ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados

50 

(1)NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 1999-03-17. NORMAS DE ADMINISTRACIÓN DE LA CALIDAD Y ASEGURAMIENTO DE LA CALIDAD. PARTE 3. DIRECTRICES PARA LA APLICACIÓN DE LA NTC-IS0 9001: 1994 AL DESARROLLO, SUMINISTRO, INSTALACIÓN Y MANTENIMIENTO DE SOFTWARE DE COMPUTADORES. E:. QUALITY MANAGEMENT AND QUALITY ASSURANCE STANDARDS. PART 3. GUIDELINES FOR THE APPLICATION OF NTC - ISO 9001: 1994 TO THE DEVELOPMENT, SUPPLY, INSTALLATION AND MAINTENANCE OF COMPUTER SOFTWARE.. CORRESPONDENCIA:. la norma es equivalente (EQV) a la ISO 9000-3: 1997.. DESCRIPTORES:. aseguramiento de la calidad; administración de la calidad; software.. I.C.S.: 03.120.10 Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) Apartado 14237 Bogotá, D.C. Tel. 6078888 Fax 2221435. Prohibida su reproducción. Primera actualización.

(2) PRÓLOGO. El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional de normalización, según el Decreto 2269 de 1993. ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo. La representación de todos los sectores involucrados en el proceso de Normalización Técnica está garantizada por los Comités Técnicos y el período de Consulta Pública, este último caracterizado por la participación del público en general. La norma NTC-ISO 9000-3 (Primera actualización) fue ratificada por el Consejo Directivo de 1999-03-17. Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales. A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a través de su participación en Consulta Pública a los miembros del Comité Técnico 000014 Administración y aseguramiento de la calidad . ACOGAS ASTEQ CENTELSA CONSORCIO METALÚRGICO NACIONAL "COLMENA" DEXTON ETERNIT COLOMBIANA EXTRUCOL GAS NATURAL INSTITUTO COLOMBIANO DEL PETRÓLEO INALCEC MAYAGÜEZ. MOBIL DE COLOMBIA PVC GERFOR PETCO POLIPROPILENO DEL CARIBE SCHALAGE LOCK DE COLOMBIA SHELL COLOMBIA SIKA ANDINA SUPERINTENDENCIA DE INDUSTRIA COMERCIO TUBOTEC UNISYS DE COLOMBIA. Y. ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados normas internacionales, regionales y nacionales. DIRECCIÓN DE NORMALIZACIÓN.

(3) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). NORMAS DE ADMINISTRACIÓN DE LA CALIDAD Y ASEGURAMIENTO DE LA CALIDAD. PARTE 3. DIRECTRICES PARA LA APLICACIÓN DE LA NTC-ISO 9001: 1994 AL DESARROLLO, SUMINISTRO, INSTALACIÓN Y MANTENIMIENTO DE SOFTWARE DE COMPUTADORES. INTRODUCCIÓN Esta parte de la serie NTC-ISO 9000 brinda directrices para la aplicación de los requisitos de la norma NTC-ISO 9001:1994 donde el diseño, desarrollo, instalación y mantenimiento de software de computador es un elemento del negocio de un proveedor:. a). como parte de un contrato comercial con una organización externa. b). como un producto disponible para un sector del mercado. c). en soporte de procesos de negociación del proveedor. d). como software incluido en un producto de hardware. Identifica los aspectos que deben ser tratados y es independiente de la tecnología, los modelos de ciclo de vida, los procesos de desarrollo, las secuencias de actividades o la estructura de la organización empleada por un proveedor. Cuando el alcance de las actividades de una organización incluya áreas diferentes al desarrollo de software de computadores, la relación entre los elementos del software de computadores del sistema de calidad de la organización y los aspectos remanentes debería ser claramente documentada dentro del sistema de calidad como un elemento independiente. Esta parte de la serie NTC-ISO 9000 brinda directrices para la aplicación de la norma ISO 9001: 1994. El texto que ha sido extraído de la NTC-ISO 9001: 1994, se encierra en un recuadro, para facilitar su identificación. A través de esta parte de la serie NTC-ISO 9000, “debe” se emplea para expresar una disposición que es obligatoria entre dos o más partes; “deberá” se emplea para expresar una declaración de propósito o intención, de una parte; “debería” para expresar una recomendación entre varias posibilidades: y “podría” para indicar un tipo de acción permisible dentro de los límites de esta parte de la serie NTC-ISO 9000.. 1.

(4) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). NORMAS DE ADMINISTRACIÓN DE LA CALIDAD Y ASEGURAMIENTO DE LA CALIDAD. PARTE 3. DIRECTRICES PARA LA APLICACIÓN DE LA NTC-ISO 9001: 1994 AL DESARROLLO, SUMINISTRO, INSTALACIÓN Y MANTENIMIENTO DE SOFTWARE DE COMPUTADORES. 1.. OBJETO. Esta parte de la serie NTC-ISO 9000 brinda directrices para facilitar la aplicación de la NTCISO 9001: 1994 para organizaciones que desarrollan, suministran, instalan y mantienen software de computadores. Ella no adiciona, ni cambia en algún sentido; los requisitos de la NTC-ISO 9001. Esta parte de la serie NTC-ISO 9000 no está concebida para ser usada con criterios de aceptación en certificación/registro de sistemas de calidad.. 2.. REFERENCIAS NORMATIVAS. Las siguientes normas contienen disposiciones que, mediante la referencia dentro de este texto, constituyen disposiciones de esta norma. En el momento de la publicación eran válidas la ediciones indicadas. Todas las normas están sujetas a actualización; los participantes, mediante acuerdos basados en esta norma, deben investigar la posibilidad de aplicar la última versión de las normas mencionadas a continuación: NTC-ISO 8402: 1994, Administración de la calidad y aseguramiento de la calidad. Vocabulario. NTC-ISO 9001: 1994, Sistemas de calidad. Modelo para aseguramiento de la calidad en diseño, desarrollo, producción, instalación y servicio asociado. 3.. DEFINICIONES. Para los propósitos de esta parte de la serie NTC-ISO 9000 son aplicables, además de las consignadas en la NTC-ISO 8402, las siguientes definiciones: 3.1. Producto: resultado de actividades o procesos.. Notas: 1). Un producto puede incluir servicio, hardware, materiales procesados, software o una combinación de ellos.. 2.

(5) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). 2). Un producto puede ser tangible (por ejemplo ensambles o materiales procesados) o intangibles (por ejemplo información o conceptos), o una combinación de ellos.. 3). Para los propósitos de esta norma, el término “producto” se aplica solamente al producto intencionalmente ofrecido y no a los “subproductos” imprevistos que afectan el medio ambiente. Esta definición difiere de la expresada en la NTC-ISO 8402.. [NTC-ISO 9001] 3.2 Oferta: propuesta hecha por un proveedor en respuesta a una invitación para satisfacer una adjudicación de contrato para suministrar producto. [NTC-ISO 9001] 3.3 Contrato: requisitos acordados entre un proveedor y un cliente, transmitidos por cualquier medio. [NTC-ISO 9001] 3.4 Versión inicial: versión formalmente aprobada de una entidad configurada, sin considerar el medio, la forma de diseño y fijación en un tiempo específico durante el ciclo de vida de la configuración de las entidades. [ISO/IEC 12207] 3.5 Desarrollo: ciclo del proceso de vida del software que comprende las actividades de análisis de requisitos, diseño, codificación, integración, ensayo, instalación y soporte para la aceptación de los productos de software. 3.6 Modelo de ciclo de vida: estructura que contiene los procesos, las actividades y las labores involucradas en el desarrollo, operación y mantenimiento de productos de software, abarcando la vida del sistema desde la definición de los requisitos hasta la terminación de su uso. 3.7. Fase: segmento definido de trabajo.. Nota. Una fase no implica el uso de un modelo específico de ciclo de vida.. 3.8 Ensayos de regresión: ensayos para determinar que los cambios realizados con el fin de corregir defectos, no hayan introducido nuevos defectos. 3.9. Reproducción: copiado de un producto de software de un medio a otro.. 3.10. Software: véase producto de software (véase el numeral 3.11). Nota. En esta parte de ISO 9000, el término “software” se refiere exclusivamente al software de computador.. 3.11 Producto de software: el conjunto de programas de computador, procedimientos y posible documentación y datos asociados. [ISO/IEC 12207] 3.

(6) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). Nota. Un producto de software puede ser destinado a su distribución, como parte integral de otro producto, o usado en el desarrollo de procesos.. 3.12. Artículo de software: cualquier parte identificable de un producto de software.. 4.. REQUISITOS DEL SISTEMA DE CALIDAD. 4.1. RESPONSABILIDAD GERENCIAL. 4.1.1 Política de calidad La gerencia del proveedor con responsabilidad ejecutiva debe definir y documentar su política de calidad, incluyendo los objetivos de calidad y su compromiso con la calidad. La política de calidad debe corresponder a las metas organizacionales del proveedor y a las expectativas y necesidades de sus clientes. El proveedor debe asegurar que esta política se entienda, se implemente y se mantenga en todos lo niveles de la organización. No se suministran directrices adicionales relacionadas con el software. 4.1.2 Organización 4.1.2.1 Responsabilidad y autoridad Se debe definir y documentar la responsabilidad, la autoridad y la interrelación del personal que dirige, ejecuta y verifica el trabajo que afecta la calidad, particularmente del personal que necesite la libertad organizacional y la autoridad para: a). Iniciar acción para prevenir que se presente cualquier no conformidad relacionada con el producto, el proceso y el sistema de calidad. b). Identificar y registrar cualquier problema relacionado con el producto, el proceso y el sistema de calidad. c). Iniciar, recomendar o dar soluciones a través de los canales designados. d). Verificar la implementación de soluciones. e). Controlar el procesamiento adicional, entrega o instalación de productos no conformes hasta que se hayan corregido la deficiencia o la condición insatisfactoria.. No se suministran directrices adicionales relacionadas con el software. 4.1.2.2 Recursos El proveedor debe identificar los requisitos relativos a los recursos y suministrar recursos adecuados, incluyendo la asignación de personal entrenado (véase el numeral 4.18), para la administración, la realización del trabajo y las actividades de verificación, incluyendo auditorías internas de calidad. No se suministran directrices adicionales relacionadas con el software. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numeral 7.2. 4.

(7) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). 4.1.2.3 Representante de la gerencia La gerencia del proveedor con responsabilidad ejecutiva debe designar un miembro de su propio grupo directivo que, independientemente de otras responsabilidades, debe tener autoridad definida para:. a). Asegurar que se establezca, se implemente y se mantenga un sistema de calidad, de acuerdo con los requisitos de esta norma.. b). Informarle a la gerencia del proveedor acerca del desempeño del sistema de calidad, para efectos de su revisión y como base para un mejoramiento del sistema de calidad.. Nota 5. La responsabilidad de un representante de la gerencia también puede incluir el enlace con partes externas, en asuntos relacionados con el sistema de calidad del proveedor.. No se suministran directrices adicionales relacionadas con el software. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numeral 6.3.1.6. 4.1.3 Revisión por la gerencia La gerencia del proveedor con responsabilidad ejecutiva debe revisar el sistema de calidad a intervalos definidos, suficientes para asegurar su adecuación y efectividad permanentes en satisfacer los requisitos de esta norma y la política y los objetivos de calidad establecidos por el proveedor (véase el numeral 4.1.1). Se deben conservar registros de esas revisiones (véase el numeral 4.16). No se suministran directrices adicionales relacionadas con el software. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numeral 7.1.4. 4.2. SISTEMA DE CALIDAD. 4.2.1 Generalidades El proveedor debe establecer, documentar y mantener un sistema de calidad como medio para asegurar que el producto cumpla con los requisitos especificados. El proveedor debe preparar un manual de calidad que cubra los requisitos de esta norma. El manual de calidad debe incluir o referenciar los procedimientos del sistema de calidad y exponer la estructura de la documentación utilizada en el sistema de calidad. Nota 6. En la NTC-ISO 10113 se da orientación sobre los manuales de calidad.. No se suministran directrices adicionales relacionadas con el software. 4.2.2 Procedimientos del sistema de calidad 5.

(8) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). El proveedor debe: a). Preparar procedimientos documentados consistentes con los requisitos de esta norma y con la política de calidad establecida por el proveedor. b). Implementar efectivamente el sistema de calidad y sus procedimientos documentados.. Para el propósito de esta norma, el grado y detalle de los procedimientos constitutivos del sistema de calidad deben depender de la complejidad del trabajo, de los métodos utilizados, de las habilidades y del entrenamiento necesarios para el personal encargado de realizar la actividad. Nota 7. Los procedimientos documentados pueden hacer referencia a instrucciones de trabajo que definan como es realizada una actividad.. No se suministran directrices adicionales relacionadas con el software. 4.2.3. Planificación de la calidad. El proveedor debe definir y documentar cómo se cumplirán los requisitos de calidad. La planificación de la calidad debe ser consistente con todos los otros requisitos del sistema de calidad de un proveedor, y se debe documentar en un formato que se adapte al método de operación del proveedor. El proveedor debe dar consideración a las siguientes actividades, según como sea apropiado, para cumplir los requisitos especificados de los productos, los proyectos o los contratos: a). La preparación de planes de calidad. b). La identificación y adquisición de medios de control, procesos, equipo (incluyendo equipo de inspección y ensayo), accesorios, recursos y habilidades que se puedan necesitar para lograr la calidad requerida. c). Asegurar la compatibilidad del diseño, el proceso de producción, la instalación, el servicio asociado, los procedimientos de inspección y ensayo y la documentación aplicable. d). La actualización, según sea necesario, del control de calidad, las técnicas de inspección y ensayo, incluyendo el desarrollo de nueva instrumentación. e). La identificación de cualquier requisito de medición que implique una capacidad que supere el nivel técnico conocido, en el tiempo suficiente para desarrollar la capacidad necesaria. f). La identificación de la verificación adecuada, en etapas apropiadas de la realización del producto. g). La clarificación de normas de aceptación para todas las características y requisitos, incluyendo aquellos que contienen un elemento subjetivo. h). La identificación y preparación de registros de calidad (véase el numeral 4.16).. Nota 8. Los planes de calidad mencionados (véase el numeral 4.2.3a) pueden hacer referencia a los procedimientos documentados apropiados, que hagan parte integral del sistema de calidad del proveedor.. La planificación de la calidad debería dirigirse a los siguientes elementos, según sea apropiado: 6.

(9) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). a). Requisitos de calidad, expresados en términos medibles, donde sea apropiado. b). El modelo del ciclo de vida que se debe usar para el desarrollo del software. c). Criterios definidos para el inicio y la culminación de cada fase del proyecto. d). Identificación de los tipos de revisión, ensayos y otras actividades de verificación y validación a ser realizadas. e). Identificación de los procedimientos administrativos de configuración a ser realizados. f). Planeación detallada (incluyendo cronogramas, procedimientos, recursos y aprobación) y responsabilidades y autoridades específicas para: -. Administración de la configuración. -. Verificación y validación de productos desarrollados. -. Verificación y validación de productos adquiridos. -. Verificación de producto suministrado por el cliente. -. Control de producto no conforme y acciones correctivas. -. Asegurar que se realizan las actividades descritas en el plan de calidad.. Un plan de calidad suministra los medios para adecuar la aplicación del sistema de calidad a un proyecto, producto o contrato específico. Un plan de calidad puede incluir o referenciar en forma genérica procedimientos específicos contractuales, productos y/o proyectos, según sea apropiado. El plan de calidad debería actualizarse paralelamente con los adelantos del desarrollo, y los elementos relacionados con cada fase deberían estar completamente definidos cuando se inicie esa fase. Un plan de calidad debería ser revisado y acordado por toda la organización involucrada en su implementación. El documento que describe un plan de calidad puede ser un documento independiente (titulado plan de calidad), ser parte de otro documento, o estar compuesto por varios documentos. Un plan de calidad puede incluir o referenciar, los planes por unidad, integración, sistema y ensayos de aceptación. Las directrices en planes de ensayo y el ensayo de medio ambiente se suministra como parte de inspección y ensayo. Nota. Las directrices en planes de calidad se dan en la norma NTC-ISO 10005 y en configuración administrativa en la norma NTC-ISO 10007. Para mayor información, véase la norma ISO/IEC 12207:1995, numerales 6.2 a 6.5.. 7.

(10) NORMA TÉCNICA COLOMBIANA 4.3. REVISIÓN DEL CONTRATO. 4.3.1. Generalidades. NTC-ISO 9000-3 (Primera actualización). El proveedor debe establecer y mantener actualizados procedimientos documentados para la revisión del contrato y para la coordinación de estas actividades. El software puede ser desarrollado como parte de un contrato, como producto disponible para un sector del mercado, como software incluido en un producto de hardware, o como soporte en los procesos de negociación del proveedor. La revisión del contrato es aplicable en cualquiera de estas circunstancias. 4.3.2. Revisión. Antes de la presentación de una oferta, o la aceptación de un contrato o pedido (formulación de requisitos), la oferta, contrato o pedido deben ser revisados por el proveedor para asegurar que: a). Los requisitos se han definido y documentado adecuadamente. En los casos en que no se disponga de formulación escrita del requisito para un pedido recibido por medios verbales, el proveedor debe asegurar que los requisitos del pedido se acuerden antes de su aceptación. b). Se resuelvan los casos en que haya alguna diferencia entre los requisitos de cualquier contrato o pedido y los de la oferta. c). El proveedor tiene la capacidad para cumplir los requisitos del contrato o pedido.. Las siguientes disposiciones también pueden ser relevantes durante la revisión de ofertas, contratos u órdenes de software por parte del proveedor.. a). Aspectos relacionados con el cliente. -. La terminología a ser empleada, acordada por las partes involucradas. -. La capacidad y los recursos del cliente para atender las obligaciones contractuales definidas. -. Los criterios acordados por el cliente para aceptar o rechazar el producto.. -. Las responsabilidades del cliente en el suministro de datos y facilidades relacionadas. -. El grado al cual el cliente participa en el desarrollo conjunto o en el subcontratado de trabajos. -. Las disposiciones para revisiones conjuntas con el fin de controlar el avance del contrato. -. El procedimiento acordado para manejar los cambios en los requisitos del cliente durante el desarrollo y/o mantenimiento 8.

(11) NORMA TÉCNICA COLOMBIANA. b). c). d). NTC-ISO 9000-3 (Primera actualización). -. El proceso del ciclo de vida impuesto por el cliente. -. El manejo de problemas detectados luego de aceptar, incluyendo quejas y reclamos. -. La responsabilidad de eliminar no conformidades después del período de garantía. -. Cualesquier obligación del cliente para actualizar a una versión siguiente cuando el proveedor lo ordene, o por el proveedor para mantener las versiones históricas.. -. El despliegue y entrenamiento asociado del usuario.. Aspectos técnicos. -. La factibilidad de lograr los requisitos. -. Las normas y los procedimientos a ser usados para el desarrollo del software. -. Las facilidades de las instalaciones, herramientas, elementos de software y datos a ser suministrados por el cliente; y la definición y documentación de los métodos para evaluar su aptitud para el uso. -. El sistema operativo o la plataforma del hardware. -. Concordia del control de las interfaces con el producto de software. -. Requisitos de reproducción y distribución.. Aspectos administrativos. -. Identificación de posibles eventualidades o riesgos y evaluación del impacto de ellos en las actividades subsecuentes. -. Las responsabilidades subcontratado. -. Cronogramas de avance, revisiones técnicas y retrasos. -. Requisitos de instalación, mantenimiento y soporte. -. Disponibilidad en el tiempo de los recursos técnicos, humanos y financieros. del. proveedor. con. respecto. al. trabajo. Aspectos legales, de seguridad y confidencialidad. -. La información manejada bajo el contrato puede estar sujeta a contemplar los derechos de propiedad intelectual 9.

(12) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). -. Custodia de la copia maestra del producto y los derechos del cliente para accesar o verificar esa copia maestra. -. El nivel de información revelada al cliente necesita ser mutuamente acordada entre las partes. -. Definición de los términos de la garantía. -. impedimentos/penalización asociados con el contrato.. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numerales 5.2.1, 5.2.6 y 6.4.2.1.. 4.3.3. Modificación del contrato. El proveedor debe identificar como se hace una modificación al contrato y como transfiere correctamente a las funciones involucradas dentro de la organización del proveedor. No se suministran directrices adicionales relacionadas con el software. Nota. Para información adicional, véase la norma ISO/IEC 12207:1995, numerales 5.1.3.5 y 5.2.3.2. 4.3.4. Registros. Se deben conservar registros de las revisiones de los contratos (véase el numeral 4.16). Nota 9. Se recomienda establecer los canales para la comunicación y la interrelación con la organización del cliente en estos asuntos del contrato.. No se suministran directrices adicionales relacionadas con el software. 4.4. CONTROL DEL DISEÑO. 4.4.1. Generalidades. El proveedor debe establecer y mantener actualizados procedimientos documentados para controlar y verificar el diseño del producto, con el propósito de asegurar que se cumplan los requisitos especificados. Este numeral brinda directrices para el desarrollo de actividades de análisis de requisitos, diseño de la arquitectura, diseño detallado y codificación. Este numeral también contiene directrices para el desarrollo de planes. Un proyecto de desarrollo de software debería ser organizado de acuerdo con uno o más modelos de ciclo de vida. Los procesos, actividades y tareas deberían ser planeadas y ejecutadas de acuerdo con la naturaleza del ciclo de vida empleado. El modelo de ciclo de vida empleado puede ser adaptado para satisfacer las necesidades particulares del proyecto. Esta parte de la serie NTC-ISO 9000 está diseñada para ser aplicada prescindiendo del modelo de ciclo de vida empleado y no pretende indicar un modelo específico de ciclo de vida. Un modelo de ciclo de vida identifica un conjunto de procesos y especifica dónde y cómo están involucrados los procesos. La secuencia en la cual los procesos son descritos como parte de 10.

(13) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). la serie NTC-ISO 9000 no implica de ninguna manera la secuencia en la cual deben ser desarrollados. El proceso de desarrollo es aquel que transforma los requisitos en un producto de software. Este proceso debería ser llevado a cabo de manera disciplinada, con el fin de prevenir la introducción de errores. Esta propuesta disminuye la dependencia de procesos de verificación y validación como único método para identificación de problemas. Por ello el proveedor debería establecer y mantener documentados procedimientos que aseguren que los productos de software se desarrollaron cumpliendo los requisitos especificados y de acuerdo con el plan de desarrollo y/o el plan de calidad. Los siguientes aspectos inherentes a las actividades de diseño deberían ser tenidos en cuenta:. a). Método de diseño: un método de diseño debería ser usado sistemáticamente. Se deberían hacer consideraciones sobre la conveniencia de tal método para el tipo de tarea, producto o proyecto y la compatibilidad de la aplicación, el método y las herramientas a ser empleadas.. b). Uso de experiencias anteriores: empleando las lecciones aprendidas de experiencias anteriores el proveedor debería evitar incurrir en problemas iguales o similares aplicando los conocimientos aprendidos en proyectos anteriores, análisis de mediciones y mediciones post-proyecto.. c). Procesos consecutivos: hasta donde sea posible, se recomienda que los productos de software se diseñen para facilitar el ensayo, instalación, mantenimiento y uso.. d). Salvaguarda y seguridad: debería darse especial consideración a la verificación y la validación del diseño. Para productos donde la falla puede causar daños a las personas, la propiedad o el medio ambiente, es recomendable que el diseño de este software asegure la definición de los requisitos específicos de diseño que especifiquen, la inmunidad deseada, y la responsabilidad del sistema, frente a condiciones potenciales de falla.. Para la codificación se debería definir y observar las reglas para el uso de lenguajes de programación, consistentes en nombramiento de las convenciones, codificación y reglas de comentarios adecuadas. El proveedor puede usar herramientas, instalaciones y técnicas para hacer efectivo el sistema de calidad con respecto a las directrices de esta parte de la serie NTC-ISO 9000. Tales herramientas, locaciones y técnicas pueden ser efectivas para propósitos administrativos, así como para el desarrollo del producto y/o servicio. Donde estas herramientas y técnicas sean desarrolladas internamente o adquiridas, el proveedor debe evaluar dónde son o no idóneas para el propósito. Las herramientas empleadas en la implementación del producto, tales como herramientas de análisis y diseño, compiladores y ensambles, deberían ser aprobadas y empleadas bajo un nivel apropiado de configuración de control administrativo, antes de su uso. El campo de aplicación de tales herramientas y técnicas debería ser documentado y su empleo revisado según sea apropiado, para determinar dónde es necesario mejorarlo y/o actualizarlo. El personal puede requerir entrenamiento en el uso de tales herramientas y técnicas al iniciar el uso o luego de una mejora o actualización. 11.

(14) NORMA TÉCNICA COLOMBIANA 4.4.2. NTC-ISO 9000-3 (Primera actualización). Planificación del diseño y del desarrollo. El proveedor debe preparar planes para cada actividad de diseño y de desarrollo. Los planes deben describir o referenciar estas actividades y definir la responsabilidad para su implementación. Las actividades de diseño y de desarrollo se deben asignar a personal calificado y dotado con los recursos adecuados. Los planes se deben actualizar a medida que el diseño evolucione. Para los productos de software la planificación del desarrollo debería determinar las actividades de análisis de requisitos, diseño, codificación, integración, prueba, instalación y soporte para la aceptación de productos de software. La planificación del desarrollo debería ser documentada en un plan de desarrollo. El plan de desarrollo debería ser revisado y aprobado. Un plan de desarrollo puede tener otros nombres tales como “Plan de desarrollo de software” o “plan de proyecto de software”. Un plan de desarrollo puede definir como se manejará el proyecto, las revisiones progresivas requeridas y el tipo y frecuencia de reportes al gerente, al cliente, y a otras partes relevantes involucradas, teniendo en cuenta cualquier requisito contractual. El plan de desarrollo debería dirigirse a los siguientes elementos, según sea apropiado:. a). La definición del proyecto, incluyendo una declaración de sus objetivos y referencia a cualquier cliente relacionado o proyectos del proveedor. b). La definición de entradas y salidas del proyecto como un todo. c). La organización de los recursos del proceso, incluyendo la estructura del equipo, responsabilidades, uso de subcontratistas y fuentes de material a ser empleados. d). Organización e interfaces técnicas entre los diferentes individuos o grupos, tales como:. e). -. Sub-equipos del proyecto. -. Subcontratistas. -. Usuarios. -. Representantes de los clientes. -. Representante de aseguramiento de la calidad. La identificación de, o referencia a:. -. Desarrollo de actividades que son ejecutadas. -. Entradas requeridas en cada actividad. -. Salidas requeridas de cada actividad 12.

(15) NORMA TÉCNICA COLOMBIANA -. NTC-ISO 9000-3 (Primera actualización). Actividades administrativas y de soporte que son ejecutadas. f). El análisis de posibles riesgos, hipótesis, necesidades y problemas asociados con el desarrollo. g). El cronograma, identificando:. h). i). -. Las fases del proyecto. -. El trabajo a ser ejecutado (las entradas a, las salidas de y la definición de cada tarea). -. Los recursos y tiempos asociados. -. Las dependencias asociadas. -. Los aspectos importantes. La identificación de:. -. Normas, reglas, prácticas y convenciones. -. Herramientas y técnicas para el desarrollo, incluyendo la calificación de, y la configuración de los controles establecidos en, tales herramientas y técnicas. -. Prácticas administrativas de configuración. -. Métodos de control de producto no conforme. -. Método de control del software no entregado, usado para soportar el desarrollo. -. Procedimientos de archivo, respaldo y recuperación, incluyendo planes de contingencia. -. Métodos de control para la protección contra virus. La identificación de planes relacionados (incluidos sistemas de planes por nivele) tales como:. -. Plan de calidad. -. Plan de manejo de riesgos. -. Plan de manejo de la configuración. -. Plan de integración 13.

(16) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). -. Plan de prueba. -. Plan de instalación. -. Plan de migración. -. Plan de entrenamiento. -. Plan de mantenimiento. -. Plan de re-uso.. El plan de desarrollo y cualquiera de los planes relacionados pueden ser documentos independientes, parte de otro documento o un conjunto de varios documentos. Nota. Para más información, véase la norma ISO/IEC 12207: 1995, subcláusula 5.2.4.. 4.4.3. Interrelaciones organizacionales y técnicas. Se deben definir las interrelaciones organizacionales y técnicas entre los diversos grupos que intervienen en el proceso de diseño, y la información necesaria se debe documentar, transmitir y revisar regularmente.. Los términos de responsabilidad para cada parte del producto del software y la manera en que la información técnica será transmitida entre todas las partes debería ser claramente definida en los planes de desarrollo de proveedores o subcontratistas. Para la revisión, el proveedor puede requerir someterse al plan de desarrollo del subcontratista. En la definición de interfaces, se debería tener especial cuidado en considerar otras partes, diferentes del cliente y el proveedor, necesiten participar en las actividades de diseño, instalación, mantenimiento y entrenamiento. Estos pueden incluir subcontratistas, autoridades reguladoras, proyectos de desarrollo asociados y personal de apoyo. En particular, los usuarios finales y cualquier función operativa intermedia puede necesitar ser tenida en cuenta para asegurar que se encuentra disponible la capacidad y el entrenamiento apropiados para alcanzar los niveles de servicio esperados. El cliente puede tener cierta responsabilidad bajo el contrato. Aspectos particulares incluyendo las necesidad para que el cliente colabore con el proveedor, para suministrar la información necesaria de manera oportuna, y resolver elementos de acción. Donde sea apropiado un representante del cliente, el/ella puede representar los eventuales usuarios del producto, así como la administración ejecutiva, y tener la autoridad para negociar en materia contractual, lo que pueden incluir, pero no limitarse a lo siguiente:. a). Definir los requisitos del cliente al proveedor. b). Resolver las inquietudes del proveedor. c). Aprobar las propuestas del proveedor 14.

(17) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). d). Decidir acuerdos con el proveedor. e). Asegurar que la organización del cliente observa los acuerdo realizados con el proveedor.. f). Definir los criterios y los procedimientos de aceptación. g). Negociar los elementos del software suministrado por el cliente, datos, instalaciones y herramientas que han sido halladas inapropiadas para el uso. h). Definir las responsabilidades del cliente.. Donde puedan ser programados, de manera regular, acuerdos mutuos, revisiones conjuntas que involucren al proveedor y al cliente, o eventos importantes del proyecto, es apropiado el cubrimiento de los siguientes aspectos:. a). El progreso del trabajo de desarrollo del software realizado por el proveedor. b). El progreso de actividades acordadas adelantadas por el cliente. c). Conformidad del desarrollo de productos de acuerdo con las especificaciones del cliente. d). El progreso de actividades concernientes a los eventuales usuarios del sistema bajo desarrollo, tales como conversión de sistemas y entrenamiento. e). Verificación de resultados. f). Resultados de pruebas de aceptación.. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numerales 5.2.6.1 y 6.6.2.. 4.4.4. Entrada del diseño. El proveedor debe identificar y documentar los requisitos de entrada al diseño relacionados con el producto, incluyendo los requisitos estatutarios y reglamentarios que sean aplicables y revisar su selección en cuanto a su adecuación. Los requisitos incompletos, ambiguos o incompatibles se deben resolver con los responsables de imponer estos requisitos. La entrada al diseño debe tomar en consideración los resultados de cualquier actividad de revisión del contrato.. Los requisitos especificados deberían ser suministrados por el cliente. Sin embargo, cuando se acuerde mutuamente, el proveedor puede suministrar la especificación. En tales casos, es conveniente que el proveedor, según sea aplicable:. 15.

(18) NORMA TÉCNICA COLOMBIANA a). NTC-ISO 9000-3 (Primera actualización). Establezca procedimientos documentados para desarrollar la especificación de los requisitos, incluyendo: -. Métodos para establecer requisitos y autorizar cambios de común acuerdo, especialmente durante el desarrollo iterativo.. -. Métodos para evaluación de prototipos o demostraciones, donde se usen. -. Registrar y revisar los resultados de discusiones por ambas partes. b). Desarrollar la especificación de los requisitos en estrecha colaboración con el cliente y hacer esfuerzos para evitar malentendidos, por ejemplo, establecer definiciones de términos, explicar la información básica de los requisitos.. c). Obtener la aprobación del cliente de los requisitos especificados.. Se pueden emplear, según sea apropiado, métodos de entrevistas, inspecciones, estudios, prototipos, demostraciones y métodos de análisis para desarrollar la especificación de los requisitos. En este caso, los procedimientos se pueden encontrar disponibles para asegurar la correcta asignación de requisitos del sistema en aspectos como equipos, software y las especificaciones apropiadas de interfaces. Las especificaciones de los requisitos puede no ser completamente definida en el contrato la aceptación del contrato, y pueden ser definidos durante el proyecto. El contrato puede ser corregido cuando cambien los requisitos especificados. Es recomendable que los cambios en los requisitos especificados sean controlados. Es recomendable que los requisitos incluyan todos los aspectos necesarios para satisfacer las necesidades acordadas con el cliente. Los requisitos especificados pueden necesitar tener en cuenta el medio ambiente operacional. Los requisitos pueden incluir, pero no limitarse a las siguientes características: funcionalidad, seguridad, utilidad, eficiencia, mantenimiento y transportabilidad (véase también la norma ISO/IEC 9126). Se pueden especificar subcaracterísticas, por ejemplo: seguridad. Las condiciones de seguridad y las obligaciones estatutarias también pueden ser especificadas. Si el producto de software requiere interface con otros productos de software o equipo, las interfaces entre el producto de software a ser desarrollado y otros productos de software o equipos deberían ser especificadas, hasta donde sea posible, bien sea directamente o por referencia, en los requisitos de especificación. Los requisitos deberían ser expresados en los términos que permitieron su validación durante la aceptación del producto. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numerales 5.3.2 a 5.3.4.. 4.4.5. Salida del diseño 16.

(19) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). La salida del diseño se debe documentar y expresar en términos que se puedan verificar y validar contra los requisitos de la entrada del diseño. La salida del diseño debe: a). Cumplir los requisitos de entrada del diseño. b). Contener o referenciar los criterios de aceptación. c). Identificar aquellas características del diseño, que sean críticas para el desempeño seguro y adecuado del producto (tales como requisitos de operación, almacenamiento, manejo, mantenimiento y disposición).. Los documentos de salida del diseño se deben revisar antes de su publicación. Los requisitos de salida para la actividad de diseño deberían ser definidos y documentados de acuerdo con el método escogido. Esta documentación debería ser corregida, completada e integrada con los requisitos. Las salidas de diseño pueden incluir:. -. Especificación de la arquitectura de diseño. -. Especificación detallada del diseño. -. Código de fuente. -. Guía de usuarios.. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numerales 5.3.5 a 5.3.7.. 4.4.6. Revisión del diseño. En etapas apropiadas del diseño, se deben planificar y efectuar revisiones formales y documentadas de los resultados del diseño. En cada revisión del diseño deben participar representantes de todas las funciones involucradas con la etapa del diseño que se esté revisando, así como también otro personal especialista, según se requiera. Se deben conservar registros de esas revisiones (ver el numeral 4.16).. El proveedor debería planear e implementar procesos de revisión para todos los proyectos de desarrollo de software. El grado de formalidad y rigor de las actividades asociadas con los procesos de revisión debería ser apropiado a la complejidad del producto y al grado de riesgo asociado con el uso específico del producto de software. El proveedor debería establecer procedimientos documentados para tratar las deficiencias o no conformidades del proceso o producto, identificadas durante estas actividades.. 17.

(20) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). Durante las revisiones del diseño se deberían tener en cuenta los aspectos inherentes a las actividades de diseño; por ejemplo factibilidad, seguridad del sistema y de los equipos, reglas de programación y ensayo. Los resultados de la revisión, y cualquier nueva actividad requerida para asegurar que se han alcanzado los requisitos especificados, debería ser registrada y verificada cuando se ha completado. Las principales revisiones del diseño durante el desarrollo deben ser programadas, pero pueden permitirse también revisiones de diseño no programadas.. Un procedimiento documentado de revisión debería contener lo siguiente:. a). Qué es lo revisado, cuando y el tipo de revisión. b). Qué grupos funcionales están comprometidos en cada tipo de revisión y, si es una reunión de revisión, quién la dirige. c). Qué registros se deben producir, por ejemplo minutas de la reunión, resultados, problemas, acciones y estado de la acción. Asimismo en el procedimiento de revisión del diseño lo siguiente puede ser considerado:. a). Los métodos para monitorear la aplicación de las reglas; prácticas y convenciones para asegurar cumplimiento, tales como revisiones por homólogos, simulacros, inspección de códigos.. b). Qué se hará antes de dar curso a una revisión, tal como establecimiento de objetivos, agenda de la reunión, documentos requeridos y funciones del personal que revisa. c). Que se hará durante la revisión, incluyendo las técnicas que a empleares y las directrices para todos los participantes. d). Los criterios principales para la revisión.. e). Qué métodos se emplearán para asegurar que las cuestiones identificadas en la revisión son resueltas.. Cuando se especifique en el contrato, el proveedor debería realizar reuniones de revisión de diseño en cooperación con el cliente. Ambas partes deberían estar de acuerdo en los resultados de tales revisiones. A posteriores actividades de diseño, se debería proceder solamente cuando las consecuencias de todas las deficiencias conocidas sean satisfactoriamente resueltas, o se conozca el riesgo de proceder de otra manera. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numerales 5.3.4.2, 5.3.5.6, 5.3.6.7 y 6.6.3.. 4.4.7. Verificación del diseño 18.

(21) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). En etapas apropiadas, se debe efectuar verificación del diseño para asegurar que el resultado de la etapa de diseño cumple los requisitos de la etapa de entrada del diseño. Las valoraciones de la verificación del diseño se deben registrar (véase el numeral 4.16). Nota 10. Además de efectuar revisiones del diseño, la verificación de éste puede incluir actividades tales como las siguientes: -. Realizar cálculos alternativos. -. Comparar el diseño nuevo con un diseño similar ya probado, si está disponible. -. Emprender ensayos y demostraciones. -. Revisar los documentos de la etapa de diseño, antes de publicarlos.. La verificación de diseño debería realizarse, según sea apropiado, durante el proceso de desarrollo. La verificación de diseño puede comprender revisiones de las salidas de diseño, demostraciones, incluyendo prototipos y simulaciones, o ensayos. La verificación puede ser realizada al terminar alguna de las actividades de desarrollo. Estas actividades de verificación deberían ser planeadas y conducidas de acuerdo con el plan de calidad o los procedimientos documentados para asegurar que las salidas del proceso alcancen los requisitos de la entrada de proceso. Los resultados de la verificación y cualquier acción emprendida que sea requerida para asegurar que los requisitos del estado de la entrada de diseño se han alcanzado deberían registrarse y revisarse cuando la acción se ha completado. Solamente las salidas de diseño verificadas deberían ser sometidas a aceptación y posterior uso. Cualquier hallazgo debería ser adecuadamente dirigido y resuelto. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numerales 5.3.4.2, 5.3.5.6, 5.3.6.7, 5.3.7.5, 5.3.9 y 6.4.. 4.4.8. Validación del diseño. Se debe efectuar una validación del diseño para asegurar que el producto es conforme con las necesidades y/o los requisitos definidos del usuario. Notas: 11). La validación del diseño sigue a la verificación exitosa del diseño (véase el numeral 4.4.7).. 12). La validación normalmente se efectúa bajo condiciones de operación definidas.. 13). La validación normalmente se efectúa sobre el producto final, pero puede ser necesaria en etapas anteriores la terminación del producto.. 14). Se pueden efectuar validaciones múltiples si hay diferentes usos propuestos.. 19.

(22) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). Antes de presentar el producto para la aceptación por el cliente, el proveedor debería validar el producto de acuerdo con las especificaciones de uso previsto, por ejemplo durante la inspección final y el ensayo. En el desarrollo del software, es importante que los resultados de la validación y cualquier acción posterior requerida para asegurar que los requisitos especificados son alcanzados sea registrada y revisada cuando la acción se ha completado. Solamente productos validados deberían ser sometidos para aceptación y subsecuente uso. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numerales 5.3.1, 6.5.. 4.4.9. Cambios del diseño. Todos los cambios y las modificaciones del diseño deben ser identificados, documentados, revisados y aprobados por personal autorizado, antes de su implementación. El proveedor debería establecer y mantener procedimientos para controlar la implementación de cualquier cambio en el diseño, los cuales pueden surgir en cualquier momento durante el ciclo de vida del producto, para:. a). Documentar y justificar el cambio.. b). Evaluar las consecuencias del cambio.. c). Aprobar o desaprobar el cambio.. d). Implementar y verificar el cambio.. En el ambiente de desarrollo del software, el control de los cambios de diseño es usualmente dirigido bajo la disciplina de la administración de la configuración. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numerales 5.5.2 y 6.2.3.. 4.5. CONTROL DE LOS DOCUMENTOS Y DATOS. 4.5.1. Generalidades. El proveedor debe establecer y mantener actualizados procedimientos documentados para controlar todos los documentos y datos relacionados con los requisitos de esta norma, incluyendo, según sea aplicable, documentos de origen externo tales como normas y planos del cliente. Nota 15. Los documentos y los datos pueden estar en la forma de medios impresos; o pueden estar en medios electrónicos o de otra índole.. 20.

(23) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). Los procedimientos de administración de la configuración pueden ser usados para implementar el control de documentos y datos. En el establecimiento de los procedimientos para controlar documentos y datos, el proveedor debería identificar los documentos y datos, incluyendo aquellos de origen externo tales como normas y datos del cliente, los cuales deberían ser sujetos procedimientos de control. Los procedimientos de control de documentos y datos deberían ser aplicados a los documentos y datos que sean relevantes, incluyendo los siguientes:. a). Documentos contractuales, incluyendo requisitos de especificaciones. b). Procedimientos documentados que describan el sistema de calidad a ser aplicado en el ciclo de vida del software. c). Documentos de planeación que describen planes y progresos de actividades de el proveedor y de las interacciones del proveedor con el cliente. d). Documentos de productos y datos que describen o son asociados con el producto particular del software. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numeral 6.1.. 4.5.2. Aprobación y edición de los documentos y datos. Antes de editar los documentos y datos deben ser revisados y aprobados para su adecuación, por personal autorizado. Para evitar que se utilicen documentos obsoletos y/o inválidos, se debe establecer un listado maestro o un procedimiento equivalente de control de documentos, en el cual se identifique el estado de revisión vigente de los documentos; este listado debe estar fácilmente disponible. Los controles deben asegurar que:. a). En todos los sitios en los que se efectúen operaciones esenciales para el desempeño eficaz del sistema de calidad, se disponga de las ediciones pertinentes de los documentos apropiados. b). Los documentos obsoletos y/o inválidos se retiran con prontitud de todos los puntos de edición o de utilización, o que se asegura contra su uso no propuesto en alguna otra forma. c). Se identifique adecuadamente cualquier documento obsoleto retenido para propósitos legales y/o de preservación de conocimiento .. Donde el control de documentos se realice por medios electrónicos, es aconsejable brindar especial atención a la aprobación apropiada, acceso, distribución, medio y procedimientos de archivo.. 21.

(24) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). 22.

(25) NORMA TÉCNICA COLOMBIANA 4.5.3. NTC-ISO 9000-3 (Primera actualización). Cambios en los documentos y datos. Los cambios en los documentos y datos deben ser revisados y aprobados por las mismas funciones u organizaciones que efectúen la revisión y aprobación originales, salvo que específicamente se estipule de otra manera. Las funciones u organizaciones designadas deben tener acceso a la información previa pertinente sobre la cual basan su revisión y aprobación. En los casos en que sea posible, en el documento o en los anexos apropiados, se debe identificar la naturaleza del cambio. No se suministran directrices adicionales relacionadas con el software. 4.6. COMPRAS. 4.6.1. Generalidades. El proveedor debe establecer y mantener actualizados procedimientos documentados para asegurar que el producto comprado (véase el numeral 3.1) cumple los requisitos especificados. En el desarrollo, suministro, instalación y mantenimiento de productos de software, la compra de productos puede incluir: -. Software de paquetes comerciales.. -. Desarrollos subcontratados.. -. Equipos de computación y comunicación.. -. Una herramienta intencional para asistir en el desarrollo del software.. -. Soporte contratado.. -. Servicios de mantenimiento y soporte al cliente.. -. Cursos de entrenamiento y materiales.. Nota. Para información adicional véase la norma ISO/IEC 12207:1995, numeral 5.1.. 4.6.2. Evaluación de subcontratistas. El proveedor debe: a). Evaluar y seleccionar los subcontratistas con base en su capacidad para cumplir los requisitos del subcontrato, incluyendo los requisitos del sistema de calidad y cualquier requisito específico de aseguramiento de la calidad. b). Definir el tipo y el alcance del control ejercido por el proveedor sobre los subcontratistas. Esto debe ser dependiente del tipo de producto, del impacto del producto subcontratado en la calidad del producto final y, siempre que sea aplicable, de los informes de auditoría de calidad y/o registros de calidad, de la capacidad y del desempeño previamente demostrados por los subcontratistas.. c). Establecer y conservar registros de calidad de los subcontratistas aceptables (véase el numeral 4.16). 23.

(26) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). No se suministran directrices adicionales relacionadas con el software. 4.6.3. Datos de compras. Los documentos de compras deben contener datos que describan claramente el producto pedido, incluyendo, siempre que sea aplicable:. a). El tipo, clase, grado u otra identificación precisa. b). El título u otra identificación formal y las ediciones aplicables de especificaciones, planos, requisitos del proceso, instrucciones de inspección y otros datos técnicos pertinentes, incluyendo los requisitos para aprobación o calificación de producto, procedimientos, equipo y personal del proceso. c). El título, el número y la edición de la norma del sistema de calidad que se va a aplicar.. El proveedor debe revisar y aprobar los documentos de compras, sobre su adecuación con los requisitos especificados, antes de su publicación.. Los documentos de compras para desarrollo de software deberían contener datos que describan claramente el producto ordenado, incluyendo, según sea aplicable:. a). Identificación precisa del producto ordenado, tal como nombre del producto y/o número del producto. b). Especificaciones de los requisitos o la identidad de este (o el procedimiento para identificar especificaciones de requisitos cuando no sean acordados al momento de realizar la orden. c). Normas aplicables (por ejemplo protocolos de comunicación, especificación de la arquitectura). d). procedimientos y/o instrucciones de trabajo. e). Ambiente de desarrollo.. f). Requisitos del personal.. Las consideraciones sobre revisión de contrato también pueden ser aplicadas a los subcontratistas. 4.6.4. Verificación del producto comprado. 4.6.4.1 Verificación por el proveedor en los locales del subcontratista En los casos en que el proveedor se propone verificar el producto comprado en los locales del subcontratista, el proveedor debe especificar los acuerdos de verificación y la forma de salida del producto en los documentos de compras. 24.

(27) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). No se suministran directrices adicionales relacionadas con el software. 4.6.4.2 Verificación por el cliente del producto subcontratado. Cuando así se especifique en el contrato, el cliente del proveedor o el representante del cliente debe tener el derecho de verificar en los locales del subcontratista y en los locales del proveedor que el producto subcontratado cumple los requisitos especificados. Esa verificación no debe ser utilizada por el proveedor como evidencia de control efectivo de calidad por parte del subcontratista. La verificación por el cliente no debe eliminar la responsabilidad del proveedor en cuanto a suministrar un producto aceptable, ni impedir que el cliente pueda rechazarlo posteriormente. No se suministran directrices adicionales relacionadas con el software. 4.7. CONTROL DEL PRODUCTO SUMINISTRADO POR EL CLIENTE. El proveedor debe establecer y mantener actualizados procedimientos documentados para el control de la verificación, el almacenamiento y el mantenimiento del producto suministrado por el cliente para incorporación en los suministros o para las actividades relacionadas. Cualquier producto de esta índole que se pierda, se dañe o que por cualquier otro motivo sea inadecuado para el uso, debe ser registrado y reportado al cliente (véase el numeral 4.16). La verificación por el proveedor no elimina la responsabilidad del cliente en cuanto a suministrar un producto aceptable. El proveedor puede ser requerido para adquirir e incluir productos, incluyendo datos, suministrados por el cliente. Por ejemplo:. a). Productos de software, incluyendo software comercial suministrado por el cliente.. b). Desarrollo de herramientas. c). Desarrollo de medios, incluyendo servicios de red. d). Datos de ensayo u operación. e). Interfaces u otras especificaciones. f). Equipos. g). Información de propiedad del cliente, incluyendo especificaciones.. Deberían ser considerados los requisitos del contrato, en relación con las licencias requeridas y el soporte de tal producto de software, en cualquier acuerdo de mantenimiento relacionado con el producto a ser entregado. Se deberían definir los medios por los cuales van a ser aceptadas e integradas las actualizaciones de los elementos suministrados al cliente. El proveedor puede aplicar la misma clase de actividades de verificación tanto a los productos suministrados por el cliente como a productos comprados. 25.

(28) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). Nota. Para mayor información , véase la norma ISO/IEC 12207:1995, numeral 6.1.. 4.8. IDENTIFICACIÓN Y TRAZABILIDAD DEL PRODUCTO. En los casos en que sea apropiado, el proveedor debe establecer y mantener actualizados procedimientos documentados para identificar el producto por medios adecuados, desde la recepción y durante todas las etapas de producción, entrega e instalación. En los casos y en el grado en que la trazabilidad sea un requisito especificado, el proveedor debe establecer y mantener actualizados procedimientos documentados para la identificación única del producto individual o de los lotes. Esta identificación se debe registrar (véase el numeral 4.16). Es aconsejable que el proveedor establezca y mantenga procedimientos para identificar los elementos del software durante todas las fases, comenzando desde la especificación hasta el desarrollo, reproducción y entrega. Dónde se requiera por el contrato, estos procedimientos pueden ser también aplicados luego de la entrega del producto. A través del ciclo de vida del producto, es recomendable que estos procedimientos permitan la trazabilidad de los componentes de los elementos del software o producto. Tal trazabilidad puede variar en alcance de acuerdo con los requisitos del contrato o el sitio de mercado, desde ser aptos para dar un cierto cambio requerido en un caso específico, hasta registrar el destino y uso de cada variante del producto. En software, un medio por el cual la identificación y trazabilidad puede ser lograda, es la administración de la configuración. La administración de la configuración es una disciplina que aplica directrices técnicas y administrativas para desarrollar y soportar el ciclo de vida de los elementos de la configuración, incluyendo los elementos del software. Esta disciplina también es aplicable a la documentación y a los equipos relacionados. El uso de la administración de la configuración depende del tamaño del proyecto y su complejidad,y del nivel de riesgo. Un objetivo de la administración de la configuración es documentar y suministrar una visión completa de la configuración de los productos presentada y el estado de logro de sus requisitos. Otro objetivo es que cada trabajador del producto, en cualquier momento en el ciclo de vida, use la información correcta y precisa. Una administración de la configuración puede suministrar capacidad para:. a). Identificar de manera única las versiones de cada elemento del software.. b). Identificar la versión de cada elemento del software los cuales constituyen juntos una versión específica de un producto completo.. c). Identificar el grado de construcción de los productos de software bajo desarrollo, entrega o instalación.. d). Controla actualizaciones simultáneas de un elemento determinado del software dado por dos o más personas que trabajan independientemente.. e). Suministra coordinación para la actualización de múltiples productos en una o más localizaciones según sea requerido. 26.

(29) NORMA TÉCNICA COLOMBIANA f). NTC-ISO 9000-3 (Primera actualización). Identifica y recorre todas las acciones y cambios resultantes de cambios requeridos, o problemas desde le inicio hasta la publicación.. Es recomendable que el proveedor identifique la configuración con lo siguiente: a). Estructura del producto y selección de los elementos de configuración.. b). Documentación y archivos de computador.. c). Convenciones de denominación.. d). Establecimiento de las condiciones base de configuración.. Los productos que pueden ser administrados por un sistema de administración de la configuración incluyen:. a). Documentos y datos correspondientes al contrato, proceso, planeación y producto. b). Fuentes. objetos y códigos ejecutables. c). Productos incorporados, incluyendo -. herramientas de software. -. software reutilizado, incluyendo librerías. -. software adquirido. -. software suministrado por el cliente.. Es recomendable aplicar procedimientos para asegurar que para cada elemento del software: puede ser identificado lo siguiente a). La documentación. b). Cualquier herramienta asociada que se ha desarrollado. c). Interfaces con otros elementos de software y otros equipos. d). El ambiente del equipo y el software. El proveedor debería establecer y mantener el estado de configuración teniendo en cuenta los procedimientos para registros, manejo y reporte del estado de los elementos del software, de los cambios requeridos y de la implementación de los cambios aprobados. El proveedor debería desarrollar e implementar un plan de administración de la configuración que incluya lo siguiente:. a). Organizaciones involucradas en la administración de la configuración y responsables asignados a cada una de ellas. 27.

(30) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). b). Actividades de la administración de la configuración que deben ser realizadas. c). Herramientas, técnicas y metodologías de la administración de la configuración a ser usadas. d). El punto en que los elementos deberían ser conducidos bajo el control de la configuración.. Nota. Para mayor información en administración de la configuración, véase la norma ISO 10007 y la norma ISO/IEC 12207:1995, numerales 6.1 y 6.2.. 4.9. CONTROL DE PROCESOS. El proveedor debe identificar y planificar los procesos de producción, instalación y servicio asociado que afecten directamente la calidad, y debe asegurar que estos procesos se efectúan en condiciones controladas. Las condiciones controladas deben incluir lo siguiente:. a). Procedimientos documentados que definan la forma de producción, instalación y servicio asociado, en los casos en que la ausencia de esos procedimientos puedan afectar adversamente la calidad. b). Utilización de equipo adecuado de producción, instalación y servicio asociado, y un ambiente de trabajo adecuado. c). Cumplimiento de normas y códigos de referencia, planes de calidad y/o procedimientos documentados.. d). Seguimiento y control de los parámetros adecuados del proceso y de las características del producto. e). Aprobación de procesos y equipo, según como sea apropiado. f). Criterios para la manufactura que se deben establecer de la manera práctica más clara (por ejemplo, mediante normas escritas, muestras representativas o ilustraciones). g). Mantenimiento adecuado del equipo para asegurar la permanente capacidad del proceso.. Cuando los resultados de los procesos no se pueden verificar plenamente por inspección y ensayo posterior del producto, y cuando, por ejemplo, las deficiencias de procesamiento únicamente pueden hacerse evidentes después de que el producto se está usando los procesos deben ser efectuados por operadores calificados y/o deben requerir seguimiento y control continuos para asegurar que se cumplan los requisitos especificados. Se deben especificar los requisitos para cualquier calificación de las operaciones del proceso, incluyendo el equipo y el personal relacionados (véase el numeral 4.18). Nota 16. Aquellos procesos que requieren precalificación de su capacidad de procesamiento, a menudo se denominan procesos especiales.. Se deben conservar registros de los procesos, el equipo y el personal calificados, según como sea apropiado (véase el numeral 4.16). 28.

(31) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). Como se estableció en las recomendaciones para el elemento de control de diseño de la NTCISO 9001, un proyecto de desarrollo de software debería ser organizado de acuerdo a un conjunto de procesos los cuales transforman los requisitos en producto de software. El elemento de “control de procesos”, como aplicación al desarrollo de software, es aplicable a la reproducción, entrega e instalación de los elementos o productos de software. Donde sea requerido por el contrato, el proveedor debería establecer y ejecutar los procedimientos de reproducción, considerando los siguientes aspectos para asegurar que la reproducción es realizada correctamente:. a). Identificación del maestro y las copias, incluyendo formato, variantes y versión. b). El número de copias para cada elemento del software a ser entregado. c). Planes de recuperación de desastres, incluyendo custodia del maestro y copias de respaldo, donde sea aplicable. d). El período de obligación por parte del proveedor para suministrar copias y la capacidad de lectura de las copias maestras. e). El tipo de medio para cada elemento del software y el nivel asociado. f). Comprobaciones en caso de la posibilidad de virus del software. g). La estipulación de información requerida tal como manuales y guías de usuarios, incluyendo identificación y empaque. h). Derechos de autor y licencias concernientes al producto involucrado y acordado. i). Control del ambiente bajo el cual la reproducción se afecta para asegurar repetibilidad.. Para producto de software emitido, el proveedor y el cliente deberían acordar y documentar procedimientos para emisiones iniciales y siguientes. La emisión del software debería establecer una base que registre los ensayos realizados y la resolución de deficiencias identificadas. Un análisis cuantitativo, para predecir la seguridad de funcionamiento del sistema, puede ser llevada a cabo para el software con requisitos de fiabilidad y/o seguridad. Estos procedimientos deberían incluir lo siguiente:. a). Descripción de los tipos (o clases) de emisión, dependiendo de la frecuencia y/o impacto en las operaciones del cliente y la habilidad para implementar cambios en cualquier punto en el tiempo. b). métodos por los cuales el cliente puede ser advertido de futuros cambios, corrientes o planeados. 29.

(32) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). c). Métodos para confirmar los cambios implementados para no introducir otros problemas; tales métodos deberían incluir la determinación del nivel de ensayo de regresión que ha de ser aplicado para cada emisión.. d). Normas generales para determinar dónde pueden incorporarse de manera localizada correcciones temporales o es necesario emitir una nueva versión completamente actualizada del producto de software, si es necesario.. e). Requisitos de los registros, indicando cuales cambios han sido implementados y en que ubicación, para múltiples productos y sitios.. Cuando la instalación del producto de software es requerida contractualmente, el proveedor y el cliente deben acordar sus respectivos desempeños, responsabilidades y obligaciones y como se deberían documentar los acuerdos. En suministros para instalación, se debe dar consideración a lo siguiente:. a). La necesidad para validación de cada instalación requerida contractualmente. b). Un procedimiento de instalación. c). Un procedimiento para aprobación de cada instalación sobre el cumplimiento. d). Un cronograma. e). Acceso a facilidades del cliente (por ejemplo: distintivos de seguridad, palabras claves, escoltas). f). Disponibilidad de personal experimentado. g). Disponibilidad de y acceso a los sistemas y equipos del cliente. h). Identificación de lo que el cliente de suministrar en el sitio. i). Entrenamiento para el uso de las nuevas facilidades.. Nota. Para mayor información, véase la norma ISO/IEC 12207:1995, numerales 5.3.12 y 6.3.3.. 4.10. INSPECCIÓN Y ENSAYO. 4.10.1 Generalidades El proveedor debe establecer y mantener actualizados procedimientos documentados para las actividades de inspección y ensayo, con el propósito de verificar que se cumplan los requisitos especificados del producto. La inspección y el ensayo requeridos, y los registros que se establezcan, se deben detallar en el plan de calidad o en los procedimientos documentados. En mucho niveles se puede requerir ensayo, desde los elementos del software individual al producto de software completo. Existen muchas propuestas diferentes de ensayo, y el alcance del ensayo, el grado de control del ambiente, de ensayo. Las entradas y salidas del ensayo, pueden variar según la propuesta, complejidad del producto y el riesgo. El ensayo del software 30.

(33) NORMA TÉCNICA COLOMBIANA. NTC-ISO 9000-3 (Primera actualización). también se realiza durante la integración del software. Las técnicas para bajo revisión del diseño también pueden ser relevantes en las actividades de inspección y ensayo. El proveedor podría establecer, documentar y revisar planes para unidad, integración, ensayos de sistema y aceptación de acuerdo con el plan de calidad o los procedimientos documentados, cubriendo, según sea apropiado:. a). Ensayos objetivos. b). Consideraciones a ser ensayadas. c). Tipos de ensayos a ser desarrollados (por ejemplo: ensayos funcionales, ensayos finales, ensayo de utilidad). d). Secuencia de ensayos, condiciones de ensayo, procedimientos de ensayo, datos de ensayo y resultados esperados. e). Alcance de los ensayos a ser ejecutados, en términos de extensión y volumen. f). Relevancia de los ensayos respecto a los objetivos de los ensayos y al uso operacional. g). Consideraciones especiales tales como seguridad y respaldo. h). Ambiente de ensayo, herramientas y ensayo de software, incluyendo cualquier calificación asociada y controles. i). Ensayo de la documentación para el usuario final. j). Personal requerido y requisitos de entrenamiento asociado, incluyendo material de entrenamiento. k). El grado de independencia entre el personal que desarrolla el software y el personal que realiza los ensayos. l). Las responsabilidades en las especificaciones y el desempeño del ensayo.. m). El criterio de cumplimiento final del ensayo. n). Los métodos para registrar resultados. o). Procedimientos para analizar y aprobar resultados. p). Procedimientos para manejar problemas hallados durante la ejecución de ensayos, incluyendo criterios de suspensión y criterios de reinicio. q). La necesidad para, y la extensión de, ensayos de retroceso. r). La repetibilidad del ensayo. Nota. Para mayor información, véase la norma ISO/IEC 12207:1995, numerales 5.1.5, 5.3.5.5, 5.3.6.5, 5.3.6.6, 5.3.7, 5.3.1.1 y 5.3.13.. 4.10.2 Inspección y ensayos de recepción 31.

Show more

Nuevo documento

El estudio realizado permite concluir que la reducción del consumo de cigarrillos ratifica la importancia del precio en los programas de prevención y control del tabaquismo; que el

intervengamos enfermos por operaciones innecesarias o lo hagamos tan tardíamente que las secuelas se hayan establecido; cuando abandonemos las guardias irresponsablemente y la dejamos

En Cuba, la Escuela Nacional de Salud Pública ha promovido investigaciones e ideas en relación con la intersectorialidad y emitido sus criterios, muchos de los cuales comparten los

Su contenido está referido a la movilización comunitaria y coordinación intersectorial, formar recursos humanos en epidemiología y toxicología ambientales, fortalecer las funciones de

En el campo de la aplicación de las buenas prácticas en general, y su extensión a los aspectos relacionados con la investigación clínica, resulta en ocasiones algo difícil comprender su

Conjugar los modelos de medicina personalizada, medicina genómica y medicina social es un resultado posible en el sistema cubano de salud, cuya expresión puede medirse en términos de

Esta hipótesis, también denominada como del "Feto Ahorrador o Aprovechador" provee la razón para creer que al menos por una o dos generaciones, la diabetes y otras ENTs en esta parte

Palabras clave: industria farmacéutica mundial, consumo de medicamentos, promoción de medicamentos, gastos en medicamentos, agencias reguladoras, información médica, enfermedades

falta de fundamento científico, al menos en algún país como el Reino Unido donde un informe del Parlamento exigió en 2013 la revisión de la política de compras de dichos medicamentos y

Generalmente el tema de la epilepsia desde un paradigma clínico es el más tratado en las revistas médicas cubanas, quizás por ser el que tradicionalmente se utiliza por los