PLIEGO DE PRESCRIPCIONES TÉCNICAS
SERVICIO DE PLATAFORMA PARA LA VENTA ONLINE DE TICKETS Y OTROS SERVICIOS, PARA FERIA DE MADRID EXP.: 19/186 – 2000015188
PLIEGO DE PRESCRIPCIONES TÉCNICAS
Comisión de Compras y Contratación
Madrid, Julio de 2019
3. REQUERIMIENTOS FUNCIONALES MINIMOS 4
3.1 Venta en los canales online 4
3.1.1 Funcionalidades requeridas respecto a la venta online 4
3.1.2 Venta online en las herramientas propias de IFEMA 5
3.1.2.1 Landing page en la web de IFEMA 5
3.1.3 Venta online en otros canales de ticketing 8
3.2. Venta en puntos físicos 8
3.2.1 Funcionalidades mínimas requeridas respecto a la venta en puntos físicos 8
3.2.2 Funcionalidades para operar la plataforma con otras sedes u empresas colaboradoras ajenas a IFEMA 9
3.2.3 Compatibilidad de hardware y software 10
3.3.1 Funcionalidades mínimas requeridas respecto a la gestión de informes 10
3.3.2 Informes para terceros 10
3.4 API con servicios Web/REST 11
3.5.1 Integración con el Módulo de Autenticación de Usuarios/clientes de IFEMA 11
3.5.2 Integración con el sistema de control de accesos de IFEMA 12
3.5.3 Integración con los sistemas de analíticas de IFEMA 13
3.6 Promoción y divulgación de los eventos 14
3.6.1 Funcionalidades mínimas requeridas respecto a las herramientas para implementar acciones de promoción. 14
3.6.2 Configuraciones para posicionamiento orgánico en buscadores (SEO) 14
3.6.3 Acuerdos estratégicos con otras ticketeras 15
3.7 Prestación de servicios y mantenimientos 15
3.7.1 Uso de la plataforma: Formación del personal de IFEMA y configuración de los eventos 15
3.7.2 Servicio de atención al cliente 15
3.7.4 Servicio de mantenimiento correctivo y evolutivo 17
3.8 Conformidad con la normativa de protección de datos personales 17
4. REQUERIMIENTOS FUNCIONALES OPCIONALES 18
4.1 Venta en los canales online 18
4.1.1 Funcionalidades opcionales requeridas entorno a la venta online 18
4.2.1 Integración con los sistemas de analíticas de IFEMA 18
4.2.2 Otras posibles integraciones 19
4.3 Promoción y divulgación de los eventos 19
4.3.1 Configuraciones para posicionamiento orgánico en buscadores (SEO) 19
6.2 Propiedad de los datos de los usuarios 21
7. PLAZO DE EJECUCIÓN Y DURACIÓN DEL SERVICIO 22
8. DOCUMENTACIÓN TÉCNICA A APORTAR POR EL OFERTANTE SOBRE Nº2.- 22
Condiciones generales de diseño, implantación, explotación y acceso a los sistemas de IFEMA 25
Alta disponibilidad y redundancia 25
Conformidad con normativa de Protección de Datos 26
Inicios, apagados y reinicios consistentes automáticos 26
Operaciones periódicas de mantenimiento de sistemas automáticas 27
Manual de operaciones de sistemas 27
Autenticación y Autorizaciones de los usuarios 28
Confidencialidad de los datos 29
Integraciones con otros productos o servicios 29
SEGURIDAD EN LAS COMUNICACIONES Y RECURSOS DE RED 33
SEGURIDAD EN LAS ESTACIONES DE TRABAJO 35
1.INTRODUCCIÓN
IFEMA requiere de una plataforma (web) que permita la venta de entradas online y física de los eventos realizados en sus recintos.
2. OBJETIVOS DEL PROYECTO
El objetivo del presente pliego es la contratación por parte de IFEMA de la cesión de licencia de uso, soporte técnico y mantenimiento de software de ticketing centralizado para la venta de entradas, gestión de espectadores (CRM), gestión de informes. Deberá tener las siguientes características:
● El proceso de compra se deberá realizar sin abandonar el portal de IFEMA
● Todo lo relacionado con el proceso de compra, tanto en la web como en las comunicaciones al usuario (diseño de las entradas, emails...) se deberá efectuar respetando la guía de estilo de IFEMA.
● El proceso de compra al cual accede el usuario deberá ser responsive y optimizado para uso con el móvil, así como multiidioma.
● La totalidad de la recaudación generada por la venta de entradas tanto online como en puntos físicos, sea cual sea el medio de pago, se recibirá directamente por IFEMA.
● La venta de entradas será unificada en torno a un mismo aforo en el cual distintos canales de venta se podrán integrar con el fin de permitir una gestión del aforo global, sin la necesidad de repartir cupo.
● La gestión del aforo debe ser avanzada y adaptarse a todas las casuísticas de uso requeridas por el recinto (Gestión de abonos, ventas cruzadas, descuento por determinados colectivos, gestión avanzada xx xxxx de butacas…)
● La plataforma deberá contar con un módulo de informes cuyo acceso podrá ser restringido según los privilegios de accesos definidos por IFEMA en cada momento.
● La plataforma contará con una API que permita la integración con las distintas herramientas internas de IFEMA (control de acceso, la APP IFEMA,...) pero también con servicios webs ajenos a IFEMA (CRM, Finanzas…)
● El proveedor de la plataforma deberá prestar servicio a IFEMA en la implementación/formación, configuración/actualización de la información, mantenimiento y asesoramiento en todo lo relativo al buen funcionamiento de la plataforma y optimización de ventas.
● El backoffice de la plataforma deberá permitir una total autonomía operativa en la gestión de los eventos, así como un alto grado de personalización en cada aspecto de la configuración y una interfaz de usuario intuitiva y fácil de usar.
● La plataforma contará con los distintos perfiles de usuarios que requiera IFEMA en cada momento permitiendo distintos privilegios de acceso al backoffice. Con ello se persiguen los objetivos:
○ Limitar el acceso a funcionalidades claves y datos sensibles a los usuarios administradores
○ Permitir el acceso a datos limitados a colaboradores ajenos a IFEMA (p.ej. organizadores de eventos, empresas colaboradoras..) para que puedan actuar de forma autónoma en los límites marcados por IFEMA
● La plataforma debe estar implementada en 45 días, con los requerimientos solicitados por IFEMA.desde la firma del contrato.
3. REQUERIMIENTOS FUNCIONALES MINIMOS
La plataforma del proveedor deberá cumplir como mínimo los requisitos detallados en este apartado.
3.1 Venta en los canales online
3.1.1 Funcionalidades requeridas respecto a la venta online
El proceso de venta online deberá responder a las necesidades siguientes:
● Cupones y canjes de entradas
● Entradas en formato Móvil, Passbook y PDF
● Pasarela de pago configurable que permita priorizar el medio de pago definido por IFEMA
● URL de prueba para la validación del evento por parte del promotor antes de salir oficialmente a la venta.
● Personalización del diseño de las entradas y de los mails de comunicación.
○ Nombre del evento
○ Recinto o lugar
○ Direccion
○ Xxxxx y Xxxxxxx (apertura, e inicio)
○ Tipo de entrada
○ Xxxxxx
○ CIF
● Permitir la venta con mapa de butacas.
● Permitir definir de forma autónoma el gasto de gestión imputable al usuario.
● Todas las compras, independientemente de su procedencia, sea por los diferentes canales online como de los distintos puntos de venta físicos, tendrán accesos al mismo aforo sin necesidad de repartir cupo.
El proceso de compra online se debe poder efectuar:
1. En las herramientas webs propias de IFEMA
a. La página web de IFEMA mediante landing page proporcionada y alojada por el proveedor
b. La APP de IFEMA
2. En canales de ticketing integrados con la plataforma en caso de que IFEMA lo considere oportuno.
3.1.2 Venta online en las herramientas propias de IFEMA
3.1.2.1 Landing page en la web de IFEMA
El proveedor de la plataforma se compromete a dar de alta, alojar y actualizar una landing page agrupando los eventos vivos organizados en los recintos de IFEMA.
La web que estará integrada en xxxxx.xx, debe en todo momento representar y comercializar la imagen de la empresa IFEMA, y por tanto debe ser totalmente customizable y adecuable a los requerimientos de diseño que esta requiera.
Todos los diseños serán proporcionados por IFEMA y el resultado final de su implementación deberá ser validado anteriormente.
Diseño de la landing page:
La home page se mostrará de la forma siguiente:
● Herobanner deslizable
● 4 eventos por línea
● Los eventos se mostrarán en un formato similar a “Netflix o Pinterest”
● En formato MOBILE, el menú se mostrará estilo Hamburger, como en el de escritorio.
El sistema debe permitir ocultar o mostrar espectáculos y decidir cuántos estarán visibles en primera página. Todos los productos estarán ordenados y clasificados por categorías decidiendo IFEMA el orden de importancia y eventos a destacar.
Para facilitar el acceso a la información por parte del usuario. La landing deberá de proporcionar los filtros siguientes:
● Buscador de eventos
● Segmentación por tipo de espectáculo (dentro del apartado de entradas)
● Calendario, donde se subrayen las fechas de los eventos activos de IFEMA
● Un apartado xx xxxxxxx, donde se indicarán dónde está cada espectáculo de IFEMA en formato Mapa con vista previa de hora y precio de la entrada del evento una vez seleccionada la misma
La imagen siguiente no tiene porque ser la UX final
Diseño de la ficha del evento:
Cada evento deberá contar con una ficha individual. Xxxxx ficha contará con la información siguiente:
● Ficha técnica del evento (Fecha, Hora, Lugar, precio de las entradas)
● Carátula
● Sinopsis del evento
En todo momento y sin perder en la navegación el dato, siempre se mostrará la fecha.
La plataforma deberá contar con una API que permita la integración del proceso de venta en las APPS de IFEMA y por ejemplo guardar en ellas las entradas compradas por el cliente.
3.1.3 Venta online en otros canales de ticketing
● La plataforma deberá contar con acuerdos estratégicos e integraciones tecnológicas acreditadas con diferentes ticketeras de alcance nacional, tal como se solicita en la solvencia técnica.
Asimismo, en caso de que IFEMA lo considere conveniente, podrá abrir la venta de forma ágil en estas ticketeras. En tal caso, la venta se efectuará de forma simultánea y entorno a un mismo aforo en los distintos puntos de venta sin requerir la repartición de cupo.
En su backoffice, y de forma autónoma, IFEMA podrá consultar y gestionar las peculiaridades/condiciones de venta por ticketera y por evento.
Además, en su módulo de informes, IFEMA tendrá acceso a la integralidad de los datos de venta con el mismo nivel de detalle e información, independientemente del canal en el cual se haya producido la compra.
3.2. Venta en puntos físicos
3.2.1 Funcionalidades mínimas requeridas respecto a la venta en puntos físicos
La plataforma ofertada por el proveedor deberá contar con una solución que permita la venta física de entradas en las taquillas de IFEMA.
Debido a la alta afluencia en taquilla, es crítico que la plataforma suministre una solución de venta física que permita la venta única o combinada de varios productos con agilidad, fiabilidad y rapidez. Por ello, deberá contar con:
● Pantalla inicial configurada por defecto con los eventos vivos en este mismo momento (sin necesidad de pasar por la pantalla de buscar evento)
● Selección por defecto de los mejores asientos disponibles con la seguridad de evitar duplicidades
La solución de venta en taquilla deberá contar con las siguientes funcionalidades:
● Realizar una venta física única o combinada de varios productos con agilidad, encaminada a realizar el máximo número de ventas por minuto en las taquillas.
● Impresión de la entrada con un código de acceso compatible con el control de acceso Skidata
● Disponer de función de seating
● Generar el ticket de guardarropía a entregar al cliente y otro ticket para incorporar a la prenda o equipaje
● Permitir hacer devoluciones totales y parciales de los pedidos
● Buscar y volver a generar una entrada vendida on-line o en taquillas
● Gestionar la creación de códigos descuento, invitaciones, reservas y/o similares
● Permitir la creación de productos exclusivos a la venta en taquilla y con configuración específica para cada evento
● Generar nuevos usuarios y perfiles en función de la demanda de taquilleros operativos en cada certamen.
● Permitir hacer liquidaciones específicas por evento.
● Control y configuración de cupos y precios en tiempo real.
● Deberá soportar un alto nivel de concurrencia antes situaciones de muy alta demanda.
La solución de venta física deberá contar con un módulo de informe que permita: Controlar la información de venta en tiempo real mediante:
● Cuadre de caja: por taquillero y por método de pago. Cada taquillero deberá poder generar un
resumen de su actividad para cuadrar su caja en relación con los distintos modos de pago.
● Informe diario de ventas. Este informe, debe incorporar un desglose total de ventas y tipo de producto el cual se volcará en los libros contables además de incorporarlo en el envío de la información de recaudación de cada feria.
IFEMA podrá hacer uso ilimitado de la solución de venta en taquilla y abrir tantos puestos como considere oportuno, independientemente de la ubicación/sede de estos puestos, y sin gastos adicionales por el uso de la plataforma más allá de la comisión pactada de venta por entrada por el uso de la plataforma.
El proveedor deberá dar soporte técnico ante cualquier incidencia que se produzca en la instalación de su aplicación de venta física.
El adjudicatario deberá permitir abrir la venta a empresas colaboradoras ajenas a IFEMA (p.ej.: oficinas turísticas, delegaciones..). Para llevar a cabo este servicio, la plataforma deberá de permitir:
● Discriminar los eventos autorizados a la venta para cada empresa colaboradora
● Otorgar un cupo con condiciones especiales para aquellos puntos de venta dentro de los límites marcados por IFEMA.
● Abrir y gestionar usuarios tanto como sean necesarios para cubrir las necesidades de venta
● Dar acceso a todos aquellos servicios que les permita trabajar con autonomía dentro de los límites marcados por IFEMA.
Ejemplos de colaboradores de IFEMA podrían ser oficinas turísticas , delegaciones, etc…)
3.2.3 Compatibilidad de hardware y software
La aplicación deberá funcionar con los siguientes requisitos de hardware y software:
Hardware
● PC con procesador Intel Core i3 o superior y 4GB de memoria RAM.
● Pantalla táctil
● Impresora con interfaz de red ethernet compatible con lenguaje ZPL.
Sistema operativo
● Microsoft Windows 10
3.3 Módulo de informes
3.3.1 Funcionalidades mínimas requeridas respecto a la gestión de informes
El adjudicatario debe proporcionar un módulo de reporting al que las personas autorizadas por IFEMA puedan acceder de forma segura. El acceso a este módulo debe estar sujeto a los privilegios otorgados a cada usuario. Permitiendo así el acceso a datos limitados a colaboradores ajenos a IFEMA (p.ej. organizadores de eventos terceros, empresas colaboradoras..) para que puedan actuar de forma autónoma en los límites marcados por IFEMA.
El módulo de informes deberá ofrecer las siguientes funcionalidades:
● Permitir filtrar y extraer todos los datos referente a la venta de entradas: Estadísticas, entradas por evento, segmentación, precio, día, ticketera/canal...
● Ofrecer la capacidad de exportación en distintos formatos
● Permitir la programación y automatización del envío recurrente de la información por correo electrónico a destinatarios internos o externos a IFEMA (p.ej. organizadores externos)
● Permitir el diseño de informes a medida
● Permitir extraer y filtrar los datos de los usuarios recogidos en los canales integrados con la plataforma, para poder realizar campañas de marketing globales o enfocadas a un colectivo en concreto.
- Informes a la atención de las instituciones públicas
El módulo de informes deberá permitir la extracción de datos conformes a los requerimientos establecidos por las instituciones públicas (GDPR, Hacienda pública). La información extraída deberá
ser conforme a los estándares tanto a nivel de cantidad/tipos de datos como en el formato de presentación.
- Informes a la atención de los organizadores externos
El módulo de informes será accesible por usuarios ajenos a IFEMA. Estos usuarios podrán acceder a la plataforma solo y exclusivamente para consultar la información autorizada por IFEMA.
3.4 API con servicios Web/REST
La plataforma deberá contar con una API de servicio Web/REST que permita al menos las siguientes funcionalidades:
La API permitirá al menos las siguientes funcionalidades:
• Obtener todos eventos configurados para la venta, devolviendo los datos de la ficha de cada evento (url de la imagén, textos, etc…), e incluyendo la url a la que habría que redirigir al usuario para acceder directamente a la ficha de un evento concreto de la plataforma y así comprar la entrada.
De esta forma, y por poner un ejemplo, se podrían poner accesos directos de eventos comercializados por la plataforma, en alguna parte de la Web de IFEMA, en la App de IFEMA, etc...
• Obtener los datos de las ventas que se han realizado en la plataforma para cada evento, segmentación, precio, día y ticketera/canal.
• Obtener los Datos de los usuarios para poder realizar campañas o integrarlos con aplicaciones de IFEMA.
• Obtener las entradas compradas por cualquier usuario.
De esta forma y por poner un ejemplo, se permitiría la integración con Apps de IFEMA y guardar en las Apps las entradas compradas por los clientes.
3.5 Integraciones
3.5.1 Integración con el Módulo de Autenticación de Usuarios/clientes de IFEMA
El adjudicatario se compromete a integrar su sistema de autenticación de usuarios con el de IFEMA (denominado CDU), con el objetivo de que la creación de la cuenta de usuario, su activación, y su logado, se realice con la aplicación de autenticación de usuarios de IFEMA.
Una vez identificado el usuario, la plataforma le permitirá completar el resto de los datos requeridos para finalizar el proceso de compra. Por tanto, la plataforma deberá contar con su propio sistema de recogida de datos.
Si el usuario decide identificarse en la plataforma del proveedor para hacer una compra (no debe ser obligatorio), el flujo sería algo así como (podría variar en caso de ser necesario por necesidades de IFEMA):
● Si la cookie de autenticación del CDU no existe (el usuario no esta logado y autenticado), la plataforma redirigiria el navegador al CDU, pasando como parámetro (entre otros) la URL a la que debería redirigir el CDU una vez autenticado al usuario.
● Una vez que el CDU ha autenticado al usuario (incluyendo la creación de la cuenta de usuario si es necesario…), redirigiría al navegador a la URL indicada por la plataforma de venta.
● La plataforma de Venta, comprobaría la cookie emitida por el CDU y si es correcta, pediría el resto de datos (en caso de ser necesario) al usuario según la configuración de la plataforma o evento.
● Una vez realizado este paso, seguiría con el flujo de venta normal.
● El identificador común de usuario entre el CDU y la plataforma de venta sería el email con el que se ha autenticado el usuario.
3.5.2 Integración con el sistema de control de accesos de IFEMA
El adjudicatario deberá integrar su plataforma, con el sistema de control de accesos de IFEMA, que está actualmente implementado con la solución de control de accesos de la empresa SKIDATA (Handshake V09). De esta forma se deberá poder utilizar el sistema de control de accesos de IFEMA en los eventos que esta establezca.
Para garantizar el éxito de la integración, el adjudicatario colaborará con la empresa SKIDATA, en la configuración de la instalación de IFEMA para soportar el nuevo formato de numeración y códigos xx xxxxxx de las entradas de la plataforma del proveedor, así mismo Skidata indicará al adjudicatario sobre la mejor forma de realizar la integración con su plataforma y realizar tareas de apoyo en las pruebas de la integración. Entendiéndose que dichas prestaciones están incluidas dentro de la oferta a presentar.
Está integración deberá ser posible usando cualquiera de las ticketeras integradas en la plataforma, y deberá ser on-line de tal forma que la integración soporte que los clientes que compren su entrada durante la celebración del evento, puedan acceder directamente al recinto, sin necesidad de esperar.
El adjudicatario del servicio mandará las entradas vendidas en su plataforma y desde los diversos canales, con el mismo formato, a nuestra aplicación de Control de Accesos (Handshake) habiendo desarrollado previamente un interface Online con Skidata, donde sólo habrá un código (formato) válido para todos los canales.
Los Tickets serán mandados vía WebService y siempre de uno en uno de forma Online (no vía ficheros masivos).
Las Entradas se generarán siempre con códigos QR, y en formatos pdf y con opción de passbook (formato específico para dispositivos móviles).
El adjudicatario deberá cumplir con los requerimientos técnicos y administrativos (Integration Agreement) para la integración de su plataforma con Handshake, según las indicaciones del fabricante del producto Skidata (SD AG).
3.5.3 Integración con los sistemas de analíticas de IFEMA
La plataforma deberá permitir insertar el contenedor de Google Tag Manager de IFEMA además de permitir la creación de una capa de datos, donde se incluyan los datos del evento seleccionado.
3.5.4 Otras posibles integraciones
A lo largo de la duración del contrato el proveedor se compromete, cuando IFEMA lo requiera, a realizar las siguientes integraciones de su plataforma con:
● Integrar el servicio de aparcamiento de IFEMA para emitir y autorizar tickets compatibles con los estándares de los parkings de IFEMA.
● Integración de la aplicación de la venta física con los Pinpads y pasarela de pago de IFEMA para automatizar el proceso de cobro con tarjeta.
● Integración de la venta On line con la pasarela de pago de IFEMA.
● Integrar con SAP de datos contables para la emisión automática de facturas. Por ello, se requerirán informes detallados de todas los ventas realizadas con segmentación por precio, evento, día, etc...
● En el caso necesario, conectarse a la API de un proveedor tercero, para comprobar la validez de un dato con el fin de otorgar un privilegio/descuento a un colectivo en concreto.
Cada una de estas integraciones deberá realizarse en menos de tres meses desde el inicio de los trabajos. Estas integraciones y otras que puedan surgir se abordarán como modificaciones del contrato y se seguirá el procedimiento especificado en el apartado correspondiente.
Se valorará las integraciones existentes de la plataforma con los principales CRMs xx xxxxxxx (Salesforce, Microsoft Dynamics, SAP, etc…), conforme al apartado M de criterios de valoración.
3.6 Promoción y divulgación de los eventos
La plataforma deberá ofrecer una serie de herramientas que permitan a IFEMA: convertir las visitas en la web en ventas, incrementar la recurrencia de compra de los usuarios registrados y captar nuevos públicos.
Por ello, la plataforma deberá contar con las funcionalidades siguientes:
● Aplicar descuentos para determinados colectivos:
○ Para los beneficiarios de un cupo descuento
○ Permitir configurar precios distintos según el canal de venta
● Potenciar la venta cruzada:
○ Permitir la venta de uno o varios productos en un mismo proceso de compra
● Disponer de un CRM para consultar y explotar la base de datos de usuarios (más detalle en el siguiente punto).
CRM para la gestión de la base de datos de los usuarios:
El CRM posibilitará la obtención de informes con el perfil y tipología de los usuarios, con fines estadísticos, promocionales y de difusión.
La plataforma deberá ofrecer una solución que permita la consulta y explotación de la base de datos de usuarios. Deberá dar acceso tanto a los datos “básicos” de los usuarios (nombre e email) como los datos “específicos” recogidos mediante personalización del formulario de registro.
La solución de gestión de la base de datos de los usuarios, deberá permitir el envío de información a la totalidad de los usuarios, o bien, a un grupo de usuarios en concreto.
3.6.2 Configuraciones para posicionamiento orgánico en buscadores (SEO)
La plataforma deberá cumplir las directrices de buenas prácticas indicadas por los principales motores de búsqueda (Google, Xxxx). La plataforma tendrá que estar enfocada al posicionamiento en todos los dispositivos haciendo foco en móvil. Se valorará que la plataforma esté optimizada para obtener indicadores de velocidad de carga bajos.
Como mínimo la plataforma deberá cumplir con las siguientes funcionalidades:
• Capacidad de modificación de URLs
• Capacidad de modificación de encabezados (h1, h2, hn)
• Creación de robots.txt y sitemap.xml
3.6.3 Acuerdos estratégicos con otras ticketeras
El adjudicatario deberá contar con acuerdos estratégicos e integraciones acreditadas con la principales ticketeras (canales de distribución). Con ello, se persigue el objetivo de conseguir una mayor promoción de los eventos IFEMA utilizando las herramientas de marketing propias de cada ticketera.
Las acciones especiales de marketing se negociarán ad hoc con las ticketeras para poder sacar el mejor provecho de sus herramientas de comunicación y captación de audiencia. ¿cómo¿? Se trata de sacar mayor provecho de SU plataforma, por lo tanto, no le destacamos la forma, pero sí la instrucción del vínculo.
3.7 Prestación de servicios y mantenimientos
3.7.1 Uso de la plataforma: Formación del personal de IFEMA y configuración de los eventos
El adjudicatario se compromete a dar una formación presencial en las instalaciones de IFEMA entorno al uso de su back office, gestión de las taquillas, resolución de incidencias, recomendaciones y cualquier otra información que pueda ser útil para utilizar sus servicios con la máxima destreza y autonomía. Esta formación deberá contar con un mínimo de 80 horas repartidas en jornadas según los requerimientos que establezca IFEMA.
Independientemente de la autonomía de gestión que ofrezca el back office, la plataforma se compromete a gestionar la configuración de los eventos respetando los tiempos siguientes desde la petición de IFEMA:
- Puesta en marcha de un nuevo evento: máximo de 3 jornadas laborables
- Modificaciones en las configuraciones de eventos: máximo de 1 día laborable en Madrid.
La plataforma deberá dedicar un email exclusivo para atender a los interlocutores de IFEMA, ya sea para gestores de Contact Center de IFEMA o gestores internos del servicio que puedan tener consultas e incidencias. Los SLAs de este buzón son 24 horas en general y 1 hora para eventos que se celebren en el mismo día.
3.7.2 Servicio de atención al cliente
La plataforma debe garantizar el poder proveer un servicio de atención a los usuarios que estén interesados en comprar entradas a través de la plataforma o ya las hayan adquirido.
Los canales de atención serán, como mínimo, los siguientes:
Canal | Tipo de servicio | Disponibilidad mínima |
Atención telefónica | Venta telefónica de entradas Atención al cliente: información básica sobre eventos (fechas, horario, recinto) e incidencias en el servicio | Lunes x xxxxxxx de 10:00 a 24:00, incluidos festivos. Viernes y sábados el servicio se extenderá hasta la 1:00 en caso de necesidad. |
Chat on line en la web | Atención al cliente: información básica sobre eventos (fechas, horario, recinto) e incidencias en el servicio | Lunes x xxxxxxx de 10:00 a 22:00, incluidos festivos. |
Mail – formulario web | Atención al cliente: información básica sobre eventos (fechas, horario, recinto) e incidencias en el servicio. Se definirá un detalle de categorización de contactos específico | Lunes x xxxxxxx de 10:00 a 22:00, incluidos festivos. SLA general: 24 horas SLA eventos que se celebren en el mismo día: 1 hora |
Redes sociales | Atención al cliente: información básica sobre eventos (fechas, horario, recinto) e incidencias en el servicio. Se definirá un detalle de categorización de contactos específico | Lunes x xxxxxxx de 10:00 a 22:00, incluidos festivos. |
Apartado de preguntas frecuentes en la web | Información sobre el servicio | Continua |
Asimismo, la plataforma deberá poner a disposición de IFEMA un número de teléfono para recibir llamadas del Contact Center de IFEMA en los casos en los que los clientes llamen allí y deban ser transferidos con el servicio de Atención telefónica del adjudicatario.
La plataforma dispondrá de un teléfono y un correo electrónico de atención para dar soporte técnico y atender a las consultas de IFEMA. Este servicio deberá contemplar las siguientes funciones:
● Resolver incidencias que afecten el funcionamiento de los diferentes servicios (online y físico)
● Xxxxxxx consultas y dudas funcionales y técnicas de la utilización del servicio
● Coordinar acciones en caso de incidencia
● Las personas que darán el servicio de apoyo estarán suficientemente formadas en la solución y conocerán los productos comercializados por IFEMA así como sus casuísticas.
● Atender a las peticiones noches y fin de semana acorde a los horarios marcados por IFEMA según los eventos celebrados en sus instalaciones.
Adicionalmente, se requerirá la presencia, en el recinto de IFEMA, de un técnico delegado por el adjudicatario para dar soporte en el primer evento de alta concurrencia tras la implementación de la nueva solución.
3.7.4 Servicio de mantenimiento correctivo y evolutivo
El ofertante se compromete a ir incorporando mejoras funcionales y tecnológicas a la plataforma, de acuerdo con su roadmap de desarrollo. Así, todos los desarrollos y mejoras del servicio que se hayan realizado para diferentes clientes del adjudicatario, deberán estar también disponibles para IFEMA. El ofertante informará de forma proactiva de cualquier mejora y cambio que se realice en la plataforma.
El ofertante deberá acreditar tener una política de actualizaciones de la plataforma, que permita poner a disposición de los clientes nuevas versiones con correcciones o mejoras, cada tres meses como máximo.
El mantenimiento a cargo del adjudicatario incluirá:
● Software e integraciones incluidos en la oferta
3.8 Conformidad con la normativa de protección de datos personales
Conforme a la normativa sobre protección de datos personales, deberá existir la funcionalidad de que el usuario que adquiera sus entradas pueda libremente marcar una casilla (o check box), que estará desmarcada, con el fin de recoger su consentimiento para que IFEMA pueda hacer uso de sus datos. El número concreto xx xxxxxxxx (o check box) a incluir será determinado por IFEMA, no estando limitado a una sola casilla y pudiendo solicitar la incorporación xx xxxxxxxx adicionales en caso de resultar necesario.
Además, IFEMA tendrá la facultad de incluir y modificar, en todo momento, los textos legales relativos a la solicitud de consentimiento para el tratamiento de datos personales por parte del usuario, así como los textos relativos a la política de privacidad de la plataforma.
4. REQUERIMIENTOS FUNCIONALES OPCIONALES
Se valorará el que la plataforma del proveedor cumpla con los siguientes requisitos opcionales:
4.1 Venta en los canales online
4.1.1 Funcionalidades opcionales requeridas entorno a la venta online
Se valorará que el proceso de venta online responda a las necesidades siguientes: En el APARTADO H de los criterios de valoración:
● Personalización del formulario de registro acorde a las necesidades de recogida de datos propia de cada evento. P.ej.: en una feria de videojuegos, preguntarle cuál es su temática de videojuegos preferida (Acción , Estrategia , Rol, etc…).
Opcionalmente el proceso de compra online se podrá efectuar en el Facebook de IFEMA: En el APARTADO L de los criterios de valoración:
● Se valorará que la plataforma cuente con la opción de realizar la compra de entradas en la página de facebook oficial de IFEMA sin salir de la misma. Igualmente, y con el fin de potenciar la viralidad de los eventos IFEMA en las redes sociales, la plataforma deberá ofrecer la posibilidad de compartir de forma ágil la información relativa a cada uno de los eventos.
4.2 Integraciones
4.2.1 Integración con los sistemas de analíticas de IFEMA
Además de los requisitos mínimos detallados anteriormente, se valorará el que la plataforma además permita lo siguiente:
● Definición de las variables necesarias que deberán incluirse en el dataLayer que permitan identificar tanto las páginas como los eventos y tipologías de usuarios y productos vendidos, según defina IFEMA mediante variables estáticas, dinámicas y lógicas.
● Realización automática de push de eventos al dataLayer, definidos por IFEMA.
● Push de eventos e interacciones propias de la funcionalidad de Ecommerce mejorado de Google Analytics, definidos por IFEMA entre toda la funcionalidad disponible en Google para tal fin.
Como ejemplo en este apartado, se solicitarán funcionalidades que permitan medir:
● Impresión de producto
● Click de producto
● Detalle de producto
● Impresión de promoción interna
● Click de promoción interna
● Añadir a carrito
● Sacar del carrito
● Pasos del proceso de compra
● Opciones de selección en el carrito
● Transacción
● Devoluciones
Además, cada producto se define mediante los siguientes parámetros, que serán definidos por IFEMA:
● ID
● Nombre
● Marca
● Categoría
● Variante
● Precio
● Impuestos
● Además, se pueden crear dimensiones personalizadas para este fin, aunque no suele ser común ni numerosas
Las promociones se definen mediante los siguientes parámetros, que serán definidos por IFEMA:
● ID
● Nombre
● Creatividad
● Posición
4.2.2 Otras posibles integraciones
Se valorará positivamente las integraciones existentes de la plataforma con los principales CRMs xx xxxxxxx (Salesforce, Microsoft Dynamics, SAP, etc…)
4.3 Promoción y divulgación de los eventos
4.3.1 Configuraciones para posicionamiento orgánico en buscadores (SEO)
Además de los requisitos mínimos detallados anteriormente, se valorará el que la plataforma además tenga las siguientes funcionalidades de cara a poder optimizar la plataforma de acorde con la estrategia SEO marcada por IFEMA:
• Microformatos (Xxxxxx.xxx)
• Etiqueta Hreflang para multi idioma
• Capacidad de modificación de etiqueta canonical.
• Capacidad de modificación de etiqueta metarobots.
• Capacidad de modificación de robots.txt .
• Capacidad de creación de sitemap por idioma.
• Capacidad de modificación de etiqueta Hreflang.
• Optimización de imágenes.
5. REQUISITOS TÉCNICOS
4.1 Integración con las Webs de IFEMA
IFEMA al inicio del contrato definirá el modo de acceso a la plataforma de venta on-line (Ej: xxxxx.xx/xxxxxxxx , xxxxxxxx.xxxxx.xx, etc…). El proveedor se comprometerá a tomar las medidas necesarias en su plataforma para que se pueda utilizar el modo elegido por IFEMA.
4.1 Plataforma tecnológica.
La arquitectura tecnológica en la que esté basada la plataforma de venta de entradas del proveedor deberá cumplir los siguientes requisitos y los del Anexo para contratos de bienes y servicios con elementos relacionados con TI:
• Alta disponibilidad y redundancia:
La arquitectura de la plataforma del adjudicatario deberá disponer de componentes redundantes que garanticen la disponibilidad ante cualquier fallo que se pueda producir en la infraestructura de comunicaciones o servidores. Preferiblemente también deberá replicar todos los datos de la plataforma en otros datacenter localizados en otro punto geográfico de tal forma que permita la recuperación de la plataforma en caso de pérdida de servicio en el datacenter primario.
• Escalable:
La arquitectura de la plataforma del adjudicatario deberá permitir el dimensionamiento adecuado de la plataforma ante los incrementos de carga que se puedan producir (eventos de venta masiva de entradas, etc..).
Se valorará que el dimensionamiento sea automático para garantizar la correcta experiencia de los usuarios en todo momento. Si no fuera posible el redimensionamiento automático, el proveedor deberá comprometerse a monitorizar el sistema en todo momento para redimensionar manualmente el sistema en estos casos.
6. CONDICIONES LEGALES
En ningún caso el adjudicatario podrá hacer uso, dar acceso o divulgar la información, programas y materiales a los que haya tenido conocimiento y acceso en virtud del presente contrato, para cualesquiera asuntos que no estén directamente relacionados con las actividades y tareas descritas en este documento.
6.2 Propiedad de los datos de los usuarios
IFEMA será considerado Responsable del tratamiento de los datos de carácter personal que se recojan de los usuarios que utilicen y compren entradas mediante la plataforma, siendo el adjudicatario el Encargado del tratamiento de estos datos.
Los datos que facilitarán los usuarios del servicio de adquisición de entradas a través de la plataforma son los siguientes: nombre y apellidos, NIF/ DNI, correo electrónico, domicilio, entre otros.
El adjudicatario, como encargado del tratamiento, debe garantizar la custodia de los citados datos de acuerdo con la legislación vigente y las condiciones especificadas en el Pliego Administrativo.
El servicio debe disponer de los mecanismos de seguridad para mantener la integridad de la información y los registros adecuados para asegurar que el acceso a los datos es realizado únicamente por el personal autorizado.
6. OTRAS CONSIDERACIÓN
El volumen de entradas que se gestionarán a través de la plataforma, será aproximadamente de
200.000 anualmente, correspondientes a unos 30 eventos, con un volumen aproximado de un 10% de entradas gratuitas, de venta exclusiva online excepto para eventos que precisen de la funcionalidad de seating, que serán en torno a 3 eventos durante 2019.
Estas 200.000 entradas corresponden a la venta actual online de Ifema y que suponen un 50% del total de los tickets vendidos. El otro 50% se gestionará también a través de la plataforma, cuando se integre la venta física, en las condiciones que indica el pliego.
La puesta en marcha de la plataforma deberá estar implementada en 45 días a contar desde la formalización del contrato y deberá constar de lo siguiente:
● Configuración de los eventos iniciales
● Creación de la landing con look & feel IFEMA
● Integración con las analíticas de IFEMA
● Configuración de las características de SEO.
● Integración con control de accesos IFEMA (SKIDATA)
● Integración sistema autenticación
● Prueba de sistema, adaptación y aprobación
● Formación del equipo IFEMA
7. PLAZO DE EJECUCIÓN Y DURACIÓN DEL SERVICIO
El plazo de ejecución de la gestión de los servicios objeto del presente contrato, así como el material para llevar a cabo los mismos, incluyendo la formación del personal, los trabajos auxiliares para la entrega, implementación, y puesta en su correcto funcionamiento, será de cuarenta y cinco días naturales desde la formalización del contrato.
8. DOCUMENTACIÓN TÉCNICA A APORTAR POR EL OFERTANTE SOBRE Nº2.-
El ofertante deberá aportar la documentación que describa el cumplimiento de los requerimientos técnicos mínimos exigidos, así como los criterios subjetivos de valoración. El máximo de páginas es
25. Entre los puntos a considerar son los siguientes:
• Venta de entradas on line
• Reporting/Informes
• Funcionalidad de recogida de datos del cliente
• Aplicación para la venta física de entradas en taquillas
• Plataforma tecnológica
• Integración con los sistemas de analíticas de IFEMA (tag manager & google analytics)
• Capacidad de integraciones adicionales
• Configuraciones para posicionamiento orgánico en buscadores (seo)
• Acuerdos estratégicos con otras ticketeras
• Proceso de compra online en el facebook de IFEMA
• Integraciones existentes con los principales CRMs xx xxxxxxx
• Funcionalidades para operar la plataforma con otras sedes u empresas colaboradoras ajenas a IFEMA
• Funcionalidades de backoffice para configuración de eventos y resto funcionalidades de la plataforma
• Api con servicio web/Rest
• Prestación de servicio de soporte y mantenimiento
• Cumplimiento de la normativa de la ley de protección de datos
IFEMA convocará a las empresas ofertantes para una exposición oral/demo in-situ basada en la documentación técnica aportada. Para ello, además deberán colocar dentro de este sobre la presentación que se realizará (sin límite de páginas).
Para la mejor comprensión de la aplicación y la documentación presentada, y comprobación del cumplimiento de los requisitos técnicos que figuran en el pliego IFEMA convocará a las empresas ofertantes para una exposición oral/demo in-situ basada en la documentación técnica requerida en el
Pliego de Prescripciones Técnicas. Dicha convocatoria se realizará en un plazo no mayor a 5 días después de la apertura de sobres técnicos donde se expondrán las funcionalidades de la aplicación basada en la documentación técnica solicitada en este apartado. No se admitirá la incorporación de documentación adicional a la presentada junto con la xxxxxx.Xx duración de la exposición será de una hora para la presentación de la herramienta y de media hora para la realización de preguntas.
LA REALIZACIÓN DE LA EXPOSICIÓN TENDRÁ CARÁCTER OBLIGATORIO PARA EL OFERTANTE, SI EL LICITADOR RENUNCIARA A REALIZARLA, SU OFERTA QUEDARÍA RECHAZADA.
ANEXO PARA CONTRATOS DE BIENES Y SERVICIOS CON ELEMENTOS RELACIONADOS CON TI
Condiciones generales de diseño, implantación, explotación y acceso a los sistemas de IFEMA
Cualquier producto o servicio relacionado con los recursos informáticos de IFEMA, en adelante, solución, debe ajustarse a las condiciones generales que se describen en este apéndice.
El objeto de estas condiciones generales es obtener soluciones seguras, eficientes, sostenibles en su explotación y acordes tanto con la legislación y reglamentación vigentes como con las circunstancias y estrategias de la explotación de los Sistemas de IFEMA y asimismo conformes también con las mejores prácticas de sistemas actuales.
Todas las condiciones generales de sistemas se tendrán en cuenta desde el principio, por diseño, para evitar la introducción de retrasos de última hora. El equipo de Proyecto se reunirá con Sistemas de IFEMA en las fases iniciales del proyecto para informar de los elementos de sistemas de que consta la solución, con los datos y criterios necesarios para que el equipo de Sistemas de IFEMA pueda adoptar los compromisos y las decisiones informadas más adecuadas en materia de sistemas para IFEMA.
El presente documento también detalla todos los aspectos técnicos relacionados con la seguridad en los accesos a los recursos informáticos IFEMA.
El diseño de la solución ofrecida y su implantación serán seguros desde el principio, se adoptarán las metodologías y paradigmas desde un enfoque de seguridad por diseño.
El proyecto activará de forma adecuada y aprovechará todas las medidas y procedimientos que ofrezcan todos los productos o servicios relacionados con el fin de incrementar la seguridad del resultado final de la implantación, de acuerdo con los requisitos y necesidades de IFEMA.
El dimensionamiento, la parametrización y la asignación de recursos de los productos o servicios que integren el proyecto tendrán en cuenta la actividad esperada y las condiciones particulares del proyecto. Se propondrán valores para conseguir un rendimiento y tiempos de respuesta adecuados si incurrir en excesos en la asignación de recursos que no se vayan a aprovechar. La capacidad asignada a los recursos deberá cubrir las necesidades previstas para un período razonable y sin desaprovechar. Por ejemplo, para cubrir las necesidades de un año u otro período que se especifique para el producto o servicio en particular.
Antes del primer uso productivo de las soluciones ofrecidas se realizarán las pruebas de carga simulando la actividad máxima esperada. Con objeto de comprobar que la solución implantada ofrece los tiempos de respuesta adecuados para un sistema productivo y que el consumo de recursos es acorde a la capacidad de la infraestructura asignada.
Alta disponibilidad y redundancia
Las ofertas de soluciones críticas para el negocio de IFEMA cuya indisponibilidad pueda ocasionar un impacto elevado estarán dotadas de medidas de alta disponibilidad y de redundancia adecuadas. En la fase de comprobaciones del proyecto de implantación se comprobará el funcionamiento correcto de
todas estas medidas de alta disponibilidad y redundancia. A conveniencia de IFEMA podrían pactarse otras condiciones de disponibilidad.
Conformidad con normativa de Protección de Datos
El resultado del proyecto y sus productos serán conformes a la normativa legal vigente dando cumplimiento a las directivas, leyes y reglamentos en vigor así como a las normas internas de IFEMA. Por ejemplo: los datos y tratamientos de una solución “Cloud” deben estar físicamente ubicados en un centro de proceso de datos de la Unión Europea.
Todas las soluciones ofrecidas para una solución “On Premise” deberán funcionar apropiadamente en el entorno de virtualización VMWare vSphere en su versión 6 actual disponible en IFEMA y en sus versiones posteriores, según se modernice.
Inicios, apagados y reinicios consistentes automáticos
Las soluciones diseñadas para funcionar en los propios sistemas de IFEMA se integrarán automáticamente y sin requerir la intervención de persona alguna con las operaciones de inicio, apagado y reinicio de dichos sistemas en los que funcionan. Todas estas operaciones mantendrán la consistencia de los datos. El apagado del sistema operativo consolidará de forma consistente todos los datos de la solución antes de detenerla. El encendido del sistema operativo también arrancará automáticamente todos los productos de la solución hasta el estado normal para dar servicio a los usuarios, sin requerir la intervención de ninguna persona.
Todas las soluciones ofrecidas dispondrán como mínimo de actualizaciones de seguridad, actualizaciones para resolver errores, para adaptarse a los cambios en las normativas legales, etc.
La implantación inicial de las soluciones ofrecidas se hará con sus últimas versiones y actualizadas hasta los niveles más modernos disponibles.
Las situaciones durante la explotación de las soluciones ofrecidas que requieran la atención de personas de Sistemas de IFEMA, producirán alertas adecuadas en seguida, dirigidas a las personas responsables con información suficiente para proceder a su remedio. Por ejemplo, las soluciones ofrecidas enviarán emails a las direcciones que se indiquen durante dichas situaciones.
Para las soluciones “On Premise”, se activarán los mecanismos para obtener copias de seguridad eficientes y consistentes de la solución y sus datos con el producto Veeam Backup 9.5 disponible actualmente en IFEMA y con sus versiones más modernas, según se vaya actualizando. Se documentarán y comprobarán, de acuerdo con IFEMA, los procedimientos para recuperar de forma consistente desde datos unitarios individuales hasta la solución completa con todos sus datos,
pasando por recuperaciones de conjuntos parciales de los datos necesarias para resolver los diferentes tipos de desastres posibles y minimizando las interrupciones totales del servicio en los casos de recuperaciones parciales.
Para las soluciones “Cloud”. El volumen de datos en riesgo de pérdida que se considera aceptable (RPO) es el de 24 horas. El tiempo que se puede tolerar la caída de servicio por recuperación de datos (RTO) es de 24 horas.
También para soluciones “Cloud” se proporcionará el mecanismo que garantice la disponibilidad de los datos de IFEMA para IFEMA ante un cese súbito y permanente de la prestación del servicio por parte del adjudicatario.
La generación de logs será la adecuada para un sistema productivo. Los logs se rotarán, comprimirán o borrarán con antelación suficiente a que puedan ocasionar un incidente por agotar todo el espacio disponible en el sistema productivo. No se dejará activado permanentemente ningún modo de depuración o “debug” en el sistema productivo. Los logs no contendrán información con datos sensibles o protegidos, de modo que no sean posibles incidentes de confidencialidad al investigar los logs.
Operaciones periódicas de mantenimiento de sistemas automáticas
Las operaciones periódicas rutinarias de mantenimiento de sistemas se entregarán automatizadas. Operaciones tales como búsqueda y borrado de elementos temporales, reindexaciones de contenidos, optimizaciones de funcionamiento, optimizaciones de datos, etc. Todas estas operaciones rutinarias se realizarán periódicamente de forma desatendida y por las noches, fuera del horario productivo, para evitar impacto en disponibilidad y en tiempos de respuesta.
Otras operaciones de sistemas que implican impacto o riesgo en la disponibilidad o integridad del servicio productivo, no serán automáticas porque no son en absoluto rutinarias. Estas operaciones se documentarán bien para que el equipo de Sistemas de IFEMA las planifique y las lleve a cabo, en su caso, en el momento más oportuno. Operaciones tales como las actualizaciones de software, por ejemplo.
Manual de operaciones de sistemas
Se entregará con la solución el manual de operaciones de sistemas habituales para el producto. Se hará hincapié en la elaboración de procedimientos precisos para aquellas operaciones de sistemas que sean industrializables y frecuentes, para que las puedan llevar a cabo equipos de Sistemas no especializados de primer nivel o de atención al usuario.
• Determinar el estado del servicio o producto, en particular su estado de disponibilidad.
• Alta y baja de nuevos usuarios en el producto. Cambios de departamento o de las funciones de usuarios existentes, etc.
• Desbloqueo de identificadores de usuarios. Resolución de olvidos de contraseñas.
• Cualquier otra operación específica del producto, servicio o solución que sea frecuente, se documentará de forma precisa para que la lleve a cabo personal menos especializado.
Se documentarán también las operaciones de sistemas de segundo nivel. Entre ellas, por ejemplo:
• Procedimientos de apagado consistente y arranque integrados con el apagado e inicio del sistema operativo
• Investigación de incidentes: apertura de casos en el soporte oficial, priorización de incidentes, escalado de incidentes, obtención y envío de datos de los logs al soporte oficial.
• Operaciones periódicas de mantenimiento no rutinarias, por ejemplo, aplicación de actualizaciones
• Ajustes en la configuración de los servicios, optimización de recursos, parametrización, etc.
• Mantenimiento de las interfaces de los productos de la solución entre sí como de las interfaces con otros productos. Por ejemplo, documentar la ubicación de elementos que pueden cambiar con la evolución de las infraestructuras tales como los datos de credenciales o conexión IP y puerto del driver de una base de datos o de la interfaz a un servicio RFC, cambios en la URL de un webservice, cambios de elementos de seguridad, de elementos de autenticación con otros productos (básica, integrada, single-sign-on, certificado digital, etc.)
Las soluciones ofrecidas contarán con soporte específico de sistemas. En el caso de soluciones que sean críticas para el negocio de IFEMA será 24x7x365 en castellano y con tiempos de respuesta de menos de una hora ante incidentes graves (24 horas al día, 7 días por semana, todos los días del año). De lo contrario, a conveniencia de IFEMA, se podrían pactar condiciones de soporte diferentes. Por ejemplo: para soluciones no críticas el soporte podría ser 14x7x365, en horario laboral de IFEMA, con tiempo de respuesta de menos de una hora ante incidentes graves.
Autenticación y Autorizaciones de los usuarios
La solución incluirá el diseño y la implantación de las autorizaciones para los usuarios de los productos o servicios. Tendrá en cuenta las obligaciones y las atribuciones de los diferentes usuarios que la emplearán: se permitirá a cada tipo de usuario ejecutar sólo lo necesario sobre los datos que le correspondan y se impedirá que puedan realizar las actividades no necesarias y acceder a los datos que no les correspondan.
De los mecanismos de autenticación y autorización disponibles se optará por el que esté integrado con el Directorio Activo (DA) de Microsoft de IFEMA. Caso que no exista integración con DA, se optará por el mecanismo más seguro entre los disponibles, de acuerdo con los requisitos e indicaciones de IFEMA.
Los sistemas de autenticación básica basados en contraseñas deben tener las medidas que impiden que se adivinen o desvelen a personas no autorizadas. Por ejemplo, políticas que obliguen escogerlas con complejidad adecuada de longitud, letras, cifras y símbolos. Contraseñas que fuercen renovación periódica, con periodos de validez y caducidad automática. Contraseñas que no se encuentren ni en los diccionarios ni en las listas de contraseñas frecuentes. Estos sistemas tendrán protección contra los ataques de fuerza bruta bloqueando los intentos fallidos de acceso repetidos.
En las soluciones en “Cloud” las credenciales de autenticación deben viajar por canales cifrados seguros https / TLS. Son imprescindibles todas las medidas de fortaleza de contraseñas descritas así como las medidas de seguridad adicionales presentes en los productos ofrecidos.
En ningún caso se dejarán contraseñas por defecto a los identificadores de usuario predefinidos de los productos de la solución.
El acceso a los datos sensibles de IFEMA requieren las medidas de autenticación más seguras, por ejemplo, la autenticación de dos factores.
Los datos de la solución ofrecida no estarán disponibles para las personas no autorizadas. En todo momento los datos estarán protegidos por las medidas de seguridad de la solución ofrecida.
Para el caso de soluciones con tratamientos o datos confidenciales o sensibles en “Cloud”, la solución dispondrá de medidas técnicas que garanticen que los datos confidenciales o sensibles no pueden accederse ni siquiera por los administradores de sistemas de la solución ni por los del servicio de alojamiento o hosting empleado.
Para soluciones basadas en servicios, en caso de finalizar el servicio, es necesario ejecutar la fase de devolución del servicio a IFEMA. El proveedor deberá devolver todo lo necesario a IFEMA para poder continuar con el servicio en otro proveedor “Cloud” u “On Premise”, en el formato y forma que IFEMA decida. Se emplearán los formatos estándar de intercambio de datos para los tipos de elementos que se trate. Por ejemplo, se incluirán todos los datos, toda la documentación del servicio, de procedimientos, de medidas de seguridad, de integración con otros productos o servicios, etc
Durante la fase de devolución del servicio, el proveedor del contrato que finaliza colaborará plenamente con el nuevo prestador del servicio con objeto de lograr una transición íntegra, rápida y segura de todos los elementos que consta el servicio. La fase de devolución del servicio es una de las fases incluidas en la propio solución.
Integraciones con otros productos o servicios
Las integraciones de la solución con otros productos o servicios se realizará de forma totalmente segura, tal y como corresponde al diseño de la solución, para conseguir una integración invulnerable. Por ejemplo, las comunicaciones entre diferentes productos irán autenticadas, firmadas y cifradas entre ambos extremos.
Las integraciones serán resistentes y a indisponibilidades en cualquiera de los extremos y se repondrán automáticamente. Por ejemplo, si uno de los extremos se hallase indisponible temporalmente por mantenimiento o por contingencia, en cuanto vuelva a estar disponible, la integración entre ambos extremos se debe reanudar automáticamente, sin intervención de las personas, de un modo consistente con el tratamiento y con los datos de ambos extremos.
En el caso en que la solución conste de acceso a la información o a los tratamientos de IFEMA, dicho acceso está autorizado únicamente a los recursos dentro de los objetivos y alcance de este contrato. Además dicho acceso estará sujeto a las condiciones que se describen a continuación.
No están permitidos otros accesos que se encuentren fuera de los objetivos y alcance de este contrato. El adjudicatario deberá implementar los mecanismos de seguridad necesarios para garantizar la seguridad, confidencialidad y disponibilidad de las soluciones: datos, tratamientos, sistemas, productos, servicios, etc.
El adjudicatario respetará las disposiciones legales reglamentarias y normativas vigentes, incluyendo la normativa de seguridad de la información de IFEMA y su Política de Seguridad.
IFEMA entregara al adjudicatario el documento de normativa interna, perteneciente a la Política de Seguridad de IFEMA, llamado “Normas del Personal externo con acceso a los sistemas” que será de obligado cumplimiento por todos los usuarios que requieran algún tipo de acceso a los sistemas, tratamientos o datos de IFEMA, tanto de forma remota como presencial.
• Sólo aquellos empleados del adjudicatario debidamente autorizados en razón del servicio podrán acceder a los tratamientos o sistemas informáticos de IFEMA y sólo desde aquellos puestos (terminales) y emplazamientos debidamente autorizados, y sólo a los recursos, tratamientos e información autorizados por IFEMA.
• El adjudicatario informará de cualquier cambio de su personal con autorización de acceso a los tratamientos o sistemas informáticos de IFEMA con tiempo suficiente para la revocación/autorización de sus accesos. Se deberá proporcionar por parte del adjudicatario una lista de usuarios autorizados por IFEMA para acceder a la plataforma, además de auditar y controlar quien accede, en que momento y con qué objetivo
• IFEMA podrá monitorizar cualquier acceso a sus tratamientos y sistemas de información. Se asumirá que los actos que se lleven a cabo con el identificador y la clave de acceso asignados han sido realizados en realidad por el usuario titular de los mismos. Siempre se hará buen uso del identificador de usuario asignado y se custodiará con eficacia la clave de acceso personal. Las autorizaciones de acceso a los tratamientos de IFEMA son personales e intransferibles, por tanto el personal del adjudicatario no podrá ceder sus cuentas ni claves de acceso a otras personas.
• El adjudicatario pondrá todos los medios técnicos y adoptarán todas las medidas de seguridad necesarias para garantizar que sólo podrán acceder a los tratamientos, recursos y sistemas de IFEMA únicamente aquellas personas autorizadas para la prestación de la solución objeto de este contrato, sin que haya intromisión de otros recursos y soluciones que el adjudicatario pudiese prestar a terceros.
• El uso por parte de los empleados del adjudicatario de los tratamientos o de los sistemas informáticos de IFEMA estará restringido al horario de servicio. Al finalizar, todos los usuarios deberán realizar el procedimiento de salida de las aplicaciones y la desconexión de la red de IFEMA. Cualquier ampliación del horario del servicio sólo podrá ser autorizado por IFEMA previa solicitud escrita a su responsable.
• Siempre que el adjudicatario esté en relación con el tratamiento de datos de carácter personal, en su calidad de encargado de tratamiento, para la prestación del servicio objeto del contrato, conoce y acepta que todo su personal que preste servicio a IFEMA estará informado de los términos y condiciones establecidas en relación con el citado tratamiento de datos, así como la legislación vigente de protección de datos de carácter personal de obligado cumplimiento. En este sentido,
todo el personal que preste servicio a IFEMA deberá firmar el correspondiente Acuerdo de Confidencialidad y recibirá unas las Normas de Uso de Sistemas de IFEMA.
• No se intentará descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en el acceso lógico a los sistemas informáticos de IFEMA. No está permitido acceder a los recursos de IFEMA no autorizados expresamente por IFEMA. Se accederá únicamente a los recursos, datos, servicios y aplicaciones autorizadas.
• El uso de los recursos informáticos de IFEMA se ajustará a lo estipulado en las presentes condiciones y únicamente con el propósito de acometer exclusivamente los fines y objetivos de IFEMA.
• No deberán imprimirse en papel, grabarse ni obtener copias de los datos procedentes de IFEMA en ningún dispositivo de almacenamiento incluyendo los discos duros de los equipos empleados; salvo que sea necesidad para los usos previstos y autorizados para la prestación del servicio.
• Cualquier incidencia o brecha de seguridad deberá ser notificada a IFEMA.
• Ningún usuario deberá poseer, para usos no propios de su responsabilidad u objeto del contrato, material o información alguna propiedad de IFEMA, tanto ahora como en el futuro..
• Todos los recursos informáticos disponibles, son propiedad de IFEMA y no deberán ser accedidos ni visualizados por personas no autorizadas en las pantallas de los equipos empleados. El usuario deberá custodiar también los documentos o listados que imprima con datos procedentes de la red corporativa de IFEMA.
• En el caso de que, por motivos directamente relacionados con el servicio a prestar, el usuario entre en posesión de datos de carácter personal o información confidencial bajo cualquier tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación xx xxxxxxx y sin que ello le conceda derecho alguno de posesión, titularidad o copia sobre la referida información. Asimismo, el usuario deberá devolver dichos materiales a IFEMA, inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos, y en cualquier caso, a la finalización de la relación laboral o contractual. La utilización continuada de la información en cualquier formato o soporte de forma distinta a la pactada y sin conocimiento de IFEMA, no supondrá, en ningún caso, una modificación de esta cláusula.
• Los tratamiento de datos personales a los que pueda tener acceso el adjudicatario son responsabilidad de IFEMA quien manifiesta haber dado cumplimiento a todas las obligaciones legales que con respecto a tratamientos automatizados y no automatizados que contengan datos de carácter personal, todo ello de conformidad con lo dispuesto en el Reglamento (UE) 2016/679, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos o RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), así como las posteriores normas nacionales que puedan desarrollar esta materia.
• El adjudicatario se compromete a no revelar ni difundir a terceros los datos a los que pueda tener acceso en relación y/o como consecuencia del cumplimiento y/o desarrollo del citado servicio, los cuales tendrán en todo momento el carácter de privados y confidenciales comprometiéndose a utilizarlos únicamente conforme a las condiciones pactadas en el presente contrato, quedando expresamente prohibida cualquier comunicación de los mismos a otras personas.
• Los usuarios de los sistemas de información de IFEMA deberán guardar, por tiempo indefinido, la máxima reserva y no divulgar ni utilizar directamente ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves, análisis, programas y demás información a la que
tengan acceso durante su relación laboral o contractual con IFEMA, tanto en soporte material como electrónico. Esta obligación continuará vigente tras la extinción del contrato o de la relación laboral o la prestación del servicio.
• Llegado el vencimiento del contrato o finalizado cada servicio encomendado, el adjudicatario borrará totalmente de sus sistemas informáticos los datos de IFEMA sin necesidad de previo requerimiento.
• El adjudicatario conoce y acepta que cualquier otra utilización de los citados datos, o cesión de los mismos a terceros, sean o no filiales o empresas participadas por esta, para cualquier fin diferente del reseñado, constituye una vulneración del presente acuerdo de confidencialidad y de la normativa vigente de protección de datos de carácter personal declinando IFEMA cualquier responsabilidad al respecto.
• IFEMA se reserva el derecho a poder efectuar, en cualquier momento, los controles que estime oportunos para comprobar el cumplimiento de lo establecido en el presente acuerdo.
• En caso de incumplimiento de estas condiciones, el adjudicatario acepta y asume, expresamente, su plena responsabilidad, ante la Administración y/o ante terceros, respondiendo de las infracciones cometidas en relación con las disposiciones recogidas en la normativa de protección de datos de carácter personal vigente en cada momento, así como de las sanciones y/o indemnizaciones debidas a terceros, incluida IFEMA, por consecuencia de ese incumplimiento.
SEGURIDAD EN LAS COMUNICACIONES Y RECURSOS DE RED
En el caso en que la solución conste de interconexión con IFEMA, dicha interconexión no deberá plantear ningún riesgo para IFEMA, dispondrá de las medidas necesarias para resolver las amenazas de seguridad y tendrá la disponibilidad adecuada que requiera la solución.
• El adjudicatario deberá disponer de la infraestructura de conectividad necesaria para materializar las comunicaciones necesarias para la prestación del servicio. Dispondrá de los elementos físicos y lógicos adicionales necesarios para garantizar la seguridad en la comunicación tanto con las máquinas como con los aplicativos, utilidades y servicios implicados en las actividades de IFEMA; se compromete además a cumplir los estándares de comunicación en que se basa la arquitectura de red de IFEMA, por ejemplo adaptándose a la configuración de los elementos de seguridad tales como firewalls, proxys, etc. de IFEMA.
• El modo de comunicación debe ser ágil y seguro usando para ello las distintas posibilidades adecuadas para cada caso. Por ejemplo, entre otras, VPNs LAN to LAN, línea dedicada, etc. Se estudiarán las ofertas más ventajosas para IFEMA por parte del adjudicatario.
• Cuando dentro del alcance del contrato se encuentre establecer conectividad para la prestación del servicio, la preparación de la misma se hará justo a continuación de la formalización del contrato. El adjudicatario deberá definir los parámetros para la conexión y llevará a cabo todas las tareas necesarias para que la conectividad esté plenamente operativa y comprobada para poder iniciar la prestación del servicio. Durante la prestación del servicio, el adjudicatario deberá además proporcionar el soporte técnico necesario para un correcto funcionamiento de las comunicaciones entre las dependencias desde las que el equipo realice los servicios durante toda la duración de la misma. Para ello debe ponerse en contacto con la Dirección de la Tecnología de la Información de IFEMA
• Cuando en el contrato se establezcan Acuerdos de Nivel de Servicio (ANS) relacionados con las comunicaciones, el adjudicatario es responsable del cumplimiento de los mismos.
• La instalación y el mantenimiento del servicio de comunicaciones correrán por cuenta del adjudicatario, por lo tanto, será el responsable tanto de la instalación, mantenimiento y costes de la infraestructura y componentes de comunicaciones, por tanto debe implementar y gestionar todo el equipamiento necesario para garantizar el correcto funcionamiento de estas comunicaciones.
• El adjudicatario proveerá infraestructura de comunicaciones de voz cuando aplique, a través preferiblemente de la interconexión de sus servicios con los de IFEMA o propuestas alternativas que garanticen las comunicaciones entre las instalaciones del proveedor y las de IFEMA, para el óptimo desarrollo del servicio.
• El adjudicatario debe aislar las conexiones para la solución, de forma que solo se puedan acceder a las mismas desde los equipos desde los que se preste servicio a IFEMA.
• Las líneas de comunicaciones de voz y datos, deberán ser escalables y que por tanto permitan aumentar el ancho xx xxxxx de forma rápida y sencilla, de acuerdo a las necesidades.
• Cuando se precisen realizar tareas desde las instalaciones del adjudicatario debido a la naturaleza del servicio, este deberá proveer Conexión a Internet propia y gestionada por él mismo para sus
operadores, con un ancho xx xxxxx suficiente para garantizar el nivel de servicio, incluyendo líneas de respaldo (backup) en alta disponibilidad.
• Cuando el adjudicatario se conecte a IFEMA a través de su red corporativa facilitará plano de red con máximo nivel de detalle para validar que dicha conexión cumple con los requisitos de seguridad requeridos por IFEMA.
• Estos requerimientos técnicos pueden ser modificados por IFEMA por necesidades de negocio o técnicas y ningún cambio puede ser abordado por el adjudicatario sin consentimiento de IFEMA.
SEGURIDAD EN LAS ESTACIONES DE TRABAJO
En el caso en que la solución requiera que el adjudicatario emplee sus propias estaciones de trabajo o en cualquier caso que se empleen estaciones de trabajo que no son de IFEMA, es necesario que dichas estaciones no planteen ningún riesgo para IFEMA, que dispongan de las medidas necesarias para resolver las amenazas de seguridad y seguir todos los procedimientos para el uso seguro de estaciones de trabajo, como los que se describen a continuación.
• Cuando el objeto del servicio requiera que el adjudicatario tiene que prestar el mismo desde su propia plataforma tecnológica, el adjudicatario se compromete a proporcionar una plataforma tecnológica que soporte los sistemas y herramientas utilizados, tanto propios como de IFEMA y garantice el funcionamiento del servicio y el cumplimiento de los acuerdos sobre el mismo consensuados con IFEMA. El adjudicatario deberá soportar la posible instalación de aplicaciones cliente-servidor, que pudieran ser utilizadas en función de cómo decida implementar IFEMA el acceso por los operadores.
• En todo momento el adjudicatario deberá seguir las instrucciones que IFEMA le solicite respecto de la actualización de las condiciones técnicas de los puestos de trabajo.
• Las estaciones de trabajo y dispositivos que disponga el adjudicatario para la prestación del servicio, deben cumplir con todos los requisitos de seguridad que garanticen que los recursos de IFEMA a los que acceden no sean dañados. Estos requisitos pasan por mantener un antivirus con motor y fichero de firmas actualizado y un nivel de parches de seguridad de sistema operativo actualizado con la última versión que no permitan explotar bugs, vulnerabilidades del sistema e infectarse con virus o malware. Además deberá tener activo y correctamente configurado un firewall que proteja las estaciones de trabajo.
• El adjudicatario deberá garantizar que dentro de sus instalaciones no se puedan manipular la configuración de los equipos destinados al servicio destinado para IFEMA por personal no autorizado.
• Cuando el usuario abandone su puesto de trabajo, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los tratamientos o datos protegidos.
• Cada ordenador dispondrá de un protector de pantalla con contraseña que se activará a los diez minutos de inactividad y no estará permitido desactivarlo.
• En el caso de las impresoras, el usuario deberá asegurarse de que no queden documentos impresos en la bandeja de salida que contengan datos protegidos. En las impresoras compartidas con otros usuarios no autorizados para acceder a los datos de los ficheros, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.
• Cuando los requisitos del contrato lo requieran, el adjudicatario estará obligado a dotar la solución de los equipos informáticos necesarios para el mejor desarrollo de su función, incluyendo, los equipos (PCs, impresoras, periféricos, etc.), y los programas de software correspondientes, así como los servicios de comunicaciones que se precisen para su conexión a Internet, correo electrónico, y cualesquiera otros que interesen al servicio, asumiendo el adjudicatario los costes que estos originen. Será igualmente responsable de su mantenimiento y copias de seguridad.
• Si el objeto de la solución lo requiere, IFEMA puede proporcionar al adjudicatario dispositivos de acceso seguros, siendo estos dispositivos personales e intransferibles y que deben ser
custodiados, responsabilizándose al adjudicatario de su pérdida o uso indebido por terceras personas. Una vez finalizado el servicio, el adjudicatario deberá devolver dicho dispositivo.
• Si el objeto de la solución lo requiere, IFEMA puede proporcionar software de acceso seguro a los sistemas informáticos, siendo este software de uso personal e intransferible, debiéndose eliminar a la finalización del servicio.