PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES QUE HA DE REGIR LA CONTRATACIÓN DE LA SOLUCIÓN DE GESTIÓN DE ACCESO PRIVILEGIADO (PAM) PARA LA ASAMBLEA DE MADRID. PROCEDIMIENTO ABIERTO.

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES QUE HA DE REGIR LA CONTRATACIÓN DE LA SOLUCIÓN DE GESTIÓN DE ACCESO PRIVILEGIADO (PAM) PARA LA ASAMBLEA DE MADRID. PROCEDIMIENTO ABIERTO.

Expediente CPASU/2022/04

Prescripción 1. DESCRIPCIÓN DE LA SITUACIÓN ACTUAL.

Actualmente la Asamblea de Madrid no dispone de un servicio de gestión de PAM; las auditorías sólo se realizan con el sistema de eventos de las plataformas implantadas. Las auditorías y la monitorización se realizan mediante la gestión de los eventos.

Existe diversidad de sistemas que requieren el control del acceso específico para este tipo de cuentas, las plataformas donde aplicar este control son VMware, Windows, Oracle Linux y Oracle 12g.

El ENS y RGPD, exige el control de acceso de los usuarios a servidores y bases de datos, especialmente con las empresas externas. La gestión de cuentas de permisos de administrador se realiza mediante el Directorio Activo del Dominio, siendo esta de forma manual sin posibilidad de gestionar la asignación de recursos, un registro de las conexiones y la duración de las mismas.

Las aplicaciones PAM, permiten unificar los accesos, asignar recursos de forma dinámica, grabar la gestión de los usuarios, registrar todos los accesos y limitar por fechas y horas.

Con este tipo de soluciones se pretende cumplir el ENS y RGPD, en medidas de seguridad de acceso de cuentas de administrador.

Prescripción 2. CARACTERÍSTICAS DEL NUEVO SERVICIO DE GESTIÓN DE ACCESO PRIVILEGIADO (PAM).

Se solicita una solución de gestión de acceso privilegiado (PAM, Privileged Access Mangement), que esté incluido en el apartado de Productos Cualificados del Catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC), publicado por el CCN.

Los productos incluidos en el CPSTIC cumplen requisitos que representan las capacidades de seguridad mínimas que cualquier producto dentro de esta familia debe implementar para un determinado caso de uso, independientemente del fabricante y la tecnología, con el fin de proporcionar un nivel mínimo de confianza y considerarse objetivamente cualificado desde el punto de vista de la seguridad para ser empleado en los

sistemas de información del sector público a los que sea de aplicación el Esquema Nacional de Seguridad (ENS). Estos requisitos aportan mecanismos enfocados a reducir vulnerabilidades y contrarrestar amenazas, fundamentalmente de carácter técnico, aunque también pueden ser de naturaleza física o procedimental.

Los productos incluidos en el CPSTIC, permiten disponer de evaluaciones completas, consistentes y técnicamente adecuadas, que, a su vez, permitan contrastar la eficacia y proporcionar información no sesgada acerca de los servicios de seguridad que ofrecen dichos productos.

La Asamblea tiene sistemas de información de nivel medio, por lo que los productos deben estar certificados en el ENS en clasificación media o alta.

La solución incluirá la implantación de todos los componentes de la solución propuesta, con el correspondiente suministro, gestión de garantías y soporte, la provisión de todos los componentes físicos y lógicos, así como los accesorios necesarios para implementar la solución demandada, excepto el rack, plataforma VMware, la alimentación eléctrica, conectividad a la red interna y a internet que se suministrará por parte de la Asamblea. La solución ofertada permitirá la gestión por parte de los técnicos de la Asamblea. También deberá incluir todas las licencias necesarias para implementar la solución, el licitador debe asumir el coste de licencias de sistema operativos, bases de datos, certificados digitales, etc.…

La presente contratación se entiende como un proyecto “llave en mano”. Debe implementar todas las nuevas funcionalidades, con el mínimo impacto para la administración de los sistemas. Debe incluir la integración, instalación, configuración del sistema y de usuarios, puesta en producción, entrega de documentación y formación. El servicio demandado incluirá el mantenimiento de la documentación técnica asociada.

La implantación contará con todas las medidas de seguridad necesarias; será el licitador quien implemente el bastionado de la solución, sin coste para la Asamblea. El bastionado deberá incluir, al menos, las medidas recomendadas por el CCN-CERT.

La ejecución de los trabajos podrá realizarse, previa coordinación con la Dirección de Informática, Tecnología y Transparencia (en lo sucesivo DITT), fuera de horario laboral, siendo este requisito imprescindible si la implantación u otra tarea de las requeridas, requiere paradas que impliquen pérdida de servicio para la administración de los sistemas o para los usuarios.

Actualmente se tienen algunos servicios TIC, en modalidad de outsourcing. Por este motivo, el adjudicatario deberá colaborar conjuntamente con los proveedores externos que sea necesario para desarrollar la implantación, despliegue y puesta en marcha de la solución.

La gestión de este sistema corresponderá al personal de la Asamblea de Madrid, por lo que se ofertará formación para administradores del sistema para un mínimo de cuatro personas.

La solución ofertada deberá proporcionar las siguientes funcionalidades:

2.1 Requisitos mínimos de la solución:

• 20 usuarios súper-administradores

• 3 administradores de la plataforma PAM

• Licencia para gestionar 35 sistemas

• Gestión ilimitada de cuentas en cada sistema

• Control de cuentas privilegiadas a nivel de:

o Windows (2012, 2016, …).

o Linux (Oracle Linux).

o Base de Datos (Oracle, SQL Server, MySQL, …).

o Infraestructura (VMware, …).

• Control y el establecimiento de sesiones de administración sin necesidad de revelar sus contraseñas y permitiendo una auditoría completa de la actividad de los administradores designados.

• Certificado necesario para el acceso seguro a la plataforma, se podrá usar el que dispone la Asamblea, pero en caso de existir problemas con nuestro certificado el proveedor deberá facilitar un certificado para el portal emitido por una entidad de confianza, sin coste para la Asamblea.

• Gestión de usuarios y grupos de usuarios integrada con varios LDAP del Directorio Activo en diferentes servidores Windows Server.

• Cifrado robusto de las credenciales de las cuentas privilegiadas.

• Restricción de las acciones, comandos, etc. A ejecutar dependiendo el entorno, rol de usuario, etc.

• Asignación y denegación de recursos para administrar a las cuentas configuradas.

• Gestión de los flujos de aprobación a la herramienta basada en grupos, roles y usuarios del Directorio Activo corporativo.

• Flujos de aprobación de autorizaciones:

o Mecanismos de solicitud y visado del uso de las cuentas privilegiadas.

o Vigencia programada/planificada del uso de cuentas privilegiadas

o Establecer límites temporales de uso de las cuentas privilegiadas

o Permitir revocar autorizaciones en curso.

• Auditorías y registros de acceso.

• Generación y envío planificado de informes.

• Generación de reportes en PDF y XLS.

Para verificar que la solución satisface estos requisitos es obligatorio la presentación del Formulario 0: Comprobación de los requisitos.

2.2 características valorables de la solución:

• Arquitectura con appliance (físico o virtual) en las instalaciones de la Asamblea de Madrid.

• Licenciamiento para técnicos de soporte sobre el mínimo requerido.

• Grabación de las sesiones de soporte remoto y acceso privilegiado de manera centralizada.

• Integraciones con sistemas ITSM y/o soporte para API para integración con otros sistemas.

• Trazabilidad de las acciones (logs). Integración con SIEM.

• Herramientas de gestión centralizada (no requiere instalación de agentes en los dispositivos administrados).

• Generación de copias de seguridad y recuperación ante desastres.

• Personalización del entorno (logotipo, colores corporativos, etc.…).

• Autenticación por doble factor (2FA).

• Acceso a nivel de usuario del sistema en movilidad (Smartphone, Tablet…).

• Exportar las credenciales gestionadas por la herramienta.

2.3 Requisitos mínimos de la gestión del servicio.

Los servicios requeridos que se incluyen en el contrato son los siguientes:

- Licencia de uso de la aplicación.

- Servicios de mantenimiento correctivo.

- Implantación y configuración inicial.

- Formación.

El adjudicatario debe realizar el mantenimiento del sistema indicado bajo las siguientes condiciones:

- Mantenimiento correctivo: La corrección o subsanación de cualquier error en el software que, a partir de la fecha de contrato y durante la vigencia de éste, pudiera observarse en el comportamiento del aplicativo, de conformidad a sus propias especificaciones.

- Mantenimiento preventivo: Actualización del software a la última versión estable publicada.

- Soporte telefónico: Servicio de consulta telefónica u otro medio que disponga el licitador, sobre cuestiones de mantenimiento del producto objeto del contrato.

- El mantenimiento y soporte se realizará con conexión VPN a los servidores de la Asamblea, y en caso de que una incidencia no pueda ser resulta de forma remota los técnicos deberán desplazarse a la Asamblea.

Se requiere que los licitadores elaboren y apliquen los procedimientos que describen e indiquen cómo hacer las copias de seguridad y cómo restaurarlas.

El adjudicatario deberá ofrecer un servicio de asistencia y ayuda para la resolución de indecencias.

El adjudicatario, deberá, conforme a la Ley Orgánica de Protección de Datos, suscribir un contrato como Encargado de Tratamiento.

2.4 Requisitos exigibles a todos los componentes de la solución PAM

Con carácter general, para todos los componentes de la solución demandada se establecen las siguientes prescripciones:

No serán admisibles productos o componentes reacondicionados o de segunda mano.

Se requiere formación específica de los elementos que compondrán la solución, siendo al menos de 8 horas, en dos jornadas. La formación será impartida, en español por videoconferencia.

Todos los productos de software y soporte deben admitir el idioma español, salvo en el caso de que no exista versión que incluya este idioma, en cuyo caso se admitirá el inglés como alternativa.

El licitador debe plasmar en un documento (“Descripción técnica de la solución PAM para la Asamblea de Madrid”) cómo satisface cada uno de los requisitos exigidos. Este documento debe incluir la descripción detallada de la solución integral acompañada de un esquema donde aparezcan claramente expresadas las conexiones entre los distintos componentes. Dicho documento debe incluir un inventario detallado de todos los dispositivos hardware y software que componen la solución, indicando las versiones instaladas. La validación de dicho documento por la Dirección de Informática, Tecnología y Transparencia servirá como aceptación de la instalación, configuración y actualización de la solución integral.

La solución PAM propuesta deberá integrarse con la infraestructura corporativa y los SAI’s (en su caso), quedando fuera del alcance el soporte a estos componentes.

Se presentará un documento comprensivo de todas las características de instalación, y otro documento en el que figuren las acciones y medidas que se tomarán en caso de una eventual situación de desastre (plan de contingencias).

2.5 Calidad del servicio.

El adjudicatario garantizará un nivel de calidad de servicio en los siguientes términos: Respuesta ante cualquier incidencia:

- Telefónica: Inmediata (8x5)

- Tiempo máximo de resolución: 4 horas (incidencia crítica), 6 horas (incidencia grave), 12 horas (incidencia media). Para el caso de las incidencias leves se permitirá un plazo de resolución máximo superior a las 48 horas con carácter excepcional y previa justificación expresa de la imposibilidad de realizar las adecuaciones requeridas en menor período de tiempo.

El adjudicatario del servicio pondrá a disposición de la Asamblea las herramientas y/o la información necesaria para que ésta pueda supervisar la calidad y utilización del servicio que se está provisionando en cada momento.

2.5.1 Definiciones

Incidencias críticas (prioridad 1): Son aquellas con un elevado impacto en las operaciones y/o imagen de la Cámara, y que comportan una pérdida total de servicio.

Incidencias graves (prioridad 2): Son aquellos Incidentes en los que, aun estando disponibles los servicios, estos se prestan con alguna deficiencia importante. Comportan una pérdida parcial de servicio.

Incidencias medias (prioridad 3): Son aquellas que prestando el servicio con normalidad, hay algún elemento o elementos que no funcionan adecuadamente.

Incidencias leves (prioridad 4): Son aquellas que atienden a recomendaciones de buenas prácticas y adaptación de configuraciones.

Tiempo de Intervención (TI): Tiempo transcurrido desde que se abre un incidente al adjudicatario hasta que el técnico asignado se pone en contacto con la Asamblea de Madrid.

Tiempo de Resolución (TR): Tiempo transcurrido entre la apertura de un incidente y su resolución.

2.6 Requisitos de seguridad, mantenimiento y confidencialidad.

La solución requerida, se entiende como llave en mano, por lo que deben suministrarse todos los elementos necesarios para la correcta implementación de todos sus componentes.

También debe contemplar la posibilidad de gestionar de manera remota toda la solución sin que ello implique comprometer el funcionamiento de la misma.

El licitador debe especificar si los equipos a suministrar en su propuesta requieren condiciones de infraestructura (referentes a instalaciones eléctricas especiales, de climatización, aislamiento, etc.) específicas.

En todo caso, dichas necesidades quedan fuera del objeto del presente contrato.

Por último, se establece que el adjudicatario deberá proporcionar cualquier otro material necesario para la completa y correcta instalación de todo el material indicado en este procedimiento (ventiladores, fuentes de alimentación, adaptadores, cables, materiales fungibles necesarios para la instalación, etc.).

Los licitantes describirán en su oferta las medidas a aplicar para asegurar la confidencialidad, comprometiéndose a no dar a la información y datos proporcionados por esta Cámara cualquier otro uso no

previsto en el presente Xxxxxx, ni facilitar ni manipular por él mismo o por terceras personas los datos relacionados con este servicio que viajen por su red.

Prescripción 3. FASE DE IMPLANTACIÓN.

La empresa designará un interlocutor único que actuará a su vez como coordinador y responsable del proyecto por parte de la empresa.

El responsable del servicio asumirá las siguientes actividades:

• Asegurar que se cumplen los objetivos de la contratación y las obligaciones contractuales.

• Gestionar la provisión del servicio para cumplir los objetivos y niveles de servicio acordados

• Asegurar el cumplimiento de los niveles de calidad acordados y mantener una actitud proactiva para sugerir iniciativas que incidan en la mejora continuada del servicio

• Asegurar la gestión eficiente de los problemas.

• Escalar asuntos a la dirección de la empresa adjudicataria del contrato cuando sea necesario.

• Realizar la coordinación.

El adjudicatario dispondrá de 60 días naturales, a contar desde la fecha de formalización del contrato, para instalar, trasladar a su solución y configurar toda la infraestructura necesaria para la prestación del servicio con las características indicadas.

Los licitadores deberán incluir en su propuesta el Plan de implantación que proponen para conseguir una adopción satisfactoria del servicio demandado.

Dicho plan, incluirá como mínimo, lo siguiente:

- Planificación temporal del proyecto.

- Tareas y operaciones a realizar en cada fase, participantes y responsables:

- Se requiere la presentación de un modelo de relación entre la Asamblea y el adjudicatario así como la identificación de roles.

- La fase de lanzamiento del servicio deberá incluir el detalle de tareas y recursos que sean necesarios para la puesta en producción del servicio PAM solicitado.

En esta fase se realizará el despliegue de los componentes de la solución PAM: Instalación de dispositivos, software y elementos necesarios en el CPD de la Asamblea.

El adjudicatario facilitará el número necesario de horas destinadas a la implantación, configuración, despliegue y puesta en marcha de la solución. Estas horas deberán ser realizadas dentro de la jornada laboral habitual (de lunes a viernes de 9:00 a 18:00). Todas las horas destinadas para esta tarea, irán a cargo del adjudicatario.

Paralelamente e independiente al anterior punto, el adjudicatario ofrecerá 8 horas para la formación de la herramienta adquirida.

Durante la implantación se deben ejecutar las acciones necesarias para garantizar el correcto funcionamiento de los mecanismos de comunicación, gestión y soporte.

El adjudicatario deberá incluir en esta fase la ejecución de las pruebas relacionadas con la validación del servicio demandado. El plan de pruebas incluirá la realización de una copia de seguridad y la verificación de la restauración de una copia de seguridad.

Para la aceptación de los trabajos, se requiere la documentación final de la solución desplegada y configurada, con al menos los siguientes elementos: esquema general de la solución, componentes desplegados con indicación explícita de las versiones y actualizaciones implementadas, así como la configuración de los componentes.

Prescripción 4. GESTIÓN Y OPERACIÓN DE LOS SERVICIOS.

Desde el punto de vista de la facturación y gestión comercial, el adjudicatario deberá designar un punto único de contacto con la Asamblea de Madrid, que será el encargado de canalizar las solicitudes realizadas por la Asamblea.

Existirá un servicio de soporte durante toda la duración del contrato para la resolución de las posibles dudas, problemas o incidencias. Como mínimo, este servicio deberá ser 8 x 5, mediante notificación vía WEB y/o teléfono, seguimiento de incidencias con el sistema de ticketing del proveedor y con atención en castellano.

Dentro del servicio de post-venta o mantenimiento, quedan incluidas las nuevas versiones y/o actualizaciones de la solución, sin implicar un incremento de los costes. El adjudicatario, con suficiente antelación, se encargará de poner en aviso, de la disponibilidad de una nueva versión o actualización.

4.1 Gestión administrativa del servicio.

4.1.1 Modelo de facturación y tarificación de la solución PAM.

El modelo de facturación y tarificación de la solución PAM se solicita preferiblemente con un plan de pago diferenciado. Se establecerá una cuota inicial una vez concluida la fase de implantación. Esta cuota inicial como máximo será del 56% del precio total se abonará una vez finalizada y validada la instalación. El resto se abonará distribuido en cuotas anuales y fijas a lo largo de la duración del contrato una vez iniciado cada uno del resto de los ejercicios.

4.2 Gestión técnica.

4.2.1 Asistencia técnica.

La oferta contemplará un servicio de asistencia técnica de lunes a viernes de 9:00 a 18:00 horas para la recogida y tramitación de incidencias y consultas durante el tiempo de prestación del servicio.

4.2.2 Operación y mantenimiento del servicio.

El adjudicatario informará de los trabajos de mantenimiento programados que afecten al servicio contratado, al menos, con ocho días laborables de antelación.

Los trabajos de mantenimiento se realizarán dentro de una franja horaria acordada con la Asamblea de Madrid y que ocupará horarios de baja actividad. Dichos trabajos deberán ser aprobados por la Asamblea de Madrid. El mantenimiento de los componentes ofertados incluirá:

Mantenimiento de la configuración.

Incluirá la validación, recuperación y adecuación de las configuraciones de los elementos componentes del servicio.

Mantenimiento preventivo.

Comprende aquellas tareas realizadas sobre el equipamiento con el fin de anticipar posibles problemas e incidencias que puedan surgir.

Mantenimiento correctivo.

Comprende el conjunto de acciones encaminadas a detectar y solucionar los problemas que puedan impedir o dificultar el correcto funcionamiento de los equipos y configuraciones considerados en los servicios y/o el cumplimiento de los requerimientos generales de calidad, fiabilidad, seguridad o continuidad comprometidos por el adjudicatario. Se pretende garantizar el restablecimiento de la completa operatividad del servicio.

4.2.3 Aceptación de la implantación.

Una vez que:

- la implantación de la solución PAM se ajuste a lo estipulado en la oferta,

- la solución planteada satisfaga todos los requisitos xxx xxxxxx,

- la solución esté libre de errores,

- se haya ejecutado el plan de pruebas sin que se haya detectado ninguna disfuncionalidad y

- la Asamblea compruebe estas circunstancias, se firmará la correspondiente aceptación de la implantación.

A partir de ese momento el sistema entrará en producción.

El plazo de los cuatro años comienza a contar a partir del día de la aceptación de dicha implantación por parte de la Asamblea.

4.3 Gestión comercial

A lo largo de la duración del contrato, la Asamblea podrá solicitar variaciones en la prestación del servicio dentro del marco de la legislación vigente.

Asimismo, el adjudicatario mantendrá informada periódicamente a la Asamblea de las novedades de servicios introducidas en su catálogo, durante el período de prestación del servicio.

4.4. Obligaciones específicas.

Referentes a los medios técnicos.

El contratista deberá provisionar todos los componentes necesarios para la adecuada prestación del servicio.

Corresponderá al adjudicatario el abono de todos los gastos que sean necesarios para la prestación del servicio objeto del contrato con el alcance estipulado en los presentes Pliegos.

Deberá proporcionar los medios técnicos (equipos si procede y licencias de software necesarias) para la adecuada prestación del servicio, en la sede de la Asamblea.

Referentes a los medios personales.

El contratista deberá proporcionar los técnicos que puedan acometer las tareas inherentes a la prestación del servicio demandado. A tales efectos deberá satisfacer las exigencias de solvencia técnica requeridas en el Pliego.

Referentes al lugar de realización de los trabajos.

Dada la naturaleza del servicio objeto del contrato, puede ser necesario que los trabajos se realicen en las instalaciones de la Asamblea. El adjudicatario podrá desarrollar las operaciones de soporte y/o de gestión del servicio de forma remota, con independencia de que la Asamblea podrá requerir la asistencia in situ siempre que ello sea necesario.

Referentes a las obligaciones de información y documentación.

Durante la prestación del servicio, el adjudicatario se compromete, en todo momento, a facilitar a la Asamblea, a través de la DITT, la información y documentación que ésta soliciten para disponer de un pleno conocimiento de las circunstancias en que se desarrollan las operaciones vinculadas al servicio PAM, así como de los

eventuales problemas que puedan plantearse y de las tecnologías, métodos y herramientas utilizados para resolverlos.

Salvo indicación expresa en contrario, cualquier documento relativo al objeto del contrato será aportado en castellano, al margen del soporte y/o formato utilizado para la transmisión de información.

El adjudicatario proporcionará sin coste adicional para la Asamblea una copia en soporte electrónico con toda la documentación generada durante la prestación de los servicios objeto de este Contrato.

Transferencia Tecnológica.

Durante la prestación del servicio, el adjudicatario se compromete, en todo momento, a facilitar a las personas designadas por la Asamblea de Madrid a tales efectos, toda la información, software necesario a instalar (si procede) y documentación que estas soliciten para disponer de un pleno conocimiento técnico de las circunstancias en que se desarrollan las operaciones, así como de los eventuales problemas que puedan plantearse, y de las tecnologías, métodos, y herramientas utilizadas.

Referentes a las intervenciones en sede.

La Asamblea de Madrid facilitará al personal del adjudicatario las autorizaciones de entrada a los centros o dependencias de la Asamblea cuando se precisen.

El adjudicatario presentará a la Asamblea de Madrid una relación del personal que realizará la prestación de los diferentes servicios, indicando su nombre, apellidos y número de DNI o pasaporte, así como su función o responsabilidad asignada dentro de las tareas objeto del contrato.

La Asamblea de Madrid se reserva el derecho de vetar en cualquier momento a cualquiera de las personas incluidas en la relación de personal

Prescripción 5. FINALIZACIÓN DEL CONTRATO Y TRANSFERENCIA TECNOLÓGICA.

A la conclusión de la prestación del servicio deberá realizarse una transferencia tecnológica final en la que se verificará que la documentación, esté debidamente actualizada.

Dentro de la prestación del servicio demandado, debe estar incluida una fase de devolución/finalización del servicio que garantice de forma ordenada el traspaso de responsabilidades entre el adjudicatario del presente procedimiento y el siguiente, en el hipotético escenario de cambio del primero.

El periodo de transición del servicio comenzará, como mínimo, un mes antes de la finalización del contrato y podrá prolongarse hasta dos meses después, en forma de garantía post-retorno.

Durante ese periodo el adjudicatario saliente cooperará con el nuevo adjudicatario a efectos de que la transición del servicio llegue a buen fin. En concreto, aportará todas las descripciones funcionales de todos los componentes del servicio y la documentación vinculada actualizada.

Al inicio del último trimestre de prestación del servicio, el adjudicatario deberá proponer una planificación de las operaciones y tareas necesarias para ejecutar la devolución del servicio. Dicha planificación deberá especificar la duración y distribución temporal de la fase de finalización, considerando los diferentes servicios objeto del contrato en el momento del retorno. Todos los servicios serán analizados considerando su complejidad, criticidad y disponibilidad de recursos necesarios para que puedan ser asumidos nuevamente por la Asamblea o el nuevo adjudicatario, si procede. Se requiere la coordinación entre el nuevo adjudicatario, el saliente y la Asamblea a efectos de valorar la conveniencia de realizar el traspaso de funcionalidades por fases. Una vez transferido el servicio y aceptada esta fase por parte de la Asamblea, el adjudicatario saliente deberá aportar la constancia explícita de eliminación de todos los registros de información relacionados con la prestación del servicio.