Contract
PLIEGO DE PRESCRIPCIONES TÉCNICAS DEL CONTRATO DEL SERVICIO DE ALOJAMIENTO Y EXPLOTACIÓN DEL PORTAL WEB Y CORREO ELECTRÓNICO DE LA SINDICATURA DE CUENTAS DE LAS ISLAS BALEARES
Tabla de contenidos
1 INTRODUCCIÓN. SITUACIÓN ACTUAL.
3
3
3
3.5 Explotación del servicio 6
3.7 Servicios de instalación y migración 7
4 ACUERDO DE NIVEL DE SERVICIO (ANS)
8
4.1 Tiempo de respuesta a peticiones de servicio 8
4.2 Tiempo de respuesta a incidencias de servicio 9
4.3 Disponibilidad de los servicios 9
9
6 SEGUIMIENTO Y CONTROL DE LOS TRABAJOS
10
7 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
10
10
1 INTRODUCCIÓN. SITUACIÓN ACTUAL.
La Sindicatura de Cuentas de las Islas Baleares actualmente tiene alojado su portal en un servidor virtual ubicado en un proveedor externo en modalidad de hosting y administración gestionada. El servicio actual también incluye la gestión de los registros DNS de los dominios de la Sindicatura y el correo electrónico corporativo.
La configuración y las versiones del servidor actual son las siguientes:
- Máquina virtual con 8 vCPU/ 4 GB RAM/ 75 GB de disco
- Sistema operativo: Ubuntu LTS 64 bits un contenedor (docker) para las versiones de Java y JBoss
- Aplicaciones:
o Jboss Versión: 4.2.2 GA
o PostgreSQL Versión: 8.4.22
o Java versión: 1.5.0_15
o Apache 2.4.7
o Estadísticas (Webalizer)
2 OBJETO DEL CONTRATO
Contratación de los servicios de alojamiento para la web pública, sede electrónica y correo electrónico corporativo de la Sindicatura de Cuentas de las Islas Balears.
En particular, los servicios serán:
‐ Instalación, configuración y despliegue de una máquina virtual y de los servicios necesarios para el funcionamiento del portal web y la sede electrónica de la Sindicatura.
‐ Servicio de correo electrónico corporativo de la Sindicatura de Cuentas.
‐ Alojamiento de los servicios en las condiciones especificadas en los requerimientos técnicos.
‐ Gestión y administración de los sistemas hardware y software necesarios para el suministro adecuado del servicio.
‐ Gestión de los registros DNS de los dominios de la Sindicatura.
3 REQUERIMIENTOS
Los requisitos técnicos especificados en este apartado corresponden a requerimientos mínimos.
3.1 Alojamiento
El adjudicatario tiene que proporcionar un servidor virtual en modalidad de hosting y administración gestionada para el portal web y la sede electrónica de la Sindicatura de Cuentas. Este servicio de hosting tiene que proporcionar el entorno, la conectividad y los servicios de soporte necesarios, de manera que se garantice la disponibilidad de los contenidos y de los servicios, así como la velocidad de acceso a estos contenidos. Además, el proveedor tiene que proporcionar todos los medios necesarios para garantizar el funcionamiento correcto del website.
El adjudicatario tiene que proporcionar un servidor virtual y conexión a Internet con asistencia técnica 24x7.
El servidor virtual ha de cumplir los siguientes requisitos:
- Máquina virtual con 8 vCPU/ 4 GB RAM/ 200 GB de disco
- Sistema operativo de 64 bits (Ubuntu, Debian,...)
- Aplicaciones:
o Jboss Versión: 4.2.2 GA
o PostgreSQL Versión: 8.1.19
o Java versión: 1.5.0_15
o Apache 2.4.7
o Estadísticas (Webalizer)
Esta infraestructura (sistema operativo, servidores de aplicaciones, servidores web, gestor de base de datos,...) podrá cambiar durante la ejecución del contrato dado que la Sindicatura está inmersa en un proceso de actualización de su portal web y de implantación de la sede electrónica, que puede hacer necesario el despliegue de nuevos productos y/o versiones.
La oferta ha de contemplar este hecho, de manera que el adjudicatario deberá asumir la instalación de la nueva infraestructura de sistema operativo, servidores web, servidores de aplicaciones, gestor de base de datos, etc., de acuerdo con las indicaciones del personal técnico de la Sindicatura, sin interrumpir el servicio en producción. Este requisito puede suponer la necesidad de crear un entorno de preproducción durante el proceso de cambio/instalación del nuevo software de base o de aplicación. En cualquier caso, se hará uso de librerías y productos de software de código libre, lo que no supondrá coste adicional de licencias.
Con el fin de garantizar la seguridad física y la disponibilidad del sistema, los servicios tienen que estar ubicados físicamente en un CPD especialmente acondicionado y diseñado con una arquitectura redundante y tolerante a fallos con los siguientes requisitos:
- Garantía de suministro eléctrico.
- Infraestructura de red redundante.
- Suelo técnico.
- Seguridad lógica y física.
- Control medioambiental.
- Extinción de incendios.
- Controles de seguridad 24x7 (control de acceso, personal de seguridad, circuitos cerrados de video vigilancia, etc.)
- Ventanas de mantenimiento: el adjudicatario deberá avisar con antelación suficiente y planificar con el personal técnico de la Sindicatura cualquier trabajo de mantenimiento y actualización de sus sistemas que pueda afectar la disponibilidad de los servicios del cliente.
El servicio tiene que garantizar la disponibilidad de la conexión y una velocidad de acceso óptima para los usuarios del portal web y la sede electrónica:
- La transferencia o tráfico mensual tiene que ser de 20GB/mes. Los excesos de este caudal se facturarán por separado y se incluirán en la factura mensual.
- Proporcionar y mantener los equipos de telecomunicaciones (firewall, routers, switch, etc.)
- Controlar de manera permanente la red de comunicaciones (conexiones de red, infraestructura LAN de la empresa que proporciona el servicio y backbone).
- Gestionar y administrar todos los elementos que integran la solución de comunicación, garantizando la disponibilidad y la integridad de los contenidos y de los servicios.
3.2 Backup
El adjudicatario debe proporcionar un sistema de copias de seguridad que garantice la integridad de la información y que cumpla todas las normas vigentes sobre protección de datos:
- El adjudicatario será el encargado de realizar las copias de seguridad de los servicios y de la información objeto de este contrato.
- El sistema tiene que permitir un backup diario completo de hasta 200GB.
- La copia de seguridad tiene que ser una imagen del servidor completo, de forma que permita la recuperación en caso de pérdida de todo el servidor (disaster recovery).
- La información de las copias de seguridad se tiene que almacenar encriptada.
- La Sindicatura podrá solicitar la restauración parcial o completa de la copia de seguridad en cualquier momento (24x7). Además, tiene que ser posible recuperar todo el servidor, o el contenido parcial, incluso una carpeta o un fichero concreto. El adjudicatario será el encargado de la recuperación de los backups.
- El adjudicatario tiene que monitorizar el resultado de los procesos de backup y la Sindicatura tiene que tener acceso online en tiempo real al estado de los backups realizados y al espacio utilizado por estos.
- El período de retención mínimo será de 15 días de copias diarias y dos copias mensuales completas (2 meses).
3.3 Correo electrónico
El adjudicatario tiene que proporcionar el servicio de correo electrónico corporativo de la Sindicatura de Cuentas, de acuerdo a las necesidades siguientes:
- Un mínimo de 100 buzones de correo y 20 alias (redirecciones)
- 20 GB de capacidad total, que se pueden distribuir entre las diferentes cuentas.
- Acceso POP y IMAP
- Acceso vía webmail
- Filtrado antivirus, antispam y antiphising.
3.4 Dominios
EL adjudicatario tiene que gestionar el servicio DNS de los dominios de la Sindicatura (CNAME, alias, MX, etc.)
Para la gestión de los registros DNS, el adjudicatario deberá proporcionar al personal de la Sindicatura una consola de gestión remota que permita la modificación de los datos de los dominios y subdominios.
3.5 Explotación del servicio
3.5.1 Soporte técnico permanente (24x7)
El soporte técnico debe incluir las acciones necesarias para la correcta explotación de los equipos instalados y deberá contemplar diferentes niveles:
- Soporte estándar, dentro del horario laboral.
- Soporte de emergencia, disponible de manera permanente (24x7, 365 días al año) para la resolución de problemas críticos.
- Soporte programado: disponible para procedimientos planificados, coordinados con el personal técnico de la Sindicatura de Cuentas.
- Monitorización continua del servidor y de los servicios con un sistema adecuado de notificaciones de las incidencias al personal designado por la Sindicatura.
- El sistema de monitorización tiene que integrar todos los parámetros relativos a la plataforma (servidor, internet, aplicaciones, backup y actualizaciones).
- El personal designado por la Sindicatura de Cuentas tiene que tener acceso online y permanente a la información de la monitorización de sus servicios. Esta información debe permanecer dentro de un histórico un período mínimo de un año.
- El adjudicatario tiene que resolver las incidencias generadas por el sistema de monitorización sin petición expresa del personal de la Sindicatura, pero informando de las acciones realizadas.
- El adjudicatario, con una periodicidad mensual, tiene que generar y remitir vía email informes con información sobre el estado de los sistemas y servicios de la Sinticatura (solicitudes, incidencias, capacidad, rendimiento de los sistemas y aspectos de seguridad). Esta información permitirá poner en marcha acciones de mejora de la eficiencia de los sistemas y anticipar posibles problemas de capacidad, seguridad, incidencias, etc.
3.5.3 Administración de la plataforma
El adjudicatario tiene que proporcionar un servicio de administración gestionada, que tiene que incluir:
- Mantenimiento del software de base de la máquina (sistema operativo, patchs…) Tiene que incluir la aplicación semanal de las actualizaciones de seguridad que afecten al sistema operativo, que se llevarán a cabo preferiblemente los fines de semana.
- El adjudicatario debe llevar a cabo todas las tareas necesarias para asegurar el funcionamiento correcto del servidor (actualizaciones, revisión de registros, reconstrucciones a partir de copias de seguridad, etc.)
- En caso de detectar una incidencia en el servicio, el adjudicatario actuará para restablecer el servicio en el menor tiempo posible, siempre siguiendo las pautas establecidas por la Sindicatura.
- El adjudicatario tiene que proporcionar, al personal de la Sindicatura, acceso a un panel de control del tipo cPanel o Plesk para poder llevar a cabo las tareas de monitorización de los servicios, gestión de incidencias, estado de los backups,...
- El personal de la Sindicatura autorizado deberá tener acceso, vía SSH, al servidor para poder realizar las tareas de administración necesarias, sin perjuicio de las que lleve a cabo el adjudicatario. En todo caso, el adjudicatario debe ofrecer un servicio de VPN para que el personal de la Sindicatura pueda realizar dichas tareas.
En resumen, el proveedor, tiene que ofrecer:
- Mantenimiento preventivo:
o Gestión básica de la seguridad y networking.
o Aplicación de actualizaciones de seguridad.
o Gestión de aplicaciones y modificación de la configuración FTP, web, bases de datos y mail.
o Análisis y gestión del rendimiento.
- Mantenimiento correctivo:
o Reinicio del servidor y servicio de remote hands.
o Soporte de primer nivel (reinicio del servicio) y escalado de las incidencias detectadas.
o Soporte de segundo y tercer nivel. Gestión proactiva de las incidencias.
o Restauración de la información (recuperación de backups).
- Soporte:
o Incidencias.
o Consultas técnicas.
o Informes mensuales y recomendaciones sobre el funcionamiento del servicio.
o Soporte en el paso a producción.
o El servicio incluirá un mínimo de 4 horas de soporte al mes.
El personal técnico designado por la Sindicatura debe poder acceder en todo momento a los sistemas objeto de este contrato, aunque sean administrados por el adjudicatario.
3.6 Servicio SSL
En caso de necesidad, la Sindicatura de Cuentas podrá aportar un certificado SSL para el servicio web de sede electrónica y el adjudicatario deberá realizar las tareas de instalación, configuración, operación y administración.
3.7 Servicios de instalación y migración
El adjudicatario tendrá que llevar a cabo las tareas necesarias para la transición/migración de los servicios desde el CPD del proveedor actual a sus instalaciones. El plazo establecido para estas tareas será de 3 semanas.
En concreto, las tareas que se tendrán que hacer serán:
‐ Instalación, configuración y despliegue de una máquina virtual y de los servicios necesarios para el funcionamiento del portal web de la Sindicatura.
‐ Alojamiento del dominio xxx.xxxxxxxxxxxxx.xxx, sede electrónica y subdominios de la Sindicatura.
‐ Migración del servicio de correo electrónico.
‐ Y, en general, todas las tareas necesarias para el funcionamiento correcto del frontoffice y el backoffice del portal web y la sede electrónica de la Sindicatura de Cuentas, así como del servicio de correo electrónico y todas las tareas de monitorización y administración indicadas en estos pliegos.
3.8 Modelo de relación
El modelo de relación del adjudicatario con la Sindicatura de Cuentas tiene que incluir como mínimo:
‐ La propuesta del modelo de servicio, es decir, la estructura organizativa del servicio.
‐ La propuesta del modelo de comunicación, con la descripción de los canales y herramientas de comunicación entre el proveedor y la Sindicatura de Cuentas. Debe incluir la posibilidad de comunicación mediante email y vía telefónica.
3.9 Retorno del servicio
El adjudicatario deberá especificar un plan de retorno del servicio de hosting de manera que, una vez acabado el plazo máximo de prestación de los servicios, se facilite una posible transferencia de la infraestructura objeto de la licitación a un nuevo proveedor.
4 ACUERDO DE NIVEL DE SERVICIO (ANS)
4.1 Tiempo de respuesta a peticiones de servicio
Se entiende por tiempo de respuesta a peticiones de servicio, el período de tiempo desde el momento en que se registra la petición en los sistemas de gestión, hasta el momento en que el adjudicatario empieza a trabajar.
Los niveles de respuesta, según la criticidad de las peticiones de servicio, serán los siguientes:
‐ Impacto crítico: es necesario un cambio urgente para mantener el servicio totalmente operativo. Tiempo de respuesta: 15 minutos.
‐ Impacto alto: es necesario un cambio a corto plazo para prevenir problemas potenciales en el servicio. Tiempo de respuesta: 2 horas.
‐ Impacto medio: es necesario un cambio estándar para mantener el nivel de servicio.
Tiempo de respuesta: 4 horas
‐ Impacto bajo: la petición responde a un cambio planificado solicitado por la Sindicatura de Cuentas o un proceso de mejora continua. El tiempo de respuesta será de 24 horas.
El tiempo de respuesta a las peticiones que tienen un impacto crítico se tiene que entender dentro del horario laboral del adjudicatario. Las peticiones no críticas fuera del horario laboral se podrán tramitar el siguiente día laborable.
El momento para resolver las peticiones de servicio, incluida la necesidad de realizar trabajos fuera del horario laboral, se establecerá de común acuerdo en cada caso. El adjudicatario
4.2 Tiempo de respuesta a incidencias de servicio
El tiempo de respuesta a incidencias de servicio es el período de tiempo desde el momento en que se detecta un error en la monitorización del servicio, hasta que el adjudicatario confirma que ha empezado a trabajar en la incidencia.
Los niveles de respuesta, según la criticidad de las incidencias de servicio, serán las siguientes:
‐ Impacto crítico, es decir, incidencias que suponen una interrupción total del servicio (implican que el servicio no está disponible). Tiempo de respuesta: 5 minutos.
‐ Impacto alto: el servicio se encuentra disponible, pero alguna aplicación puede no funcionar correctamente. Suponen un riesgo moderado para la seguridad del servicio. Tiempo de respuesta: 30 minutos.
‐ Impacto medio: el servicio está disponible y la mayoría de las tareas se pueden llevar a cabo. Se pueden utilizar todas las aplicaciones, pero el rendimiento de algunas puede verse afectado. Suponen un riesgo bajo para la seguridad del servicio. Tiempo de respuesta: 4 horas.
‐ Impacto bajo: el servicio está disponible, pero es necesario aplicar un cambio planificado a petición de la Sindicatura, o se ha detectado una oportunidad de mejora a través del proceso de mejora continua. Tiempo de respuesta: 4 horas.
El tiempo de respuesta a las peticiones que tienen un impacto crítico se ha de entender dentro del horario laboral del adjudicatario. Las peticiones no críticas fuera del horario laboral, se podrán tramitar el día laborable siguiente.
4.3 Disponibilidad de los servicios
El adjudicatario tiene que garantizar la disponibilidad de los servidores y servicios. Dicha disponibilidad tiene que incluir la garantía de funcionamiento de los elementos hardware y software que forman el servicio (servidor DNS, correo electrónico, bases de datos, copias de seguridad, etc.) Los mantenimientos programados no se incluirán en los cálculos de disponibilidad.
Servicio | Descripción | Disponibilidad |
Administración | Peticiones e incidencias de servicio | 90.00% |
Monitoritzación | Servicios de monitorización | 99.90% |
Networking | Acceso remoto, balanceo de carga, detección de intrusiones, firewall, switches,... | 99.90% |
Servidor virtual | Plataforma de servidores virtuales | 99.90% |
Servicios gestionados | Mail, almacenamiento, copias de seguridad, etc. | 99.80% |
5 GARANTIA Y MANTENIMIENTO
El adjudicatario ofrecerá un período de garantía (servicio postventa) de seis meses a partir de la recepción del contrato, en cuanto a la instalación, configuración y despliegue de la máquina virtual y de los servicios necesarios para el funcionamiento del portal web y de la
6 SEGUIMIENTO Y CONTROL DE LOS TRABAJOS
Los trabajos objeto de este contrato, se realizarán bajo la dirección de la persona designada por la Sindicatura de Cuentas de las Islas Baleares.
7 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
El contratista, en cumplimiento con lo que establece la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) se compromete a:
- No aplicar o utilizar los datos personales obtenidos, para fines diferentes de los que figuran en el presente contrato y sus anexos, ni cederlos a terceros, ni tan solo para su conservación.
- Guardar secreto profesional respecto de ellos mismos, incluso después de finalizar las relaciones con la Sindicatura de Cuentas de las Islas Baleares.
- Trasladar las obligaciones citadas en los párrafos anteriores al personal que dediquen al cumplimiento de este contrato.
8 PRESENTACIÓN DE LA OFERTA
El licitador tiene que presentar una memoria técnica de realización del objeto del contrato y todos los documentos, exigidos en este Pliego o en el Pliego de cláusulas administrativas, que permitan conocer el contenido de los aspectos técnicos de la proposición. Más concretamente, la memoria técnica tiene que estar estructurada de acuerdo con cada uno de los puntos de los pliegos de prescripciones técnicas y tiene que incluir:
‐ Requerimientos
o Alojamiento
o Backup
o Correo electrónico
o Dominios
o Explotación del servicio
o Servicio SSL
o Servicios de instalación y migración
o Modelo de relación
o Retorno del servicio
‐ Acuerdo de nivel de servicio
o Tiempo de respuesta a peticiones de servicio
o Tiempo de respuesta a incidencias de servicio
o Disponibilidad de los servicios