Contract
PLIEGO DE CONDICIONES TÉCNICAS QUE HA DE REGIR EL PROCEDIMIENTO ABIERTO SIMPLIFICADO SUMARIO PARA CONTRATAR EL SERVICIO DE USO Y MANTENIMIENTO DE UNA APLICACIÓN INFORMÁTICA PARA LA GESTIÓN CENTRALIZADA DE LOS SERVICIOS ELECTRÓNICOS COMUNES OFRECIDOS A TRAVÉS DE MEDIOS ELECTRÓNICOS POR OTRAS ADMINISTRACIONES PÚBLICAS, EN EL AYUNTAMIENTO XX XXXXX.
1. OBJETO DEL CONTRATO.
El objeto de este procedimiento es la contratación del uso y mantenimiento de una aplicación informática para la gestión centralizada de los servicios electrónicos comunes ofrecidos a través de medios electrónicos por otras Administraciones Públicas con la Plataforma de Intermediación de Datos (en adelante, PID) así como la gestión de los contratos y su publicación en la Plataforma de Contratación del Sector Público (en adelante, PLACSP).
2. OBJETIVOS
El objetivo de este pliego es facilitar al Ayuntamiento xx Xxxxx el cumplimiento con la legislación referente a administración electrónica mediante el uso de una plataforma de software única y centralizada que dé acceso a los servicios ofrecidos por diferentes Administraciones Publicas y con ello consiga además:
• Reducir el volumen de documentos y certificados aportados por los ciudadanos para iniciar o instruir un expediente administrativo.
• Reducir el consumo de papel y los costes generales de tramitación.
• Reducir las cargas administrativas soportadas en los procedimientos administrativos, tanto por los ciudadanos y empresas, como por la propia administración.
3. CONSIDERACIONES PREVIAS
En este apartado se especifican los requisitos mínimos que deberán cumplir los elementos ofertados, si bien los mismos podrán ser mejorados por los licitadores. Las propuestas que ofrezcan características inferiores a las especificaciones técnicas mínimas requeridas no serán tomadas en consideración en el presente procedimiento. Los licitadores pueden ofertar prestaciones superiores a las solicitadas, que se considerarán positivamente en la valoración técnica de la oferta.
El adjudicatario deberá desarrollar y aportar los conocimientos, metodologías, recursos humanos y técnicos necesarios para asegurar la prestación óptima del servicio.
El adjudicatario se obliga a guardar secreto y a hacerlo guardar al personal que emplee para la ejecución del contrato, respecto a toda la información del Ayuntamiento xx Xxxxx que con motivo del desarrollo de los trabajos y servicios llegue a su conocimiento, no pudiendo utilizarla para sí o para otra persona, entidad o firma.
Para la adecuada ejecución del proyecto, el adjudicatario deberá mantener cuantas reuniones sean precisas para definir el esquema operativo del proyecto, realizando una puesta en común con la Entidad Local para el establecimiento de los hitos de actuación necesarios para la correcta ejecución del mismo.
Las múltiples referencias a protocolos, certificaciones o estándares que se indiquen a lo largo de este pliego deberán entenderse acompañado de la mención “o equivalente”.
El licitador deberá garantizar la total compatibilidad e integración de la totalidad de los elementos ofertados con el Sistema de Información Contable implantado en el Ayuntamiento xx Xxxxx.
Del mismo modo, la solución deberá integrarse plenamente con el entorno tecnológico existente sin interferir en las funcionalidades que ya esté prestando el mismo.
El adjudicatario deberá garantizar la prestación y cumplimiento del servicio siendo responsable del cumplimiento de todas y cada una de las funciones encomendadas.
3.1 OBLIGACIONES DE LOS PRESTADORES DE SERVICIOS A LAS ENTIDADES PÚBLICAS
Las empresas adjudicatarias como prestadoras de servicios sujetos al cumplimiento del Esquema Nacional de Seguridad tendrán las obligaciones que se detallan a continuación.
Deberán estar en condiciones de exhibir, respecto a los servicios ofrecidos, la correspondiente Certificación de Conformidad con el ENS ya que el Ayuntamiento xx Xxxxx ha establecido la categoría Media para los servicios objeto de este contrato de acuerdo a lo establecido en la “Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad”, aprobada, el 13 de octubre de 2016, por Resolución de la Secretaría de Estado de Administraciones Públicas.
Para soluciones on-premise, independientemente de que originariamente hubieran sido desplegadas como soluciones en la nube o no, será de aplicación también lo indicado en la “Guía CCN-STIC 858 Implantación de sistemas SaaS en modo local (on-premise)” y el “Abstract- Requisitos de Seguridad Adicionales para Servicios en la Nube prestados desde instalaciones en modo local”, en particular, en lo relativo a los requisitos de seguridad
adicionales (Guía de Instalación y Configuración Segura del Sistema destinada a administradores y la Guía de Uso Seguro del Sistema destinada a usuarios finales).
3.1.1 DESCRIPCIÓN DE SERVICIOS Y MODALIDAD
Los prestadores de servicios aportarán una descripción precisa de los servicios y su modalidad, indicando: el alcance de la prestación del servicio, si cubre funciones operativas del servicio o de control (aportando información clara sobre el objeto del servicio), expectativas y limitaciones del mismo.
Si se prestan servicios en Cloud, será necesario indicar la modalidad de los servicios prestados: IaaS (Infrastructure as a Service), SaaS (Software as a Service) o PaaS (Platform as a Service). Si se prestan servicios de desarrollo de aplicaciones, asimismo, se deberá indicar si las soluciones se desplegarán en modo local on-premise o externalizado, etc.
3.1.2 INFORMACIÓN SOBRE LA ARQUITECTURA DE SEGURIDAD
Será requisito obligatorio que el prestador de servicios, cuando sea relevante para el servicio prestado, especialmente a efectos de definición de requisitos de interconexión, aporte la información necesaria sobre el sistema que soporta los servicios, respecto a la arquitectura de seguridad, con el objeto de facilitar al Ayuntamiento xx Xxxxx el cumplimiento de sus obligaciones, tales como la realización del Análisis de Riesgos o el subsiguiente Plan de Tratamiento de Riesgos.
Asimismo, aportará los diagramas de red, esquemas de elementos físicos, esquemas de interconexión y esquemas lógicos de sistemas que muestren a la entidad cliente la infraestructura física y lógica de la que forma parte el servicio objeto de contratación.
De esta forma, el Ayuntamiento podrá delimitar las dependencias entre sus activos esenciales y los activos subcontratados, y analizar las potenciales amenazas que se podrían materializar sobre los sistemas de información.
3.1.3 UBICACIÓN DE LA INFORMACIÓN
Con el fin de que el Ayuntamiento conozca con precisión la ubicación de los sistemas de información concernidos en la prestación y su información, el prestador de servicios aportará la documentación que detalle si los tratamientos de información van a ejecutarse en sistemas e instalaciones propias o del Ayuntamiento xx Xxxxx.
Asimismo, en caso de que los tratamientos se realicen en sistemas del prestador del servicio, se indicarán las medidas de seguridad física asociadas. Este aspecto es importante ya que permitirá al Ayuntamiento evaluar el cumplimiento de la normativa de protección de
datos, en lo relativo a transferencias internacionales de datos y de la legislación en materia de administración digital, contratación del sector público y telecomunicaciones.
Las exigencias anteriores podrán ser evidenciadas a través de las correspondientes Certificaciones de Conformidad con el ENS de las que el proveedor fuera titular.
3.1.4 MEDIDAS DE SEGURIDAD IMPLEMENTADAS
El Ayuntamiento xx Xxxxx podrá requerir del prestador, además de la correspondiente Certificación de Conformidad, el detalle de la Declaración de Aplicabilidad y, en su caso, de las medidas compensatorias y complementarias de vigilancia utilizadas si así se determinan.
De esta forma, El Ayuntamiento podrá dar conformidad a sus propios requisitos del ENS y conocer si existen medidas de seguridad adicionales o complementarias a las exigidas por la categoría de su/s sistema/s.
3.1.5 CUMPLIMIENTO DE LA NORMATIVA VIGENTE DE PROTECCIÓN DE DATOS
En aquellos casos en los que los servicios prestados impliquen el tratamiento de datos personales, será necesario la implementación de funcionalidades que garanticen el cumplimiento de la normativa vigente por parte del Ayuntamiento como son las medidas destinadas a cumplir con los principios básicos del tratamiento y que permitan garantizar los derechos de los interesados (acceso, rectificación, supresión, bloqueo de datos, etc.).
Además de lo anterior el proveedor de servicios estará obligado a cumplir las obligaciones que establece la normativa de protección de datos para los Encargados de Tratamiento.
3.1.6 INCIDENTES DE SEGURIDAD
Las entidades públicas tienen la obligación de notificar al CCN-CERT los incidentes de seguridad que puedan tener un impacto significativo, tal y como prescribe el art. 36 del ENS y desarrolla la Resolución de, 13 xx xxxxx de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
Por otro lado, la Resolución de, 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, prescribe que el ENS resulta también de aplicación a las entidades privadas cuando presten servicios o provean soluciones a las entidades públicas a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad.
La aplicabilidad del ENS a tales empresas privadas supone también la obligación de notificar a la entidad pública contratante a la que presten servicio los incidentes de seguridad, que puedan afectar la seguridad de los sistemas objeto del servicio.
El proveedor del sector privado podrá notificar el incidente al CCNCERT a través de la Plataforma XXXXX del Ayuntamiento xx Xxxxx. En el caso de que dicha plataforma no estuviera disponible, podrá emplear otro mecanismo de notificación, como el correo electrónico a la dirección xxxxxxxxxx@xxx-xxxx.xxx.xx, prestándose el Servicio de Respuesta a Incidentes desde el CCN-CERT.
La resolución de un incidente de seguridad que haya tenido como víctima al Ayuntamiento Parla, especialmente cuando tal incidente sea de peligrosidad alta o superior, exigirá la participación de la entidad proveedora de los servicios afectados por el incidente de seguridad, al objeto de calibrar el impacto del ataque y la adopción de las medidas necesarias de contención, mitigación, respuesta y recuperación.
Estas actividades, por su especialización, podrán requerir el concurso de su CSIRT de referencia, especialmente cuando el incidente hubiere afectado a sistemas que traten información de naturaleza administrativa o datos de los ciudadanos administrados. Dicha respuesta deberá gozar por tanto de las preceptivas medidas de seguridad y confidencialidad de la actuación administrativa que exige el art. 3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y que obliga a que tal conocimiento solo pueda extenderse a un organismo de las administraciones públicas, como el Centro Criptológico Nacional.
3.1.7 PORTABILIDAD DE LA INFORMACIÓN
Será necesario implementar mecanismos que garanticen la portabilidad de la información con el objetivo de facilitar al Ayuntamiento xx Xxxxx el proceso de gestión del cambio ante el cese o baja de los servicios suministrados por parte del prestador de servicio.
Igualmente, el prestador de servicios deberá certificar que, al causar baja el servicio suministrado, los datos almacenados han sido eliminados de manera segura una vez finalizado el proceso de portabilidad.
3.1.8 CADENA DE SUBCONTRATACIÓN Y SUS CAMBIOS
La empresa proveedora del servicio deberá disponer de una documentación que detalle claramente los elementos que forman parte de la cadena de subcontratación, así como las implicaciones derivadas de cualquier cambio o modificación que pueda sufrir algún eslabón de dicha cadena.
El proveedor deberá asegurar que los sistemas de información de las empresas subcontratadas son conformes con el ENS en lo que respecta a los servicios que afecten al Ayuntamiento xx Xxxxx, por lo que el contenido del presente documento resultará asimismo de aplicación a la cadena de suministro del proveedor.
En este sentido, el Ayuntamiento xx Xxxxx podrá requerir del prestador, además de la correspondiente Certificación de Conformidad, el detalle de la Declaración de Aplicabilidad y, en su caso, de las medidas compensatorias y complementarias de vigilancia utilizadas.
3.1.9 CAPACIDAD Y DIMENSIONAMIENTO DEL SISTEMA
Se deberá disponer de un sistema de gestión de la capacidad con mejora continua, que proporcione, de forma periódica, información relacionada con el sistema que soporta los servicios, como por ejemplo capacidad, dimensionamiento y rendimiento del sistema.
Análogamente, el Ayuntamiento xx Xxxxx podrá requerir del prestador, además de la correspondiente Certificación de Conformidad, el detalle de la Declaración de Aplicabilidad y, en su caso, de las medidas compensatorias y complementarias de vigilancia utilizadas.
3.1.10 SEGUIMIENTO DE LOS ACUERDOS DE NIVEL DE SERVICIO
El proveedor del servicio (de conformidad con lo exigido por la medida [op.ext.2]), facilitará herramientas de monitorización o informes periódicos de modo que el Ayuntamiento xx Xxxxx pueda realizar un seguimiento y gestión del cumplimiento de los Acuerdos de Nivel de Servicio (SLA) contratados.
El prestador de servicio será proactivo en este ámbito, aportando estos datos con total transparencia y gestionando los incumplimientos diligentemente.
3.1.11 CONTINUIDAD
Con el fin de que el Ayuntamiento xx Xxxxx pueda garantizar la continuidad de los servicios prestados por el prestador, será necesario que este le facilite la información necesaria para establecer el plan de continuidad tal y como se exige en el ENS.
3.1.12 ANÁLISIS Y EXPLOTACIÓN DE REGISTROS
Para que los registros (logs) generados por los servicios contratados y que el proveedor deberá poner a disposición del Ayuntamiento xx Xxxxx, de conformidad con la medida [op.exp.8], tanto en su utilización como en su gestión, puedan ser debidamente analizados y explotados, el proveedor establecerá funcionalidades que permitan definir alertas y reglas, de forma que se facilite el análisis de la información registrada.