Superintendencia de Puertos y Transporte

RESOLUCIÓN 6246 DE 2016 

(Febrero 17)

“Por la cual se expide el anexo técnico para la implementación del sistema de control y vigilancia de que trata la Resolución 13829 de 2014”.

El Superintendente de Puertos y Transporte,

en ejercicio de las facultades constitucionales y legales, en especial las que le confiere el parágrafo 3º del artículo 3º de la Ley 769 de 2002, modificado por la Ley 1383 de 2010, los artículos 41, 42 y 44 del Decreto 101 de 2000, modificado parcialmente por los decretos 2053 de 2003, 2741 de 2001 y adicionado por el Decreto 540 de 2000 y 1479 de 2014,

CONSIDERANDO:

Que el artículo 41 del Decreto 101 de 2000, modificado por el artículo 4º del Decreto 2741 de 2001 y el artículo 3º del Decreto 1016 de 2000, establece dentro del objeto de la delegación que el Presidente de la República le hiciere a la Superintendencia de Puertos y Transporte, respecto a las funciones de inspección, vigilancia y control que le corresponden como suprema autoridad administrativa en materia de tránsito: “1. Inspeccionar, vigilar y controlar la aplicación y el cumplimiento de las normas que rigen el sistema de tránsito y transporte”.

Que el artículo 44 del Decreto 101 de 2000 le asignó a la superintendencia, entre otras, las funciones de: “3. Inspeccionar, vigilar y controlar el cumplimiento de las normas nacionales de tránsito, y aplicar las sanciones correspondientes, en los casos en que tal función no esté atribuida a otra autoridad”, “10. Solicitar a las entidades públicas que conforman el sistema nacional de transporte la información que estime conveniente para evaluar periódicamente el cumplimiento de las normas de tránsito, transporte e infraestructura”, “11. Solicitar documentos e información general, incluyendo los libros de comercio, así como practicar las visitas, inspecciones y pruebas que sean necesarias para el cumplimiento de sus funciones”.

Que el parágrafo 1º del artículo 44 del Decreto 101 establece “Sin perjuicio de la conformación de sus propios sistemas de información, la Supertransporte utilizará los registros y demás bases de datos que estén a cargo del Ministerio del Transporte y las demás entidades del sector”.

Que el artículo 4º del Decreto 1016 de 2000, modificado por el artículo 6º del Decreto 2741 de 2001 le asigna como funciones a la Superintendencia de Puertos y Transporte, entre otras, las siguientes: “4. Inspeccionar, vigilar y controlar el cumplimiento de las normas nacionales de tránsito, y sancionar y aplicar las sanciones correspondientes salvo en materia de tránsito terrestre automotor, aéreo y marítimo”, “14. Solicitar a las entidades públicas que conforman el sistema nacional de transporte la información que estime conveniente para evaluar periódicamente el cumplimiento de las normas de tránsito, transporte e infraestructura”, “15. Solicitar documentos e información general, inclusive los libros de comercio, así como practicar las visitas, inspecciones y pruebas que sean necesarias para el cumplimiento del objeto de su delegación y funciones”, “19. Establecer mediante actos de carácter general las metodologías, criterios y demás elementos o instrumentos técnicos específicos necesarios para el cumplimiento de sus funciones dentro del marco que estas establecen”.

Que el Código Nacional de Tránsito en el parágrafo 3º del artículo 3º, modificado por el artículo 2º de la Ley 1383 de 2010 establece que: “Las autoridades, los organismos de tránsito, las entidades públicas o privadas que constituyan organismos de apoyo, serán vigiladas y controladas por la Superintendencia de Puertos y Transporte”; previendo en el Parágrafo 1º de la misma disposición que “Las entidades públicas o privadas a las que mediante delegación o convenio les sean asignadas determinadas funciones de tránsito, constituirán organismos de apoyo a las autoridades de tránsito”.

Que la Superintendencia de Puertos y Transporte expidió la Resolución 9304 del 24 de diciembre de 2012, que reglamentó las medidas tecnológicas que deben implementar cada uno de los centros de diagnóstico automotor, además del sistema de control y vigilancia contemplado en el capítulo II del referido acto administrativo.

Que el Decreto 1479 de 2014, por el cual se reglamenta el artículo 19 de la Ley 1702 de 2013 y se dictan otras disposiciones, establece el procedimiento de intervención a los organismos de tránsito, así como el procedimiento para la suspensión preventiva, suspensión o cancelación de la habilitación de los organismos de apoyo al tránsito.

Que en el marco de las funciones atribuidas a la Superintendencia de Puertos y Transporte, es deber de la entidad verificar el cumplimiento de las condiciones, requisitos y procedimientos establecidos en las normas legales y reglamentarias, expedidas por ley o por el Ministerio de Transporte y cualquier otra disposición que las modifiquen, sustituyan, deroguen o adicionen, para lo cual debe contar con mecanismos de prevención.

Que la función de vigilancia, inspección y control tiene por objeto establecer orden en las actividades que se desarrollan en el sector del transporte, incluidas las actividades de apoyo al tránsito y el mejoramiento de la vigilancia y el control, a través de mecanismos sistematizados, para el desarrollo de tales actividades.

Que además del desarrollo de procesos sancionatorios, la superintendencia debe generar modelos de supervisión de carácter preventivo, que le permitan generar impacto en beneficio de la movilidad y la seguridad vial.

Que es necesario mejorar los controles de la ubicación de los centros y el sitio en el que se realizan las pruebas, a través de un dispositivo hardware que se incorpora en todos los computadores de los centros de reconocimiento, que se interconectan con GPS con características especiales y de alta precisión y verificando la geoposición de cada CRC y cada PC identificado integrado con el software único de gestión llevando el control de la posición geográfica por rangos de tiempo mínimos para controlar desde donde se realizan las evaluaciones.

Que en cumplimiento del numeral 8º del artículo 8º, del Código Administrativo y de lo Contencioso Administrativo, el proyecto de acto administrativo fue publicado en la página web de la Superintendencia de Puertos y Transporte, se recibieron los respectivos comentarios y sugerencias, los cuales fueron tenidos en cuenta previa la evaluación de su pertinencia.

Que es necesario establecer un periodo de transición para exigir al proveedor que actualmente se encuentra operando, cumpla con las nuevas disposiciones.

En mérito de lo expuesto el Superintendente de Puertos y Transporte,

RESUELVE:

ART. 1º—Objeto. El objeto del presente acto administrativo es expedir el nuevo “Anexo técnico para la implementación de los sistemas de control y vigilancia de que trata la Resolución 13829 de 2014” proferida por la Superintendencia de Puertos y Transporte, que está contenido en el anexo único de la presente resolución y hace parte integral del presente acto administrativo.

PAR.—El cumplimiento de las disposiciones aquí establecidas no implica aumento en los costos de los servicios que pagan los centros de reconocimiento a los operadores autorizados, ni a los usuarios de los servicios prestados por los centros de reconocimiento.

ART. 2º—Exigibilidad. Las disposiciones contenidas en la presente resolución serán exigibles de la siguiente manera:

2.1. Para los nuevos proveedores: los nuevos operadores/proveedores interesados en obtener autorización para prestar el servicio del sistema de control y vigilancia para los centros de reconocimiento de conductores, solo podrán prestar el servicio una vez cuenten con la homologación por parte de la Superintendencia de Puertos y Transporte, demostrando el cumplimiento de las disposiciones adoptadas mediante el presente acto administrativo.

2.2. Para los proveedores autorizados: los operadores/proveedores, del sistema de vigilancia, autorizados por la superintendencia y que están operando actualmente, deberán dar cumplimiento a las disposiciones aquí contenidas. Si no llegaren a obtener homologación al momento de la implementación de las nuevas condiciones, no podrán continuar prestando el servicio y se dejará sin efecto la autorización conferida.

En todo caso, el sistema de control y vigilancia que esté operando, seguirá haciéndolo conforme a las reglamentaciones y autorizaciones anteriores, hasta que por lo menos dos empresas (pueden incluirse las actuales), obtengan homologación y operen conforme a las condiciones técnicas aquí determinadas.

2.3. Para los centros de reconocimiento de conductores. Los centros de reconocimiento de conductores deberán dar cumplimiento de las disposiciones aquí contenidas, dentro del mes siguiente a que se les comunique que efectivamente por lo menos dos proveedores autorizados cumplen la totalidad de los requisitos previstos en el presente acto administrativo.

ART. 4º (sic)—Vigencia y subrogación. La presente resolución rige a partir de su publicación y deroga las demás disposiciones que le sean contrarias, en especial subroga el artículo 7º de la Resolución 9699 del 28 de mayo de 2014.

La presente resolución rige a partir de la fecha de su publicación.

Publíquese y cúmplase.

Dada en Bogotá, D.C., a 17 de febrero de 2016.

Introducción

El presente documento define los requerimientos que deben cumplir aquellos aspirantes a proveedores del sistema de control y vigilancia de que trata la Resolución 13829 de 2014. El documento se estructura de la siguiente manera:

El título 1 describe el objetivo del documento, el sistema de control y vigilancia, el marco legal sobre el cual se desarrolla todo el proceso, así como el alcance del presente documento.

El título 2, define los requerimientos técnicos, administrativos, financieros y jurídicos para la homologación de los aspirantes a proveedores del sistema de control y vigilancia, así como los procesos de verificación que cada uno de ellos debe cumplir.

TÍTULO 1

Información general

En este título se describen los lineamientos que se tienen en cuenta para la construcción de este documento.

1.1. Objetivo del documento.

El presente documento tiene por objetivo definir los requerimientos que deben cumplir y por los cuales se evaluarán a los aspirantes a proveedores del sistema de control y vigilancia de los centros de reconocimiento de conductores.

1.2. Sistema de control y vigilancia de los centros de reconocimiento de conductores.

El sistema de control y vigilancia es una infraestructura tecnológica operada por cualquier ente público o privado que el centro de reconocimiento de conductores (en adelante CRC), contrate y que será previamente homologado por la Superintendencia de Puertos y Transporte o por quien esta delegue, para asegurar el cumplimiento de los parámetros establecidos en el presente anexo y de los que se fijen posteriormente, que le permita prestar con calidad el servicio para garantizar:

• La expedición segura del certificado; la identidad y presencia del usuario aspirante y de los médicos o especialistas en el centro de reconocimiento de conductores.

• La realización de cada una de las pruebas.

• Que el certificado se expida desde la ubicación geográfica del centro de reconocimiento.

• Que las pruebas se hagan desde los computadores de los centros de reconocimiento de conductores, con el fin de evitar un posible fraude en la expedición del mencionado certificado.

• El registro del pago.

• La correlación o trazabilidad para el cruce de información.

• Que los CRC estén conectados con el centro de monitoreo de la Superintendencia de Puertos y Transporte y el RUNT.

Con lo anterior se pretende vigilar y contar con la suficiente información que permita establecer que el examen de aptitud física, mental y de coordinación motriz se expidió bajo el cumplimiento de los requerimientos y condiciones fijados en las normas vigentes para el tema. Para ello, se hará uso de los medios tecnológicos sistematizados y digitalizados requeridos, para obtener, renovar o recategorizar la licencia de conducción, ante las autoridades de tránsito.

A partir de la anterior definición, se evidencia que el sistema de control y vigilancia para los centros de reconocimiento de conductores busca esencialmente garantizar la legitimidad a través de la realización del proceso de aptitud física, mental y de coordinación motriz, con el fin de proteger al usuario de la ilegalidad en el proceso de evaluación y certificación, a través de la implementación de características técnicas y de seguridad adecuadas.

1.3. Marco legal.

En concordancia con las facultades otorgadas al Presidente de la República de acuerdo al numeral 16 del artículo 189 de la Constitución Política y desarrolladas por el artículo 37 de la Ley 105 de 1993 y por el artículo 54 de la Ley 489 de 1998, se delegaron las funciones de control, inspección y vigilancia otorgadas al Presidente de la República, contenidas en el numeral 22 del artículo 189 de la Constitución Política de Colombia, a la Superintendencia de Puertos y Transporte con el objeto de inspeccionar, vigilar y controlar la aplicación y el cumplimiento de las normas que rigen el sistema de tránsito y transporte. De la misma manera, inspeccionar vigilar y controlar la permanente, eficiente y segura prestación del servicio de transporte. De esta manera, mediante los decretos 101 de 2000, 1016 de 2000 y 2741 de 2001, se otorgaron facultades a la Superintendencia de Puertos y Transporte y en virtud de las mismas se expidió la Resolución 13829 de 2014, que reglamenta las características técnicas que deberá tener el sistema de control y vigilancia para los centros de reconocimiento de conductores, determinando las exigencias tecnológicas que deben implementar los centros de reconocimiento de conductores, mediante el cual se reporta la información a la Superintendencia.

En el mismo sentido, el artículo 4º del Decreto 2741 de 2001 determinó que los sujetos de control y vigilancia pueden ser las personas naturales o jurídicas que las normas determinen. En cuanto a los sujetos objeto de vigilancia de la Superintendencia de Puertos y Transporte, dentro del ejercicio de las funciones delegadas y de las otorgadas en virtud de la ley, la superintendencia puede examinar y comprobar la transparencia en el manejo de las distintas operaciones y actividades que desarrolla, en cumplimiento de su objeto social, y de las entidades sometidas a su inspección, vigilancia y control. Es así que la Superintendencia de Puertos y Transporte se encuentra dotada de competencia para reglamentar los aspectos administrativos y los demás aspectos que tengan que ver con el funcionamiento de los sistemas de vigilancia, información y control, bajo el entendido del artículo 66 de la Ley 489 de 1998, que consagra que: “Las superintendencias son organismos creados por la ley, con la autonomía administrativa y financiera que aquella les señale, sin personería jurídica, que cumplen funciones de inspección y vigilancia atribuidas por la ley o mediante delegación que haga el Presidente de la República.

1.4. Alcance del documento.

El alcance de este documento incluye la definición de los requerimientos a nivel jurídico, administrativo, financiero y técnico que deben cumplir las entidades aspirantes a operar el sistema de control y vigilancia para los centros de reconocimiento de conductores.

Los requerimientos administrativos incluyen mecanismos que permitan la validación de aspectos tales como la trayectoria del aspirante, experiencia en proyectos similares de tecnología, experiencia del equipo de trabajo, entre otros.

Los requerimientos financieros pretenden garantizar que el operador cuente con el respaldo económico suficiente para que inicie el funcionamiento del sistema y que una vez puesta en marcha la operación tenga sostenibilidad, garantizando a la Superintendencia de Puertos y Transporte que las entidades homologadas dispongan de los recursos necesarios sostenibles en el tiempo.

Los requerimientos jurídicos buscan principalmente garantizar la legalidad de las entidades a homologarse, de sus representantes, la capacidad jurídica y la facultad que debe tener una persona para adelantar cualquier tipo de proceso con una entidad estatal, es decir (i) obligarse a cumplir el objeto del proceso; y (ii) no estar incursa en inhabilidades o incompatibilidades que impidan el ejercicio de las actividades involucradas en el proceso.

Los requerimientos técnicos garantizan idoneidad en la prestación del servicio, buscando que se utilice la tecnología adecuada y actualizada a las necesidades de seguridad, disponibilidad y calidad del servicio.

Este documento contiene los requerimientos generales que deben seguir las entidades aspirantes a homologarse para conseguir esta meta, y presenta diferentes alternativas para el cumplimiento de los requerimientos con el fin de garantizar pluralidad de oferentes, es así como se incluyen por ejemplo alternativas de conformación de uniones temporales o consorcios entre otras.

Con el fin de evitar un solo tipo de propuesta tecnológica, este documento no detalla la solución como tal, sino da libertad a las entidades que se homologuen para que diseñen e implementen sus propios sistemas, garantizando así diferentes tipos de soluciones que se puedan presentar dentro de un marco general de requerimientos.

Este documento describe los procesos que se deben seguir una vez publicada la resolución con todos los requerimientos y su anexo técnico.

TÍTULO 2

Requerimientos documentales

A continuación se establecen los requerimientos que deberán cumplir los aspirantes a homologación para recibir la evaluación documental; estos se deberán suministrar con el fin de que sean corroboradas sus condiciones jurídicas, administrativas, financieras y técnicas.

2.1. Carta de interés y radicación de requerimientos documentales.

La carta de interés y radicación de requerimientos documentales, permitirá iniciar el proceso de validación de los requerimientos para homologarse como proveedor del sistema de control y vigilancia en los centros de reconocimiento de conductores. Ver numeral 2.1.2: modelo carta de interés y radicación de requerimientos documentales.

2.1.1. Especificaciones de la entrega del documento.

A continuación se aclaran algunos detalles respecto al diligenciamiento del modelo de carta de interés y radicación de requerimientos documentales, descrito en el numeral 2.1.2.

• Debe imprimirse en tamaño carta.

• Debe ir en papel membrete de la compañía.

“[Nombres apellidos del superintendente delegado]” Debe ser reemplazado por los nombres y apellidos del superintendente delegado nombrado al momento de presentar este documento.

• [Razón social empresa, consorcio o unión temporal], debe ser reemplazado por el nombre o razón social del ente aspirante.

• [Número del NIT], debe ser reemplazado con el número de identificación tributaria de la empresa o consorcio. En caso de unión temporal deberá colocar el nombre de la unión temporal y el nombre o razón social de cada una de las empresas que la conforman con su número de NIT.

“Resolución NN de 2015”, donde NN debe ser reemplazada por el número de resolución que expida la Superintendencia de Puertos y Transporte con el anexo técnico de requerimientos y requerimientos para el sistema de control y vigilancia de los centros de reconocimiento de conductores.

• “NN folios” donde NN debe ser reemplazado por el número de folios entregados en el medio físico.

• “NN kBytes” donde NN debe ser reemplazado por el número de kBytes entregados en el medio electrónico.

2.1.2 Modelo carta de interés y radicación de requerimientos documentales.

Ciudad, fecha (DD/MM/AAAA)

Doctor(a)

[Nombres apellidos del superintendente delegado]

Superintendente Delegado de Tránsito y Transporte Terrestre Automotor

Superintendencia de Puertos y Transporte

Calle 63 Nº 9A-45.

Bogotá, D.C.

Ref.: Carta de interés para participar en el proceso de validación de requerimientos para homologarse como proveedor del sistema de control y vigilancia para los CRC.

Respetado doctor:

Mediante el presente oficio deseo manifestar que la empresa (unión temporal o consorcio) [razón social empresa, consorcio o unión temporal] con NIT [número del NIT], la intención de participar en el proceso que adelanta la Superintendencia de Puertos y Transporte para prestar el servicio a los Centros de Reconocimiento de Conductores (CRC) como proveedor del sistema de control y vigilancia.

Se anexan los requerimientos documentales exigidos en la Resolución NN de 2014 expedida por la Superintendencia de Puertos y Transportes, así:

• Medio físico, 2 tomos de NN folios.

• Medio electrónico, 2 CD con NN kBytes de tamaño.

Agradezco la atención prestada.

Cordialmente,

[Nombres apellidos]

Representante legal

[Razón social empresa, consorcio o unión temporal]

2.2. Requerimientos del aspirante.

Este numeral describe la forma como deben ser entregados los documentos con la información que radicará el aspirante a ser evaluado como proveedor del sistema de control y vigilancia.

2.2.1. Instrucciones de la presentación del documento con los requerimientos del aspirante.

Con el fin de estandarizar la entrega de documentos se definen a continuación las características como deben ser presentados:

— Técnica de empaste: Unibind

— Color de las tapas: transparentes

— Foliación: el foliado debe quedar en un lugar visible, y que no quede cubierto por ningún texto o membrete.

— Idioma: el idioma para presentación de los requerimientos documentales debe ser en español.

— Papel: tamaño carta 8.1/2”x11”.

2.2.2. Portada.

La portada es la primera página y servirá para identificar claramente al aspirante que anexa los requerimientos documentales; esta hoja debe contener el número 1 en área de foliación. Ver numeral 2.2.4. Modelo de la portada general.

2.2.2.1. Especificaciones de la entrega del documento.

A continuación se aclaran algunos detalles respecto al diligenciamiento del modelo de portada, descrito en el numeral 2.2.2.2.

— Debe colocarse al inicio del documento.

— Su número de folio debe ser 1.

— “Resolución NN del DD del mes de MM de 2015”, debe colocarse el número de la resolución y la fecha de cuando se expida por parte de la Superintendencia de Puertos y Transporte la reglamentación para el proceso de evaluación y homologación de los aspirantes del sistema de control y vigilancia para los CRC, donde “NN” es el número de la resolución, “DD” es el día y “MM” es el mes de expedición de la resolución.

— [Razón social empresa, consorcio o unión temporal], debe ser reemplazado por el nombre o razón social del ente aspirante.

— [Ciudad] Ciudad donde se origina la documentación.

— “201N”, donde “N” es el último dígito del año en el que se radican los documentos.

2.2.2.2. Modelo de la portada general.

Presentación de requerimientos documentales según Resolución NN del DD del mes MM de 2015

Expedida por la Superintendencia de Puertos y Transporte

Aspirante:

[Razón social empresa, consorcio o unión temporal]

[Ciudad]

201N

2.2.3. Índice general.

El índice general permite organizar el documento en el orden en que se debe entregar, dependiendo de si el aspirante es una empresa, una unión temporal o un consorcio, su contenido puede variar según los requerimientos específicos para cada caso. Ver numeral 2.2.3.2 Modelo del índice general (empresa, unión temporal o consorcio).

2.2.3.1. Especificaciones de la entrega del documento.

• “#” significa que se debe colocar el número de folio en donde se encuentra ubicado.

• Requerimiento técnico AAA: significa que se debe reemplazar con el nombre del requerimiento.

• “n” significa el consecutivo del requerimiento.

2.2.3.2. Modelo del índice general (empresa, unión temporal o consorcio).

Índice general

Nº de folio

1. Requerimientos jurídicos

1.1. Requerimiento jurídico AAA....……………………………………………… #

1.2. Requerimiento jurídico BBB……………………………………………….. #

1.n. Requerimiento jurídico nnn……………….……………………………….. #

2. Requerimientos administrativos

2.1. Requerimiento administrativo AAA….………………………………….. #

2.2. Requerimiento administrativo BBB….………………………………….. #

2.n. Requerimiento administrativo nnn..…………………………………….. #

3. Requerimientos financieros

3.1. Requerimiento financiero AAA……….……….………………………….. #

3.2. Requerimiento financiero BBB…………………………………………… #

3.n. Requerimiento financiero nnn….………………………………………… #

4. Requerimientos técnicos

4.1. Requerimiento técnico AAA……………………………………………… #

4.2. Requerimiento técnico BBB……………………………………………… #

4.n. Requerimiento técnico nnn. ……………………………………………… #

2.3. Lista de requerimientos jurídicos.

Los requerimientos jurídicos buscan principalmente garantizar la legalidad de las entidades a homologarse y de sus representantes, además validar la capacidad jurídica y la facultad que debe tener una persona para adelantar cualquier tipo de proceso con una entidad estatal, es decir (i) obligarse a cumplir el objeto del proceso; y (ii) no estar incursa en inhabilidades o incompatibilidades que impidan el ejercicio de las actividades involucradas en el proceso. Se presenta (sic) a continuación algunas consideraciones que se deben tener en cuenta.

A. Persona natural. Las personas naturales mayores de dieciocho (18) años son capaces jurídicamente a menos que estén expresamente inhabilitadas por decisión judicial o administrativa, como la interdicción judicial, y que no estén incursas en inhabilidades, incompatibilidades o prohibiciones para contratar derivadas de la ley.

B. Persona jurídica. La capacidad jurídica de las personas jurídicas está relacionada con: (i) la posibilidad de adelantar actividades en el marco de su objeto social; (ii) las facultades de su representante legal y la autorización del órgano social competente cuando esto es necesario de acuerdo con sus estatutos sociales; y (iii) la ausencia de inhabilidades, incompatibilidades o prohibiciones para contratar, derivadas de la ley.

C. Inhabilidades e incompatibilidades:

Las inhabilidades e incompatibilidades están establecidas para asegurar los intereses públicos y proteger la transparencia, objetividad e imparcialidad en las relaciones entre el Estado y los particulares.

El régimen de inhabilidades e incompatibilidades es de aplicación restrictiva, por lo cual cuando existen varias interpretaciones posibles sobre una inhabilidad o incompatibilidad, debe preferirse la que menos limita los derechos de las personas.

Todas las entidades estatales sometidas o no a la Ley 80 de 1993 y a la Ley 1150 de 2007 y la normatividad vigente están obligadas a respetar el régimen de inhabilidades e incompatibilidades para contratar o participar en cualquier proceso con el Estado.

Las inhabilidades son una limitación a la capacidad de contratar o participar con entidades estatales y están expresamente señaladas en la Ley 80 de 1993, la cual establece:

I. Que no son hábiles para participar en procesos de contratación, además de quienes están en las siguientes situaciones:

a) Las personas que se hallen inhabilitadas para contratar por la Constitución y las leyes.

b) Quienes participaron en las licitaciones o celebraron los contratos de que trata el literal anterior estando inhabilitados. Esta inhabilidad se extenderá por el término de 5 años a partir de la participación en la licitación, o de la celebración del contrato o de la expiración del plazo para su firma.

c) Quienes dieron lugar a la declaratoria de caducidad. Esta inhabilidad se extenderá por el término de 5 años contados a partir de la fecha de declaratoria del acto de caducidad de quienes han sido condenados por sentencia judicial a la pena accesoria de interdicción de derechos y funciones públicas y quienes hayan sido sancionados disciplinariamente con destitución. Esta inhabilidad se extenderá por el término de 5 años contados a partir de la ejecutoria de la sentencia que impuso la pena, o del acto que dispuso la destitución de quienes sin justa causa se abstengan de suscribir el contrato estatal adjudicado. Esta inhabilidad se extenderá por el término de 5 años a partir de la fecha en que expiró el plazo para la firma.

d) Los servidores públicos.

e) Quienes sean cónyuges o compañeros permanentes y quienes se encuentren dentro del segundo grado de consanguinidad o segundo de afinidad con cualquier otra persona que formalmente haya presentado propuesta para una misma licitación.

f) Las sociedades distintas de las anónimas abiertas, en las cuales el representante legal o cualquiera de sus socios tenga parentesco en segundo grado de consanguinidad o segundo de afinidad con el representante legal o con cualquiera de los socios de una sociedad que formalmente haya presentado propuesta, para una misma licitación.

g) Los socios de sociedades de personas a las cuales se haya declarado la caducidad, así como las sociedades de personas de las que aquellos formen parte con posterioridad a dicha declaratoria.

h) Las personas naturales que hayan sido declaradas responsables judicialmente por la comisión de delitos contra la administración pública cuya pena sea privativa de la libertad, o soborno trasnacional, con excepción de delitos culposos. Esta inhabilidad se extenderá a las sociedades de que sean socias tales personas, sus matrices y a sus subordinadas, con excepción de las sociedades anónimas abiertas. La inhabilidad prevista en este literal, se extenderá por un término de veinte (20) años.

i) Las personas que hayan financiado campañas políticas a la Presidencia de la República, a las gobernaciones o a las alcaldías con aportes superiores al dos punto cinco por ciento (2.5%) de las sumas máximas a invertir por los candidatos en las campañas electorales en cada circunscripción electoral, quienes no podrán celebrar contratos con las entidades públicas, incluso descentralizadas, del respectivo nivel administrativo para el cual fue elegido el candidato. La inhabilidad se extenderá por todo el período para el cual el candidato fue elegido. Esta causal también operará para las personas que se encuentren dentro del segundo grado de consanguinidad, segundo de afinidad, o primero civil de la persona que ha financiado la campaña política. Esta inhabilidad comprenderá también a las sociedades existentes o que llegaren a constituirse distintas de las anónimas abiertas, en las cuales el representante legal o cualquiera de sus socios hayan financiado directamente o por interpuesta persona campañas políticas a la Presidencia de la República, a las gobernaciones y las alcaldías.

II. Tampoco podrán participar en licitaciones ni celebrar contratos estatales con la entidad respectiva:

a) Quienes fueron miembros de la junta o consejo directivo o servidores públicos de la entidad contratante. Esta incompatibilidad solo comprende a quienes desempeñaron funciones en los niveles directivo, asesor o ejecutivo y se extiende por el término de un (1) año, contado a partir de la fecha del retiro.

b) Las personas que tengan vínculos de parentesco, hasta el segundo grado de consanguinidad, segundo de afinidad o primero civil con los servidores públicos de los niveles directivo, asesor ejecutivo o con los miembros de la junta o consejo directivo, o con las personas que ejerzan el control interno o fiscal de la entidad contratante.

c) El cónyuge compañero o compañera permanente del servidor público en los niveles directivo, asesor, ejecutivo, o de un miembro de la junta o consejo directivo, o de quien ejerza funciones de control interno o de control fiscal.

d) Las corporaciones, asociaciones, fundaciones y las sociedades anónimas que no tengan el carácter de abiertas, así como las sociedades de responsabilidad limitada y las demás sociedades de personas en las que el servidor público en los niveles directivo, asesor o ejecutivo, o el miembro de la junta o consejo directivo, o el cónyuge, compañero o compañera permanente o los parientes hasta el segundo grado de consanguinidad, afinidad o civil de cualquiera de ellos, tenga participación o desempeñe cargos de dirección o manejo. Esta inhabilidad no se aplicará en relación con las corporaciones, asociaciones, fundaciones y sociedades allí mencionadas, cuando por disposición legal o estatutaria el servidor público en los niveles referidos debe desempeñar en ellas cargos de dirección o manejo.

e) Los miembros de las juntas o consejos directivos. Esta incompatibilidad solo se predica respecto de la entidad a la cual prestan sus servicios y de las del sector administrativo al que la misma esté adscrita o vinculada.

f) Directa o indirectamente las personas que hayan ejercido cargos en el nivel directivo en entidades del Estado y las sociedades en las cuales estos hagan parte o estén vinculados a cualquier título, durante los dos (2) años siguientes al retiro del ejercicio del cargo público, cuando el objeto que desarrollen tenga relación con el sector al cual prestaron sus servicios.

Esta incompatibilidad también operará para las personas que se encuentren dentro del primer grado de consanguinidad, primero de afinidad, o primero civil del exempleado público.

De igual forma la Ley 80 de 1993 prevé las inhabilidades e incompatibilidades sobrevinientes, estableciendo que de llegar a sobrevenir inhabilidad o incompatibilidad en el contratista, este cederá el contrato previa autorización escrita de la entidad contratante o, si ello no fuere posible, renunciará a su ejecución. Cuando la inhabilidad o incompatibilidad sobrevenga en un proponente dentro de una licitación, se entenderá que renuncia a la participación en el proceso de selección y a los derechos surgidos del mismo.

Si la inhabilidad o incompatibilidad sobreviene en uno de los miembros de un consorcio o unión temporal, este cederá su participación a un tercero previa autorización escrita de la entidad contratante. En ningún caso podrá haber cesión del contrato entre quienes integran el consorcio o unión temporal.

2.3.2. Certificado de existencia y representación, expedido por la Cámara de Comercio.

Es aquel mediante el cual se acredita la inscripción del contrato social, las reformas y nombramientos de administradores y representantes legales, en la cámara de comercio con jurisdicción en el domicilio de la respectiva sociedad. Este tipo de certificación tiene un valor eminentemente probatorio y está encaminada a demostrar la existencia y representación de las personas jurídicas (art. 117, C.Co).

De acuerdo con la ley, un certificado de esta naturaleza deberá contener el número, la fecha y la notaría de la escritura de constitución y de las reformas del contrato, el nombre de los representantes legales de la sociedad, las facultades conferidas en los estatutos y las limitaciones a dichas facultades, y en el evento de que la sociedad tenga sucursales o agencias en otras ciudades del país, el documento y la fecha mediante el cual se decretó su apertura, si las mismas se encuentran en jurisdicción diferente a la Cámara.

2.3.2.1. Especificaciones de la entrega del documento.

— Se debe presentar en original.

— Su expedición debe ser igual o inferior a 30 días calendario al de la fecha de radicación.

— Si la propuesta es presentada en unión temporal o en consorcio, se debe adicionar el certificado de cámara de comercio de cada una de las personas naturales y/o jurídicas que lo(a) conformen.

2.3.3. Registro Único Tributario.

Es el mecanismo único para identificar, ubicar y clasificar a las personas y entidades que tengan la calidad de contribuyentes declarantes del impuesto sobre la renta y no contribuyentes declarantes de ingresos y patrimonio; los responsables del régimen común y los pertenecientes al régimen simplificado; los agentes retenedores; los importadores, exportadores y demás usuarios aduaneros, y los demás sujetos de obligaciones administradas por la UAE Dirección de Impuestos y Aduanas Nacionales (DIAN), respecto de los cuales esta requiera su inscripción. Sirve para cerciorarse e identificar la actividad económica ante terceros con quienes sostenga una relación comercial, laboral o económica en general y ante los diferentes entes de supervisión y control, a su vez, este documento le señala sus obligaciones frente al Estado colombiano.

El aspirante a proveedor debe presentar dentro de su propuesta fotocopia legible del Registro Único Tributario (RUT) expedido por la DIAN. La información contentiva en el RUT deberá encontrarse actualizada conforme a los datos reales del aspirante a proveedor, acorde con lo dispuesto en las resoluciones 139 y 154 de 2012, emitidas por la Dirección General de Impuestos y Aduanas Nacionales y las normas posteriores que las modifiquen y/o adicionen.

La CIIU (sistema de Clasificación Industrial Internacional Uniforme) es una clasificación uniforme de todas las actividades económicas por procesos productivos. Su objetivo principal es proporcionar un conjunto de categorías de actividades que se pueda utilizar al elaborar estadísticas sobre ellas o escoger un segmento del mercado, permitiendo que las compañías puedan ser clasificadas por sectores o categorías comparables al estándar internacionalmente en diferentes tipos específicos de actividades económicas. Las actividades de los aspirantes a proveedores del sistema de control y vigilancia están enmarcadas en sectores del mercado que son resumidas a través de los códigos que reporten como su actividad de negocio ya sea principal o secundaria.

El sistema de control y vigilancia para los centros de reconocimiento de conductores requiere para su operación actividades tales como desarrollo de software, seguridad de la información y suministro e implementación de hardware y software, las cuales se encuentran consignadas en las siguientes secciones: sección J “Información y comunicaciones”, en su división 62 “Desarrollo de sistemas informáticos (planificación, análisis, diseño, programación, pruebas), consultoría informática y actividades relacionadas” en la división 63 “Actividades de servicios de información”. Los aspirantes a proveedores del sistema de control y vigilancia deberán tener dentro de sus actividades económicas registradas en el RUT las actividades del grupo J, que se definen en este numeral en las especificaciones de la entrega del documento.

2.3.3.1. Especificaciones de la entrega del documento.

— Se debe presentar copia del RUT (Registro Único Tributario).

— Si la propuesta es presentada en unión temporal o en consorcio, se debe adicionar el Registro Único Tributario de cada una de las personas naturales y/o jurídicas que lo(a) conformen.

— Deben estar presentes los códigos CIIU de la actividad económica, con la versión vigente. Las siguientes son las actividades económicas según el CIIU en su última versión consolidadas por grupo, división y clase que serán la base de este requisito, los aspirantes a proveedores deberán tener al menos una de las siguientes actividades:

6201: actividades de desarrollo de sistemas informáticos, consultoría informática y actividades relacionadas.

Esta clase comprende el análisis, el diseño, la escritura, pruebas, modificación y suministro de asistencia en relación con programas informáticos.

Esta clase incluye:

• El análisis, diseño de la estructura, el contenido y/o escritura del código informático necesario para crear y poner en práctica programas de sistemas operativos, aplicaciones de programas informáticos (incluyendo actualizaciones y parches de corrección), también bases de datos.

• El desarrollo de soluciones web (sitios y páginas web) y personalización de programas informáticos a clientes, es decir, modificar y configurar una aplicación existente a fin de que sea funcional con los sistemas de información de que dispone el cliente.

Esta clase excluye:

• La edición de paquetes de software o programas informáticos comerciales. Se incluye en la clase 5820, “Edición de programas de informática (software)”.

• La planificación y diseño de sistemas que integren el equipo de hardware, software y tecnologías de la comunicación, aunque el suministro del software se constituya como una parte integral del servicio. Se incluye en la clase 6202, “Actividades de consultoría de informática y actividades de administración de instalaciones informáticas”.

6202: actividades de consultoría informática y actividades de administración de instalaciones informáticas.

Esta clase incluye:

• La planificación y el diseño de los sistemas informáticos que integran el equipo (hardware), programas informáticos (software) y tecnologías de las comunicaciones (incluye redes de área local [LAN], red de área extensa [WAN], entre otras).

• Las unidades clasificadas en esta clase pueden proporcionar los componentes de soporte físico y lógico (como pueden ser el hardware y software) como parte de sus servicios integrados o estos componentes pueden ser proporcionados por terceras partes o vendedores. En muchos casos las unidades clasificadas en esta clase suelen instalar el sistema, capacitar y apoyar a los usuarios del sistema.

• Los servicios de gerencia y operación en sitio, de sistemas informáticos y/o instalaciones informáticas de procesamiento de datos de los clientes, así como también servicios de soporte relacionados.

• Los servicios de consultoría en el diseño de sistemas de administración de información y en equipos de informática.

• Los servicios de consultoría para sistemas de ingeniería y fabricación asistida por computador.

• El servicio de análisis de requerimientos para la instalación de equipos informáticos.

Esta clase excluye:

• La venta por separado de equipos o programas informáticos. Se incluye en la clase 4651, <Comercio al por mayor de computadores, equipo periférico y programas de informática> y en la clase 4741, “Comercio al por menor de computadores, equipos periféricos, programas de informática y equipos de telecomunicaciones en establecimientos especializados”, según corresponda.

• La instalación de computadores centrales y equipos similares. Se incluye en la clase 3320, <Instalación especializada de maquinaria y equipo industrial>.

• La instalación por separado (configuración) de los computadores personales e instalación por separado de software. Se incluye en la clase 6209, “Otras actividades de tecnologías de información y actividades de servicios informáticos”.

6311: procesamiento de datos, alojamiento (hosting) y actividades relacionadas.

Esta clase incluye:

• El suministro de infraestructura para servicios de hosting, servicios de procesamiento de datos y actividades conexas relacionadas.

• Las actividades especializadas en alojamiento de: sitios web, servicios de transmisión de secuencias de video por internet (streaming), aplicaciones, entre otros.

• El suministro de servicios de aplicación.

• El suministro a los clientes de acceso en tiempo compartido a servicios centrales.

• Las actividades de procesamiento de datos: elaboración completa de datos facilitados por los clientes y generación de informes especializados a partir de los datos facilitados por los clientes.

• El suministro de servicio de registro de datos.

• La tabulación y la digitación de todo tipo de datos.

• El escaneo óptico de datos y de documentos.

• El funcionamiento de oficinas de servicio de informática dedicadas al procesamiento de datos y alojamiento web.

Esta clase excluye:

• La explotación de los sitios web. Se incluye en la clase 6312, “Portales web”.

2.3.4. Copia de documento de identidad del representante legal.

El documento de identidad es llamado cédula de ciudadanía o C.C., para el caso de los ciudadanos colombianos mayores de edad. Este es el único documento de identificación válido para todos los actos civiles, políticos, administrativos y judiciales según la Ley 39 de 1961. Se expide para los ciudadanos colombianos al cumplir los 18 años de edad (mayoría de edad en Colombia). El organismo encargado para realizar las tareas de expedición de cédulas es la Registraduría Nacional del Estado Civil de Colombia. En el caso de los extranjeros, existe la cédula de extranjería que expide Migración de Colombia a manera de documento de identificación, con los mismos efectos que la cédula de ciudadanía. Ver numeral 2.3.3.1: Modelo copia de documento de identidad del representante legal.

2.3.4.1. Modelo copia de documento de identidad del representante legal.

Esta copia está dirigida al archivo de los requerimientos documentales presentados por [Razón social empresa, consorcio o unión temporal], en su intención de participar en el proceso que adelanta la Superintendencia de Puertos y Transporte para prestar el servicio a los Centros de Reconocimiento de Conductores (CRC) como proveedor del sistema de control y vigilancia.

R6246-3
R6246-3
 

2.3.4.2. Especificaciones de la entrega del documento.

La copia del documento de identidad debe estar a una ampliación de 150%.

La firma es de la persona que aparece en el documento de identidad.

En caso de ser el representante legal de una persona parte de una unión temporal o consorcio debe escribir: [Razón social unión temporal o consorcio (Razón social empresa)]

2.3.5. Certificado del pago de aportes parafiscales.

Toda empresa o unidad productiva que tenga trabajadores vinculados mediante contrato de trabajo debe hacer un aporte equivalente al 9% de su nómina por concepto de los llamados aportes parafiscales, los cuales se distribuirán de la siguiente forma: 4% para el subsidio familiar (cajas de compensación familiar), 3% para el Instituto Colombiano de Bienestar Familiar (ICBF) y 2% para el Servicio Nacional de Aprendizaje (SENA), o la normatividad vigente.

Acorde con lo señalado en el artículo 50 de la Ley 789 de 2002 y en el artículo 23 de la Ley 1150 de 2007 el aspirante, deberá entregar una certificación de cumplimiento de sus obligaciones con los sistemas de salud, riesgos profesionales, pensiones y aportes a las cajas de compensación familiar, Instituto Colombiano de Bienestar Familiar y Servicio Nacional de Aprendizaje, expedida por el revisor fiscal, cuando exista según los requerimientos de ley, o por el representante legal de la sociedad interesada, en la que se acredite que dicha compañía se encuentra al día en el pago de aportes al sistema de seguridad social integral (EPS, AFP, ARP, caja de compensación familiar, ICBF y SENA).

2.3.5.1. Especificaciones de la entrega del documento.

— Certificado emitido por revisor fiscal o representante legal según corresponda, basado en el tipo certificado de persona.

— Su expedición debe ser igual o inferior a 30 días calendario al de la fecha de radicación.

— Si la propuesta es presentada en unión temporal o en consorcio, se debe adicionar el certificado de pago de aportes parafiscales de cada una de la personas naturales y/o jurídicas que lo(a) conformen.

— En caso de ser un revisor fiscal el obligado a emitir el certificado deberá anexar fotocopia de la cédula de ciudadanía, fotocopia de la tarjeta profesional y antecedentes disciplinarios de la Junta Nacional de Contadores.

2.3.6. Certificación de composición de socios o accionistas.

Certificado firmado por el representante legal o el revisor fiscal dependiendo del tipo de empresa, en el que se relacionan los socios y/o accionistas o asociados que tengan directa o indirectamente el 5% o más del capital social, aporte o participación. Cuando esta información no conste en el certificado de existencia o representación expedido por la Cámara de Comercio. La certificación debe tener corte de la información en un término no superior a treinta (30) días de la fecha de presentación de la propuesta. Si dentro de la composición accionaria de la empresa se encuentra una persona jurídica cuya participación sea igual o superior al 5% del capital, esta debe aportar la composición de participación accionaria, proceso que debe repetirse hasta que los accionistas sean personas naturales. De cada accionista se debe incluir: nombre o razón social, identificación y porcentaje de participación, siempre y cuando esta sea igual o superior al 5%. Ver numeral 2.3.5.2: Modelo de certificación de composición accionaria.

2.3.6.1. Especificaciones de la entrega del documento.

El certificado de composición de socios o accionistas deberá ser emitido por el revisor fiscal de la empresa o consorcio. En caso de unión temporal se deberá presentar un certificado de composición de socios o accionistas de cada una de las empresas que conforman la unión temporal. En caso de no presentar la composición accionaria por su naturaleza jurídica, el representante legal del aspirante a proveedor deberá presentar una declaración juramentada, con reconocimiento de texto, firma y huella en notaría, de que no participará en más de una propuesta para el presente proceso.

El certificado deberá ser autenticado con firma y huella.

[Razón social empresa, consorcio o unión temporal], deberá reemplazarse por el nombre del ente.

[Número de NIT], debe ser reemplazado con el Número de Identificación Tributaria de la empresa o consorcio. En caso de unión temporal deberá colocar el nombre de la unión temporal y el nombre o razón social de cada una de las empresas que la conforman con su número de NIT, el revisor fiscal de cada empresa deberá expedir el certificado de la composición accionaria.

Deberá certificar el 100% de las acciones de la compañía.

[NN], debe reemplazarse por el día en número que se expide el certificado

[Mes en letras], debe reemplazarse por el mes que se expide el certificado, descrito en letras.

[AAAA], debe reemplazarse por el año en que se expide el certificado, descrito en cuatro dígitos.

[Número de la tarjeta profesional], debe reemplazarse por el número de la tarjeta profesional del revisor fiscal vigente.

Huella del revisor fiscal o representante legal dependiendo el tipo de empresa, debe colocarse la huella del revisor fiscal la cual debe ir autenticada.

1. En el caso de ser una Sociedad por Acciones Simplificadas SAS, podrá participar siempre y cuando presente la composición. En caso de no presentar la composición accionaria por su naturaleza jurídica, el representante legal del aspirante a proveedor deberá presentar una declaración juramentada, con reconocimiento de texto, firma y huella en notaría, de que no participará en más de una propuesta para el presente proceso.

2.3.6.2. Modelo de certificación de composición accionaria.

Ciudad, fecha (DD/MM/AAAA)

Composición accionaria

Certificación del revisor fiscal

El suscrito revisor fiscal de [Razón social empresa, consorcio o unión temporal], identificada con NIT [Número de NIT], hace constar que de acuerdo con el libro oficial de registro de accionistas, inscrito en el registro mercantil, de conformidad con las normas de auditoría generalmente aceptadas en Colombia.

CERTIFICA QUE:

La composición accionaria es la siguiente:

C.C./NITAccionistaAccionistas [Razón social empresa, consorcio] al corte de [DD/MM/AA]%
Nº de accionesValor nominal
[Número] [Razón social o nombre] NNN $$$,00 COP NN%
[Número] [Razón social o nombre] NNN $$$,00 COP NN%
[…]    
 Totales Nº total de acciones $$$,00 COP 100,00000

Se expide a los [NN] días del mes de [Mes en letras] de [AAAA], con destino a proceso de evaluación y homologación como aspirante a proveedor del sistema de control y vigilancia para los CRC.

Cordialmente,

[Nombres y apellidos del revisor fiscal]
Revisor fiscal
T.P. [Número de la tarjeta profesional]
[Razón social o nombre de la empresa o consorcio]
Huella del revisor fiscal

2.4. Lista de requerimientos administrativos.

Los requerimientos administrativos incluyen mecanismos que permitan la validación de aspectos tales como la trayectoria del aspirante, experiencia en proyectos similares de tecnología, experiencia del equipo de trabajo, entre otros.

2.4.1. Experiencia de la compañía.

La experiencia es el conocimiento del aspirante derivado de su participación previa en actividades iguales o similares a las previstas en el objeto del contrato.

Los aspirantes deben presentar los contratos o actividades que hayan celebrado para prestar los bienes y servicios que pretenden ofrecer y esta puede ser experiencia adquirida de forma directa o a través de la participación del aspirante en consorcios o uniones temporales. Esta experiencia se obtiene con entidades públicas, privadas, de ámbito nacional o extranjero.

La experiencia requerida debe ser adecuada y proporcional a la naturaleza del contrato o actividad y su valor. La experiencia es adecuada cuando es afín al tipo de actividades previstas en el objeto del contrato o actividad a celebrar. La experiencia es proporcional cuando tiene relación con el alcance, la cuantía y complejidad del contrato o actividad a celebrar.

La experiencia del oferente plural (unión temporal, consorcio y promesa de sociedad futura) corresponde a la suma de la experiencia que acredite cada uno de los integrantes del aspirante plural.

Por otra parte, cuando un aspirante adquiere experiencia en un contrato o actividad como integrante de un contratista plural, la experiencia derivada de ese contrato o actividad corresponde a la ponderación del valor del contrato por el porcentaje de participación.

La experiencia a acreditar debe estar compuesta de una combinación de actividades que garantice la cobertura de todos los aspectos que intervienen en la conformación del sistema de control y vigilancia para los centros de reconocimiento de conductores.

Conforme a lo establecido en el Manual para determinar y verificar los requerimientos habilitantes en los procesos de contratación-versión M-DVRHPC-04 de Colombia Compra Eficiente: “Si en el proceso de contratación no es obligatorio que los oferentes cuenten con RUP, la entidad estatal de forma autónoma debe definir la forma de acreditar los requerimientos habilitantes de experiencia, capacidad jurídica, capacidad financiera y capacidad organizacional”. En este caso, la entidad considera que los requerimientos exigidos a continuación aseguren la idoneidad de los posibles proveedores.

1. Cuantía total de la experiencia requerida. La cuantía de la experiencia debe ser igual o superior a 7.759 smmlv (salarios mínimos mensuales legales vigentes).

2. Cuando las certificaciones expresen su valor en dólares, se tendrá en cuenta la TRM a la fecha en que se celebró el contrato certificado.

3. En caso de presentar certificaciones globales. Deberán desglosar el monto o porcentaje y objeto para el cual aplica dicha certificación.

4. Número de contratos a certificar: los aspirantes deberán acreditar experiencia mediante certificación firmada por los contratantes o entes gubernamentales en máximo seis (6) certificaciones.

5. Antigüedad en celebración de contratos: las certificaciones de experiencia ejecutada deberán tener una antigüedad máxima de cinco (5) años a la fecha de radicación de la carta de interés.

6. Acreditación de la experiencia: acreditar experiencia mediante certificación firmada por los clientes o entidades gubernamentales en por lo menos un proyecto en sistemas que incluyan alguna de las siguientes funcionalidades:

a) Seguridad informática y/o seguridad de la información: manejo de riesgo, protección de datos, cifrado de información, auditoría de bases de datos, centro de operaciones de seguridad (SOC), correlación de eventos.

b) Software: desarrollo y/o implantación de software.

7. Cumplimiento de contratos: aquellas certificaciones de experiencia que califiquen el cumplimiento del contrato como “malo”, “regular”, o expresiones similares que demuestren el cumplimiento no satisfactorio del mismo o que indiquen que durante su ejecución fueron sujetas a multas o sanciones debidamente impuestas por la administración o que a las mismas se les haya hecho efectiva la cláusula penal estipuladas en los contratos, no se aceptarán por el ente evaluador.

El aspirante acreditará la experiencia requerida para este proceso de evaluación a través de los siguientes pasos: a) mediante el diligenciamiento del modelo de certificaciones de experiencia del aspirante, numeral 2.4.1.2; y, b) mediante la presentación de certificaciones expedidas por quien otorga la misma. En caso de que el comité evaluador requiera información adicional, se solicitará la copia del contrato.

2.4.1.1. Especificaciones de la entrega del documento.

Cada formato de certificaciones de experiencia del aspirante deberá estar firmado y con huella legible por el representante legal del aspirante debidamente autenticado en notaría con firma y huella.

Deberá aportar adicionalmente una certificación firmada por parte del cliente con el objeto del contrato, monto, la fecha de inicio del contrato, la fecha de finalización del contrato, calificación del cumplimiento o porcentaje de ejecución.

Si la propuesta es presentada en unión temporal o en consorcio, se debe presentar el modelo de certificaciones de experiencia del aspirante de cada una de las empresas que lo(a) conformen.

2.4.1.2. Modelo de certificaciones de experiencia del aspirante.

Modelo de certificaciones de experiencia del aspirante
Empresa que certifica  
Fecha de expedición de la certificación DD/MM/AAAA
Nombre o razón social del cliente  
NIT del cliente  
Objeto del contrato-(solo si aplica)  
Nombres y apellidos de quien expide la certificación 
Grupo y actividad al que pertenece esta experiencia • Seguridad informática y/o seguridad de la información: manejo de riesgo, protección de datos, cifrado de información, auditoría de bases de datos, centro de operaciones de seguridad (SOC), correlación de eventos.
• Software: desarrollo y/o implantación de software.
Fecha de inicio MM/AAAA
Si actúa en unión temporal o consorcio indicar el % de participación  
Fecha terminación MM/AAAA
Valor-(solo si aplica) COP vigencia 2015-smmlv vigencias posteriores.
Porcentaje de ejecución  
Página web del cliente  
Correo electrónico del contacto-cliente  
Teléfono del contacto-cliente  
Ciudad y dirección del cliente 

_________________________________________________
Firma y huella representante legal del aspirante

2.4.2. Certificaciones exigibles a la compañía.

El aspirante a proveedor del sistema de control y vigilancia deberá contar con certificación de sistema de gestión de la calidad. En caso de unión temporal o consorcio al menos una de las sociedades deberá contar con la certificación de calidad. La certificación deberá estar vigente a la fecha de evaluación.

ISO 9001: es la base del sistema de gestión de la calidad ya que es una norma internacional y que se centra en todos los elementos de administración de calidad con los que una empresa debe contar para tener un sistema efectivo que le permita administrar y mejorar la calidad de sus productos o servicios. Los clientes se inclinan por los proveedores que cuentan con esta acreditación porque de este modo se aseguran de que la empresa seleccionada disponga de un buen sistema de gestión de calidad (SGC).

El aspirante a proveedor del sistema de control y vigilancia deberá contar por lo menos con una de las siguientes certificaciones: CMMI nivel 3 o superior en cualquier de sus áreas, IT MARK, ISO 27001, ISO 20000, ISO 15504.

CMMI: es un modelo para la mejora y evaluación de procesos para el desarrollo, mantenimiento y operación de sistemas de software. Es un modelo de evaluación de los procesos de una organización y se ha convertido en un estándar para promocionar la capacidad de desarrollar software de alta criticidad, una ventaja para las empresas que participan de proyectos complejos, riesgosos y de alto costo. De acuerdo con la dirección de políticas y desarrollo TI del Ministerio TIC, las organizaciones que implementan el CMMI tienen costos predecibles y cumplen sus actividades dentro de los cronogramas indicados, lo que sin duda redunda en resultados de calidad en sus negocios, contribuyendo al mejoramiento de la competitividad de la empresa, un factor que lo hace diferenciador entre sus competidores.

Las mejores prácticas CMMI se publican en los documentos llamados modelos. En la actualidad hay tres áreas de interés cubiertas por los modelos de CMMI: desarrollo, adquisición y servicios. El modelo presenta 5 niveles de madurez. Para ser evaluado en determinado nivel, se debe implementar un conjunto determinado de prácticas (requeridas).

A grandes rasgos, estas son las características de cada nivel:

Nivel 1: en este nivel se encuentra la mayoría de las organizaciones. Los procesos son impredecibles, pobremente controlados y reactivos.

Nivel 2: las áreas de proceso de este nivel están orientadas a la gestión. Los procesos son definidos, documentados, utilizados y medidos.

Nivel 3: en este nivel los procesos se encuentran estandarizados y documentados a nivel organizacional. Las áreas de proceso que se incorporan están orientadas a la ingeniería.

Nivel 4: en este nivel los procesos son predecibles, medibles y controlables. La calidad y productividad son predecibles cuantitativamente.

Nivel 5: las organizaciones que se encuentran en este nivel ponen foco en el mejoramiento continuo de sus procesos.

IT Mark: es una certificación en métodos técnicos y de negocio, enfocado hacia la mejora de procesos en Pymes del sector de tecnologías de información. IT Mark trabaja en componentes tales como la gestión de negocios que desarrollan estrategias comercial, financiera y de mercado. Además evalúa las inversiones de capital de riesgo, la gestión de seguridad de la información y finalmente, la implementación de procesos de software y sistema. De acuerdo al Ministerio TIC, las empresas que implementan IT Mark, tienen mejoras representativas en el desempeño empresarial, logran enormes avances hacia la calidad, eficiencia, productividad y competitividad, hasta lograr la madurez de sus organizaciones.

ISO 27001: es una certificación que define cómo organizar la seguridad de la información en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta norma constituye la base para la gestión de la seguridad de la información. La ISO 27001 es para la seguridad de la información, lo mismo que la ISO 9001 es para la calidad: es una norma redactada por los mejores especialistas del mundo en el campo de seguridad de la información y su objetivo es proporcionar una metodología para la implementación de la seguridad de la información en una organización. También permite que una organización sea certificada, lo cual significa que una entidad de certificación independiente ha confirmado que la seguridad de la información se ha implementado en esa organización de la mejor forma posible.

A raíz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma como base para confeccionar las diferentes normativas en el campo de la protección de datos personales, protección de información confidencial, protección de sistemas de información, gestión de riesgos operativos en instituciones financieras, etc.

ISO 20000: es el estándar reconocido internacionalmente en gestión de servicios de TI (tecnologías de la información). La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de información tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, telecomunicaciones, finanzas y el sector público.

La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implementado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requerimientos.

ISO 15504: es un estándar internacional de evaluación y determinación de la capacidad y mejora continua de procesos de ingeniería del software, con la filosofía de desarrollar un conjunto de medidas de capacidad estructuradas para todos los procesos del ciclo de vida y para todos los participantes. Es el resultado de un esfuerzo internacional de trabajo y colaboración y tiene la innovación, en comparación con otros modelos, del proceso paralelo de evaluación empírica del resultado. Norma que trata los procesos de ingeniería, gestión, relación cliente-proveedor, de la organización y del soporte. Se creó por la alta competencia del mercado de desarrollo de software, a la difícil tarea de identificar los riesgos, cumplir con el calendario, controlar los costos y mejorar la eficiencia y calidad. Este engloba un modelo de referencia para los procesos y sus potencialidades sobre la base de la experiencia de compañías grandes, medianas y pequeñas.

En caso de unión temporal o consorcio al menos una de las sociedades debe contar con la certificación en sistema de gestión de la calidad ISO 9001 y por lo menos uno de los miembros deberá contar con alguna de las certificaciones solicitadas (CMMI nivel 3 o superior, IT MARK, ISO 27001, ISO 20000 o ISO 15504). La certificación deberá estar vigente a la fecha de evaluación.

El aspirante acreditará las certificaciones requeridas para este proceso de evaluación a través de los siguientes pasos: a) mediante el diligenciamiento del modelo de certificaciones exigibles a la compañía, numeral 2.4.2.2.; y, b) mediante la presentación de certificaciones expedidas por quien otorga la misma. En caso de que el comité evaluador requiera información adicional, se le solicitará a la compañía aspirante.

2.4.2.1. Especificaciones de la entrega del documento.

Cada formato de certificaciones exigibles a la compañía del aspirante deberá estar diligenciado y también firmado con huella legible por el representante legal del aspirante debidamente autenticado en notaría con firma y huella.

Deberá aportar la(s) certificación(es) en ISO 9001 expedidas por las entidades certificadoras autorizadas y alguna de las siguientes certificaciones solicitadas: IT MARK, CMMI nivel 3 o superior, ISO 27001, ISO 20000 o ISO 15504. Si la propuesta es presentada en unión temporal o en consorcio, se debe presentar el modelo de certificaciones exigibles a la compañía de cada una de las empresas que lo(a) conformen y al menos una compañía o sociedad deberá cumplir con el certificado de calidad ISO 9001.

Marque con una X en los cuadros de diálogo donde cumpla y aporte los requerimientos.

2.4.2.2. Modelo de certificaciones exigibles a la compañía del aspirante.

Modelo de certificaciones exigibles a la compañía del aspirante
Nombre o razón social de la compañía del aspirante  
NIT de la compañía del aspirante 
Nombres y apellidos del representante legal de la compañía del aspirante 
Certificaciones aportadas Sistema gestión de la calidad:
• ISO-9001
• GP-1000 entidades públicas
Alguna o varias de las siguientes certificaciones:
• ISO 27001
• ISO 20000
• ISO 15504
• CMMI
• IT MARK
Certificación ISO 9001
Certificado Nº________________
Fecha de expedición: DD/MM/AAAA
Fecha de vencimiento: DD/MM/AAAA
Entidad certificadora: _____________________________
Teléfono contacto Ent. certificadora:_________________
Web consulta Ent. certificadora:_____________________
E-mail contacto Ent. certificadora:___________________
Certificación ISO 27001
Certificado Nº________________
Fecha de expedición: DD/MM/AAAA
Fecha de vencimiento: DD/MM/AAAA
Entidad certificadora: _____________________________
Teléfono contacto Ent. certificadora:_________________
Web consulta Ent. certificadora:_____________________
E-mail contacto Ent. certificadora:___________________
Certificación ISO 20000
Certificado Nº________________
Fecha de expedición: DD/MM/AAAA
Fecha de vencimiento: DD/MM/AAAA
Entidad certificadora: _____________________________
Teléfono contacto Ent. certificadora:_________________
Web consulta Ent. certificadora:_____________________
E-mail contacto Ent. certificadora:___________________
Certificación ISO 15504
Certificado Nº________________
Fecha de expedición: DD/MM/AAAA
Fecha de vencimiento: DD/MM/AAAA
Entidad certificadora: _____________________________
Teléfono contacto Ent. certificadora:_________________
Web consulta Ent. certificadora:_____________________
E-mail contacto Ent. certificadora:___________________
Certificado CMMI nivel___________
Certificado Nº________________
Fecha de expedición: DD/MM/AAAA
Fecha de vencimiento: DD/MM/AAAA
Entidad certificadora: _____________________________
Teléfono contacto Ent. certificadora:_________________
Web consulta Ent. certificadora:_____________________
E-mail contacto Ent. certificadora:___________________
Certificación IT MARK
Certificado Nº________________
Fecha de expedición: DD/MM/AAAA
Fecha de vencimiento: DD/MM/AAAA
Entidad certificadora: _____________________________
Teléfono contacto Ent. certificadora:_________________
Web consulta Ent. certificadora:_____________________
E-mail contacto Ent. certificadora:___________________

______________________________________________
Firma y huella del representante legal del aspirante

2.4.3. Equipo de trabajo exigible a la compañía.

El equipo de trabajo es el personal mínimo idóneo que debe tener la compañía para la ejecución del proyecto garantizando la atención suficiente y oportuna a todos los frentes operacionales involucrados dentro del funcionamiento del sistema de control y vigilancia.

2.4.3.1. Equipo de dirección.

2.4.3.1.1. Gerente de proyectos.

El gerente de proyectos tiene a su cargo la planificación, dirección y coordinación del proyecto en todos sus aspectos, definiendo y concretando los objetivos, identificando las actividades a realizar, los recursos técnicos y de personal, los plazos y los costos requeridos para la ejecución del mismo. Se encargará de mantener permanente contacto con las directivas de la entidad, el supervisor del sistema y demás personal que se requiera durante la ejecución del proyecto, y tomará las medidas preventivas y correctivas pertinentes para contrarrestar los riesgos que se detecten.

Se requerirá 1 (un) profesional en Ingeniería de Sistemas, Industrial, Electrónica o carreras afines, con posgrado en gerencia de proyectos o maestría en Ingeniería de Sistemas o con certificación de PMP y experiencia certificada en la dirección de proyectos en los últimos dos (2) años. Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, matrícula profesional vigente, certificaciones y demostrar que tienen algún tipo de contrato con el aspirante a proveedor.

2.4.3.2. Equipo de trabajo de seguridad.

Los aspirantes a proveedor deberán contar con los perfiles solicitados en los numerales subsiguientes y, en caso de subcontratar el servicio de SOC, se deberá anexar el contrato con la empresa que presta el servicio y las hojas de vida del personal solicitado.

2.4.3.2.1. Gerente de SOC.

El gerente de SOC tiene a su cargo el diseño, la planificación, dirección y coordinación de la seguridad de la información, de su monitoreo y tratamiento de las incidencias o novedades que se puedan presentar.

1 (un) profesional en Ingeniería de Sistemas, Industrial, Electrónica o carreras afines, con especialización o maestría en seguridad informática o certificación como auditor interno de ISO-27001. Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, matrícula profesional vigente, certificaciones y demostrar que tienen algún tipo de contrato con el aspirante a proveedor.

2.4.3.2.2. Oficial de seguridad.

Es el encargado de monitorear y evidenciar los diferentes casos de novedades y, darle el respectivo tratamiento a los eventos presentados. Debe establecer los controles respectivos para la defensa de los mismos.

1 (un) profesional en Ingeniería de Sistemas, Industrial, Electrónica o carreras afines, con especialización o maestría en seguridad informática o certificado como CISSP o CISM. Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, matrícula profesional vigente, certificaciones y demostrar que tiene algún tipo de contrato con el aspirante a proveedor.

2.4.3.2.3. Especialista DBA

El especialista es el encargado de establecer las políticas de acceso a las bases de datos y monitorear los eventos presentados en tiempo real, esta tarea la podrá realizar a través de herramientas de monitoreo activo de bases de datos o través de la activación y monitoreo de los logs de las bases de datos.

Se requerirá 1 (un) profesional en Ingeniería de Sistemas, Industrial, Electrónica o carreras afines, con certificación técnica o experiencia certificada como DBA en los últimos dos (2) años, matrícula profesional vigente, certificaciones y demostrar que tiene algún tipo de contrato con el aspirante a proveedor.

2.4.3.2.4. Especialista en Ethical Hacking 

Tiene a su cargo adelantar las actividades tendientes a detectar las debilidades y vulnerabilidades en los sistemas, utilizando para ello, el mismo conocimiento y herramientas de un hacker malicioso, con el fin de generar las herramientas de prevención que requiere el sistema.

Se requerirá 1 (un) profesional en Ingeniería de Sistemas, Industrial, Electrónica o carreras afines, certificado como CEH y/o CISSP, o contrato con una compañía para la prestación de servicios de Ethical Hacking que tenga personal certificado como CEH y/o CISSP. Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, matrícula profesional vigente, certificaciones y demostrar que tiene algún tipo de contrato con el aspirante a proveedor o con la compañía contratada para la prestación de servicios de Ethical Hacking.

2.4.3.3. Equipo de trabajo de desarrollo.

2.4.3.3.1. Gerente de operaciones.

El gerente de operaciones tiene a su cargo el diseño, la planificación, dirección y coordinación del desarrollo, pruebas, integraciones y la operación de una solución tecnológica, sistema o software de gestión.

Se requerirá un (1) profesional en Ingeniería de Sistemas, Industrial, Electrónica, de Redes o afines, con posgrado o certificación en ITIL o COBIT, con experiencia laboral como gerente, líder o coordinador en los últimos dos (2) años. Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, matrícula profesional vigente, certificaciones y demostrar que tiene algún tipo de contrato con el aspirante a proveedor.

2.4.3.3.2. Gerente de desarrollo.

El gerente de desarrollo tiene a su cargo garantizar que la solución a nivel técnico sea la más adecuada dependiendo de las necesidades actuales y previendo evolución a futuro. Válida (sic) previamente cada entrega.

Se requerirá un (1) profesional en Ingeniería de Sistemas, Electrónica o de Redes, con posgrado en Arquitectura, Construcción o Ingeniería de Software y experiencia laboral certificada como líder, coordinador o gerente de desarrollo en los últimos dos (2) años. Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, matrícula profesional vigente y demostrar que tienen algún tipo de contrato con el aspirante a proveedor. Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, matrícula profesional vigente, certificaciones y demostrar que tiene algún tipo de contrato con el aspirante a proveedor.

2.4.3.3.3. Ingenieros o tecnólogos de desarrollo.

Se hace necesario para la integración de los diferentes componentes del sistema de control y vigilancia para los CRC, una aplicación o software.

Se requerirá que los aspirantes a proveedores del sistema de control y vigilancia cuenten con:

Dos (2) profesionales en Ingeniería de Sistemas o Tecnólogo en Sistemas con certificación en los lenguajes de programación o experiencia laboral certificada en los últimos tres (3) años donde se encuentra construida la aplicación presentada. Con experiencia laboral certificada en los últimos dos (2) años.

Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, matrícula profesional vigente y demostrar que tienen algún tipo de contrato con el aspirante a proveedor.

En caso que el desarrollo sea de una fábrica de software deberá tener un contrato con dicha fábrica y las licencias de uso.

2.4.3.4. Equipo de trabajo de soporte.

Este equipo de soporte deberá ser el personal necesario para dar cumplimiento a la disponibilidad y continuidad de negocio, deberá estar entrenado para los diferentes casos de uso y niveles de soporte.

2.4.3.4.1. Coordinador de soporte.

El equipo de soporte requerido será mínimo un profesional en Ingeniería de Sistemas, Industrial, Electrónica o carreras afines con posgrado o certificación en ITIL al momento de presentarse al proceso de evaluación de homologación. Con el fin de asegurar la idoneidad y estabilidad del equipo de trabajo se deberá adjuntar copia de título profesional, matrícula profesional vigente, certificaciones y demostrar que tiene algún tipo de contrato con el aspirante a proveedor, además deberá demostrar experiencia como líder de soporte.

2.4.3.4.2. Personal de soporte.

Se requerirá mínimo de dos (2) profesionales en Ingeniería de Sistemas, Electrónica o Redes.

Se requerirá mínimo de cuatro (4) técnicos de soporte. Técnicos, tecnólogos o ingenieros de sistemas, electrónica, redes, telecomunicaciones o afines.

Posteriormente en entrada a operación el personal técnico necesario para cumplir con los ANS (acuerdo de niveles de servicio) solicitados de acuerdo al número de CRC contratados.

2.4.3.5. Mesa de ayuda.

Como un conjunto de recursos tecnológicos y humanos, para prestar servicios con la posibilidad de gestionar y solucionar todas las posibles incidencias de manera integral, junto con la atención de requerimientos relacionados a las Tecnologías de la Información y la Comunicación (TIC). El personal o recurso humano encargado de mesa de ayuda (MDA) debe proporcionar respuestas y soluciones a los usuarios finales, clientes o beneficiarios (destinatarios del servicio), y también puede otorgar asesoramiento en relación con una organización o institución, productos y servicios. Generalmente, el propósito de MDA es solucionar problemas o para orientar acerca de computadoras, equipos electrónicos o software. El aspirante a homologación debe entregar el esquema de atención de la mesa de ayuda firmado por un ingeniero con ITIL intermedio o superior, quien avale que los procesos de mesa de ayuda han sido diseñados basados en las mejores prácticas de ITIL.

Al entrar en operación, el equipo de mesa de ayuda será el necesario para el cumplimiento de los ANS (acuerdo de niveles de servicio) solicitados conforme al número de CRC contratados.

El aspirante aportará el equipo de trabajo exigible para este proceso de evaluación a través de los siguientes pasos: a) mediante el diligenciamiento del formato modelo de equipo de trabajo exigible a la compañía, numeral 2.4.3.7.; y, b) mediante la presentación adicional de: copia de título profesional, título de postgrado, certificaciones, experiencia comprobada y certificada, contrato laboral directo con el aspirante a proveedor y copia de la planilla del último mes en donde se evidencie el pago de los parafiscales de todos los profesionales. En caso de subcontratar el servicio de SOC, se deberá anexar el contrato con la empresa que presta el servicio y las hojas de vida del personal solicitado, quienes igualmente deben cumplir con los requerimientos exigidos.

2.4.3.6. Especificaciones de la entrega del documento.

— Cada formato modelo de equipo de trabajo exigible a la compañía, deberá estar diligenciado y también firmado con huella legible por el representante legal del aspirante debidamente autenticado en notaría con firma y huella.

— Deberá aportar para cada perfil: cargo, copia de título profesional, título de posgrado, certificaciones, experiencia comprobada y certificada, contrato laboral directo con el aspirante a proveedor y copia de la planilla del último mes en donde se evidencie el pago de los parafiscales de todos los profesionales.

— En caso de subcontratar el servicio de SOC, se deberá anexar el contrato vigente con la empresa que presta el servicio y las hojas de vida del personal solicitado.

2.4.3.7. Modelo de certificaciones exigibles a la compañía del aspirante:

Modelo de certificaciones exigibles a la compañía del aspirante
Nombre o razón social de la compañía del aspirante 
NIT de la compañía del aspirante 
Nombres y apellidos del representante legal de la compañía del aspirante 
Equipo de dirección
Gerente de proyectos (1).
Título profesional en: (especifique el título de grado)
Ingeniería de Sistemas,
Industrial,
Electrónica
Carreras afines
Posgrado o certificación: (especifique el título de posgrado)
En gerencia de proyectos
Maestría en Ingeniería de Sistemas
Certificación de PMP
Experiencia:
Dirección de proyectos en los últimos 3 años.
Tipo de contrato: (especifique el tipo de contrato)
Pago de aportes parafiscales: (especifique el o los números de folio donde aporta la planilla con dicho pago)
Equipo de trabajo de seguridad
Gerente de SOC (1).
Título profesional en: (especifique el título de grado)
Ingeniería de sistemas,
Industrial,
Electrónica
Carreras afines
Posgrado o certificación: (especifique el título de posgrado)
En seguridad informática
Certificación auditor interno ISO-27001
Tipo de contrato: (especifique el tipo de contrato)
Pago de aportes parafiscales: (especifique el o los números de folio donde aporta la planilla con dicho pago)
Equipo de trabajo de seguridad
Oficial de seguridad (1).
Título profesional en: (especifique el título de grado)
Ingeniería de Sistemas,
Industrial,
Electrónica
Carreras afines
Posgrado o certificación: (especifique el título de posgrado)
En seguridad informática
Certificado como CISSP
Certificado como CISM
Tipo de contrato: (especifique el tipo de contrato)
Pago de aportes parafiscales: (especifique el o los números de folio donde aporta la planilla con dicho pago)
Equipo de trabajo de seguridad
Especialista DBA (1.)
Título profesional en: (especifique el título de grado)
Ingeniería de Sistemas,
Industrial,
Electrónica
Carreras afines
Certificación técnica: (especifique el fabricante de la base de datos)
DBA
Tipo de contrato: (especifique el tipo de contrato)
Pago de aportes parafiscales: (especifique el o los números de folio donde aporta la planilla con dicho pago)
Equipo de trabajo de seguridad
Especialista en Ethical Hacking (1).
Título profesional en: (especifique el título de grado)
Ingeniería de Sistemas,
Industrial,
Electrónica
Carreras afines
Certificación técnica:
CEH y/o CISSP (adjuntar y especificar folio)
Contrato con una compañía para la prestación de servicios de Ethical Hacking.
Tipo de contrato: (especifique el tipo de contrato)
Pago de aportes parafiscales: (especifique el o los números de folio donde aporta la planilla con dicho pago)
Equipo de trabajo de desarrollo
Gerente de operaciones
Título profesional en: (especifique el título de grado)
Ingeniería de Sistemas,
Industrial,
Electrónica
Carreras afines
Posgrado o certificación: (especifique el título de posgrado)
ITIL
COBIT
Experiencia:
Experiencia como arquitecto de software o gerente de proyectos en los últimos dos (2) años
Tipo de contrato: (especifique el tipo de contrato)
Pago de aportes parafiscales: (especifique el o los números de folio donde aporta la planilla con dicho pago)
Equipo de desarrollo
Gerente de desarrollo
Título profesional en: (especifique el título de grado)
Ingeniería de Sistemas,
Electrónica
Posgrado:
Arquitectura de Software
Construcción de Software
Ingeniería de Software
Experiencia:
Experiencia como líder, coordinador o gerente de desarrollo en los últimos dos (2) años
Tipo de contrato: (especifique el tipo de contrato)
Pago de aportes parafiscales: (especifique el o los números de folio donde aporta la planilla con dicho pago)
Equipo de trabajo de desarrollo
Ingenieros o tecnólogos de desarrollo (2 mínimo).
Título en: (especifique el título de grado)
Ingeniería de Sistemas-(especifique cantidad)
Tecnólogo de Sistemas-(especifique cantidad)
Posgrado y certificación en: (especifique el título de posgrado)
Construcción de Software
Arquitectura empresarial de software
ITIL Foundation versión 3 o superior
Certificación técnica o laboral: (especifique el lenguaje de desarrollo en que se encuentra construida la aplicación)
Aplica (deberá adjuntar las respectivas certificaciones)
No aplica
Contrato con una fábrica de software: (especifique el contrato con dicha fábrica, licencias de uso)
Aplica (deberá adjuntar el contrato, licencias de uso y certificaciones del personal de la fábrica de software)
No aplica
Tipo de contrato: (especifique el tipo de contrato)
Pago de aportes parafiscales: (especifique el o los números de folio donde aporta la planilla con dicho pago)
Equipo de trabajo de soporte
Coordinador de soporte (1).
Título profesional en: (especifique el título de grado)
Ingeniería de Sistemas,
Industrial,
Electrónica
Carreras afines
Experiencia:
Experiencia como líder de soporte: (especifique el o los números de folio donde aporta la experiencia )
Tipo de contrato: (especifique el tipo de contrato)
Pago de aportes parafiscales: (especifique el o los números de folio donde aporta la planilla con dicho pago)
Equipo de trabajo de soporte
Personal de soporte.
Ingenieros (2 mínimo) técnicos, tecnólogos o ingenieros (4 mínimo)
Título profesional en: (especifique cantidad)
Ingeniería de Sistemas,
Industrial,
Electrónica
Carreras afines
Técnicos, tecnólogos o ingenieros TTI (especifique cantidad)
TTI 1
TTI 2
TTI 3
TTI 4
Mesa de ayuda Esquema de atención de la mesa de ayuda firmado por un ingeniero con ITIL intermedio o superior, quien avale que los procesos de mesa de ayuda han sido diseñados basados en las mejores prácticas de ITIL. (especifique el o los números de folio donde aporta la experiencia )

_________________________________________________________
Firma y Huella representante legal del aspirante

2.4.4. Aliado u operador de recaudo.

El aspirante a proveedor del sistema de control y vigilancia deberá contar con uno o más aliados u operadores de recaudo que deberán cumplir con los siguientes requerimientos:

1. Acreditar experiencia mediante certificación firmada por los clientes en por lo menos un proyecto donde se haya efectuado integración con los sistemas transaccionales de cualquier sector productivo en los últimos tres (3) años.

2. Ser un miembro del sistema financiero colombiano (en el caso de los bancos deberá ser calificado como de bajo riesgo), u operador postal de pago habilitado o autorizado en Colombia y que tenga convenio para este proyecto por lo menos con una entidad financiera vigilada por la Superintendencia Financiera de Colombia.

3. El aliado de recaudo deberá generar un número de identificación único de pago (PIN) a través de un proceso seguro, que se realiza a través de un algoritmo que concatena diferentes campos de información de una transacción, que finalmente se construye con un consecutivo secuencial, único e irrepetible de forma segura y deberá cumplir además con los siguientes criterios:

— Encriptación de los datos que viajan a través de la red.

— Actualización en línea de lo recaudado.

— Debe estar constituido un esquema de replicación en línea de los datos.

— Deberá emitir o generar comprobantes de recaudo, con posibilidades de emitir las copias necesarias.

— Contar con redundancia de un datacenter principal y un datacenter alterno, que garantice la continuidad del servicio.

— Deberá contar con dispositivos de seguridad perimetral en la red.

— Disponer de un canal de atención inmediata para los usuarios y/o clientes (PQR).

— Deberá tener restricción en la manipulación técnica de los equipos de cómputo o terminales en los puntos de recaudo.

— Debe permitir obtener datos del recaudo tales como fecha, hora, remitente, tipo ID del que compra, número de ID del que compra, y, con estos datos se genera un algoritmo hash cuyo resultado es un número el cual permite realizar verificaciones para cualquier intento de violación o cambio.

— Debe controlar, validar y llevar trazabilidad de los datos de pago tales como: número único de registro o número único de identificación de pago o compra, el valor del pago, el estado (pago o utilizado), fecha del uso del servicio, hora del uso del servicio, número único de uso, entre otros.

— Deberá presentar procedimiento que evite que traten de falsificar comprobantes de recaudo.

4. A través de él (sic) o los aliados de recaudo, el aspirante a proveedor deberá garantizar puntos de atención en todos los municipios del país donde se encuentren los centros de reconocimiento de conductores y deberá estar en la disposición de habilitar nuevos puntos de atención cuando queden puntos muy distantes de los CRC.

5. El o los aliados de recaudo, deberán generar una póliza de cumplimiento a favor de cada centro de reconocimiento de conductores y del homologado por el buen manejo del dinero recaudado.

6. El o los aliados de recaudo, deberán brindar diferentes medios de pago como pueden ser: pagos a través de internet, datáfonos, dispositivos satélites ubicados en los CRC, entre otros.

7. El o los aliados de recaudo deberán suscribir un documento de compromiso mediante el cual se obligan a cumplir con niveles de servicios del 99%, en los periodos de atención de los CRC.

8. El aliado de recaudo deberá contar con certificación de calidad.

9. Una vez la Superintendencia Financiera lo exija a sus vigilados, el o los aliados de recaudo deberán contar con alguna de las siguientes certificaciones: ISO 27001, PCI DSS 2.0.

En cualquier momento, el aspirante a proveedor o el proveedor autorizado de los sistemas de control y vigilancia de los centros de reconocimiento de conductores, podrá solicitar la ampliación del número de aliados de recaudo, cumpliendo con los requisitos antes señalados.

2.4.4.1. Cobertura y niveles de servicio.

El aliado de recaudo deberá cumplir con lo siguiente:

— Contar con puntos de atención propios o en convenio con otras entidades que cumplan los requerimientos aquí establecidos, en todos los municipios del país donde se encuentren los centros de reconocimiento de conductores habilitados.

— El aliado de recaudo deberá brindar diferentes medios de pago como pueden ser: pagos a través de Internet, datafonos o dispositivos satélites.

2.4.4.2. Compromisos posteriores.

— El aliado de recaudo deberá generar y entregar un oficio a la Superintendencia de Puertos y Transporte comprometiéndose generar una póliza de cumplimiento a favor de cada centro de reconocimiento de conductores y del homologado por el buen manejo del dinero recaudado y niveles de servicios del 99% en los periodos de atención de los CRC.

— El operador del recaudo deberá estar integrado con el sistema de control y vigilancia para la consulta, validación y consumo de los pines y la publicación para la Superintendencia de Puertos y Transporte de:

• Pines consumidos por los distintos CRC identificando el número de PIN, valor del pago, CRC donde fue consumido el PIN, datos del usuario, fecha y hora.

• Pines devueltos y/o pines no consumidos en un periodo superior a siete (7) días calendario.

2.4.5. Operador tecnológico del servicio para la autenticación biométrica de la Registraduría Nacional del Estado Civil (RNEC).

El aspirante a proveedor deberá contar con un operador del servicio para autenticación biométrica de las huellas dactilares que cumpla con todos los requerimientos y evaluaciones exigidos por la Registraduría Nacional del Estado Civil (RNEC) y habilitado por esta. El operador debe cumplir con los siguientes requerimientos:

• Acreditar cumplimiento de requerimientos con la RNEC.

• Deberá tener infraestructura tecnológica aprobada, desplegada, auditada por la RNEC y en producción realizando consultas permanentes para por lo menos una entidad pública o con funciones públicas del servicio de validación de identidad contra las bases de datos de identificación ciudadana (biometría), manejando el estándar ISO 19794-2, conforme a lo dispuesto en la Resolución 3341 del 2013 de la RNEC, su anexo y la normatividad vigente.

• La validación de identidad biométrica deberá tener características de firma electrónica con validez jurídica y probatoria según el Decreto 2364 de 2012, asegurando la autenticidad, integridad y no repudio de la transacción usando los mecanismos previstos por la Ley 527 de 1999.

• El operador del servicio que cumpla con los anteriores requerimientos deberá establecer un convenio con la Superintendencia de Puertos y Transporte para presentarse como operador biométrico homologado.

• El operador del servicio que cumpla con los anteriores requerimientos deberá establecer un convenio con la Superintendencia de Puertos y Transporte para presentarse como operador biométrico homologado.

2.5. Lista de requerimientos financieros.

Los requerimientos financieros buscan establecer unas mínimas condiciones que reflejan la salud financiera de los proponentes a través de su liquidez y endeudamiento. Estas condiciones muestran la aptitud del aspirante para cumplir oportuna y cabalmente el objeto del contrato.

La capacidad financiera requerida en cualquier proceso debe ser adecuada y proporcional a la naturaleza y al valor. En consecuencia, la entidad estatal debe establecer los requerimientos de capacidad financiera con base en su conocimiento del sector relativo al objeto del proceso de contratación y de los posibles oferentes.

En atención a la naturaleza del contrato a suscribir y de su valor, plazo y forma de pago, la entidad estatal debe hacer uso de los indicadores que considere adecuados respecto al objeto del proceso.

Las entidades estatales no deben limitarse a determinar y aplicar de forma mecánica fórmulas financieras para determinar los indicadores. Deben conocer cada indicador, sus fórmulas de cálculo y su interpretación.

Los indicadores de capacidad financiera contenidos en el artículo 10 del Decreto 1510 de 2013 son:

Índice de liquidez = activo corriente/pasivo corriente, el cual determina la capacidad que tiene un aspirante para cumplir con sus obligaciones de corto plazo. A mayor índice de liquidez, menor es la probabilidad de que el aspirante incumpla sus obligaciones de corto plazo.

Índice de endeudamiento = pasivo total/activo total, el cual determina el grado de endeudamiento en la estructura de financiación (pasivos y patrimonio) del aspirante. A mayor índice de endeudamiento, mayor es la probabilidad del aspirante de no poder cumplir con sus pasivos.

Capital de trabajo = activo corriente-pasivo corriente, el cual muestra la liquidez operativa que tiene un aspirante, es decir, el remanente del aspirante luego de liquidar sus activos corrientes (convertirlos en efectivo) y pagar el pasivo de corto plazo. Un capital de trabajo positivo contribuye con el desarrollo eficiente de la actividad económica del proponente. Es recomendable su uso cuando la entidad estatal requiere analizar el nivel de liquidez en términos absolutos.

La siguiente tabla muestra la interpretación de cada uno de los indicadores de capacidad financiera y su relación con la probabilidad de riesgo:

IndicadorSi el indicador es mayor, la probabilidad de riesgo es Límite
Índice de liquidez Menor Mínimo
Índice de endeudamiento Mayor Máximo

Entidades estatales pueden establecer indicadores adicionales a los establecidos en el numeral 3º del artículo 10 del Decreto 1510 de 2013, solo en aquellos casos en que sea necesario por las características del objeto a contratar, la naturaleza o complejidad del proceso de contratación. Es importante tener en cuenta que los indicadores pueden ser índices como en el caso del índice de liquidez (activo corriente dividido por el pasivo corriente) o valores absolutos como el capital de trabajo y el patrimonio.

La siguiente tabla presenta algunos indicadores adicionales de capacidad financiera:

IndicadorFormulaObservaciones
Capital de trabajo Activo corriente - Pasivo corrienteEste indicador representa la liquidez operativa del proponente, es decir, el remanente del proponente luego de liquidar sus activos corrientes convertirlos en efectivo y pagar el pasivo de corto plazo. Un capital de trabajo positivo contribuye con el desarrollo eficiente de la actividad económica del proponente. Es recomendable su uso cuando la entidad estatal requiere analizar el nivel de liquidez en términos absolutos.
Razón de efectivo Efectivo
_____________

Pasivo corriente
El efectivo es el activo con mayor grado de liquidez que tiene un proponente. La razón de efectivo considera la relación entre la disposición inmediata de recursos y las obligaciones a corto plazo. Es recomendable su uso cuando la liquidez es un factor primordial para lograr con éxito el objeto del proceso de contratación.
Prueba ácida(Activo corriente - Inventarios)
________________________

Pasivo corriente
Mide la liquidez del proponente de manera más estricta que índice de liquidez pues no tiene en cuenta su inventario. El inventario es excluido teniendo en cuenta que es la cuenta menos líquida del activo corriente y no debe ser usada para pagar obligaciones de corto plazo.
Concentración de endeudamiento a corto plazoPasivo corriente
_______________

Pasivo total
Mide la proporción de la deuda del proponente a corto plazo (menos a 1 año) sobre la totalidad de su deuda. Es recomendable incluir este indicador cuando existe un riesgo asociado al no pago de la deuda de corto plazo, por los cual un alto nivel de endeudamiento de corto plazo puede afectar la habilidad del proponente para cumplir con el objeto de contrato.
Concentración de endeudamiento a largo plazo Pasivo no corriente
________________

Pasivo total
Mide la proporción de la deuda del proponente a largo plazo (mayor a 1 año) sobre la totalidad de la deuda. Es recomendable incluir este indicador cuando i) existe un riesgo al no pago de la deuda de largo plazo, por lo cual un alto nivel de endeudamiento de largo plazo puede afectar la habilidad del proponente para cumplir con el objeto del contrato; y ii) el término del contrato es mayor a 1 año.
Patrimonio Activo total - Pasivo total Mide la cantidad de recursos propios del proponente. Es recomendable su uso cuando la entidad estatal requiere analizar la cantidad de recursos propios en términos absolutos cuando el presupuesto del proceso de contratación es muy alto y la entidad estatal debe asegurar la continuidad del proponente en el tiempo.

El aspirante a proveedor deberá presentar los siguientes estados financieros dictaminados de la sociedad:

a) Balance general, estado de resultados y las notas a los estados financieros, con corte al 31 de diciembre del año inmediatamente anterior a la presentación de la propuesta ante la Superintendencia de Puertos y Transporte, aprobados por el órgano competente, debidamente certificados y dictaminados (D. 2649/93, L. 222/95 y D. 1406/99).

El artículo 37 de la Ley 222 de 1995 y la Circular Externa 37 de 2001 de la Junta Central de Contadores establece en relación con los estados financieros certificados que: “El representante legal y el contador público bajo cuya responsabilidad se hubiesen preparado los estados financieros deberán certificar aquellos que se pongan a disposición de los asociados o terceros. La certificación consiste en declarar que se han verificado previamente las afirmaciones contenidas en ellos, conforme al reglamento y que las mismas se han tomado fielmente de los libros”.

Así mismo, los balances estarán discriminados de la siguiente manera: activos: corriente, no corriente y total

pasivos: corriente, no corriente, total y patrimonio

Cuando la entidad en desarrollo de la verificación financiera requiera confirmar información adicional del aspirante, podrá solicitar los documentos que considere necesarios para el esclarecimiento de la información, tales como, estados financieros de años anteriores, anexos específicos o cualquier otro soporte. Así mismo, requerirá las aclaraciones que considere necesarias, siempre que con ello no se violen los principios de igualdad y transparencia de la contratación, sin que las aclaraciones o documentos que el aspirante allegue a la solicitud de la Superintendencia de Puertos y Transporte (o a quien esta delegue) puedan modificar, adicionar o complementar la propuesta.

Para efectos del dictamen de los estados financieros, se tendrá en cuenta lo dispuesto en el artículo 38 de la Ley 222 de 1995 que indica: “Son dictaminados aquellos estados financieros certificados que se acompañen de la opinión profesional del revisor fiscal o, a falta de este, del contador público independiente que los hubiere examinado de conformidad con las normas de auditoría generalmente aceptadas. Estos estados deben ser suscritos por dicho profesional, anteponiendo la expresión “ver la opinión adjunta” u otra similar. El sentido y alcance de su firma será el que se indique en el dictamen correspondiente. Cuando los estados financieros se presenten conjuntamente con el informe de gestión de los administradores, el revisor fiscal o contador público independiente deberá incluir en su informe su opinión sobre si entre aquellos y estos existe la debida concordancia”. En consecuencia entiéndase que quien certifica los estados financieros no puede dictaminar los mismos. Solo se aceptará “dictamen limpio”, entendiéndose por este, aquel en el que se declara que los estados financieros presentan razonablemente en todos los aspectos significativos, la situación financiera, los cambios en el patrimonio, los resultados de operaciones y los cambios en la situación financiera de la entidad, de conformidad con los principios de contabilidad generalmente aceptados;

b) Fotocopia de la tarjeta profesional del contador, revisor fiscal o contador independiente, según corresponda;

c) Certificación expedida por la Junta Central de Contadores, la cual no será anterior a tres (3) meses de la fecha de presentación de la oferta, del contador, revisor fiscal o contador independiente, según corresponda.

Los aspirantes a proveedor deberán presentar los estados financieros dictaminados a corte 31 de diciembre del año inmediatamente anterior. Para los años subsiguientes.

En caso de que el aspirante a proveedor sea evaluado antes del 31 de marzo de la vigencia en que se presente, y no cuente con los estados financieros a corte de 31 de diciembre de la vigencia inmediatamente anterior, podrá presentar los estados financieros del subsiguiente año fiscal.

Se considerará habilitado financieramente el aspirante que cumpla con los siguientes indicadores:

Indicadores Concepto Requisito
Capital real Capital social, reservas constituidas, utilidades retenidas, utilidades del ejercicio > $2.500.000.000
Liquidez Activo corriente/Pasivo corriente >= 1,0
Nivel de endeudamiento Pasivo total/Activo total <= al 60%
Capital de trabajo Activo corriente - Pasivo corriente > $2.000.000.000
de riesgo Activo fijo/Patrimonio neto< 0,8

En caso de participar en unión temporal o consorcio, al menos uno de los miembros que lo conforman, deberá cumplir con los indicadores financieros.

2.6. Lista de requerimientos técnicos.

Este documento establece los requerimientos técnicos mínimos que deben ser cumplidos por el aspirante a proveedor para garantizar la operación del sistema de control y vigilancia para los CRC en sus diferentes componentes (centro de procesamiento de datos, centro de operaciones de seguridad, mesa de ayuda, red de comunicaciones, software de gestión y sistema de gestión de calidad) y de la información de cada una de las transacciones en tiempo real en el momento que se realicen en cualquiera de los equipos de cómputo de los CRC conectados al sistema, así como la generación, procesamiento y transmisión de la información requerida.

La determinación de los requerimientos y condiciones, por su condición fundamentalmente tecnológica, pueden estar sujetas a cambios como consecuencia del desarrollo de la tecnología. Para la elaboración de este documento, se ha tenido en cuenta la información en materia de normas, estándares y reglamentaciones técnicas internacionales, en caso que alguna de estas normas técnicas internacionales quedara en desuso, se debe utilizar cualquier otra norma que la reemplace.

La plataforma tecnológica (hardware, software, comunicaciones, bases de datos, etc.), necesaria para el control, seguimiento y auditoría por parte de la Supertransporte de las evaluaciones de aptitud física, mental y de coordinación motriz realizadas por los CRC, que deberá ser provista, instalada y puesta en operación por el operador, requiere cumplir como mínimo con lo siguiente:

• Centro de procesamiento de datos (CPD). Ubicación donde se concentran los recursos e infraestructura necesarios para el alojamiento y funcionamiento del sistema.

• Centro de operaciones de seguridad (SOC). Se compone de personas, procesos, infraestructura y tecnología dedicados a gestionar, tanto de forma reactiva como proactiva, amenazas, vulnerabilidades y en general incidentes de seguridad de la información, con el objetivo de minimizar y controlar el impacto en la organización.

• Mesa de ayuda (Help Desk) es un conjunto de recursos tecnológicos y humanos, para prestar servicios con la posibilidad de gestionar y solucionar todas las posibles incidencias de manera integral, junto con la atención de requerimientos relacionados a las Tecnologías de la Información y la Comunicación (TIC). El personal o recurso humano encargado de mesa de ayuda (MDA) debe proporcionar respuestas y soluciones a los usuarios finales, clientes o beneficiarios (destinatarios del servicio), y también puede otorgar asesoramiento en relación con una organización o institución, productos y servicios.

• Red de comunicaciones. Infraestructura necesaria para interconectar todos los elementos del sistema de control y vigilancia y los centros de reconocimiento de conductores y con la Superintendencia de Puertos y Transporte (interface).

• Software de gestión. Cada uno de los proveedores del sistema de seguridad, deberán proveer, a través de esta aplicación (software), a los centros de reconocimiento de conductores deberán realizar la evaluación y certificación con los procesos de: registro o enrolamiento de centros, representantes legales, administradores, recepcionistas, médicos y especialistas; validación del pago; asignación de citas; registro o enrolamiento del solicitante; autenticación y validación biométrica dactilar de los solicitantes y de los médicos o especialistas contra la base de datos de la RNEC y grabar en el mecanismo redundante; registro de la evaluación médica y sus cuatro etapas (psicomotriz, optometría, auditiva y médica); registro de la historia clínica. Esta aplicación estará alojada en el CPD e integrada en el SOC, el aliado de recaudo y el operador de validación biométrica de la RNEC. Este software de gestión deberá ser aprobado por la Superintendencia de Puertos y Transporte, que lo evaluará integralmente.

• Sistema de Gestión de Calidad. El Software de Gestión, deberá tener una herramienta como instrumento de registro, verificación y control de los actores y sus procesos que se regulan es este acto.

2.6.1. Documentación técnica.

Para todos los casos se deberá aportar por parte del aspirante a proveedor la siguiente documentación técnica:

1. Adjuntar copia del certificado de registro de soporte lógico de la Dirección Nacional de Derechos de Autor. En el caso de que el aspirante utilice una licencia de software de una solución fabricada por otra compañía, el aspirante deberá adjuntar copia de la licencia de uso por parte de la compañía fabricante.

2. Adjuntar copia de la propiedad del aspirante a proveedor, o alguno de los miembros de la unión temporal o consorcio, o autorización del uso, de la patente otorgada de invención o modelo de utilidad de un sistema o estructura, para validar y autenticar información biométrica de usuarios y funcionarios en entidades remotas, expedida por la autoridad competente.

3. Adjuntar copia de contrato del centro de procesamiento de datos, en caso de que el CPD se encuentre subcontratado. Los contratos deberán tener una duración mínima de veinticuatro (24) meses.

4. Adjuntar relación de equipos identificando marca, modelo, el datasheet y soporte de Gartner o Forester Wave de las soluciones de servidores, IPS, Firewall, herramienta DAM, herramienta SIEM, SAN, escáner de vulnerabilidades, Application Delivery Controller, licencias de bases de datos, licencias de sistemas operativos. En el caso en el que el centro de operaciones SOC se encuentre subcontratado, la relación presentada deberá ser del proveedor contratado.

2.6.2. Aspectos técnicos generales.

La plataforma tecnológica que soporta el proceso de inspección, vigilancia y control de la realización de la evaluación y certificación de aptitud física, mental y de coordinación motriz por parte de los CRC, estará a cargo de los operadores homologados. Sus instalaciones y las del sistema de respaldo (sistema espejo), deberán estar ubicadas en la República de Colombia, en un sitio seguro, con controles de acceso y vigilancia, que permita procesos de auditoría sobre la información. Lo compone además de los elementos de hardware requeridos, un conjunto de programas (software) que garantizan la adecuada operación. A su vez, el sistema de control y vigilancia es el encargado del envío de la información solicitada por la Supertransporte en tiempo real.

Los servidores centrales del sistema de control y vigilancia deben tener la capacidad necesaria para garantizar el procesamiento de las operaciones realizadas en los CRC, con la concurrencia que el mercado demande. Estos servidores deben tener la capacidad de ser expandidos a medida que aumenten y/o cambien las necesidades. El sistema de control y vigilancia debe estar desplegado sobre una infraestructura en alta disponibilidad y contar con un CPD de respaldo para garantizar el nivel de servicio conforme el futuro contrato con los CRC.

El sistema de control y vigilancia deberá tener una infraestructura tecnológica estable que garantice la disponibilidad de la información almacenada en una las bases de datos: información de control, resultados de los eventos, información de los registros o transacciones generadas. Debe tener como mínimo: un arreglo de servidores redundantes, comunicaciones redundantes, un sistema de red de comunicación de datos y una base de datos relacional. El servidor o servidores deberán cumplir con los requerimientos de conectividad y seguridad (se utilizan como guía los estándares IEEE 802 y 27001).

• Registrar todas las transacciones y operaciones realizadas desde los computadores y equipos ubicados en los CRC interconectados al sistema de control y vigilancia: transacciones, eventos, datos de control, así como eventos de funcionamiento del sistema de control y vigilancia;

• Toda transacción debe ser replicada al sistema redundante de respaldo. Se debe de garantizar que el 100 % de las transacciones se encuentran replicadas al momento de requerirse la entrada en operación del sistema de respaldo.

• Registro de todo el proceso de evaluación y certificación en el software de gestión;

• Garantizar el correcto funcionamiento de las actividades del sistema de control y vigilancia en el CRC;

• Generar los mecanismos de seguridad de la información en línea, a través de alarmas y alertas.

• Con la solicitud presentada ante la Superintendencia, se entiende que el operador conoce que está obligado a generar todos los reportes y cruces de información que sean solicitados por la Superintendencia.

2.6.3. Componentes del sistema de control y vigilancia y sus requerimientos técnicos.

El sistema técnico y en general el conjunto de sistemas e instrumentos técnicos o telemáticos, que posibiliten el registro, control e inspección; deberá disponer de los mecanismos de autenticación suficientes para garantizar, entre otros, la confidencialidad e integridad en las comunicaciones, validación, autenticidad y cómputo, el control de su correcto funcionamiento y el acceso a los componentes del sistema informático.

Los operadores, deben disponer del material de software, equipos, sistemas, terminales e instrumentos en general, necesarios para el desarrollo de las actividades de inspección, vigilancia y control; debidamente homologados bajo los requerimientos técnicos y el establecimiento de las especificaciones necesarias para su funcionamiento.

El proceso conforme a lo dispuesto en la Resolución 13829 de 2014, deberá disponer de los componentes y características que se describen a continuación:

2.6.3.1. Centro de operaciones de seguridad SOC.

El cual estará conformado por un grupo de personas, procesos, infraestructura y tecnología dedicados a gestionar, tanto de forma reactiva como proactiva, amenazas, vulnerabilidades y en general incidentes de seguridad de la información, con el objetivo de minimizar y controlar el impacto en la organización.

Para este proceso se necesitará proveer de sistemas hardware, software, comunicaciones, dispositivos de seguridad, servicios de integración y gestión de proyecto. A continuación se detallan los elementos hardware y software necesarios.

2.6.3.1.1. Seguridad física y ambiental.

La seguridad física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro del SOC, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro. Las principales amenazas que se prevén en la seguridad física son:

1. Desastres naturales, incendios accidentales.

2. Amenazas ocasionadas por el hombre.

3. Sabotajes internos y externos deliberados.

Se analizarán y evaluarán los peligros más importantes que se corren en un centro de operaciones y monitoreo; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.

2.6.3.1.2. Control de accesos:

2.6.3.1.2.1. Sistemas biométricos.

El centro de operaciones de seguridad deberá contar con un control de acceso biométrico a través de huella dactilar, o de reconocimiento facial, o de verificación de patrones oculares. Se validará que cumplan con los estándares actuales para el acceso biométrico seleccionado.

2.6.3.1.2.2. Protección electrónica.

2.6.3.1.2.2.1. CCTV (circuito cerrado de televisión)

El SOC deberá contar con un sistema de circuito cerrado de televisión, que permita monitorear y registrar las actividades de ingreso y las que se realizan al interior del SOC y el control sobre los elementos activos y pasivos dentro del mismo.

2.6.3.1.2.3. Condiciones ambientales.

2.6.3.1.2.3.1. Sistema contra incendios.

Los diversos factores a contemplar y verificar para reducir los riesgos de incendio a los que se encuentra sometido son:

• El SOC debe contar con elementos de detección y extinción de fuego, en relación al grado de riesgo y la clase de fuego que sea posible en ese ámbito.

• No debe estar permitido fumar en el área.

• El SOC debe contar con un esquema de evacuación, y su personal debidamente capacitado ante desastres.

• Seguridad del equipamiento. Es necesario proteger los equipos de cómputo instalándolos en áreas en las cuales el acceso a los mismos solo sea para personal autorizado. Además, es necesario que estas áreas cuenten con los mecanismos de ventilación y detección de incendios adecuados. Para protegerlos se debe tener en cuenta que:

• La temperatura no debe sobrepasar los 23 ºC.

• Deben instalarse extintores manuales (portátiles) y/o automáticos (rociadores).

2.6.3.1.2.3.2. Sistema de aire acondicionado. Se debe proveer un sistema de ventilación y aire acondicionado. Teniendo en cuenta que los aparatos de aire acondicionado son causa potencial de inundaciones, en caso de utilizar sistemas de enfriamiento por agua se verificará que estén instaladas redes de protección en todo el sistema de cañería al interior y al exterior.

2.6.3.1.2.3.3. Terremotos. El SOC deberá contar con un esquema seguridad contra desastres naturales como sismos, terremotos e inundaciones, deberá contar con un esquema de evacuación ante terremoto.

2.6.3.1.2.3.4. Sistema de alimentación ininterrumpida (SAI). EL SOC deberá contar con un sistema de corriente regulada en línea y de contingencia que garantice la operatividad en ausencia del sistema de suministro de energía principal por un tiempo mínimo de 4 horas continuas. Se verificará en la visita:

2.6.3.1.3. Seguridad lógica.

2.6.3.1.3.1. Controles de acceso.

2.6.3.1.3.1.1. Identificación y autenticación.

Todos y cada uno de los equipos que se encuentren en el SOC deberán contar con sistemas que permitan definir políticas de protección de acceso a la información, como lo son usuarios y contraseñas.

2.6.3.1.3.2. Roles.

Los sistemas instalados deben tener configurados y habilitados los roles de administración y operadores.

2.6.3.1.3.3. Modalidad de acceso. Los sistemas instalados deberán contar con medios seguros de acceso remoto para soporte y actualización a los mismos, por medio de VPN y sistemas de encriptación seguros.

2.6.3.1.3.4. Ubicación y horario. El SOC podrá estar ubicado en el territorio nacional, los costos de traslado y viáticos diferentes a la ciudad de Bogotá serán asumidos por el aspirante a proveedor para su verificación en la visita de evaluación, y con un horario de prestación de servicio igual al horario de atención de los CRC monitoreados.

2.6.3.1.3.5. Administración. La administración de los sistemas del SOC deberá estar a cargo de personal idóneo, con la experiencia solicitada demostrable. Utilizando herramientas de gestión y monitoreo, compatibles con los sistemas instalados.

2.6.3.1.3.6. Actualizaciones de sistemas y aplicaciones.

Los sistemas del SOC deberán contar con medios de actualización manual y en línea por internet con la web del fabricante que permita la actualización permanente del mismo y/o aplicación de hotfixes para los mismos en pro de un correcto funcionamiento.

Deberá contar con los siguientes dispositivos:

SoluciónRequisito mínimo
Firewall perimetral UTM Solución basada en hardware o software que deberá tener los servicios activos de Firewall, IPS (Intrusion Prevention System), escáner de vulnerabilidades de red y antivirus de red. Debe tener como mínimo 1 Gbps de throughput y fuente redundante o alta disponibilidad.
La solución utilizada deberá encontrarse en el cuadrante de Leaders, Visionaries o Challengers del Magic Quadrant for Unified Threat Management (UTM).
SIEM Solución basada en hardware o software para la correlación de eventos de seguridad generados por el equipamiento y aplicaciones de la red de la plataforma tecnológica del sistema de control y vigilancia.
La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant Security Information and Event Management de Gartner.
Protección de Endpoint Solución basada en software para protección antimalware de los servidores utilizados del sistema de control y vigilancia.
La solución utilizada deberá encontrarse en el cuadrante de Leaders o Visionaries del Magic Quadrant for Endpoint Protection Platforms de Gartner.
Web Application Firewall Solución basada en hardware, debe tener como mínimo funcionalidad de Firewall de aplicaciones web, que debe tener fuente redundante o alta disponibilidad.
La solución utilizada deberá encontrarse en el Magic Quadrant for Web Application Firewalls de Gartner.

2.6.3.2. Centro de procesamiento de datos (CPD)

El centro de procesamiento de datos es aquella ubicación donde se concentran todos los recursos necesarios para el procesamiento de la información del sistema de control y vigilancia. También se conoce como centro de datos o su equivalente en inglés datacenter. Un CPD, por tanto, es un edificio o sala de gran tamaño usada para mantener en él una gran cantidad de equipamiento electrónico.

Entre los factores más importantes que motivan la creación de un CPD se puede destacar el garantizar la continuidad y disponibilidad del servicio a clientes, empleados, ciudadanos, proveedores y empresas colaboradoras, pues en estos ámbitos es muy importante la protección física de los equipos informáticos o de comunicaciones implicados, así como servidores de bases de datos que puedan contener información crítica.

Requerimientos generales:

• Disponibilidad y monitorización “24x7x365” un centro de datos diseñado apropiadamente proporcionará disponibilidad, accesibilidad y confianza 24 horas al día, 7 días a la semana, 365 días al año.

• Fiabilidad: Los centros de datos deben tener redes y equipos altamente robustos y comprobados.

• Seguridad, redundancia y diversificación: almacenaje exterior de datos, tomas de alimentación eléctrica totalmente independientes y de servicios de telecomunicaciones para la misma configuración, equilibrio de cargas, sistemas de alimentación ininterrumpida o SAI, control de acceso, etc.

• Control ambiental I prevención de incendios: el control de ambiente trata de la calidad de aire, temperatura, humedad, inundación, electricidad, control de fuego, y por supuesto, acceso físico.

• Acceso a internet y conectividad a redes de área extensa WAN para conectividad a internet: los centros de datos deben ser capaces de hacer frente a las mejoras y avances en los equipos, estándares y anchos de banda requeridos, pero sin dejar de ser manejables y fiables.

• El centro de procesamiento de datos principal deberá estar ubicado en el territorio nacional y el centro de procesamiento de datos redundante podrá estar ubicado en el territorio nacional o extranjero, los costos de traslado y viáticos diferentes a la ciudad de Bogotá, serán asumidos por el aspirante a proveedor para su verificación en la visita de evaluación del centro de procesamiento de datos principal.

2.6.3.2.1. Seguridad física y ambiental.

La seguridad física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del CDP, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro. Las principales amenazas que se prevén en la seguridad física son:

1. Desastres naturales, incendios accidentales, tormentas e inundaciones.

2. Amenazas ocasionadas por el hombre.

3. Disturbios, sabotajes internos y externos deliberados.

Se analizarán y evaluarán los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.

2.6.3.2.2. Control de acceso.

Las áreas restringidas como los CPD necesitan una buena gestión de los accesos a la sala. Los sistemas de control de accesos son sistemas creados para la gestión e integración informática de las necesidades de una empresa relacionadas con el control de accesos de sus empleados o de personas ajenas en sus edificios y delegaciones, existen varias opciones de terminales según el nivel de seguridad necesario (banda magnética, proximidad, teclado/pin y biométrico). Sistemas biométricos. El centro de operaciones de seguridad deberá contar con un control de acceso biométrico a través de huella dactilar, o de reconocimiento facial, o de verificación de patrones oculares. Se validará que cumplan con los estándares actuales para el acceso biométrico utilizado seleccionado.

2.6.3.2.3. Protección electrónica.

Está basada en el uso de sensores conectados a centrales de alarma que reaccionan ante la emisión de distintas señales. Cuando un sensor detecta un riesgo, informa a la central que procesa la información y responde según proceda.

2.6.3.2.3.1. CCTV (circuito cerrado de televisión).

El centro de operaciones de seguridad deberá contar con un sistema de circuito cerrado de televisión, que permita monitorear y registrar las actividades de ingreso y las que se realizan al interior del CDP y el control sobre los elementos activos y pasivos dentro del mismo. También deberá contar con la posibilidad de interconectarse con el centro de monitorios de actividades de transporte de la Superintendencia.

2.6.3.2.4. Condiciones ambientales.

En un CPD el mantenimiento de unas condiciones ambientales adecuadas es indispensable para un funcionamiento coherente de los sistemas informáticos, por el cual se deben controlar y mantener factores como la temperatura, humedad, entre otros.

2.6.3.2.4.1. Sistema contra incendios.

Los diversos factores a contemplar y verificar para reducir los riesgos de incendio a los que se encuentra sometido un centro de cómputos son:

• El área en la que se encuentran las computadoras.

• El CDP debe estar en un sitio cuyos elementos local que no sean combustibles o inflamables.

• El local CPD no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases tóxicos o sustancias radioactivas.

• Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo.

• Debe construirse un “falso piso” instalado sobre el piso real, con materiales incombustibles y resistentes al fuego.

• No debe estar permitido fumar en el área de proceso.

• Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los materiales plásticos e inflamables.

• El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables.

• Seguridad del equipamiento. Es necesario proteger los equipos de cómputo instalándolos en áreas en las cuales el acceso a los mismos solo sea para personal autorizado. Además, es necesario que estas áreas cuenten con los mecanismos de ventilación y detección de incendios adecuados.

• Para protegerlos se debe tener en cuenta que:

• La temperatura no debe sobrepasar los 18 ºC y el límite de humedad no debe superar el 65% para evitar el deterioro.

• Los centros de cómputos deben estar provistos de equipo para la extinción de incendios en relación al grado de riesgo y la clase de fuego que sea posible en ese ámbito.

• Deben instalarse extintores manuales (portátiles) y/o automáticos (rociadores).

• Recomendaciones. El personal designado para usar extinguidores de fuego debe ser entrenado en su uso.

• Si hay sistemas de detección de fuego que activan el sistema de extinción, todo el personal de esa área debe estar entrenado para no interferir con este proceso automático.

• Implementar paredes protectoras de fuego alrededor de las áreas que se desea proteger del incendio que podría originarse en las áreas adyacentes.

• Proteger el sistema contra daños causados por el humo. Este, en particular la clase que es principalmente espeso, negro y de materiales especiales, puede ser muy dañino y requiere una lenta y costosa operación de limpieza.

• Mantener procedimientos planeados para recibir y almacenar abastecimientos de papel.

2.6.3.2.4.2. Sistema de aire acondicionado.

Se debe proveer un sistema de calefacción, ventilación y aire acondicionado separado, que se dedique al cuarto de computadoras CPD y equipos de proceso de datos en forma exclusiva. Teniendo en cuenta que los aparatos de aire acondicionado son causa potencial de incendios e inundaciones, en caso de utilizar sistemas de enfriamiento por agua se verificará que estén instaladas redes de protección en todo el sistema de cañería al interior y al exterior, detectores y extinguidores de incendio, monitores y alarmas efectivas.

2.6.3.2.4.3. Inundaciones.

Para evitar este inconveniente se verificará que tengan un plan para tomar las siguientes medidas:

— Techo impermeable para evitar el paso de agua desde un nivel superior.

— Puertas acondicionadas para contener el agua que bajase por las escaleras.

2.6.3.2.4.4. Terremotos.

El centro de procesamiento de datos (CPD) y el centro de operaciones de seguridad deberán estar en una edificación antisísmico conforme al estándar actual requerido.

2.6.3.2.5. Sistema de alimentación ininterrumpida (SAI).

EL CPD deberá contar con un sistema de corriente regulada en línea y de contingencia que garantice la operatividad en ausencia del sistema de suministro de energía principal del edificio por un tiempo mínimo de 4 horas continuas. Los equipos de sistema de alimentación ininterrumpida deberán ser protección nivel 9 (ON- UNE de doble conversión).

2.6.3.2.6. Red eléctrica.

Para el desempeño eficiente y seguro de un CPD, se hace necesario contar con una red de distribución eléctrica adecuada. Para los CPD certificados TIER II o superior, se verificará en sitio el cumplimiento de los estándares establecidos.

2.6.3.2.7. Ubicación.

El CPD principal deberá estar ubicado en territorio nacional, el sistema redundante (espejo) podrá estar ubicado en territorio nacional o extranjero, el sistema redundante deberá estar ubicado en un lugar diferente al CPD principal.

2.6.3.2.8. Consideraciones generales.

El CPD debe contar con componentes redundantes, menos susceptibles a interrupciones, tanto planeadas como las no planeadas. El CPD debe contar con piso falso, UPS y generadores eléctricos, conectados como mínimo a una sola línea de distribución eléctrica. El diseño del CPD debe ser mínimo (N+1), lo que significa que existe al menos un duplicado de cada componente de la infraestructura.

2.6.3.2.9. Seguridad lógica.

La seguridad lógica consiste en la “aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo”.

Es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputos no será sobre los medios físicos sino contra información por él almacenada y procesada.

Así, la seguridad física, solo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. El activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la seguridad lógica.

Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está permitido debe estar prohibido” y esto es lo que debe asegurar la seguridad lógica.

Los objetivos que se plantean son:

— Restringir el acceso a los programas y archivos.

— Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

— Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.

— Que la información transmitida sea recibida solo por el destinatario al cual ha sido enviada y no a otro.

— Que la información recibida sea la misma que ha sido transmitida.

— Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

— Que se disponga de pasos alternativos de emergencia para la transmisión de información.

2.6.3.2.9.1. Controles de acceso.

Los sistemas de control de acceso son sistemas creados para la gestión e integración informática de las necesidades de una empresa relacionadas con el control de accesos de sus empleados o de personas ajenas en sus edificios y delegaciones, existen varias opciones de terminales según el nivel de seguridad necesario (banda magnética, proximidad, teclado/pin, biométrico).

2.6.3.2.9.2. Identificación y autenticación. Todos y cada uno de los equipos que se encuentren en el CPD deberán contar con sistemas que permitan definir políticas de protección de acceso a la información, como lo son usuarios y contraseñas, con periodos de caducidad de contraseña, con combinaciones de complejidad, y de reusó de mínimo las 5 últimas contraseñas utilizadas.

2.6.3.2.9.3. Roles. Los sistemas instalados deben tener configurados y habilitados los roles de administración, operación y operador de backups.

2.6.3.2.9.4. Limitaciones a los servicios. Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.

2.6.3.2.10. Modalidad de acceso. Los sistemas instalados deberán contar con medios seguros de acceso remoto para soporte y actualización a los mismos, por medio de VPN y sistemas de encriptación seguros.

2.6.3.2.11 Ubicación y horario. El acceso a determinados recursos del sistema puede estar basado en la ubicación física y/o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso.

2.6.3.2.12 Administración. La administración de los sistemas del CPD deberá estar a cargo de personal idóneo, con la experiencia solicitada demostrable. Utilizando herramientas de gestión y monitoreo, compatibles con los sistemas instalados.

2.6.3.2.13 Administración del personal y usuarios-organización del personal.

Este proceso debe llevar los siguientes cuatro pasos:

1. Definición de puestos. Debe contemplarse la máxima separación de funciones posibles y el otorgamiento del mínimo permiso de acceso requerido por cada puesto para la ejecución de las tareas asignadas.

2. Determinación de la sensibilidad del puesto.

3. Elección de la persona para cada puesto.

4. Entrenamiento inicial y continuo del empleado.

2.6.3.2.13.1. Actualizaciones de sistemas y aplicaciones.

Los sistemas del CPD deberán contar con medios de actualización manual y en línea por internet con la web del fabricante que permita la actualización permanente del mismo y/o aplicación de hotfixes para los mismos en pro de un correcto funcionamiento.

2.6.3.2.14 Gestión de almacenamiento de la información.

El sistema de almacenamiento debe contemplar las siguientes consideraciones:

• Sistema de fuentes de poder N+1.

• El sistema de almacenamiento debe contemplar arreglos de discos en RAID 5 con spare disks, mínimo 1 disco en spare.

• Doble sistema de conexión con servidor, en iSCSI o F.O.

• Se debe considerar un sistema de respaldo de información, con procesos de restauración de la información y sus protecciones correspondientes. Se debe garantizar un respaldo de la información, donde deberá tener una redundancia de la base de datos. Se realizarán pruebas de restauración de datos.

• Debe contemplar interfaz de administración web, vía Ethernet.

• Debe configurarse alertas sobre eventos de control de espacio en disco, así como monitoreo de los eventos generados por posibles fallas o alarmas del hardware o configuraciones.

Se deben mostrar el procedimiento establecido para el manejo y almacenamiento de la información, donde se pueda constatar:

• Que la documentación del sistema estará protegida contra el acceso no autorizado.

• Que se tienen políticas, procedimientos y controles formales de intercambio de información.

• Se debe mostrar que se cuenta con registro de usuarios, contraseñas y privilegios por cada usuario.

• Se debe demostrar que los equipos cuentan con las respectivas licencias del software utilizado, incluyendo sistema operativo.

Se debe mostrar que se cuentan con procedimientos para el manejo y almacenamiento de la información con el fin de proteger la integridad de dicha información.

• Se debe demostrar que se cuenta con políticas y procedimiento de análisis del riesgo, disponibilidad e integridad de la información.

2.6.3.2.15. Normatividad en seguridad LOPD y LSSICE.

El aspirante debe garantizar que respeta la confidencialidad y el derecho de habeas data de sus clientes para acceder, conocer, modificar, actualizar, suministrar, rectificar o suprimir la información suministrada, así como para revocar la autorización otorgada para el tratamiento de la misma. Por lo tanto, el ejercicio de sus derechos se deberá realizar de acuerdo con los requerimientos establecidos en las disposiciones legales.

2.6.3.2.16. Auditorías de seguridad informática.

El homologado deberá someterse como mínimo a una auditoría en seguridad informática al año, por un auditor definido por la Superintendencia que escogerá por convocatoria pública. En la auditoría se validará el sostenimiento del cumplimiento de los requerimientos técnicos, jurídicos y administrativos, como homologado. Los costos de esta auditoría estarán a cargo del homologado.

2.6.3.2.17. Otros requerimientos.

El aspirante deberá presentar un documento técnico que permita garantizar la idoneidad del mismo. El documento técnico deberá contar con los siguientes capítulos:

• El aspirante debe anexar el esquema de soporte para atención de los ANS (acuerdo de niveles de servicio) de la solución completa.

• El aspirante a homologación podrá tener subcontratado el servicio de centro de operaciones de seguridad SOC. En este caso deberá presentar el contrato firmado con el proveedor que le preste el servicio de SOC mínimo por veinticuatro (24) meses y, las hojas de vida del equipo de seguridad podrán ser funcionarios del proveedor de SOC y cumpliendo con la totalidad de requerimientos administrativos exigidos para el equipo de trabajo. Se aclara que el único responsable ante la Superintendencia por los ANS (acuerdo de niveles de servicio) es el homologado y no el SOC contratado.

• En caso de presentar desarrollos propios, se debe adjuntar copia del certificado de registro de soporte lógico de la Dirección Nacional de Derechos de Autor. En el caso de que el aspirante utilice una licencia de software de una solución fabricada por otra compañía, el aspirante deberá adjuntar copia de la respectiva licencia.

• El aspirante a homologación podrá tener subcontratado el servicio de centro de procesamiento de datos (CPD). En este caso deberá presentar el contrato firmado con el proveedor que le preste el servicio de CPD mínimo por veinticuatro (24) meses y cumpliendo con la totalidad de requerimientos exigidos. Se aclara que el único responsable ante la Superintendencia por los ANS (acuerdo de niveles de servicio) es el homologado y no el CPD contratado.

• El proveedor deberá suministrar hardware, software, comunicaciones y servicios de integración y gestión de proyecto.

2.6.3.3. Sistema de gestión de calidad.

El sistema de gestión de calidad tiene como objetivo estandarizar y unificar los sistemas de gestión que los centros de reconocimiento de conductores establecen para realizar sus actividades de certificación de personas.

Asegurar que los organismos de certificación de personas que operan los esquemas de certificación de la aptitud física, mental y de coordinación motriz para conducir, trabajen de forma coherente, comparable y confiable.

Cumplir la reglamentación y legislación legal vigente aplicable a los CRC, unificar los criterios de evaluación definido por este sistema de gestión, con lo cual se busca proporcionar y mantener la confianza para todas las partes interesadas. Así mismo, se establecen las características del esquema de certificación que deberán implementar todos los centros de reconocimiento de conductores. El sistema de gestión de calidad regulado en el presente acto, deberá ser implementado por cada centro de reconocimiento de conductores.

2.6.3.3.1. Referencias normativas o marco legal.

• El sistema de gestión de calidad, deberá garantizar el cumplimiento de la normatividad legal vigente que regula la certificación de la aptitud física, mental y de coordinación motriz para conducir tales como:

• Código Nacional de Tránsito (L. 769-Modificaciones L. 1383/2010 y L. 1397/2010), la Resolución 217 de 2014 del Ministerio de Transporte.

• Código Nacional de Tránsito, Ley 769 de 2002 (Modificada por L. 1383/2010 y L. 1397/2010).

• La Ley 1539 de 2012.

• Resolución 217 de 2014 del Ministerio de Transporte.

• Resolución 9699 de 2014 de la Superintendencia de Puertos y Transporte.

• Resolución 13829 de 2014 de la Superintendencia de Puertos y Transporte.

• Resolución 2003 de 2014 del Ministerio de la Protección Social.

• Las demás que las complemente o se expidan con posterioridad.

2.6.3.3.2. Definiciones.

Gestión: actividades coordinadas para dirigir y controlar una organización en lo referente en la calidad.

Sistema: conjunto de elementos mutuamente relacionados que interactúan.

Sistema de gestión de calidad: es el sistema de gestión de calidad que cumple con los requerimientos de la Norma NTC ISO/IEC 17024:2013, o la norma vigente, y que asegura que los organismos de certificación de personas que operan los esquemas de certificación de la aptitud física, mental y de coordinación motriz para conducir, trabajen de forma coherente, comparable y confiable bajo un solo criterio unificado y/o modelo técnico. Este estandariza los criterios, tablas de equivalencia, técnicas de evaluación y calificación, entre otras.

Certificado de aptitud física mental y de coordinación motriz: es el documento expedido por el centro de reconocimiento de conductores, mediante el cual se certifica ante las autoridades de tránsito, que el aspirante a obtener por primera vez, recategorizar y/o refrendar la licencia de conducción posee la aptitud física, mental y de coordinación motriz que se requieren para conducir un vehículo automotor.

Esquema de certificación: requerimientos específicos de certificación relacionados con categorías especificadas de personas a las que se aplican las mismas normas y reglas particulares, y los mismos procedimientos. Es facultad exclusiva del Estado el diseño, desarrollo y validación del esquema de certificación.

Proceso de certificación: todas las actividades reguladas en el presente anexo que deben cumplir los centros de reconocimiento de conductores para evaluar y expedir la certificación de aptitud física, mental y de coordinación motriz.

Evaluación: proceso regulado en el presente anexo mediante el cual se evalúa en los aspirantes/pacientes el cumplimiento de los requerimientos del esquema de certificación, que conduce a una decisión de certificación.

Examen: mecanismo regulado en el presente anexo que hace parte de la evaluación, que mide la competencia de un aspirante/paciente por uno o varios medios, tales como, medios científicos, orales, prácticos y por observación.

Competencia: capacidad demostrada de aptitudes y/o habilidades y atributos personales, como se define en el esquema de certificación.

Solicitante/aspirante: persona que requiere al organismo de certificación de personas su participación en el proceso de certificación de un esquema de certificación en particular conductores.

Examinador: persona con las calificaciones técnicas y personales pertinentes, que es competente para llevar a cabo y/o calificar un examen.

Calificación: demostración de atributos personales, educación, formación y/o experiencia laboral.

Apelación: solicitud presentada por un aspirante, candidato o persona que requiere la certificación, para reconsiderar cualquier decisión adversa tomada por el CRC relacionada con el estado de certificación deseada.

Queja: solicitud, en el ámbito de la evaluación de la conformidad, distinta de una apelación, presentada por una organización o persona a un OC de certificación de personas, de acción correctiva relacionada con las actividades de dicho CRC.

Agudeza auditiva: capacidad de discriminación de estímulos auditivos.

Agudeza visual: capacidad de discriminar detalles de los objetos a una distancia determinada, teniendo en cuenta factores como condiciones de luminosidad, contraste y tamaño. Se evalúa la visión cercana y la visión lejana.

Agudeza visual cinética: capacidad de discriminar detalles de los objetos cuando existe movimiento relativo al sujeto.

Anamnesis: información general del candidato obtenida a partir de una entrevista inicial y que se consigna en la primera parte de la historia clínica.

Auditoría: proceso sistemático, independiente y documentado para la obtención de evidencias de cumplimiento del sistema de gestión de calidad, confrontándolo con las normas vigentes de los entes reguladores, orientadas al mejoramiento de su calidad y rendimiento.

Auditoría externa: las auditorías externas incluyen las que se denominan generalmente auditorías de segunda y tercera parte. Las auditorías de segunda parte las realizan las partes que tienen interés en la organización, por ejemplo, los clientes. Las auditorías de tercera parte las realizan organizaciones auditoras externas e independientes, con autoridad para certificar o acreditar una compañía bajo una norma de gestión establecida.

Auditoría interna: auditoría que realiza la organización al sistema de gestión de calidad implementado. La puede realizar personal interno.

Sistema obligatorio de garantía de calidad de atención en salud del sistema general de seguridad social en salud (SOGCS): es el conjunto de instituciones, normas, requerimientos, mecanismos y procesos deliberados y sistemáticos que desarrolla el sector salud para generar, mantener y mejorar la calidad de los servicios de salud en el país.

Calidad de la atención de salud: se entiende como la provisión de servicios de salud a los usuarios individuales y colectivos de manera accesible y equitativa, a través de un nivel profesional óptimo, teniendo en cuenta el balance entre beneficios, riesgos y costos, con el propósito de lograr la adhesión y satisfacción de dichos usuarios.

Sistema único de habilitación: es el conjunto de normas, requerimientos y procedimientos mediante los cuales se establece, registra, verifica y controla el cumplimiento de las condiciones básicas de capacidad tecnológica y científica, de suficiencia patrimonial y financiera y de capacidad técnico-administrativa, indispensables para la entrada y permanencia en el sistema, los cuales buscan dar seguridad a los usuarios frente a los potenciales riesgos asociados a la prestación de servicios y son de obligatorio cumplimiento por parte de los prestadores de servicios de salud y las EAPB.

Condiciones de capacidad tecnológica, científica y de infraestructura: son los requerimientos básicos de estructura y de procesos que deben cumplir los prestadores de servicios de salud por cada uno de los servicios que prestan y que se consideran suficientes y necesarios para reducir los principales riesgos que amenazan la vida o la salud de los usuarios en el marco de la prestación del servicio de salud.

Auditoría para el mejoramiento de la calidad de la atención de salud: es el mecanismo sistemático y continúo de evaluación y mejoramiento de la calidad observada respecto de la calidad esperada de la atención de salud que reciben los usuarios.

Software de gestión de calidad: es una herramienta tecnológica cuyo fin es centralizar, unificar y controlar todas las actividades propias del sistema de gestión de calidad de los CRC a nivel nacional.

Comité técnico: es la instancia asesora del Ministerio de Transporte y/o de la Superintendencia de Puertos y Transporte, encargada de proponer modificaciones, revisar, actualizar y avalar el esquema de certificación, las metodologías y los documentos que lo respaldan.

Miembros del comité técnico: los miembros del comité del esquema de certificación son funcionarios del Ministerio de Transporte y/o de la Superintendencia de Puertos y Transporte que demuestran competencia para desarrollar, revisar y validar el esquema de certificación. Esta facultad podrá ser delegada en el proveedor del sistema.

Método de evaluación: el método de evaluación será el regulado en el marco legal vigente. La validación de cada uno de los métodos deberá ser suministrado por el proveedor de los equipos utilizados por el centro de reconocimiento de conductores.

Esquema de certificación: requerimientos específicos para evaluación y certificación, regulados en la Ley 769 de 2002 o el marco legal vigente y desarrollado en el presente anexo, que deben cumplir los aspirantes/pacientes que deseen obtener por primera vez, recategorizar o refrendar su licencia de conducción de vehículos automotores.

Condiciones de capacidad tecnológica y científica: son los equipos y medios tecnológicos idóneos y requeridos para que cada uno de los CRC pueda desempeñar sus actividades de evaluación conforme a la normatividad vigente.

Centro de reconocimiento de conductores: los centros de reconocimiento de conductores son las instituciones que cuentan con la facultad para realizar la evaluación y certificación de la aptitud física, mental y de coordinación motriz para conducir.

Sistema integrado de seguridad: es una infraestructura tecnológica operada por cualquier ente público o privado previamente homologado por la Superintendencia de Puertos y Transporte, para asegurar el cumplimiento de los parámetros técnicos mínimos que le permita prestar con calidad el servicio para garantizar la expedición segura del certificado de aptitud física mental y de coordinación motriz.

Validez: los proveedores de los equipos e instrumentos utilizados en la evaluación suministrarán la información suficiente donde se garantiza que las pruebas miden lo requerido por el esquema de certificación.

Equidad: el esquema de certificación garantizará por sí mismo la igualdad de oportunidades de éxito a todos los pacientes/aspirantes.

Fiabilidad: la fiabilidad de las evaluaciones, sin perjuicio del evaluador o momento en que se realicen las pruebas, será garantizada por el esquema de certificación toda vez que se aplicarán las mismas formas de evaluación en todos los centros de reconocimiento de conductores a todos pacientes/aspirantes.

Desempeño: cada organismo garantizará la forma como el personal cumple con lo establecido en el esquema de certificación, a través de la evaluación del desempeño.

Baremación: los baremos iniciales serán suministrados por los proveedores de los diferentes equipos de evaluación y posteriormente el software de gestión ajustará los baremos de aprobación de conformidad con la población específica colombiana.

2.6.3.3.3. Requerimientos generales.

2.6.3.3.3.1. Temas Generales.

Los centros de reconocimiento de conductores, deberán cumplir con los siguientes documentos que los acreditan como una entidad legal, que en cualquier momento la superintendencia los podrá solicitar:

• Certificado de existencia y de representación legal de la sociedad.

• Certificado de matrícula mercantil del establecimiento de comercio.

• Formulario de inscripción en el registro especial de prestadores de servicios de salud.

• Certificado de suficiencia patrimonial.

• Balance general suscrito por un contador con tarjeta profesional y fotocopia de la cédula de ciudadanía.

• Concepto de uso de suelos.

• Licencia de construcción.

• Permiso de vertimientos líquidos y de emisiones atmosféricas.

• Sistema de prevención y control de incendios.

• Plan de emergencias y desastres.

• Planes de mantenimiento de la planta física, instalaciones físicas e instalaciones fijas.

• Planes de mantenimiento de los equipos.

• Certificación Invima de persona idónea para el mantenimiento de equipos biomédicos.

• Certificación de instalaciones eléctricas, expedida por un ingeniero eléctrico, un técnico del SENA en electricidad, donde indique que la instalación se encuentra actualizada con el Reglamento Técnico Internacional de Instalaciones Eléctricas.

2.6.3.3.3.2. Responsabilidad en materia de decisión de la certificación.

Los centros de reconocimiento de conductores son responsables por las certificaciones que emiten para lo cual deberán contratar bajo su responsabilidad, mediante contrato laboral al personal certificador.

2.6.3.3.3.3. Gestión de la Imparcialidad.

2.6.3.3.3.3.1. El organigrama de los centros de reconocimiento de conductores.

Deberá respetar como mínimo el siguiente esquema:

Organigrama de la alta dirección del OC

R6246
 

Organigrama del organismo de certificación de personas

R6246-2
R6246-2
 

Este será susceptible de ampliaciones de conformidad a las necesidades de la empresa, el mercado, etc.

Los centros de reconocimiento de conductores, implementarán el procedimiento para gestionar la imparcialidad.

Cada centro de reconocimiento de conductores, deberá publicar la declaración por la cual establece la importancia que se da a la imparcialidad en el proceso de evaluación y certificación.

2.6.3.3.3.3.2. Todo el personal del centro de reconocimiento de conductores, deberá estar sensibilizado en la imparcialidad del proceso, frente a sus solicitantes, candidatos y personas certificadas, por lo que en el área de inducción se deberá capacitar a los evaluadores y certificadores del procedimiento de imparcialidad.

2.6.3.3.3.3.3. El sistema de gestión de calidad, al contar con procedimientos estandarizados obligatorios para todas las evaluaciones, permite por sí solo que el proceso de evaluación y certificación sea equitativo para todos los solicitantes, candidatos y personas certificadas, así mismo no permite establecer algún tipo de restricción para acceder a la certificación y obliga a dar cumplimiento a lo establecido en las normas técnicas y legales vigentes.

2.6.3.3.3.3.4. Cada centro de reconocimiento de conductores podrá realizar convenios, alianzas o acuerdos comerciales, pero deberá registrar en la matriz de riesgos suministrada por el sistema de gestión de calidad los controles que adelanta para garantizar que los acuerdos comerciales no generan presiones indebidas que afecten la imparcialidad de las certificaciones.

2.6.3.3.3.3.5. Los centros de reconocimiento de conductores deberán diligenciar la matriz de riesgo, donde se identifican y gestionan las amenazas a la imparcialidad de manera continua y sistemática.

2.6.3.3.3.3.6. Al ser mandato legal el proceso de certificación se estructuró y gestionó de manera que garantiza y salvaguarda la imparcialidad del proceso de evaluación y certificación.

2.6.3.3.3.4. Responsabilidad legal y financiamiento. Solamente podrán operar como organismos de certificación de personas quien demuestre tener los recursos financieros suficientes para la operación. Los centros de reconocimiento de conductores deberán realizar un estudio de factibilidad del negocio y del costo de la implementación del mismo para, de acuerdo con los resultados, determinar si cuenta con los recursos financieros suficientes para cubrir la compra o alquiler de equipos biomédicos e informáticos, adecuación de instalaciones, contratación del personal durante por lo menos doce meses, pago de servicios de auditoría y acreditación y demás elementos requeridos para la operación.

Los centros de reconocimiento de conductores que operan al momento de ser promulgado este documento deberán demostrar la suficiencia patrimonial y financiera requerida por las normas legales vigentes para continuar operando, por lo que el representante legal deberá reportar a la Superintendencia de Puertos y Transporte de la información financiera del costo de su operación en el mes inmediatamente anterior, el precio de venta de cada examen y el valor de otros ingresos, para demostrar que el centro de reconocimiento de conductores es viable económicamente. Esta información será reportada a la DIAN para lo de su competencia.

El incumplimiento durante tres meses continuos de este numeral será causal de suspensión de la acreditación y desconexión del software de gestión hasta tanto demuestre que se encuentra en condiciones económicas y financieras para operar.

2.6.3.3.4. Requerimientos relativos a la estructura.

2.6.3.3.4.1. Dirección y estructura de la organización.

2.6.3.3.4.1.1. El centro de reconocimiento de conductores, da cumplimiento a este requisito con el organigrama establecido en el numeral 2.6.3.3.3.3.1.

2.6.3.3.4.1.2. Los individuos responsables de las siguientes actividades son:

a) Junta de socios o propietario, definen las políticas relativas a la operación del centro de reconocimiento de conductores, aporta el capital inicial o de trabajo;

b) El gerente o representante legal establece los procedimientos requeridos para la operación, contrata personal, realiza seguimientos al cumplimiento de las políticas establecidas por la junta de socios o dueño, gestiona recursos, firma acuerdos, contratos.

El responsable del área de calidad que puede ser el mismo gerente/representante legal, implementa el sistema de gestión de calidad única nacional, protocolos, programa de capacitación, programas de mantenimiento de equipos e instalaciones;

c) El contador es el responsable de las finanzas del organismo de certificación, quien informará al gerente/representante legal de la viabilidad financiera de la operación.

d) El desarrollo y mantenimiento del esquema de certificación está a cargo de la norma legal vigente;

e) Los profesionales en área de la salud como Psicología, Optometría, Fonoaudiología y medicina general serán los responsables de la evaluación;

f) Las decisiones relativas a la certificación estará a cargo de cualquier profesional de la salud.

2.6.3.3.4.2. Estructura del organismo de certificación en relación con las actividades de formación.

Este requisito no aplica ya que los centros de reconocimiento de conductores no realizan actividades de formación.

2.6.3.3.5. Requerimientos relativos al personal.

2.6.3.3.5.1. Requerimientos generales al personal.

2.6.3.3.5.1.1. Mínimo una vez al año el centro de reconocimiento de conductores realizará evaluación y seguimiento al desempeño del personal (recepcionista, psicología, optometría, fonoaudiología, medicina general y certificación) que interviene en el proceso de certificación. Esta evaluación de desempeño debe ser registrada en el software único de gestión en cuanto fecha de realización, resultado de la misma y método empleado.

2.6.3.3.5.1.2. Cada centro de reconocimiento de conductores deberá contar al menos con el siguiente personal para realizar sus actividades de certificación.

— Un psicólogo;

— Un optómetra;

— Un fonoaudiólogo;

— Un médico general;

— Un profesional de la salud (con función de certificador);

— Personal técnico, administrativo y subalterno que resulte necesario.

El centro de reconocimiento de conductores, debe asegurar que el personal evaluador y certificador cuenta con la competencia necesaria, para lo cual el sistema de gestión de calidad, cuenta con el procedimiento “Gestión humana” en el que se establece la metodología para asegurar la competencia del personal.

El centro de reconocimiento de conductores debe asegurar y demostrar que el personal con el que cuenta es suficiente para el volumen de atención que realiza.

2.6.3.3.5.1.3. En el software de gestión, se publican los perfiles de cargo en el que se establecen los deberes y responsabilidades de los evaluadores y certificadores.

2.6.3.3.5.1.4. Los centros de reconocimiento de conductores, deben mantener actualizado en su archivo físico los registros que demuestren, calificaciones, formación, experiencia, competencias para el personal evaluador y certificador.

2.6.3.3.5.1.5. El sistema de gestión de calidad cuenta con mecanismos de control que permiten garantizar la confidencialidad de la información que se genera en el proceso de evaluación y certificación de la aptitud psicofísica para conducir.

2.6.3.3.5.1.6. El centro de reconocimiento de conductores, debe contratar laboralmente al personal que interviene en el proceso de evaluación y certificación. Así mismo se deberán realizar las evaluaciones establecidas en la Resolución 2346 de 2007 del Ministerio de la Protección Social.

2.6.3.3.5.1.7. Cuando el centro de reconocimiento de conductores certifique a alguno de sus funcionarios, la evaluación deberá realizarse bajo supervisión para prevenir cualquier conflicto de interés que afecte la imparcialidad de las actividades.

2.6.3.3.5.2. Personal que interviene en el proceso de certificación.

2.6.3.3.5.2.1. Generalidades.

El personal que labora en el centro de reconocimiento de conductores debe registrar en el Software de Gestión, las personas hasta tercer grado de consanguinidad y afinidad, para que en el momento que estos soliciten certificación, se realice supervisión de las actividades de evaluación.

2.6.3.3.5.2.2. Requerimientos para examinadores.

2.6.3.3.5.2.2.1. El personal evaluador debe cumplir con los siguientes requerimientos:

— Hoja de vida.

— Certificados laborales o

— Certificados de estudio o

— Diploma universitario.

— Acta de grado.

— Carné y/o resolución de inscripción en la seccional de salud que realizará sus funciones.

— Tarjeta profesional para quienes aplique de acuerdo a su fecha de grado.

Posterior al proceso de contratación, se debe realizar una etapa de inducción en la que se asegure que cada evaluador conoce y es capaz de realizar las pruebas requeridas en la normatividad legal vigente para la certificación de la aptitud física, mental y de coordinación motriz para conducir.

Esta inducción debe cumplir con el siguiente esquema:

FaseInducciónTemasResponsableMétodo
PrimeraInformación de la empresa Funciones del cargo, historia de la empresa, organigrama. Administrador del centro.  
SegundaSensibilización en Norma ISO/IEC 17024 Se dan a conocer los lineamientos de la norma. Director de calidad Presentaciones Power Point
TerceraSensibilización en normatividad vigente para expedir certificados de aptitud psicofísica para conducir e instructivos de evaluación y manejo de equipos. Fase teórica. Se da a conocer la normatividad, pruebas a realizar y criterios de aprobación. Fase práctica. Una vez explicada la parte teórica, se procede a realizar etapa práctica.Para evaluador y certificador solo puede ser un profesional para que se encargue de esta actividadDocumental y presencial.
CuartaEvaluación de la inducción Se evalúa la adherencia a los temas impartidos. El responsable de la evaluación debe ser una persona diferente al que dictó la capacitación. La evaluación de la inducción deber ser realiza en el software de gestión

2.6.3.3.5.2.2.2. Cuando se evidencie que alguno de los funcionarios involucrados en el proceso de evaluación (recepción, evaluadores, certificador) tiene algún conflicto de interés, el centro de reconocimiento de conductores deberá realizar supervisión de las actividades para evitar que la confidencialidad e imparcialidad de las evaluaciones no se vea afectada. Esta supervisión deberá dejarse registrada.

2.6.3.3.5.2.3. Requerimientos relativos a otro personal.

El personal administrativo que interviene en el proceso de evaluación y certificación, (calidad, recursos humanos, gerencia) no puede realizar presiones indebidas en los evaluadores y certificadores. De presentarse alguna presión indebida, el profesional deberá registrar el hecho en el espacio de observaciones del software de gestión.

2.6.3.3.5.2.3.1. Contratación externa.

El centro de reconocimiento de conductores debe tener acuerdos documentados con todos los proveedores de productos y servicios relacionados directamente en el proceso de evaluación y certificación en los que se salvaguarde la confidencialidad y se eviten conflictos de interés.

La evaluación no puede ser subcontratada, esta debe ser realizada únicamente por el organismo habilitado y acreditado.

Cuando el organismo de certificación contrata externamente trabajos relacionados con la certificación debe:

a) Asumir la responsabilidad total por el trabajo contratado externamente;

b) Asegurarse de que el organismo que realiza los trabajos contratados externamente es competente y cumple las disposiciones aplicables de esta norma internacional, para lo cual se debe utilizar el formato evaluación de proveedores suministrado por el sistema de gestión de calidad;

c) Evaluar y hacer el seguimiento del desempeño de los organismos que realizan los trabajos contratados externamente de acuerdo con sus procedimientos documentados;

d) Tener registros que demuestren que los organismos que realizan los trabajos contratados externamente cumplen todos los Requerimientos pertinentes del trabajo contratado externamente;

e) Mantener una lista de los organismos que realizan trabajos contratados externamente.

2.6.3.3.5.2.3.2. Otros recursos.

Los centros de reconocimiento de conductores deben realizar las actividades de evaluación y certificación de la aptitud psicofísica para conducir utilizando instalaciones adecuadas, equipos y recursos requeridos en la normatividad legal vigente.

2.6.3.3.5.2.4. Requerimientos relativos a los registros y la información.

2.6.3.3.5.2.4.1. Registros de solicitantes, candidatos y personas certificadas.

• Los registros del proceso de evaluación y certificación como informe y certificado se almacenan magnéticamente en el software único de gestión, y en archivo físico para los centros de reconocimiento que deseen imprimir los registros del proceso.

• Los registros de certificación llevarán un consecutivo para cada centro de reconocimiento de conductores, solo podrán acceder a ellos personal autorizado como evaluadores y certificadores, con lo cual se salvaguarda la confidencialidad de la información.

• Este numeral no aplica, ya que si una persona certificada pierde alguna de sus facultades no es posible retirar la certificación emitida.

2.6.3.3.5.2.5. Información pública.

Cada centro de reconocimiento de conductores podrá consultar en cualquier momento si una persona posee una certificación vigente, válida, y su respectivo alcance ingresando al software de gestión.

2.6.3.3.5.2.5.1. El alcance de las certificaciones de la aptitud psicofísica para conducir que pueden ser expedidas por los Centros de reconocimiento de conductores son las siguientes:

Categorías del grupo 1 (particulares)Categorías del grupo 2 (públicas)
• A1 o 01: para conducir motocicletas hasta 100 c.c.
• A2 o 02: para conducir motocicletas, motociclos, mototriciclos mayores a 100 c.c.
• B1 o 03: para conducir motocarros, automóviles, camperos, camionetas y microbuses de servicio particular.
• C1 o 04: para conducir motocarros, automóviles, camperos, camionetas y microbuses de servicio público.
• B2 o C2 o 05: para conducir camiones rígidos, busetas y buses de servicios público y particular.
• B3 o C3 o 06: conducir vehículos articulados de servicio público.

El proceso de certificación se realiza teniendo en cuenta el enfoque funcional y deberá ser publicado en las carteleras del centro de reconocimiento de conductores.

Selección (recepción)Esta etapa comprende el proceso de recepción en el cual se selecciona a los aspirantes que ingresarán a la evaluación para certificar la aptitud psicofísica para conducir.
Aquí se deben tener en cuenta los requerimientos que se han establecido para ser admitido en el proceso de evaluación y certificación.
Determinación (evaluación)Una vez que se ha cumplido con los requerimientos definidos en la etapa de selección, se pasa al proceso de determinación que comprende 4 evaluaciones a saber:
Psicomotriz
Audiometría
Visiometría
Por último y sin excepción alguna, se realiza la evaluación de medicina general.
Atestación (certificación)Una vez han sido realizadas las 4 evaluaciones citadas en la etapa anterior, un profesional de la salud basado en los criterios de aprobación definidos en la normatividad legal vigente, tomará la decisión de otorgar la certificación de aptitud física mental y de coordinación motriz para conducir.
Realizada la atestación, el certificado es publicado a la plataforma del RUNT.

2.6.3.3.5.2.5.2. Los requerimientos para acceder al proceso de evaluación y certificación son los siguientes:

Esto deberá estar disponible en las carteleras informativas de cada centro de reconocimiento de conductores.

Categorías del grupo 1 (particulares) Categorías del grupo 2 (públicas)
— Saber leer y escribir.
— Ser mayor de 16 años.
— Estar inscrito en el RUNT.
— Estar a paz y salvo o contar con acuerdo de pago por concepto de comparendos o multas de tránsito.
— Obtener cita previa.
— Aportar un PIN como evidencia del pago del costo del examen.
— Presentar su documento de identificación (original).
— Diligenciar el formulario de solicitud.
— Autorizar el tratamiento de datos sensibles (biométricos y de la salud).
— Permitir el registro, autenticación y validación de la huella dactilar de los dedos índice derecho e izquierdo, en todo el proceso de evaluación.
— Presentarse con gafas, lentes, audífonos, prótesis o cualquier ayuda que requiera para conducir con seguridad.
— Permitir tomar una fotografía.
— Estar dispuesto a realizar las pruebas en el orden que se le indique.
— Saber leer y escribir.
— Ser mayor de 18 años.
— Estar inscrito en el RUNT.
— Estar a paz y salvo o contar con acuerdo de pago por concepto de comparendos o multas de tránsito.
— Obtener cita previa.
— Aportar un PIN como evidencia del pago del costo del examen.
— Presentar su documento de identificación (original).
— Diligenciar el formulario de solicitud.
— Autorizar el tratamiento de datos sensibles (biométricos y de la salud).
— Permitir el registro, autenticación y validación de la huella dactilar de los dedos índice derecho e izquierdo, en todo el proceso de evaluación.
— Presentarse con gafas, lentes, audífonos, prótesis o cualquier ayuda que requiera para conducir con seguridad.
— Permitir tomar una fotografía.
— Estar dispuesto a realizar las pruebas en el orden que se le indique.

El centro de reconocimiento de conductores debe tener publicidad exacta y no inducir al error a los solicitantes y/o candidatos.

2.6.3.3.5.2.6. Confidencialidad.

• La divulgación de la información solo podrá realizarse por intermedio del software de gestión y podrá acceder solo el personal autorizado con usuario, contraseña y autenticación biométrica dactilar, que son únicas e intransferibles.

• Todo el personal que labora en el centro de reconocimiento de conductores, debe firmar las actas de conflicto de interés, confidencialidad e imparcialidad.

• Las únicas fuentes autorizadas para recibir información sensible de los solicitantes/candidatos es el personal de recepción, y evaluación (psicólogo, optometría, fonoaudiología, medicina general). Esta información solo puede ser divulgada por solicitud escrita cuando la ley así lo requiera.

• El centro de reconocimiento de conductores debe registrar en la matriz de riesgos la manera en que asegura que los organismos relacionados no comprometen la confidencialidad.

2.6.3.3.5.2.7. Seguridad.

2.6.3.3.5.2.7.1. Las medidas de seguridad que se deben implementar para evitar el fraude durante el proceso de certificación son las siguientes:

a) Una vez el CRC ha entregado toda su documentación que soporta que es un establecimiento legal, se procederá a crear el CRC y sus usuarios en el software de gestión;

b) Todos los usuarios del software de gestión, deberán contar de un usuario y contraseña;

c) El sistema validará que un usuario con el rol de “médico general/psicólogo/fonoaudiólogo/optómetra/profesional certificador” se encuentren totalmente enrolados, es decir que hayan cargado su documento de identidad, capturado su información biométrica (foto, firma, huellas) y registrado su información personal. Si no se encuentran enrolados el software de gestión, no se permitirá su ingreso y por lo tanto no podrán participar en el proceso de expedición de un examen médico;

d) Todos los solicitantes deberán tener una cita previa en un CRC para proceder a realizar un examen médico, el software de gestión valida con el recaudador que el solicitante tenga un PIN válido de lo contrario no se permite la creación de la cita;

e) Antes de iniciar el proceso de expedición del examen médico él/la recepcionista carga el documento de identidad, captura la información biométrica (foto, firma, huellas) y registra la información personal del solicitante, el software de gestión valida la identidad del solicitante apoyado en RNEC y centrales de riesgo. Si todas las validaciones son exitosas el software de gestión graba la información del solicitante en una smart card que deberá presentar durante todo el proceso;

f) Durante el proceso de expedición del examen médico cada profesional de la salud y el paciente deberán registrar su huella al inicio y al final de cada prueba y presentar su smart card, el software de gestión valida la identidad del paciente y del médico;

g) Al finalizar el proceso, el médico certificador procede a registrar la información del examen ante el RUNT, el software de gestión expone un servicio para que se verifique que la información cargada en la plataforma del RUNT es la misma que se encuentra en la base de datos del software de gestión;

h) Durante todo el proceso, el sistema registra logs de auditoría que posteriormente se analizan con la ayuda de un correlador de eventos para generar alertas que indiquen procedimientos fuera del proceso establecido.

2.6.3.3.5.2.7.2. Los exámenes. Los exámenes que se aplican para evaluar la aptitud psicofísica para conducir y los rangos de aprobación, están publicados en la normatividad legal vigente, por lo cual todos los aspirantes/candidatos pueden conocer el material de los mismos. Sin embargo se han establecido los siguientes controles:

a) Para acceder al material de los exámenes cada evaluador debe ingresar al Software de Gestión con su respectivo usuario, contraseña y autenticación biométrica;

b) La naturaleza de los exámenes son electrónicos;

c) La seguridad se mantiene durante todo el proceso de examen, ya que solo acceden a ellos personal autorizado y que ha firmado acuerdos de confidencialidad e imparcialidad;

d) No se considera ninguna amenaza por el uso repetido de los exámenes.

2.6.3.3.5.2.7.3. Los centros de reconocimiento de conductores deben evitar las tentativas de fraude en el examen.

a) Los candidatos al firmar el formulario de solicitud se comprometen a no divulgar los exámenes que se practican ni tomar parte en prácticas fraudulentas;

b) Los candidatos nunca pueden estar solos en los lugares de evaluación, se requiere de la permanente vigilancia de los evaluadores;

c) El software de gestión requiere la confirmación de identidad del aspirante/candidato en todo el proceso de evaluación y certificación. Si la verificación no es satisfactoria, no se puede iniciar el procedimiento;

d) En la entrada de cada lugar de evaluación se debe colocar un aviso en el que se informe la prohibición de utilizar durante la ejecución de los exámenes aparatos electrónicos como celulares, tablet, etc.;

e) Los resultados de los exámenes quedan inmodificables una vez han sido guardados en las plantillas del software de gestión.

2.6.3.3.5.2.8. Esquemas de certificación.

2.6.3.3.5.2.8.1 Los centros de reconocimiento de conductores, deben aplicar el esquema de certificación definido en este documento, el cual está desarrollado con las evaluaciones y los criterios de aprobación establecidos en la normatividad legal vigente para la expedición del certificado de aptitud psicofísica para conducir.

2.6.3.3.5.2.8.2. El esquema de certificación desarrollado en el sistema de gestión de calidad, contiene:

a) Alcance de la certificación

El alcance de las certificaciones de la aptitud psicofísica para conducir que pueden ser expedidas por los centros de reconocimiento de conductores son las siguientes:

Categorías del grupo 1 (particulares)Categorías del grupo 2 (públicas)
A1 o 01: para conducir motocicletas hasta 100 c.c.
A2 o 02: para conducir motocicletas, motociclos, mototriciclos mayores a 100 c.c.
B1 o 03: para conducir motocarros, automóviles, camperos, camionetas y microbuses de servicio particular.
C1 o 04: para conducir motocarros, automóviles, camperos, camionetas y microbuses de servicio público.
B2 o C2 o 05: para conducir camiones rígidos, busetas y buses de servicios públicos y particular.
B3 o C3 o 06: conducir vehículos articulados de servicio público.

b) Estos deberán estar publicados en un lugar de fácil visualización;

c) Una persona certificada en este esquema ha cumplido con uno de los requerimientos para solicitar, renovar o recategorizar la licencia de conducción;

d) Para acceder al proceso de evaluación y certificación, no se requiere de competencia específica, ya que se certifican aptitudes físicas, mentales y de coordinación motriz que posee un individuo;

e) Las aptitudes que se requieren para obtener la certificación son las establecidas por la normatividad legal vigente como son físicas, mentales y de coordinación motriz para conducir vehículos automotores;

f) Los prerequerimientos son los establecidos en el numeral 7.3.2 de este numeral;

g) El código de conducta que un aspirante y candidato es el siguiente:

1. Es obligación del aspirante o persona certificada mantener un trato cordial y respetuoso no utilizar lenguaje vulgar o soez con las personas que se encuentren dentro de las instalaciones del centro de certificación de personas, en especial hacia el personal administrativo, médicos y profesionales de la salud del centro.

2. Todo aspirante está obligado a no fumar, consumir bebidas alcohólicas o sustancia psicoactivas durante su permanencia en las instalaciones del centro de certificación de personas.

3. Es obligación de todo aspirante no ofrecer dinero, dadivas o sobornos a los profesionales de la salud o cualquier otro funcionario del centro de certificación de personas para cambiar o mejorar los resultados de las evaluaciones psicosensométricas practicadas, so pena de incurrir en prisión.

4. En caso que se requiera alguna información adicional para poder tomar la decisión de certificación, el aspirante está en la obligación de proveerla en un plazo menor a 60 días y de esta manera poder culminar el proceso de certificación.

5. Durante todas las declaraciones, interrogatorios y evaluaciones dadas durante el proceso de certificación el aspirante mantendrá un total apego a la verdad y es consciente de las implicaciones legales que le acarreará cualquier falta en este aspecto.

6. Está terminantemente prohibido el porte de armas durante la permanencia del aspirante en las instalaciones del centro de certificación de personas.

2.6.3.3.5.2.8.3. Los requerimientos del proceso de certificación de la aptitud física, mental y de coordinación motriz para conducir son los siguientes:

a) Criterios para la certificación inicial y la renovación.

Certificación inicial: para otorgar un certificado de aptitud física, mental y de coordinación motriz para conducir, se evalúa al candidato frente a los requerimientos establecidos en la normatividad legal vigente los cuales han sido contemplados en este documento.

Renovación de la certificación: no es posible realizar renovación de las certificaciones aptitud psicofísica para conducir, ya que la normatividad que la reglamenta exige realizar la certificación sin tener en cuenta datos históricos, de tal manera que toda certificación se realiza como una solicitud inicial;

b) Métodos de evaluación, debido a que la normatividad legal vigente que reglamenta la expedición de la certificación de la aptitud física, mental y de coordinación motriz para conducir establece evaluaciones en áreas de la salud como audiometría, visiometría, psicología y medicina general, los métodos de evaluación están definidos propiamente en ellas mismas.

Estos métodos están detallados en los instructivos de evaluación visual, auditiva, psicomotriz y medicina general, los cuales hacen parte integral del sistema de gestión de calidad;

c) Métodos y criterios de vigilancia, suspender y retirar la certificación. Los criterios de vigilancia, suspensión y retiro de la certificación no aplican, ya que la normatividad legal vigente que reglamenta la expedición de la certificación de la aptitud física, mental y de coordinación motriz para conducir no los establece.

d) Criterios para efectuar cambios en el alcance o en el nivel de la certificación. La normatividad legal vigente que reglamenta la expedición de la certificación de la aptitud física, mental y de coordinación motriz para conducir establece toda certificación como una solicitud inicial, por lo cual una vez emitida la misma no es posible realizar modificaciones en su alcance o nivel ya certificado.

El esquema de certificación al ser propiedad del Estado colombiano, el desarrollo, revisión y validación le corresponde a este.

Los centros de reconocimiento de conductores no son dueños del esquema de certificación de la aptitud psicofísica para conducir, pero deben asegurar que aplica lo establecido en este ibídem comentario anterior, así como los demás requerimientos contemplados en este documento.

2.6.3.3.5.3. Requerimientos relativos al proceso de certificación.

2.6.3.3.5.3.1. Proceso de solicitud.

El sistema de gestión de calidad, suministrará a todos los centros de reconocimiento de conductores del país, el formato Solicitud, el cual contendrá como mínimo los siguientes elementos:

e) Número de PIN;

f) Nombres y apellidos completos del solicitante;

g) Fecha de nacimiento AAAA/MM/DD;

h) Estado civil;

i) Grupo sanguíneo y RH;

j) Afiliación a EPS;

k) Dirección de residencia;

l) Domicilio;

m) Teléfono;

n) Escolaridad;

o) Categoría;

p) Trámite;

q) Autorizaciones y consentimientos:

(1). Acepto cumplir con las disposiciones, obligaciones y deberes pertinentes al esquema de certificación.

(2). Autorizo que la información de mi historia clínica y mis datos personales, biométricos, confidenciales y sensibles, sean tratados, procesados, examinados, verificados y custodiados por el centro de reconocimiento de conductores.

(3). Autorizo el reporte ante el Registro Único Nacional de Tránsito (RUNT), del Ministerio de Transporte, solamente el contenido de la información de mi historia clínica que sea requerida para la expedición de mi licencia de conducción.

(4). Declaro que haré buen uso del certificado de aptitud expedido por el centro de reconocimiento de conductores y que no presentaré declaraciones relativas a la certificación.

(5). Acepto el tratamiento de mis datos sensibles o revisión de la información y registros asociados contenidos en mi historia clínica por: Organismo Nacional de Acreditación de Colombia, Superintendencia de Puertos y Transporte, o alguna otra entidad diferente a las autorizadas por Ley? Sí______ No ______

Nota: Los datos sensibles son aquellos que afectan la intimidad del titular o cuyo uso indebido pueda generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las condiciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición como los datos relativos a la salud, a la vida sexual y los datos biométricos.

(6). Si al final del proceso de certificación se expide el certificado, me comprometo a informar sin demora sobre cuestiones que puedan afectar mi capacidad para la certificación ofrecida, si este evento ocurre antes de realizar el trámite ante el organismo de tránsito.

(7). Me comprometo a no divulgar ningún material de los exámenes confidenciales realizados, ni tomar parte en prácticas fraudulentas de examen en el CRC.

(8). Me comprometo a no adulterar, falsificar, ni utilizar este certificado y emitir declaraciones de manera engañosa o no autorizada, so pena de responder civil, penalmente ante las autoridades de la República de Colombia.

(9). Conozco el procedimiento y evaluaciones médicas de certificación psicosensométrica que se me van a practicar en el CRC y doy mi consentimiento informado al CRC para realizar dichas evaluaciones definidas en el esquema de certificación, el cual me ha sido explicado por el personal de recepción del CRC. Así mismo he leído y comprendo el esquema de certificación descrito en la cartelera del CRC. Expreso voluntariamente mi intención de participar en las evaluaciones médicas, después de haber comprendido la información que se me ha dado acerca de los objetivos de las evaluaciones, mis derechos y responsabilidades. (10). Firmo este documento al frente legitimando mi capacidad legal para consentir.

En esta etapa del proceso de certificación, el software de gestión debe validar la identidad de la persona que realiza la solicitud confrontándola contra la réplica de la base de datos del operador de validación biométrica de la Registraduría Nacional del Estado Civil. Registrará en la base de datos la información obtenida de la validación para efectuar las comprobaciones de identidad en cada punto del proceso de evaluación y certificación.

Igualmente en esta etapa se dará a conocer el proceso de certificación, los derechos de los solicitantes y deberes de las personas certificadas y las tarifas

Cada centro de reconocimiento de conductores, deberá verificar la solicitud para confirmar que el solicitante cumple con los requerimientos para acceder al proceso de evaluación y certificación de la aptitud psicofísica para conducir.

2.6.3.3.5.3.2. Proceso de evaluación.

El proceso de evaluación establecido en el sistema de gestión de calidad, implementa el esquema de certificación establecido en la norma legal vigente, así:

• Cumplir con los requerimientos establecidos en el presente documento para ser admitido en el proceso de certificación.

• El centro de reconocimiento de conductores deberá aplicar los métodos de evaluación definidos en el sistema de gestión.

• Aplicar las evaluaciones valiéndose de personal calificado, medios tecnológicos y sistematizados requeridos para cada evaluación.

• Aplicar criterios de aprobación establecidas en la norma vigente para la certificación de la aptitud psicofísica para conducir.

• Validar la identidad del candidato al inicio y al final de cada prueba.

• Validar la identidad del profesional de la salud al inicio y al final de cada prueba.

• El proceso podrá iniciar por cualquiera de las áreas de optometría, audiometría y psicología.

• Para acceder a la evaluación de medicina general, el candidato deberá haber practicado previamente las evaluaciones de optometría, audiometría y psicología.

• Una vez registradas las primeras cien mil pruebas en el software de gestión, esta herramienta establecerá los tiempos mínimos para cada una de las evaluaciones. En caso de error por parte del evaluador en la utilización del software de gestión, se deberá generar la evidencia necesaria.

• No se podrá iniciar simultáneamente dos pruebas para el mismo evaluado.

• No se podrá iniciar simultáneamente dos pruebas por el mismo evaluador salvo en el área de psicología, en donde se permitirá máximo tres candidatos al mismo tiempo.

• El centro de reconocimiento de conductores deberá garantizar la realización de todas las pruebas establecidas en la normatividad vigente para expedir la certificación de la aptitud psicofísica para conducir.

2.6.3.3.5.3.3. Proceso del examen.

El proceso del examen establecido en el sistema de gestión de calidad, aplica el esquema de certificación establecido en la norma legal vigente, así:

• El salón destinado para cada uno de los exámenes, deberá contar con un área mínima de 10 m2 y el menor de los lados deberá medir mínimo 2.5 metros.

• El examen de audiometría deberá realizarse en un medio sonoamortiguado, empleando una cabina insonora.

• El proceso de examen deberá ser realizado por profesionales en cada una de las áreas correspondientes a Psicología, Optometría, Fonoaudiología y Medicina general, de conformidad en la norma legal vigente.

• Cada centro de reconocimiento de conductores deberá garantizar la legalidad de los documentos que soporten los evaluadores dispuestos para el examen.

• El examen se debe realizar teniendo en cuenta lo establecido en la norma legal vigente que reglamenta la expedición de la certificación de la aptitud psicofísica para conducir.

2.6.3.3.5.3.4. Decisión de la certificación.

La decisión de certificación debe ser tomada por un profesional de la salud competente e idónea que conoce los rangos de aprobación definidos en el esquema de certificación y que no participó en la evaluación del candidato a certificar.

— Esta actividad deberá ser realizada empleando el software de gestión.

— Cada centro de reconocimiento de conductores es responsable directo del otorgamiento de la certificación y, por ende, conserva su autoridad al respecto sin delegar, o poder delegar, a terceros sus decisiones pertinentes a la certificación.

— El centro de reconocimiento de conductores, como organismo de certificación de personas, garantiza el cumplimiento de la normatividad legal vigente sobre las cuales realiza la certificación de personas.

— Cada centro de reconocimiento de conductores, deberá emitir un certificado el cual será generado por el software de gestión y contendrá como mínimo la siguiente información:

• Referencia a las normas por las cuales se expide el certificado.

• Referencia al organismo de certificación.

• NIT del organismo de certificación. Dirección y teléfono del organismo.

• Registro IPS del organismo.

• Fecha de expedición y vencimiento.

• Registro de habilitación ante el Ministerio de Transporte.

• Número de registro de inscripción ante secretaria de salud.

• Logo de acreditación del ONAC con su respectivo código.

• Fotografía del candidato.

• Tipo de trámite y categoría certificada. Servicio solicitado.

• Información básica del candidato como nombres, apellidos, número de documento, teléfono, fecha de nacimiento, dirección y ocupación.

• Concepto de cada una de las áreas evaluadas.

• Firma del certificador.

• Firma y huellas de la persona certificada.

2.6.3.3.5.3.5. Suspender, retirar o reducir el alcance de la certificación.

Este numeral no es aplicable en el esquema de certificación de la aptitud psicofísica para conducir, ya que la norma legal vigente que lo reglamenta no establece los criterios para suspender, retirar o reducir el alcance de una certificación emitida.

2.6.3.3.5.3.6. Proceso de renovación de la certificación.

La renovación de la certificación no aplica debido a que la norma legal vigente que reglamenta la expedición de la certificación de la aptitud psicofísica para conducir, establece evaluaciones de aptitud física, mental y de coordinación motriz, las cuales pueden variar con el tiempo, por ello las condiciones de certificación no se pueden mantener y toda solicitud de certificación debe ser realizada como inicial.

2.6.3.3.5.3.7. Uso de certificados, logos y marcas.

Los centros de reconocimiento de conductores que proporcionan una marca o logo de certificación, deberán documentar las condiciones de uso y gestionar adecuadamente los derechos de uso y representación.

2.6.3.3.5.3.8. Apelaciones contra decisiones de certificación.

El sistema de gestión de calidad proporcionará el procedimiento para la gestión de las apelaciones contra las decisiones de certificación en el cual se establece la metodología para recibir, evaluar y tomar decisiones relativas a las apelaciones.

El centro de reconocimiento de conductores deberá entregar a cada apelante un recibido de su solicitud.

En el software de gestión cada centro de reconocimiento de conductores, deberá registrar las apelaciones que reciba, así como su respectivo seguimiento y respuesta.

Este procedimiento debe estar publicado en las carteleras del centro de reconocimiento de conductores.

Quejas

El sistema de gestión de calidad proporcionará el procedimiento para la gestión de las quejas en el cual se establece la metodología para recibir, evaluar y tomar decisiones relativas a las quejas.

El centro de reconocimiento de conductores deberá entregar a cada persona un recibido de la queja que ha registrado

En el software de gestión cada centro de reconocimiento de conductores, deberá registrar las quejas que reciba, así como su respectivo seguimiento y resolución de la misma.

Este procedimiento debe estar publicado en las carteleras del centro de reconocimiento de conductores.

2.6.3.3.6. Requerimientos relativos al sistema de gestión.

El sistema de gestión se desarrolla siguiendo los lineamientos de la norma NTC ISO/IEC 17024:2013, o su versión vigente, la cual define los requerimientos que debe cumplir una organización que se dedica a la certificación de personas.

El sistema de gestión de calidad tendrá una sola estructura documental para todos los centros de reconocimiento de conductores, capaz de apoyar y demostrar el cumplimiento coherente de los requerimientos de la norma NTC ISO/IEC 17024:2013.

El sistema de gestión de calidad documenta cada uno de los requerimientos aplicables a la norma NTC ISO/IEC 17024:2013, y cuenta con procedimientos para el control de documentos, control de registros, acciones correctivas, acciones preventivas, auditorías internas, y revisión por la dirección.

2.6.3.3.7. Implementación del sistema de gestión de calidad.

El sistema de gestión de calidad, entrará en vigencia una vez sea promulgado el acto administrativo y tendrá un periodo de transición de máximo 90 días para ser implementado por todos y cada uno de los centros de reconocimiento de conductores. Solamente una vez extinguido este plazo será exigible la implementación del sistema de gestión de calidad por los organismos de acreditación.

2.6.3.3.7.1. Seguimiento al cumplimiento del sistema de gestión de calidad.

El seguimiento al cumplimiento del sistema de gestión de calidad estará a cargo del Organismo Nacional de Acreditación de Colombia o quien haga sus veces, para lo cual se apoyará en los medios tecnológicos y sistematizados del software de gestión.

Los centros de reconocimiento de conductores serán auditados continuamente por la Superintendencia de Puertos y Transporte y el CRC que no cumpla con las exigencias establecidas en el sistema de gestión de calidad, se le aplicarán las medidas pertinentes.

2.6.3.3.7.2. Seguridad.

El sistema de gestión de calidad, para evitar el fraude durante el proceso de evaluación y certificación, deberá documentar e implementar el cumplimiento de los siguientes protocolos de seguridad:

• Se deberá validar la presencia del solicitante/candidato y del personal evaluador durante todo el proceso de evaluación y certificación mediante los protocolos de seguridad definidos por el Ministerio de Transporte y la Superintendencia de Puertos y Transporte.

• El personal evaluador y certificador solo podrá ingresar al software de gestión del sistema de control y vigilancia con usuario, contraseña y autenticación de la huella dactilar.

2.6.4. Software de gestión del sistema de control y vigilancia.

El software de gestión del sistema de control y vigilancia, implementado por los centros de reconocimiento de conductores, deberá contar con los siguientes módulos integrados con las funcionalidades que se describen a continuación:

2.6.4.1. Módulo de agendamiento único de citas.

Deberá contener una plataforma web para el solicitante que requiera agendar una cita para el servicio de examen de aptitud física, mental y de coordinación motriz para conductores en los CRC autorizados.

El solicitante para poder agenciar su cita, deberá haber comprado un (1) PIN del servicio para el examen médico de aptitud para conducir a través de los aliados de recaudo de los proveedores del sistema de control y vigilancia.

Las plataformas de agendamiento de citas deberán validar antes de asignar una cita la veracidad del PIN y que no haya sido utilizado.

Las plataformas de agendamiento deberán permitir al solicitante la búsqueda geográfica de los CRC autorizados a través de un mapa georreferenciado donde pueda indicar la ubicación donde realizará dicha búsqueda.

Las plataformas de agendamiento deberán permitir generar el formulario de datos básicos para el diligenciamiento previo al examen al asignar la cita.

Las plataformas de agendamiento deberán permitir verificar, reprogramar o cambiar las citas de los solicitantes. Para reprogramar o cambiar una cita de un solicitante, este lo deberá hacer con una antelación mínima de veinticuatro (24) horas.

2.6.4.2. Módulo de software del sistema de gestión de calidad.

Se definirán y validarán las siguientes funcionalidades y requerimientos:

1. Registro del centro (NIT, nombre, matrícula mercantil, registro de prestador, resolución de habilitación del Ministerio de Transporte, registro de acreditación ante el ONAC y sus anexos) y de los equipos de evaluación (audiómetros, visiómetros, baterías psicomotrices, fonendoscopios, tensiómetros, entre otros), con su respectiva marca, modelo, referencia y seriales.

2. Registro de las calibraciones de los equipos de cada CRC, de la fecha de calibración y de su vigencia, entidad que expide el certificado o documento de calibración con su soporte. El software deberá llevar el histórico de todas las calibraciones de los equipos.

3. Registro de mantenimientos preventivos y correctivos de los equipos.

4. Registro y control de la verificación de equipos diariamente, conforme a lo dispuesto en el sistema de gestión de calidad, generación de alarmas por no realizar el registro de la verificación de los equipos diariamente en los periodos establecidos.

5. Registro de los médicos autorizados por el Ministerio de Transporte con su registro de soporte expedido por dicha entidad, se deberá incluir el respectivo registro médico de cada profesional o especialista con su respectivo registro ante la secretaría de salud en que se encuentra inscrito el profesional de la salud.

6. Además de las funcionalidades incorporadas en los demás módulos.

2.6.4.3. Módulo de administración.

En este módulo se definirán los centros de reconocimiento con datos tales como: NIT, nombre o razón de la empresa, sedes acreditadas o establecimientos de comercio, ID RUNT, departamento, municipio, zona a la que pertenece, dirección, teléfono, datos del representante legal (tipo ID, número de ID, nombres, apellidos, registro y validación de identidad), horarios y cupos de cada sede o establecimiento donde se guardará el soporte del anexo de la acreditación en su última versión, resolución de habilitación del Ministerio de Transporte y su soporte.

El representante legal o administrador que delegue el representante legal realizará el registro de todos los usuarios (administradores, recepcionistas, especialistas y médicos).

2.6.4.4. Módulo de enrolamiento o registro.

Se realizará el registro de todos los actores que intervienen en el proceso y de los solicitantes. El registro del solicitante se realizará previa verificación del PIN y de su utilización, se escaneará toda la información del documento de identificación la que se encuentra impresa y en el código de barras bidimensional para la verificación de la legitimidad del documento, luego se procederá al registro de las huellas de los índices derecho e izquierdo a través de los lectores dispuestos y se enviará al operador tecnológico de la RNEC, la cual responderá con el hit de validación positivo o negativo con su certificación digital y estampado cronológico al software de gestión del sistema de control y vigilancia, este grabará la información en el mecanismo redundante o smart card que servirá como mecanismo de identificación durante todas las evaluaciones.

2.6.4.5. Módulo de evaluación de pruebas.

En este módulo solo deberán tener permisos de acceso, particulares a su perfil, los médicos o especialistas designados para cada labor y creados previamente por el representante legal del CRC. Se realizará la validación de identidad del especialista o médico a través del mecanismo redundante al principio y al final de cada prueba (psicomotriz, auditiva, visión y médica), además del control de los tiempos mínimos de cada prueba y el registro y validación de los criterios de evaluación conforme a lo dispuesto en la Resolución 217 de 2014 del Ministerio de Transporte.

2.6.4.6. Módulo de certificación.

En este módulo solo deberán tener permisos de acceso, particulares a su perfil, los médicos designados para esta labor y creados previamente por el representante legal del CRC. Se realizará la validación de identidad del médico a través del mecanismo redundante al final de la decisión de certificación del examen. Dentro de las funcionalidades está el verificar el cumplimiento de los criterios de evaluación de cada una de las pruebas realizadas y aprobar o requerir aclaraciones a los especialistas que deberán quedar registrados en el software de gestión del sistema de control y vigilancia.

2.6.4.7. Expedición del certificado.

En la expedición del certificado de aptitud física, mental y de coordinación motriz realizada por los médicos o especialistas de cada CRC autorizado, serán emitidos a través del software de gestión del sistema de control y vigilancia una vez validado todo el proceso.

2.6.5. Visitas de verificación a los aspirantes a proveedores del sistema de control y vigilancia.

Se realizarán las siguientes visitas en máximo dos (2) días hábiles. En estas visitas el evaluador tomará evidencia, fotográfica y fílmica para verificar el cumplimiento de los requerimientos.

Se deberá tener a disposición los recursos necesarios para poder realizar las verificaciones. En la visita se verificarán los siguientes requerimientos:

a) Verificación de mapa de ubicaciones de centros y máquinas. Se deberá mostrar la ubicación de por lo menos dos centros de reconocimiento en la cual se muestre el estado de su conexión;

b) Verificación de la extracción de la información del documento de identidad;

c) Verificación de tramitación del PIN contra la entidad de recaudo.

2.6.5.1. Visita al centro de operaciones de seguridad.

b) El centro de operaciones de seguridad deberá contar con un control de acceso biométrico;

c) El centro de operaciones de seguridad deberá contar con un sistema de circuito cerrado de televisión;

d) El centro de operaciones de seguridad deberá estar ubicada en territorio nacional;

e) Se deberá tener a disposición de los recursos necesarios para poder realizar las verificaciones;

f) Prueba de ataque perimetral. El especialista de hacking presentado en el equipo de trabajo del SOC, deberá ejecutar un escaneo de puertos a una de las direcciones de red utilizadas por el sistema presentado a homologar. Posterior a esto el IPS deberá identificar, registrar y reaccionar ante este escaneo procediendo a interrumpir la comunicación entre el escáner atacante y el sistema. Posterior a esto el evento deberá quedar registrado en la herramienta de SIEM;

g) Verificación en la base de datos de información biométrica cifrada. El aspirante deberá mostrar la ubicación en la cual se almacene la información biométrica con el fin de verificar que esta se encuentre cifrada;

h) Verificación de Endpoint. Se deberá demostrar que se encuentran instaladas en los servidores la solución de antimalware.

2.6.5.2. Visita a un centro de reconocimiento de conductores.

Se deberá mostrar el funcionamiento del sistema de control y vigilancia. Se procederá a realizar visita a un (1) CRC en el cual se encuentre instalada la solución y se permita verificar los siguientes escenarios:

1. Verificación del proceso de pago. Se deberá demostrar el pago del valor del examen de aptitud directamente sobre la red de recaudo del actor del aliado de recaudo. Esto deberá cumplir con todos los requerimientos exigidos en la lista de chequeo del anexo técnico. En el caso de requerirse participación del aliado de recaudo para realizar esta verificación, el aspirante será el encargado de coordinar todos los requerimientos para poder realizar la prueba. Se verificará además la consulta de validez y consumo de un (1) número PIN con un solicitante y un convenio.

2. Verificación del proceso de enrolamiento y operación de los diferentes actores de los CRC. Se deberá demostrar que el software de gestión del sistema de control y vigilancia, realice el registro de empresas, establecimientos comerciales u organismos certificadores de personas y sus respectivos representantes legales, personal administrativo, médicos, especialistas con su correspondiente perfil y de los solicitantes; así como capturar la información biométrica, biográfica y datos complementarios conforme al sistema de gestión de calidad definido en este documento, a través de los siguientes dispositivos:

i) Lector biométrico de huellas con funcionalidad activa de dedo vivo (LFD), con lector de tarjetas smart card integrado con módulo SAM.

ii) Tarjeta inteligente (smart card): Deberá guardar la información biométrica dactilar cifrada y servirá como mecanismo de validación de identidad, a través de una aplicación Match on Card (MoC), de los médicos y especialistas del CRC y los solicitantes durante todo el proceso de evaluación y certificación.

iii) Cámara con sensor digital de alta definición, con componentes ópticos Carl Zeiss y que genera imágenes nítidas, deberá soportar el estándar de reconocimiento facial ISO/IEC 19794-5 a través de software.

iv) Captura y extracción de la información del código bidimensional contenido en la cédula de ciudadanía con los parámetros de la ficha técnica vigente a través de pistola y/o escáner de lectura de código bidimensional.

v) Captura y digitalización de firmas manuscritas a través de pad-tableta digitalizadora.

vi) Verificación de validación de equipos. Se deberá demostrar que un dispositivo de hardware interno incorporado en cada PC del CRC, permita la identificación y realice la validación geofísica de los PC registrados, cada 60 minutos integrado con el SOC en el servidor de validación de geoposicionamiento. Además deberá extraer la información de la dirección MAC y el número de serie de la tarjeta madre del PC.

Verificaciones a realizar:

vii) Verificación de la integración con la plataforma del operador tecnológico que cumpla con los requerimientos exigidos en el numeral [...], a través de la validación de la template de la huella dactilar capturada en el CRC en el proceso de enrolamiento contra un ambiente de pruebas, verificando pertenecen y no pertenecen al médico, especialista y solicitantes.

viii) Verificación de la presencia del solicitante y de los médicos o especialistas en todo el proceso de evaluación. Se deberá demostrar que el usuario se valide a través de la huella, al principio y final de cada evaluación, a través del mecanismo redundante que será la tarjeta inteligente o smart card.

ix) La aplicación deberá contar con mecanismo alterno de validación en el proceso de enrolamiento para tramitar las excepciones de solicitantes con discapacidades que no les permita registrar y validar la huella dactilar requerida.

1. Verifique que la aplicación continúa dentro del proceso de validación de identidad cuando no se pueda realizar la comparación de huellas dactilares contra la réplica de la base de datos de la RNEC para determinar la identidad del solicitante.

2. Verifique que la aplicación realice como mínimo cuatro (4) preguntas sociodemográficas del solicitante.

3. Verifique que las preguntas contengan un grupo de posibles respuestas en donde solo una es la correcta.

4. Verifique que la aplicación inicie el proceso de enrolamiento con otra identificación biométrica diferente o el número de cédula, si el solicitante respondió correctamente las preguntas.

5. Verifique que la aplicación continúe en el proceso de validación de identidad si no se puede confirmar la identidad con el grupo de preguntas y que la aplicación vuelva a presentar un segundo grupo de preguntas diferentes a las iniciales.

6. Verifique que la aplicación no realice más de dos intentos para validar la identidad del solicitante.

i) Validación de identidad con el proceso alternativo para tarjetas de identidad “T.I.” y cédulas de extranjería “C.E.”.

ii) Compruebe que la aplicación realiza el escaneo del anverso y reverso del documento.

iii) Compruebe que la aplicación almacena las imágenes como soporte del documento presentado por el candidato.

iv) Compruebe que se extrae la información legible del documento con tecnología de reconocimiento de caracteres “OCR”.

v) Verifique que los datos han sido extraídos tanto del anverso como del reverso del documento “T.I.”.

vi) Compruebe que se realiza una comparación de las huellas dactilares (huella extraída de la T.I. contra la huella capturada en el lector biométrico).

2.6.6. Infraestructura tecnológica en los CRC.

El aspirante a proveedor deberá suministrar y soportar los siguientes dispositivos, suministros y periféricos en los centros de reconocimiento de conductores con las siguientes características y/o funcionalidades:

— Un lector biométrico de huellas dactilares con lector de tarjetas inteligentes (smartcard) integrado con las siguientes especificaciones:

i) Tipo de sensor óptico, resolución del sensor: 500 dpi, área de captura de la imagen: 16x24 mm o superior, certificado por el FBI, además deberá tener un módulo SAM.

ii) Mínimo de diez (10) tarjetas inteligentes por centro que se utilizarán como mecanismo redundante de identificación de los solicitantes y de los médicos o especialistas para el registro, autenticación y validación biométrica. La información en la tarjeta estará cifrada y dichas tarjetas serán reutilizadas después de terminar cada proceso para el caso de los solicitantes.

iii) Observaciones: el lector biométrico con lector de tarjetas inteligentes integrado y las tarjetas serán propiedad del proveedor homologado y cualquier daño o pérdida de estos en los centros será asumido por los CRC donde se asignaron dichos elementos.

iv) Los elementos que sean asignados a un CRC, no podrán ser trasladados de ubicación (a otro CRC u otro lugar).

v) En los casos de detectar con evidencias el intento de manipulación o traslado de los dispositivos y suministros, el proveedor homologado impedirá a que continúen las validaciones de identidad desde el CRC identificado y se le informará a la Superintendencia de Puertos y Transporte para lo pertinente.

— Pistola o escáner lector de código de barras bidimensional.

— Cámara con sensor digital de alta definición, con componentes ópticos Carl Zeiss y que genera imágenes nítidas, deberá soportar el estándar de reconocimiento facial ISO/IEC 19794-5 a través de software.

— Pad de firmas.

— Dispositivo de identificación de geoposición. Hardware interno que deberá cumplir la función de identificar la geoposición del centro y PC mediante el uso de tecnología GPS:

i) Sincronización. GPS mínimo 30 canales, cobertura nacional. El sistema de posicionamiento debe garantizar la permanente georreferenciación de la máquina en todo el territorio nacional.

ii) Seguridad. El representante legal del CRC será el responsable de la buena utilización del sistema de acuerdo a las recomendaciones del proveedor homologado con quien contrate el servicio, con el fin de evitar manipulación y/o daños que se puedan causar deliberadamente o de manera accidental al sistema.

iii) Precisión de ubicación. Radio máximo de veinte (20) metros de margen de error en la posición geográfica donde esté ubicada la antena en área urbana y (treinta) 30 metros en área rural en cobertura satelital. Protocolo de comunicación NMEA con sentencias output GSA, RMC y GSV.

iv) Actualización máxima de la georreferenciación, comunicación celular y/o satelital. Marcación del posicionamiento interno cada 60 minutos.

v) Envío de la información de la ubicación al centro de control y/o plataforma de monitoreo cada 60 minutos enviará una (1) posición con la identificación del PC, dirección MAC y número de serie de la tarjeta madre.

vi) Compatibilidad. Con los prestadores de servicios móviles de comunicación en cuanto a tecnología, cobertura y disponibilidad requerida, existentes en el mercado.

• Los computadores de los centros de reconocimiento de conductores autorizados que interactúen con el sistema de control y vigilancia deberán tener las siguientes características:

i) Memoria RAM 4 GB como mínimo.

ii) Disco duro con almacenamiento mínimo disponible 50 GB.

iii) Tarjeta de red Ethernet física 10/100/1000

iv) Una ranura PCI Express (X1) disponible.

v) Sistema operativo Windows 7 o superior.

2.6.7. Compromisos posteriores.

El aspirante a homologarse debe generar una carta de compromiso firmada por el representante legal, en la cual establezca que una vez reciba la homologación se comprometerá a realizar las siguientes actividades:

1. Los aspirantes a proveedores deberán presentar un documento de compromiso posterior, que la disponibilidad del servicio (ANS o SLA) con los CRC deberá ser al iniciar la operación como mínimo del 98,5% con base en el horario de atención de los CRC.

2. Antes de entrar en operación realizar las integraciones con la plataforma RUNT a través de webservices para que el RUNT valide si la solicitud de registro en HQ-RUNT cumple con registro completo en sistema de control y vigilancia a través del software de gestión. Y a establecer un canal dedicado con el sistema RUNT a cuenta del proveedor homologado.

3. Antes de entrar en operación realizar todas las integraciones con un operador tecnológico avalado por la Registraduría Nacional del Estado Civil para cumplir con el proceso de validar la identidad de los usuarios contra la base de datos de la RNEC. El operador tecnológico avalado por la Registraduría Nacional del Estado Civil deberá garantizar la validación de identidad a través de una réplica, licenciamiento y personal certificado conforme a los requerimientos de la RNEC, además deberá entregar junto con el hit de validación de identidad una certificación digital y estampado cronológico, además de seguridad e integridad en el log.

4. Establecer un canal dedicado y VPN a cuenta del proveedor homologado con el centro de monitoreo de la Superintendencia de Puertos y Transporte.

2.6.8. Equipos. Con el objeto de garantizar la calidad y compatibilidad y funcionamiento, los dispositivos entregados e instalados a los CRC en su operación, tales como lector biométrico de huella dactilar integrado con el lector de tarjetas inteligentes (smart card), al igual que las tarjetas inteligentes entregadas y el dispositivo de hardware interno incorporado en cada PC, son de propiedad de cada homologado.