especificaciones tÉcnicas exp. 2021-00409 suministro

ESPECIFICACIONES TÉCNICAS EXP. 2021-00409

SUMINISTRO, INSTALACIÓN Y MANTENIMIENTO DE

HARDWARE Y SOFTWARE PARA UNA SOLUCIÓN DE

CIBERSEGURIDAD EN ESTACIONES DE CERCANÍAS

Fecha: 06/07/2021

EXP. 2021-00409 Página 2 de 24

Dirección de Transformación Digital y Tecnología

Gerencia de Ciberseguridad y Privacidad

ÍNDICE

1. INTRODUCCIÓN ............................................................................................... 3

2. OBJETO ............................................................................................................... 3

3. ALCANCE ........................................................................................................... 4

4. REQUERIMIENTOS .......................................................................................... 4

4.1. Captura y envío remoto del tráfico al CPD del Grupo Renfe (CE). ............................. 5

4.2. Análisis, modelado y correlación del tráfico (MC). .................................................... 7

4.3. Detección de comportamientos anómalos y vulnerabilidades (DC) ........................... 10

4.4. Diagrama de Arquitectura (DA) ............................................................................... 11

5. Planificación ....................................................................................................... 12

6. Niveles de servicio y control de la calidad ......................................................... 12

ANEXO I REQUISITOS DE SEGURIDAD EN MATERIA DE

CONFIDENCIALIDAD DE LA INFORMACIÓN ................................................. 15

EXP. 2021-00409 Página 3 de 24



1. INTRODUCCIÓN

RENFE-Operadora es la empresa matriz de un grupo empresarial, formado tanto por la Entidad

Pública Empresarial Renfe, como por el resto de las sociedades Renfe Viajeros S.M.E., S.A.; Renfe

Mercancías S.M.E., S.A.; Renfe Fabricación y Mantenimiento S.M.E., S.A. y Renfe Alquiler de

Material Ferroviario S.M.E., S.A. (en adelante Grupo Renfe) y constituidas en virtud del Real

Decreto Ley 22/2012, de 20 de julio.

Debido a la creciente aparición de dispositivos, de diferentes características técnicas y

funcionales, principalmente en entornos de las estaciones y la dificultad existente en el control

de la seguridad en dichos dispositivos, el Grupo Renfe se encuentra en la necesidad de

establecer una solución que permita lograr el control de la seguridad en dichos entornos.

Como primer paso para alcanzar en los entornos menos controlados los niveles de seguridad ya

alcanzados en otras instalaciones dependientes del Grupo Renfe, se considera necesario contar

con un inventario íntegro y completo en tiempo real de los dispositivos que conforman el

entorno de las estaciones y de las comunicaciones que se producen entre estos dispositivos.

2. OBJETO

El objetivo de las presentes Especificaciones Técnicas (en adelante ET), es:

Solución de ciberseguridad en estaciones: la contratación del hardware y software necesario

que permita al Grupo Renfe poder gestionar la seguridad en los dispositivos que en su mayoría

van a formar parte del entorno de estaciones. Por ello, el objeto de las ET es la de contratar una

solución de captura y envío remoto del tráfico para 483 estaciones (que considere el Grupo

Renfe) al CPD del Grupo Renfe, con el objetivo posterior del modelado, análisis y correlación del

tráfico para detectar posibles comportamientos anómalos en relación con la normativa,

presente y futura, a la que se encuentra sujeto el Grupo Renfe y facilitar la supervisión de la

Seguridad por parte del RENFE-CERT.

Asimismo, el adjudicatario deberá realizar las labores de instalación, configuración, proveer las

licencias software necesarias, hacer efectiva la garantía, y realizar el servicio de mantenimiento

y soporte que sean necesarios para el correcto funcionamiento de dicha solución, que se

describe en profundidad en el apartado 4 de las presentes ET.

Las ubicaciones de las estaciones a modo informativo para el licitador son:

- Cataluña - Bilbao - Madrid - Málaga - Cádiz

EXP. 2021-00409 Página 4 de 24



- Murcia - Alicante - San Sebastián - Santander - Asturias - Sevilla - Valencia - Zaragoza - Cartagena - León - Galicia

3. ALCANCE

La licitación tiene como alcance:

1. La adquisición de una solución hardware y software junto con la instalación (lo que incluye

el cableado) y configuración de la misma que cumpla con los requisitos indicados a

continuación y descritos en el apartado 4 de las presentes ET:

Captura y envío remoto del tráfico para 483 estaciones al CPD del Grupo Renfe: a través

de un Sistema de extracción y gestión segura de Datos.

Análisis, modelado y correlación del tráfico

Detección de comportamientos anómalos y vulnerabilidades.

Para asegurar el correcto funcionamiento del entorno (control de calidad y garantía), el

adjudicatario deberá generar informes, proponiendo nuevas políticas de seguridad y

supervisando el cumplimiento de las normativas correspondientes.

Los dispositivos de los entornos de estaciones que se referencian a lo largo de las presentes

ET y que forman parte del alcance de la presente licitación, son los siguientes:

- Cámaras IP. - Grabadores IP. - Sistemas Anti-intrusión y de controles de acceso. - Infraestructura de centralización de los elementos de seguridad (CCTV, CCAA y Anti-

intrusión).

2. Garantía, mantenimiento y soporte respecto a la solución instalada y configurada.

4. REQUERIMIENTOS

En los siguientes subapartados, se describen las necesidades de software y hardware que son

objeto y alcance del procedimiento, así como las tareas de instalación y configuración que el

adjudicatario deberá realizar, sin que la relación que aparece a continuación pretenda describir,

EXP. 2021-00409 Página 5 de 24



de manera exhaustiva, las características de los mismos, sino las líneas generales requeridas por

el Grupo Renfe. Se detallan a continuación los requerimientos mínimos exigidos por Renfe al

licitador.

Los requerimientos se identifican con un código de dos letras y un número secuencial. Para cada

uno de estos requerimientos el licitador debe darles respuesta (siguiendo el orden de los

mismos conforme al código).

El licitador deberá desarrollar de forma clara, especifica y detallada, cómo piensa dar

cumplimiento a dichos requerimientos.

4.1. Captura y envío remoto del tráfico al CPD del Grupo Renfe (CE).

La solución ofertada por el adjudicatario debe cumplir con las siguientes necesidades de software y hardware, así como las tareas de instalación y configuración descritas a continuación: CE.1 El adjudicatario pondrá a disposición del Grupo Renfe 483 equipos en formato appliance físico, que tendrán la capacidad de realizar una copia del tráfico que se conecte al equipo ya sea a través de un port mirror del switch o conectado en serie a los puertos de dicho switch. CE.2 El adjudicatario debe proporcionar al Grupo Renfe la opción de enviar el tráfico copiado de forma cifrada al centro de datos de Renfe a través de una conexión LTE (estándar para comunicaciones inalámbricas de transmisión de datos de alta velocidad para teléfonos móviles y terminales de datos) o bien a través de la red del Grupo Renfe.

CE.3 Los equipos proporcionados por el adjudicatario deben ser enrackables en formato estándar y compatibles con la anchura de los armarios de comunicaciones donde se realice la instalación de los equipos (CPD o estaciones). CE.4 El adjudicatario pondrá a disposición del Grupo Renfe una herramienta web que debe ser capaz de configurar los equipos de 483 estaciones y sustituir e incorporar nuevos equipos en caso de que sea necesario. CE.5 El adjudicatario pondrá a disposición del Grupo Renfe un equipo en formato appliance físico en el Centro de Datos del Grupo Renfe (CPD) que, además de recoger el tráfico enviado por cada estación, ofrecerá una consola web de monitorización que permitirá conocer el estado de los appliances instalados en las estaciones.

CE.6 El equipo incluido en el CPD del Grupo Renfe (sistema central de configuración) tendrá la capacidad, por salida ethernet, de entregar el tráfico capturado en cada estación, a una herramienta de análisis, modelado y correlación de tráfico.

CE.7 En caso de que el Grupo Renfe decida que los equipos a instalar en las estaciones se deben conectar en serie a los puertos del switch de las mismas, según el caso, estos no deben interferir en su disponibilidad, por lo que estos equipos tendrán conectores bypass pasivos que permitan pasar el tráfico aún en caso de fallo del equipo. Para evitar manipulaciones contendrán un

EXP. 2021-00409 Página 6 de 24



elemento seguro donde proteger los activos de seguridad del equipo, así como asegurar la integridad del software entregado.

CE.8 El software incorporado en los equipos de las estaciones ofrecerá autenticación, cifrado y protección firewall de la información enviada. CE.9 El software de los equipos de las 483 estaciones que el adjudicatario debe instalar e incluir las licencias necesarias para su correcto funcionamiento durante un periodo de 36 meses, debe tener como mínimo las siguientes características:

Autenticación mutua para establecimiento de conexión segura mediante túnel cifrado con Certificados Digitales X509 (estándar de criptografía para infraestructuras de claves públicas) y mediante el algoritmo RSA (sistema criptográfico de clave pública).

Cifrado de los datos transmitidos en el túnel mediante cifrado simétrico de clave efímera.

Firewall con detección de escaneo de puertos.

Detección y alertas ante incidentes en los puertos controlados por el firewall.

Detección de intentos de log-in, conexión a puertos no autorizados, escaneo de puertos, y ataques por denegación de servicio, con creación de logs que pueden ser integrados con el SIEM del Grupo Renfe.

Almacenamiento de certificados en un Módulo de Plataforma Segura (TPM).

Funcionalidad de arranque seguro de los dispositivos.

Actualización segura de firmware mediante firma electrónica.

CE.10 La solución ofrecerá un sistema central de configuración y control de los equipos desplegados en las 483 estaciones y las licencias necesarias para su correcto funcionamiento durante 36 meses. Este sistema central instalado en el CPD ofrecerá, como mínimo, las siguientes funcionalidades:

Panel web de administración de los equipos.

Monitorización de estado y comportamiento de los equipos.

Herramienta de configuración de los equipos.

Cifrado de la base de datos interna.

Control de acceso basado en roles.

Herramienta de generación de claves público-privadas.

Gestión y Almacenamiento de claves en TPM (“Trusted Platform Module”).

Toma y almacenamiento de logs de los dispositivos desplegados en las estaciones

Funcionalidad de arranque seguro y protección de equipo final.

Generación de actualizaciones de firmware firmadas digitalmente.

Control del firmware de los equipos de las estaciones (para detectar manipulaciones. CE.11 El adjudicatario se encargará de la configuración, puesta en marcha, cableado y mantenimiento de los equipos de las estaciones, así como del sistema central de configuración y control de los equipos. Por tanto, el adjudicatario es responsable de instalar, configurar y cablear de forma adecuada los 483 equipos en formato appliance físico y asegurar el envío de forma correcta del tráfico desde las estaciones al equipo (appliance físico) del CPD. CE.12 Los dispositivos de hardware a desplegar para la captura de datos en las 483 estaciones tendrán, como mínimo, las siguientes características:

EXP. 2021-00409 Página 7 de 24



Formato: Enrackable 1U (profundidad 305 mm).

Procesador: Intel Atom AtomTM C3758 SoC Processor o equivalente.

Memoria: 4GB DDR4 1600/1886/2133/2400 UDIMM/ECC.

Ethernet: 5 puertos Ethernet 10/100/1000Base.

Puesto de consola RJ45.

2 interfaces Bypass.

Almacenamiento en disco interno de 120 GB SSD o superior.

TPM (Módulo de Plataforma Segura).

Energía: 150W AC o inferior. CE.13 La solución propuesta por el adjudicatario para dar cumplimento a los requisitos anteriores (captura y envío remoto al CPD) debe ser compatible e integrable con la solución actual de Enigmedia de captura de tráfico de la que dispone el Grupo Renfe.

4.2. Análisis, modelado y correlación del tráfico (MC).

La solución ofertada por el adjudicatario debe cumplir con las siguientes necesidades de software y hardware, así como las tareas de instalación y configuración descritas a continuación: MC.1 El adjudicatario pondrá a disposición del Grupo Renfe un equipo en formato appliance físico, producido por el fabricante de la solución (no será aceptado software instalado sobre hardware de propósito general o que requiera la gestión del software de base), que tendrá la capacidad de realizar análisis, modelado y correlación de tráfico. El tráfico que se debe analizar será entregado por una entrada ethernet. MC.2 Adicionalmente a lo expuesto en el requisito anterior, el equipo en formato appliance físico deben ser completamente gestionable y configurable de forma independiente.

MC.3 El software del equipo, que el adjudicatario debe instalar para cumplir los requerimientos de este apartado (MC) y del apartado siguiente (DC), deben incluir las licencias necesarias para su correcto funcionamiento desde que se hayan instalado y hasta el final de la duración del pedido correspondiente.

MC.4 El adjudicatario se encargará de la configuración, puesta en marcha, cableado y mantenimiento del equipo indicado anteriormente. Por tanto, el adjudicatario es responsable de instalar, cablear y configurar de forma adecuada el equipo, para cumplir los requerimientos de este apartado (MC) y del apartado siguiente (DC).

MC.5 La solución debe ser totalmente compatible con el sistema de Captura y envío remoto del tráfico (CE) detallado anteriormente, y debe poder analizar el tráfico recibido sin interrumpir las comunicaciones y operaciones del sistema. MC.6 El adjudicatario debe establecer una línea base del correcto comportamiento de la red que conforman las estaciones (en función del tráfico recibido), una vez asegurado el funcionamiento de la misma. Una vez el Grupo Renfe dé el visto bueno a la línea base, el adjudicatario procederá al cambio de funcionamiento al modo de detección, detectando comportamientos anómalos tanto de seguridad como de operación a partir de entonces, y

EXP. 2021-00409 Página 8 de 24



configurando las notificaciones al grupo de soporte correspondiente (ver punto Detección de comportamientos anómalos (DC)). MC.7 La solución debe ser capaz de realizar una función de descubrimiento de activos y generar un inventariado de la red, identificando a través del tráfico generado y recibido cada uno de los elementos que lo integran. El inventario generado debe incluir marcas y productos. MC.8 La solución debe identificar activos IT (Tecnología de la Información) y OT (Tecnología Operacional), dirección IP, dirección MAC, nombre de host, sistema operativo, firmware y la versión a través de la vigilancia pasiva en tiempo real del tráfico de red.

MC.9 El adjudicatario deberá configurar la plataforma para detectar el comportamiento estándar de los equipos inventariados, que permita la clasificación automática de estos equipos, a través de un comportamiento determinado, para poder agruparlos en un tipo determinado de activos.

MC.10 La plataforma, debe permitir definir zonas (entendiendo zonas como agrupaciones de activos) que se podrán poner en mantenimiento, de modo que las alertas asociadas durante el período de mantenimiento sean etiquetadas como tal y puedan no ser tratadas con la misma prioridad que las incidencias reales.

MC.11 Para realizar esta clasificación y agrupación de activos según su comportamiento, el adjudicatario deberá incluir los campos que sean necesarios en el modelo de datos, como, por ejemplo:

Tipo de Dispositivo

Tipo de Dispositivo – Comportamiento

Unidad Agrupada MC.12 La solución propuesta debe proporcionar acceso seguro basado en roles para que diferentes grupos de usuarios accedan a determinados informes y recursos. La solución debe permitir la configuración para cada usuario de los informes necesarios. MC.13 La solución implantada por el adjudicatario debe cumplir los siguientes requisitos de despliegue:

Debe ofrecer una baja complejidad de implementación: debe estar en funcionamiento en menos de 30 minutos, una vez el tráfico que se debe analizar sea entregado por una entrada ethernet.

Debe permitir la comunicación entre los diferentes componentes que forman parte de la solución ofertada (especificados en el apartado CE) mediante la configuración de los puertos que sean necesarios para dicha comunicación.

MC.14 La solución implantada por el adjudicatario debe cumplir los siguientes requisitos para el registro de las comunicaciones existentes:

Debe permitir registrar las comunicaciones en tiempo real a través del tráfico que le sea entregado por una entrada ethernet.

La solución debe ser capaz de proporcionar estadísticas detalladas de la red, incluyendo la tasa de transferencia entre diferentes nodos y zonas definidas previamente.

EXP. 2021-00409 Página 9 de 24



Debe realizar un mapa de topología (funcional y/o basada en la red) de todos los activos y comunicaciones, permitiendo la especificación de grupos de activos y zonas de red.

Debe identificar los flujos de comunicación (como mínimo: direcciones IP, puertos de origen y destino, y protocolo) y la dirección de los flujos y su información (por ejemplo, mostrar las sesiones activas de TCP/UDP según puerto origen/destino) a través del análisis del tráfico que le sea entregado por una entrada ethernet.

Debe disponer de filtros predefinidos para detectar equipos que envían paquetes hacia internet.

Debe mostrar información en tiempo real de los enlaces de comunicaciones, y porcentaje de retransmisión de paquetes para detectar posibles problemas físicos o lógicos en la instalación.

Debe permitir proporcionar una línea de tiempo en la que se incluyan los diferentes eventos que tienen lugar en la red, así como la capacidad de comparar los eventos recogidos en la línea base en diferentes momentos de tiempo.

Debe permitir comparar los cambios en la topología de la red a lo largo del tiempo. MC.15 La solución implantada por el adjudicatario debe cumplir los siguientes requisitos para la identificación y descubrimiento de activos:

Debe permitir identificar las características de los activos de tecnología de la información (TI) (como mínimo: la dirección IP, la dirección MAC, el nombre de host, el sistema operativo y el proveedor) a través del análisis del tráfico que le sea entregado por una entrada ethernet.

Debe permitir identificar los activos de tecnología operativa (OT) (como mínimo: la dirección IP, la dirección MAC, el nombre de host, el firmware y el proveedor).

Debe identificar y descubrir tanto los dispositivos dentro de la red monitorizada (entregada por una entrada ethernet), así como las comunicaciones de los dispositivos de esta red con otros dispositivos de otras redes y dispositivos que están fuera de las redes del Grupo Renfe.

Debe permitir inventariar componentes de red que solamente pueden ser descubiertos a través del intercambio de paquetes ARP.

MC.16 La solución implantada por el adjudicatario debe cumplir los siguientes requisitos para la integración con otras herramientas:

Debe incluir la capacidad de integración inmediata con distintos fabricantes de firewall (como ejemplo: Palo Alto).

La solución propuesta debe permitir añadir etiquetas a un activo o a una alarma de manera automática en función de la clasificación del activo o de la alarma (ver requisitos MC.10 y MC.11).

Los inventarios de dispositivos, los mapas de topología y comunicaciones generados por la solución, deben poder ser exportados en diferentes formatos (.CSV .XLS .PDF).

Debe incluir la opción de agregar campos personalizados al modelo de datos. MC.17 La solución implantada por el adjudicatario debe cumplir los siguientes requisitos para garantizar la seguridad de los datos almacenados:

Debe cifrar todos los datos en tránsito entre los distintos dispositivos que conforman la solución (MC.1 y MC.2).

Debe ser capaz de cifrar los datos en reposo almacenados por la plataforma.

EXP. 2021-00409 Página 10 de 24



Debe proporcionar mecanismos de recuperación de desastres y respaldo de datos en caso de pérdida o corrupción de los mismos.

Debe permitir el acceso remoto a través de canales seguros (por ejemplo, HTTPS). MC.18 La solución implantada por el adjudicatario debe cumplir los siguientes requisitos para garantizar la gestión de la plataforma:

Debe permitir el uso de un directorio de usuarios centralizado para la autenticación de usuarios (Directorio Activo del Grupo Renfe).

Debe realizar actualizaciones de parches de seguridad y software de forma regular.

Debe proporcionar un mecanismo de actualización desde la consola de administración central.

Debe permitir la actualización automática y manual de reglas YARA, incluyendo la importación de reglas de terceros y reglas personalizadas.

MC.19 La solución propuesta por el adjudicatario para dar cumplimento a los requisitos anteriores (análisis, modelado y correlación del tráfico) debe ser compatible e integrable con la solución actual de Nozomi de la que dispone el Grupo Renfe.

4.3. Detección de comportamientos anómalos y vulnerabilidades (DC)

Una vez el adjudicatario en colaboración con el Grupo Renfe haya determinado que la línea base establecida (ver requisito MC.6) es correcta y que el comportamiento de la misma es estable durante un tiempo definido por el adjudicatario, este deberá activar el modo detección, en el cual, y a partir de dicha línea base como referencia la solución deberá cumplir con los requisitos establecidos a continuación: DC.1 La solución implantada por el adjudicatario debe cumplir los siguientes requisitos para garantizar la detección de anomalías, tomando como referencia la línea base establecida:

Debe proporcionar detección automática de nuevos hosts, dispositivos o enlaces de comunicación a partir de la línea base establecida.

Debe detectar anomalías de forma automática de nuevas variables y valores en enlaces de comunicación a partir de la línea base establecida.

Debe permitir períodos de aprendizaje dinámicos o establecidos manualmente en caso de variaciones en la línea base establecida.

Debe permitir la captura automática de paquetes intercambiados entre los dispositivos para su revisión y análisis.

Debe ser capaz de correlacionar y agrupar alertas automáticamente cuando estas pertenecen a un mismo incidente.

Debe poner a disposición del usuario diferentes perfiles de alertas que permitan seleccionar el nivel de visibilidad de alertas de la interfaz de gestión.

DC.2 La solución implantada por el adjudicatario debe cumplir los siguientes requisitos para garantizar la detección de vulnerabilidades, tomando como referencia la línea base establecida:

Debe identificar vulnerabilidades en los activos a través del análisis pasivo de los datos de tráfico de la red (por ejemplo, captura de paquetes de red, flujo de red y datos de tráfico del firewall).

Debe disponer de la opción de escaneo activo de la red.

EXP. 2021-00409 Página 11 de 24



Debe permitir la carga de datos de fuentes externas de gestión de vulnerabilidades.

Debe permitir la identificación y clasificación de vulnerabilidades en función de la gravedad y el riesgo basándose para ello en el tipo de datos afectados (datos de carácter personal, relacionados con infraestructuras críticas, etc.) así como el tipo de vulnerabilidad y los vectores de ataque de la misma.

DC.3 La solución implantada por el adjudicatario debe cumplir los siguientes requisitos para garantizar la detección y gestión de amenazas, tomando como referencia la línea base establecida:

Debe incluir reglas estándar para la detección de intrusos, así como permitir importar reglas Snort, Yara y STIX de terceros, así como reglas personalizadas.

Debe permitir la actualización automática y manual de las reglas de detección de intrusos, incluida la importación de reglas de terceros (Snort, Yara, etc.) así como reglas personalizadas.

Debe incluir una sandbox integrada que permita la detección de amenazas mediante reglas YARA.

Debe permitir la actualización automática y manual de las reglas de YARA, incluida la importación de reglas de terceros, así como de reglas personalizadas.

Debe incluir la capacidad para crear alertas personalizadas basadas en cualquier condición o parámetro de los metadatos capturados tomando como referencia la línea base establecida.

Debe incluir la capacidad de consulta de cualquier metadato capturado por el sistema y la capacidad de guardar consultas realizadas mediante paneles e informes personalizados.

DC.4 El adjudicatario debe de encargarse de la generación en la solución implantada, de las alertas de seguridad necesarias para la correcta gestión de las vulnerabilidades, anomalías y amenazas, indicadas en los requisitos anteriores (DC.1, DC.2 y DC.3). Asimismo, el adjudicatario se debe encargar de la eliminar los falsos positivos, en caso de producirse. DC.5 La solución propuesta por el adjudicatario para dar cumplimento a los requisitos anteriores (detección de comportamientos anómalos y vulnerabilidades) debe ser compatible e integrable con la solución actual de Nozomi de la que dispone el grupo Renfe.

4.4. Diagrama de Arquitectura (DA)

DA.1 El adjudicatario deberá aportar un diagrama de arquitectura completo, detallado y explicativo del conjunto de la solución propuesta para la captura y envío remoto del tráfico de las estaciones al CPD del Grupo Renfe. Este diagrama deberá contemplar la solución propuesta por el adjudicatario que cubra los requerimientos expuestos en los apartados 4.1, 4.2 y 4.3 de estas ET.

EXP. 2021-00409 Página 12 de 24



5. Planificación

La oferta técnica deberá incluir la planificación que seguirá el licitador para llevar a cabo la instalación y configuración de la solución, que cumpla los requisitos indicados en las presentes ET, además deberá incluir la planificación para llevar a cabo los trabajos incluidos tanto en la garantía, como en el soporte y mantenimiento.

Si bien cada licitador podrá ofertar la planificación que mejor se acomode a su solución, como mínimo deberá tener en cuenta los siguientes aspectos (siempre teniendo en cuenta lo establecido en estas ET):

Inicio de instalación del hardware y software.

Planificación global en la que se incluyan tareas, hitos y responsables, y donde se recoja

como mínimo los siguientes puntos:

o Captura y envío remoto del tráfico de las 483 estaciones (en su mayoría incluidas

en un entorno de estaciones) al CPD del Grupo Renfe.

o Análisis, modelado y correlación del tráfico.

o Detección de comportamientos anómalos y vulnerabilidades.

o Análisis del entorno donde se encuentren ubicadas las estaciones

Enfoque de los planes de acción específicos para realizar las actividades definidas en los

puntos 4.1, 4.2 y 4.3 del presente documento.

Garantía, mantenimiento y soporte.

La instalación y configuración de los dispositivos de captura y envío remoto del tráfico en las 483 estaciones se realizará durante los 36 meses de duración del Acuerdo Marco según los pedidos definidos por la Gerencia de Ciberseguridad y Privacidad del Grupo Renfe.

Antes de la finalización del contrato, el adjudicatario se compromete a facilitar el retorno de toda la documentación generada a lo largo del contrato y de todos los registros de actividad y configuraciones almacenados en medios digitales. El adjudicatario deberá destruir toda esta información una vez haya sido transferida a Renfe y mostrar evidencias de ello. Igualmente, el adjudicatario colaborará de forma diligente en la transferencia tecnológica a Renfe, en la forma en la que Renfe establezca que es más conveniente llevarla a cabo.

6. Niveles de servicio y control de la calidad

Para garantizar el correcto funcionamiento de la solución instalada y configurada por el adjudicatario:

Se estima por parte de la Gerencia de Ciberseguridad y Privacidad que el adjudicatario realice la instalación y configuración de la solución ofertada en el entorno de estaciones (lo indicado en el apartado 4.1 de las ET) de la siguiente forma:

o Año 1: 61 dispositivos. o Año 2: 193 dispositivos. o Año 3: 229 dispositivos.

EXP. 2021-00409 Página 13 de 24



Estas estimaciones mínimas se tendrán que cumplir necesariamente. Las variaciones a mayores se valorarán en las ofertas técnicas de los licitadores. Dichas variaciones serán igualmente obligatorias para el adjudicatario que las haya ofertado, en caso de ser necesarias.

El adjudicatario debe realizar la instalación y configuración de la solución ofertada en el entorno del CPD (lo indicado en el apartado 4.2 y 4.3 de las ET) en el plazo de 60 días o en un plazo inferior si se hubiera ofertado por el adjudicatario, una vez realizado el correspondiente pedido por parte del gestor del contrato del Grupo Renfe (Gerencia de Ciberseguridad y Privacidad), el cual se solicitará a la mayor brevedad, una vez comience la vigencia del Acuerdo Marco.

El adjudicatario debe realizar la instalación y configuración de la solución ofertada en el entorno de las estaciones (lo indicado en el apartado 4.1 de las ET) en el plazo de 90 días o en un plazo inferior si se hubiera ofertado por el adjudicatario, para las estaciones indicadas en el año 1 de contrato, una vez realizado el correspondiente pedido por parte del gestor del contrato del Grupo Renfe (Gerencia de Ciberseguridad y Privacidad), el cual se solicitará a la mayor brevedad, una vez comience la vigencia del Acuerdo Marco.

El adjudicatario debe realizar la instalación y configuración de la solución ofertada en el entorno de las estaciones (lo indicado en el apartado 4.1 de las ET) en el plazo de 270 días o en un plazo inferior si se hubiera ofertado por el adjudicatario, para las estaciones indicadas en el año 2 de contrato, una vez realizado el correspondiente pedido por parte del gestor del contrato del Grupo Renfe (Gerencia de Ciberseguridad y Privacidad), el cual se solicitará a la mayor brevedad, una vez comience la vigencia del segundo año del Acuerdo Marco.

El adjudicatario debe realizar la instalación y configuración de la solución ofertada en el entorno de las estaciones (lo indicado en el apartado 4.1 de las ET) en el plazo de 270 días o en un plazo inferior si se hubiera ofertado por el adjudicatario para las estaciones indicadas en el año 3 de contrato, una vez realizado el correspondiente pedido por parte del gestor del contrato del Grupo Renfe (Gerencia de Ciberseguridad y Privacidad), el cual se solicitará a la mayor brevedad, una vez comience la vigencia del tercer año del Acuerdo Marco.

El adjudicatario para la solución ofertada en relación con los dispositivos instalados y configurados debe proveer un servicio de mantenimiento y soporte durante toda la vigencia del pedido correspondiente. Estos trabajos darán comienzo una vez se haya verificado por RENFE-Operadora que la adquisición, instalación y configuración de la solución se ha realizado cumpliendo con lo establecido en el presente procedimiento. En estos trabajos se incluyen las incidencias referidas en el presente apartado.

El adjudicatario debe de dar respuesta (indicado una posible solución) a las incidencias software o hardware que se produzcan en el conjunto de la solución propuesta en un plazo máximo de 4 días laborables desde su detección para el equipamiento instalado en Madrid y en un plazo máximo de 6 días laborables desde su detección para el equipamiento instalado fuera de Madrid.

El adjudicatario debe solucionar las incidencias software o hardware que se produzcan en el conjunto de la solución propuesta en un plazo máximo de 5 días laborables desde

EXP. 2021-00409 Página 14 de 24



su detección para el equipamiento instalado en Madrid y en un plazo máximo de 7 días laborables desde su detección para el equipamiento instalado fuera de Madrid.

Reunión Mensual: el adjudicatario mantendrá una reunión con la Gerencia de Ciberseguridad y Privacidad del Grupo Renfe en la que a la luz de los informes de gestión (descritos a continuación) presentados por el adjudicatario se llevarán a cabo lo siguiente:

o Informar del estado de la instalación y configuración de la solución. o Verificar la necesidad de contemplar nuevos requisitos derivados del análisis de

situación. o Identificar la necesidad de revisiones en el alcance. o Temas relevantes. o Situaciones especiales: el adjudicatario y la Gerencia de Ciberseguridad y

Privacidad del Grupo Renfe mantendrán un canal de comunicación continuo, esencial en el caso de producirse situaciones de carácter especial.

Informes de Gestión: El adjudicatario elaborará mensualmente un informe ejecutivo del que deberá contener como mínimo los siguientes puntos:

o Seguimiento de las tareas de instalación y configuración de la solución. o Siguientes pasos. o Incidencias más relevantes. o Puntos de decisión. o Comentarios. o Hitos.

El informe de gestión debe ser entregado por el adjudicatario a la Gerencia de Ciberseguridad y Privacidad en los 5 primeros días hábiles de cada mes.

Informes Técnicos: el adjudicatario elaborará mensualmente un informe técnico que deberá contener, como mínimo, los siguientes puntos:

o Introducción. o Hechos relevantes. o Gestión de cambios. o Actividad. o Recomendaciones de mejora de la seguridad. o Alertas de seguridad generadas, nuevas fuentes de seguridad y falsos positivos

eliminados. o Acciones realizadas en referencia a la administración del control de acceso a la

información. o Acciones realizadas en referencia al cumplimiento normativo de la seguridad de

la información. o Conclusiones y siguientes pasos.

El informe técnico debe ser entregado por el adjudicatario a la Gerencia de Ciberseguridad y Privacidad en los 5 primeros días hábiles de cada mes.

EXP. 2021-00409 Página 15 de 24



ANEXO I REQUISITOS DE SEGURIDAD EN MATERIA DE

CONFIDENCIALIDAD DE LA INFORMACIÓN

PARTE I

El licitador cumplirá cada uno de los requisitos expuestos a continuación y desarrollados en la

PARTE II del presente ANEXO. Se acreditará mediante la cumplimentación de la declaración

responsable de acreditación de documentación (ANEXO 4 del Pliego de Condiciones

Particulares):

El licitador asegura que dispone de las siguientes figuras, estando debidamente

recogidas y documentadas, y siendo personas distintas, conforme a lo indicado en el

punto 1.4 de la PARTE II del Anexo I de las ET:

o Responsable del Proyecto.

o Responsable de Seguridad.

El licitador asegura que una vez sea adjudicatario realizará un análisis de riesgos según

la metodología conforme al ENS, que en particular el Grupo Renfe identifica como

MAGERIT (herramienta PILAR), salvo que, por indicación contraria y expresa, del Área

de Seguridad TIC del Grupo Renfe se especifique lo contrario. Este Análisis de Riesgos

(realizado una vez sea adjudicatario), será compartido con el Área de Seguridad TIC del

Grupo Renfe, conforme a lo indicado en el punto 4.1 de la PARTE II del Anexo I de las ET.

El licitador asegurará que, en caso de resultar adjudicatario mantendrá y pondrá a

disposición del Grupo Renfe, un inventario actualizado de la totalidad de equipos,

conforme a lo indicado en el punto 6.7 de la PARTE II del Anexo I de las ET.

El licitador asegurará que, en caso de resultar adjudicatario, los equipos deberán ser

ubicados en una red preferiblemente cableada, independiente y segmentada con

respecto al resto de redes del Grupo Renfe, conforme a lo indicado en el punto 6.9 de

la PARTE II del Anexo I de las ET.

La solución para captura y envío remoto del tráfico, análisis, modelado y correlación del

tráfico y la solución de detección de comportamientos anómalos y vulnerabilidades

deben estar certificada en el ENS nivel MEDIO, tal y como aparece recogido en el

Documento de Seguridad “Obligaciones de los prestadores de servicios a las entidades

públicas” del CCN. En caso de no estar certificadas el licitador se comprometerá a

solicitar dicha certificación durante los 6 primeros meses de vigencia del contrato en

caso de resultar adjudicatario.

En el caso que las soluciones anteriormente no estén certificadas en el ENS, pero estén

certificadas por un tercero externo, de un Sistema de Gestión de la Seguridad de la

Información (SGSI), basado en la 27001 o similar, el licitador se comprometerá a solicitar

dicha certificación durante los 8 primeros meses de vigencia del contrato, en caso de

resultar adjudicatario. Todo ello, conforme a lo indicado en el punto 8.1 de la PARTE II

del Anexo I de las ET.

EXP. 2021-00409 Página 16 de 24



El licitador asegura que, de conformidad con la Ley 12/2018, de 7 de septiembre de

seguridad de las redes y sistemas de información, se satisfacen las obligaciones en

relación con los incidentes de seguridad, conforme a lo indicado en el punto 8.2 de la

PARTE II del Anexo I de las ET.

EXP. 2021-00409 Página 17 de 24



PARTE II

1. Relacionados con las Políticas de Seguridad, el adjudicatario deberá cumplir con los

siguientes requisitos:

1.1. El adjudicatario, deberá cumplir con la Política de Seguridad de los Sistemas de

Información del Grupo Renfe, siempre dentro del alcance que sea de aplicación de las

presentes ET. Si bien la casi totalidad de la Política de Seguridad se encuentra recogida

en el resto de Requisitos que se detallan a continuación, dicha Política (la que le sea

de aplicación), por confidencialidad, le será entregada al adjudicatario.

1.2. Deberá tener establecidas Políticas de Seguridad de los Sistemas de Información en su

empresa.

1.3. Deberá disponer de un programa sobre Seguridad de la Información para supervisar el

establecimiento y mantenimiento de las políticas, estándares e iniciativas sobre

seguridad de la Información.

1.4. El adjudicatario dispondrá de las siguientes figuras, estando debidamente recogidas y

documentadas, y siendo personas distintas:

1.4.1. Responsable del Proyecto.

1.4.2. Responsable de Seguridad.

1.5. En caso de que el alcance del contrato requiera de desarrollo de mantenimiento de

software o bien de desarrollos de software, el adjudicatario deberá disponer y seguir

una metodología de Desarrollo Seguro. Los desarrollos y las pruebas realizadas

deberán estar alineados con dicha metodología.

1.6. La gestión de la Seguridad de la Información se abordará desde un enfoque basado en

el riesgo. Deberán estar implantados procesos, procedimientos o metodologías

formales y documentadas para la evaluación del Riesgo de Seguridad de la

Información.

1.7. Deberán implantarse políticas, procesos o procedimientos formales y documentados

para la gestión de identificaciones si procediera dada la naturaleza de la adjudicación.

1.8. En su caso, las empresas subcontratadas por el adjudicatario que sean o puedan llegar

a ser procesadores de información del Grupo Renfe o bien tengan acceso a la red o

sistemas del Grupo RENFE, deberán adoptar las mismas políticas y estándares sobre

seguridad de la información que mantiene con el Grupo Renfe.

1.9. El personal del adjudicatario y el personal de las empresas subcontratadas por el

adjudicatario (en caso de que aplique) deberá firmar un Acuerdo de Confidencialidad

con el Grupo Renfe, así como cumplir los procedimientos de seguridad establecidos

para los adjudicatarios.

2. El adjudicatario deberá cumplir con los siguientes requisitos de seguridad relativos a la

Clasificación de Seguridad, confidencialidad y propiedad intelectual de la Información:

2.1. Deberá realizar un tratamiento de la Información teniendo en cuenta la clasificación

de la Información del Grupo Renfe.

EXP. 2021-00409 Página 18 de 24



2.2. Deberá contar con controles asociados a la información clasificada en virtud de esa

confidencialidad.

2.3. El adjudicatario no divulgará información de proyecto (naturaleza, herramientas de

desarrollo, arquitectura, etc.) a terceros no autorizados, con especial atención a otro

personal del adjudicatario no autorizado en el proyecto adjudicado, así como la fuga

por divulgación en redes sociales de la empresa o en los perfiles profesionales de sus

trabajadores.

2.4. Deberá respetar la propiedad intelectual del Grupo Renfe sobre los requisitos, códigos,

ejecutables y documentación.

2.5. Relativo al acceso a la Información, el adjudicatario deberá disponer de

documentación formal en la que se detallen los requisitos necesarios para garantizar

una gestión eficaz del acceso a la información, incluyendo su otorgamiento,

aprobación, revisión y retirada.

2.6. El adjudicatario sólo podrá disponer de la información del Grupo Renfe que el mismo

le autorice o esté recogida dentro del alcance.

2.7. Toda información que sea entregada por el Grupo Renfe al adjudicatario para que salga

de las instalaciones del Grupo, se realizará a través de un dispositivo cifrado

proporcionado por el adjudicatario.

3. En relación con la Notificación de Incidentes de Seguridad, el adjudicatario deberá cumplir

con los siguientes requisitos:

3.1. El adjudicatario, debe conocer y cumplir las obligaciones, que, en relación con los

incidentes de seguridad, el Grupo Renfe tiene con las diferentes autoridades de control

y de las que, por ser adjudicatario, asume como encargado del tratamiento y bajo el

alcance del contrato.

3.2. Se han de implantar procesos o procedimiento formal y documentado para la

notificación, escalado, investigación y resolución de incidentes relativos a la seguridad

de la información.

3.3. En el tratamiento de los incidentes de seguridad de la información, deberá contactarse

con el Responsable de Seguridad del Grupo Renfe.

3.4. Deberá ofrecer mecanismos para que:

3.4.1. El Grupo Renfe pueda informar al adjudicatario sobre eventos de seguridad

que ha detectado.

3.4.2. El adjudicatario pueda informar al Grupo Renfe sobre eventos de seguridad

que ha detectado.

3.4.3. El Grupo Renfe pueda realizar un seguimiento de la situación de un evento

de seguridad del que haya sido informado.

3.5. Adicionalmente el adjudicatario dispondrá de herramientas de análisis de

vulnerabilidades, en base a las comunicaciones de amenazas que se reciban por parte

del CERT del Grupo Renfe, CCN-CERT, así como de otros canales procedentes de

organismos de difusión de amenazas.

EXP. 2021-00409 Página 19 de 24



4. En relación con los Análisis de Riesgos, el adjudicatario deberá cumplir con los siguientes

requisitos:

4.1. El adjudicatario deberá llevar a cabo un análisis de riesgos según la metodología

conforme al ENS, que en particular el Grupo Renfe identifica como MAGERIT

(herramienta Pilar), salvo que, por indicación contraria y expresa, de la Gerencia de

Ciberseguridad y Privacidad del Grupo Renfe se especifique lo contrario. El análisis de

riesgos deberá incluir:

Identificación de los activos que forman parte del proyecto (comunicaciones,

hardware, software, personal, etc).

Valoración del servicio.

Riesgo Inicial acorde a Magerit (Alto, Medio o Bajo).

Amenazas de seguridad.

Controles de seguridad que mitiguen las amenazas.

Riesgo Residual obtenido tras aplicar los controles de seguridad, también acorde

a Magerit (Alto, Medio o Bajo).

Este Análisis de Riesgos cumple con un doble objetivo: por un lado, el adjudicatario es

consciente de los riesgos de ciberseguridad que debe tener en cuenta, y, por otro lado,

debe ser consciente que la calidad del Análisis de Riesgos realizado, le permitirá

responder más adecuadamente las salvaguardas que le sean de aplicación, una vez

gestionado y evaluado el riesgo por Renfe.

El Análisis (realizado una vez sea adjudicatario del servicio), será compartido con la

Gerencia de Ciberseguridad y Privacidad del Grupo Renfe, ya que formará parte de la

evaluación del Riesgo que realizará el Grupo Renfe. El adjudicatario deberá colaborar

e implementar bajo el alcance del contrato, aquello que le sea de aplicación.

5. Relacionados con la Seguridad de la Red, del Software, de la Operación y de las tecnologías

de la Información, la empresa adjudicataria deberá cumplir con los siguientes requisitos:

5.1. Deberán disponer de procesos documentados, incluyendo criterios y evaluación, para

garantizar que el software y las aplicaciones utilizadas como soporte de las actividades

empresariales del Grupo Renfe estén debidamente autorizados, adquiridos o creados.

5.2. Deberá disponer de documentación formal detallando las medidas necesarias para

proteger los sistemas de Información frente a los actos maliciosos o malintencionados.

5.3. Siempre que sea de aplicación conforme al objeto del proyecto, deberá existir

documentación formal detallando las medidas necesarias para la configuración segura

de los dispositivos de red, aplicaciones y desarrollos. Se deben evitar entre otras malas

prácticas las configuraciones “de caja”, las credenciales por defecto, los permisos no

ajustados a las necesidades, el uso de credenciales no unipersonales, entre otras.

5.4. Los sistemas del adjudicatario dentro del alcance de estos trabajos, deberán tener

instaladas las últimas revisiones del software y deberá existir un programa/proceso de

actualización.

EXP. 2021-00409 Página 20 de 24



5.5. Tanto el software como las aplicaciones utilizadas como soporte de las actividades

empresariales del Grupo Renfe deben estar configurados para solucionar factores de

vulnerabilidad y amenazas conocidas y nuevas en un plazo aceptable.

5.6. El adjudicatario deberá disponer de una política de copias de seguridad (backup)

específica, la cual debe incluir la identificación no sólo de los procesos identificados

como relacionados con el proyecto, sino también aquellos procesos internos del

adjudicatario que incorporan copia de información del Grupo Renfe como parte de sus

datos. Deberán implantarse procesos o procedimientos formales y documentados

para garantizar la realización de copias de seguridad y para la recuperación de la

información.

5.7. A la hora de realizar una copia de seguridad (backup) de los equipos que contengan

datos del Grupo Renfe, el adjudicatario deberá solicitar autorización expresa,

indicando la información que contienen dichos equipos. En cualquier otro caso en el

que la información deba salir del ámbito del Grupo Renfe, el adjudicatario deberá

tomar las medidas necesarias en virtud de la clasificación de seguridad de la

información.

5.8. Se implementarán controles de seguridad a nivel de aplicación para asegurar que la

información intercambiada con las diferentes interfaces de la plataforma está

convenientemente protegida.

5.9. Los sistemas de información, como equipos personales (portátiles entre otros) que

sean propiedad del adjudicatario y hagan uso de las redes de usuario del Grupo Renfe

deberán estar correctamente protegidos y configurados para que no representen una

amenaza a la confidencialidad, disponibilidad e integridad de la información de Renfe.

Entre otras cuestiones de configuración de los mismos, NO deben generar tráficos no

autorizados desde las redes del Grupo Renfe hacia recursos externos o internos de la

red del adjudicatario.

6. En relación con los equipos que vayan a conectarse a las redes o sistemas de información

del Grupo Renfe, o que vayan a tratar información del Grupo Renfe, el adjudicatario deberá:

6.1. El adjudicatario debe facilitar a la Gerencia de Ciberseguridad y Privacidad de Renfe, el

resultado de un escaneo de vulnerabilidades de la solución ofertada. En caso de no

poder realizar este escaneo se facilitará a la Gerencia de Ciberseguridad y Privacidad

de Renfe la posibilidad de realizarlo.

6.2. En caso de que el adjudicatario sea conocedor de que uno de los equipos se encuentre

en obsolescencia tecnológica, es decir, cuando no puedan instalarse nuevos parches

de seguridad o no estén disponibles a pesar de existir vulnerabilidades que le afecten,

ya sea por causa del fabricante, sistema operativo u otra causa relacionada con el

equipo, deberá notificárselo al Grupo Renfe.

6.3. El adjudicatario eliminará o inhabilitará en todos los equipos, el software que no sea

necesario para la operación y el mantenimiento de dicho equipo antes de ponerlo a

disposición del Grupo Renfe.

EXP. 2021-00409 Página 21 de 24



6.4. El adjudicatario deberá contar con un plan de acciones correctivas dentro del proceso

de mantenimiento para hacer frente a cualquier incidencia software y/o hardware que

se produzca en los equipos o cualquiera de sus componentes.

6.5. El adjudicatario deberá mantener los equipos actualizados a la última versión de

Software disponible por el fabricante o fabricantes, según un proceso o política de

actualización que deberá ser elaborado por el adjudicatario.

6.6. Deberá colaborar en la elaboración por parte del Grupo Renfe, y cuando este lo

requiera, de una política de bastionado de los equipos una vez sea el adjudicatario del

proyecto.

6.7. Deberá mantener y poner a disposición del Grupo Renfe de un inventario actualizado

de la totalidad de equipos. Este inventario deberá contener al menos los siguientes

campos:

a. Dirección IP del equipo.

b. Nombre del equipo (hostname).

c. Dirección MAC del equipo.

d. Inventario actualizado del Software instalado en cada equipo.

e. Modelo del equipo.

f. Versión del sistema operativo instalado.

g. Marca, modelo y Versión de antimalware instalado.

6.8. Deberá colaborar con el Grupo Renfe en lo que este le requiera para la remediación

de infecciones que se produzcan en los equipos y responsabilizándose de la efectiva

remediación de dichas infecciones. Asimismo, y para minimizar el número de estas

posibles acciones, el adjudicatario deberá realizar la instalación y el mantenimiento de

actualizaciones de un producto antimalware.

6.9. Los equipos deberán ser ubicados en una red preferiblemente cableada,

independiente y segmentada con respecto al resto de redes del Grupo Renfe. En caso

de ser requerido, se otorgará al RENFE-CERT capacidad de supervisión de dicha red.

6.10. El adjudicatario que haga uso de equipos de usuario (Windows 7 y Windows 10)

portátiles, sobremesa o cualquier otro tipo de dispositivo (Surface), no gestionado por

Renfe, en los que se vaya a tratar información del Grupo Renfe o se vayan a conectar

a la red o sistemas de información del Grupo Renfe, deberá proporcionar a la Gerencia

de Ciberseguridad y Privacidad la siguiente información para cada uno de los equipos:

6.10.1. Informe individual del equipo con el detalle obtenido por el adjudicatario de la

herramienta CLARA del CCN para determinar el cumplimiento con las

características de seguridad técnicas definidas en el ENS para una categorización

del sistema con nivel MEDIO.

La Gerencia de Ciberseguridad y Privacidad considerará seguro un equipo cuando

el informe indique un cumplimiento con las características de seguridad técnicas

definidas en el ENS para una categorización del sistema con nivel MEDIO de un

65% o superior.

6.10.2. Informe agregado de cumplimiento elaborado por el adjudicatario, en el que se

debe incluir en el nivel de cumplimiento obtenido en el informe individual, de cada

EXP. 2021-00409 Página 22 de 24



uno de los equipos bajo alcance del proyecto. Este informe debe indicar el valor

agregado, que será el valor medio del Informe individual (6.10.01) de todos los

equipos bajo alcance del proyecto.

6.11. En el caso de que los equipos utilicen tecnologías de comunicación inalámbrica, el

adjudicatario deberá cumplir con los siguientes requisitos:

6.11.1. El adjudicatario debe minimizar, en lo posible, el uso de redes inalámbricas

frente a redes cableadas, dado que por el diseño de especificaciones son más

inseguras.

6.11.2. La red inalámbrica. proporcionará comunicaciones cifradas.

6.11.3. La red inalámbrica deberá estar provista de métodos de autenticación como

contraseñas, u otros mecanismos seguros de autenticación (firmas digitales, entre

otros), para estar protegida de modificaciones o usos no autorizados.

6.11.4. El adjudicatario debe incluir este equipamiento inalámbrico dentro de los

procesos de gestión del riesgo y gestión de las vulnerabilidades.

7. En relación con la Seguridad relativa a terceras partes y a recursos humanos, la empresa

adjudicataria deberá cumplir los siguientes requisitos:

7.1. Deberán realizarse evaluaciones de los riesgos para la seguridad de la información de

los proveedores para las terceras partes que accedan, procesen, recojan, creen o

almacenen información del Grupo Renfe.

7.2. Todo el personal del adjudicatario deberá conocer las políticas, estándares y procesos

sobre seguridad de la información que resulten de aplicación. Además, dicho personal,

deberá estar formado y concienciado en materia de seguridad de la información.

7.3. Los empleados, contratistas, agentes y otras terceras partes implicadas en el proyecto

deberán, sobre sus responsabilidades, recibir formación, al menos con carácter anual

o bien mediante acciones de concienciación en aquellos momentos que el

Adjudicatario considere necesario, para garantizar la seguridad y la protección de los

recursos de información del Grupo Renfe.

7.4. Para gestionar las identidades asociadas a las credenciales del personal del

adjudicatario, se aportarán los siguientes datos:

a. Nombre y apellidos.

b. DNI.

c. Correo electrónico profesional.

d. Teléfono móvil.

8. Relativo a los aspectos de Cumplimiento Normativo de Seguridad:

8.1. La solución para captura y envío remoto del tráfico, análisis, modelado y correlación

del tráfico y la solución de detección de comportamientos anómalos y vulnerabilidades

deben estar certificada en el ENS nivel MEDIO, tal y como aparece recogido en el

Documento de Seguridad “Obligaciones de los prestadores de servicios a las entidades

públicas” del CCN. En caso de no estar certificadas el licitador se comprometerá a

EXP. 2021-00409 Página 23 de 24



solicitar dicha certificación durante los 6 primeros meses de vigencia del contrato en

caso de resultar adjudicatario.

En el caso que las soluciones anteriormente no estén certificadas en el ENS, pero estén

certificadas por un tercero externo, de un Sistema de Gestión de la Seguridad de la

Información (SGSI), basado en la 27001 o similar, el licitador se comprometerá a

solicitar dicha certificación durante los 8 primeros meses de vigencia del contrato, en

caso de resultar adjudicatario. El aumento temporal de 2 meses en la solicitud de la

certificación en el ENS, en este caso, se debe a que el licitador se encuentra ya en

cumplimiento con un Marco de Seguridad de la Información.

8.2. El licitador de conformidad con la Ley 12/2018, de 7 de septiembre, de seguridad de

las redes y sistemas de información, asegurará que deberán satisfacerse las

obligaciones en relación con los incidentes de seguridad, entre otras cuestiones.

8.3. Debe contemplarse el compromiso de devolución/destrucción (a elección del Grupo

Renfe) de la información confidencial recabada durante la ejecución del servicio.

9. Relativo a los aspectos de Cumplimiento Normativo de Privacidad:

9.1. El adjudicatario, aplicará las medidas técnicas y organizativas de conformidad con la

legislación vigente en materia de protección de datos de carácter personal (RGPD Y

LOPDGDD).

9.2. El adjudicatario, formalizará un contrato de encargo de tratamiento conforme a lo

dispuesto en los artículos 28 del RGPD y 28 y siguientes de la LOPDGDD. Dichas

referencias esenciales serán las siguientes:

9.2.1. Las condiciones de subcontratación de servicios por parte del adjudicatario que

deberán estar sujetos a las mismas obligaciones que dicho adjudicatario (28.2 del

RGPD).

9.2.2. Establecer la posibilidad de auditar al adjudicatario, así como establecer los

términos en los que las citadas auditorías se celebren (periodicidad mínima,

asunción de costes, plazos de preaviso, etc) (artículo 28.3.h).

9.2.3. El compromiso de soporte y asistencia al Grupo Renfe en la aplicación de medidas

de seguridad (art 28.3.e)

9.2.4. Obligaciones específicas en materia de comunicación de brechas de seguridad (art

28.3.f)

9.2.5. Soporte y comunicación ante posibles recepciones de derechos por parte de

titulares de datos al adjudicatario (art 28.3.e)

9.3. Tal y como se determina en el apartado de Riesgos, se determina la obligación del

adjudicatario de realizar el análisis de riesgos para el tratamiento de los datos de

carácter personal, planteando las medidas de seguridad que estime conveniente. Las

medidas de seguridad deberán ser aprobadas por el Grupo Renfe (ver requisito

establecido en el punto 4- Análisis de Riesgos, del presente documento).

9.4. Obligación del adjudicatario del compromiso de confidencialidad y deber de secreto

respecto a los datos de carácter personal tratados como consecuencia de la ejecución

EXP. 2021-00409 Página 24 de 24



del servicio, así como el compromiso de destrucción/devolución de datos una vez

finalizado el servicio.

9.5. El alcance temporal del deber de confidencialidad para el adjudicatario debe

prolongarse durante el período acordado con posterioridad a la finalización del

servicio.

Firmado:

Francisco Lázaro Anguís Gerente de Ciberseguridad y Privacidad

especificaciones tÉcnicas exp. 2021-00409 suministro

Documents