PLIEGO DE BASES Y PRESCRIPCIONES TÉCNICAS QUE REGIRÁN LA REALIZACIÓN DEL CONTRATO DE
PLIEGO DE BASES Y PRESCRIPCIONES TÉCNICAS QUE REGIRÁN LA REALIZACIÓN DEL CONTRATO DE
“SERVICIO 24 X 7 DE SEGURIDAD GESTIONADA”
Pliego de Bases generales y Prescripciones Técnicas
Contrato de “Servicio de Seguridad Gestionada”. Expediente 062/11 Página 1 de 51
JULIO 2011
EXP: 062/11
ÍNDICE
2. OBJETO, ALCANCE, DURACIÓN Y PRESUPUESTO MÁXIMO 7
2.5. Control económico y Facturación 9
2.5.1. Control de facturación 9
3.1. Consideraciones Previas 11
3.3. Descripción del entorno actual 12
3.3.2. Elementos de seguridad adicionales 12
3.3.3. Plataforma de servicios 12
3.4. Descripción del entorno previsto 12
3.5. Información técnica adicional sobre el entorno actual o previsto 13
3.6. Requerimientos de los servicios solicitados 13
3.6.2. Soporte a Incidentes [SI] 14
3.6.3. Gestión de vulnerabilidades [GV] 15
3.6.4. Administración y Operación [AO] 15
3.6.5. Centro de Operaciones de Soporte [SO] 15
3.6.6. Elementos necesarios para la prestación del servicio [EN] 17
3.7. Acuerdos de nivel de servicio y penalizaciones 17
3.11. Dirección y seguimiento de los trabajos 26
3.12.1. Lugar de prestación de los servicios. 27
3.12.2. Obligaciones de información y documentación 27
3.13. Certificaciones de calidad y otras certificaciones 28
3.14. Control de calidad y garantía de los trabajos 28
4.4. Garantía definitiva de los trabajos 30
4.5. Protección de datos de carácter personal 30
4.6. Cumplimiento de la L.S.S.I-CE 32
4.7. Seguridad y confidencialidad de la información 32
5. DOCUMENTACIÓN Y REQUISITOS DE SELECCIÓN 34
5.1. Documentación a presentar 34
5.1.1. Para acreditar la capacidad jurídica y de obrar y el no estar incurso el contratista en prohibiciones de contratar: 34
5.1.2. Para acreditar la solvencia económica y financiera. 35
5.1.3. Para acreditar la solvencia técnica 35
6.2. Requisitos de la proposición técnica 38
6.3. Requisitos de la proposición económica 39
7.2.1. Características técnicas 42
7.2.2. Planificación y equipo de trabajo 45
7.2.3. Metodología y certificaciones 46
7.2.4. Acuerdo de niveles de servicio 46
ANEXO I: CUESTIONARIOS DE RECOGIDA DE INFORMACIÓN. 48
XXXXX XX: MODELO DECLARACIÓN RESPONSABLE. 49
ANEXO III: MODELO DE PROPOSICIÓN ECONÓMICA. 50
ANEXO IV: MODELO DE DECLARACIÓN RESPONSABLE SOBRE LA VIGENCIA DE LOS DATOS QUE CONSTAN EN LA CERTIFICACIÓN DE LA JUNTA CONSULTIVA DE CONTRATACIÓN ADMINISTRATIVA O DEL R.O.L.E.C.E. 51
Nota: Cualquier consulta en relación a este procedimiento de adjudicación debe dirigirse por correo electrónico a la dirección xxxxxxxxxxxx@xxxxxx.xx, indicando:
Asunto: número de expediente.
Cuerpo: nombre de la empresa, datos de la persona que realiza la consulta y texto de la consulta.
1. INTRODUCCIÓN
El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO) es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.
INTECO es un centro de desarrollo de carácter innovador y de interés público de ámbito nacional que se orienta a la aportación de valor, a la industria y a los usuarios, y a la difusión de las nuevas tecnologías de la información y la comunicación (TIC) en España, en clara sintonía con Europa.
Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las TIC, basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación.
La misión de INTECO es aportar valor e innovación a los ciudadanos, a las pymes, a las administraciones públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional.
Para ello, INTECO desarrolla actuaciones en las siguientes líneas:
• Seguridad: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados, y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT), la Oficina de Seguridad del Internauta y el portal de menores vinculada a la misma, apoyo al desarrollo de aplicaciones relacionadas con el DNIe y el Observatorio de la Seguridad de la Información, de los que se benefician ciudadanos, PYMES, Administraciones Públicas y el sector tecnológico.
• Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y que faciliten la integración progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las AA.PP.
• Calidad TIC. INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la
disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software.
• Formación: la formación es un factor determinante para la atracción xx xxxxxxx y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria.
Como iniciativa transversal que soporta las actuaciones de las líneas anteriormente mencionadas INTECO ha desarrollado una serie xx xxxxxxxx Web (xxx.xxxxxx.xx, xxx.xxx.xx, xxxxxxx.xxx.xx, xxxxxxxxx-xxxxxx.xxxxxx.xx, xxx.xxxxx.xx, etc) orientados a la prestación de servicios a ciudadanos y empresas, gestionar sus actividades formativas y difundir sus programas. Adicionalmente INTECO ha desarrollado otra serie de servicios, también accesibles desde Internet, específicos para administraciones públicas o empresas privadas. En este sentido uno de los objetivos del presente procedimiento es la contratación de servicios que permitan dotar de mayor seguridad a los que presta INTECO.
Por otro lado la Estrategia 2011-2015 del Plan Avanza 2 prevé, dentro del eje de fomento del uso y confianza en Internet, el reto de fomentar y potenciar una cultura de seguridad en ciudadanos y empresas así como la generalización del uso del DNIe. Para ello la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) ha encomendado a INTECO la gestión de diversas actuaciones destinadas a aumentar la confianza en los servicios de la Sociedad de la Información y potenciar el uso de los servicios basados en el DNIe. Parte de los servicios Web de INTECO estarán dedicados a este cometido.
La Sociedad, en su contratación se rige por las normas de Derecho imperativo de la Ley de Contratos del Sector Público (LCSP) referentes a entidades del Sector Público que no son Administraciones Públicas ni poder adjudicador, aplicándose en su defecto las normas de derecho privado.
Los interesados tienen acceso a las Instrucciones de contratación de la Sociedad a través del perfil de contratante publicado en la web.
2. OBJETO, ALCANCE, DURACIÓN Y PRESUPUESTO MÁXIMO
2.1. Objeto del contrato
El objetivo principal que se persigue con la contratación de estos servicios es reforzar, dentro de un plan de mejora continua, la seguridad de los servicios TIC alojados en la red de INTECO, disminuyendo las vulnerabilidades y evitando ataques a la misma que comprometan el funcionamiento de los servicios.
Se trata de una actuación preventiva y de respuesta, que disminuye eficazmente la posibilidad de aparición de incidentes de seguridad, identifica puntos de mejora en la seguridad de la información, analiza y evalúa los riesgos y ofrece respuestas para neutralizar las posibles amenazas.
El adjudicatario deberá disponer de todos los medios técnicos necesarios para la prestación de los servicios. Si fuera necesaria la instalación de dispositivos de hardware o software para una prestación adecuada del servicio de SOC tanto la instalación, como la actualización y el mantenimiento de todos los dispositivos serán por cuenta del adjudicatario. En su oferta indicará el régimen de cesión de los mismos. Los gastos derivados de estos servicios deben incluirse en el precio ofertado teniendo en cuenta lo previsto ene l punto 2.4 Presupuesto máximo y 6.3 Requisitos de la proposición económica de este pliego.
2.2. Alcance
El contrato tiene por objeto los servicios de Seguridad Gestionada en régimen de 24x7 para todos los servicios TIC de INTECO alojados en su CPD principal. Los detalles de los servicios requeridos se describen en el apartado de requisitos técnicos del presente pliego.
El adjudicatario, como mejora a lo solicitado en el presente pliego, podrá ofrecer ampliar el alcance de sus servicios para incluir también el CPD de respaldo en alta disponibilidad que INTECO prevé que tendrá en funcionamiento a partir de Enero de 2012.
2.3. Duración
El servicio 24 X 7 tendrá una duración máxima de VEINTICUATRO MESES.
El contrato tendrá la duración del servicio más el plazo que el adjudicatario haya indicado en la oferta que necesita para poner en marcha el servicio (plazo correspondiente al Hito 2 según se describe en el apartado “3.10 Planificación“), a contar a partir de la fecha en que INTECO comunique el inicio del contrato, distribuidos de la siguiente forma:
• El plazo necesario para poner en marcha el servicio que haya indicado el licitador en su oferta. No se podrá consignar en la oferta un plazo superior a 90 días.
• El servicio 24x7 inicial de DOCE MESES
• El contrato podrá prorrogarse a instancias de la Sociedad y de forma obligatoria para el contratista, de acuerdo con lo dispuesto en el art. 23 LCSP, por un periodo adicional no superior a DOCE MESES.
El adjudicatario se obliga a cumplir los plazos e hitos referidos en el presente pliego.
Todos los plazos establecidos en el presente pliego se entenderán referidos a días naturales, salvo indicación explicita a que se trata de días laborables.
El cumplimiento de estos plazos tiene carácter esencial, no obstante, dicho plazo podrá extenderse si se registran retrasos justificados a juicio de INTECO.
2.4. Presupuesto máximo
El presupuesto máximo y total del contrato para el periodo máximo de VEINTICUATRO MESES será de QUINIENTOS MIL EUROS (500.000,00 €), impuestos indirectos aplicables excluidos, siendo su distribución presupuestaria la siguiente:
• Contrato inicial de DOCE MESES, máximo DOSCIENTOS CINCUENTA MIL EUROS (250.000 €).
• Prórroga de DOCE MESES, máximo DOSCIENTOS CINCUENTA MIL EUROS (250.000 €).
Quedan incluidos dentro del presupuesto máximo, y por tanto el licitador los debe incluir tanto en la oferta total como en la repercusión de los precios unitarios:
- Los gastos relacionados con los desplazamientos (medios de transporte, alojamiento, dietas, etc.) para la realización de cualquier actividad relacionada con el objeto del contrato.
- Los demás gastos necesarios para el desarrollo del presente contrato. Se entenderá que en los precios ofertados se repercuten la instalación, actualización y mantenimiento, derechos cesión de los dispositivos necesarios para la prestación del servicio y cualquier otro gasto derivado que sea necesario para la correcta ejecución del contrato acorde con la solución técnica planteada por el adjudicatario.
- Las mejoras propuestas.
Todos los gastos no previstos en el presupuesto máximo deberán ser sometidos a aprobación previa, por escrito, de la Sociedad, que no asumirá ningún gasto que no haya sido previamente aprobado.
El adjudicatario deberá realizar su oferta económica sobre el importe máximo del contrato para el periodo máximo de DOCE MESES. Las ofertas que superen dicho importe total no serán tenidas en cuenta en el presente procedimiento de adjudicación.
La oferta debe hacerse con los impuestos indirectos aplicables excluidos, que deben figurar por separado de conformidad con lo dispuesto en el ANEXO III. El adjudicatario deberá expresar todos los importes que aparezcan en la oferta en euros con dos decimales.
2.5. Control económico y Facturación
La facturación de los trabajos realizados se efectuará sobre la base de una adecuada administración de recursos por parte del adjudicatario y teniendo en cuenta que se evaluarán todas aquellas incidencias que se hubieran originado en el cumplimiento de los objetivos planificados.
Cuando a juicio del Director Técnico, tales incidencias fueran imputables al adjudicatario, por falta de responsabilidad, incompetencia, desidia u otras causas de índole similar, la facturación resultante quedará minorada por el importe que corresponda de acuerdo a las penalizaciones establecidas en el presente Xxxxxx.
Se establecen 24 hitos de facturación correspondientes a los 24 meses de prestación de servicio, cuyo importe será la mensualidad correspondiente por los servicios durante el mes corriente.
La primera factura podrá emitirse a partir del momento en que se empiece a prestar servicio (Hito 2 según se describe en el apartado “3.10 Planificación“), y con una cadencia mensual a partir de entonces.
El pago de las facturas se realizará el día 5 ó 25 del mes que corresponda mediante transferencia bancaria a 60 días de la fecha de las facturas. Las facturas se emitirán de la forma legalmente establecida. Podrán enviar sus facturas electrónicas al buzón xxxxxxxxxxxx@xxxxxx.xx. Si las facturas se emiten en papel se podrán adelantar remitiéndolas al mismo buzón.
Las facturas emitidas por el adjudicatario deberán contener:
• Desglose de IVA que se corresponderá en contenido y forma con el albarán/justificante de los servicios prestados.
• Referencia al número de expediente 062/11
• Referencia, en su caso a números de pedido y partes de trabajo.
• Identificación del proyecto concreto al que se vincula el contrato, si procede.
• Conceptos por los que se factura, con el desglose correspondiente a cada uno de los conceptos.
• Nombre completo de INTECO: Instituto Nacional de Tecnologías de la Comunicación, S.A.
• C.I.F.: A-24530735.
• Dirección: Xxxxxxx Xxxx Xxxxxx, 00, 00000 Xxxx.
• Forma de pago
• Número de cuenta en la que realizar el ingreso.
Cumplido cada hito de facturación, los adjudicatarios deberán entregar al Director Técnico un informe exhaustivo de cumplimiento de todos los trabajos realizados.
3. REQUISITOS TÉCNICOS
3.1. Consideraciones Previas
En este apartado se describen los trabajos y servicios que conforman el objeto del contrato y que el adjudicatario deberá realizar, sin que la relación que aparece a continuación pretenda describir de manera exhaustiva las características de los servicios contratados, sino las líneas generales requeridas por INTECO.
Los referidos requisitos deben entenderse como requisitos mínimos, pudiendo los licitadores mejorarlos en sus ofertas. Las propuestas que ofrezcan características inferiores a los requisitos mínimos no serán tomadas en consideración en el presente procedimiento de adjudicación. Los licitadores pueden ofertar prestaciones superiores a las solicitadas, que se considerarán positivamente en la valoración técnica de la oferta.
El adjudicatario deberá desarrollar y aportar los conocimientos, metodologías, recursos humanos y técnicos necesarios para asegurar la prestación óptima del servicio.
El adjudicatario se obliga a guardar secreto y a hacerlo guardar al personal que emplee para la ejecución del contrato, respecto a toda la información de INTECO que con motivo del desarrollo de los trabajos y servicios llegue a su conocimiento, no pudiendo utilizarla para sí o para otra persona, entidad o firma.
3.2. Terminología
Con el fin de establecer un vocabulario común a lo largo del proceso de licitación y posterior prestación del servicio se definen los siguientes términos de uso común:
• Ataque
Un ataque es uno o varios eventos, provocados por personas no autorizadas, con impacto en la seguridad de la información. Desde la perspectiva de un observador neutral, el ataque puede ser exitoso (una intrusión), o fallido (un intento de ataque o ataque fallido).
Una intrusión implica un acceso forzado, mientras que el ataque sólo implica el intento de acceso forzado.
• Incidente
Evento que atenta contra la Confidencialidad, Integridad o Disponibilidad de la información y los recursos tecnológicos
• Intrusión
Una intrusión es el acceso ilegal o no autorizado a un sistema de información.
• SOC
Centro de Operaciones de Seguridad (COS).
• CPD
Centro de Proceso de Datos
3.3. Descripción del entorno actual
La red de INTECO cuenta con dos niveles de cortafuegos:
- Externo, que conecta toda la infraestructura a Internet y del que cuelga directamente la red
DMZ en la que se alojan todos los servicios públicos.
- Interno, del que cuelgan la red CPD que aloja todos los servicios corporativos (intranet, correo, servidores de ficheros, etc.) y la propia red interna de INTECO, que a su vez se encuentra segmentada en diferentes VLANs con diferentes niveles de acceso a la información.
3.3.2. Elementos de seguridad adicionales
INTECO cuenta con los siguientes elementos de seguridad adicionales desplegados en su infraestructura:
- Concentrador VPN
- AntiSpam
- Antivirus (correo electrónico), tanto appliance como software en cada equipo de usuario corporativo.
- Antivirus y filtro de contenidos (navegación web).
3.3.3. Plataforma de servicios
Prácticamente todos los servicios están basados en arquitecturas web con frontend-backend, siendo el frontend un servidor web con un servidor de aplicaciones (o motor de ejecución embebido para lenguajes de tipo PHP) y el backend un servidor de base de datos (en la mayoría de los casos se trata de una instancia en un servidor de bases de datos compartido). En este esquema, existe un proxy inverso para centralizar el acceso a todos los servicios. El sistema Operativo más común es Linux. Prácticamente todos los servidores están virtualizados.
3.4. Descripción del entorno previsto
En el primer trimestre de 2012 INTECO prevé disponer de un centro de respaldo en alta disponibilidad, en configuración activo-pasivo, capaz de asumir los servicios más críticos ante un fallo del CPD principal (actual). La prestación en el CPD de respaldo de los servicios de seguridad gestionada solicitados, no forma parte del alcance del presente pliego.
Sin embargo, la ampliación de dichos servicios para el CPD de respaldo será considerada como una mejora valorable (ver apartado “7.2.5 Mejoras Para ello será necesario explicar el alcance y describir la solución propuesta para extender los servicios objeto del contrato a este centro de respaldo. La prestación del servicio en este segundo CPD, se produciría exclusivamente a partir del momento en que la alta disponibilidad esté funcionando.
3.5. Información técnica adicional sobre el entorno actual o previsto
La información de detalle sobre la red de INTECO, o las previsiones de red futura, se consideran confidenciales por razones de seguridad. Si algún licitador considera que esa información pudiera ser necesaria para la realización de la oferta, INTECO facilitará a las empresas que así lo solicite la información que sea necesaria para la realización de la mejor oferta. INTECO podrá solicitar justificación de la necesidad de dicha información.
El procedimiento a seguir será el siguiente:
1. La empresa que vaya a presentarse al pliego y requiera de información adicional, la solicita a INTECO por medio del canal establecido para las dudas, antes de los seis días antes para su finalización del plazo de presentación de ofertas.
2. INTECO le envía acuerdo de confidencialidad por correo electrónicamente.
3. La empresa que desea la información adicional devuelve el acuerdo firmado. En caso de que así se le haya solicitado previamente, también devuelve la justificación de la necesidad de la información.
4. INTECO suministra la información solicitada en caso de estar disponible. Esta información podrá ser suministrada por escrito, o citando a los representantes de las empresas en las oficinas de INTECO, donde se les darán las explicaciones necesarias en persona, y además tendrán oportunidad de repreguntar.
3.6. Requerimientos de los servicios solicitados
En los siguientes apartados se detallan los requerimientos mínimos exigidos por INTECO al ofertante y los requerimientos opcionales que a entender de INTECO puedan mejorar el servicio prestado, no constituyendo esta relación un listado exhaustivo, pudiendo el ofertante ampliar dicha relación en número y alcance.
Los requerimientos se identifican con un código de dos letras y un número secuencial seguido de un sufijo que indica su carácter de mínimo exigido (sufijo –R) u opcional (sufijo –M).
Este servicio supervisará el estado de los activos de INTECO y generará las alertas correspondientes en caso de eventos que puedan afectar a la seguridad de la información.
[MO1-R] Detección y recolección de evidencias de las incidencias maliciosas o no que ocurran en la infraestructura de INTECO y que puedan poner el peligro la seguridad de la información.
[MO2-R] Discernir entre falsos positivos o negativos analizando las diferentes alertas detectadas.
[MO3-R] Recolectar los eventos de seguridad de diferentes fuentes de información mediante sondas locales.
[MO4-R] Procesar y correlar los eventos recolectados en tiempo real para detectar sucesos relevantes en la infraestructura gestionada que puedan ser indicativas de un ataque y emitir las alertas oportunas.
[MO5-R] Integrar fuentes de información procedentes de múltiples dispositivos y fabricantes. [MO6-R] Adaptar las sondas de recolección a nuevas fuentes de información no previstas
inicialmente, tanto en el método de recolección como en el formato mismo de la
información.
[MO7-M] Monitorizar información sobre el estado de los dispositivos, sistemas, aplicaciones y servicios desde el punto de vista de la disponibilidad y el rendimiento.
[MO8-M] Integrar en el esquema de monitorización la información procedente de la plataforma de monitorización actualmente operativa en INTECO (Nagios) o en sistemas similares.
[MO9-R] Almacenar y resguardar los eventos recolectados durante un amplio rango de tiempo para, en caso de necesidad, realizar un análisis forense y obtener datos relativos al origen, destino y traza de los incidentes de seguridad.
[MO10-R] Disponibilidad del servicio en 24x7.
[MO11-R] Utilizar canales de comunicación seguros con cifrado de datos y verificación de origen y destino.
[MO12-M] Disponer xx xxxxxxx de comunicación alternativos a la conexión a Internet de INTECO (fuera xx xxxxx) y de mecanismos de conmutación automática de uno a otro en caso de indisponibilidad del acceso principal.
3.6.2. Soporte a Incidentes [SI]
Este servicio reacciona ante las alertas generadas por el servicio de Monitorización y realiza todas las acciones necesarias para la contención o neutralización de los posibles ataques.
[SI1-R] Clasificar y priorizar las diferentes alertas generadas por el proceso de monitorización.
[SI2-R] Contener o neutralizar los ataques detectados de acuerdo con los procedimientos establecidos junto con INTECO.
[SI3-R] Notificar mediante los canales establecidos a los interlocutores que formen parte del proceso de escalado y toma de decisiones que establezca INTECO en el lanzamiento del servicio.
[SI5-R] Disponibilidad del servicio en 24x7.
3.6.3. Gestión de vulnerabilidades [GV]
Este servicio proporciona un nivel de alerta temprana ante amenazas emergentes, aunque estas aún no se hayan materializado en ataques a los activos de INTECO.
[GV1-R] Alertar de vulnerabilidades emergentes (por ejemplo, día 0, ataques a gran escala, etc.) que puedan afectar a la seguridad de los activos de INTECO.
[GV2-M] Proponer planes de actuación para minimizar el riesgo de un ataque aprovechando una vulnerabilidad emergente.
[GV3-M] Implementar los cambios necesarios en los activos protegidos para minimizar el riesgo de un ataque que aproveche una vulnerabilidad emergente.
[GV4-R] Disponibilidad del servicio en 24x7.
3.6.4. Administración y Operación [AO]
Este servicio asume la administración y operación de la infraestructura de seguridad de INTECO. [AO1-R] Gestionar la política de seguridad de los dispositivos.
[AO2-R] Gestionar las versiones de software de los dispositivos. [AO3-R] Aplicar parches.
[AO4-R] Gestionar configuraciones.
[AO5-R] Atender los requerimientos de INTECO en cuanto a solicitud de cambios sobre la infraestructura de seguridad gestionada.
[AO6-M] Optimizar configuraciones para la mejora del rendimiento.
[AO7-R] Disponibilidad del servicio en 12x5 (de lunes a viernes no festivo en Xxxx, xx 0 xx xx xxxxxx x 0 xx xx xxxxx).
3.6.5. Centro de Operaciones de Soporte [SO]
El Centro de Operaciones de Soporte será el conjunto de recursos humanos, técnicos, procedimientos y metodologías que proporcionan todos los servicios anteriormente indicados, siendo el punto de contacto entre INTECO y el adjudicatario para la operación de todos los servicios.
[SO1-R] Prestar el servicio desde un centro ubicado dentro de la Unión Europea.
[SO2-R] Operar con una metodología alineada y armonizada con xxxxxx y estándares de referencia como ITIL, ISO 27001, CERT de Carnegie Mellon, prácticas del SANS Institute, entre otras.
[SO4-R] Emitir con periodicidad mensual informes de seguimiento de los diferentes servicios objeto del contrato.
[SO5-R] Estar dotado de una estructura funcional con diferentes áreas operativas y niveles de especialización.
[SO6-R] Disponer de un sistema de Service Desk compatible con ITIL.
[SO7-R] Disponer de un módulo de manejo de incidentes de seguridad integrado en el sistema de Service Desk.
[SO8-R] Disponer de un módulo de CMBD integrado con el sistema de Service Desk.
[SO9-R] Disponer de un módulo para la evaluación de la calidad del servicio a clientes integrado con el sistema de Service Desk.
[SO10-R] Disponer de un módulo para la monitorización y cálculo de los Niveles de Servicio.
[SO11-R] Disponer de un portal personalizado para el acceso a los diferentes elementos del servicio (apertura, consulta y cierre de solicitudes de servicio), consulta de informes, estado en tiempo real de la infraestructura de seguridad.
[SO12-R] Asegurar los accesos al portal de servicio ([SO11-R]) mediante el uso de protocolos seguros y autenticación de usuarios.
[SO13-M] Auditar los accesos al portal de servicio ([SO11-R]).
[SO14-R] Disponer de medidas de tolerancia a fallos en los elementos que sustentan el funcionamiento del SOC, tanto en los sistemas de información como en los elementos auxiliares (electricidad, refrigeración, comunicaciones, etc.).
[SO15-R] Disponer de medios de control de acceso físico al SOC. [SO16-R] Disponer de un Plan de Continuidad.
[SO17-R] Disponer de áreas físicamente separadas para realizar sesiones de análisis de problemas sin afectar a la operación del SOC.
[SO18-M] Disponer de acuerdos con fabricantes y desarrolladores de soluciones de seguridad y redes.
[SO19-M] Disponer de acuerdos de colaboración con entidades relacionadas con la gestión de la seguridad (CERTs, SOCs, etc.).
[SO20-M] Garantizar la formación continua de los recursos humanos del SOC involucrados en la gestión de la seguridad.
[SO21-R] Disponer de personal con certificaciones técnicas relacionadas con la seguridad y la gestión de los sistemas de información.
3.6.6. Elementos necesarios para la prestación del servicio [EN]
El ofertante deberá suministrar e instalar en la infraestructura de INTECO todos los elementos de seguridad necesarios para la prestación del servicio, adicionales a los equipamientos propiedad de INTECO que ya están instalados en su red
En concreto y como mínimo, se deberán suministrar e instalar elementos capaces de proporcionar las funcionalidades que se describen a continuación:
[EN1-R] Analizar, detectar y bloquear ataques a aplicaciones web. La solución propuesta deberá ser capaz de mantener la trazabilidad de las sesiones web y las consultas a las bases de datos generadas por las mismas, detectar comportamientos anómalos y bloquear posibles ataques.
[EN2-R] Recolectar eventos en múltiples dispositivos y elementos lógicos, tanto de la capa de red y seguridad, como de sistemas operativos, aplicaciones y servicios, correlar esta información en base a reglas flexibles que permitan detectar patrones de ataque y generar alertas. La solución deberá soportar diversos métodos de recolección: reenvío mediante syslog, polling y traps SNMP, consultas a bases de datos, acceso a ficheros de registro, etc.
[EN3-R] Mantener la disponibilidad de los servicios protegidos ante eventuales fallos en los elementos de seguridad instalados por el adjudicatario. En ningún caso el fallo de uno de los elementos deberá ser motivo de indisponibilidad de los servicios que protege.
[EN4-R] Monitorizar el estado operativo de los elementos instalados por el adjudicatario.
[EN5-R] Reponer el estado operativo de una funcionalidad afectada por un fallo en un plazo no superior a 24 horas.
3.7. Acuerdos de nivel de servicio y penalizaciones
La revisión del grado de cumplimiento de dichos niveles de servicio se realizará mensualmente por parte de INTECO. En caso de existir un incumplimiento de dichos niveles, INTECO se reserva el derecho de aplicar las penalizaciones que se indican en el presente pliego. Estas penalizaciones se detraerán, salvo indicación específica en contra, sobre el importe a facturar por los servicios afectados en el mes en el que se produce el incumplimiento. Si no fuere suficiente o posible INTECO detraerá el importe de las penalizaciones de los importes pendientes de pago.
En el contrato podrán establecerse penalizaciones por la demora del adjudicatario en la realización del contrato o por cualquier otra causa justificada sin perjuicio de las previstas en el presente punto.
La imposición de penalizaciones no impide a INTECO el exigir al adjudicatario el cumplimiento de sus obligaciones contractuales ni la indemnización de daños y perjuicios a que INTECO pudiera tener derecho.
En el supuesto de que el adjudicatario incumpliera cualquiera de los plazos previstos en el pliego, INTECO, sin perjuicio de las penalizaciones que puedan establecerse en el presente pliego,
impondrá, en virtud de la presente cláusula penal que tiene carácter cumulativo y no sustitutivo a los efectos del artículo 1152 del Código Civil, una penalización igual al TRES por ciento (3%) sobre el precio del Contrato por cada hora de retraso, sin justificación aceptada por INTECO. En caso de retraso por periodos inferiores a una hora, se prorratearán por minutos las penalizaciones que correspondan.
Cuando a juicio del Director Técnico las incidencias que se hubieran originado en el cumplimiento de los objetivos planificados fueran imputables al adjudicatario, por falta de responsabilidad, incompetencia, negligencia u otras causas de índole similar, se impondrá una penalización equivalente al precio de los trabajos realizados, en las condiciones señaladas en el presente punto.
La imposición de penalizaciones no impide a INTECO el exigir al adjudicatario el cumplimiento de sus obligaciones contractuales ni la indemnización de daños y perjuicios a que INTECO pudiera tener derecho.
3.7.1.1. Acuerdo de Nivel de Servicio
Un Acuerdo de Nivel de Servicio o ANS (también conocido como Service Level Agreement o SLA), es un acuerdo plasmado normalmente en un documento de carácter legal por el que una compañía que presta un servicio a otra se compromete a prestar el mismo bajo unas determinadas condiciones y con unas prestaciones mínimas.
El acuerdo de nivel de servicio se basa en indicadores de nivel de servicio que permiten cuantificar de manera objetiva determinados aspectos del servicio prestado. Estos indicadores se miden mediante aplicaciones que registran las incidencias en el servicio, el momento en el que son comunicadas y el momento en el que son cerradas. La diferencia entre estos dos últimos datos constituye el indicador en bruto desagregado, indicador que puede ser procesado para obtener promedios, desviaciones u otros indicadores normalizados.
El ofertante deberá proponer a INTECO un modelo de acuerdo de nivel de servicio que garantice la prestación de los servicios contratados dentro de unos límites aceptables. Independientemente del contenido de dicho acuerdo de niveles de servicio, el ofertante se comprometerá al menos a garantizar a INTECO que los servicios serán prestados con los niveles mínimos que se detallan a continuación.
3.7.1.2. Niveles mínimos de servicio
Nombre | Descripción | Nivel de servicio | Entregables | Cobertura (tiempo) | Criterio para aplicar penalización |
Control de cambios | Este nivel de servicio cubre la aplicación correcta y oportuna de los cambios realizados sobre las configuraciones de la | La medición para este nivel de servicio se describe a continuación: La aplicación de cambios de acuerdo a la siguiente tabla: | Informe mensual con el resumen de los cambios realizados sobre la | 24 X 7 X 365 | Que la aplicación de controles de cambio se realice en promedio |
infraestructura de seguridad gestionada desde el SOC y se calcula a través de: Tiempo promedio de aplicación de control de cambios Entrega, el 10° día hábil del mes siguiente, del “Informe mensual de eventos de control de cambio” atendidos durante el periodo. | Prioridad | Tiempo de aplicación | infraestructura de seguridad gestionada desde el SOC. | mensual en tiempos mayores a los definidos en la tabla de prioridades. | ||||
0 - | 30 minutos | |||||||
1 – Alta | 4 horas | |||||||
2 – Media | 8 horas | |||||||
3 - Baja | Planeado | |||||||
Este nivel de servicio sólo aplica para la infraestructura de seguridad gestionada de forma directa por el SOC del licitante. La prioridad de cada evento será acordada de manera previa conjuntamente entre el personal del licitante e INTECO. Para cambios masivos (+ 5 en un solo evento) se acordarán los tiempos de aplicación en común acuerdo entre el licitante e INTECO. | ||||||||
Nombre | Descripción | Nivel de servicio | Entregables | Cobertura (tiempo) | Criterio para aplicar penalización |
Soporte a fallos | Este nivel de servicio cubre el tiempo de atención sobre fallos en la infraestructura de seguridad gestionada desde el SOC, y se calcula a través de: Tiempo promedio de atención (El tiempo que transcurre entre que se recibe la solicitud de soporte hasta que sea asignado un número de evento) Tiempo promedio de respuesta (El tiempo que transcurre entre que se asigna el número de evento hasta que el personal | La medición para este nivel de servicio se describe a continuación y será vía telefónica de acuerdo a la siguiente tabla: El tiempo de atención del fallo: Todas las prioridades 30 minutos Para el tiempo de respuesta la medición será por vía telefónica la cual será de acuerdo a la siguiente tabla: Para el tiempo de restauración: Todas las prioridades 24 horas Este nivel de servicio sólo aplica para la infraestructura de seguridad gestionada por el SOC. | Informe mensual de eventos de soporte a fallos atendidos durante el periodo sobre la infraestructura de seguridad gestionada desde el SOC. | 24 X 7 X 365 | Que el tiempo de atención, respuesta y restauración en eventos de soporte a fallas se realice en promedio mensual en tiempos mayores a los definidos en la tabla de prioridades. |
Prioridad | Tiempo de Respuesta |
Alta | 90 Minutos |
Media | 3 horas |
Baja | Programado |
del licitante inicia actividades de soporte) Tiempo promedio de restauración (El tiempo que transcurre entre que se diagnostica un fallo en un dispositivo hasta que se restaura su funcionamiento) Entrega, el 10° día hábil del mes siguiente, del “Informe mensual de eventos de soporte a fallas” atendidos durante el periodo. |
Nombre | Descripción | Nivel de servicio | Entregables | Cobertura (tiempo) | Criterio para aplicar penalización |
Monitorización de actividad sospechosa | Este nivel de servicio cubre la monitorización en línea de la infraestructura de seguridad para detectar la existencia de actividades sospechosas y se calcula a través de: Tiempo promedio de notificación de actividades sospechosas Tiempo promedio de entrega/envío de dictamen de actividades sospechosas Entrega, el 10° día hábil del mes siguiente, del “Informe mensual de eventos actividad sospechosa” | La medición para este nivel de servicio se describe a continuación: La notificación de actividades sospechosas en un máximo de 30 minutos posterior a su detección. Envío del dictamen de actividades sospechosas en un máximo de 90 minutos después de su detección. Este nivel de servicio sólo aplica para la infraestructura tecnológica de seguridad administrada de forma directa por el licitante. | Informe mensual de eventos de actividad sospechosa atendidos durante el periodo sobre la infraestructura tecnológica de seguridad. | 24 X 7 X 365 | Que la notificación a partir de la confirmación de la actividad sospechosa se realice en promedio mensual en más de 30 minutos. Y que el envío del dictamen de la actividad sospechosa se realice en promedio mensual en más de 90 minutos. |
atendidos durante el periodo. |
Nombre | Descripción | Nivel de servicio | Entregables | Cobertura (tiempo) | Criterio para aplicar penalización |
Gestión de incidentes de seguridad | Este nivel de servicio cubre la confirmación, notificación y contención de incidentes de seguridad derivados de una Actividad Sospechosa que se haya presentado sobre la infraestructura de seguridad. Este nivel de servicio se calcula a través de: Tiempo promedio de notificación/contención de incidentes de seguridad La acción a medir (notificación o contención) será la que se haya predefinido en los procedimientos de actuación. Acción de contención se considera aquella acción tomada para evitar que el ataque sea exitoso. | La medición para este nivel de servicio se describe a continuación: En los casos en los que una actividad sospechosa se convierta en un incidente de seguridad se realizará la notificación en un máximo de 30 minutos posterior a su confirmación. Una vez confirmado el incidente de seguridad, se tomarán las acciones de contención o notificación que se hayan definido junto con INTECO en los procedimientos de operación. Los cambios que se deriven de la ejecución de las acciones de contención quedarán sujetos al nivel de servicio de Control de Cambios con prioridad ‘Emergencia’. | Dentro del Informe mensual de eventos de actividad sospechosa atendidos durante el periodo, se integrará un “Resumen de los incidentes de seguridad presentados durante el periodo”. | 24 X 7 X 365 | Que la notificación/contención a partir de la declaración del incidente de seguridad se realice en promedio mensual en más de 30 minutos. |
Nombre | Descripción | Nivel de servicio | Entregables | Cobertura (tiempo) |
Entrega de Informes | Entrega de Informes mensuales de servicios sujetos a algún nivel de servicio y se calcula a través de: Tiempo de entrega de Informes | La medición para este nivel de servicio se describe a continuación: La entrega de los Informes se hará como máximo el décimo día hábil del mes siguiente. | Informe de cada nivel de servicio comprometido | Mensual |
A continuación se definen los indicadores objetivos por los que mensualmente se va a evaluar la prestación del servicio, de acuerdo con las definiciones y niveles de servicio indicados en el apartado
3.7.1.2. El incumplimiento en los valores comprometidos supondrá la aplicación de las correspondientes penalizaciones.
• Indicador 1, CCA: Tiempo promedio de aplicación de cambios.
• Indicador 2, SFA: Tiempo promedio de atención ante fallos.
• Indicador 3, SFR: Tiempo promedio de respuesta ante fallos.
• Indicador 4, SFE: Tiempo promedio de restauración ante fallos.
• Indicador 5, ASN: Tiempo promedio de notificación de actividades sospechosas.
• Indicador 6, ASD: Tiempo promedio de envío del dictamen sobre actividades sospechosas.
• Indicador 7, ISN: Tiempo promedio de notificación de incidentes de seguridad.
• Indicador 8, EIM: Tiempo promedio de envío de informes mensuales de servicio.
Los ocho indicadores anteriores se evaluarán mensualmente.
Según se explicó en el apartado “2.1 Objeto del contrato“, el objetivo principal que se persigue con la contratación de estos servicios es evitar que los intentos de intrusión o ataques, realizados desde fuera de la red de INTECO, contra los servicios TIC alojados en dicha red tengan éxito. Por tanto se espera del adjudicatario que vea en la consecución de este objetivo la medida principal del éxito de su prestación de servicio, y por tanto el punto principal en el que recae su riesgo empresarial en cuanto a la prestación del servicio se refiere. Así, se fijan las siguientes penalizaciones:
• En caso de que se sufra un ataque o intrusión exitosa, que afecte a alguno de los servicios alojados en la red de INTECO, que cause daño a los intereses, prestigio o imagen de INTECO, y del que los técnicos de INTECO puedan demostrar que habría
podido ser evitado mediante la correcta configuración de reglas en cualquiera de los elementos de seguridad, se fija una penalización equivalente a una mensualidad.
• En caso de que se sufra un segundo ataque o intrusión exitosa, que afecte a alguno de los servicios alojados en la red de INTECO, que cause daño a los intereses, prestigio o imagen de INTECO, y del que los técnicos de INTECO puedan demostrar que habría podido ser evitado mediante la correcta configuración de reglas en cualquiera de los elementos de seguridad, se fija una penalización equivalente a tres mensualidades.
• En caso de que se sufra un tercer ataque o intrusión exitosa, que afecte a alguno de los servicios alojados en la red de INTECO, que cause daño a los intereses, prestigio o imagen de INTECO, y del que los técnicos de INTECO puedan demostrar que habría podido ser evitado mediante la correcta configuración de reglas en cualquiera de los elementos de seguridad, se fija una penalización equivalente a tres mensualidades más la posibilidad de cancelación del contrato en la fecha que INTECO determine.
En caso de que en los procedimientos pactados entre el adjudicatario e INTECO se hubiera establecido que la acción de contención del tipo de ataque producido exclusivamente podía tomarla INTECO, y que el adjudicatario hubiera alertado en tiempo y forma a INTECO, la penalización anterior no tendría lugar.
En caso de que el adjudicatario supere el plazo de comienzo de prestación de servicio comprometido en su oferta (plazo correspondiente al Hito 2 descrito en el apartado 3.10 Planificación), se aplicará una penalización por cada semana de retraso equivalente a un cuarto del precio mensual ofertado.
En el apartado (3.7.1.3) se definieron una serie de indicadores que permitirán evaluar el nivel de servicio objetivo mínimo adecuado para la prestación objeto del contrato. Niveles de servicio por debajo de este umbral estarán sujetos a penalizaciones económicas que permitirán adecuar el coste de la prestación a la calidad de servicio recibida y medida objetivamente a través de los indicadores.
El cumplimiento de los niveles de servicio se revisará mensualmente, para ello el prestador deberá remitir con periodicidad mensual al INTECO un informe que detalle las estadísticas de la actividad del servicio durante el periodo, con el detalle suficiente que permita evaluar dicho cumplimiento.
De manera general, las penalizaciones responderán a la siguiente formulación:
Penalización (% de decremento en facturación mensual) = (fi1 + fi2 +... + fi8)
Donde:
fin es el factor para el indicador in, cuyo valor dependerá de la severidad de la desviación con respecto al valor esperado para dicho indicador.
El procedimiento de cálculo de la penalización será el siguiente:
• Se analizará cada indicador, comparándolo con el valor obtenido para el servicio prestado en el mes objeto de revisión con los valores de referencia vigentes en el ANS.
• En caso de incumplimiento al no alcanzar al mínimo exigido, se calculará el porcentaje de desviación respecto al objetivo y se determinará su severidad calificándola como leve, moderada o grave para determinar el valor de fin
• Se sumarán los resultados obtenidos de aplicar los 2 pasos anteriores para cada indicador con incumplimiento.
Los valores de fin se recogen en la siguiente tabla:
Desviación leve | Desviación media | Desviación grave | |||
% | fi | % | fi | % | fi |
< 15% | 2,00 | 15% - 30% | 5,00 | > 30% | 10,00 |
Tomando como referencia la planificación explicada en el apartado 3.10, los dispositivos de seguridad quedan instalados a partir del Hito 1, comenzando después la fase de estabilización. Durante esta fase no se aplican ni penalizaciones ni deducciones por incumplimiento de niveles de servicio. Comienzan a aplicarse a partir del Hito 2.
3.8. Jefe de Proyecto
El licitador propondrá en su oferta un jefe de proyecto permita abordar con garantías las tareas objeto del contrato. Sus cuyas funciones serán las siguientes:
• Dirigir a los medios personales que presten los servicios de instalación y configuración de la solución propuesta, impartiendo al efecto las órdenes e instrucciones necesarias para la ejecución de los trabajos.
• Realizar las funciones de contacto directo y coordinación de los trabajos con INTECO.
INTECO comunicará todas las directrices relativas a la supervisión general de los trabajos objeto del contrato al Jefe de Proyecto y en ningún caso dará órdenes o instrucciones directas a los medios técnicos que de forma concreta realicen dichos trabajos.
INTECO en modo alguno ni bajo ningún título ostentará la condición de empleador respecto de los trabajadores contratados por cuenta propia o ajena por el adjudicatario, que presten directa o indirectamente servicios para INTECO.
Los profesionales que como equipo principal sean responsables de la ejecución del trabajo, deberán disponer de la cualificación necesaria y de la titulación adecuada a la naturaleza de los trabajos, así como conocimiento y experiencia en el sector.
Los licitadores deberán proponer de manera clara la metodología a seguir durante la prestación de los servicios, cumpliendo los objetivos fijados en el presente Pliego de Condiciones Técnicas. En la metodología, el licitador deberá detallar la forma en la que abordará cada una de las tareas definidas para el proyecto. El nivel de detalle aportado será el necesario para expresar que el método propuesto permitirá alcanzar los objetivos fijados.
Deberá suministrarse a INTECO la descripción del proyecto necesario para poder prestar el servicio, así como la planificación temporal de tareas e hitos. Si bien cada licitante podrá suministrar la planificación que mejor se acomode a su solución, como mínimo deberá tener en cuenta el siguiente esquema general:
• Hito 0 – Firma del contrato entre INTECO y el adjudicatario. Es el momento a partir del cual empiezan a computarse todos los compromisos de plazo de tiempo para alcanzar otros hitos de la planificación.
• Fase I – Análisis y Diseño: En esta fase el adjudicatario adquirirá los detalles sobre la infraestructura y servicios de INTECO y realizará el diseño técnico de la solución. A la finalización de esta fase el adjudicatario deberá entregar a INTECO un informe con los detalles del diseño propuesto que deberá ser aprobado por el equipo técnico de INTECO.
• Fase II – Instalación: En esta fase el adjudicatario realizará la instalación física del equipamiento necesario para la prestación del servicio y lo integrará en la infraestructura de INTECO.
• Fase III – Diseño de procedimientos: A lo largo de esta fase, el adjudicatario elaborará los procedimientos operativos del servicio, que deberán ser aprobados por el Jefe de Proyecto designado por INTECO. A la finalización de la misma el adjudicatario deberá hacer entrega a INTECO de una copia de todos los procedimientos elaborados.
• Hito 1 – Se han terminado las fases I, II y III, y se comienza a prestar servicio en pruebas. Todos los dispositivos de seguridad quedan instalados, a falta sólo de la fase de estabilización. El licitador deberá indicar claramente a que plazo máximo se compromete para la consecución de este hito.
• Fase IV – Estabilización: Durante esta fase el adjudicatario efectuará todas las pruebas necesarias sobre el funcionamiento del servicio y de los elementos de seguridad instalados para poder garantizar su correcto funcionamiento. Durante esta fase no serán aplicables las penalizaciones descritas en el apartado 3.7.1.4.
• Hito 2 – Se comienza a prestar el servicio en modo normal, y ya son de aplicación todas las penalizaciones anteriormente descritas. A partir de este momento comienza el periodo de 24 meses durante el que el adjudicatario prestará el servicio y por el que puede facturar. El
• Fase V – Prestación normal del servicio: Durante la prestación normal del servicio, el adjudicatario podrá y deberá seguir afinando las reglas de los dispositivos de seguridad instalados, ya sea para las aplicaciones existentes o para otras nuevas que INTECO pueda instalar. Igualmente, y de acuerdo con INTECO, se podrán mejorar los procedimientos.
• Fase VI – Devolución del servicio: Antes de la finalización del contrato, el adjudicatario se compromete a facilitar el retorno de toda la documentación generada a lo largo del contrato y de todos los registros de actividad del servicio y configuraciones almacenados en medios digitales. El adjudicatario deberá destruir toda esta información una vez haya sido transferida a INTECO y mostrar evidencias de ello. Igualmente, el adjudicatario colaborará de forma diligente en la transferencia tecnológica a terceras partes designadas y autorizadas por INTECO. Todos los elementos instalados por el adjudicatario serán retirados de la infraestructura de INTECO, colaborando en las tareas de reconfiguración necesarias para garantizar la disponibilidad y operatividad de los servicios protegidos. Todos los costes derivados de estas tareas estarán incluidos en el importe del contrato. El licitador deberá indicar claramente que plazo de tiempo máximo requiere para realizar esta Fase VI. En cualquier caso, ni el servicio ni las obligaciones del adjudicatario podrán darse por concluidas hasta que esta fase haya sido completada.
• Hito 3 – Finalización del servicio. Cuando se ha completado la Fase VI, el servicio se da por concluido y cesa la relación contractual con el adjudicatario.
Las fases anteriormente descritas podrán solaparse, con el objeto de reducir los plazos necesarios para alcanzar los hitos descritos.
El plazo máximo que se aceptará para llegar al Hito 2 es de 90 días a partir de la fecha de firma del contrato.
3.11. Dirección y seguimiento de los trabajos
Corresponde a INTECO la supervisión de los trabajos y servicios, proponer las modificaciones convenientes o, en su caso, proponer la suspensión de los mismos si existiese causa suficientemente motivada.
Para la supervisión de la marcha de los trabajos INTECO designará a un Director Técnico. Sus funciones en relación con el presente pliego serán:
a) Velar por el adecuado cumplimiento de los servicios contratados dentro de los niveles de servicio establecidos en el presente pliego.
b) Fijar reuniones periódicas entre INTECO y el adjudicatario con el fin de determinar, analizar y valorar las incidencias que, en su caso, se produzcan durante la ejecución del contrato.
Para las labores de coordinación, en aspectos que excedan la relación con los medios personales, el adjudicatario nombrará un Jefe de Proyecto como interlocutor único con el Director Técnico.
Independientemente de las reuniones ya planificadas, el Director Técnico podrá convocar cuantas reuniones de seguimiento del contrato considere oportunas para asegurar el cumplimiento de los servicios. El adjudicatario será responsable de la redacción y distribución de las correspondientes actas de Reunión.
3.12. Forma de ejecución
3.12.1. Lugar de prestación de los servicios.
Tanto el CPD principal al que hay que prestar servicio, como el de respaldo, están en León, aunque en diferentes ubicaciones.
3.12.2. Obligaciones de información y documentación
Durante la prestación de los servicios objeto del contrato, el adjudicatario se compromete, en todo momento, a facilitar a las personas designadas por el Director Técnico de INTECO, la información y documentación que éstas soliciten para disponer de un pleno conocimiento de las circunstancias en que se encuentran los servicios, así como de los eventuales problemas que puedan plantearse y de las tecnologías, métodos y herramientas utilizados para resolverlos.
En este sentido, el adjudicatario deberá informar al Director Técnico establecido por INTECO sobre distintos aspectos relacionados con el funcionamiento y la calidad de los servicios prestados. Entre ellos será necesario presentar un informe, en el formato y con la periodicidad que defina INTECO, de cumplimiento de los servicios.
Asimismo el adjudicatario estará obligado a asistir y colaborar, a través del personal que designe a este propósito, en las reuniones de seguimiento del proyecto definidas por los responsables de INTECO, quién se compromete a citar con la debida antelación al personal del adjudicatario.
Como parte de las tareas objeto del contrato, el adjudicatario se compromete a generar la documentación de los trabajos realizados, de acuerdo con los criterios que establezca en cada caso Director Técnico de INTECO. Toda la documentación generada por el adjudicatario durante la ejecución del contrato será propiedad exclusiva de INTECO sin que el contratista pueda conservarla, ni obtener copia de la misma o facilitarla a terceros sin la expresa autorización por escrito de XXXXXX, que la concederá, en su caso y con expresión del fin, previa petición formal del adjudicatario.
Salvo indicación expresa en contrario, las especificaciones, informes, diagramas, planos, dibujos y cualquier otro documento relativo al objeto del contrato, serán aportados en castellano, cualquiera que sea el soporte y/o formato utilizado para la transmisión de información.
3.13. Certificaciones de calidad y otras certificaciones
Se valorará muy positivamente que el licitador posea algún tipo de certificación en calidad, cuyo alcance cubrirá los procesos y actividades objeto del contrato, expedida por entidades de certificación acreditadas.
Se valorará que el licitador posea otros tipos de certificaciones relacionados con las tecnologías de la información y las comunicaciones, la seguridad y la gestión medioambiental.
INTECO se reserva el derecho a requerir al licitador documentación adicional de su Sistema de Gestión de Calidad que afecte a los procesos o productos objeto del contrato.
El ofertante deberá estar en posesión de la certificación SGSI ISO 27001 que cubra los procesos y actividades objeto del contrato.
El adjudicatario se compromete a cumplir con las instrucciones que reciba de INTECO requeridas para el mantenimiento del sistema de gestión de calidad, el sistema de gestión energética (SGE) y el sistema de gestión SGSI ISO 27001 que posee INTECO.
3.14. Control de calidad y garantía de los trabajos
Sin perjuicio de las obligaciones asumidas en su oferta, el adjudicatario, a través del supervisor designado a tal efecto, deberá seguir los procedimientos de aseguramiento de la calidad existentes en la ejecución del contrato.
Los adjudicatarios reconocen el derecho de INTECO a examinar por medio de auditores, externos o propios, el fiel cumplimiento de los acuerdos de nivel de servicio.
INTECO tendrá derecho a llevar a cabo auditorias de las actividades de los adjudicatarios para asegurarse que la prestación de los servicios se realiza de acuerdo con lo establecido en el presente Xxxxxx. Todo el material e información requerida para dichas inspecciones y auditorias por los representantes de INTECO estará disponible sin restricciones. INTECO notificará al adjudicatario con dos semanas de antelación la auditoria y con un día de antelación la inspección a realizar, y el adjudicatario tendrá la obligación de:
• Facilitar el acceso al material solicitado por el grupo auditor.
• Designar personas responsables que acompañen a los auditores.
• Facilitar un entorno de trabajo adecuado en el mismo lugar en que tiene lugar la auditoría.
• Cooperar con el auditor.
• Participar en las reuniones que convoque el auditor.
• Analizar los datos encontrados para que el informe sea real.
• Emprender rápidamente acciones correctoras y/o preventivas.
• Emitir una respuesta oficial a los defectos de los que ha informado el grupo de auditores.
4. CLÁUSULAS LEGALES
4.1. Régimen Jurídico
La Sociedad, en su contratación, se rige por las normas de Derecho imperativo de la Ley de Contratos del Sector Público referentes a entidades del Sector Público que no son Administraciones Públicas ni poder adjudicador, aplicándose en su defecto las normas de derecho privado.
La relación entre las partes se regirá en primer término por el contrato, a continuación y por este orden por:
- La Ley 30/2007, de 30 de octubre, de Contratos del Sector Público.
- Real Decreto 817/2009 de 8 xx xxxx por el que se desarrolla la Ley 30/2007
- Reglamento General de la Ley de Contratos de las Administraciones Públicas, aprobado por Real Decreto 1098/2001, de 12 de octubre, en tanto no se encuentre derogado.
- Instrucciones de contratación de la Sociedad.
- Pliego de Bases y de Prescripciones Técnicas.
- La oferta que presente el adjudicatario.
Tendrán carácter contractual el presente Pliego de Bases y de Prescripciones Técnicas, el programa de trabajo de la asistencia técnica y, en su caso, el que presente el adjudicatario, una vez aprobado por INTECO.
4.2. Subcontratación
El adjudicatario podrá ceder o subcontratar alguna de las prestaciones objeto del contrato, pero para ello deberá comunicar anticipadamente y por escrito a la Sociedad su intención de subcontratar, con indicación de la identidad subcontratista, las partes de la prestación que se pretende subcontratar y el porcentaje total de los trabajos a subcontratar en relación a la cuantía total del contrato justificando suficientemente la aptitud de éste para ejecutarla por referencia a los elementos técnicos y humanos de que dispone y a su experiencia. En cualquier caso la subcontratación no podrá ser superior al 50
% y deberá ser aceptada por escrito por INTECO.
Los subcontratistas quedarán obligados sólo ante el contratista, que asumirá la responsabilidad de la ejecución del contrato frente a la Sociedad, con arreglo estricto al Pliego y a los términos del Contrato.
El contratista se obliga a abonar a los subcontratistas y suministradores el pago del precio pactado con unos y otros, en los plazos y condiciones que no sean más desfavorables que las establecidas para las relaciones de la Sociedad y contratista.
El subcontratista no deberá estar incurso en las prohibiciones que según el art. 49 de la L.C.S.P. prohíban contratar con la Administración.
4.3. Diligencia exigible
El adjudicatario ejecutará el contrato en los términos previstos en el presente Xxxxxx, realizando de manera competente y profesional el objeto del contrato, cumpliendo los niveles de calidad exigidos y cuidando diligentemente los equipos de INTECO que tuviera que utilizar como consecuencia del contrato. A estos efectos, el adjudicatario responderá de la calidad de los servicios con la diligencia exigible a una empresa experta en la realización de los trabajos del tipo del objeto del contrato.
El adjudicatario responderá de la corrección y precisión de los documentos que aporte a INTECO en ejecución del contrato y avisará sin dilación a INTECO cuando detecte un error para que pueda adoptar las medidas y acciones correctoras que estime oportunas.
El adjudicatario responderá de los daños y perjuicios que se deriven para INTECO, o para el personal de la misma, de las reclamaciones que pueda realizar un tercero, y que tengan su causa, directa o indirecta, en errores, métodos inadecuados o conclusiones incorrectas de los adjudicatarios, o de su personal, en la ejecución del contrato o que deriven de la falta de diligencia referida en el presente apartado.
4.4. Garantía definitiva de los trabajos
El adjudicatario se obliga a prestar garantía de forma expresa en los cinco días siguientes a la adjudicación, que cubra el 5 % del presupuesto del contrato, para asegurar el correcto funcionamiento de los trabajos realizados en ejecución del contrato, durante 6 meses a contar desde la fecha de su finalización, obligándose a realizar, sin coste para INTECO y durante dicho tiempo, las correcciones y modificaciones necesarias para subsanar los errores que eventualmente pudieran aparecer.
La garantía podrá constituirse mediante depósito, seguro de caución o aval.
Conforme a lo establecido en el artículo 90 de la L.C.S.P. La garantía no será devuelta o cancelada hasta que se haya producido el vencimiento del plazo de garantía y cumplido satisfactoriamente el contrato de que se trate, o hasta que se declare la resolución de este sin culpa del contratista. Aprobada la liquidación del contrato y transcurrido el plazo de garantía, si no resultaren responsabilidades INTECO devolverá la garantía constituida o se cancelara el aval o seguro de caución.
4.5. Protección de datos de carácter personal
El adjudicatario quedará obligado al cumplimiento de la L.O.P.D. y, en particular a lo dispuesto en el artículo 12 de dicho texto legal y del R.D. 1720/2007 de 21 de diciembre, que aprueba el Reglamento de desarrollo de la L.O.P.D.
En el caso, en se recaben datos personales durante la gestión del presente contrato, estos serán incluidos en un fichero cuya titularidad es de INTECO. Para ejercitar los derechos de acceso,
INTECO es el responsable del fichero o responsable del tratamiento y el adjudicatario en cuanto trate datos personales por cuenta de INTECO como consecuencia de la existencia del presente contrato es encargado del tratamiento.
Según lo anterior, INTECO autorizará expresamente al adjudicatario a que, si en la ejecución del contrato se precisa recabar datos de los usuarios del servicio que sean de carácter personal según la L.O.P.D., pueda tratarlos de acuerdo con lo que la misma determina para el encargado de tratamiento.
El adjudicatario no podrá subcontratar con terceros la realización de ningún tratamiento de datos de carácter personal.
Los encargados del tratamiento, con anterioridad al proceso de recogida de los datos de carácter personal que pudieran ser necesarios para la ejecución del contrato, estarán obligados a informar a los interesados sobre la realización del tratamiento de sus datos personales en los términos señalados en el artículo 5 de la Ley 15/1999 y a recabar de los mismos las autorizaciones y consentimientos necesarios para dicho tratamiento en los términos establecidos en el artículo 6 de la
L.O.P.D. Los encargados efectuarán la comunicación de datos en los términos previstos en el artículo
11 de la ley. De igual modo observarán la obligación xx xxxxxxx profesional en los términos establecidos en el artículo 10 de la ley. :
El adjudicatario, en relación con los ficheros, se obliga específicamente a:
1º) Custodiarlos, a través de las medidas de seguridad, legalmente exigibles, de índole técnica y organizativa que garanticen la seguridad de los datos personales en ellos contenidos, evitando su alteración, pérdida, tratamiento o acceso no autorizado, de conformidad con el estado de la tecnología en cada momento, la naturaleza de los datos y los posibles riesgos a que estén expuestos. A estos efectos, el adjudicatario manifiesta expresamente que tiene implementadas las medidas de seguridad en los ficheros, exigidas por el Real Decreto 1720/2007, de 21 de diciembre, manifestando específicamente: que dichas medidas se ajustan, como mínimo, al nivel de seguridad que sea legalmente exigible en cada caso; que tiene elaborado el correspondiente documento/s de seguridad de los ficheros, especialmente con un registro de incidencias de seguridad, todo ello según los términos establecidos en la normativa antedicha, que esta información está disponible en todo momento para el INTECO y para el responsable del fichero o, en su caso, para las autoridades administrativas o judiciales correspondientes.
2º) Utilizar o aplicar los datos personales exclusivamente para la realización de los servicios contractualmente pactados y, en su caso, de acuerdo con las instrucciones impartidas por el responsable del Fichero.
3º) No comunicarlos, ni siquiera a efectos de su conservación, a otras personas, ni tampoco las elaboraciones, evaluaciones o procesos similares, citados anteriormente, ni duplicar o reproducir toda o parte de la información, resultados o relaciones sobre los mismos.
4º) Asegurarse de que los ficheros sean manejados únicamente por aquellos empleados cuya intervención sea precisa para la finalidad contractual y de que, únicamente en el supuesto de que tal posibilidad esté autorizada expresamente y con carácter previo por el responsable del Fichero, cualesquiera terceros a los que les sea revelada cualquier información estén vinculados a guardar la confidencialidad debida de conformidad con lo prevenido en esta Cláusula.
El adjudicatario vendrá obligado a exonerar al responsable del Fichero y a la Sociedad Estatal INTECO, de cualquier tipo de responsabilidad frente a terceros, por reclamaciones de cualquier índole que tengan origen en el incumplimiento de las obligaciones de protección de datos de carácter personal que le incumben en su condición de encargado del tratamiento, y responderá frente a la indicada Sociedad del resultado de dichas acciones.
Todas las obligaciones referidas afectan tanto a los datos de carácter personal contenidos en ficheros automatizados como a los que se encuentren en ficheros en papel, almacenados en archivadores u otros medios.
4.6. Cumplimiento de la L.S.S.I-CE
El adjudicatario cumplirá con las obligaciones y responsabilidades establecidas en los artículos 11 y 16 de la Ley de Servicios de Sociedad de la Información y Comercio Electrónico (LSSI-CE) para los prestadores de servicios de la sociedad de la información (PSSI) y que le sean aplicables como proveedor de alojamiento y almacenamiento de datos.
El adjudicatario deberá adoptar medidas de seguridad apropiadas para evitar su pérdida o alteración de los datos y el acceso no autorizado a los mismos.
El adjudicatario quedará sujeto a las obligaciones de la LSSI-CE siempre que no contravenga lo establecido en tratados o convenios internacionales que sean aplicables.
4.7. Seguridad y confidencialidad de la información
El adjudicatario queda expresamente obligado a mantener absoluta confidencialidad y reserva sobre cualquier dato que pudiera conocer con ocasión del cumplimiento del contrato, especialmente los de carácter personal, que no podrá copiar o utilizar con fin distinto al que figura en este pliego, ni tampoco ceder a otros ni siquiera a efectos de conservación, sin el previo consentimiento por escrito del contratista. Se considerará información confidencial cualquier información a la que el adjudicatario acceda en virtud del presente contrato, a los que haya accedido durante la ejecución del mismo.
El adjudicatario informará a su personal, colaboradores y subcontratistas de las obligaciones establecidas en el presente Xxxxxx, así como de las obligaciones relativas al tratamiento automatizado de datos de carácter personal. El adjudicatario pondrá todos los medios a su alcance para que su personal y colaboradores cumplan tales obligaciones.
La duración de las obligaciones de confidencialidad establecidas en el presente Xxxxxx será indefinida mientras la misma ostente tal carácter, manteniéndose en vigor con posterioridad a la finalización por cualquier causa, de la relación entre el contratista y el adjudicatario.
Serán de exclusiva cuenta y cargo del adjudicatario la totalidad de los tributos, cualquiera que sea su naturaleza y carácter que se devenguen como consecuencia del contrato, así como cualesquiera de las operaciones física y jurídicas que conlleven, salvo el Impuesto sobre el Valor Añadido o su equivalente, que el adjudicatario repercutirá a INTECO.
El adjudicatario queda expresamente obligado al estricto cumplimiento de cuantas obligaciones les imponga la legislación vigente en cada momento en materia fiscal
4.9. Modificación
A los efectos establecidos en el artículo 202.2 de la L.C.S.P., el órgano de contratación ostenta la prerrogativa de modificar el presente contrato (artículo 194 de la L.C.S.P.).
La posibilidad de modificación del contrato se rige en primer lugar por lo estipulado en las instrucciones de contratación de la Sociedad. La modificación podrá producirse por razones de interés público y para atender causas imprevistas, siempre que no afecte de manera esencial a las condiciones del contrato (artículo 202.1 de la L.C.S.P.).
5. DOCUMENTACIÓN Y REQUISITOS DE SELECCIÓN
5.1. Documentación a presentar
El procedimiento a seguir en la adjudicación es el previsto en las Instrucciones de contratación de la Sociedad como procedimiento abierto.
La presentación de la documentación para su admisión como licitador supone la aceptación de lo dispuesto en la Instrucción de Contratación de la Sociedad incluida en el Perfil de Contratante y publicada en la Web, así como todas las disposiciones del presente pliego.
Con carácter general todos los documentos deberán ser originales, copias notariales o fotocopias cotejadas.
Toda la documentación que se presente por los licitadores deberá estar redactada en castellano, salvo los supuestos que hayan podido especificarse en este Pliego de Cláusulas Técnicas. En caso de que se presentasen en lengua distinta deberá presentarse la correspondiente traducción oficial a la lengua castellana primando esta última en caso de duda o discrepancia.
La certificación de la inscripción en el Registro Oficial de Licitadores y Empresas Clasificadas del Estado acredita, salvo prueba en contrario, las condiciones de aptitud del empresario en cuanto a su personalidad y capacidad de obrar, representación, habilitación profesional o empresarial, solvencia económica y financiera, y clasificación, así como la concurrencia o no concurrencia de las prohibiciones de contratar en los términos del art. 72 LCSP y la Orden EHA/1490/2010, de 28 xx xxxx siempre que dicho certificado incluya las inscripciones voluntarias que se pretenden acreditar con el mismo. Para dar cumplimiento a lo establecido en el artículo 130.2 L.C.S.P. deberá acompañarse a la Certificación una declaración responsable del licitador en la que manifieste que las circunstancias reflejadas en el correspondiente certificado no han experimentado variación (modelo II). Si el certificado se refiere exclusivamente a la acreditación de la solvencia, se deberá presentar la documentación relativa a la capacidad.
D.N.I. del empresario individual.
Para empresas: escritura de constitución o modificación inscrita, en su caso, en el Registro Mercantil, cuando este requisito fuera exigible conforme a la legislación mercantil que le sea aplicable. Si no lo fuere, escritura o documento de constitución, estatutos o acto fundacional, en el que constaren las normas por las que se regula su actividad, inscritos, en su caso, en el correspondiente Registro oficial. Cuando se trate de empresarios no españoles de Estados Miembros de la Unión Europea deberán acreditar su inscripción en un registro profesional o comercial, cuando este registro sea exigido por la legislación del estado respectivo. Los demás empresarios extranjeros deberán acreditar su capacidad de obrar por informe de la misión diplomática permanente de España en el estado correspondiente o de la Oficina consular en cuyo ámbito territorial radique el domicilio de la empresa.
Las empresas extranjeras deberán presentar declaración de someterse a la jurisdicción de los Juzgados y Tribunales españoles de cualquier orden, para todas las incidencias que de modo directo
Declaración responsable de no estar incurso en ninguna de las prohibiciones de contratar con la Administración recogidas en el artículo 49 de la Ley de Contratos del Sector Público, con el modelo establecido en el Anexo II “Modelo de Declaración de responsable”.
Documentación acreditativa del cumplimiento de las obligaciones tributarias y de la Seguridad Social consistente en certificación expedida al efecto por la Administración Tributaria (y por la Administración de la Seguridad Social. Esta documentación no será exigible a aquellos oferentes que no realicen actividades en España.
Si se actúa por medio de representante, deberá acreditarse su representación por cualquier medio válido en Derecho y aportarse fotocopia legitimada notarialmente del Documento Nacional de Identidad del representante.
Las personas físicas o jurídicas de Estados no pertenecientes a la Unión Europea deberán justificar mediante informe de la respectiva Misión Diplomática Permanente española, que se acompañará a la documentación que se presente que el Estado de procedencia de la empresa extranjera admite a su vez la participación de empresas españolas en la contratación con la Administración, en forma sustancialmente análoga.
5.1.2. Para acreditar la solvencia económica y financiera.
Cuentas anuales o extracto de las mismas. En todo caso, los licitadores que en virtud de disposiciones vigentes vengan obligados a dar publicidad a sus cuentas anuales, deberán presentar las cuentas depositadas en el Registro Mercantil.
Documentación acreditativa de la cifra de negocios global de las empresas en los tres últimos ejercicios.
Justificante de la existencia de un seguro de indemnización por riesgos profesionales o de responsabilidad civil.
La Sociedad podrá considerar suficiente para acreditar la solvencia económica y financiera la presentación de uno de los documentos anteriormente enumerados.
5.1.3. Para acreditar la solvencia técnica
Con independencia del resto de requisitos del presente Xxxxxx, para acreditar solvencia técnica el adjudicatario deberá:
- Tener la clasificación subgrupo V.05.D. Para dar cumplimiento a lo establecido en el artículo 130.2 L.C.S.P. deberá acompañarse a la Certificación una declaración responsable del licitador en la que manifieste que las circunstancias reflejadas en el correspondiente certificado no han experimentado variación (modelo IV).
- Acreditar que se opera un SOC, que debe estar situado en territorio de la UE, y que debe estar en funcionamiento y prestando servicio a otros clientes en 2011. Todas las comunicaciones con el SOC serán en idioma español, en 24 x 7, así como toda la
documentación intercambiada. Por tanto, en caso de que el SOC no esté en España, deberá acreditar su capacidad para comunicar en español en régimen 24x7.
- Acreditar que en 2010 se prestaron y facturaron servicios, similares a los que se solicitan en el presente pliego, por un valor superior a 500.000€, IVA excluido.
La falta de acreditación de capacidad técnica suficiente o la no inclusión de la documentación necesaria en el sobre 1 de documentación general impedirá a la oferta ser tomada en consideración
6.1. Requisitos generales
Con carácter general, la información presentada en la propuesta debe estar estructurada de forma clara y concisa. El documento de propuesta no debe contener referencias a documentos externos o anexos cuando aquellos sean puntos clave en la valoración de la propuesta. Se deben entender los anexos como documentos generales de consulta o méritos del licitador, no como información vital en la propuesta.
Las propuestas deberán presentarse o remitirse a las oficinas de la Sociedad, situadas en Xxxxxxx Xxxx Xxxxxx, 00 - 00000 Xxxx, en el plazo de veintiún días naturales desde el siguiente a la publicación en la Web de INTECO y en la Plataforma de Contratación del Estado.
Cuando la documentación se envíe por correo, el licitador deberá justificar la fecha de imposición del envío en la oficina de Correos y anunciar a la Sociedad la remisión de la oferta mediante fax (000000000) o correo electrónico (xxxxxxxxxxxx@xxxxxx.xx) en el mismo día. El envío del anuncio por correo electrónico sólo será válido si existe constancia de la transmisión y recepción, de sus fechas y del contenido íntegro de las comunicaciones y se identifica fidedignamente al remitente y al destinatario.
Sin la concurrencia de ambos requisitos no será admitida la documentación si es recibida por la Sociedad con posterioridad a la fecha y hora de la terminación del plazo señalado en el anuncio.
Transcurridos, no obstante, diez días, siguientes a la indicada fecha sin haberse recibido la documentación, ésta no será admitida en ningún caso.
La propuesta se presentará en tres sobres cerrados que serán firmados por el licitador la persona que lo represente, incluyendo un juego en formato papel y un juego en soporte digital (Microsoft Word, Adobe PDF, ODF o similar) según se indica a continuación:
• En el sobre número 1 se incluirán los documentos referidos en el apartado 5.1 – “Documentación a presentar”.
• En el sobre número 2 se incluirán la oferta técnica referida en el apartado 6.2.
• En el sobre número 3 se incluirá la propuesta económica con desglose de IVA y precios unitarios. Para una mayor homogeneidad de las ofertas y una valoración adecuada de las mismas, el licitador deberá elaborar una propuesta basada en el “ANEXO III: MODELO DE PROPOSICIÓN ECONÓMICA” de este documento, siguiendo la estructura suministrada y aportando todos los datos y elementos indicados en la misma. Tener en cuenta lo previsto en el apartado 6.3. y 2.4
En todos los sobres se hará constar el número de expediente 062/11.
Examinada la documentación, la Sociedad informará a los licitadores de los defectos subsanables encontrados en la documentación aportada, y requerirá a los licitadores para que subsanen los defectos en un plazo de tres días hábiles, indicando que, si así no se hiciera, no se tendrán en consideración las ofertas presentadas.
Transcurrido el plazo de subsanación mencionado, la Sociedad notificará a los licitadores que han subsanado dentro del plazo establecido al efecto que su oferta ha sido admitida; de igual forma, notificará a los licitadores que no han subsanado que sus ofertas no serán tomadas en consideración.
Con independencia de que el licitador pueda adjuntar a la oferta técnica cuanta información complementaria considere de interés, ésta deberá estar obligatoriamente estructurada con el formato normalizado que se detalla a continuación.
La Sociedad podrá requerir a los licitadores que formulen por escrito las aclaraciones necesarias para la comprensión de algún aspecto de su propuesta. En ningún caso se admitirá que en proceso de aclaraciones el licitador varíe los términos expresados en su oferta. Sólo puede ser considerada como información admisible aquella que facilite el análisis de la solución propuesta inicialmente..
6.2. Requisitos de la proposición técnica
La descripción técnica deberá ser clara y precisa.
Está documentación será examinada y valorada conforme a los criterios previstos en el presente pliego.
El licitador deberá responder de la exactitud de todos los datos presentados.
Los licitadores deberán presentar una propuesta técnica que deberá contener los siguientes apartados y en el mismo orden:
I. Resumen ejecutivo, con una extensión máxima de 10 páginas en el que el licitador deberá exponer su visión sobre los servicios ofertados, detallar los conocimientos del licitador en las áreas objeto del contrato e introducir una descripción de la metodología que propone para la prestación de los servicios y del personal encargado de los mismos y recoger las características técnicas principales y mejoras que propone.
II. Características técnicas, donde el licitador dará respuesta ordenada y detallada a los requisitos técnicos. Incluirá necesariamente la respuesta detallada a todos los requerimientos técnicos expresados en el presente pliego, incluyendo para cada uno de ellos su capacidad y forma de satisfacerlo y cualquier otra información adicional que pueda mejorar la valoración técnica.
III. Planificación y equipo de trabajo, donde el licitador detallará la metodología de trabajo, planificación para la puesta en marcha y gestión de los servicios, entregables y propuestas específicas en detalle por área y la descripción del equipo técnico encargado del despliegue y posterior entrega del servicio.
IV. Metodología y certificaciones, inclusión de certificaciones y modelos metodológicos adicionales que aplicará el licitador en los procesos de gestión del servicio, además de los requeridos explícitamente en el apartado 3 del presente pliego, que deberán ser descritos en el apartado II de la propuesta técnica.
V. Acuerdo de niveles de servicio: descripción completa de los niveles de servicio ofertados por el licitador que han de respetar o superar al menos los indicados en el apartado 3.7 del presente pliego.
VI. Mejoras: El licitador podrá proponer cuantas mejoras estime oportunas relativas a los requisitos técnicos del Servicio. Se entenderá por mejora, toda propuesta de productos o servicios no incluida en los requisitos del presente Pliego y que pueda resultar útil o conveniente para INTECO. El importe de estas mejoras estará necesariamente incluido en el precio global ofertado.
6.3. Requisitos de la proposición económica
Los licitadores deberán presentar el Xxxxx XXX debidamente cumplimentado sin tachones ni cualquier otro signo que dé lugar a dudas sobre el contenido de la misma. Los licitadores deberán cumplimentar el modelo propuesto sin alterar los datos que constan en el mismo. Cualquier cambio a este respecto si diese lugar a interpretaciones de la oferta presentada será motivo de exclusión. En consecuencia, las ofertas que no sigan el modelo establecido quedarán excluidas del procedimiento.
Las ofertas se realizarán sobre el presupuesto máximo conforme el punto 2.4.
El adjudicatario deberá realizar su oferta económica sobre el importe máximo del contrato para el periodo máximo de DOCE MESES. Las ofertas que superen dicho importe total no serán tenidas en cuenta en el presente procedimiento de adjudicación.
En la oferta económica se deberán recoger los siguientes elementos:
• Precio unitario mensual del servicio.
• Indicación del precio global de la oferta sin IVA.
El precio de referencia a efectos de valorar la oferta es el precio total del contrato para la duración 12 meses, IVA excluido.
Cuando en la proposición económica presentada por el licitador figure escrito el importe de la misma en letra y en números, será válida la cantidad escrita en letra, en caso de diferencia.
Si la proposición económica tuviera el importe escrito varias veces por suma diferente, ya sea en letra, ya sea en números, será válida la cantidad menor.
INTECO no tendrá en consideración la proposición económica cuando la suma de los importes desglosados incluidos en la misma no se corresponda con la cantidad total resultante establecida en dicha proposición económica.
Sólo se admitirá una única oferta económica por licitador.
7. CRITERIOS DE VALORACIÓN
El contrato se adjudicará por concurso y mediante procedimiento abierto. INTECO se reserva el derecho de declarar desierto el concurso.
La valoración de las propuestas se realizará mediante puntuación en los aspectos técnicos y
económicos.
7.1. Valoración Económica
Para la asignación de la puntuación correspondiente a la valoración económica de las ofertas presentadas se seguirán los criterios siguientes:
• Se considera que el criterio objetivo del precio de la oferta debe tener un peso igual al 30% del total.
La fórmula de utilización será: PE (i) = (P min/Pi ) X 10 Siendo:
• PE (i) = Puntuación por los aspectos económicos de la oferta “i”.
• Pi = Precio de la oferta en cuestión, IVA excluido
• Pmin = Precio de la oferta más baja, IVA excluido.
7.2. Valoración Técnica
La puntuación correspondiente a la calidad técnica de las ofertas presentadas se determinará según los criterios siguientes:
Se considera que el criterio objetivo de la calidad técnica de la oferta debe tener un peso igual al 70% del total.
La puntuación de la valoración técnica y de sus distintos criterios y subcriterios se realizará de 0 a 10:
- Se valora con un "0" cuando no se haga descripción alguna del servicio, dispositivo, etc.
- Se valora con un "5" cuando se especifique el mero cumplimiento de los servicios y funcionalidades solicitadas en el pliego.
- Se valorará con una nota superior cuando se ofrezca información adicional, unas funcionalidades o características superiores a las requeridas.
Las empresas licitadoras que no alcancen 5 puntos en la valoración técnica de alguno de los requisitos mínimos (los identificados con el sufijo –R) serán excluidas del procedimiento, sin que se proceda a la apertura de su oferta económica.
Los apartados sobre los que se realizará la valoración técnica son los siguientes:
7.2.1. Características técnicas
El peso de la valoración de estas características sobre el total de la valoración técnica es del 40%.
La valoración del apartado completo se obtendrá mediante la media aritmética de las valoraciones de los requerimientos recogidos en el apartado 3.6 del presente pliego, tal y como se indica a continuación:
[MO1-R] Grado de detalle en la descripción del servicio solicitado y alcance del mismo.
[MO2-R] Grado de detalle en la descripción de los métodos y procedimientos utilizados para el discernimiento entre falsos positivos o negativos. Se valorará positivamente la implantación de mejora continua en los procesos de clasificación de alertas.
[MO3-R] Grado de detalle en la descripción del servicio solicitado. Se valorará positivamente el uso de sondas con mínima intrusión, la incorporación de mecanismos de garantía de entrega de mensajes a la consola de correlación y tolerancia a fallos de comunicación entre la sonda y la consola de correlación.
[MO4-R] Nivel de retardo temporal entre la aparición de un evento y la generación de una alerta en la consola de operación tras las operaciones de recolección, transmisión, correlación con otros eventos y evaluación de reglas. Flexibilidad en la definición de reglas de notificación. Posibilidad de automatizar acciones como resultado de la evaluación de reglas. Grado de detalle en la explicación del procesado completo de un evento, desde la detección hasta la generación de la alerta.
[MO5-R] Inventario de tecnologías, fabricantes, productos y versiones de los que el recolector es capaz de extraer información de forma nativa (sin desarrollos específicos ni configuraciones a medida).
[MO6-R] Disponibilidad de una API o lenguaje descriptivo que permita integrar fuentes y formatos de información no previstos de forma nativa sin incurrir en la necesidad de licenciar esta funcionalidad. Disponibilidad de documentación sobre la funcionalidad.
[MO7-M] Posibilidad de tratar información procedente de elementos no relacionados estrictamente con la seguridad, tales como sistemas operativos, aplicaciones y servicios, en términos de disponibilidad y rendimiento y generar alertas en base a umbrales. Detalle de la descripción de las posibilidades en este sentido.
[MO8-M] Inventario de los sistemas de monitorización con los que el sistema de recolección de eventos es capaz de integrase, tanto comerciales como Open Source. Detallar los requerimientos necesarios para tal integración en el caso de Xxxxxx.
[MO9-R] Capacidades de almacenamiento de eventos, políticas de retención de datos y respaldo de la información.. Se valorará la posibilidad de almacenamiento en formato original y los mecanismos de firmado digital para garantizar. Detallar las herramientas
de consulta disponibles. Se valorará positivamente el almacenamiento de los eventos fuera de la infraestructura de INTECO.
[MO10-R] Indicar el cumplimiento del requerimiento.
[MO11-R] Canales de comunicación a emplear y las medidas de seguridad a adoptar en las comunicaciones entre los agentes o sondas y la consola de correlación.
[MO12-M] Medidas adoptadas para garantizar las comunicaciones entre los elementos monitorizados y sondas de recolección y los sistemas en el SOC del adjudicatario en el caso de fallo en el canal de comunicación principal. Se valorará positivamente el establecimiento de líneas de comunicación de respaldo.
[SI1-R] Grado de detalle en la descripción del servicio solicitado y alcance del mismo. [SI2-R] Procedimientos de actuación para contención de ataques.
[SI3-R] Procedimiento de comunicación y puntos de contacto y escalado. Ejemplos de notificación.
[SI4-M] Grado de detalle en la descripción de los canales de comunicación. Se valorará la adopción de medidas que garanticen la confidencialidad e integridad de las notificaciones y la identificación de los interlocutores (firmas electrónicas, callbacks, etc.).
[SI5-R] Indicar el cumplimiento del requisito.
[GV1-R] Grado de detalle en la descripción del servicio. Detalle de las fuentes utilizadas para la detección de vulnerabilidades emergentes. Tiempo medio de alerta a INTECO tras la detección de una vulnerabilidad emergente. Ejemplos de notificación de alerta.
[GV2-M] Tiempo medio necesario para la elaboración de un plan de actuación. Ejemplo de uno de tales planes. Se valorará positivamente la existencia de laboratorios donde se prueben de tales planes antes de ser remitidos a INTECO.
[GV3-M] Nivel de integración con el proceso de gestión de cambios. [GV4-R] Indicar cumplimiento del requisito.
[AO1-R] Descripción de la metodología de gestión de las políticas de seguridad.
[AO2-R] Descripción de las políticas de mantenimiento de versiones. Se valorará positivamente la realización de pruebas de dichas versiones en laboratorio antes de ser actualizadas en los elementos de INTECO.
[AO3-R] Descripción de la política de aplicación de parches. Se valorará positivamente la realización de pruebas de dichos parches en laboratorio antes de ser aplicados en los elementos de seguridad de INTECO.
[AO4-R] Descripción de la metodología de gestión de configuraciones. Describir los procesos de cambio y registro. Se valoraran procesos de auditoría periódica que contrasten las configuraciones reales de los elementos con las almacenadas en la CMDB.
[AO5-R] Descripción del procedimiento de solicitud de cambios a seguir por INTECO. Ejemplo de flujo de solicitudes, notificaciones y autorizaciones. Integración con el proceso de Gestión de Cambios.
[AO6-M] Se valorarán las auditorías periódicas con el fin de buscar mejoras en las configuraciones que se traduzcan en mayores rendimientos y seguridad.
[AO7-R] Indicar cumplimiento del requisito. Se valorará la disponibilidad del servicio en franjas de tiempo más amplias.
[SO1-R] Localización del SOC principal y de los posibles centros de respaldo.
[SO2-R] Detalle de las certificaciones, estándares y metodologías asociadas al SOC. Ejemplos de métodos, guías y plantillas en uso en el SOC. Indicar el grado de aplicación de tales metodologías en proyectos reales.
[SO4-R] Inventario de informes de actividad, ANS, etc. que el adjudicatario pondrá a disposición de INTECO. Calidad de los informes. Ejemplos de informes.
[SO5-R] Estructura organizativa y funcional del SOC.
[SO6-R] Descripción del sistema de Service Desk y su grado de cumplimiento de las prácticas ITIL u otras.
[SO7-R] Descripción del módulo de manejo de incidentes y su nivel de integración en el
Service Desk.
[SO8-R] Descripción la CMDB y su nivel de integración con el sistema de Service Desk.
[SO9-R] Descripción del módulo para la evaluación de la calidad del servicio, nivel de integración con el Service Desk y los indicadores y método para obtenerlos que se usan para determinar el nivel de calidad.
[SO10-R] Descripción del módulo para el cálculo de los Niveles de Servicio y nivel de integración con el Service Desk.
[SO11-R] Funcionalidades del portal, nivel de personalización, servicios disponibles en el mismo, niveles de acceso y roles. Ejemplos de uso.
[SO12-R] Descripción de las medidas de seguridad empleadas en el portal de clientes, tanto en las comunicaciones como en la autenticación de usuarios.
[SO13-M] Posibilidades de auditoría de los accesos al portal, con información de los accesos, la identificación de usuario, el nivel de privilegios obtenido, la información accedida y las solicitudes realizadas. Se valorará que se informe al usuario o a INTECO de posibles accesos fallidos. Se valorará que esta información se encuentre disponible en el propio portal.
[SO14-R] Descripción de las medidas de tolerancia a fallos y alta disponibilidad activas en el SOC.
[SO16-R] Descripción del Plan de Continuidad del SOC.
[SO17-R] Descripción de la estructura física del SOC y los medios materiales (mesas, pantallas, consolas, videowalls, etc.) disponibles. Se valorará la existencia de zonas separadas por áreas funcionales y la existencia xx xxxxx especiales para el tratamiento y seguimiento de incidentes críticos.
[SO18-M] Detalle de los acuerdos con fabricantes y desarrolladores relacionados con el área de la seguridad de la información.
[SO19-M] Detallar los acuerdos (o pertenencia) con entidades relacionadas con la gestión de la seguridad de la información.
[SO20-M] Descripción de los planes de formación del personal involucrado en las tareas del SOC relacionados con la gestión de la seguridad de la información.
[SO21-R] Descripción de los roles y perfiles técnicos del personal del SOC.
[EN1-R] Descripción de las funcionalidades requeridas y los elementos a instalar por el adjudicatario, indicando sus posibles modos de despliegue y el recomendado. Posibilidades de integrarse en una estructura virtualizada. Se valorará la capacidad para detectar otro tipo de actividades en la red (por ejemplo, acceso a ficheros en un servidor de red) y utilizarla para correlacionarla con las sesiones web. Como mínimo se exige que tal funcionalidad esté disponible en los servicios públicos alojados en la red DMZ y se valorará su extensión a los servicios corporativos alojados en la red CPD. Se valorará la inclusión de equipos o licencias para uso en laboratorios o entornos de preproducción.
[EN2-R] Descripción de las funcionalidades requeridas y los elementos a instalar por el adjudicatario, indicando sus posibles modos de despliegue y el recomendado.
[EN3-R] Medidas de alta disponibilidad o tolerancia a fallos a adoptar.
[EN4-R] Descripción de los métodos de monitorización de estado, salud y rendimiento de los elementos instalados.
[EN5-R] Descripción de los procesos de reparación/sustitución de material en fallo. Se valorarán positivamente la reducción de los plazos de restitución de servicio.
7.2.2. Planificación y equipo de trabajo
El peso de esta valoración de este apartado sobre el total de la valoración técnica es del 20%. En esta apartado se valorarán los siguientes aspectos:
- Detalle de la planificación a lo largo de la vida del contrato, con el desglose de tareas y duración de cada una de ellas, con un peso del 15% en la valoración del apartado.
- Plazo de tiempo máximo a que el licitador se compromete entre la firma de contrato y la consecución del Hito 2. Deberá ser como máximo de 90 días naturales desde la firma del contrato. Cualquier oferta con un compromiso de plazo superior, será excluida del procedimiento, sin que se proceda a la apertura de su oferta económica. Este aspecto se valora con un peso del 75% en la valoración del apartado. La fórmula de cálculo será:
PP(i) = (P min/Pi ) X 10
Siendo:
• PP (i) = Puntuación en este aspecto de la oferta “i”.
• Pi = Plazo de tiempo máximo a que el licitador “i” se compromete entre la firma de contrato y la consecución del Hito 2. Se expresará en días naturales.
• Pmin = mínimo de entre todos los Pi ofertados. Se expresará en días naturales.
El valor mínimo (umbral de saciedad) que se usará para el parámetro Pi es de 15, aunque en la oferta el plazo comprometido para alcanzar el hito 2 hubiera sido inferior a 15 días naturales.
- Cualificación del equipo de proyecto asociado a las Fases I a IV. Este aspecto se valora con un peso del 10% sobre el total del apartado.
7.2.3. Metodología y certificaciones
El peso de la valoración de este apartado sobre el total de la valoración técnica es del 10%.
En este apartado se valorarán las certificaciones y metodologías aportadas por el ofertante que no estén expresamente relacionadas con la gestión de la seguridad de los sistemas de información, en áreas tales como la Calidad o la gestión Medioambiental.
7.2.4. Acuerdo de niveles de servicio
El peso de este apartado sobre el total de la valoración técnica es del 12%.
En este apartado se valorará la aceptación de los niveles de servicio requeridos en el presente pliego y su mejora, tanto en términos de cumplimiento como en el grado de penalización por incumplimiento.
Además de la mejora de los niveles requeridos, también se valorará que el ofertante proponga indicadores de nivel de servicio adicionales, que aporten valor y que sean útiles y pertinentes al servicio ofertado, con sus correspondientes objetivos y penalizaciones.
7.2.5. Mejoras
El peso de la valoración de este apartado sobre el total de la valoración técnica es del 18%.
- Mejoras en el alcance, para incluir el CPD de respaldo en alta disponibilidad:
En Enero de 2012 se prevé que INTECO disponga de un centro de respaldo en alta disponibilidad capaz de asumir los servicios más críticos, en configuración activo-pasivo, ante un fallo del CPD
principal (actual). La prestación en el CPD de respaldo de los servicios de seguridad gestionada solicitados, no forma parte de los requisitos mínimos xxx xxxxxx, pero es de interés para INTECO,
Por ello, la ampliación de dichos servicios para cubrir el mencionado CPD de respaldo será considerada como una mejora valorable. Para ello será necesario explicar el alcance y describir la solución propuesta para extender los servicios objeto del contrato a este centro de respaldo. Así mismo deberá indicarse el plazo de tiempo en el que la solución podrá estar disponible a partir de que INTECO confirme la fecha en que el CPD de respaldo estará funcionando.
El peso en la valoración que se dará a esta mejora es del 85% sobre el 18 % correspondiente a la valoración del apartado de Mejoras.
- Otras mejoras no previstas en el presente pliego:
Se valorará todo servicio, funcionalidad o característica adicional aportada por el licitador, útil o conveniente para la ejecución del objeto del contrato no prevista en el presente pliego, o previstas expresamente como mejoras. La puntuación dependerá del valor que las mejoras ofrecidas aporten a los servicios que INTECO ofrece a través de sus portales Web, o desarrollos en marcha o futuros, según juicio de los técnicos de INTECO.
El peso en la valoración que se darán a estas mejoras no previstas es del 15% sobre el 18
% correspondiente a la valoración del apartado de Mejoras.
Xxxx, a 21 de Julio de 2011
EL CONSEJO DE ADMINISTRACIÓN DE LA SOCIEDAD ESTATAL INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACIÓN, S.A.
ANEXO I: CUESTIONARIOS DE RECOGIDA DE INFORMACIÓN.
1.1. Cuestionario de empresa
Datos de la entidad licitadora
Empresa | ||||
Nacionalidad | ||||
Fecha de implantación en España | ||||
Persona de contacto | ||||
Apellidos | Nombre | Cargo | Teléfono | |
Número de empleados: | ||||
% empleados fijos: | ||||
Ubicación de los medios materiales | ||||
Observaciones | ||||
identidad número , expedido en el día de
de , actuando en nombre de con domicilio en calle , según poder otorgado ante el notario de D. , con fecha
, bajo el número de protocolo .
DECLARA BAJO SU RESPONSABILIDAD que la empresa no se halla incursa en ninguna de las causas de prohibición para contratar con la Administración, previstas en el artículo 49 de la Ley 30/2007, de 30 de octubre de Contratos del Sector Público.
Así mismo declara que conoce y acepta lo dispuesto en la Instrucción de Contratación de la Sociedad incluida en el Perfil de Contratante y publicada en la web, así como todas las disposiciones del presente Pliego.
En a, de de
ANEXO III: MODELO DE PROPOSICIÓN ECONÓMICA.
EXP: 062/11
Apellidos, nombre y DNI del firmante de la proposición económica. Relación que une al firmante con el licitador.
Razón social del licitador, N.I.F., domicilio, teléfono, fax y e-mail (del representante).
PROPOSICIÓN ECONÓMICA
Tabla de desglose de importe de los servicios objeto del presente pliego:
- Total precio mensual del servicio (M) = € (IVA excluido)
- Total precio del primer año (12xM) = € (IVA excluido)
- Total precio de la prórroga (12xM) = € (IVA excluido)
El abajo firmante, en virtud de la representación que ostenta, se compromete, en nombre de su representado, a la ejecución del contrato de “Servicios de Centro de Operaciones de Seguridad” en la cantidad referida en el epígrafe b) anterior.
En [ ] a [ ] de [ ] de 2011
Firmado
ANEXO IV: MODELO DE DECLARACIÓN RESPONSABLE SOBRE LA VIGENCIA DE LOS DATOS QUE CONSTAN EN LA CERTIFICACIÓN DE LA JUNTA CONSULTIVA DE CONTRATACIÓN ADMINISTRATIVA O DEL R.O.L.E.C.E.
D. con documento nacional de identidad número
, actuando en nombre de
con domicilio en calle , según
poder otorgado ante el notario de D.
, con fecha , bajo el número de protocolo .
DECLARA BAJO SU RESPONSABILIDAD, que (escoger la que corresponda):
Las circunstancias de solvencia reflejadas en el certificado de clasificación expedido por la Junta Consultiva de Contratación Administrativa o por el Registro Oficial de Licitadores y Empresas Clasificadas del Estado (R.O.L.E.C.E.), aportado en la licitación del expediente 062/11 para la contratación del servicio de seguridad gestionada en relación con la empresa que represento, no han experimentado variación hasta la fecha.
Las circunstancias de aptitud del empresario reflejadas en el certificado de expedido por el Registro Oficial de Licitadores y Empresas Clasificadas del Estado (R.O.L.E.C.E.), aportado en la licitación del expediente 062/11 para la contratación del servicio de seguridad gestionada en relación con la empresa que represento, no han experimentado variación hasta la fecha.
Me comprometo a reiterar esta misma declaración en el documento de formalización del contrato, en caso de resultar adjudicatario.
Las circunstancias de solvencia reflejadas en el certificado comunitario de clasificación de la empresa que represento, aportado en la licitación del expediente 062/11 para la contratación del servicio de seguridad gestionada conforme a lo establecido en el artículo 73 de la L.C.S.P., no han experimentado variación hasta la fecha (para empresas extranjeras comunitarias).
Y para que conste firmo la presente en a de de 2011.