Contract

PLIEGO DE PRESCRIPCIONES TÉCNICAS DEL ACUERDO MARCO PARA LA CONTRATACIÓN DEL SUMINISTRO DE REACTIVOS Y DE EQUIPAMIENTO NECESARIO PARA REALIZAR LAS DETERMINACIONES DE TIPIFICACIÓN HLA MEDIANTE TÉCNICAS MOLECULARES (300 DETERMINACIONES POR SSO Y 2000 DETERMINACIONES POR NGS), EN EL CENTRO XXXXX DE TRANSFUSIÓN Y TEJIDOS HUMANOS.

1.- ANTECEDENTES

El CVTTH realiza captación y tipaje HLA de donantes voluntarios de médula ósea para incorporarlos al registro español de donantes de médula (REDMO), según lo establecido en el Plan Nacional de Médula Ósea (PNMO) puesto en marcha por la Organización Nacional de Trasplantes (ONT). Además en el CVTTH se procesan y almacenan unidades de sangre de cordón umbilical extraídos en los hospitales públicos y privados de la CAPV autorizados por el Departamento de Sanidad del Gobierno Xxxxx para dicha actividad.

El presente documento consta de los siguientes Anexos:

ANEXO I Prescripciones técnicas del laboratorio de histocompatibilidad ANEXO II Atención a usuarios y acuerdos de nivel de servicio

ANEXO III Prescripciones técnicas relativas al desarrollo Informático

2.- OBJETO DEL CONTRATO

El presente Pliego de Prescripciones Técnicas tiene por objeto definir el alcance y las condiciones que habrán de regir la contratación del suministro de reactivos para realizar las determinaciones de tipificación HLA, mediante técnicas de SSO y de NGS, en el Centro Xxxxx de Transfusión y Tejidos Humanos de acuerdo con las características que se indican en apartado 5. Definición del Contrato, en el que se detallan las determinaciones a realizar para el periodo estimado del contrato y las necesidades técnicas para la realización de las mismas.

3.- ASPECTOS LEGALES

Los licitadores acreditarán, mediante la oportuna documentación, que el material ofertado cumple con la legislación y la normativa española y comunitaria vigente que sea de aplicación, siendo por cuenta del adjudicatario cualquier gasto que se derive de su aplicación.

Los productos y accesorios deberán estar conformes, en el momento en que se realice su suministro, con las condiciones que les sean de aplicación, constando la declaración conforme del fabricante que acredite el cumplimiento de las normas técnicas de aplicación obligada para cada uno de los equipos que oferten.

4.- BASES GENERALES PARA LA CONTRATACION DEL SUMINISTRO DEL MATERIAL

A. PRECIOS UNITARIOS

Los precios máximos se entienden unitarios para la unidad de medida solicitada, dicho precio se entiende que comprende todos los gastos directos e indirectos y cualquier impuesto o gasto que pueda gravar la operación, tasas, impuestos y licencias de cualquier naturaleza, así como el coste de transporte desde los almacenes de la empresa hasta El Centro Xxxxx de Transfusión. No está incluido el IVA. Los precios unitarios se expresarán con un máximo de 2 decimales.

B. MUESTRAS

No se exigen muestras. No obstante, y durante el período de evaluación técnica de los materiales ofertados, se podrán solicitar muestras o demostraciones en aquellos casos que se considere necesario para poder valorar el producto. Las muestras y su devolución, serán sin cargo alguno para Osakidetza.

C. VARIANTES

No se aceptaran propuestas de variantes.

D. PLAZO DE ENTREGA

La periodicidad de las entregas se determinará en función de las necesidades del Centro Xxxxx de Transfusión y Tejidos Humanos. El plazo máximo de entrega desde la recepción del pedido será de 7 días naturales.

E. CANTIDAD ESTIMADA DE COMPRA

Al tratarse de un Acuerdo Marco el número de unidades previsto es estimado, estando sujeto a las necesidades del Centro Xxxxx de Transfusión y Tejidos Humanos, y por tanto no se considera elemento esencial del contrato. Cualquier variación al alza o a la baja, según las necesidades reales, no limitará las obligaciones del adjudicatario ni dará lugar a compensación económica alguna. El número de unidades de compra se fijará a demanda del centro.

F. ENTREGA DE LOS PEDIDOS

El lugar de entrega de los pedidos será el designado en los mismos. La prestación del suministro incluye el transporte de los productos hasta el Centro a cargo de la empresa adjudicataria. Los gastos de la entrega y transporte de los bienes objeto del suministros al lugar fijado serán de cuenta del adjudicatario.

G. NUMERO MÁXIMO DE ADJUDICATARIO POR LOTE

Un único adjudicatario por lote

X. XXXXXXXX DEL CONTRATO

La vigencia del contrato será de 2 años, prorrogables por un máximo de 2 años.

I. VALOR ESTIMADO

El valor estimado del presente expediente es:

Presupuesto máximo contrato inicial bianual SIN IVA	859.600,00 €
Presupuesto prórroga/s SIN IVA	859.600,00 €
Presupuesto previsto para modificaciones 20% SIN IVA	343.840,00 €
Valor estimado del expediente sin IVA	2.063.040,00 €

Dicha modificación será justificada en caso de producirse un incremento de la actividad estimada a causa del aumento de las necesidades asistenciales en relación con el objeto del contrato o por pruebas adicionales que surjan en la ejecución del contrato.

5.- DEFINICIÓN DEL CONTRATO

La empresa adjudicataria garantizará el suministro de reactivos para la tipificación HLA en un número estimado de 2300 muestras al año (considerando sesiones de trabajo de 24/48/72 muestras) en el periodo de vigencia del contrato (2 años), de acuerdo con la siguiente distribución:

Lote 1:

Articulo 1:

Kits para la determinación de alelos HLA–A, -B, -C, -DRB1, DQA1/DQB1 por biología molecular mediante metodología de citometría de flujo sobre esferas fluorocromadas conjugadas a sondas específicas de alelo o grupos de alelos.

- Número de muestras: 300

- Locus considerados: HLA-A, HLA-B, HLA-C, HA-DRB1 y HLA-DQB1/DQA1

Se cederá gratuitamente, en concepto de cesión de uso, un Fluorímetro de flujo xx xxxxx laser para bead-arrays con plataforma de carga en modo de placas de 96 pocillos y alimentación automática de fluido. Además de ordenador y software de análisis.

Lote 2:

Articulo 1:

Los reactivos ofertados permitirán la tipificación simultánea como mínimo de los loci HLA-A, HLA-B, HLA-C, HLA-DRB1, HLA-DQA1, HLA-DQB1 y HLA-DPB1 en resolución alélica mediante la técnica “Next Generation Sequencing” (NGS).

- Número de muestras: 2000

- Locus considerados: como mínimo XXX-X, XXX-X, XXX-X, XXX-XXX0, XXX-XXX0/XXX0 x XXX0

Xx oferta deberá incluir tanto los consumibles como el equipamiento necesario para la ejecución de la técnica, incluida la plataforma de secuenciación NGS y el aparataje para la cuantificación de librerías y amplicones, así como el sistema informático para el procesado de los resultados.

Esta técnica ha de permitir asignar inequívocamente los dos primeros grupos de dígitos de todos los alelos oficialmente reconocidos, siendo aceptables tipajes de alta resolución que incluyan la extensión “G” o “P”. Se valorará el grado de cobertura del gen analizado, el nº de loci incluidos en cada determinación, así como el grado de resolución obtenido en el tipaje para los loci solicitados y la posibilidad de realizar PCR multiplex.

6. OTRAS CONDICIONES DEL ADJUDICATARIO

6.1.- Formación

La entidad adjudicataria, previa conformidad del equipo directivo del CVTTH, determinará el programa formativo a seguir por el personal. La formación que se considere necesaria será financiada por el adjudicatario. Esta formación deberá incluir información sobre ajustes l uso de los modos de funcionamiento de los equipos (como el modo “reposo”) para optimizar el consumo energético delos mismos.

Deberá permitir y facilitar a los responsables del CVTTH el acceso permanente a las aplicaciones informáticas y sistemas de información empleados para la prestación del servicio.

6.2.- Calidad

6.2.1.- Obligaciones generales

El adjudicatario estará obligado a que el objeto del contrato responda a los umbrales de calidad que determine el CVTTH.

6.2.2.- Protocolos y Procedimientos de actuación

Con carácter enunciativo y no limitativo, la entidad adjudicataria deberá disponer y mantener actualizado la siguiente documentación:

Manual de procedimientos: (en idioma español)

Contendrá actualizados, al menos, los siguientes procedimientos:

• Procedimientos normalizados de los equipos en formato electrónico que detallen los métodos y protocolos que se utilizarán, con su fundamento, la descripción de la preparación de reactivos o medios, la realización de las técnicas, los métodos de medida y los instrumentos necesarios.

• Si procediera: Tratamiento y protección de datos, sistema de archivo y manual actualizado del sistema informático, y medidas de seguridad de obligado cumplimiento para el personal con acceso a los datos de carácter personal en el que se establezcan las medidas, normas y procedimientos encaminados a garantizar el nivel de seguridad exigido en la normativa vigente con especial referencia a las medidas exigibles en el nivel alto de protección de datos.

Además, el adjudicatario deberá aportar, con cada cambio de los lotes suministrados, un certificado con las especificaciones de calidad del nuevo lote en caso de material crítico.

6.3.- Puesta en marcha

Los licitadores deberán elaborar un plan de puesta en marcha, previa conformidad del CVTTH, que incluya todas las áreas y contendrá los aspectos recogidos en este Pliego.

Serán excluidas todas aquellas ofertas que no se comprometan a poner en funcionamiento las instalaciones en un plazo de cuatro meses a partir de la fecha de la firma del contrato.

6.4.-Sensibilidad y especificidad de los reactivos

Los licitadores incluirán en su oferta los datos de sensibilidad y especificidad garantizados para cada prueba. Todas las pruebas se realizarán en una plataforma tecnológica similar.

6.5.- Servicio técnico

El adjudicatario se encargará del mantenimiento y reparación de los equipos durante el periodo de vigencia del contrato, así como, a actualizar y/o reponer los mismos en el supuesto de cambio o mejora tecnológica, sin coste adicional.

El mantenimiento incluido en la oferta comprenderá todas las actuaciones de mantenimiento preventivo, correctivo y normativo.

El mantenimiento incluirá la sustitución de piezas, recambios, mano de obra, desplazamientos etc… y todos los elementos que garanticen el correcto funcionamiento de los equipos.

El adjudicatario deberá disponer de al menos un especialista, de presencia física, que apoye al personal del CVTTH en la puesta en marcha de técnicas, configuración de los sistemas y formación del personal.

6.6 Finalización del contrato

Una vez finalizado el contrato, los equipos deberán ser retirados por el adjudicatario, en un plazo no superior a 8 semanas.

7.-COMISION DE CONTROL Y EVALUACIÓN DE LA GESTIÓN DEL PRESENTE CONTRATO

El órgano de contratación, o la persona en quien delegue, y sin perjuicio de las facultades inspectoras de la Administración Sanitaria, podrá inspeccionar los servicios, instalaciones, locales, así como toda la documentación relacionada con el objeto del contrato. Para ello, la adjudicataria deberá facilitar la realización de sus tareas inspectoras, poniendo a su disposición cuanta información y documentos sean necesarios, así como facilitando el acceso a todas las dependencias e instalaciones.

8.- DOCUMENTACIÓN TÉCNICA A PRESENTAR POR LOS LICITADORES

La DOCUMENTACION a incluir en los distintos sobres “A”, “B” y “C” deberá presentarse única y exclusivamente en formato digital a través de la Plataforma de Licitación Electrónica, cuyo acceso se indica en el Pliego de Cláusulas Administrativas Particulares

Los archivos digitales que contengan la documentación, ya sea en formato PDF, Word o Excel, RTF o cualquier otro, incluirán la información en texto seleccionable (excepto lógicamente en lo referido a imágenes, planos o similares).

En la documentación a enviar, se deberán aportar los estudios científicos contrastados que avalen la documentación técnica presentada.

La documentación aportada deberá seguir el orden propuesto en los criterios de valoración y los requisitos exigidos.

Con independencia de que el licitador o licitadores puedan presentar en su oferta cuanta información complementaria consideren de su interés, deberán presentar la exigida en cualquier apartado de este Pliego y, además la requerida en los siguientes puntos:

8.1 Equipos y reactivos

• Especificaciones de los reactivos/equipos ofertados indicando su número y características técnicas detalladas

• Características de las técnicas ofertadas.

• Tecnología y funcionalidad del equipamiento y reactivos propuestos.

• Características de la gestión de los reactivos.

• Gestión del mantenimiento de los equipos por el usuario.

8.2.- Servicios logísticos

• Características técnicas del material, ficha técnica o ruta informática de acceso al mismo

• Sistema de aseguramiento de la trazabilidad, la seguridad y las condiciones adecuadas en los envíos (tiempo de respuesta, mantenimiento de la cadena de frío, etc..).

8.3.- Servicio técnico

• El adjudicatario proveerá de un plan de asistencia técnica personalizado con los requerimientos mínimos expresado en el Anexo II. Este plan deberá detallar: recursos humanos, medios tecnológicos, horarios, tiempos de respuesta y tipos de soporte a disposición de la unidad.

8.4.- Plan de Formación-

• Plan de formación al personal sobre los equipos y sistemas que será continuado en el tiempo.

8.6.- Puesta en marcha

• El plan de apertura: actuaciones y cronograma para la puesta en funcionamiento del servicio objeto del contrato.

• Las fases de aceptación de los nuevos equipos: los plazos de instalación, sus verificaciones así como las pruebas de calibración.

9.- DESARROLLO INFORMATICO

Las prescripciones técnicas relativas al desarrollo informático son las que se especifican en el Anexo III de este Pliego y en el documento informativo de Directrices y especificaciones técnicas informáticas generales.

10.- RELACIÓN DE MATERIAL

Lote	Art.	Denominación	Nº determ	Precio Unitario Licitación SIN IVA	Presupuesto Estimado SIN IVA BIANUAL	IVA%	Obligatorio Lote Entero	Adjudicación Compartida	Procede entregar muestras
1	1	Determinación de alelos HLA – A, -B, - C, -DR, -DQ por biología molecular (300 test cada locus), mediante metodología de citometría de flujo sobre esferas fluorocromadas conjugadas a sondas específicas de alelo o grupos de alelos, incluido equipo luminex.	300	166,00	99.600,00	21	SI	NO	NO
2	1	Determinación de alelos HLA- A, -B, -C, DRB1, DQB1 y DPB1 (como mínimo) mediante tecnología “next generation sequencing (NGS)”, incluida plataforma de NGS y todo el equipamiento necesario para realizar la técnica (2000 test para cada locus)	2000	190,00	760.000,00	21	SI	NO	NO

Prescripciones técnicas de los laboratorios

ANEXO I

1.- INTRODUCCIÓN

El trasplante de progenitores hematopoyéticos (TPH) en sus diferentes variantes (autólogo o alogénico) es un procedimiento consolidado para el tratamiento de múltiples enfermedades neoplásicas (leucemias, mielomas, linfomas, etc) y no neoplásicas (inmunodeficiencias, enfermedades metabólicas, hemoglobinopatías, enfermedades autoinmunes, etc). Las fuentes de progenitores o células madre empleadas pueden ser la médula ósea, la sangre periférica o la sangre de cordón umbilical (SCU).

Los pacientes que precisan un TPH alogénico necesitan disponer de un donante de progenitores, mientras que en el TPH autólogo el donante es el propio paciente. Clásicamente, el mejor donante alogénico es un donante con identidad completa HLA, lo que disminuye la incidencia de la enfermedad del injerto contra el huésped (EICH) y mejora los resultados del procedimiento. La probabilidad de encontrar un donante idéntico en la familia está alrededor del 25-30%, por lo que la mayoría de los pacientes van a requerir encontrar un donante no emparentado (DNE) a partir de los registros de donantes. Hasta el 90-95% de los pacientes que lo necesitan encuentran un DNE o una unidad de SCU adecuada para la realización de su TPH.

El CVTTH realiza captación y tipaje HLA de donantes voluntarios de médula ósea para incorporarlos al registro español de donantes de médula (REDMO), según lo establecido en el Plan Nacional de Médula Ósea (PNMO) puesto en marcha por la Organización Nacional de Trasplantes (ONT). Además en el CVTTH se procesan y almacenan unidades de sangre de cordón umbilical extraídos en los hospitales públicos y privados de la CAPV autorizados por el Departamento de Sanidad del Gobierno Xxxxx para dicha actividad.

Para incorporar estos nuevos donantes y cordones al registro nacional, es necesario realizar la tipificación de los antígenos HLA. En una primera fase del PNMO en 2012, se estableció como requerimiento mínimo de tipaje la determinación de los antígenos A, B por métodos serológicos y DR por métodos moleculares, lo que tras un proceso inicial de búsqueda, necesariamente obliga a ampliaciones de tipaje además de la confirmación obligatoria previa a la donación. En estos últimos años, los tipajes en otros registros han evolucionado tanto en la cantidad de antígenos determinados (A, B, C, DR, DQ) como en los métodos técnicos empleados (Secuenciación de Nueva Generación o NGS) lo que ha permitido optimizar los tipajes en su resolución y en el proceso de determinación de múltiples muestras de forma simultánea, haciendo que los donantes de dichos registros sean “más visibles” para los centros que solicitan las búsquedas.

2. CARACTERÍSTICAS TECNICAS REQUISITOS EXIGIBLES

Lote 1:

Articulo 1

CARACTERISTICAS DE LOS REACTIVOS:

• Todas las determinaciones deben tener la máxima sensibilidad y especificidad, el nivel de resolución de los tipajes deberá ser el mayor posible que se pueda conseguir con la tecnología Luminex.

• Una mayor resolución de los reactivos, la cual viene determinada por su diseño, cobertura exónica y número de sondas, se traduce en una mayor elegibilidad de las muestras tipadas dentro del registro de donantes de médula ósea.

• Una mayor cobertura exónica es importante para resolver alelos cuya diferencia se encuentra fuera de los exones amplificados habitualmente (incluyendo alelos nulos), y para resolver ambigüedades cis/trans.

• Un gran número de sondas y un desarrollo continuo de los reactivos es fundamental para obtener una buena resolución, frente a una base de datos de alelos cada vez mayor.

CARACTERISTICAS DEL SOFTWARE:

• Se valorará que el software de análisis que suministre el proveedor tenga la posibilidad de realizar análisis combinados de varias técnicas: SSO, SSP, SBT, para facilitar la labor del laboratorio en el caso de que realice tests reflejos.

• También se valorará que el software de análisis sea capaz de indicar como resolver y con qué reactivos las inconsistencias de tipaje o ambigüedades que puedan surgir en el análisis.

• Cualquier requerimiento adicional de software de análisis, así como posteriores actualizaciones o mejoras del mismo correrán a cargo de la empresa adjudicataria.

• Se incluirán además los correspondientes controles y calibradores que permitan validar la técnica y el aparato.

• Los reactivos incluirán controles positivos y negativos para cada uno de los exones.

CARACTERISTICAS DEL EQUIPAMIENTO:

• Se incluirá por consumo de reactivos un analizador de flujo basado en la tecnología Luminex. Se valorará el grado de automatización del equipo y la rapidez en la adquisición de las muestras.

• Junto con el equipo se suministrará todo lo necesario para su funcionamiento incluido software de análisis y PC.

• Se actualizarán todas las posibles futuras versiones que incorporen mejoras evidentes establecidas en el periodo de tiempo más corto posible.

• Se establecerá un calendario de revisiones y mantenimientos del equipamiento por parte de la empresa adjudicataria.

Lote 2 : Articulo 1:

CARACTERISTICAS DE LOS REACTIVOS:

• Ensayos de biología molecular para la determinación de genes HLA en resolución alélica mediante tecnología de ‘Next Generation Sequencing’ (NGS).

• Se obtendrá un tipaje para todos los alelos HLA de los loci HLA-A, B, C, DRB1, DQA1, DQB1 y DPB1, como mínimo, valorándose el número de genes incluidos en cada determinación, el grado de cobertura exónica para cada loci, el nivel de resolución obtenido en los tipajes y el balance homogéneo de las secuencias.

• Se valorará el mayor número de loci incluidos en un único pocillo de reacción multiplex.

• Se valorará que los kits de amplificación y preparación de librerías y de adaptadores/índices tengán disponibilidad en formatos separados e independientes a su vez de los kits de amplificación.

CARACTERISTICAS DEL EQUIPAMIENTO:

Se cederá el siguiente equipamiento, en concepto de cesión de uso durante la vigencia del contrato, así como su mantenimiento durante el mismo periodo:

• Plataforma de NGS.

• Espectrofluorimetro Qubit.

• Ordenador y software de visor del análisis de secuenciación, con un mínimo de 2 puestos de análisis.

• Todos los reactivos comunes, auxiliares y fungibles necesarios para llevar a cabo la técnica deben estar incluidos en la oferta sin coste adicional.

ANEXO II

Atención a usuarios y acuerdos de nivel de servicio

1.- SOPORTE A USUARIOS

El soporte de los equipamientos deberá estar conformado por tres tipos de apoyo. El primer nivel estará disponible telefónicamente. El segundo será de acceso remoto y el tercero, será presencial en los casos en los que sea necesario. Ambos niveles de soporte se ofrecerán en los horarios descritos más adelante.

2.- HORARIO DE PRESTACIÓN DE SERVICIOS DE SOPORTE

Para los servicios de soporte, el horario de prestación debe cubrir suficientemente las necesidades de asistencia de los diferentes entornos. Deberá ofertarse como mínimo:

• De 08:00 a 17:00 horas, de forma ininterrumpida (Lu-Vi)

• De 08:00 a 15.00h de forma ininterrumpida (Sábados).

• Fuera de este horario debe existir al menos un buzón de avisos para dejar constancia de incidencias y reclamar servicio prioritario para el siguiente día.

Las averías de equipos que exijan un soporte presencial deberán ser resueltas en un plazo no superior a 24h (salvo festivos) desde la comunicación de la incidencia.

Prescripciones técnicas relativas al desarrollo Informático

ANEXO III

1.- COORDINACIÓN Y DIRECCIÓN DEL PROYECTO

La empresa designará un jefe de proyecto en el ámbito informático, que será interlocutor único con Osakidetza y las UGCs. Dicho jefe de proyecto podrá acompañarse del personal técnico y funcional que estime conveniente en su relación con los homólogos de los hospitales y Osakidetza.

Se establecerán reuniones de seguimiento con la regularidad y contenido que en su momento se determinen.

2.- UBICACIÓN FÍSICA

El equipamiento dedicado a la realización de los servicios objeto del contrato se ubicará en dependencias de las UGCs, distribuido en:

Área de gestión de los ST. Residirán en ella los equipos directamente relacionados con la actividad propia del ST y los puestos informáticos necesarios para su control y gestión, en dependencias de las UGCs

Para los equipos destinados a servidores de aplicaciones, de bases de datos y procesos. En función de la solución propuesta se decidirá si se alojan en el Centro de Proceso de Datos (CPD) de SSCC o en el CPD del centro donde se ubica el Laboratorio.

3.- INSTALACIONES E INFRAESTRUCTURA BÁSICA

La empresa adjudicataria utilizará las instalaciones e infraestructura básica de las UGCs, en concreto, el cableado de datos y los servicios de electricidad y refrigeración, tanto los generales como los del CPD. Si la inclusión del equipamiento del adjudicatario implicase la necesidad de incrementar o reconfigurar las infraestructuras propias del hospital, el coste económico de estas modificaciones será asumido por la citada empresa.

4.- EQUIPAMIENTO INFORMÁTICO Y ARQUITECTURA

El adjudicatario aportará el hardware y software necesarios para la prestación del servicio, y se encargará de su instalación, configuración, puesta en producción, mantenimiento y adecuación, así como de dar el adecuado soporte al usuario y a las incidencias que pudieran surgir.

Los puestos informáticos necesarios para su control y gestión del Laboratorio estarán configurados con la maqueta de Osakidetza.

El equipamiento físico y lógico que tenga que interactuar o integrarse con otros sistemas de información del Departamento de Salud, de las UGCs, de Osakidetza o de sus Organizaciones de

Servicios cumplirá los estándares definidos por éstos, tal y como viene establecido en este Anexo III. Estos estándares actuales podrían ser modificados por las UGCs u Osakidetza durante el contrato.

Actualmente, la versión de maqueta que se instala en los equipos de Osakidetza, es la 2.6; aunque convive con versiones anteriores instaladas.

Hardware

Procesador con un mínimo de tecnología de 45nm, caché L2 de 3 Mb y FSB de 1.066 Mhz.

Memoria RAM 2 Gb. Disco duro 250 Gb

Monitor 19 pulgadas con resolución 1440x900 mayoritaria o 1280x1024.

Sistema operativo

Windows 7 Enterprise N (32 Bit) SP1 + Windows media feature Pack

Asimismo, la arquitectura de los sistemas a instalar en el CPD cumplirá los estándares definidos en dicho Anexo III. Estos estándares actuales podrían ser modificados por las UGCs u Osakidetza durante el contrato.

La configuración de toda la infraestructura informática, en especial la electrónica (de comunicaciones y seguridad) y el equipamiento instalado en el CPD, seguirá los criterios establecidos por Osakidetza, las UGCs, y será supervisado por los hospitales y los SSCC.

5.- COMUNICACIONES Y CONECTIVIDAD

El equipamiento informático del adjudicatario, tanto el situado en el área de gestión del ST como en el área de CPD, estará conectado a la red local del hospital.

En el área de gestión del ST el adjudicatario proveerá las infraestructuras necesarias para conectar los equipos de trabajo necesarios si las ya existentes no fuesen suficientes o tuviesen que plantearse cambios de ubicación de las mismas. En caso de ser necesaria la ampliación de cableado (puntos de red) y/o electrónica de comunicaciones, la adquisición e implantación de las citadas infraestructuras deberá atenerse a los criterios marcados por Osakidetza, y las UGCs.

En el área de CPD el adjudicatario proveerá las infraestructuras adecuadas para la arquitectura que se defina si las ya existentes no fuesen suficientes siguiendo los estándares de Osakidetza y de las UGCs en esta materia, incluyendo cableado, electrónica de comunicaciones (switches), balanceadores, equipos de seguridad y tantos dispositivos como sean necesarios para interconectar, de forma segura y con capacidad y disponibilidad suficientes, todo el equipamiento.

Las comunicaciones externas se realizarán a través de la red corporativa de Osakidetza

CAPA SEGURIDAD Y CONFIGURACION/POLITICA SEGURIDAD SOBRE APPS

Las aplicaciones que son diseñadas ad-hoc y entregadas para ser registradas en la plataforma MDM (in- house) al ser transmutadas recibirán una capa de seguridad la cual se modifica con parámetros de configuración y política de tal forma que habrá que tener en cuenta dichas posibilidades.

Las configuraciones a tener en cuenta y básicas desplegadas en las configuraciones de seguridad de la plataforma en lo que concierne a las APPS y al dispositivo propiamente dicho:

• No se pueda acceder a la memoria externa del dispositivo (con todo lo que ello implica).

• Uso de la cámara no podrá acceder a memoria física.

• Denegar la interacción entre aplicaciones Seguras y No seguras.

• Bloqueo de transferencia de datos (corta y pega (portapapapeles)) entre APPS.

• Imposibilidad uso de micrófono.

Bloqueo de la posibilidad de Captura de Pantalla. Dado que haría uso de memoria externa

6.- SERVICIO DE DIRECTORIO

Tanto los Servidores del área de CPD como los PCs del área de gestión del ST estarán integrados en el dominio que indiquen las UGCs del Directorio Activo (Microsoft) de los hospitales.

7.- GESTIÓN, ADMINISTRACIÓN DE LOS SISTEMAS

Corresponde al adjudicatario la gestión y administración de las máquinas y los sistemas de información (servidores, PCs, dispositivos periféricos, bases de datos, aplicaciones, etc.) dedicados a la prestación de este servicio, así como la atención de usuarios e incidencias con relación al software y hardware aportado por el adjudicatario.

Las tareas de gestión y administración se llevarán a cabo desde puestos situados en el área de gestión del ST y en el servicio de informática del Hospital.

Si para actividades de monitorización, mantenimiento u otras similares, el adjudicatario considera necesario disponer de un acceso externo, podrá dotarse de una conexión VPN (accesible desde Internet), con las condiciones y requisitos que para este tipo de enlaces tienen establecidos Osakidetza y las UGCs. En cualquier caso se garantizará siempre el acceso a cualquier dato de carácter personal de una forma segura, cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

La empresa facilitará al hospital documentación detallada acerca de la configuración de las máquinas, en especial electrónica (si la hubiera) y servidores, y la mantendrá permanentemente actualizada.

8.- MONITORIZACIÓN Y AUDITORÍA

Las UGCs y los SSCC dispondrán de capacidad de monitorización de los equipos informáticos de la empresa adjudicataria, con el suficiente nivel de autorización para cumplir al menos dos objetivos:

Comprobar que la instalación se adecua a lo establecido previamente. Disponer de información sobre la disponibilidad o indisponibilidad del servicio.

Más allá de esta exigencia, las UGCs y los Servicios Centrales de Osakidetza se reservan el derecho de efectuar auditorias tan extensas, profundas y detalladas como consideren oportuno para comprobar:

La calidad de las instalaciones.

La adecuación a lo comprometido y acordado.

El cumplimiento de estándares de seguridad y LOPD, así como la normativa aplicable en este ámbito.

Para todo ello la empresa proveerá los medios, herramientas y elementos de conectividad necesarios.

9.- INTEGRACIÓN Y ADECUACIÓN CON RESPECTO A LOS SISTEMAS DE INFORMACIÓN CON LAS UGCS, OSAKIDETZA Y DE SUS ORGANIZACIONES DE SERVICIOS

Los estándares de obligado cumplimiento en cuanto a integración de sistemas se detallan en el documento de descripción de requisitos técnicos para publicadores y subscriptores de eventos. Estos estándares actuales podrían ser modificados por las UGCs u Osakidetza durante el contrato.

Las adaptaciones requeridas en los Sistemas de Información del Departamento de Salud, de las UGCs, de Osakidetza y de sus Organizaciones de Servicios derivadas de la adopción de la solución propuesta deberán ser asumidas por el adjudicatario. El desarrollo será realizado por las empresas que Osakidetza, y las UGCs determinen en cada momento, principalmente los adjudicatarios de sus contratos de mantenimiento.

Así mismo, el coste de las conexiones y/o las licencias que sean necesarias para conectarse a OMEGA 3000, de la empresa XXXXX y GESTLAB de la empresa COINTEC serán asumidas por el adjudicatario durante todo el periodo que dure el contrato y también las necesarias para Odolbide/eOdolbide.

Los cambios de arquitectura e infraestructuras que fueran requeridos para mantener las funcionalidades actuales y futuras en los Sistemas de Información relatados, así como el desarrollo, pruebas unitarias y de integración, paso a producción, y expansión a todos los centros de las nuevas versiones de los Sistemas de Información en este apartado descritos deberán ser igualmente asumidos por el adjudicatario.

Los Sistemas de Información corporativos a integrar susceptibles de conexión son:

Sistema de Información del Laboratorio OMEGA 3000 GESTLAB y programa de gestión del Banco de Sangre Odolbide/eOdolbide

La captura de demográficos de pacientes se realizará en el HIS corporativo, utilizando los catálogos corporativos de Osakidetza que se precise. Además, se mantendrán actualizados dichos datos, según la información enviada por el HIS.

10.- NORMATIVA Y ESTÁNDARES

En todas las instalaciones del hospital, incluyendo el laboratorio, la empresa actuará con conocimiento y supervisión de las UGCs. En las interconexiones físicas y lógicas con el resto del hospital o de otros nodos de la red corporativa de Osakidetza y en cualquier actuación que implique a personas o equipos de las UGCs, de Osakidetza o de sus Organizaciones de Servicios la empresa cumplirá los estándares y normativa que estos determinen; entre otros:

La gestión de las muestras. Normativa de seguridad.

Especificaciones técnicas de infraestructura. Estándares de arquitectura de sistemas y desarrollo. Estándares de arquitectura y configuración de CPDs. Normativa y estándares de conectividad.

Normativa y estándares de conectividad. Requisitos técnicos para publicadores y subscriptores de eventos. Gestor de Eventos Event Manager.

Normativa para puesta en producción de aplicaciones en CPDs. Normativa para relación con el centro de atención a usuarios (CAU).

Estos estándares podrían ser modificados por las UGCs u Osakidetza durante el contrato.

11 NORMATIVA Y OPERATIVA PARA CONECTAR UN EQUIPO A LA RED

Este punto contiene un conjunto de medidas organizativas y técnicas que conforman la Normativa, Operativa y Necesidades que se detalla a continuación.

Tienen como objetivo garantizar la seguridad de la RED de datos de Osakidetza, y se deberán aplicar a los equipos que se conecten a la red.

1. CONOCIDO e INVENTARIADO.

1.1. Primero acudir a Informática

1.2. Inventariar –> (Definiendo Grupo Inventario)

2. CUMPLIR ESTANDARES DE CONECTIVIDAD (Cable y Wifi).

2.1. Estándares de conectividad vía Wifi / Dispositivos inalámbricos:

Seguridad:

- Utilización del estándar IEEE 802.11 b/g/n

- Capacidad de asociarse a un SSID de la red WIFI correspondiente

- Soporte SSID oculto

- Soporte WPA2 Enterprise

- Cifrado de datos AES

- Autenticación EAP basada en certificado de máquina

- Soportar certificados:

 Los certificados emitidos son de 1024 bits

 El certificado de la CA raíz es de 4096

 Soporten certificados con hash SHA-2

 El tipo de certificado: x.509

 Protocolo: RSA

2.2. Estándares de conectividad vía cable:

- Soporte velocidad de transmisión mínima 100/1000 funcionando en full dúplex (fibra o cobre; preferiblemente cobre)

- Soporte para protocolo de conectividad segura 802.1X

- Soporte para protocolo DHCP

2.3. Además de cumplir los estándares de conectividad indicados anteriormente, el fabricante deberá realizar la adecuación oportuna, en caso de evolución de los mismos.

Operativa y Líneas de trabajo a Futuro/Necesidades

o Los estándares de conectividad figurarán en los expedientes de contratación (Nota: en los expedientes de la Subdirección de Informática de la Dir General se indican los estándares WIFI ) -> Ver el documento DET en IKT – Normativa,

o Se verificará que las ofertas cumplan con dichos estándares para poder ser adjudicatarios.

o Informática dispondrá de dichos estándares para que los equipos que les soliciten conectar a la red, y que no se hayan adquirido atendiendo a las indicaciones anteriores, puedan chequear con el proveedor si cumplen los estándares de conectividad; en caso de no cumplir lo elevarán jerárquicamente

en su centro (*) y al Comité/Comisión de Seguridad que se establezca (se menciona más adelante).

o Si hay algún caso conocido de equipamiento que ya está conectado a la red y que no cumple con dichos estándares, se elevará jerárquicamente en el centro donde esté, para que la jerarquía / quien los adquirió contacte con el proveedor y tome las medidas oportunas para cumplir con dichos estándares (adaptar / sustituir / renovar el equipamiento, lo que proceda según el caso).

Necesidades:

Crear un Comité/Comisión de Seguridad.

o Regular “elevar jerárquicamente en el centro”.

(*) Propuesta: según el caso, Informática determinará a quién/quienes elevará jerárquicamente: Xxxxxxxx, Dir Económica, Dir Asistencial, Jefe del servicio afectado, Subdirector Informática de OSI, etc…

3. CUMPLIR CON LOS SIGUIENTES ESTANDARES DE SEGURIDAD

3.1. El software del equipo estará libre de vulnerabilidades de seguridad, conocidas hasta la fecha

Operativa:

- Meterlo en el Dominio de Osakidetza: se le dará un nombre de según la nomenclatura de Osakidetza.

- Instalar el agente de antivirus

- Instalar el agente de actualización de parches de MS

3.2. Compromiso del fabricante/proveedor en el mantenimiento de software actualizado libre de vulnerabilidades de seguridad.

 Sistemas operativos generalistas: (windows, linux), Soportarán la incorporación del equipamiento a los sistemas corporativos de actualización (sccm, rh satelite) aplicándoles las mismas políticas. En caso de no poder incorporarse a dichos sistemas, aplicarán unas políticas de actualización similares que deberá conocer y validar la organización

Operativa y Líneas de trabajo a Futuro/Necesidades

o Crear un Comité/Comisión de Seguridad

o Solución a los casos en que no se pueden aplicar parches de seguridad.

o Dotar a los Centros de ARQUITECTURA de Pruebas (HA, Entornos, Snapshot, etc…, diversas soluciones para utilizar según el caso.)

El proveedor certificará el parche a aplicar / se dotará de entorno de pruebas (*) para probar / verificar la aplicación del/los parche/s correspondientes, antes de aplicarlos en PRO.

(*) Según ARQUITECTURA de pruebas (HA, PRE, Snapshot, etc)

Si el proveedor no certifica la aplicación de los parches, se elevará jerárquicamente en el centro y al Comité/Comisión de Seguridad para tomar las medidas oportunas.

 Sistemas operativos propietarios: deberá existir un calendario de actualizaciones anual.

Operativa

 Los equipamientos serán sometidos a análisis de vulnerabilidades periódicos debiéndose atender a los resultados de los informes cuando muestre vulnerabilidades de seguridad.

Operativa y Líneas de trabajo a Futuro/Necesidades

o Dotar de las licencias necesarias para poder analizar todo el equipamiento.

Analizar una vez al mes todo lo que esté “encendido” en Dir General y Centros.

En caso de no dotarnos de los recursos necesarios para analizar todo el equipamiento, el número de IPs sobre los que se puede hacer análisis es limitado, de modo que se plantea la siguiente operativa:

- se definirán equipos críticos que estarán continuamente monitorizados y tendrán un seguimiento especial de la evolución de sus vulnerabilidades, y

- se dispondrá de un pool de IPs para lanzar escaneos puntuales a ciertos equipos, entre ellos a equipos de nueva implantación antes de su puesta en producción.

 En caso de ocurrir una nueva vulnerabilidad critica, el proveedor aplicará los parches correspondientes a la mayor brevedad (sin esperar al siguiente ciclo de actualización, para que no quede comprometida la seguridad)

Operativa:

Informática contactará con el proveedor para indicarle que debe aplicar el/los parches indicándole la criticidad del mismo y que por tanto ha de hacerse sin esperar al siguiente ciclo de actualización.

3.3. Acceso mínimo: Deberán documentar los accesos que requieren los equipos de modo que se habilitará el acceso sólo a lo necesario (puertos/comunicaciones).

Operativa y Líneas de trabajo a Futuro/Necesidades

- Dir General: Se hace via el Procedimiento de Alta de maquina

- CENTROS: No se hace; haremos una sesión concreta para revisar la ficha de Alta de máquina de Dir General, y adaptar/reutilizar para los Centros.

3.4. Acceso remoto: El acceso remoto al equipamiento se realizará siempre según los estándares corporativos.

Operativa y Líneas de trabajo a Futuro/Necesidades (*)

- VPN Site2Site ó VPNSSL

- CENTROS: “Segmentación?, otros?, …”,

(*) Xxxx/Ejemplo Wanna Cry: Equipo del proveedor que entra por VPN correctamente, pero si tenía el Wanna Cry nos podría haber infectado porque no se audita/verifica que este securizado y no infectado.

3.5. Acceso a Internet: El equipamiento que requiera conectividad a Internet deberá utilizar y soportar los mecanismos de conectividad a Internet corporativos.

Operativa y Líneas de trabajo a Futuro/Necesidades (*)

- Soportar Navegación a través de PROXY (hay diferentes perfiles)

Se habilita bajo demanda, y durante el periodo de tiempo necesario/ventana (tareas de instalación, etc…).

(*) Caso/Ejemplo: Solución de Lencería: requiere acceso a Internet porque utilizan/acceden a los Servidores del proveedor de Lencería.

3.6. Entorno Antimalware: Los sistemas operativos que soporten productos antimalware, se incorporarán al entorno de protección corporativo. En caso de no poder incorporarse, aplicarán medidas de seguridad equivalentes y deberán ser conocidas por la organización.

Operativa y Líneas de trabajo a Futuro/Necesidades o Sistemas operativos propietarios

Si el proveedor indica que no soporta la instalación del antivirus de Mcafee o su sustituto, deberá indicar qué producto instala para su evaluación. Se le exigirá un software antimalware si es un sistema operativo susceptible y existen soluciones de antivirus.

3.7. Usuarios administradores: Las operaciones realizadas por los usuarios administradores estarán auditadas.

Líneas de trabajo a Futuro/Necesidad (*)

(*) Cuando dispongamos de la solución a esta necesidad habrá que detallar la Operativa.

3.8. Usuarios genéricos: Se debe evitar el uso de este tipo de usuarios.

El uso de este tipo de usuarios impide identificar a quién accede (login al equipo), lo que dificulta la localización del origen de los problemas en caso de incidencia.

Así mismo, a los usuarios (*) se les permitirá acceso únicamente a los recursos y servicios requeridos, restringiendo a su vez el nivel de acceso y permisos al mínimo suficiente para el funcionamiento correcto.

(*) usuarios identificados con DNI o no/genéricos

Operativa y Líneas de trabajo a Futuro/Necesidades (*)

- Promover el uso de DA

(*) Casos/Ejemplos: a_local (que tenga acceso a lo minino que deberían tener, y hacer lo mínimo que deberían hacer, etc..); uso de carpetas compartidas con permisos escritura a everyone en estaciones y hasta servidores.

3.9. Dispositivos móviles corporativos (tablets, portátiles, móviles): Este tipo de equipamiento debe estar sometido a medidas adicionales de seguridad para verificar su estado antes de conectar a la red debido a la exposición que haya podido sufrir en conexiones externas al entorno corporativo.

12. INFORMACIÓN DE SEGUIMIENTO Y CONTROL DEL SERVICIO

La empresa adjudicataria elaborará y remitirá a Osakidetza y las UGCs información relativa a la prestación del servicio, con la regularidad que se determine y con el contenido y detalle necesarios, tanto para la comprobación del cumplimiento de los niveles de servicio como para facilitar las decisiones de gobierno de la actividad.

Asimismo, la empresa pondrá a disposición de las UGCs la capacidad para acceder a los sistemas y aplicaciones en base a su función auditora.

Para llevar a cabo estas exigencias, la empresa dispondrá los elementos técnicos necesarios, conforme a los procedimientos y estándares determinados por Osakidetza y/o las UGCs