RESOLUCIÓN 03173 DE 2024
(agosto 23)
Diario Oficial No. 52.860 de 26 de agosto de 2024
MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES
Por la cual se dictan los lineamientos que deben seguir los Proveedores de Redes y Servicios de Telecomunicaciones Móviles frente al acceso y reporte de la información que, en cumplimiento a las obligaciones regulatorias de calidad, deben poner a disposición del Ministerio de Tecnologías de la Información y las Comunicaciones.
EL MINISTRO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES,
en ejercicio de sus facultades legales y reglamentarias, en especial de las conferidas en el artículo 17 de la Ley 1341 de 2009 y en el artículo 13 de la Ley 1978 de 2019, y
CONSIDERANDO QUE:
El artículo 1o de la Ley 1341 de 2009, prevé como objeto “…determinar el marco general para la formulación de las políticas públicas que regirán el sector de las Tecnologías de la Información y las Comunicaciones…”, así como la determinación del marco general que rige “…las potestades del Estado en relación con la…regulación, control y vigilancia…” del sector.
El numeral 4 del artículo 17 de la Ley 1341 de 2009, modificado por el artículo 13 de la Ley 1978 de 2019 definió como parte de los objetivos del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), el relativo a las funciones de inspección, vigilancia y el control del sector de Tecnologías de la Información y las Comunicaciones.
En el artículo 22 de la Ley 1341 de 2009 se definieron las funciones de la Comisión de Regulación de Comunicaciones (CRC), dentro de las cuales se encuentra la relacionada con la expedición de la regulación de carácter general que debe ser cumplida por los proveedores y/o agentes del Sector Telecomunicaciones.
La CRC, en ejercicio de las funciones atribuidas en la Ley 1341 de 2009, expidió la Resolución número 5050 del 10 de noviembre de 2016, “por la cual se compilan las Resoluciones de Carácter General vigentes expedidas por la Comisión de Regulación Comunicaciones”; imponiendo obligaciones a cargo de tales sujetos relacionadas con los parámetros de calidad de los servicios de telecomunicaciones y el suministro de información (metodologías y contenido) con la cual se pueda determinar el cumplimiento de las obligaciones a su cargo, y a su vez, facilita el ejercicio de las funciones de la CRC, del MinTIC y otras Entidades relacionadas con el Sector TIC.
La CRC, a través de la Resolución CRC 5078 de 2016 modificó el Régimen de Calidad para los Servicios de Telecomunicaciones dispuesto en el Capítulo I Título V de la Resolución CRC 5050 de 2016.
Dentro de esta modificación, en el artículo 4o, la CRC adicionó obligaciones para los PRSTM asociadas al deber de mantener documentado el sistema de medida (recolección de datos) utilizados para la generación de indicadores del sistema de calidad, la conservación de contadores de red, permitir el acceso a los gestores de desempeño (OSS) y/o herramientas de los Proveedores de Redes y Servicios de Telecomunicaciones Móviles (PRSTM) y el correspondiente almacenamiento de información, la publicación de los mapas de prestación del servicio y el reporte de los mapas de cobertura.
Ahora bien, la Sección 3, del Capítulo 1 del Título V de la Resolución CRC 6890 de 2022, modificatoria de la Resolución número 5050 de 2016, de algunas disposiciones al Régimen de Calidad, mantuvo las siguientes condiciones a los PRSTM para la prestación de los servicios móviles: (i) Conservación de contadores de red, (ii) Obligación de acceso a los gestores de desempeño (OSS) y/o herramientas de los Proveedores de Redes y Servicios de Telecomunicaciones Móviles (PRSTM), (iii) Almacenamiento de información de los OSS o herramientas de los PRSTM, (iv). Reportes de mapas de cobertura y (v) Informes de afectación del servicio de telecomunicaciones. E introdujo el método de crowdsourcing para la medición de indicadores de calidad.
A su vez, la misma Resolución número 5050 de 2016 fue adicionada mediante la Resolución CRC 7363 de 2024, en el sentido de incorporar la definición de “Degradación” en la prestación de los servicios de telecomunicaciones móviles, al Título I de la Resolución CRC 5050 de 2016.
De otro lado, la regulación ha previsto que los PRSTM tienen la posibilidad de presentar planes de mejora, ante la superación de valores objetivo de los indicadores de calidad y disponibilidad del servicio de que tratan los artículos 5.1.3.1, 5.1.3.2 y 5.1.6.1 de la Resolución número 5050 de 2016, a los cuales debe hacer seguimiento la Dirección de Vigilancia, Inspección y Control (DVIC) del MinTIC. Y esta misma Dirección, tiene la facultad para solicitar la presentación de planes de mejora ante la presencia de afectación o degradación del servicio de comunicaciones; de acuerdo con lo dispuesto en la Resolución CRC 5050, artículos 5.1.6.2 y 5.1.7.1. y Anexo 5.2-B.” Planes de Mejora” Parte 1 y Parte 3. Estos planes de mejora (excluyendo los relacionados con afectación del servicio) son presentados por los PRSTM a MinTIC a través de correos electrónicos.
Ahora bien, con fundamento en lo establecido en los artículos 5.1.3.4. (Conservación de los Gestores de Red), 5.1.3.5 y 5.1.3.6. (Acceso a los Gestores de Desempeño) de la Resolución número 5050 de 2016, la DVIC cuenta con conexiones establecidas mediante VPN(1) con cada uno de los Proveedores de Redes y Servicios de Telecomunicaciones Móviles (PRSTM) para tener acceso a los Gestores de Desempeño o Herramientas que almacenan los contadores de red o alarmas, acceso que se hace por demanda cuando es requerido. Adicionalmente, mediante esta VPN se tiene acceso a la Información Soporte con la cual los PRSTM construyen los Formatos Regulatorios T 2.2 y T 2.5 (Título Reportes de Información de la Resolución número 5050 de 2016), esta información es puesta a disposición de MinTIC en datos planos, a través de un repositorio de archivos del cual la DVIC la extrae manualmente mediante el protocolo FTP para su procesamiento y análisis.
La DVIC también cuenta con perfiles de usuario entregados por el proveedor de crowdsourcing seleccionado por los PRSTM para consulta, obtención, y descarga de la información sobre las mediciones de los indicadores de calidad de los servicios de datos móviles 3G y 4G, provenientes de las mediciones activas iniciadas por el usuario, y las mediciones activas programadas, así como con el acceso a los demás campos definidos por el sistema de medición de acuerdo con la metodología de prueba, medición, recolección, posproceso y cálculo de indicadores, de conformidad con lo establecido en el Anexo 5.3 de la Resolución número 5050 de 2016.
Con base en los datos recopilados a través de los anteriores accesos o correos, la DVIC debe vigilar aproximadamente: i) 18 millones de registros mensuales frente a datos móviles a través de la herramienta de Crowdsourcing, ii) 80 millones de registros mensuales por PRSTM frente a servicios de voz móvil, iii) 60 millones de registros sobre disponibilidad del servicio, iv) 1500 reportes mensuales sobre afectación del servicio y, v) 150.000 registros mensuales entre inventarios de estaciones base y cobertura. Lo anterior aunado a la información reportada en los formatos de la Herramienta de Cargue, Análisis y Auditoría (HECAA).
Frente a las anteriores cifras, resulta insuficiente tener acceso a los gestores por demanda y recibir información en datos planos, lo cual imposibilita el oportuno y eficiente análisis de la información, que afecta no solo la funcionalidad y misionalidad de la DVIC, sino potencialmente a los usuarios de servicios de telecomunicaciones.
Por lo anterior, se considera necesario que el MinTIC emplee tecnologías de la información óptimas y adecuadas para la recepción, tratamiento y análisis de los accesos o reportes entregados por los PRSTM con el fin de contar con la capacidad necesaria para procesar y verificar de manera oportuna y completa la información recibida o captada; lo cual además, contribuye a la prevención con enfoque de riesgo y al fortalecimiento, entre otros, del debido proceso, la transparencia y la objetividad en el trámite administrativo.
Para lograr los objetivos anteriormente descritos, la DVIC durante la vigencia 2023, adelantó acciones tendientes a lograr la organización de la información asociada al cumplimiento del régimen de calidad móvil que reposa en bases de datos y correos electrónicos, fortaleciendo, a través de horas de desarrollo tecnológico, el módulo de reporte y carga masiva de fallas, el módulo de disponibilidad de tráfico; el mapa de integración, visualización y reporte de la conectividad nacional y el consumo de información API – Crowdsourcing, entre otras.
Con el objetivo de continuar fortaleciendo dichas herramientas, el MinTIC pasará a la fase de APIficación, esto es, a la implementación de un conjunto de API(2) que facilitará la recepción de la información y su procesamiento, análisis y visualización, mediante tableros de control interactivos y en forma georreferenciada, lo cual será posible a través de una plataforma autogestionada que optimizará las actividades de vigilancia e inspección sobre obligaciones de los PRSTM, a cargo del MinTIC.
Para implementar esta solución se requiere que los Proveedores de Redes y Servicios de Telecomunicaciones Móviles realicen los desarrollos necesarios para el intercambio de información, de acuerdo con los requerimientos técnicos establecidos por el MinTIC. Los datos a recibir a través del sistema corresponderán a la información requerida por la Resolución de la CRC 5050 de 2016 en los artículos: i) 5.1.3.4 – Conservación de Contadores de Red ii). 5.1.3.5 – Obligación de Acceso a los Gestores de Desempeño (OSS) y/o Herramientas de PRSTM y, iii) 5.1.7.1 Obligación de Diseño, Entrega y ejecución de planes de mejora.
Durante el primer semestre de 2024 se realizaron mesas técnicas de trabajo entre la DVIC y los PRSTM con el fin de socializar la necesidad de APIficación frente a el acceso a los OSS o herramientas que almacenan los contadores de red o alarmas, durante las cuales se discutieron alternativas para su implementación, logrando una propuesta técnica consolidada por parte de la Industria, la cual fue radicada en el MinTIC bajo el consecutivo 241048817 y tenida en cuenta en el diseño de la solución. Así mismo, los días 12 y 14 de agosto de 2024, fueron desarrolladas dos (2) mesas de trabajo con Asomóvil y los Proveedores de Redes y Servicios de Telecomunicaciones Móviles, con el objeto de revisar los parámetros técnicos contenidos en el presente acto administrativo, especialmente los relacionados con los Anexos 1 y 3.
En virtud de lo anterior, el MinTIC con el fin de optimizar la recepción, procesamiento y visualización de la información reportada por los PRSTM, ha definido una arquitectura tecnológica robusta y escalable, para implementar una estrategia de APIficación e interoperabilidad, habiendo realizado un ejercicio de impacto normativo y económico para su implementación. Esta arquitectura, basada en estándares abiertos y tecnologías modernas, permitirá una integración fluida y eficiente de los sistemas de los PRSTM con las herramientas de monitoreo y análisis del Ministerio, garantizando así un control más efectivo y transparente del cumplimiento del régimen de calidad de los servicios de comunicaciones.
Lo anterior, será llevado a cabo a través de una API REST (Representational State Transfer, por su sigla en inglés), mediante la cual se establecerá el conjunto de reglas y protocolos que definirá la comunicación entre los sistemas de información de los PRSTM y el MinTIC, haciendo uso del protocolo HTTP, mediante los métodos POST(3) y PATCH(4), esto garantizará, que cada PRSTM sea el responsable de la creación de los registros en el sistema de información de MinTIC, para dinamizar y asegurar el control en el proceso de intercambio de datos, evitando accesos no autorizados y sobrecargas sobre los Gestores de OSS de los PRSTM.
Lo anterior en línea con la Ley 1958 de 2019 que le permite al Estado Colombiano ser miembro de pleno derecho de la Organización para la Cooperación y el Desarrollo Económicos (OCDE)(5), quien en el año 2019 publicó la Guía de la OCDE “para el Cumplimiento Regulatorio y las Inspecciones se basa en los Principios de la OCDE sobre las Mejores Prácticas para el Cumplimiento de las Normas e Inspecciones”, en la que recomendó la implementación de una serie de criterios para el desarrollo institucional en función del ejercicio de promoción de herramientas de tecnologías de la información para maximizar el enfoque de riesgos.
De conformidad con lo establecido en el artículo 2.2.2.30.3. numeral 2 del Decreto número 1074 de 2015, el MinTIC se abstiene de diligenciar el cuestionario expedido por la Superintendencia de Industria y Comercio (SIC), adoptado mediante el artículo 1o de la Resolución SIC 44649 de 2010, con el fin de verificar si las disposiciones contempladas en el presente acto administrativo tienen alguna incidencia en la libre competencia. El artículo 2.2.2.30.3. numeral 2 del Decreto número 1074 de 2015 presenta de manera taxativa las causales por las cuales deberá realizarse el respectivo reporte ante la autoridad, elementos que no se consideran con la presente Resolución. El uso de la información objeto de la presente regulación, se realiza con propósitos del desarrollo de funciones de vigilancia, inspección y control asignados al MinTIC y en ningún caso reduce incentivos para competir, limita la libre elección o brinda información directa para los consumidores.
De conformidad con lo previsto en el artículo 1.3.1 de la Sección 3 del Capítulo 1 de la Resolución número 1857 de 2023, “Por la cual se adoptan e imparten directrices sobre proyectos de regulación al interior del Ministerio de Tecnologías de la Información y las Comunicaciones(…)”, las normas de que trata la presente Resolución fueron publicadas en la sede electrónica MinTIC durante los períodos comprendidos entre el 3 al 22 de julio de 2024, del 30 de julio al 6 de agosto de 2024 y del 9 al 15 de agosto de 2024, con el fin de recibir opiniones, sugerencias o propuestas alternativas por parte de los ciudadanos y grupos de interés.
En mérito de lo expuesto,
RESUELVE:
ARTÍCULO 1o. OBJETO. La presente resolución tiene por objeto fijar los parámetros bajo los cuales los Proveedores de Redes y Servicios de Telecomunicaciones Móviles (PRSTM), deben realizar los desarrollos necesarios para el intercambio de información utilizando los métodos POST y PATCH a través de la interfaz de programación de aplicaciones API mediante arquitectura REST que dispondrá el MinTIC.
Los datos a recibir a través de la API REST corresponderán a la información requerida por la Resolución de la CRC 5050 de 2016 en los artículos: i) 5.1.3.4 Conservación de Contadores de Red ii). 5.1.3.5 Obligación de Acceso a los Gestores de Desempeño (OSS) y/o Herramientas de PRSTM y, iii) 5.1.7.1 Obligación de Diseño, Entrega y ejecución de plan de mejora y Anexo 5.2-B- Planes de Mejora, o aquellas normas que los adicionen, modifiquen o subroguen.
ARTÍCULO 2o. ÁMBITO DE APLICACIÓN. La presente resolución aplica a los Proveedores de Redes y Servicios de Telecomunicaciones Móviles (PRSTM).
ARTÍCULO 3o. RESPONSABLE. La DVIC del MinTIC, a través de la Subdirección de Vigilancia e Inspección o quien haga sus veces, administrará y supervisará la debida ejecución e implementación del objeto de la presente Resolución, en armonía con las demás funciones asignadas a su Despacho.
Los proveedores actuarán como usuarios de la API, por lo tanto, el mantenimiento y la operación de la API REST proporcionada por el MinTIC será responsabilidad del Ministerio. Por su parte, los PRSTM serán responsables de la operación y el mantenimiento de los desarrollos que realicen para el intercambio de información.
ARTÍCULO 4o. METODOLOGÍA PARA EL INTERCAMBIO DE INFORMACIÓN. Los Proveedores de Redes y Servicios de Telecomunicaciones Móviles deberán realizar los desarrollos para el intercambio de información mediante API conforme a lo dispuesto por el MinTIC en la presente resolución.
El sistema debe adherirse a los principios de arquitectura REST (Representational State Transfer), la cual es una arquitectura usada para crear interfaces de aplicaciones de programación (API) basadas en el protocolo HTTP. REST establecerá el conjunto de reglas y restricciones que definirán cómo los desarrollos del MinTIC y de los PRSTM pueden comunicarse de manera segura, eficiente y confiable, así:
1. Interfaz Uniforme: La transferencia de información debe realizarse bajo características estándar permitiendo la interoperabilidad entre los sistemas.
2. Sin Estado: Cada solicitud del cliente debe contener toda la información necesaria para ser comprendida y procesada de manera independiente de las solicitudes anteriores.
3. Desacoplamiento (Arquitectura Cliente-Servidor): La arquitectura debe separar la interfaz de usuario (cliente) del almacenamiento de datos (servidor), mejorando la escalabilidad y flexibilidad.
4. Sistema por Capas: La arquitectura puede estar organizada en capas jerárquicas, donde cada capa solo conoce a la capa inmediata con la que interactúa.
5. Almacenamiento en Caché: Las respuestas deben ser etiquetadas como cacheables (almacenamiento en caché) o no cacheables para mejorar la eficiencia mediante el almacenamiento temporal de datos.
6. Código Bajo Demanda: Capacidad de enviar código ejecutable al cliente cuando sea necesario, para extender su funcionalidad. Este código puede ser en forma de scripts o applets que el cliente puede ejecutar para realizar ciertas tareas.
7. Escalabilidad: La arquitectura de la API debe ser diseñada para manejar un aumento en el tráfico y la carga de trabajo sin comprometer el rendimiento.
8. Documentación: La API debe estar documentada de manera clara y completa incluyendo ejemplos de código y casos de uso para facilitar su uso por parte de los desarrolladores.
9. Pruebas: La API será sometida a validaciones unitarias, de integración y de carga para garantizar su calidad y fiabilidad.
ARTÍCULO 5o. LINEAMIENTOS. Los lineamientos establecidos en este artículo se limitan exclusivamente a los desarrollos necesarios para el intercambio de la información de la que trata la presente resolución y sus anexos.
Al seguir estos lineamientos, los PRSTM construirán desarrollos escalables y seguros que cumplan con los requisitos establecidos en esta resolución y que se integren fácilmente con la infraestructura tecnológica del MinTIC.
Los Proveedores de Redes y Servicios de Telecomunicaciones deberán llevar a cabo estos desarrollos de conformidad con los plazos establecidos en los parágrafos 1, 2 y 3 del artículo 6o de la presente resolución. Para el seguimiento de estos plazos, los PRSTM deberán remitir a la DVIC de MinTIC, dentro de los quince (15) días calendario siguientes a la publicación de este acto administrativo, el cronograma de trabajo con los hitos principales para la implementación de sus desarrollos, con base en:
1. Desarrollo:
1.1. Implementación.
1.2. Pruebas unitarias.
2. Pruebas de Integración y Despliegue:
2.1 Pruebas de integración.
2.2. Pruebas de rendimiento.
2.3. Pruebas de seguridad.
2.4. Despliegue.
Dado que estas pruebas se realizarán en conjunto entre los PRSTM y el MinTIC, MinTIC dispondrá los recursos necesarios para las pruebas de acuerdo con los cronogramas propuestos por los PRSTM
3. Arquitectura de Referencia
API CONSUMER: Se refiere a implementaciones y procesos que realizará el PRSTM para enviar la información al MinTIC a través de API REST hacía el API GATEWAY.
MINTIC: Sistema utilizado por MinTIC para el almacenamiento de los recursos expuestos por el PRSTM.
PRSTM: Sistema del PRSTM que expone o consume recursos a través de la API.
Recurso: Cualquier objeto sobre el que la API pueda brindar información o realizar operaciones.
La información que entreguen los PRSTM al MinTIC a través de este sistema, deberá cumplir con los parámetros y condiciones establecidos por MinTIC en la presente resolución, que permitan orientar y estandarizar los datos, variables o criterios de reporte.
4. Canal de comunicación: Para la conexión entre el Sistema del PRSTM y el End Point de MinTIC se utilizará una VPN S2S IPSec sobre la red pública con las siguientes características:
1. El canal de comunicación entre los operadores y el MinTIC estará protegido mediante encriptación a través de una VPN S2S IPSec sobre la red pública.
2. El túnel VPN tendrá un punto de conexión (terminador VPN) del lado del MinTIC en infraestructura de CSP (Cloud Service Provider)
3. La comunicación a través del túnel VPN propuesto debe usar direccionamiento privado.
4. A través del túnel VPN, el MinTIC ofrecerá un punto de conexión del API al cual los operadores se conectarán para enviar la información.
5. Código de estado y error: Con el fin de mantener un adecuado control de flujo para los registros enviados por cada PRSTM que permita asegurar el adecuado intercambio de información, se requiere hacer uso de códigos de estado y error que serán enviado por el API desarrollada por MinTIC como respuesta a los registros enviados por el PRSTM. A continuación, se listan los códigos definidos inicialmente, los cuales podrán ser enriquecidos/ajustados en la fase de pruebas:
Response Types (Tipo de respuesta) | Value (Valor) |
200 | Successful operation (Operación exitosa) |
201 | Created (Creado) |
400 | Bad Request (Solicitud incorrecta) |
401 | Unauthorized (No autorizado) |
403 | Forbidden (Prohibido) |
404 | Not Found (No encontrado) |
405 | Method NOT Allowed (Método no permitido) |
502 | Bad Gateway (Puerta de Enlace incorrecta) |
503 | Service Unavailable (Servicio no disponible) |
ARTÍCULO 6o. INFORMACIÓN. La información que entreguen los PRSTM al MinTIC a través de este sistema, deberá cumplir con los parámetros establecidos en la presente Resolución y sus Anexos, con el fin de estandarizar los datos, las variables y los criterios de reporte.
Se entenderán como anexos de la presente Resolución:
1. Anexo 1. Artículo 5.1.3.4. Conservación de Contadores de Red
2. Anexo 2. Artículo 5.1.3.5. Obligación de Acceso a los Gestores de Desempeño (OSS) y/o Herramientas de los PRSTM
3. Anexo 3. Artículo 5.1.7.1. Obligación de Diseño, Entrega y Ejecución de Planes de Mejora.
PARÁGRAFO 1o. Para el cumplimiento de lo establecido en el numeral 1 del presente artículo (Anexo 1), los PRSTM deberán poner a disposición la información requerida, a través de la API REST, a partir del reporte correspondiente al cuarto (4) trimestre de 2024, el cual debe ser remitido a más tardar el 31 de enero de 2025. Este primer reporte se considerará como período de prueba y ajustes para el intercambio de información entre la API REST dispuesta por MinTIC y los desarrollos realizados por los PRSTM. Si la transferencia de la información a través de la API es exitosa, no será necesario que el PRSTM la reporte utilizando el mecanismo actual dispuesto por la DVIC. Si la transferencia de la información no es exitosa a través de la API REST, el PRSTM deberá enviar la información utilizando el mecanismo actual dispuesto por la DVIC.
De cualquier manera, la información correspondiente al cuarto trimestre de 2024 deberá ser enviada utilizando la API REST a más tardar el 28 de febrero de 2025.
PARÁGRAFO 2o. Para el cumplimiento de lo establecido en el numeral 2 del presente artículo (Anexo 2), los PRSTM deberán poner a disposición la información requerida, a través de la API REST, a partir del primero (1) de diciembre de 2024 Del primero (1) de diciembre al treinta y uno (31) de diciembre de 2024 la herramienta se considerará en periodo de prueba y ajustes.
PARÁGRAFO 3o. Para el cumplimiento de lo establecido en el numeral 3 del presente artículo (Anexo 3), los PRSTM deberán poner a disposición la información requerida, a través de la API REST, a partir del primero (1) de febrero de 2025. Del primero (1) de febrero al veintiocho (28) de febrero de 2025 la herramienta se considerará en periodo de prueba y ajustes.
Valga precisar que los planes de mejora a los que se refiere este numeral son los relacionados en los artículos 5.1.3.1, 5.1.3.2, 5.1.6.1 y Anexo 5.2 B de la Resolución número 5050 de 2016 y que los mismos deberán ponerse a disposición de MinTIC a través de la API REST, de conformidad con los plazos y condiciones establecidas en la regulación.
PARÁGRAFO 4o. Hasta tanto no se configure la implementación del reporte en los términos de esta resolución, los PRSTM deberán garantizar el cumplimiento de los reportes de información, de acuerdo con los procedimientos, formatos y medios que se encuentren vigentes al momento de la publicación de este acto administrativo.
PARÁGRAFO 5o. La DVIC de MinTIC mediante instructivos o manuales de uso, podrá aclarar, ajustar y/o eliminar los campos relacionados en los Anexos 1, 2 y 3 de la presente resolución. Lo anterior, con el fin de precisar los tipos y formatos de los campos contenidos en los citados Anexos o, en virtud de la adecuación que sea requerida con ocasión de las modificaciones regulatorias al régimen de calidad, en especial a los artículos 5.1.3.4, 5.1.3.5, 5.1.7.1 y Anexo 5.2-B de la Resolución número 5050 de 2016.
PARÁGRAFO 6o. La información requerida a través de la API REST no modifica el contenido, ni la periodicidad de entrega de los reportes y/o información soporte de los mismos, así como tampoco los tiempos ni periodicidad de entrega de los planes de mejora establecidos en la regulación vigente frente al Régimen de Calidad. De la misma manera no se modifica el carácter de informativo sobre los indicadores definidos por la CRC, ni se crean obligaciones adicionales a los PRSTM relacionadas con el almacenamiento de información.
ARTÍCULO 7o. OBLIGACIÓN DE OPERACIÓN Y MANTENIMIENTO. Los Proveedores de Redes y Servicios de Telecomunicaciones Móviles deberán mantener operativo su desarrollo o solución para garantizar su ciclo de vida y adoptarán las medidas adecuadas para asegurar la remisión de la información referida en el artículo 6, en cumplimiento del objeto de la presente resolución.
Para garantizar la continuidad y confiabilidad de los servicios proporcionados por la API REST de MinTIC, los PRSTM implementarán procedimientos efectivos para el mantenimiento y operación de sus desarrollos teniendo en cuenta:
Monitoreo.
1. Seguimiento Constante: Monitoreo continuo del comportamiento de sus desarrollos para identificar posibles problemas de interoperabilidad.
2. Detección de Problemas: Identificación temprana de anomalías o fallos de sus desarrollos que puedan afectar la continuidad del intercambio de información.
3. Alertas: Notificaciones a MinTIC sobre problemas detectados que afecten el intercambio de información.
MinTIC a través de la Mesa de Servicio atenderá los requerimientos para el soporte de la API REST.
ARTÍCULO 8o. FALLAS EN EL INTERCAMBIO DE INFORMACIÓN. Los desarrollos para el intercambio de información relacionada con el objeto de esta resolución, mediante la API REST que dispondrá el MinTIC, deberán estar habilitados las 24 horas del día, todos los días del año.
Cuando se presenten fallas que no permitan el intercambio de la información mediante la API REST, el PRSTM deberá reportar la ocurrencia de dichas fallas al MinTIC por el canal que se ponga a disposición por parte de la DVIC, en un plazo no mayor a un día calendario a partir de la ocurrencia de la falla.
Así mismo, cuando el PRSTM realice mantenimientos, actualizaciones de software, renovación de hardware o expansiones que puedan afectar dicha conexión, deberá reportarla a la DVIC con mínimo veinticuatro (24) horas de antelación a la interrupción programada.
En caso de que el mantenimiento programado o la falla pudiera afectar la entrega de información definida en los parágrafos 1 y 3 del artículo 6o de la presente resolución el PRSTM deberá implementar un plan alterno para la entrega de la misma, de manera que no se afecten las funciones de Vigilancia, Inspección y Control del MinTIC. Para ello, el PRSTM deberá informar a MinTIC, previo al período de prueba y ajustes, cuál será el plan alterno que utilizará frente a la ocurrencia de estos eventos.
No obstante lo anterior, una vez superada la afectación o la ventana de mantenimiento programado, y habiéndose restablecido el sistema, el PRSTM deberá enviar a través de la API REST la información no remitida por causa de la falla, interrupción o ventana de mantenimiento. Esto aplica para la información definida en los parágrafos 1, 2 y 3 del artículo 6o de la presente resolución.
Por su parte MinTIC, informará a los PRSTM cuando se detecten fallas en la API REST o cuando programe ventanas de mantenimiento que puedan afectar la transferencia de información a través de la API. Para los casos anteriores, el MinTIC informará a los PRSTM una vez se restablezca el servicio con el fin de que se transmita la información que no pudo enviarse por causa de la falla, interrupción o ventana de mantenimiento.
En caso de que el mantenimiento programado o la falla pudiera afectar la entrega de información definida en los parágrafos 1 y 3 del artículo 6o de la presente resolución, el PRSTM deberá utilizar el plan alterno que implementó para la entrega de la información en los eventos de falla en sus desarrollos, de manera que no se afecte el cumplimiento de los plazos establecidos en la regulación para la entrega de la información.
ARTÍCULO 9o. SEGURIDAD. El MinTIC implementará una plataforma tecnológica escalable y segura para la gestión de las APIs, siguiendo los principios de seguridad por diseño y defensa en profundidad. Se adoptará un enfoque de confianza cero (Zero Trust) en el que se verifica cada solicitud y acceso, independientemente de su origen.
La seguridad de la información será una prioridad en todas las etapas del ciclo de vida de las API, incluyendo la protección del canal de comunicación entre los operadores y el MinTIC y proveerá un mecanismo de recepción de información basado en un API con las siguientes características
1. Autenticación y Autorización
Se utilizarán mecanismos de autenticación robustos y tokens de acceso, para verificar la identidad de los usuarios y aplicaciones que acceden a las API.
Se implementarán políticas de autorización basadas en roles y permisos para garantizar que los usuarios solo puedan acceder a los recursos y funcionalidades para los que están autorizados.
Se considerará la integración con IAM (Identity and Access Management, por su sigla en inglés) para una gestión centralizada y granular de identidades y accesos.
Para la remisión de la información por parte de los PRSTM, estos deberán optar por uno de los siguientes mecanismos de autenticación:
1. OAuth 2.0 con JWT:
Es el método de autenticación recomendado para este sistema, ya que OAuth 2.0 proporciona una forma segura y flexible de autenticar y autorizar usuarios, así como JWT permite una transmisión compacta y segura de información.
2. JSON Web Token (JWT):
Es un estándar abierto que define una forma compacta y segura de transmitir información entre las partes como un objeto JSON.
3. OAuth 2.0:
Es un protocolo que permite a las aplicaciones obtener acceso limitado a los recursos de usuario sin compartir las credenciales de este. Utiliza tokens de acceso que tienen un tiempo de vida limitado.
4. API Key:
Es un token único que identifica a la aplicación o al usuario. Es simple de implementar, pero no tan seguro como otros métodos, ya que la API Key puede ser interceptada y utilizada si no se protege adecuadamente.
5. SAML (Security Assertion Markup Language):
Es un estándar para el intercambio de datos de autenticación y autorización entre partes. Se utiliza principalmente para Single Sign-On (SSO).
6. Autenticación Básica HTTP:
Es el método más simple y con mayor vulnerabilidad. El cliente envía el nombre de usuario y la contraseña en cada solicitud.
Cada PRSTM será el responsable de seleccionar su mecanismo de autenticación, con base en su infraestructura y capacidades técnicas. No obstante, se sugiere optar por los métodos que brinden una mayor seguridad y confidencialidad en la trasmisión de la información, de conformidad con las descripciones realizadas en este numeral.
2. Cifrado
Se utilizará el cifrado de datos en tránsito mediante el protocolo TLS (Transport Layer Security) para proteger la información intercambiada entr e los sistemas.
Se evaluará el uso de cifrado de datos en reposo para proteger la información almacenada en las bases de datos y otros sistemas de almacenamiento.
Se considerará la implementación de mecanismos de gestión de claves y certificados para garantizar la seguridad de las claves de cifrado.
3. Protección contra Ataques
Se implementarán firewalls de aplicaciones web (WAF) para proteger las API de ataques comunes, como inyección SQL, cross-site scripting (XSS) y denegación de servicio (DoS).
Se utilizarán herramientas de detección y prevención de intrusiones (IDS/IPS) para monitorear el tráfico de red e identificar posibles amenazas.
Se considerará la implementación de firewall para proteger las API de ataques DDoS y otras amenazas a nivel de red.
4. Monitoreo y Registro
Se implementarán mecanismos de registro detallados para registrar todas las solicitudes y respuestas de las API, así como cualquier evento de seguridad relevante.
Se utilizarán herramientas de monitoreo en tiempo real para supervisar el rendimiento y la seguridad de las API, y detectar posibles anomalías o incidentes de seguridad.
Se considerará la integración con registros de logs para centralizar los registros y facilitar el análisis y la detección de amenazas.
5. Actualizaciones y Parches de Seguridad
Se mantendrán actualizados todos los componentes de software involucrados en la implementación de las API, aplicando los parches de seguridad correspondientes de manera oportuna.
Será establecido un proceso de gestión de vulnerabilidades para identificar, evaluar y corregir posibles vulnerabilidades en las API y los sistemas relacionados.
El MinTIC se asegurará de que la plataforma tecnológica cumpla con los estándares de seguridad aplicables y las mejores prácticas de la industria.
ARTÍCULO 10. CONFIDENCIALIDAD. El MinTIC suscribirá los acuerdos de confidencialidad con los Proveedores de Redes y Servicios de Telecomunicaciones Móviles y a su vez con los colaboradores de la Entidad que tengan acceso a la información que sea clasificada como confidencial, garantizando que no sea compartida con terceros, ni se utilice con fines diferentes a lo establecido en la presente resolución, así como los fines misionales de la Entidad.
PARÁGRAFO. La solución tecnológica no requiere información comercial sensible de los Proveedores de Redes y Servicios de Telecomunicaciones Móviles, ni datos sensibles de los clientes de los PRSTM.
ARTÍCULO 11. La presente resolución rige a partir de la fecha de su publicación en el Diario Oficial.
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 23 de agosto de 2024.
El Ministro de Tecnologías de la Información y las Comunicaciones,
Mauricio Lizcano Arango.
<Anexo publicado en el Diario Oficial>
<Consultar anexo original directamente en el siguiente enlace:
https://normograma.com/documentospdf/PDF/R_MTIC_3173_2024_ANEXO-1.pdf
<Anexo publicado en el Diario Oficial>
<Consultar anexo original directamente en el siguiente enlace:
https://normograma.com/documentospdf/PDF/R_MTIC_3173_2024_ANEXO-2.pdf
<Anexo publicado en el Diario Oficial>
<Consultar anexo original directamente en el siguiente enlace:
https://normograma.com/documentospdf/PDF/R_MTIC_3173_2024_ANEXO-3.pdf
NOTAS AL FINAL:
1. Red Privada Virtual.
2. Interfaz de programación de aplicaciones: la cual permite la integración de sistemas de software para la comunicación entre aplicaciones mediante el uso de un conjunto de reglas o protocolos que definen dicha comunicación para el intercambio de datos de manera segura, eficiente y confiable.
3. POST – Creación de objetos: Será el método usado para el intercambio de información cuando se trate de la creación de registros.
4. PATCH – Modificación de objetos: Será el método usado para el intercambio de información cuando se trate de la modificación parcial de registros ya creados.
5. La Ley en mención fue declarada exequible por parte de la Corte Constitucional, autorizando la adhesión de la República de Colombia a la Convención de la Organización para la Cooperación y el Desarrollo Económicos” suscrito en París el 30 de mayo de 2018, y la “Convención de la Organización para la Cooperación y el Desarrollo Económicos” hecha en París el 14 de diciembre de 1960, así como la Ley 1950 de 8 de enero de 2019 por medio de la cual se aprueban tales instrumentos internacionales.