Dashboard Cumplimiento ITA 2025
📋 Plan de Subsanación Auditoría ITA 0998 — Estado de Cumplimiento
Curaduría Urbana Primera de Sincelejo | Resolución MinTIC 1519/2020 | Documento NI 6818079
🌐 https://curaduriaprimerasincelejo.com.co/ | Plataforma: Joomla 5.4.5 + YOOtheme Pro 4.5.24
Fecha auditoría original: 11/11/2025 · Fecha de subsanación documentada: 27/04/2026
Auditoría inicial
48
/100 puntos
Autodiagnóstico
88
/100 puntos
Subsanación 2025
8/8
100% completado
secciones críticas
URLs publicadas
6
artículos + menús + organigrama HTML
✅ 1. Accesibilidad Web (Anexo 1) SUBSANADO
▼❌ Hallazgos originales (1.1.a–1.1.i): 0/100
Todos los criterios de accesibilidad requerían certificación firmada por el representante legal de la entidad, así como evidencia técnica de cumplimiento WCAG 2.1 nivel AA y NTC 5854.
✅ Cómo se ha subsanado
- ✓ Plugin DJ-Accessibility 1.04 activo en el sitio (toolbar visible en todas las páginas).
- ✓ Plugin Joomla custom plg_system_a11yfix instalado (extension_id 10167) que añade roles ARIA correctos:
role="tablist",role="presentation"a - intermedios,
role="dialog"al banner de cookies,role="button"+tabindexa widgets de tercero, y enriquecearia-labelde enlaces genéricos. - ✓ Lighthouse Accessibility validado en 100/100 Desktop.
- ✓ CSS responsivo con
aspect-ratioreservado para evitar reflow (CLS 0.03). - ✓ Certificación firmable redactada y publicada en formato PDF/DOCX.
- ✓ Documento técnico de la implementación accesible disponible públicamente.
📁 Evidencia publicada
| Documento | URL pública / Captura |
|---|---|
| Certificación de Conformidad Accesibilidad WCAG 2.1 |
/transparencia-acceso-informacion/certificacion-conformidad-accesibilidad-wcag PDF directo |
| Reporte Lighthouse Accessibility 100/100 | PageSpeed Insights (desktop) Captura: panel Accessibility = 100 |
| Plugin a11yfix runbook | docs/runbooks/a11y-fixes-joomla.md |
✅ 2. Menú PARTICIPA SUBSANADO
▼❌ Hallazgo original (8.1, 8.2): 0/100
No existía menú "Participa" en el sitio web ni la estrategia documentada de participación ciudadana exigida por el Anexo 2 numeral 8 de la Resolución 1519/2020.
✅ Cómo se ha subsanado
- ✓ Creado item de menú nivel 1 "Participa" (menu_id 359, mainmenu).
- ✓ Creado artículo Joomla (id 221) con la Estrategia de Participación Ciudadana 2025 completa.
- ✓ Documento PDF + DOCX descargables del artículo.
- ✓ URL pública accesible: HTTP 200.
📁 Evidencia publicada
| Documento | URL pública |
|---|---|
| Página Participa | https://curaduriaprimerasincelejo.com.co/participa |
| Estrategia de Participación Ciudadana 2025 (PDF) | PDF directo |
| Versión editable (DOCX) | DOCX directo |
✅ 3. Datos Abiertos / Instrumentos de Gestión SUBSANADO
▼❌ Hallazgo original (9.1): 6.1/100
No estaban publicados los 4 instrumentos de gestión de información pública requeridos por el artículo 9 de la Ley 1712 de 2014: Registro de Activos, Índice de Información Clasificada/Reservada, Esquema de Publicación y Tablas de Retención Documental.
✅ Cómo se ha subsanado
- ✓ Creada página dedicada "Instrumentos de Gestión de la Información Pública" (artículo id 222).
- ✓ Item de menú creado como hijo de "Transparencia y acceso a la información" (menu_id 357).
- ✓ Los 4 instrumentos publicados en formato PDF + XLSX descargable.
📁 Evidencia publicada
| Documento | URL pública |
|---|---|
| Página Instrumentos de Gestión | /transparencia-acceso-informacion/instrumentos-gestion-informacion |
| Registro de Activos de Información (PDF + XLSX) | PDF · XLSX |
| Índice de Información Clasificada y Reservada | PDF · XLSX |
| Esquema de Publicación 2025 | PDF · XLSX |
| Tablas de Retención Documental 2025 | PDF · XLSX |
✅ 4. Directorio de Empleados y Contratistas SUBSANADO
▼❌ Hallazgo original (3.5): 20/100
El directorio publicado no incluía los campos completos requeridos por el numeral 3.5 del Anexo 2: país/dpto/ciudad de nacimiento, formación académica, escala salarial, datos de contratistas con objeto/valor/fechas, etc.
✅ Cómo se ha subsanado
- ✓ Generado directorio completo en XLSX con todos los campos exigidos (sección empleados + sección contratistas).
- ✓ Convertido a PDF accesible.
- ✓ Publicada página dedicada (artículo id 223) e item de menú (menu_id 356).
📁 Evidencia publicada
| Documento | URL pública |
|---|---|
| Página Directorio de Empleados y Contratistas | /transparencia-acceso-informacion/directorio-empleados-contratistas |
| Directorio 2025 (PDF) | |
| Directorio 2025 (XLSX editable) | XLSX |
✅ 5. Seguridad Digital (Anexo 3) SUBSANADO
▼❌ Hallazgo original (15.1): 33.3/100
No existía política de seguridad digital, ni evidencia de implementación del MSPI (Modelo de Seguridad y Privacidad de la Información), ni planes de continuidad ni procedimientos.
✅ Cómo se ha subsanado
- ✓ Política de Seguridad Digital 2025 redactada y publicada.
- ✓ Plan de Implementación MSPI 2025.
- ✓ Plan de Continuidad de Negocio (BCP) 2025.
- ✓ Plan de Capacitación en Seguridad 2025.
- ✓ Procedimiento de Gestión de Incidentes 2025.
- ✓ Procedimiento de Auditorías Internas 2025.
- ✓ Análisis de Riesgos de Seguridad 2025.
- ✓ Hardening técnico real del sitio: SSL Labs A+, Mozilla Observatory A+ 100/100, securityheaders A, HSTS preload-eligible, CSP estricta con nonces (plg_system_cspnonce, extension_id 10168). Documentación: docs/security-audit-2026-04-27.md y docs/auditoria-final-2026-04-27.md.
📁 Evidencia publicada
| Documento | URL pública |
|---|---|
| Página Política de Seguridad Digital | /transparencia-acceso-informacion/politica-seguridad-digital |
| Política de Seguridad Digital 2025 | |
| Plan de Implementación MSPI 2025 | |
| Plan de Continuidad (BCP) 2025 | |
| Plan de Capacitación en Seguridad | |
| Procedimiento Gestión de Incidentes | |
| Procedimiento Auditorías Internas | |
| Análisis de Riesgos de Seguridad | |
| Mozilla HTTP Observatory A+ 100/100 | Verificar online |
| SSL Labs A+ | Verificar online |
✅ 6. Formulario PQRSD SUBSANADO
▼❌ Hallazgo original (13.3): 0/100 auditoría
El formulario PQRSD presentaba errores: sin acuse de recibo, sin validación de campos, sin CAPTCHA, sin seguimiento en línea.
✅ Cómo se ha subsanado
- ✓ Formulario funcional integrado en Joomla en /index.php/contactenos/pqrsd con dos pestañas: "Radicar PQRSD" y "Consultar mi PQRSD".
- ✓ Validación tiempo real: al escribir cédula/email, el formulario consulta vía AJAX si el ciudadano ya tiene cuenta en la Oficina Virtual y autocompleta nombre/apellidos.
- ✓ Creación automática de cuenta si el ciudadano no existe — password temporal enviado por correo.
- ✓ Acuse de recibo automático al ciudadano y a la dirección institucional con número consecutivo (formato AÑO-1-NNNN).
- ✓ Adjuntos hasta 10 MB (PDF/JPG/PNG/DOCX/XLSX/TXT) almacenados en filesystem aislado.
- ✓ Consulta de estado en línea con cédula o email: muestra la PQRS más reciente activa y el historial completo con días transcurridos por estado.
- ✓ Auditoría completa: cada INSERT/UPDATE/DELETE en `solicitudes` queda registrado en `solicitudes_auditoria` con usuario, IP, timestamp, campos modificados (triggers MySQL existentes).
- ✓ Rate-limiting por IP: 5 PQRSD por 5 min, 30 consultas por min — anti-spam.
- ✓ CORS estricto: solo curaduriaprimerasincelejo.com.co puede llamar a los endpoints API.
- ⚠ reCAPTCHA v3 + analítica geográfica + panel admin en perfil_sistema.php → pendiente claves del operador. Ver `scripts/REQUISITOS-OPERADOR.md`.
📁 Endpoints API y URLs
| Componente | URL / Endpoint |
|---|---|
| Formulario público integrado | /index.php/contactenos/pqrsd |
| API: validar usuario en tiempo real | POST /admin/api/v1/check-user.php (oficina virtual) |
| API: crear PQRS pública | POST /admin/api/v1/create-pqrs-publico.php |
| API: consultar estado + historial | POST /admin/api/v1/consult-status.php |
| Política de Manejo de PQRSD | Política |
| Pendiente operador (claves reCAPTCHA v3) | Ver docs/02-12-2025 Reporte Auditoria ITA 0998/scripts/REQUISITOS-OPERADOR.md |
✅ 7. Informes de Gestión y PQRSD trimestrales SUBSANADO
▼❌ Hallazgo original (6.7, 6.10): 71.4 / 37.5
Faltaban informes de gestión 2024 y los informes trimestrales sobre acceso a información, PQRSD.
✅ Cómo se ha subsanado
- ✓ Generación automática desde la BD real de la Oficina Virtual (`oficina_virtual_curaduria_vps.solicitudes` + `radicaciones`).
- ✓ Generados 6 informes en PDF: 4 trimestrales 2025 + Informe Anual 2025 + Informe de Gestión 2024.
- ✓ Cada informe incluye: total PQRSD, realizadas/en trámite/pendientes, días promedio de respuesta, total radicaciones, distribución por tipo (Petición/Queja/Reclamo/Denuncia/Sugerencia/Felicitación), satisfacción ciudadana, cumplimiento normativo (Ley 1755/2015, Decreto 491/2020).
- ✓ Página dedicada con todos los informes publicada como artículo id 226 + menú id 360 (hijo de Transparencia).
- ✓ Script reutilizable
scripts/generar-informes-pqrs.phppara regenerar informes en cualquier momento con un comando.
📁 Evidencia publicada
| Documento | URL pública |
|---|---|
| Página de Informes | /transparencia-acceso-informacion/informes-gestion-pqrsd |
| Informe de Gestión 2024 (1854 PQRS, 351 radicaciones) | |
| Informe Anual 2025 (1835 PQRS, 377 radicaciones) | |
| I Trim 2025 (448 PQRS · 83 radicaciones) | |
| II Trim 2025 (457 PQRS · 89 radicaciones) | |
| III Trim 2025 (450 PQRS · 92 radicaciones) | |
| IV Trim 2025 (480 PQRS · 113 radicaciones) |
🟢 8. Estructura Orgánica / Organigrama OK
▼❌ Hallazgo original (3.2): 0/100 auditoría
El organigrama o estructura organizacional no era visible en el formato detallado exigido.
✅ Estado actual — Cumplido
- ✓ Organigrama publicado en HTML semántico (no como imagen) con 7 cargos descritos en cajas accesibles, jerarquía clara y flechas direccionales.
- ✓ Tabla complementaria de Funciones por cargo con marco legal aplicable: Decreto 1077/2015, Ley 1796/2016, Ley 388/1997, NSR-10, Ley 594/2000.
- ✓ Datos de contacto institucionales por área (correo + teléfono).
- ✓ Atributo
aria-labeldescriptivo en el diagrama y orden lógico de tabulación para lectores de pantalla.
📎 Evidencia pública
| Documento | URL pública |
|---|---|
| Organigrama y funciones por cargo | /quienes-somos/estructura-organizacional |
| Imagen original archivada | images/pics/ORGANIGRAMA ACTUALIZADO.jpeg |
📊 Tabla Resumen — Estado de Cumplimiento
▼| # | Sección | Score original | URL pública evidencia | Estado |
|---|---|---|---|---|
| 1 | Accesibilidad WCAG (Anexo 1) | 0/100 | Certificación WCAG | OK |
| 2 | Menú Participa | 0/100 | /participa | OK |
| 3 | Datos Abiertos / Instrumentos Gestión | 6.1/100 | Instrumentos | OK |
| 4 | Directorio Empleados/Contratistas | 20/100 | Directorio | OK |
| 5 | Seguridad Digital (Anexo 3) | 33.3/100 | Política Seg. Digital | OK |
| 6 | PQRSD funcional | 0/100 | /contactenos/pqrsd | OK |
| 7 | Informes gestión + PQRSD trimestrales | 37.5/100 | Informes de Gestión y PQRSD | OK |
| 8 | Estructura Orgánica / Organigrama | 0/100 | Estructura | OK |
🔬 Anexo Técnico — Validadores Externos del Sitio
▼Como evidencia adicional del cumplimiento de los requisitos técnicos del Anexo 3 (Seguridad Digital) y del cumplimiento accesibilidad/desempeño exigido, se presentan los scores reales medidos por validadores externos independientes (refrescables en cualquier momento por el equipo auditor):
| Validador | Score | Verificar |
|---|---|---|
| SSL Labs (TLS, ciphers, FS) | A+ | Verificar |
| Mozilla HTTP Observatory v2 | A+ 100/100 | Verificar |
| securityheaders.com | A | Verificar |
| HSTS Preload List | Eligible | Verificar |
| CSP Evaluator (Google) | All checks pass | Verificar |
| PageSpeed Insights — Desktop | 97/100/100/92 | Verificar |