en el mismo servidor en el que se registran los eventos del sistema.
Observación: No adjunta evidencia al respecto.
2.7-. Respecto del N°2.8, Las versiones de los productos que conforman la aplicación (software de base de datos, sistemas operativos, dispositivos de marcaje, etc.), no deberán tener una antigüedad superior a 3 años, con una vigencia no inferior a 5 años.
Observación: No adjunta evidencia al respecto.
2.8-. Respecto del N°2.10, Los empleadores serán responsables de velar porque no existan dos trabajadores con correos electrónicos idénticos para los efectos de remitir las marcaciones por esa vía.
Observación: No adjunta evidencia al respecto de la validación que hace el sistema.
2.9-. Respecto del N°3.3, Descuentos por falta de marcación: Consulta cómo se debe proceder en caso de que un trabajador olvide realizar su marca de ingreso, pero sí marque su término de jornada.
Al respecto, es dable señalar que los sistemas deben emitir automáticamente un correo electrónico de alerta al dependiente, con copia al empleador, luego de transcurrido un lapso de 30 minutos de atraso del trabajador, contados desde la hora de inicio pactada, lo que permite que ambas partes tomen conocimiento de la situación a fin de ser regularizada en la plataforma, mediante una acción del trabajador.
Observación: No adjunta evidencia al respecto.
2.10-. Respecto del N°3.4.2, La modificación, eliminación o reemplazo de una marca de ingreso o salida, de una ausencia o un atraso, siempre debe quedar visible en pantalla, mediante un signo, símbolo o color que permita fácilmente al trabajador o a un fiscalizador identificar una anomalía y averiguar qué ocurrió.
Observación: No adjunta evidencia al respecto.
2.11-. Respecto del N°4.2.2, información mínima requerida a los informes de certificación: Respecto de la entidad certificadora: Nombre y firma del responsable del proceso, razón social, domicilio, RUT, fecha del informe y correo electrónico de contacto.
Observación: El informe carece de fecha de emisión y firma del responsable del proceso.
2.12-. Respecto del N°4.5, El proceso de certificación deberá considerar el análisis de vulnerabilidades de las plataformas, utilizando para ello herramientas de terceros que permitan obtener un informe detallado de los aspectos de seguridad de la plataforma, por ejemplo: puertos TCP abiertos y vulnerabilidades a las que se encuentran sujetos, marcas de los productos instalados, resultados de pruebas de penetración, entre otros. El reporte de salida deberá ser incorporado a los antecedentes que se remitan a este Servicio en el contexto del proceso de autorización de los sistemas.
Observación: No adjunta evidencia al respecto.
2.13-. Respecto del N°4.6, Para obtener la autorización de este Servicio, se deberá acompañar al respectivo informe de certificación un diagrama de arquitectura, el cual deberá dar cuenta de los componentes que permiten el funcionamiento del sistema y, asimismo, permita determinar la confiabilidad de éste en términos de hardware y software, así como el esquema de respaldo o replicación.
Observación: El diagrama de arquitectura acompañado no cumple con los parámetros solicitados por la norma.
En conclusión, analizada la información acompañada a la luz de la jurisprudencia administrativa invocada y consideraciones formuladas, cumplo con informar a usted que la documentación presentada para sustentar el cumplimiento normativo del sistema de registro y control de asistencia denominado "ASISTAWEB", presentado por la empresa Sociedad Comercial Elipse Ltda., presenta serias deficiencias, por lo que no se autoriza su utilización en el contexto de la relación laboral. Lo señalado, no obsta a que, una vez corregidas las observaciones indicadas en el cuerpo del presente informe, la solicitud sea reingresada para su revisión y eventual autorización.
Saluda a Ud.,
JUAN DAVID TERRAZAS PONCE
ABOGADO
JEFE DEPARTAMENTO JURÍDICO Y FISCAL
DIRECCION DEL TRABAJO
LBP/RCG
Distribución:
- Jurídico
- Partes