mnh licitaciones - gestión y alerta de...

Documento Identificadores

PPT PLATAFORMA ADM ELEC

Código de verificación Otros datos

69492833-71415C17-5C8BDC96-FA168DE

Servicio de Informática

1 / 42

PLIEGO DE CONDICIONES TÉCNICAS PARA LA CONTRATACIÓN POR LA DIPUTACIÓN DE VALENCIA DE UNA PLATAFORMA ADMINISTRACIÓN ELECTRÓNICA, Y NORMALIZACIÓN E IMPLANTACIÓN DE PROCEDIMIENTOS ELECTRÓNICOS, PARA LOS MUNICIPIOS DE LA PROVINCIA DE VALENCIA MENORES DE 20.000 HABITANTES, ENTIDADES LOCALES MENORES Y MANCOMUNIDADES.

ÍNDICE 1. INTRODUCCIÓN ......................................................................................................................... 3 2. OBJETO DEL CONTRATO ............................................................................................................ 3 3. ALCANCE DEL PROYECTO Y REQUISITOS ................................................................................... 5 3.1 PLATAFORMA TECNOLÓGICA....................................................................................... 5 3.2 ACCESIBILIDAD ............................................................................................................. 6 3.3 FIRMA ELECTRÓNICA.................................................................................................... 7 3.4 REGISTRO DE ENTRADAS Y SALIDAS ............................................................................ 8 3.4.1 Registro Presencial ..................................................................................... 8 3.4.2 Registro Telemático .................................................................................... 9 3.4.3 Sistema de digitalización de documentación ............................................. 9 3.4.4 Compulsa electrónica ............................................................................... 10 3.5 GESTOR DE EXPEDIENTES ........................................................................................... 10 3.5.1 Procedimientos ......................................................................................... 12 3.5.2 Plantillas de documentos ......................................................................... 12 3.5.3 Archivo ...................................................................................................... 13 3.6 SEDE ELECTRÓNICA .................................................................................................... 15 3.7 OTROS MÓDULOS ...................................................................................................... 17 3.7.1 Portafirmas ............................................................................................... 17 3.7.2 Pago Telemático ....................................................................................... 18 3.7.3 Notificaciones ........................................................................................... 18 3.7.4 Recepción y gestión de facturas ............................................................... 19 3.7.5 Órganos Colegiados .................................................................................. 19 3.7.6 Cuadro de mandos ................................................................................... 20 3.7.7 Gestión de representación y apoderamientos ......................................... 20 3.8 IMPLANTACIÓN / FORMACIÓN .................................................................................. 20 3.9 OTROS REQUISITOS LEGALES DE LA PLATAFORMA .................................................... 21 4. CONDICIONES PARA LA EJECUCIÓN DEL PROYECTO ............................................................... 22 4.1 ORGANIZACIÓN DEL PROYECTO ................................................................................. 22 4.1.1 Comité de Dirección ................................................................................. 22 4.1.2 Director del Proyecto................................................................................ 23 4.1.3 Jefe de Proyecto ....................................................................................... 23 4.1.4 Equipo de Trabajo ..................................................................................... 24 4.2 SOPORTE A USUARIOS ................................................................................................ 25 4.3 DOCUMENTACIÓN A ENTREGAR................................................................................. 25 4.4 LICENCIAS .................................................................................................................... 26

FIRMADO

1.- Jefe Servicio de Informática de DIPUTACION - José Benedito Agramunt 29-jul-2016 13:44:41

Pagina 1 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


2 / 42

5. GARANTÍAS DE NIVEL DE SERVICIO (SLAs) .............................................................................. 26 5.1 SOBRE LA GESTIÓN DE INCIDENCIAS .......................................................................... 26 5.2 SOBRE EL NIVEL DE DISPONIBILIDAD .......................................................................... 27 5.3 SOBRE LOS TIEMPOS DE RESPUESTA EN PROCESOS ................................................... 27

6. CONFIDENCIALIDAD Y SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL ....................................................................................................... 28

6.1 CONFIDENCIALIDAD DE LA INFORMACIÓN ................................................................. 28 6.2 SEGURIDAD DE LA INFORMACIÓN .............................................................................. 29 6.2.1 Subcontratación ....................................................................................... 29 6.2.2 Análisis inicial de riesgos .......................................................................... 30 6.2.3 Auditoría inicial de seguridad ................................................................... 31 6.2.4 Coordinación y supervisión de la seguridad ............................................. 32 6.2.5 Prohibición de uso .................................................................................... 33 6.2.6 Ubicación de la infraestructura tecnológica y de la información ............. 34 6.2.7 Proceso de mejora continua ..................................................................... 34 6.2.8 Certificaciones sobre productos de seguridad ......................................... 34 6.3 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL..................................................... 34 7. PROPIEDAD DE LOS TRABAJOS ................................................................................................ 37

8. CARGA DE DATOS Y MIGRACIÓN DE CONTENIDOS ................................................................. 37

ANEXO I. CONJUNTO DE MEDIDAS ENCAMINADAS A PROTEGERSE DE LOS RIESGOS POSIBLES SOBRE LOS SISTEMAS DE INFORMACIÓN .............................................................................

ANEXO II. CONJUNTO DE MEDIDAS DE ÍNDOLE TÉCNICA Y ORGANIZATIVAS NECESARIAS QUE GARANTICEN LA SEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL ..............................

FIRMADO


Pagina 2 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


3 / 42

1. INTRODUCCIÓN La Diputación de Valencia quiere poner a disposición de los municipios menores de 20.000 habitantes de la provincia de Valencia, Entidades Locales Menores y Mancomunidades, una plataforma para la gestión electrónica que dé solución a su organización administrativa y documental interna, y que facilite la relación de los ciudadanos a través de internet con las mismas. El desarrollo de la Administración Electrónica es uno de los principales desafíos a los que se enfrentan las Administraciones Públicas para no quedar desfasados con la realidad social que se viene denominando ‘Sociedad de la Información’. Se puede decir que quizás sea el más importante, pues focaliza todos los problemas que concurren en la mejora de la Administración y, al mismo tiempo, concita enormes esperanzas como instrumento para su solución. Acercamiento entre ciudadano y Administración, simplificación administrativa, reducción de costes, mejora de procedimientos internos, mejora de las garantías hacia los ciudadanos: todos estos objetivos tienen en el desarrollo de la Administración electrónica su mejor herramienta. La Diputación de Valencia asume su papel coordinador de todo este proceso de modernización de la provincia, y su responsabilidad a la hora de establecer los medios para garantizar el cumplimiento por parte de las Entidades Locales de las obligaciones legales derivadas de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, y la adecuación de las administraciones locales de la provincia a la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, pero al mismo tiempo no renuncia a la posibilidad de que cada entidad local pueda implantar la solución tecnológica que mejor se ajuste a sus necesidades. La Ley 7/1985, de 2 de abril, reguladora de las Bases de Régimen Local, en su artículo 36, 1, g), encomienda, tras la reforma de su articulado producida por la Ley de Racionalización y Sostenibilidad de la Administración Local, a las Diputaciones Provinciales, como competencia propia, la prestación de los servicios de Administración Electrónica de los municipios con población inferior a 20.000 habitantes.

2. OBJETO DEL CONTRATO El objeto principal de esta contratación es facilitar el acceso a los municipios de la provincia, menores de 20.000 habitantes, Entidades Locales Menores y Mancomunidades, a una plataforma de administración electrónica que contribuya a mejorar la calidad y capacidad de gestión administrativa de las Entidades Locales, y acercar la administración local al ciudadano, contribuyendo a la mejora del funcionamiento interno de todas las organizaciones administrativas de las Entidades Locales, independientemente de la localización de los departamentos y personas, incrementando la eficacia y la eficiencia de los procesos y permitiendo relacionarse de forma electrónica tanto internamente como externamente, especialmente con los ciudadanos que lo deseen.

FIRMADO


Pagina 3 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


4 / 42

Las líneas general del objeto de esta contratación son:

• Racionalización, normalización y simplificación de un mínimo de 50 procedimientos administrativos.

• Suministro de una plataforma para la gestión de expedientes electrónicos que incluya gestión documental, portafirmas, archivo documental y firma electrónica reconocida.

• Todos los servicios contratados se prestarán en modalidad SaaS (de software como servicio), sin que la Diputación de Valencia deba asumir coste alguno de instalación o dotación de infraestructura de sistemas. La empresa adjudicataria asumirá durante toda la vida del contrato, los costes de administración, mantenimiento, configuración y resoluciones de incidencias.

• La instalación se realizará de forma única y centralizada para todas las Entidades Locales participantes en el proyecto disponiéndose de un servidor para la tramitación electrónica al que accederán los mismos.

• Servicios para la implantación electrónica de los procedimientos que han sido objeto de racionalización, y formación y soporte al personal de las Entidades Locales sobre la plataforma de administración electrónica, nuevas herramientas y procedimientos que se desplieguen.

• Servicios de asesoramiento para la mejora en la tramitación y la simplificación de gestiones administrativas.

• Diseño e implementación de procedimientos para tramitaciones internas en la entidad, o con la participación del ciudadano a través de los canales habilitados para tal fin.

• Integración con los sistemas de información del back office existentes en las Entidades Locales, a las que dé soporte la Diputación de Valencia, mediante servicios web o similares (programa contable Sicalwin, del proveedor Aytos; padrón de habitantes Interpública, del proveedor Iasoft).

• Integración en su caso con la plataforma de AE para Entidades Locales de la GVA o utilización de componentes de la misma, o suministro de un portal, sede electrónica, para la tramitación electrónica con personas, empresas y otras administraciones públicas y privadas de procedimientos integrados en el gestor de expedientes: inicio de trámites administrativos, presentación de documentación, acceso a la documentación de los expedientes de las Entidades Locales, pago de impuestos, procedimientos relacionados con el padrón de habitantes, factura electrónica, notificaciones electrónicas, etc.

• Suministro de un sistema de registro de documentos de entrada y salida, presencial y telemático, integrado con el gestor de expedientes electrónico.

• La prestación se deberá adaptar a todos los cambios normativos, durante la vigencia del contrato, con independencia del alcance de dichos cambios, sin coste adicional para la Diputación de Valencia.

• Gestión del cambio. Se deberá aportar un documento en la oferta (dentro del punto 7 Plan de trabajo, de la estructura de respuesta al pliego, apartado 7.3 Propuestas de gestión del cambio durante el período de implantación) donde se exponga de forma resumida, pero con claridad, las propuestas de gestión del cambio que se van a realizar a lo largo del período de implantación en las Entidades Locales.

• Se incluirá la formación necesaria, tanto para técnicos como para usuarios. Se aportará un plan de formación y despliegue detallado.

FIRMADO


Pagina 4 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


5 / 42

• La plataforma estará dotada de un cuadro de mandos integral que proporcione mediciones sobre indicadores fácilmente definibles.

Los principales módulos de la plataforma de administración electrónica son:

• Registro electrónico de entrada/salida de documentos

• Gestor de expedientes electrónicos

• Sede electrónica (integración en su caso con la plataforma de AE para Entidades Locales de la GVA o utilización de componentes de la misma)

• Conservación de documentos electrónicos, archivo

• Identificación digital, firma electrónica y sellos de tiempo

• Notificaciones electrónicas

• Portafirmas

• Perfil del contratante (integración con la Plataforma de Contratación del Estado).

• Copias electrónicas

• Cuadro de mandos Las características técnicas y funcionales de los servicios descritos en este documento tienen carácter de mínimas. Los distintos licitantes deberán especificar de forma detallada en sus propuestas las características concretas de los aplicativos y servicios ofertados, y las soluciones aportadas. Se considera incumplimiento o cumplimiento defectuoso de este pliego de condiciones técnicas, el incumplimiento, total o parcial, de uno o varios puntos del mismo. La empresa licitadora podrá en su oferta mejorar dichas características aportando soluciones que se ajusten más a los requisitos de Diputación, justificando cada mejora propuesta. La Plataforma contemplará la utilización y conexión con las soluciones de administración electrónica que la Generalitat Valenciana pone a disposición de las Entidades Locales a través del Convenio de colaboración entre la Administración General del Estado (MINHAP) y la Generalitat de la Comunitat Valenciana para la prestación mutua de soluciones básicas de administración electrónica (BOE 157, de 30 de junio de 2016). Las soluciones de plataforma propuestas deben recoger elementos software con capacidad de evolución, escalabilidad y con disponibilidad adecuada a los servicios que se apoyarán en las infraestructuras tecnológicas disponibles. Para evaluar la oferta será obligatorio entregar un acceso a la herramienta a través de internet donde pueda verificarse el cumplimiento de todos los requisitos exigidos.

Para cualquier aclaración respecto al pliego de prescripciones técnicas los licitadores deben plantearlas a través de la dirección de correo [email protected]. Las respuestas a las consultas técnicas planteadas con carácter reiterativo o que se consideren de interés general serán públicas.

3. ALCANCE DEL PROYECTO Y REQUISITOS A continuación se describen en detalle cada uno de los trabajos y módulos que se requieren en el presente pliego.

FIRMADO


Pagina 5 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


6 / 42

El licitante deberá acreditar el cumplimiento de todos los requisitos haciendo referencia al identificador del requisito en las secciones de su propuesta, explicando cómo y en qué medida cumple dicho requisito. 3.1 PLATAFORMA TECNOLÓGICA PT-1. Todos los servicios contratados se prestarán en modalidad SaaS (de software como

servicio), sin que la Diputación de Valencia deba asumir coste alguno de instalación o dotación de infraestructura de sistemas. La empresa adjudicataria asumirá durante toda la vida del contrato, los costes de administración, mantenimiento, configuración y resoluciones de incidencias.

PT-2. La plataforma será multi-entidad. Un empleado público únicamente podrá acceder a

aquella o aquellas entidades a las que tenga acceso. Un ciudadano accederá a través de la sede electrónica de la entidad con la que desee realizar alguna gestión.

PT-3. Para la digitalización de documentos se requiere que el sistema soporte la interfaz

TWAIN, así como mecanismos para integrar documentos de escáneres de red con los que cuentan las Entidades Locales.

PT-4. El gestor de expedientes debe tener un módulo de conexión a sistemas de correo

estándares, así como pasarelas de envío de SMS. Ambas interfaces tendrán que estar integradas con los trámites de procedimiento administrativo de modo que el ciudadano pueda elegir el canal de comunicación en cada procedimiento, pudiendo ser informado por medio que elija el ciudadano (SMS o correo electrónico), sin menoscabo de notificaciones electrónicas fehacientes cuando así lo requiera el procedimiento.

PT-5. La plataforma estará construida entorno a un sistema de gestión documental

corporativo que permita el depósito, custodia, obtención, almacenamiento de firmas, validaciones, expedición de copias autenticadas y otros servicios relacionados con trámites telemáticos.

PT-6. No se admitirá el almacenamiento de documentos en rutas no protegidas sin

encriptar para los servicios de Carpeta Ciudadana, dentro de la sede electrónica, haciendo imposible que el ciudadano acceda a los documentos del sistema mediante combinaciones aleatorias en las rutas de los documentos.

PT-7. Todos los datos estructurados deberán custodiarse en torno a una base de datos

relacional. Los datos no estructurados podrán alojarse en la misma u otras bases de datos relacionales o documentales, o bien, en otros tipos de repositorios, siempre que estén debidamente protegidos tanto del acceso como de la modificación indebida.

FIRMADO


Pagina 6 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


7 / 42

PT-8. A fin de garantizar un adecuado nivel de interoperabilidad, no sólo con sistemas internos sino también con servicios facilitados por parte de otras Administraciones Públicas, se suministrará un conjunto de librerías o servicios que permita a otras aplicaciones o sistemas integrarse con la plataforma de administración electrónica, y en concreto con el gestor de expedientes. Todas las operaciones básicas del ciclo de vida de un documento o expediente deben estar disponibles a través de estos servicios.

3.2 ACCESIBILIDAD AC-1. Las interfaces de la plataforma deberán cumplir con la normativa aplicable vigente en

lo relativo a accesibilidad, interoperabilidad y multicanalidad. Deberá cumplir con los niveles de accesibilidad básico (A) y medio (AA) definidos en Norma UNE 139803:2004 (estándares de accesibilidad WAI-AA).

AC-2. En el caso de que requiera uso de un navegador de internet para acceder a las

soluciones ofrecidas, estas deberán ser accesibles como mínimo a través de las últimas versiones de los navegadores Mozilla Firefox y/o Internet Explorer y/o Safari y/o Google Chrome.

AC-3. Si cualquiera de los servicios de la plataforma requiere del uso de Java por parte de

las Entidades Locales, deberán ser compatibles con la última versión oficial ofrecida por el fabricante de Java. En el caso de no ser así, se establecerá un plazo de dos meses, desde la aparición de la última versión de Java, para adaptar los servicios ofrecidos a dicha versión.

AC-4. La plataforma deberá ser multi-idioma, al menos, valenciano y español. La interfaz

pública (sede electrónica), al margen de los dos anteriores, permitirá añadir nuevos idiomas, los principales de la Unión Europea (al menos inglés).

AC-5. El acceso a la información, así como el tratamiento, exportación, almacenamiento y

edición de documentación, deberá realizarse bajo formatos preferiblemente estándares.

3.3 FIRMA ELECTRÓNICA FE-1. El sistema deberá implementar la firma electrónica reconocida, tanto para acceder al

sistema como para mecanismo general de aprobación de documentos electrónicos. FE-2. El mecanismo de firma básico incluirá métodos de encriptación y autenticación

generalizados, como por ejemplo SHA-1, HMAC, EPS, IKE, RSA. En el mismo sentido se permitirá la exportación o inclusión de diversos tipos de formatos estándares de exportación de certificados como por ejemplo PKCS7, PKCS12, PEM, CERT. Así mismo se tendrán en cuenta la adaptación, integración y disponibilidad de las aplicaciones

FIRMADO


Pagina 7 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


8 / 42

para transmitir bajo diversos métodos y protocolos de comunicación segura, respetando los protocolos de comunicación bajo estándares X.509v3, así como la compatibilidad de su migración a IPsec sobre IPv6.

FE-3. Deberá permitir la utilización de cualquier certificado bajo protocolos X.509v3 o

superior, tanto en soporte software como en tarjeta inteligente y en particular deberá ser plenamente compatible, como mínimo, con los certificados de la ACCV y con el DNI electrónico.

FE-4. En general deberá ser capaz de validar el certificado seleccionado en toda su

extensión, incluyendo el estado de revocación y custodiar dicha evidencia. Debe permitirse especificar los criterios de aceptación de certificados según entidad de certificación o tipo.

FE-5. La validación del certificado deberá emplear los servicios de la plataforma de firma

electrónica del MAP: @Firma 5.0. v1.3.0 o superior. FE-6. El sistema deberá disponer de un módulo específico de servidor para llevar a cabo las

validaciones de certificados de forma centralizada, no requiriendo acceso a Internet por parte de los distintos equipos cliente que hagan uso del sistema.

FE-7. Deberá permitir el ingreso de documentos electrónicos externos, junto con sus

firmas electrónicas. Debe ser capaz de validar la firma electrónica externa y determinar la integridad y autenticidad del documento externo.

FE-8. El sistema deberá disponer, integrado con el gestor de expedientes, una

funcionalidad de portafirmas. 3.4 REGISTRO DE ENTRADAS Y SALIDAS Permitirá gestionar el registro de toda la documentación de entra y salida de la entidad, tanto telemática como presencial, y estará integrado con el gestor de expedientes. Deberá reunir como mínimo las siguientes características: RE-1. Su diseño cumplirá con lo establecido en la normativa SICRES 3.0. RE-2. Garantizará la fecha y hora oficial de las anotaciones a través de un sello de tiempo

de la ACCV, u otra entidad certificadora, y permitirá descargar de cada anotación un justificante firmado y sellado electrónicamente.

RE-3. Contemplará necesariamente funcionalidades de escaneo y digitalización certificada

de documentos con sello de órgano, y permitirá la compulsa electrónica. RE-4. Permitirá la integración de los apuntes registrales con la plataforma SIR (Sistema de

Integración de Registros) del Ministerio de Hacienda y Administraciones Públicas.

FIRMADO


Pagina 8 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


9 / 42

RE-5. Deberá permitir registrar de forma remota, ofreciendo servicios web para que otras

aplicaciones puedan realizar tareas sobre el mismo a través de invocar estos servicios.

3.4.1 Registro Presencial RP-1. Integración con dispositivos de hardware que permitan la impresión de etiquetas

adhesivas identificativas de los documentos al realizar apuntes de entrada y salida. La etiqueta deberá incorporar un código que permita la trazabilidad posterior de la documentación en papel que entra o sale de la entidad.

RP-2. Deberá permitir la creación de un número ilimitado de registros de entrada y salida.

El contador de registros se inicializará todos los años el primero de enero. RP-3. Permitirá la creación y coexistencia de registros auxiliares. RP-4. Deberá permitir la inclusión de documentos en cada entrada tanto a partir de

ficheros como a partir de un sistema de escaneado RP-5. Permitirá trabajar con escaneado de la documentación al instante, con el ciudadano

presente, y en diferido, permitiendo un escaneado masivo donde se identifiquen y separen automáticamente los documentos, se firmen y sellen electrónicamente y queden accesibles desde la anotación de registro correspondiente.

RP-6. El sistema deberá permitir que el personal que digitalice los documentos pueda

firmar digitalmente los mismos una vez integrados en el equipo, de forma que pueda validarse. La plataforma dispondrá de un sistema de compulsa digital de documentos.

RP-7. Posibilidad de integración con sistemas de digitalización certificada. RP-8. Se incluirá un sistema de gestión de relaciones o remesas que simplifiquen los envíos

de certificados (notificaciones, etc) que faciliten la relación y envíos con Correos. 3.4.2 Registro Telemático RT-1. El sistema deberá disponer de un registro telemático, integrado con el registro

presencial. RT-2. A través de este registro telemático el usuario (ciudadano o empresa) podrá iniciar

trámites o realizar actuaciones en la tramitación de los expedientes en los que sea parte interesada.

FIRMADO


Pagina 9 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


10 / 42

RT-3. El sistema requerirá que el ciudadano firme digitalmente la solicitud a presentar y proporcionará un justificante de presentación de la solicitud a modo de recibo.

RT-4 Se podrá aportar documentos en formato digital, anexos a las solicitudes, dejando

constancia en la solicitud, además del propio documento, el nombre del mismo y un hash que lo identifique, quedando constancia de dichos datos en el formulario que el usuario firmará para dar por finalizada la solicitud. En el caso de aportar documentos se tendrán que firmar estos individualmente.

RT-5. Cuando por razones técnicas el registro no estuviera operativo se deberá emitir un

aviso en la pantalla de acceso de los usuarios, y se comunicarán las causas y el tiempo de inactividad al Servicio de Informática de la Diputación de Valencia.

3.4.3 Sistema de digitalización de documentación SD-1. Escaneo individual y masivo de documentos, tanto de forma interactiva como en un

procedimiento batch (de forma desatendida). SD-2. Permitirá la identificación unívoca de los documentos, y la asociación de los

metadatos mínimos obligatorios establecidos en el Esquema Nacional de Interoperabilidad.

SD-3. Se firmará y sellarán los documentos para facilitar su localización, garantizando su

integridad y el momento de su digitalización. SD-4. Se relacionarán los documentos con el apunte registral o con un expediente ya

existente e iniciado.

FIRMADO


Pagina 10 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


11 / 42

3.4.4 Compulsa electrónica CE-1. El sistema dispondrá del módulo necesario para obtener la versión electrónica

equivalente de un documento presentado en mano con procedimientos de compulsa electrónica (digitalización del documento presentado, firma electrónica del funcionario autorizado o sello de órgano, diligencia de compulsa).

CE-2. Se podrá obtener un impreso con la diligencia de compulsa electrónica en la que se

hará constar la referencia única al documento archivado en el sistema. CE-3. Se permitirá la obtención de una compulsa en papel de un documento electrónico

que haya sido presentado en la entidad, y esté en poder de ésta, de acuerdo con la Ley 11/2007, debiendo incluirse en la impresión del documento electrónico un código que permita contrastar su autenticidad mediante acceso a la versión electrónica.

3.5 GESTOR DE EXPEDIENTES Permitirá la tramitación de procedimientos por vía electrónica, permitiendo a las Entidades Locales tener todos sus expedientes organizados y localizados. Contemplará la gestión integral de todas las fases del ciclo de vida de cualquier procedimiento administrativo, así como los documentos generados a lo largo del mismo y garantizando ante todo la integridad y seguridad de las actuaciones. Deberá reunir como mínimo las siguientes características: GE-1. El sistema de gestor de expedientes se integrará con un sistema de Gestión

Documental y con el Registro de Entrada/Salida de documentos. GE-2. Se cumplirán los requisitos establecidos en las correspondientes normas técnicas que

regulan el Esquema Nacional de Interoperabilidad en cuanto a los metadatos del expediente electrónico y documentos asociados.

GE-3. Existirá una automatización del inicio de los procesos a solicitud de interesado a

través de la sede electrónica o presencialmente, o bien de oficio. GE-4. Control de la totalidad, inalterabilidad y accesibilidad a los expedientes.

Implementará mecanismos que garanticen la integridad de cualquier documento y el acceso a los mismos.

GE-5. Posibilidad de interoperabilidad con otros sistemas de información empleados en la

Entidad. Deberá permitir el acceso de forma remota, ofreciendo servicios web para que otras aplicaciones puedan realizar tareas sobre el mismo a través de invocar estos servicios.

GE-6. Dispondrá de un catálogo de tipos de expedientes, que facilitará la normalización y

racionalización de los procedimientos.

FIRMADO


Pagina 11 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


12 / 42

GE-7. El sistema deberá permitir el enlace entre distintos expedientes electrónicos así

como un documento podrá formar parte de más de un expediente. GE-8. Deberá permitir el archivado y foliado de un expediente, así como la obtención o

exportación en cualquier momento del expediente completo, incluyendo documentos electrónicos, formularios y metadatos en formatos estándares (según Esquema Nacional de Interoperabilidad).

GE-9. Deberá generar de forma automática Códigos Seguros de Verificación para cada

documento generado por el gestor. La plataforma dispondrá de un punto de verificación, accesible por los usuarios externos, para comprobar el Código Seguro de Verificación de los documentos generados.

GE-10. Se deberá permitir la consulta telemática del estado de un expediente por parte de

los interesados debidamente autenticados. Se visualizarán los trámites realizados hasta el momento, y los documentos que contiene.

GE-11. Permitirá la trazabilidad del historial de tramitación del expediente, con indicación de

la fase actual en la que se encuentra, empleados que han participado en el mismo, así como las fases por las que ha ido pasando con indicaciones de fechas.

GE-12. El gestor de expedientes permitirá trabajar con procedimientos definidos con flujo o

con procedimientos abiertos, sin flujo definido (según los usuarios estimen). Implementará un procedimiento, Procedimiento Administrativo Común, que permita la libre tramitación de expedientes, desde la creación del mismo hasta la adopción de los correspondientes acuerdos, y a la presentación de los trámites en sede (notificación, publicación, estado del expedientes, ..).

GE-13. Todos los documentos firmados deberán estar preparados para su archivo a largo

plazo según el estándar PDF/A, contando con un servicio de custodia electrónica de documentos que permita organizar y conservar toda la documentación de la entidad dentro del archivo electrónico de larga duración.

GE-14. Deberá contar con un archivo electrónico de larga duración que deberá incorporar un

servicio de resellado automático de las firmas electrónicas garantizando su preservación en el tiempo a medida que evolucionan los sistemas criptográficos en el tiempo.

GE-15. Deberá facilitar la tramitación flexible, ágil y fluida de los procedimientos

permitiendo, a los cargos con capacidad de firma, la utilización de dispositivos móviles para la firma electrónica de documentos. Permitirá la delegación de firmas y tareas pendientes.

GE-16. Generará un índice electrónico que agrupe todos los documentos asociados a un

expediente y que deberá ser firmado por la entidad u órgano gestor según proceda.

FIRMADO


Pagina 12 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


13 / 42

Este índice deberá garantizar la integridad del expediente electrónico y permitirá su recuperación siempre que sea preciso.

GE-17. El gestor permitirá la clasificación de documentos y expedientes de acuerdo al

cuadro clasificación de la institución. GE-18. El gestor de expedientes dispondrá de un cuadro de mando que permita disponer de

una idea global o pormenorizada del estado de los expedientes de la entidad. 3.5.1 Procedimientos En el objetivo de la esta contratación subyace la normalización y mejora de procedimientos administrativos realizados en las Entidades Locales. La racionalización de procedimientos administrativos pretende:

• Normalizar la tramitación administrativa.

• Agilizar y reducir los costes y plazos de tramitación.

• Permitir gestionar la tramitación administrativa desde su inicio hasta su finalización.

• Reducir errores en el proceso de su tramitación.

• Permitir y organizar la intervención de los agentes responsables de la tramitación de los expedientes.

• Establecer una vía de comunicación telemática con empresas y/o ciudadanos, así como con los diferentes Organismos públicos implicados en cada tipo de expediente.

PR-1. Se pretenden dotar a la plataforma de gestión electrónica de 50 procedimientos

administrativos comunes. PR-2. El licitador presentará una relación de los procedimientos aportados indicando si son

de uso interno (únicamente por la propia administración de la entidad a través del gestor de expedientes), mixto (compartidos con la sede electrónica, y con el gestor de expedientes) o de sede electrónica (únicamente para su uso en la sede electrónica de la entidad por ciudadanos/empresas).

* La relación y detalles de los 50 procedimientos mínimos se incluirá en el Sobre núm.

2 (información relativa a criterios dependientes de un juicio de valor). La información sobre procedimientos adicionales que se oferten como mejora se incluirá en el sobre nº 3(información relativa a criterios objetivos).

PR-3. La plataforma permitirá a las Entidades Locales la modificación de procedimientos

establecidos por el licitador. PR-4. Se podrán implementar nuevos procedimientos diseñados por las Entidades Locales.

FIRMADO


Pagina 13 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


14 / 42

PR-5. Existirá un modelador de procedimientos, que permita definir subprocedimientos que puedan ser reutilizados en otros procedimientos (notificaciones, suspensiones, requerimientos, etc).

3.5.2 Plantillas de documentos El gestor de expedientes dispondrá de plantillas para todos los documentos que utilice el sistema, pudiendo estas ser utilizadas y modificadas por el usuario en cualquier expedientes. Las plantillas estarán catalogadas por trámites o procedimientos. Reutilizarán la información disponible en el expediente y aportada por el interesado o recogida por el usuario tramitador. Deberá reunir como mínimo las siguientes características: PL-1. El gestor tendrá la capacidad de generar documentos automáticamente a partir de

plantillas y datos obrantes en el expediente electrónico. PL-2. Deberá disponer de plantillas normalizadas para los diferentes procedimientos

ofertados, adaptadas a la legislación de la Comunitat Valenciana, y disponibles en valenciano y español.

PL-3. El adjudicatario deberá garantizar que todas las plantillas incluidas se mantengan

jurídicamente actualizadas a los cambios legislativos, a las novedades jurisprudenciales y a las nuevas interpretaciones legales que vayan surgiendo de la doctrina de los órganos consultivos.

PL-4. Todas las plantillas deben estar normalizadas, manteniendo una estructura

homogénea de formatos, diseño y estructura de contenido en función del tipo de declaración que contenga (resoluciones, notificaciones, publicaciones, actas, certificados, informes, etc).

PL-5. Deberá permitir al usuario personalizar las plantillas existentes, disponiendo de un

sistema que le notifique cuando la plantilla personalizada se encuentra desactualizada jurídicamente.

PL-6. Las plantillas podrán ser utilizadas tanto en la gestión del gestor de expedientes

como en las entradas de documentación y en las salidas. Las plantillas se adecuarán a las instrucciones que sobre identidad corporativa indiquen las Entidades Locales.

PL-7. Los documentos generados a partir de las plantillas deberán poder ser editados a

través de las herramientas ofimáticas comúnmente disponibles o directamente a través de la propia aplicación. En caso de requerir el uso de otra herramienta, el coste de licencia, instalación, etc, estará incluido en el precio total de la oferta.

3.5.3 Archivo

FIRMADO


Pagina 14 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


15 / 42

las Entidades Locales deben contar con una política corporativa, normalizada y completa de gestión de los documentos y expedientes, que controle el ciclo completo de la vida de los documentos (incluyendo su control, uso y conservación) y permita garantizar la transparencia administrativa, el acceso de los ciudadanos a la información y la conservación del patrimonio documental, para fines de investigación histórica, como testimonio de la actuación de la administración municipal y como prueba de su legalidad. Los documentos que producen y reciben las Entidades Locales deben ser considerados como un valor corporativo, pues sirven para que los mismos puedan dar prueba y cuenta de la gestión además de proveer información sobre sus decisiones y actividades. El licitador planteará la posibilidad de integración con la Plataforma de Archivo Electrónico de la Diputación de Valencia, o propondrá la utilización de un módulo de archivo electrónico diferente que contemplará las siguientes características: AR-1. La plataforma realizará la catalogación electrónica de la documentación, de acuerdo

con las normas de descripción y categorización archivísticas. AR-2. La plataforma debe incluir funcionalidad para el archivo y la gestión de documentos

electrónicos. Los documentos podrán almacenarse de forma indefinida en el sistema. AR-3. La plataforma debe cumplir la legislación vigente relacionada con la materia, así

como con las normas técnicas sobre gestión de documentos y archivo, incluyendo la norma UNE-ISO 15489, la especificación MoReq2 (Model Requirements for the management of electronic records), y las normas y estructuras internacionales de descripción e intercambio de datos en archivos.

AR-4. El sistema estará dotado de mecanismos que garanticen la legibilidad de la firma a lo

largo del tiempo (utilización de formato de firmas de larga duración como PadEX, XadES, etc, resellados automáticos, etc).

AR-5. El contenido del documento y los metadatos que lo acompañan deberán ser legibles

durante todo el período de conservación del mismo. Se utilizarán formatos abiertos de larga duración PDF/A, para cumplir con esta condición.

AR-6. El módulo de archivo creará y compartirá varios cuadros de clasificación de

estructura flexible, con múltiples niveles jerárquicos que hereden la información. AR-7. Deberá permitir la gestión de los depósitos físicos y de los repositorios de

almacenamiento electrónico de manera flexible, facilitando la gestión de su espacio. Debe contar con un instrumento de seguimiento que permita controlar y registrar información sobre la ubicación y movimientos de los expedientes, tanto tradicionales como electrónicos, a lo largo del tiempo.

AR-8. Gestionará y estandarizará el proceso automático de ingreso de documentación

desde la aplicación de gestión de documentos y desde los archivos de gestión, transfiriendo los documentos y los metadatos asociados a éstos, permitiendo

FIRMADO


Pagina 15 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


16 / 42

multiregistro para los ingresos y posteriores accesos. Asimismo, debe contar con instrumentos integrados para exportar documentos de archivo y metadatos

AR-9. Contará con las herramientas necesarias para realizar la descripción de la

documentación, incluyendo el uso de descriptores y la indización AR-10. El sistema debe permitir establecer y aplicar políticas de valoración de los

documentos para su eliminación o conservación permanente, es decir, mantener y aplicar calendarios de conservación. La destrucción de documentos debe ser segura y estar documentada.

AR-11. El sistema debe permitir establecer y aplicar políticas de acceso (en sus diversos

niveles) a los documentos a lo largo del tiempo. Debe estar dotado de los mecanismos necesarios para realizar búsquedas de documentación que permitan localizar los documentos y gestionar los tipos de acceso y salida de la misma.

AR-12. El sistema debe permitir especificar los formatos permitidos para cada tipo de

documento y rechazar o migrar los documentos que no se encuentren en dichos formatos.

AR-13. La plataforma debe garantizar que los documentos electrónicos puedan mantener

sus cualidades a lo largo del tiempo de modo que la accesibilidad, autenticidad y fiabilidad se mantengan mientras el documento sea necesario

AR-14. Debe permitir supervisar el uso o movimiento de los documentos mediante un

sistema de trazabilidad (pistas de auditoría) incluyendo el cumplimiento de la LOPD. AR-15. El sistema debe permitir la agrupación de documentos en expedientes y su

tratamiento como unidades de gestión y almacenamiento a todos los efectos. AR-16. El adjudicatario deberá proporcionar las herramientas que faciliten la extracción de

documentos (exportación o similar) a un sistema externo de archivo, si a lo largo del período de vida del contrato la entidad plantea esta necesidad, siguiendo siempre lo establecido en el Esquema Nacional de Interoperabilidad (ENI).

3.6 SEDE ELECTRÓNICA La plataforma de administración electrónica ha de contar con un entorno web que venga a erigirse como la sede electrónica de la entidad, donde el interesado de un trámite pueda llevar a cabo por la vía telemática el inicio y seguimiento del mismo con la con la Administración, y que sirva para la comunicación con esta, todo ello en cumplimiento con lo establecido de manera concreta en la Ley 11/2007. La sede electrónica será la dirección electrónica disponible para los ciudadanos a través de redes de telecomunicaciones cuya titularidad, gestión y administración corresponde a una Administración Pública, órgano o entidad administrativa en el ejercicio de sus competencias.

FIRMADO


Pagina 16 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


17 / 42

En la sede electrónica de la entidad debe figurar claramente los términos de la relación por medios electrónicos con los ciudadanos: identificación, autenticación, accesibilidad, disponibilidad, integridad, veracidad, actualización de la información, contenido mínimo, protección jurídica y responsabilidad entre otros. Deberá estar integrada con los componentes de registro, gestor de expedientes y gestor documental. Cumplirá con la normativa nacional y de la Comunidad Valenciana dictada al respecto. El licitador planteará la posibilidad de integración con la plataforma de AE para Entidades Locales de la GVA, y la utilización de componentes de la misma, o propondrá utilización de un módulo de Sede Electrónica diferente que contemplará las siguientes características: SE-1. La publicación en las sedes electrónicas de informaciones, servicios y transacciones

respetará los principios de accesibilidad y usabilidad de acuerdo con las normas establecidas al respecto, estándares abiertos y, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos.

SE-2. Las sedes electrónicas dispondrán de sistemas que permitan el establecimiento de

comunicaciones seguras siempre que sean necesarias. SE-3. El sistema dispondrá, para los ciudadanos y empresas interesados, de un sistema de

acceso a su información personal, a través de internet, que garantice un nivel de seguridad de forma que cada interesado acceda a sus datos, y solo a los suyos.

SE-4. Se utilizarán mecanismos estándar para la construcción de la sede electrónica y se

adaptará ésta a la imagen corporativa de cada entidad. SE-5. Deberá funcionar con las últimas versiones de los navegadores de internet más

utilizados para acceder a las soluciones ofrecidas, estas deberán ser accesibles como mínimo a través de las últimas versiones de los navegadores Mozilla Firefox y/o Internet Explorer y/o Safari y/o Google Chrome.

SE-6. Se señalarán las combinaciones de sistemas operativos y navegadores soportados,

quedando indicados para los usuarios que quieran acceder a la sede. En caso de requerir de algún añadido sobre el navegador a la hora de realizar la negación sobre la sede, éste se deberá poder realizar sin requerir permisos de administrador de equipo, con excepción de la posible utilización de la máquina virtual java, que será considerada como parte del sistema operativo.

SE-7. Se dotará de una herramienta de firma electrónica para los ciudadanos desde la sede

electrónica. SE-8. El sistema identificará de forma fehaciente al interesado en el acceso usando

certificados digitales. Como mecanismo de acceso a la plataforma, por parte de los ciudadanos y empresas, el sistema deberá permitir la autenticación e identificación

FIRMADO


Pagina 17 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


18 / 42

mediante certificados expedidos por la ACCV de la Generalitat Valenciana, FNMT, Cl@ve PIN y el DNI-e como mínimo.

SE-9. El sistema permitirá a las personas usuarias realizar consultas acerca de los datos

personales en disposición de la entidad a la que se conecten estas, al menos:

• Consulta del histórico de registros de entrada y de salida realizados en la entidad (al menos desde la implantación de la plataforma).

• Consulta del estado de tramitación de los procedimientos realizados en su nombre, tanto de forma telemática como presencial.

SE-10. El usuario de la sede electrónica deberá poder consultar también la información

íntegra del procedimiento, incluida la información documental. SE-11. El sistema permitirá a los usuarios identificados realizar solicitudes vía telemática, al

igual que lo harían de forma presencial. Se permitirá al menos:

• Rellenar directamente los formularios correspondientes al tipo de expediente solicitado.

• Aportar y subsanar documentación al expediente seleccionado.

• Consultar información relativa al procedimiento como legislación y ordenanzas.

• Completar el trámite de presentación de la solicitud, si ésta se no ha llegado a finalizarse anteriormente.

• Generar un acuse presentación de la solicitud del interesado. SE-12. El sistema dispondrá de un mecanismo de validación de documentación, procedente

del gestor documental, incluyendo validación de las firmas digitales de los mismos. Deberá generar de forma automática Códigos Seguros de Verificación para cada documento generado por el gestor.

SE-13. En la sede electrónica se dispondrá de un punto de verificación, accesible por los

usuarios externos, para comprobar el Código Seguro de Verificación de los documentos generados por la tramitación de los expedientes en la entidad.

SE-14. La sede electrónica dispondrá de un espacio para la publicación de los actos y

comunicaciones cuya normativa establezca que deban ser publicados en el tablón de anuncios. Posibilidad de integración con el tablón de anuncios electrónicos de la Plataforma de Administración Electrónica de la GVA (SITAE).

SE-15. Se dispondrá de un módulo de perfil del contratante que informe sobre la actividad

de los órganos de contratación de la entidad, o en su caso una conexión con la plataforma Perfil de Contratación del Sector Público

SE-16. El sistema dispondrá de un asistente para la creación y administración de formularios

susceptibles de ser utilizados en la realización de trámites administrativos que se realicen a través de la sede electrónica.

FIRMADO


Pagina 18 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


19 / 42

SE-17. Se permitirá emitir avisos con antelación necesaria sobre la no operatividad de la sede por razones técnicas.

SE-18. El licitador aportará una relación de los trámites electrónicos puestos a disposición

de las Entidades Locales a través de la sede electrónica, indicando también si están vinculados o no con el gestor de expedientes.

3.7 OTROS MÓDULOS 3.7.1 Portafirmas La plataforma deberá ofrecer servicios de Portafirmas que facilite a los cargos y unidades gestoras la aplicación de la firma electrónica a los documentos. PF-1. El Portafirmas permitirá la centralización en un único punto de la firma de

documentos electrónicos procedente de diferentes trámites. PF-2. Dispondrá de un interfaz gráfico de usuario que será utilizado por estos para dar de

alta documentos para firmar y consultar documentos pendientes. PF-3. La herramienta de portafirmas permitirá la firma en bloque de varios documentos. PF-4. El sistema posibilitará el establecimiento de circuitos de firma, permitiendo la firma

de un solo firmante o la firma múltiple (permitiendo en este caso definir los flujos de las firmas, tanto secuenciales como paralelos).

PF-5. Deberá contar con funcionalidades específicas que permitan la delegación de firmas,

quedando reflejo en las auditorias y en los documentos firmados de toda actuación que realicen usuarios por delegación.

PF-6. Se deberá poder firmar digitalmente desde dispositivos móviles (teléfonos móviles,

tabletas, etc). PF-7. El sistema de Portafirmas avisará de los documentos pendientes de firma a sus

destinatarios, recibiendo estos un aviso (sms, email) de aquellos documentos pendientes de firma que estén más de un tiempo determinado en sus bandejas de entrada.

PF-8. El Portafirmas podrá utilizarse sin estar vinculado a ningún expediente. PF-9. Deberá tener los mecanismos necesarios para poder ser invocado desde aplicaciones

externas a través de servicios web, permitiendo a otras aplicaciones dar de alta documentos para firmar y consultar el estado de firma de los mismos.

PF-10. Posibilitará el reconocimiento múltiple de mecanismos de acreditación electrónica

emitidos por las principales agencias de certificación.

FIRMADO


Pagina 19 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


20 / 42

3.7.2 Pago Telemático GT-1. La plataforma propuesta facilitará el pago online para aquellos trámites

administrativos que suponen el pago individual de recibos de tasas, impuestos, etc. Si la pasarela de pagos telemáticos tiene costes de implantación o suscripción el licitador deberá indicarlos expresamente en la oferta técnica (apartado 4 de la estructura de respuesta al pliego, Detalle de requisitos del pliego), detallando los mismos.

3.7.3 Notificaciones

La implantación de un servicio de Notificaciones Electrónicas tiene como objetivo permitir que las comunicaciones enviadas a los ciudadanos a través de medios electrónicos tengan total validez administrativa y se agilicen los intercambios de información. NO-1. La plataforma deberá permitir el seguimiento de las notificaciones de documentación

en función del sistema que se utilice para el envío: en mano, correo ordinario, correo certificado, mensajería, electrónico, etc.

NO-2. En el caso de correo certificado deberá disponer de mecanismos para el envío,

generación de acuses, recepción y tratamiento de los mismos de forma asistida para el usuario.

NO-3. La plataforma deberá integrarse con un mecanismo de notificaciones telemáticas

fehacientes; preferiblemente la plataforma de notificaciones electrónicas de la Generalitat Valencia. Si el licitador ofrece otra plataforma, los posibles gastos de implantación o suscripción de la misma estarán incluidos en el precio total de la oferta.

NO-4. La plataforma permitirá el acceso electrónico seguro y confidencial a la lectura de las

notificaciones enviadas al interesado, gestionando los avisos que deben de generarse en el proceso de notificación.

NO-5. Igualmente, y de forma interna, el sistema deberá ofrecer la información relativa a la

recepción, acceso y lectura de las notificaciones por parte del interesado. NO-6. Se dispondrá de la posibilidad de configurar la aplicación para que siempre se opte

por la notificación telemática si el interesado así lo ha autorizado (para cada procedimiento) y contar con un entorno de usuario que permita acceder a notificaciones pendientes, aceptadas, rechazadas o caducadas.

NO-7. El módulo de notificaciones electrónicas deberá poder utilizarse sin estar vinculado a

ningún expediente, tendrá los mecanismos necesarios para poder ser invocado desde aplicaciones externas a través de servicios web. Incluso podrá ser utilizado

FIRMADO


Pagina 20 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


21 / 42

directamente por los usuarios de la Entidad para el posible envío, recepción y almacén de distintas notificaciones tanto internamente como externamente, sin necesidad de ser invocado desde la propia Plataforma de AE.

FIRMADO


Pagina 21 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


22 / 42

3.7.4 Recepción y gestión de facturas El gestor de expedientes, a través del registro de entrada de documentos, dispondrá de un módulo para la recepción y gestión de las facturas recibidas en la entidad (en papel y electrónicas) permitiendo la tramitación de las mismas para una vez aprobadas por el órgano correspondiente darles traslado al sistema contable de la entidad. FA-1. El registro de entrada registrará y digitalizará las facturas recibidas en papel,

recogiendo datos propios de las facturas. FA-2. Existirá una conexión con FACE (Punto General de Entrada de Facturas Electrónicas

de la Administración General del Estado) para la recepción en el registro de entrada de documentos de las facturas presentadas electrónicamente por los proveedores para la entidad, y a la vez para comunicar a FACE los distintos estados de la tramitación de las facturas.

FA-3. El gestor de expedientes dispondrá de un procedimiento para la gestión de la

tramitación de las facturas. FA-4. Dispondrá de conexión, una vez aprobada la factura, con el sistema contable de las

Entidades Locales a los que la Diputación de Valencia presta soporte contable (programa de contabilidad Sicalwin); esta conexión recogerá también, desde el sistema contable, los distintos estados contables por los que vaya pasando la gestión de la factura.

3.7.5 Órganos Colegiados OG-1. La plataforma dispondrá de un sistema de gestión telemática de los Plenos y de las

Juntas de Gobierno Local, Comisiones y cualquier Órgano Colegiado, incluyendo las notificaciones.

OG-2. Dispondrá de soluciones para la gestión de órganos resolutivos (Pleno, Comisiones,

etc), elaboración de las actas, sus certificados y notificaciones y su incorporación al Libro de Actas, así como su integración en el gestor de expedientes.

OG-3. Existirá una gestión de acuerdos, integrada totalmente con el gestor de expedientes,

que permitirá la gestión de los acuerdos por decreto, junta, pleno y comisiones informativas. Automatizará la elaboración de propuestas mediante plantillas y circuitos de firma electrónica, automatiza la confección de los decretos, certificados, traslados, convocatorias y actos. Permitirá recoger las votaciones y notas en las sesiones y facilita el seguimiento del estado de gestión por parte de los departamentos interesados.

OG-4. Deberá facilitar la gestión de los libros oficiales de la entidad (actas, decretos,

contratos, etc). Dispondrá de soluciones para la gestión de las Resoluciones

FIRMADO


Pagina 22 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


23 / 42

(Decretos) de Alcaldía: asignación de números, elaboración de las resoluciones de Alcaldía, sus certificados y notificaciones y su incorporación al Libro de Resoluciones.

3.7.6 Cuadro de mandos CM-1. La plataforma debe contar con una herramienta de cuadro de mando, con un mapa

de indicadores que permita a los responsables de la Diputación monitorizar y hacer un seguimiento en tiempo real del nivel de avance de las implantaciones en las Entidades Locales y el grado de uso de los servicios, así como que los responsables de los mismos conozcan en todo momento el estado en que se encuentran los expedientes, cumplimiento de plazos, nivel de actividad de su organización, etc. El cuadro de mando estará integrado con el gestor de expedientes.

CM-2. El sistema medirá el trabajo desarrollado por la organización en su conjunto y sobre

las personas usuarias del mismo. CM-3. Indicará un control de acceso y horario de los usuarios de la plataforma (trabajadores

públicos, ciudadanos, empresas, ..). CM-4. Dispondrá de un sistema electrónico de realización de encuestas de satisfacción a las

personas/empresas usuarias del sistema al finalizar un trámite, durante el mismo, o en cualquier momento que la entidad estime.

3.7.7 Gestión de representación y apoderamientos RA-1. La plataforma dispondrá de un módulo de registro electrónico de representación y

apoderamientos para hacer constar y gestionar las representaciones que los interesados otorguen a terceros, con el fin de que éstos puedan actuar en su nombre de forma electrónica ante la Administración. Preferiblemente se utilizará el Registro Electrónico de Representación y Apoderamientos disponible en la Generalitat Valenciana, o el licitador propondrá la utilización de otro módulo de representaciones y apoderamientos; si el licitador ofrece otra solución, los posibles gastos de implantación o suscripción de la misma estarán incluidos en el precio total de la oferta.

3.8 IMPLANTACIÓN y FORMACIÓN Se facilitarán planes de implantación y de formación que recojan las acciones necesarias para conseguir un mayor aprovechamiento de la plataforma. El plan de formación estará dirigido a los técnicos de la Diputación y a los usuarios de las Entidades Locales. Aunque existirá un proceso planificado de despliegue e implantación inicial en las Entidades Locales adheridas al proyecto, no se descarta que durante la duración del proyecto se produzcan adhesiones de Entidades Locales no incluidas inicialmente, cuya puesta en marcha y

FIRMADO


Pagina 23 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


24 / 42

servicios de asistencia posteriores dispondrán de la misma planificación y estimación que la realizada en el inicio del proyecto. FO-1. Se aportarán planes de implantación y formación, dirigido este último a los usuarios

finales (personal de las Entidades Locales que se adhieran a la plataforma) cuyas acciones estarán destinadas a familiarizar y enseñar la utilización de la plataforma y servicios.

FO-2. Durante la implantación, la empresa deberá tener presencia física y realizar

formación presencial en las Entidades Locales que se adhieran como usuarias. FO-3. La formación deberá acompañarse de la entrega en formato electrónico de los

manuales técnicos asociados, valorándose que la empresa disponga de un servicio para consulta de los mismos online y que haya un proceso garantizado de actualización conforme se produce el mantenimiento evolutivo del sistema.

FO-4. Posterior a la implantación de la entidad, para la formación de nuevos usuarios de la

entidad, y reciclaje de otros, se presentará material formativo online. FO-5. La empresa deberá prestar asesoramiento técnico acerca del hardware necesario

(impresoras, escáner, lectores de tarjetas, etc) y de los certificados electrónicos que sean conveniente adquirir e instalar para poder usar el sistema. La adquisición de dichos elementos y los costes derivados no son objeto del presente contrato.

FO-6. Se aportarán acciones formativas dirigidas a los técnicos designados por la

Diputación de Valencia para el conocimiento de la plataforma y servicios. FO-7. Se presentará un plan formativo con distintas acciones dirigidas a formar en nuevos

módulos implementados, mejoras, optimización del uso de plataforma, etc, posterior a la implantación de la entidad, a desarrollar durante la vigencia del contrato.

FO-8. El adjudicatario asumirá todos los costes relacionados con la implantación y

formación de las Entidades Locales y técnicos de la Diputación. 3.9 OTROS REQUISITOS LEGALES DE LA PLATAFORMA La plataforma implantada deberá dar cumplimiento a los requisitos legales impuestos por las siguientes leyes: OR-1. Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos. OR-2. Ley 39/2015 Procedimiento Administrativo Común de las Administraciones Públicas OR-3. Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y Procedimiento

Administrativo Común.

FIRMADO


Pagina 24 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


25 / 42

OR-4. Ley 59/2003 de Firma Electrónica. OR-5. Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. OR-6. Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico. OR-7. Ley 49/2007 por la que se establece el régimen de infracciones y sanciones en

materia de igualdad de oportunidades, no discriminación y accesibilidad universal de las personas con discapacidad.

OR-8. Ley 56/2007 de Medidas de Impulso de la Sociedad de la Información. OR-9. Real Decreto 209/2003 por el que se regulan los registros y las notificaciones

telemáticas. OR-10. Orden PRE/1551/2003, por la que se desarrolla la Disposición final primera del Real

Decreto 209/2003. OR-11. Real Decreto 1494/2007 por el que se aprueba el Reglamento sobre las condiciones

básicas para el acceso de las personas con discapacidad a las tecnologías, productos y servicios relacionados con la sociedad de la información y medios de comunicación social.

OR-12. Real Decreto 772/1999 por el que se regula la presentación de solicitudes, escritos y

comunicaciones ante la Administración General del Estado, la expedición de copias de documentos y devolución de originales y el régimen de las oficinas de registro.

OR-13. Convenio de colaboración entre la Administración General del Estado (MINHAP) y la

Generalitat de la Comunitat Valenciana para la prestación mutua de soluciones básicas de administración electrónica (BOE 157, de 30 de junio de 2016).

OR-14. Cualquier otra ley no incluida en esta relación y que sea de aplicación.

4. CONDICIONES PARA LA EJECUCIÓN DEL PROYECTO 4.1 ORGANIZACIÓN DEL PROYECTO

Se definirá la organización específica prevista para el desarrollo del proyecto de forma que cada función quede perfectamente identificada, y tenga asignada una persona responsable de su cumplimiento.

Para ello se plantean las siguientes figuras y órganos de dirección y ejecución del proyecto, que se entiende asegurarán un seguimiento estricto del grado de avance del mismo y permitirán la participación activa y organizada de todos los perfiles precisos para su adecuado desarrollo:

• Comité de Seguimiento

FIRMADO


Pagina 25 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


26 / 42

• Director de Proyecto

• Jefe de Proyecto

• Equipo de trabajo 4.1.1 Comité de Dirección

La organización del proyecto y su ejecución será supervisada por un Comité de Dirección constituido por representantes de la Diputación de Valencia y de la empresa adjudicataria, fijándose por el mismo los hitos que permitan obtener un seguimiento formal de avance del mismo, estableciendo una forma periódica de evaluación de los trabajos realizados. El licitador expondrá la metodología y planificación propuesta para abordar el proyecto, sin perjuicio de que posteriormente pueda ser objeto de ajuste por parte del Comité de Dirección en función de las necesidades de ejecución del proyecto. El Comité de Dirección será responsable de velar por el cumplimiento de los trabajos exigidos y ofertados a través del seguimiento y control, informando de la actividad y elevando a órganos superiores cuantas propuestas estimen oportunas y efectuando la aprobación formal de la culminación de cada una de las fases en que se ejecutará el proyecto. El Comité de Dirección mantendrá reuniones de seguimiento con la periodicidad que se estime oportuna, basadas en la planificación e hitos del proyecto, con el objeto de revisar el grado de cumplimiento de los objetivos, las especificaciones funcionales de cada uno de dichos objetivos y la validación de las programaciones de actividades realizadas. Tras las reuniones, de las que se levantará acta, el Comité de Dirección podrá rechazar en todo o en parte los trabajos realizados en la medida en que no respondan a lo especificado en las reuniones de planificación o no superasen los controles de calidad acordados. El Comité de Dirección se nombrará y quedará constituido al inicio del proyecto. Una vez adjudicado el presente contrato y tras una primera reunión con la empresa adjudicataria, la Diputación de Valencia planteará la estrategia a seguir en la implantación de los servicios. El adjudicatario facilitará un plan de difusión del proyecto que será aprobado por Comité de Dirección. 4.1.2 Director del Proyecto El Director de Proyecto, será designado por Diputación de Valencia, quien podrá delegar sus funciones, en todo o en parte, en otras personas que sean nombradas al respecto. Las funciones de Director del Proyecto, en relación con el objeto del presente contrato son:

• Velar por el cumplimiento de los trabajos exigidos y ofertados.

FIRMADO


Pagina 26 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


27 / 42

• Proponer al Comité de Dirección la aprobación de la culminación de cada una de las fases del proyecto.

• Autorizar los contactos directos de las personas del equipo de trabajo del adjudicatario con personas de las Entidades Locales participantes.

• Autorizar la entrega de documentación al equipo de trabajo del adjudicatario.

• Autorizar el cambio de personas en el equipo de trabajo del adjudicatario.

• Solicitar el cambio de personas del equipo de trabajo del adjudicatario.

• Determinar cualquier otra decisión que sea necesario adoptar. El Director de Proyecto o la persona en la que él delegué, mantendrá reuniones de seguimiento con la periodicidad que se establezca según las fases del proyecto lo requieran. 4.1.3 Jefe de Proyecto El adjudicatario designará una persona como Jefe de Proyecto que asumirá las labores de interlocución con el Director nombrado por la Diputación de Valencia. Será el responsable del equipo técnico de la empresa y el encargado de realizar la planificación de los trabajos, la distribución de los recursos ofertados y se responsabilizará de cumplir el calendario de hitos y entrega de productos.

Esquemáticamente las funciones quedan resumidas en:

• Organizar la ejecución del proyecto de acuerdo con el programa de realización de

los trabajos y poner en práctica las instrucciones de la Dirección del Proyecto.

• Ostentar la representación del equipo técnico contratado en sus relaciones con la Diputación de Valencia en lo referente a la ejecución de los trabajos.

• Proponer a la Dirección del Proyecto las modificaciones que estime necesarias, surgidas durante el desarrollo de los trabajos.

• Asegurar el nivel de calidad de los trabajos.

• Presentar a la Dirección del Proyecto, para su aprobación, los resultados parciales y totales de la realización del proyecto.

4.1.4 Equipo de Trabajo El equipo de trabajo estará integrado por los grupos de técnicos que se estimen necesarios para la realización de proyecto. Las labores globales de dirección de todos los trabajos, gestión del proyecto y resolución de posibles incidencias, serán responsabilidad del equipo de trabajo propuesto por el adjudicatario.

El licitador aportará durante el período de este contrato un equipo de trabajo de apoyo al mismo con dedicación plena. El licitador deberá demostrar que el equipo de trabajo asignado reúna los requisitos mínimos de solvencia técnica. Con este objeto se presentará la documentación que describa la composición, titulación, responsabilidades y experiencia del equipo de trabajo.

FIRMADO


Pagina 27 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


28 / 42

La empresa adjudicataria se comprometerá a poner a disposición del proyecto a las personas propuestas en su oferta en no más de 15 días laborales tras la formalización del contrato objeto de este pliego. La valoración final de la productividad y calidad de los trabajos de las personas que realizan la implantación y asistencia corresponderá al Director del Proyecto (técnico designado por la Diputación de Valencia), siendo potestad suya solicitar el cambio de cualquiera de los componentes del equipo de trabajo, con un preaviso de quince días, por otro de igual categoría, si existen razones justificadas que lo aconsejen. Si durante la ejecución del contrato la empresa adjudicataria tuviese necesidad de cambiar alguno de los medios personales propuestos en la oferta, lo podrá hacer previa información a la Diputación de Valencia y con el acuerdo de ésta, sin que ello suponga menoscabo en la calidad de los trabajos o de las fechas comprometidas. Los trabajos se realizarán en las dependencias que se autoricen y determinen al inicio del proyecto. Dentro del equipo de trabajo, para dar soporte durante la duración del proyecto objeto de este contrato, puesta en marcha y arranque de los servicios contratados, la empresa adjudicataria asumirá como parte del alcance de este contrato la obligación de adscribir un mínimo de tres (3) personas a tiempo completo, haciéndose cargo de los gastos de desplazamiento para la ejecución de las siguientes tareas:

• Presentación y explicación de los servicios a las Entidades Locales.

• Formación del personal de las Entidades Locales, que se realizará de forma preferente en sus oficinas municipales en el caso.

• Asesoramiento jurídico en los pasos a seguir para la legalización de los servicios ofrecidos al ciudadano desde la sede electrónica.

• Asesoramiento técnico del hardware (impresoras, escáners, lectores smartcard) y de los certificados electrónicos que sea conveniente adquirir y tener instalado para poder utilizar los servicios. Siempre que una entidad deba adquirir material informático, deberá recibir asesoramiento, entre otras opciones, sobre los posibles contratos disponibles en la Central de Compras de la Diputación de Valencia.

• Puesta en producción de las prestaciones contratadas.

• Mantenimiento/formación presencial posterior a la puesta en marcha del proyecto.

4.2 SOPORTE A USUARIOS La empresa adjudicataria debe comprometerse a ofrecer durante toda la vida del contrato un servicio de soporte de primer nivel al que podrá recurrir cualquier usuario de las Entidades Locales adheridas al proyecto de Administración Electrónica de la Diputación de Valencia en el momento que lo necesite para resolver dudas, incidencias, problemas de configuración, etc., las cuales se resolverán de forma inmediata.

Las características mínimas de este soporte serán:

FIRMADO


Pagina 28 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


29 / 42

• Soporte telefónico directo, disponible durante el horario laboral (de 8 a 15 horas).

• Implantación de un sistema que recoja las llamadas fuera de horario, de forma que sean devueltas de forma proactiva en el horario establecido.

• Soporte de atención por correo electrónico, a través de un sistema de tickets.

• El Servicio de Informática de la Diputación de Valencia recibirá periódicamente un informe, a modo de resumen, en formato electrónico de todas las incidencias producidas desde la implantación del servicio, además podrá en cualquier momento acceder a la base de datos de incidencias a modo de consulta.

El servicio de soporte, además, debe complementarse con otro tipo de herramientas colaborativas que habiliten el acceso a la documentación y a los manuales de usuario, y que ayuden a gestionar los procesos de comunicación interna durante el arranque del proyecto y su ejecución 4.3 DOCUMENTACIÓN A ENTREGAR El adjudicatario deberá entregar copias de todos los documentos producidos y utilizados a lo largo de proyecto. Durante la ejecución de éste, el adjudicatario deberá aportar un soporte con todos los documentos electrónicos generados en su versión final. El adjudicatario presentará al inicio del proyecto, y cada seis meses, el documento de roadmap (hoja de ruta) de la plataforma de Administración Electrónica, detallando la planificación en el desarrollo de nuevos componentes, las líneas de trabajo emprendidas para mejoras del producto y servicios, adaptación a normativas, previsión de nuevas funcionalidades, etc. 4.4 LICENCIAS Las ofertas deben especificar las licencias de productos de terceros que son necesarias para su funcionamiento, las versiones de los mismos para las que la aplicación está homologada, sus modalidades de contratación y, en general, todo parámetro relevante al respecto. En cualquier caso, todos los costes derivados del software necesario para el pleno funcionamiento de la solución serán asumidos por el adjudicatario.

5. GARANTÍAS DE NIVEL DE SERVICIO (SLAs) Durante la vigencia del contrato, la empresa adjudicataria deberá facilitar, a principio de cada mes, al Servicio de Informática de la Diputación de Valencia, los siguientes informes:

FIRMADO


Pagina 29 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


30 / 42

a) Informe sobre las incidencias ocurridas durante el mes anterior b) Informe sobre el nivel de disponibilidad de los servicios durante el mes anterior,

detallando la disponibilidad en cada uno de los días del mes para las franjas horarias siguientes:

i. De 8:00 a 15:00 ii. De 15:00 a 20:00

iii. De 20: a 8:00 5.1 SOBRE LA GESTIÓN DE INCIDENCIAS Será necesario ofrecer un nivel de servicio con al menos los siguientes niveles de respuesta:

Priorización de incidencias

Prioridad Descripción del impacto Tiempo de respuesta

Tiempo de resolución

1 El servicio está inmediatamente impactado

• El servicio no está disponible o no puede ser utilizado por los usuarios.

• Hay deterioro crítico del funcionamiento normal del servicio.

2 horas 4 horas

2 El servicio está siendo significativamente impactado

• Pérdida total o parcial de servicios críticos para todos o algunos usuarios.

• El funcionamiento del servicio está significativamente degradado.

4 horas 8 horas

3 El servicio está mínimamente impactado 24 horas 4 días 4 Peticiones. Estimación de propuestas de mejoras o

ayudas en formularios, errores en literales, etc. 48 horas 20 días

• Tiempo de respuesta: Tiempo transcurrido entre la notificación de la incidencia o problema y el inicio de las actividades encaminadas a su resolución.

• Tiempo de resolución: Tiempo transcurrido entre la notificación de la incidencia o problema y la implantación y aceptación definitiva de una nueva versión o un cambio en la configuración que supone una resolución total.

Estas garantías serán revisadas cada 3 meses, pudiendo ser modificadas, previo acuerdo tanto por parte de la dirección del proyecto de la Diputación como por parte de la empresa adjudicataria. 5.2 SOBRE EL NIVEL DE DISPONIBILIDAD

FIRMADO


Pagina 30 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


31 / 42

Los trabajos de mantenimiento se deberán realizar en la franja horaria que va desde las 15:00 hasta las 8:00 horas y siempre avisando a las Entidades Locales y a la Diputación de Valencia con la suficiente antelación, como mínimo 48 horas antes. El nivel de disponibilidad del servicio ofertado, relacionado con las incidencias de prioridad 1, debe ser superior al 98% en la franja horaria que va desde las 8:00 hasta las 15:00 horas y superior al 95% para el resto de horas. La fórmula que se utilizará para el cálculo de la disponibilidad del servicio es la siguiente:

• Horas de servicio comprometidas: Horas en las que los servicios estarán disponibles fuera del tiempo dedicado al mantenimiento. El servicio estará disponible las 24 horas del día durante todos los días del año.

• Horas de caída del servicio: Horas en las que los servicios no están disponibles fuera del tiempo dedicado al mantenimiento.

• Disponibilidad: El porcentaje de horas en las cuales los servicios están disponibles. 5.3 SOBRE LOS TIEMPOS DE RESPUESTA EN PROCESOS Se establecerán, por parte del Comité del Proyecto, a propuesta inicial de especificaciones técnicas presentadas por la empresa licitadora, los tiempos de respuesta máximos esperados relacionados con los principales procesos con respuesta que van a ejecutar los usuarios de las Entidades Locales, ciudadanos y empresas. Se entiende por “procesos con respuesta” todos aquellos que validada una entrada de datos por parte del usuario, el sistema tenga que devolver una información al mismo para poder continuar con otros procesos. Por ejemplo: asignar un número de registro, subir un documento de 300 Kb a un registro, guardar datos de un registro, realizar búsqueda por tercero, abrir un registro en consulta, abrir un documento asignado a un registro, abrir un expediente, firmar un documento, subir un documento de 3 Mb a un expediente, buscar un expediente de un tercero, etc. Una vez establecidos los tiempos medios teóricos, indicados por el adjudicatario y aceptados por el Comité del Proyecto, la Diputación realizará de forma aleatoria, en distintos momentos de la franja horaria 8:00 a 15:00 y en distintas Entidades Locales (con un mínimo de tres), mediciones mensuales sobre los tiempos de respuesta de los procesos que se establezcan, a lo largo del período de vigencia del contrato, de forma que se puedan realizar comparaciones respecto a los tiempos de respuesta máximos establecidos. Para cada uno de los procesos establecidos se calculará la media aritmética de los resultados obtenidos en las distintas Entidades Locales, descartándose previamente el valor más alto y el más bajo de las mediciones efectuadas en cada entidad.

FIRMADO


Pagina 31 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


32 / 42

Después de analizar junto con el proveedor las posibles desviaciones y sus causas, se deberán llevar a cabo las medidas correctoras por parte del proveedor, en aras de ofrecer una prestación de calidad respecto a los servicios contratados.

6. CONFIDENCIALIDAD Y SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

6.1 CONFIDENCIALIDAD DE LA INFORMACIÓN El contratista deberá preservar la confidencialidad de toda aquella información a la que tenga acceso con ocasión del desarrollo de la prestación objeto del presente contrato, ya venga referida a la relación contractual entre las partes propiamente dicha o a cualquier otra consustancial a la prestación práctica del servicio. Abarca pues cualquier tipo de información personal, administrativa, técnica, informática y de seguridad. Este deber de secreto se hace extensivo a los posibles terceros que puedan resultar cesionarios de los derechos y obligaciones dimanantes del presente contrato o a los subcontratistas, en virtud de lo dispuesto en los artículos 226 y 227 del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público. El contratista será responsable de trasladar esta obligación a dichos terceros y de actuar diligentemente para velar por su cumplimiento. El contratista velará de modo diligente por que el personal bajo su dependencia cumpla las obligaciones de confidencialidad, resultando responsable civil de las consecuencias de su incumplimiento, con independencia de las responsabilidades que pudieran darse, en su caso, en el ámbito penal. El incumplimiento del deber de confidencialidad, tanto del contratista como del personal bajo su dependencia, se considerará siempre falta grave. No obstante, se considerará falta muy grave cuando afecte a derechos fundamentales, o cuando se produzca la difusión pública de la información, o cuando implique a un gran número de afectados, o cuando la valoración del daño y/o perjuicio causado exceda de seis mil euros. La obligación de confidencialidad persistirá incluso después de finalizar la relación negocial con la Diputación de Valencia. Cualquier estudio o publicación por el contratista relacionada con el contenido del contrato o con cualquiera de sus aspectos, requerirá la previa autorización, por escrito, de la Diputación de Valencia. El contratista tendrá la obligación de comunicar cualquier alteración, pérdida, sustracción, acceso, revelación o divulgación de información no autorizada por la Diputación de Valencia o incidencia relacionada con la misma, de la que tenga o pueda llegar a tener conocimiento, ya sea producida por la infidelidad de las personas que hayan accedido a la información o por cualquier otra causa, bien entendido que esa comunicación no eximirá al contratista de los

FIRMADO


Pagina 32 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


33 / 42

compromisos de secreto y confidencialidad y de las responsabilidades que se deriven de dicha omisión.

6.2 SEGURIDAD DE LA INFORMACIÓN

En el marco del presente contrato, la seguridad de la información se contempla desde la doble incidencia de la normativa reguladora de la materia en el ámbito de la administración electrónica y de la propia de la protección de datos de carácter personal. Por ello, las exigencias de seguridad al contratista se dirigen fundamentalmente al cumplimiento del conjunto de garantías que resultan de aplicación en virtud de ambos segmentos normativos. En el presente apartado se establecen las condiciones de seguridad que deberán ser implementadas por el contratista en el entorno de la prestación del servicio. Forman parte inseparable también de estas condiciones de seguridad las medidas especificadas en los ANEXOS I y II, obedeciendo su inclusión en dichos anexos a una mera cuestión metodológica para facilitar su implantación. En el ANEXO I se contemplan un conjunto de medidas encaminadas a protegerse de los riesgos posibles sobre los sistemas de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación. En el ANEXO II, se contienen aquellas medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Cuando sobre un mismo elemento, activo o aspecto del sistema de información deban aplicarse simultáneamente las medidas de seguridad del ANEXO I y del ANEXO II, serán de aplicación las medidas que ofrezcan mayor nivel de protección o de exigencia.

6.2.1 Subcontratación

Todas las condiciones de seguridad exigidas al contratista en el marco del presente contrato de servicios lo son con independencia de que todo o parte de los servicios sean objeto de subcontratación. Por tanto, las citadas condiciones de seguridad son exigibles tanto al contratista como a los posibles subcontratistas. El hecho de producirse la subcontratación tampoco supone en ningún caso que se inicien nuevos plazos, ni se interrumpan ni se prorroguen, en los casos en que éstos se establezcan, para el cumplimiento de requisitos de seguridad por parte del subcontratista diferentes a los inicialmente establecidos. En caso de subcontratación de la totalidad o parte de los servicios por parte del contratista, y a los únicos efectos de los requerimientos de seguridad, éste deberá comunicar a la Diputación de Valencia antes de proceder a la subcontratación los datos de identificación del subcontratista, el alcance de la subcontratación y el instrumento contractual en el que figuren las obligaciones adquiridas por el subcontratista. De igual modo, se acompañará acreditación

FIRMADO


Pagina 33 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


34 / 42

suficiente de que el subcontratista cumple los requerimientos de seguridad establecidos para el contratista en el presente Pliego técnico, en la medida que le resulten de aplicación en virtud del servicio que se subcontrata. La Diputación de Valencia, tras las comprobaciones oportunas, autorizará o no la subcontratación pretendida. Lo previsto en este apartado lo es sin perjuicio de lo dispuesto en el apartado 6.3 en materia de protección de datos personales. 6.2.2 Análisis inicial de riesgos

Con independencia de lo indicado en el apartado “I.4Gestión de riesgos” del ANEXO I, el contratista deberá proceder a un análisis de riesgos previo a la puesta en servicio. Dicho análisis de riesgos se efectuará aplicando la metodología MAGERIT v2 o superior y podrá hacer uso de cualquier herramienta reconocida que integre dicha metodología. El citado análisis contendrá, como mínimo:

� Una identificación de los activos más valiosos del sistema y una valoración cualitativa de los mismos. � Una identificación y cuantificación de las amenazas posibles. � Una identificación de las vulnerabilidades habilitantes de dichas amenazas. � Una identificación y valoración de las salvaguardas adecuadas. � La identificación y valoración del riesgo residual.

Con independencia de las amenazas identificadas, se incluirán en todo caso las amenazas que se detallan a continuación:

(E.2) Errores del administrador del sistema/ de la seguridad (E.3) Errores de monitorización (E.4) Errores de configuración (E.15) Alteración de la información (E.18) Destrucción de la información (E.19) Fugas de información (E.20) Vulnerabilidades de los programas (E.23) Errores de mantenimiento de los programas (software) (E.24) Caída del sistema por agotamiento de recursos (A.3) Manipulación de los registros de actividad (log) (A.4) Manipulación de los ficheros de configuración (A.5) Suplantación de la identidad del usuario (A.6) Abuso de privilegios de acceso (A.11) Acceso no autorizado (A.12) Análisis de tráfico (A.13) Repudio (negación de actuaciones) (A.14) Interceptación de información (A.15) Modificación de la información

FIRMADO


Pagina 34 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


35 / 42

(A.18) Destrucción de la información (A.19) Revelación de la información (A.22) Manipulación de programas (A.24) Denegación de servicio

El informe del análisis de riesgos se trasladará a la Diputación de Valencia. Tras su correspondiente estudio, la Diputación de Valencia comunicará al contratista su conformidad o disconformidad con el análisis, pudiendo reclamar una revisión del mismo. En última instancia, la Diputación comunicará al contratista las salvaguardas concretas que considere de aplicación y la asunción del posible riesgo residual. Las salvaguardas concretas podrán coincidir con las medidas establecidas en el ANEXO I o requerir otras complementarias, atendiendo a los riesgos específicos resultantes del proceso de análisis. El contratista dispondrá de un plazo máximo de seis meses a contar desde el inicio de la implantación para llevar a cabo el análisis de riesgos y, en su caso, la implementación de las salvaguardas requeridas por la Diputación.

6.2.3 Auditoría inicial de seguridad

Sin perjuicio de lo indicado en el apartado “I.16 Auditoría de la seguridad” del ANEXO I, y una vez implantadas las salvaguardas concretas que resultasen del análisis inicial de riesgos citado en el apartado anterior, el contratista vendrá obligado a realizar una auditoría que se ajustará a las siguientes indicaciones:

a) La auditoría será llevada a cabo por un equipo auditor externo al contratista y que, en cualquier caso, no tenga ni haya tenido ningún tipo de vínculo con el contratista que pueda generar dudas sobre su objetividad e independencia.

b) El equipo auditor estará compuesto por profesionales de la auditoría de seguridad de

sistemas de información, con experiencia contrastada y acreditaciones reconocidas (ISACA, ISC, etc).

c) En la realización de la auditoría se utilizarán los criterios, métodos de trabajo y de

conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables a este tipo de auditorías de sistemas de información.

d) El equipo auditor verificará el nivel de cumplimiento de las condiciones de seguridad

que debe implementar el contratista (apartado 6.2 y anexos del presente pliego).

e) El equipo auditor elaborará un informe de auditoría, detallando el grado de cumplimiento de todas y cada de las condiciones de seguridad citadas, identificando las posibles deficiencias y realizando una propuesta de las medidas correctoras o complementarias que estime necesarias, así como las recomendaciones que crea convenientes. Deberá, igualmente, incluir los criterios metodológicos de auditoría

FIRMADO


Pagina 35 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


36 / 42

utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en se basen las conclusiones formuladas.

A la vista del informe de auditoría, el contratista elaborará un documento en el que se plasme una propuesta de acciones cronológicamente planificadas para, en su caso, subsanar las deficiencias o desviaciones evidenciadas por el equipo auditor; así como todas aquellas cuestiones que considere oportunas en relación con los resultados de la auditoría. Del informe de auditoría elaborado por el equipo auditor y del documento elaborado por el contratista se dará traslado a la Diputación de Valencia, que comunicará al contratista su conformidad o introducirá los cambios que considere oportunos. El contratista dispondrá de un plazo máximo de seis meses a contar desde la aprobación del Informe de Análisis de Riesgos para llevar a cabo las obligaciones contenidas en el presente apartado incluída, en su caso, la implementación de las acciones correctoras, salvo que, en este último caso, y con carácter extraordinario, la Diputación otorgara un plazo mayor atendiendo a medidas muy específicas. La realización de esta auditoria determinará la fecha de cómputo para el cálculo de los dos años establecidos para la realización de la siguiente auditoría regular ordinaria, tal como se contempla en el apartado “I.16 Auditoría de la seguridad” del ANEXO I.

6.2.4 Coordinación y supervisión de la seguridad

A efectos de seguridad de los sistemas de información involucrados, las Entidades Locales usuarias de la plataforma de administración electrónica son los titulares de dichos sistemas de información y, por tanto, las responsables de que se cumplan todos los requisitos de seguridad. No obstante, por cuestiones de operatividad y funcionalidad, dichas Entidades Locales han delegado en la Diputación de Valencia la coordinación y supervisión de la seguridad de los sistemas de información en el entorno de la plataforma de administración electrónica, por lo que dicha coordinación y supervisión de la seguridad se ajustará a lo previsto en las presentes condiciones. La Diputación de Valencia se reserva el derecho de supervisar el entorno físico y lógico de la prestación del servicio, en el marco de la seguridad de la información y de la protección de datos personales. El contratista y los posibles terceros que puedan resultar cesionarios de los derechos y obligaciones dimanantes del presente contrato o los subcontratistas, están obligados a facilitar a la Diputación este derecho de supervisión y disponer todo lo necesario para su pleno ejercicio. Todo tipo de documentación: informes, normativas, procedimientos, documentos requeridos legal o contractualmente, etc, que se generen por el contratista en cumplimiento de los requisitos de seguridad que le impone el presente Pliego técnico, pasaran a ser documentación de seguridad de los sistemas de información y, por tanto, deberán ponerse a disposición de la Diputación de Valencia.

FIRMADO


Pagina 36 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


37 / 42

El Comité de Seguridad TIC de la Diputación de Valencia será el órgano interlocutor de la Diputación de Valencia para las cuestiones relacionadas con la seguridad de la plataforma de administración electrónica y la protección de datos personales. Cada vez que en las presentes condiciones de seguridad –incluidas las medidas del ANEXO I y II- se requiera el traslado de información, comunicaciones, autorizaciones, etc a la Diputación de Valencia, se procederá a su cumplimiento mediante su traslado al citado Comité de Seguridad TIC. Con carácter específico, se canalizará a través del Comité de Seguridad TIC:

• las dudas o interpretaciones que puedan suscitarse en relación con las condiciones de seguridad y de protección de datos personales.

• el acceso por la Diputación a los diferentes registros relacionados con la seguridad y protección de datos personales: incidencias, auditorias, etc.

• la supervisión del entorno físico y lógico de la prestación del servicio en el marco de la seguridad de la información y de la protección de datos personales.

El responsable de seguridad del contratista, designado conforme a lo dispuesto en el apartado “I.6 Competencias de seguridad” del ANEXO I y, en su caso, el apartado “II.2 Responsable de Seguridad” del ANEXO II, será también el interlocutor del contratista en materia de seguridad con el Comité de Seguridad TIC de la Diputación de Valencia. En caso de subcontratación, el contratista dispondrá lo necesario para que sólo exista como único interlocutor el responsable de seguridad designado por él. Los canales de comunicación serán preferiblemente electrónicos, con las debidas garantías de seguridad. El contratista entregará un informe mensual de seguimiento de los controles de seguridad, cuanto menos sobre los siguientes aspectos:

• Gestión de incidentes de seguridad

• Controles de acceso

• Cumplimiento normativo y legislativo

• Mecanismos de comprobación periódica de los controles de seguridad No obstante la designación del Comité de Seguridad TIC de la Diputación de Valencia, la Diputación podrá designar a otro órgano o tercero como receptor de información de seguridad y, en general, como encargado de actuaciones relacionadas con la gestión de la seguridad de los sistemas de información. Dicha designación será compatible con las atribuciones que pueda seguir desempeñando el Comité de Seguridad TIC.

FIRMADO


Pagina 37 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


38 / 42

6.2.5 Prohibición de uso

El contratista no podrá hacer uso, en el entorno de la prestación del servicio, de dispositivos móviles (ordenadores portátiles, pda’s, tabletas, etc) susceptibles de almacenar información. Si con carácter excepcional, y por circunstancias justificadas, el contratista necesitase de la utilización puntual de alguno de estos dispositivos, deberá recabar previamente la autorización de la Diputación de Valencia. Se excluyen, pues, estos dispositivos de la categoría genérica de “soportes de información” cuando se hable de éstos últimos en las condiciones de seguridad –ANEXO I y II- del presente Pliego técnico.

6.2.6 Ubicación de la infraestructura tecnológica y de la información

Los centros de procesamiento de datos, infraestructura y plataforma asociada a los servicios, incluso los alternativos, deberán ser alojados dentro del territorio de la Unión Europea, preferiblemente en la Península Ibérica, por razones horarias y de mayores facilidades para ejercer los controles y auditorías definidas. Ello permite identificar el marco legal aplicable, garantizar en mayor medida su cumplimiento y reducir los riesgos asociados. El contratista deberá informar en todo momento a la Diputación de Valencia de la ubicación de la infraestructura tecnológica y de la información, incluyendo la posible intervención de subcontratistas en la prestación del servicio.

6.2.7 Proceso de mejora continua

El proceso integral de seguridad del que forman parte los sistemas de información implicados debe ser objeto de actualización y mejora continua. El contratista colaborará en el ámbito de la prestación del servicio mediante la evaluación, actualización y mejora de las medidas de seguridad implantadas, haciendo uso de herramientas de monitorización y recopilación de información a partir del establecimiento de objetivos de control, aplicando criterios y métodos reconocidos en el ámbito de la gestión de tecnologías de la información. El contratista informará a la Diputación de Valencia sobre los procesos de evaluación y mejora citados, y reportará la información obtenida tras su implantación al menos una vez al año. Sin perjuicio de lo anterior, el contratista establecerá un conjunto de indicadores que midan el desempeño real del sistema en materia de seguridad en los siguientes aspectos:

� grado de implantación de las medidas de seguridad. � eficacia y eficiencia de las medidas de seguridad. � impacto de los incidentes de seguridad.

FIRMADO


Pagina 38 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


39 / 42

6.2.8 Certificaciones sobre productos de seguridad

El licitador incluirá referencia precisa, documentada y acreditativa de que los productos de seguridad, equipos, sistemas, aplicaciones o sus componentes han sido previamente certificados por el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información. En caso de que no exista la certificación indicada en el párrafo anterior, o esté en proceso, se incluirá, igualmente, referencia precisa, documentada y acreditativa de que son los más idóneos.

6.3 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

La Diputación de Valencia no accederá a los datos de carácter personal tratados en la plataforma de administración electrónica, ni intervendrá de ningún modo en su tratamiento, ni siquiera con ocasión de las funciones de coordinación y supervisión de la seguridad recogidas en el apartado 6.2.4. No obstante, las Entidades Locales han delegado en la Diputación de Valencia la supervisión de las garantías del cumplimiento de la normativa sobre protección de datos de carácter personal en el marco de la plataforma de administración electrónica, por lo que en base a dicha supervisión de la garantía de cumplimiento normativo se establecen las presentes condiciones. Las siguientes condiciones se incorporan en cumplimiento del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD). Las Entidades Locales usuarias de la plataforma de administración electrónica son las responsables de los datos de carácter personal tratados en la misma y el contratista, en los términos del artículo 3.g) de dicha norma, ocupa la posición de encargado del tratamiento de dichos datos personales. En este contexto, el tratamiento de datos de carácter personal derivado de la prestación llevada a cabo por el contratista se regirá por lo siguiente:

� En principio, queda prohibido con carácter general el acceso por parte del contratista a los datos de carácter personal albergados o tratados en la plataforma de administración electrónica, por no considerarse dicho acceso necesario para el desarrollo de la prestación, salvo en los siguientes supuestos específicos:

o A los datos referentes a usuarios internos del sistema (Entidades Locales,

personal técnico, etc) necesarios para el cumplimiento de una obligación recogida en el presente Pliego técnico (p.ej. registro de actividad, traslado de información, etc)

o A los datos referentes a cualesquiera usuarios del sistema o de titulares de la información gestionada en general por los sistemas de información de la plataforma de administración electrónica, para la solución de problemas de carácter técnico que, de forma ineludible, requiera dicho acceso para una rápida y efectiva solución de dicho problema.

FIRMADO


Pagina 39 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


40 / 42

o A los citados datos personales cuando se produzcan incidencias graves que puedan afectar a la seguridad del sistema o de la información propiamente dicha.

� Se prohíbe igualmente al contratista el almacenamiento de datos de carácter personal

en soportes portátiles, salvo en los supuestos de copias de respaldo o cuando le sea solicitado por las Entidades Locales usuarias.

� El tratamiento por el contratista de los datos de carácter personal que sea necesario

para llevar a buen fin la prestación del servicio objeto del presente contrato se ajustará a las instrucciones dadas por las Entidades Locales usuarias, como responsables de dicho tratamiento según lo establecido por el artículo 3.d) de la LOPD.

� El contratista se compromete a no aplicar o utilizar con finalidad distinta a la que

constituye el objeto del presente contrato los datos de carácter personal aludidos en el apartado anterior y a no comunicar dichos datos a terceros, ni siquiera para su conservación, salvo en los casos de subcontratación recogidos en el presente apartado.

� El contratista adoptará las medidas de seguridad contenidas en el ANEXO II del

presente pliego técnico, en los términos expresados en el apartado 6.2 El contratista recabará de cada entidad local usuaria la información sobre la naturaleza de los datos personales a tratar en cada caso, a efectos de poder determinar el nivel de medidas de seguridad que corresponden (básico, medio o alto).

� A la finalización de la prestación de servicios, el contratista pondrá a disposición de las

Entidades Locales usuarias los datos de carácter personal obrantes en su poder y procederá al borrado físico o destrucción de cuantos soportes los contengan. No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos, garantizando las Entidades Locales usuarias, como responsables del fichero, dicha conservación. Esta obligación del contratista abarca los datos personales que se encuentren en poder de terceros, en virtud de los supuestos de subcontratación recogidos en el presente apartado.

� En el caso de devengarse la subcontratación prevista en el artículo 227 del texto

refundido de la Ley de Contratos del Sector Público, la Diputación de Valencia, por delegación expresa de las Entidades Locales usuarias, autorizará el acceso y tratamiento de los datos de carácter personal implicados en los mismos términos y condiciones que los establecidos para el contratista.

En los supuestos anteriores, se entenderá que dichos subcontratistas actúan también como encargados del tratamiento, debiendo asegurarse el contratista de la formalización de los requisitos del artículo 12 de la LOPD respecto de la citada prestación de servicios o subcontratación, así como del cumplimiento por los subcontratistas de todas las obligaciones establecidas por la LOPD, especialmente de las contenidas en citado artículo 12, así como todas aquellas establecidas en el presente apartado que les sean inherentes.

FIRMADO


Pagina 40 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


41 / 42

En dichos supuestos, y con carácter previo a facilitar el acceso y/o tratamiento de los datos, el contratista dará cuenta a la Diputación de Valencia de esta circunstancia, facilitando los datos del tercero, el alcance de la prestación y el instrumento contractual en el que figuren las obligaciones adquiridas en materia de protección de datos personales, especialmente las contenidas en el susodicho artículo 12 de la LOPD. El incumplimiento de estos requisitos por parte del contratista conllevará, con independencia de las correspondientes responsabilidades, la no autorización implícita de la Diputación al acceso y/o tratamiento de los datos a dichos terceros.

� El contratista y, en su caso, los terceros subcontratistas citados en el punto anterior, deberán guardar secreto profesional respecto de los citados datos de carácter personal. Esta obligación se establece en los mismos términos, en cuanto a desarrollo, responsabilidades y plazos, que lo determinado en el apartado 6.1 del presente Pliego técnico. � En la utilización de cualquier tipo de software destinado al tratamiento de datos de carácter personal, el contratista vendrá obligado a incluir en la descripción técnica de dicho software el nivel de seguridad –básico, medio o alto- que permita alcanzar de acuerdo con lo establecido en el Título VIII del RD 1720/2007 (RDLOPD), en cumplimiento de lo dispuesto en la Disposición Adicional Única de dicha norma. El contratista no podrá hacer uso de un software que no permita alcanzar las condiciones de seguridad requeridas en el presente Pliego técnico.

Cualquier modificación legislativa que pudiera afectar a las garantías expuestas anteriormente implicará, tras el pertinente requerimiento de la Diputación de Valencia, la automática adaptación por parte del contratista y los posibles subcontratistas para darle debido cumplimiento. Y en concreto deberá estarse a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) a partir de su entrada en vigor el próximo 25 mayo de 2018.

7. PROPIEDAD DE LOS TRABAJOS Toda la información almacenada, tratada o elaborada en el entorno y/o con las herramientas de la plataforma de Administración Electrónica, en cualquier formato en que se encuentre, será propiedad de las Entidades Locales adheridas al proyecto de Administración Electrónica de la Diputación de Valencia, a las que corresponda singularmente cada información. A petición de la entidad local, en cualquier momento durante la duración del contrato, el adjudicatario facilitará sus datos a la misma en formato acorde con el Esquema Nacional de Interoperabilidad (ENI). Una vez finalizado el contrato, tras haberse prorrogado o no, la empresa adjudicataria deberá facilitar la entrega de todos los datos propiedad de las Entidades Locales adheridas a la

FIRMADO


Pagina 41 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




69492833-71415C17-5C8BDC96-FA168DE


42 / 42

plataforma, de conformidad al ENI y sus guías técnicas, de forma que estos datos sean fácilmente exportables a cualquier otra plataforma que cumpla con las citadas guías. La empresa adjudicataria deberá proceder, a posteriori, al borrado y destrucción de todos estos datos traspasados a las Entidades Locales propietarias. Las empresas licitadoras deberán garantizar la disponibilidad del código fuente de los servicios a prestar por parte de la Diputación de Valencia, en el caso de que se produjeran circunstancias que impidieran al adjudicatario seguir llevando a cabo su correcto mantenimiento.

8. CARGA DE DATOS Y MIGRACIÓN DE CONTENIDOS El sistema deberá contar con herramientas y procedimientos de exportación e importación de datos. Estas herramientas y procedimientos deben enumerarse en la memoria de la oferta. El licitador proveerá de herramientas de importación y exportación de datos a la plataforma para que cada Entidad pueda cargar inicialmente o descargar datos de la misma. El adjudicatario propondrá las adaptaciones necesarias sobre la información a migrar inicialmente para que se cumplan los requerimientos del modelo de datos del nuevo sistema, pudiendo aportar distintas alternativas para el destino de los datos migrados. Entre otros, se realizarán al menos las cargas y migraciones siguientes:

• Migración de entradas y salidas del registro presencial y telemático actual con sus documentos anexos.

• Carga o migración de todos los documentos (firmados y no firmados) y expedientes del actual sistema se gestión

Se especificarán qué datos serán contemplados en este módulo (terceros, datos organización, expedientes, procedimientos, plantillas, documentos, etc) y el modelo de datos de carga o descarga utilizado para los mismos, siguiendo las especificaciones y guías del ENI. Los modelos de datos utilizados para los procesos de importación y exportación serán aprobados por el Comité de Dirección, y publicados para permitir la integración con otras aplicaciones del mercado.

Valencia, 29 de julio de 2016

FIRMADO


Pagina 42 de 42

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica


ANEXO I PLATAFORMA ADM ELEC


63B23C24-807D6BA4-1AB25A66-AE6E549


ANEXO – I CONJUNTO DE MEDIDAS ENCAMINADAS A PROTEGERSE DE LOS RIESGOS POSIBLES

SOBRE LOS SISTEMAS DE INFORMACIÓN I.1 NORMATIVA DE SEGURIDAD El adjudicatario dispondrá de uno o varios documentos aprobados por la Dirección en los que se describa, como mínimo: � el uso correcto de equipos, servicios, instalaciones e información. � lo que se considera uso indebido o inapropiado de los equipos, servicios, instalaciones

e información. � los derechos, deberes y medidas disciplinarias de acuerdo con la legislación vigente Este conjunto de documentos que comprende la normativa de seguridad deberá estar en armonía con las condiciones de seguridad recogidas en el presente Pliego técnico. En dicha normativa se indicará que la misma es de obligado cumplimiento y cómo localizar los procedimientos relacionados. Deberá existir un procedimiento para su revisión y firma regular. La Diputación de Valencia podrá en cualquier momento instar al adjudicatario a la incorporación o modificación de contenidos de su normativa de seguridad, al objeto de que sea lo más coherente posible con la normativa de seguridad aplicable a las entidades locales usuarias de la plataforma. La normativa de seguridad y cualquier actualización de la misma será difundida al personal afectado.

I.2 PROCEDIMIENTOS DE SEGURIDAD El adjudicatario dispondrá de uno o varios documentos aprobados por la Dirección en los que se detalle de forma clara y precisa: � cómo deben llevarse a cabo las tareas habituales. � quién debe realizar cada tarea y con qué frecuencia. � cómo identificar y reportar comportamientos anómalos Deben existir procedimientos para aproximadamente el 80% de las actividades rutinarias (p.ej: sobre el inventariado de activos, la modificación de reglas en el firewall, las tareas de backup, etc.). No obstante, se incorporarán también a estos procedimientos de seguridad aquéllos que

FIRMADO


Pagina 1 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


puedan ser citados de forma expresa en las condiciones de seguridad recogidas en el presente Pliego técnico. La Diputación de Valencia podrá en cualquier momento instar al adjudicatario a la incorporación o modificación de contenidos de sus procedimientos de seguridad, al objeto de que sean lo más coherentes posibles con los procedimientos de seguridad aplicables a las entidades locales usuarias de la plataforma. Los procedimientos de seguridad y cualquier actualización de los mismos serán difundidos al personal afectado.

I.3 ARQUITECTURA DE SEGURIDAD El adjudicatario dispondrá de un conjunto de documentos aprobados por la Dirección referidos al planteamiento integral de la seguridad del sistema. La documentación elaborada a estos efectos será, como mínimo, la siguiente: a) Documentación de las instalaciones. Se detallarán las instalaciones (p.ej: número de instalaciones, su ubicación, etc.). Se precisarán:

� las áreas existentes (p.ej: CPD, zona de acceso público, zona de carga y descarga, zona de operadores, etc.) � los puntos de acceso (p.ej: puerta principal, salida de emergencia, etc.).

b) Documentación del sistema. Se dispondrá de un inventario actualizado del sistema de información. El inventario contendrá una descripción:

� de los equipos (p.ej: servidor de Internet, robot de backup, etc.) � de las redes internas existentes (p.ej: red local con direccionamiento 92.168.0.0/24, DMZ con direccionamiento 172.16.0.0/24, etc.), y los elementos de conexión al exterior (p.ej: la red local está separada de Internet mediante un firewall, etc.). � de los puntos de acceso al sistema (p.ej: puestos de trabajo, consolas de administración, web de la intranet, etc). � de los responsables de los elementos; entendiendo como responsable a la persona que es responsable de las decisiones relativas a cada elemento (p.ej: el responsable del router es el responsable de comunicaciones).

c) Documentación de líneas de defensa. Se dispondrá de un inventario con un esquema de los sistemas de seguridad del sistema de información (p.ej: firewalls, antivirus, antispam, antiphishing, etc.). El inventario contendrá una descripción:

FIRMADO


Pagina 2 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


� de los elementos de interconexión a otras redes (p.ej: la conexión con Internet se realiza a través de un router, la conexión con otras oficinas se realiza mediante un túnel VPN IPSec, la conexión desde portátiles remotos se realiza mediante VPN SSL, etc.). .� de los elementos de defensa en las conexiones a otras redes (p.ej: la conexión con Internet se realiza a través de un firewall, etc.). � de las posibles tecnologías diferentes para prevenir vulnerabilidades que pudieran perforar simultáneamente varias líneas de defensa (p.ej: el antivirus del firewall es diferente del antivirus del servidor de correo, el sistema operativo del router es diferente del sistema operativo del firewall, etc.).

d) Documentación del sistema de identificación y autenticación de usuarios. Se detallarán los sistemas de identificación y autenticación de usuarios para cada sistema o servicio. Se precisarán:

� el mecanismo de autenticación a cada sistema o servicio (claves concertadas, contraseñas, tarjetas de identificación, etc.). � dónde se almacenan las contraseñas (p.ej: las claves se almacenan cifradas en el fichero /etc/shadow en Linux, Active Directory en Windows, etc.). � en los entornos dedicados a la sede electrónica, además, los autenticadores se suspenderán tras un periodo definido de no utilización. Se requerirá el uso de elementos criptográficos hardware usando algoritmos y parámetros acreditados por el CCN. Las credenciales utilizadas deberán haber sido obtenidas tras un registro previo presencial o telemático usando certificado electrónico cualificado en dispositivo cualificado de creación de firma.

e) Documentación de los controles técnicos internos. Se detallará cómo se controlan los datos una vez en los sistemas (p.ej: el intercambio de información con otros sistemas va acompañado de hashes para evitar su alteración, etc.). Se describirá la validación de datos de entrada, salida y datos intermedios (p.ej: validación de rangos en los datos, bloqueo de caracteres no autorizados, etc.) f) Documentación del sistema de gestión con actualización y aprobación periódica. Se detallará cómo se gestionan los elementos antes enumerados (p.ej: cómo se da de alta un nuevo usuario, cómo se autoriza la conexión con un sistema externo, cómo se autoriza el acceso a un área restringida, etc.), con qué frecuencia se revisan (bien explícitamente o implícitamente en los documentos de gestión de cambios), quién es el encargado de la tarea y quién es el responsable de su aprobación. g) Documentación del sistema de gestión, relativo a la planificación, organización y control de los recursos relativos a la seguridad de la información. Se detallará como se organizan, planifican y controlan los recursos tanto materiales como humanos, relativos a la seguridad de la información en los entornos de la sede electrónica.

FIRMADO


Pagina 3 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


I.4 GESTIÓN DE RIESGOS El adjudicatario deberá llevar a cabo una gestión de riesgos que permita el mantenimiento de un entorno controlado, minimizando dichos riesgos hasta niveles aceptables. Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que esté expuesto el sistema. El análisis de riesgos, entendido como la utilización sistemática de la información disponible para identificar peligros y estimar los riesgos, deberá tener carácter formal y se ceñirá a lo indicado en el apartado 6.2.2 del presente Pliego técnico en lo referente a la metodología, herramienta, contenido mínimo y procedimiento para el traslado del informe, aprobación por la Diputación de Valencia y asunción del riesgo residual. Se realizará un análisis de riesgos formal con carácter anual, que será revisado sistemática y periódicamente al objeto de considerar cualesquiera situaciones que puedan modificar en el tiempo sus parámetros de riesgo. Se llevará a cabo también un análisis de riesgos específico en todos aquellos supuestos en que así se indique en las condiciones de seguridad que son de aplicación al presente contrato y, de igual forma, cuando la Diputación de Valencia lo requiera puntualmente del adjudicatario en base a circunstancias especiales. En todo caso, deberá realizarse un análisis de riesgos en los siguientes supuestos: � cuando cambie la información manejada. � cuando cambien los servicios prestados. � cuando ocurra un incidente grave de seguridad. � cuando se reporten vulnerabilidades graves. El adjudicatario deberá presentar trimestralmente los resultados de análisis de vulnerabilidades de las siguientes áreas: • escaneo de vulnerabilidad de la infraestructura de electrónica de red y

comunicaciones. • escaneo de vulnerabilidades de las bases de datos. • escaneo de vulnerabilidades de las aplicaciones web. I.5 GESTIÓN DEL PERSONAL El adjudicatario deberá observar las siguientes medidas en relación con el personal que intervenga en la provisión del servicio.

a) Deberá disponer de una política o normativa documentada donde se caracterice cada puesto de trabajo en materia de seguridad. Dicha caracterización comprenderá:

FIRMADO


Pagina 4 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


� la definición de las responsabilidades relacionadas con cada puesto de trabajo,

basándose en el análisis de riesgos en la medida en que afecta a cada puesto de trabajo. � la definición de los requisitos que deben satisfacer las personas que vayan a ocupar el

puesto de trabajo, en particular en términos de confidencialidad.

� la obligación de tener en cuenta los requisitos del puesto de trabajo en la selección de la persona que vaya a ocupar dicho puesto, incluyendo la verificación de sus antecedentes laborales, formación y otras referencias..

b) Deberá informar a cada persona que trabaje en el sistema de los deberes y responsabilidades de su puesto de trabajo en materia de seguridad, así como recabar de cada persona su aceptación, expresa y por escrito, de dichos deberes y responsabilidades. A tales efectos, se dispondrá de un documento para cada perfil con sus deberes y responsabilidades, las medidas disciplinarias a que haya lugar, el apercibimiento de que las obligaciones, especialmente la de confidencialidad, se mantienen tanto en el período durante el cual se desempeña el puesto como posteriormente, en caso de traslado a otro puesto de trabajo o cese, y la aceptación del trabajador.

c) Deberá disponer de un procedimiento documentado que especifique la forma de

informar y documentar recogidas en el apartado anterior.

d) Deberá disponer de un plan de concienciación al personal que, de forma regular, recuerde los deberes y obligaciones en materia de seguridad, especialmente en relación con la normativa sobre el buen uso del sistema, la identificación de incidentes, actividades o comportamientos sospechosos que deban ser reportados para su tratamiento por personal especializado, y el procedimiento de reporte de incidencias de seguridad, sean reales o falsas alarmas. Se habilitará un registro que deje constancia de que cada persona ha recibido y seguido el plan de concienciación.

e) De igual forma, deberá confeccionarse un plan de formación en el que se identifiquen

las necesidades formativas de cada puesto de trabajo, la planificación en la impartición de la formación necesaria y la frecuencia con la que se debe actualizar la formación. En particular, los contenidos de la formación abarcarán la configuración del sistema, la detección y reacción a incidentes, y la gestión de la información en cualquier soporte en que ésta se encuentre (almacenamiento, transferencia, copias, distribución y destrucción). Se habilitará un registro que deje constancia de la recepción de la formación que estaba planificada por parte del personal, así como la valoración de la misma.

f) Al objeto de corregir o, en su caso, exigir responsabilidades, el personal con acceso al

sistema estará sujeto a las mismas condiciones que las establecidas en el apartado “Autorización y control de acceso” (I.7) del presente ANEXO para los usuarios del sistema de información.

FIRMADO


Pagina 5 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


I.6 COMPETENCIAS DE SEGURIDAD El adjudicatario debe garantizar en el ámbito de la prestación del servicio que la seguridad del sistema de información esté encomendada a personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento. Entre el personal con competencias de seguridad, el adjudicatario deberá designar uno o varios administradores de seguridad, que serán los responsables de la implantación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información. Deberá designar también un responsable de seguridad, que tendrá como cometido fundamental supervisar la correcta implementación de las medidas de seguridad y su cumplimiento El adjudicatario deberá proporcionar al responsable de seguridad designado las atribuciones y el entorno de independencia requeridos para el óptimo desarrollo de sus competencias. En ningún caso podrán recaer en una misma persona las competencias de administrador de seguridad y responsable de seguridad. Tampoco podrán asignársele al responsable de seguridad otras funciones que entren en conflicto con sus competencias de seguridad. En caso de desastre, el responsable de seguridad del adjudicatario se incorporará al comité de crisis y coordinará todas las actuaciones relacionadas con cualquier aspecto de la seguridad en el sistema de información. I.7 AUTORIZACIÓN, CONTROL DE ACCESO Y REGISTROS DE ACTIVIDAD A) El adjudicatario dispondrá de un proceso formal de autorizaciones, contenido en la normativa de seguridad que se indica en el punto I.1, y que cubra los siguientes elementos del sistema de información:

� el acceso de una entidad (usuario o proceso) al sistema de información. � la utilización de instalaciones, tanto habituales como alternativas. � la entrada de equipos en producción, en particular, equipos que involucren criptografía. � la instalación en el sistema de cualquier elemento físico o lógico. � la entrada de aplicaciones en producción. � el establecimiento de enlaces de comunicaciones con otros sistemas. � la utilización de medios de comunicación, habituales y alternativos. � la utilización de soportes de información.

FIRMADO


Pagina 6 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


� la utilización de equipos móviles. � la utilización de servicios de terceros, bajo contrato o convenio.

Las autorizaciones serán realizadas por las personas debidamente habilitadas para ello. La citada normativa de seguridad contemplará, para cada tipo de componente o actuación, la persona o punto de contacto para su autorización. Deberá existir un modelo de solicitud (formulario) que contenga la descripción del elemento (componente) o actuación para la que se solicita la autorización, las actividades para las que se requiere el nuevo componente (motivación), el tiempo para el que se solicita la autorización (que puede ser temporal o permanente), justificación de que no afecta a otras funcionalidades del sistema, un análisis de riesgo conforme a la categoría del sistema (si el nuevo componente introduce posibles vulnerabilidades), justificación de que no viola ninguna normativa de seguridad, información de los procedimientos que son de aplicación, así como de la necesidad de desarrollar nuevos si fuese necesario. B) El acceso al sistema de información por una determinada entidad (usuario o proceso) deberá estar previamente autorizado conforme a las especificaciones establecidas por la Diputación de Valencia. Los accesos al sistema que sean requeridos para la adecuada prestación del servicio en el entorno del adjudicatario respetarán, en cualquier caso, los siguientes principios:

a) Mínimo privilegio. Los privilegios de cada usuario se reducirán al mínimo estrictamente necesario para cumplir sus obligaciones.

b) Necesidad de conocer. Los privilegios se limitarán de forma que los usuarios sólo accederán al conocimiento de aquella información requerida para cumplir sus obligaciones.

c) Capacidad de autorizar. Sólo y exclusivamente el personal con competencia para ello podrá conceder, alterar o anular la autorización de acceso a los recursos, conforme a los criterios establecidos por su responsable.

El adjudicatario dispondrá de mecanismos para el control de todos los accesos (usuarios o procesos) al sistema de información, sean locales o remotos. Estos mecanismos deberán garantizar: � que se protegen los recursos del sistema, de forma que se impida su utilización salvo

a las entidades que disfruten de derechos de acceso suficientes. Particularmente se controlará el acceso a los componentes del sistema y a sus ficheros o registros de configuración.

� que cada entidad (usuario o proceso) que accede al sistema tiene un identificador singular, que permita saber quién ha hecho algo y qué ha hecho. � que cuando un usuario tenga diferentes roles frente al sistema, recibirá identificadores singulares para cada uno de los casos de forma que siempre queden delimitados privilegios y registros de actividad.

FIRMADO


Pagina 7 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


� la existencia de un registro de las entidades responsables de cada identificador, que permita saber a quién corresponde cada identificador y los permisos o derechos que tiene.

� la inhabilitación del identificador cuando el usuario deja la organización, cesa en la función para la cual se requería la cuenta de usuario o cuando la persona que la autorizó da orden en sentido contrario. � que, no obstante la inhabilitación anterior, el identificador se mantiene durante el periodo necesario para atender a las necesidades de trazabilidad de los registros de actividad asociados a los mismos (período de retención). � la segregación de funciones y tareas críticas, de forma que se exija la concurrencia de dos o más personas para realizar tareas críticas, anulando la posibilidad de que un solo individuo autorizado pueda abusar de sus derechos para cometer alguna acción ilícita. Como mínimo serán incompatibles: desarrollo con operación del sistema, configuración y mantenimiento del sistema con operación del sistema, auditoría o supervisión del sistema con cualquier otra función.

� la utilización de mecanismos de autenticación dotados de las siguientes características:

- el mecanismo de autenticación en cada recurso se encontrará identificado

(p.ej: mediante un listado de los recursos que requieren autenticación y su mecanismo de autenticación correspondiente)

- no se admitirá el uso de claves concertadas, salvo supuestos justificados y bajo indicación expresa de la Diputación de Valencia

- se utilizarán preferentemente dispositivos de tipo físico (tokens) o componentes lógicos (certificados software, biométricos o equivalentes)

- en el caso de utilizar contraseñas, la calidad y renovación de las mismas se ajustará a las instrucciones dadas por la Diputación de Valencia.

- los autenticadotes solo se activarán cuando se encuentren bajo el control efectivo del usuario y se mantendrán bajo su control exclusivo mientras se encuentren activos. La periodicidad de su renovación será la indicada por la Diputación de Valencia.

- La retirada y deshabilitación de los autenticadotes se producirá cuando la entidad (persona, equipo o proceso) que autentican finalice su relación con el sistema.

- para los usuarios del entorno del adjudicatario se dejará constancia de la recepción del autenticador, del conocimiento y aceptación de las obligaciones que implica su tenencia, en particular el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida.

- Las credenciales se suspenderán tras un periodo definido de no utilización. - En el caso del uso de utilización de tokens, se requerirá el uso de elementos

criptográficos hardware usando algoritmos y parámetros acreditados por el Centro Criptológico Nacional.

FIRMADO


Pagina 8 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


� en los accesos locales (se considera acceso local al realizado desde puestos de trabajo dentro de las propias instalaciones de la organización):

- el sistema se configurará de forma que no se revele información del sistema antes de un acceso autorizado. Los diálogos de acceso (al puesto local dentro de la propia instalación de la organización, al servidor, al dominio de red, etc.) no revelarán información sobre el sistema al que se está accediendo, salvo la que resulte indispensable.

- los intentos de acceso fallidos estará limitado al número que establezca la Diputación de Valencia, bloqueándose la cuenta si se supera el límite de intentos. Existirá un registro que recoja tanto los accesos con éxito como fallidos.

- una vez efectuado el acceso, el sistema mostrará un aviso con las obligaciones fundamentales del usuario, así como información del último acceso efectuado con éxito con su identidad (por ej. fecha y hora de la conexión).

� en los accesos remotos (se considera acceso remoto al realizado desde fuera de las propias instalaciones de la organización, a través de redes de terceros):

- se observarán las mismas condiciones que las señaladas para el acceso local. - se protegerá el canal de acceso remoto con las medidas indicadas en el

presente ANEXO para la Protección de las comunicaciones.

C) El adjudicatario habilitará un registro o registros con las actividades de los usuarios en el sistema, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, tanto a nivel operativo como de administración, permitiendo identificar en cada momento a la persona que actúa. Considerando la incidencia que esta medida puede tener en los derechos individuales de los usuarios, lo cual requiere de una valoración jurídica previa a la determinación de la información necesaria y a las condiciones para su obtención, el adjudicatario deberá acordar con la Diputación de Valencia la concreción de la información que será objeto de registro y los requisitos para su obtención. Sin perjuicio de lo anterior, las características mínimas que deberán cumplir los citados registros de actividad son las siguientes:

� indicará quién realiza la actividad, cuándo la realiza y sobre qué información, sea cual sea el usuario.

� incluirá la actividad de los operadores y administradores del sistema. Se configurará el sistema de forma que los propios operadores y administradores no puedan modificarlos o eliminarlos.

� se registrará tanto las actividades llevadas a cabo con éxito como los intentos fracasados.

FIRMADO


Pagina 9 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


� la determinación de las actividades a registrar y su nivel de detalle se realizará en base al análisis de riesgos del sistema. � la determinación de las actividades a registrar y su nivel de detalle se realizará en base al análisis de riesgos del sistema. � se configurará el sistema de forma que el contenido de dichos registros no puedan modificarse, así como la garantía de protección ante la eliminación por personas no autorizadas.

El adjudicatario dispondrá de un inventario de los registros de actividad, donde además se indicará el personal autorizado a su acceso o eliminación. Y el período de retención de los mismos. El adjudicatario acordará con la Diputación de Valencia los períodos de retención específicos de los registros de actividad. La única persona con permiso para la administración de los registros de actividad será el Responsable de Seguridad, designado por el adjudicatario conforme a lo establecido en el apartado I.6 del presente ANEXO, con las siguientes atribuciones:

- será, en principio, el único que tendrá acceso a los registros de actividad. - la supervisión y garantía de la eliminación de dichos registros, conforme a

los períodos de retención establecidos. - el Comité de Seguridad TIC de la Diputación de Valencia autorizará, previa

petición, el acceso de otras personas a los registros de actividad cuando dicho acceso se justifique debidamente en razón de una función en el sistema que así lo requiera o por circunstancias concretas o de fuerza mayor, pudiendo establecer en la autorización límites temporales o funcionales.

- revisará sistemática y periódicamente los registros de actividad, reportando un informe mensual de carácter estadístico al Comité de Seguridad TIC de la Diputación de Valencia.

- pondrá en conocimiento del Comité de Seguridad TIC de la Diputación de Valencia de forma inmediata cualquier hecho -evidente, indiciario o sospechoso- que, tras la revisión de los registros de actividad, pudiese ser constitutivo de la realización de actividades indebidas o no autorizadas.

El adjudicatario dispondrá de un plan para garantizar la capacidad de almacenamiento de registros atendiendo a su volumen y política de retención, así como de un procedimiento para la eliminación de los registros tras el periodo estipulado de retención, incluyendo las copias de seguridad (si existen). Las copias de seguridad, si existen, se ajustarán a los mismos requisitos establecidos a los registros en vivo.

FIRMADO


Pagina 10 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


La normativa y procedimientos de seguridad (apartados I.1 y I.2) deberán contener las necesarias especificaciones para el cumplimiento efectivo de lo indicado en el presente apartado. I.8 PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS El equipamiento será instalado en áreas separadas específicas para su función. A estas áreas separadas solo se podrá acceder por las entradas previstas y vigiladas. Únicamente tendrán acceso al área las personas debidamente autorizadas. Se habilitarán dispositivos que impidan el acceso no autorizado. El control de acceso a dichas áreas se efectuará mediante mecanismos que permitan identificar inequívocamente a la persona que accede, así como la fecha y hora de entrada y salida. Se llevará un registro en el que conste toda la información de acceso anterior. Cuando el registro no se encuentre automatizado (p.ej: se lleva un listado en soporte papel) deberá hacerse constar también la persona que efectúa el registro. Los datos del registro de accesos se mantendrán, como mínimo, durante un período de seis meses. Los locales donde se ubiquen los sistemas de información y sus componentes dispondrán de las adecuadas condiciones de temperatura y humedad, atendiendo a las especificaciones de los fabricantes de los equipos. Se instalarán mecanismos que permitan el control de los valores recomendados. Los locales contarán con las protecciones adecuadas frente a las amenazas identificadas en el análisis de riesgos, tanto de índole natural como derivadas del entorno o con origen humano, accidental o deliberado. Estará prohibida la existencia de material innecesario en el local, en particular material inflamable (papel, cajas, etc.) o que pueda ser causa de otros incidentes (fuentes de agua, plantas, etc.), y evitando que el propio local sea una amenaza o atractor de otras amenazas. El cableado contará con la protección adecuada, mediante su etiquetado (para poder determinar las conexiones de cada cable físico), protección (para evitar tropiezos) y control (para evitar la existencia de cableado fuera de uso). Se dispondrá de un plano del cableado que incluya el etiquetado de los cables. Los locales deben contar con la potencia eléctrica necesaria. Se dispondrá de un análisis de la potencia eléctrica requerida, que se actualizará antes de la adquisición de nuevos componentes. Deberá contarse con las tomas eléctricas necesarias (p.ej: enchufes con toma de tierra, cantidad de enchufes suficiente para no tener que recurrir a multiplicadores en cascada que superen los W máximos recomendados, etc.). De igual modo, se garantizará el correcto funcionamiento de las luces de emergencia, mediante la revisión periódica de las mismas. Se incorporarán mecanismos que garanticen el suministro de potencia eléctrica en caso de fallo del suministro general (compuesto por SAI y, en caso de ser necesario, grupo electrógeno), de forma que se cuente con tiempo suficiente para una terminación ordenada de los procesos, salvaguardando la información Se protegerán los locales frente a incendios, fortuitos o deliberados, conforme a la normativa industrial pertinente (p.ej: disponer de carteles para evacuación, extintores, materiales no inflamables, etc.). Del mismo modo, se protegerán los locales frente a incidentes fortuitos o deliberados causados por el agua (p.ej: que el CPD no sea recorrido por tuberías de agua, que existan sumideros de agua en el CPD, etc.) conforme al nivel de riesgo identificado, lo que

FIRMADO


Pagina 11 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


comporta la realización de un estudio de la ubicación física del local para conocer el riesgo real de problemas por causa natural o por el entorno. Deberá mantenerse un registro pormenorizado de toda entrada y salida de equipamiento. El registro debe reflejar: fecha y hora, identificación inequívoca del equipamiento, persona que realiza la entrada o salida, persona que autoriza la entrada o salida y persona que realiza el registro. Los datos del registro de entradas y salidas de equipamiento se mantendrán, como mínimo, durante un período de doce meses. En los entornos dedicados a la sede electrónica se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información La normativa y procedimientos de seguridad (apartados I.1 y I.2) deberán contener las necesarias especificaciones para el cumplimiento efectivo de lo indicado en el presente apartado. I.9 CONFIGURACIÓN DE SEGURIDAD POR DEFECTO Deberá realizarse una fortificación o bastionado del sistema de información previo a su entrada en operación de manera que se implemente una configuración segura por defecto; para esto deberán seguirse las guías CCN-STIC correspondientes, cubriendo al menos los siguientes aspectos:

a) Se retirarán las cuentas y contraseñas estándar (p.ej: los servidores Linux no deben tener la cuenta “root”, los servidores Windows no deben tener la cuenta “administrador” ni “invitado”, etc.)

b) Se desactivarán las funcionalidades técnicas no requeridas, ni necesarias, ni de interés o inadecuadas, ya sean gratuitas, de operación, administración o auditoría (p.ej: si se adquiere un firewall para proteger el perímetro y este proporciona la funcionalidad de acceso remoto mediante VPN IPSec, si dicha funcionalidad añadida no es necesaria ni ha sido solicitada por el responsable deberá haber sido deshabilitada). Dichas funcionalidades quedarán documentadas y constará el motivo por el que se hayan deshabilitado.

c) Las funciones de operación, administración y registro de actividad serán las mínimas

necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario, puntos de acceso facultados y una consola de seguridad centralizada.

d) Dispondrá de mecanismos que garanticen la corrección de la hora a la que se realiza el

registro (de actividad, de incidencias, etc).

FIRMADO


Pagina 12 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


e) Se establecerán bloqueos de sesión por tiempo de inactividad, requiriendo una nueva autenticación del usuario para reanudar la actividad en curso.

f) Se habilitarán mecanismos de prevención y reacción frente a código dañino (virus,

gusanos, troyanos, programas espía y “malware” en general) dañino para todos los equipos (servidores y puestos de trabajo) Las opciones de configuración serán las recomendadas por el fabricante, así como las referentes a frecuencia de actualización; en caso contrario estará documentado el motivo.

g) El uso ordinario del sistema por los usuarios deberá ser sencillo y seguro. En caso de

existir situaciones que puedan poner en riesgo la seguridad, y siempre que se trate de supuestos en que la organización la consienta bajo la responsabilidad del usuario, el sistema indicará esa posibilidad y las consecuencias al usuario, de forma que éste sea consciente de su exposición a un riesgo, debiendo el usuario dar su consentimiento expreso asumiendo el riesgo (p.ej: debe aparecerle al usuario una ventana de advertencia, que por defecto tendrá marcada la opción de “no continuar”, informando de esto al usuario y solicitándole la aceptación de las condiciones). De estos consentimientos informados de los usuarios quedará constancia en un registro.

Se gestionará de forma continua la configuración de los componentes del sistema de forma que: se mantenga en todo momento las reglas de funcionalidad mínima y seguridad por defecto, se adapte a las nuevas necesidades, y los sistemas reaccionen a vulnerabilidades detectadas e incidentes. El adjudicatario dispondrá de un procedimiento documentado que indique la frecuencia y motivos por los que se debe modificar la configuración del sistema e incluirá: la aprobación del responsable, la documentación del cambio, las pruebas de seguridad del sistema bajo la nueva configuración, y la retención de la configuración previa por un tiempo preestablecido.

I.10 INTEGRIDAD Y ACTUALIZACIÓN DEL SISTEMA El adjudicatario dispondrá de un plan de mantenimiento del equipamiento físico y lógico que indique la frecuencia, componentes a revisar, responsable de la revisión y evidencias a generar. Respecto a dicho plan de mantenimiento:

� atenderá a las especificaciones de los fabricantes en lo relativo a instalación y mantenimiento de los sistemas.

� contemplará mecanismos para el seguimiento continuo de los anuncios de defectos (p.ej: suscripción a lista de correo de avisos de defectos por parte del fabricante o un proveedor de este tipo de anuncios) y un procedimiento documentado que indique quién y con qué frecuencia debe monitorizar esos anuncios, así como el procedimiento para analizar, priorizar (en función del cambio en el riesgo derivado por la aplicación o no de la recomendación) y determinar cuándo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones.

FIRMADO


Pagina 13 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


I.11 GESTIÓN DE CAMBIOS Deberá mantenerse un control continuo de cambios realizados en el sistema. En tal sentido, el adjudicatario contará con un procedimiento de gestión de cambios, que indicará la frecuencia y motivos por los que se debe cambiar un componente del sistema e incluirá: la aprobación del responsable, la documentación del cambio, las pruebas de seguridad del sistema tras el cambio, y la retención de una copia del componente previo por un tiempo preestablecido. Respecto a dicho control de cambios:

� analizará todos los cambios anunciados por el fabricante o proveedor para determinar su conveniencia para ser incorporados o no. � antes de poner en producción una nueva versión o una versión parcheada se comprobará en un equipo que no esté en producción (equivalente al de producción en los aspectos que se comprueban) que la nueva instalación funciona correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario. � se planificarán los cambios para reducir el impacto sobre la prestación de los servicios afectados.

� se determinará mediante análisis de riesgos si los cambios son relevantes para la seguridad del sistema. En caso de que el cambio implique una situación de riesgo de nivel alto deberá ser aprobado explícitamente de forma previa a su implantación.

I.12 GESTIÓN DE INCIDENCIAS El adjudicatario dispondrá de un proceso integral para hacer frente a incidentes que puedan tener un impacto en la seguridad del sistema. Dicho proceso estará conformado por una serie de procedimientos que, como mínimo, serán los siguientes:

a) Procedimiento de reporte de incidentes reales o sucesos sospechosos (p.ej: aumento considerable de logs de error, ralentización del servicio, etc) bien sean internos o provenientes de servicios prestados por terceras partes, así como el detalle del proceso de escalado de la notificación (p.ej: un usuario final debe comunicar el incidente al centro de soporte, este analiza si es un incidente de seguridad, en cuyo caso lo reporta al técnico responsable de estos incidentes, etc.).

b) Procedimiento de toma de medidas urgentes, contemplando la detención de servicios,

el aislamiento del sistema afectado, la recogida de evidencias y protección de los registros (según convenga al caso). Dicho procedimiento deberá contemplar la toma de medidas urgentes en base a un procedimiento de valoración de la urgencia, y quién debe tomar estas decisiones. Como resultado de dicha valoración se contemplan las medidas a tomar (detención de los servicios, aislamiento del sistema, etc).

FIRMADO


Pagina 14 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


c) Procedimiento de asignación de recursos para investigar las causas, analizar las

consecuencias y resolver el incidente.

d) Procedimiento para avisar a las partes interesadas tanto internas (p.ej: avisar a los usuarios de la organización de la indisponibilidad o degradación de un servicio y el tiempo estimado de resolución) como externas (p.ej: avisar a los ciudadanos u otros organismos relacionados con la organización de la indisponibilidad o degradación de un servicio y el tiempo estimado de resolución). Cuando el incidente se deba a defectos en el equipamiento que pudieran causar problemas similares en otras organizaciones, el procedimiento contemplará la notificación de los mismos al CERT.

e) Procedimiento para prevenir que se repita el incidente. Dicho procedimiento

contemplará, dentro de la investigación de las causas, las medidas necesarias para evitar que el incidente vuelva a producirse.

f) Procedimiento para incluir en los procedimientos de usuario la identificación y forma de

tratar el incidente. Dicho procedimiento para la gestión de incidencias estará orientado al usuario final que corresponda, de forma que éste sepa identificar y resolver los incidentes más comunes.

g) Procedimiento para actualizar, extender, mejorar u optimizar los procedimientos de

resolución de incidencias.

h) Métricas e indicadores que indique el sistema de protección está protegiendo realmente la seguridad de la información y los servicios, así como métricas predictivas que anuncien posibles incidentes antes de que estos se produzcan.

El adjudicatario dispondrá de sistemas de notificación automatizada de incidencias. De igual modo, deberá mantener un registro de todas las actuaciones relacionadas con la gestión de las mismas. Dicho registro se ajustará, como mínimo, a lo siguiente:

� se registrará el reporte inicial, las actuaciones de emergencia y las modificaciones del sistema derivadas del incidente.

� se registrarán aquellas evidencias que puedan, posteriormente, sustentar una demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias sobre el personal interno, sobre proveedores externos o a la persecución de delitos. La composición y detalle de estas evidencias implica criterios jurídicos especializados, por lo que el adjudicatario deberá acordar con la Diputación de Valencia las concretas evidencias que serán objeto de registro.

� se revisará la determinación de los eventos auditables en base al análisis de las incidencias.

Se recopilaran datos para valorar el sistema de gestión de incidentes, permitiendo conocer:

FIRMADO


Pagina 15 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


� número de incidentes de seguridad tratados. � tiempo empleado para cerrar el 50% de los incidentes. � tiempo empleado para cerrar el 90% de los incidentes.

I.13 PROTECCIÓN DE LA INFORMACIÓN ALMACENADA Y EN TRÁNSITO A) El adjudicatario dispondrá de un sistema de cortafuegos que separe la red interna del exterior, de modo que todo el tráfico con el exterior pase a través del cortafuegos. Sólo se permitirá el tráfico que haya sido previamente autorizado. El perímetro concreto, delimitado y acotado, estará reflejado en la arquitectura del sistema (ver apartado I.3). En los entornos dedicados a la sede electrónica, el sistema de cortafuegos constará de dos o más equipos de diferente fabricante dispuestos en cascada y deberán ser redundantes. Las comunicaciones que discurran por redes fuera del propio dominio de seguridad utilizarán VPN, empleando protocolos estándar como IPSEC, SSL o TLS (siempre que sea posible se utilizarán dispositivos hardware en el establecimiento y utilización de la VPN). En cualquier caso, el cifrado de las comunicaciones deberá ajustarse, como mínimo, a los siguientes parámetros:

TIPO DE CIFRADO

LONGITUD DE CLAVE

Cifrado simétrico TDEA y AES 112 bits

Cifrado basado en curvas elípticas 224 – 255 bits

Cifrado RSA, clave pública 2048 bits

La protección de las claves de cifrado, independientemente de la seguridad que ofrezcan, cumplirá los siguientes requisitos:

� la protección abarcará todo el ciclo de vida de las claves: su generación, transporte al punto de explotación (p.ej: entrega en mano, uso de contenedores físicos seguros o criptográficos, doble canal – clave y datos de activación por separado-), custodia durante la explotación, archivo posterior a su retirada de explotación activa y destrucción final (p.ej: eliminación de original y copias)

� los medios de generación deben estar aislados de los medios de explotación.

� las claves retiradas de operación que deban ser archivadas, lo serán en medios aislados de los de explotación (p.ej. en contenedores físicos seguros o en contenedores criptográficos).

� se utilizarán medios de generación y custodia en explotación evaluados o dispositivos criptográficos certificados. Dichos medios emplearán algoritmos acreditados por el CCN.

FIRMADO


Pagina 16 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


� los medios de custodia en explotación deberán emplear tarjeta inteligente protegida por contraseña.

� existirá un registro que indique las actuaciones realizadas sobre cada clave en el sistema a lo largo de su ciclo de vida.

Se dispondrá de mecanismos para la prevención de ataques activos, garantizando que al menos serán detectados y, en caso de ocurrir, la consiguiente activación de los procedimientos previstos de tratamiento del incidente. Se consideran ataques activos (por contraposición a los ataques pasivos, en los que sólo se monitoriza la comunicación con el fin de obtener información de la misma o de lo intercambiado en ella) a aquellos ataques en los que se altere la información transmitida, se inserte información engañosa, o se secuestre la comunicación por una tercera parte. B) Los soportes de información, tanto los que permanecen en los locales de la organización como los que salen a otros destinos, deberán ser etiquetados. Dicho etiquetado se realizará bajo las siguientes premisas:

� el etiquetado no debe revelar el contenido (p.ej: la etiqueta no contendrá palabras tipo “datos de usuario”, “datos de solicitante”, etc. sino un código no interpretable por personal ajeno al procedimiento), pero debe indicar el nivel de seguridad de la información contenida de mayor calificación, de forma que no sea comprensible para alguien ajeno al sistema (p.ej: la etiqueta no contiene palabras tipo “confidencial”, “reservado”, “secreto”, etc. sino un código no interpretable por personal ajeno al procedimiento). � los usuarios deben entender el significado de las etiquetas, bien mediante simple inspección, bien recurriendo a un repositorio que lo explique.

� los usuarios deben entender el significado de las etiquetas, bien mediante simple inspección, bien recurriendo a un repositorio que lo explique.

A los citados soportes de información se les aplicarán mecanismos criptográficos que garanticen la confidencialidad e integridad de la información contenida. Para su transporte se utilizarán los medios de protección criptográfica correspondientes al nivel de calificación de la información contenida de mayor nivel. Las claves se gestionan conforme a lo especificado en el apartado I.13.A). Se dispondrá de un inventario de todos los soportes de información en uso, indicando su etiqueta, contenido actual, ubicación física y quién es el responsable del mismo. Se aplicará la debida diligencia y control de los soportes de información mediante las siguientes actuaciones:

� se garantizará el control de acceso con medidas físicas, lógicas o ambas (ver I.8) � se respetarán las exigencias de mantenimiento del fabricante, en especial en lo referente a temperatura, humedad y otros agresores medioambientales.

FIRMADO


Pagina 17 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


� se mantendrá la historia de cada dispositivo, desde su primer uso hasta la terminación de su vida útil y/o destrucción del mismo

Se dispondrá de un registro de entrada y salida de soportes donde se identifique la etiqueta del soporte, al transportista que efectúa su entrega y el que recibe el soporte para su traslado, respectivamente. De igual modo, se dispondrá de un procedimiento rutinario que coteja las salidas con las llegadas y levanta las alarmas pertinentes cuando se detecte algún incidente. Se dispondrá de medidas que garanticen el borrado y destrucción seguros de los soportes de información, sean o no electrónicos. Se dispondrá de un procedimiento documentado que especificará en qué circunstancia se debe proceder al borrado, quién debe realizarlo y el método de borrado seguro de los soportes. Serán objeto de borrado seguro los soportes que vayan a ser reutilizados para otra información o liberados a otra organización. Se destruirán de forma segura los soportes cuando la naturaleza del soporte no permita un borrado seguro o cuando así lo requiera el procedimiento asociado al tipo de información contenida. En el borrado y destrucción de soportes se emplearán, preferentemente, productos certificados. C) Se dispondrá de un procedimiento para limpiar (retirar la información contenida en campos ocultos, meta-datos, comentarios o revisiones) todos los documentos que vayan a ser transferidos a otro dominio de seguridad o publicados electrónicamente, salvo cuando dicha información sea pertinente para el receptor del documento. El procedimiento indicará el destino del documento, y, si va a ser transferido a otro dominio de seguridad o publicado electrónicamente, señalará cómo limpiar el documento. Se dispondrá de herramientas evaluadas para limpiar los documentos.

I.14 RESPALDO Y RECUPERACIÓN DE DATOS El adjudicatario dispondrá de un procedimiento de copias de respaldo que garantice la restauración de la información frente a supuestos de pérdida de datos accidentales o intencionados. El procedimiento especificará la frecuencia con la que deben realizarse las copias y el periodo de retención durante el que mantenerlas. De igual modo, contendrá el plan para realizar regularmente el backup y su eliminación. Los periodos de realización y eliminación de las copias y respaldo se acordarán con la Diputación de Valencia. Se dispondrá de mecanismos de backup (p.ej: robot, unidad de cinta, cintas, disco duro para almacenamiento de copias, aplicación de backup, etc.) y de eliminación segura (p.ej: software de eliminación segura, desmagnetizador, etc.). Las citadas copias de seguridad deberán abarcar:

� la información de trabajo de la organización. � las aplicaciones en explotación, incluyendo los sistemas operativos.

FIRMADO


Pagina 18 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


� los datos de configuración, servicios, aplicaciones, equipos, u otros de naturaleza análoga.

� las claves utilizadas para preservar la confidencialidad de la información.

Las copias de respaldo disfrutarán de la misma seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad tanto en su acceso, almacenamiento como transporte, así como de la necesidad de que las copias de seguridad estén cifradas para garantizar la confidencialidad, todo ello de conformidad con el apartado I.13.B). Se verificará regularmente que la información respaldada está correctamente dispuesta para ser recuperada en caso de necesidad, para lo cual se dispondrá de un procedimiento para la realización de pruebas de restauración del backup, que indique quién debe hacerlo y la frecuencia; manteniendo los requisitos de seguridad establecidos para la información original restaurada. El plan de pruebas de respaldo cubrirá, a lo largo del tiempo, todos los ámbitos de los que se realizan backups. Se dispondrá igualmente de un procedimiento para la solicitud de recuperación de un backup, la identificación del responsable de la información y su autorización por escrito. Las copias de respaldo se conservarán en lugares lo suficientemente independientes de la ubicación normal de la información en explotación como para que los incidentes previstos en el análisis de riesgos no se den simultáneamente en ambos lugares y que permita cumplir con el plan de continuidad establecido.

FIRMADO


Pagina 19 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


I.15 CONTINUIDAD DE LA ACTIVIDAD El adjudicatario garantizará la existencia y disponibilidad de medios alternativos (instalaciones alternativas, comunicaciones alternativas, equipamiento alternativo, personal alternativo, etc) para poder seguir manteniendo los servicios prestados en idénticas condiciones en caso de que los medios habituales no estén disponibles por cualquier causa. Los medios alternativas disfrutarán de las mismas garantías técnicas y de seguridad que los medios habituales. El adjudicatario presentará a la Diputación de Valencia una planificación de los citados medios alternativos. El adjudicatario elaborará un plan de continuidad que establecerá las acciones a ejecutar en caso de interrupción de los servicios prestados con los medios habituales. Dicho plan contemplará su revisión periódica o actualización tras cambios en los sistemas, los servicios y su calidad. Los niveles de disponibilidad y los tiempos de recuperación en la prestación de los servicios son los establecidos en los acuerdos de nivel de servicio del presente pliego técnico. El adjudicatario deberá designar un comité de crisis que tome la decisión de aplicar el plan de continuidad tras analizar el desastre y evaluar las consecuencias, encargándose de la comunicación con las partes afectadas en caso de crisis y llevando a cabo las actuaciones para reconstruir el sistema de información (recuperación del desastre) El citado plan de continuidad contendrá, como mínimo, los siguientes aspectos:

� la Identificación de funciones, responsabilidades y actividades a realizar. � Un análisis de impacto donde se identifiquen: los servicios o procesos críticos, el coste de la interrupción en función del tiempo, los elementos necesarios para dar continuidad y el tiempo de recuperación objetivo.

� la identificación de los medios alternativos que serán necesarios para poder seguir prestando los servicios (instalaciones alternativas, comunicaciones alternativas, equipamiento alternativo, personal alternativo, etc) y la recuperación de la información con una antigüedad no superior a un tope determinado a la luz del análisis de impacto.

� la planificación de la formación específica que las personas afectadas por el plan recibirán.

I.16 AUDITORIA DE LA SEGURIDAD El adjudicatario vendrá obligado a realizar una auditoría de seguridad cuyo objeto será el diagnostico del cumplimiento de todas las condiciones de seguridad que debe cumplimentar el adjudicatario. El objetivo final de la auditoría es sustentar la confianza que merece el sistema auditado en materia de seguridad; es decir, calibrar su capacidad para garantizar la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los servicios prestados y la información tratada, almacenada o transmitida, habida cuenta de que son las entidades locales

FIRMADO


Pagina 20 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


usuarias de la plataforma, en última instancia, quienes resultaran responsables de todos los requisitos de seguridad del sistema. La citada auditoría se ceñirá a lo indicado en el apartado 6.2.3 del presente Pliego técnico en lo referente al equipo auditor, metodología, contenido y procedimiento para el traslado del informe de auditoría, propuesta de acciones planificadas para, en su caso, la subsanación de deficiencias, y conformidad por la Diputación de Valencia.

La auditoría de seguridad deberá llevarse a cabo:

� de forma regular, cada dos años.

� con carácter extraordinario, siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.

La realización de la auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años establecidos para la realización de la siguiente auditoría regular. I.17 PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS El desarrollo de aplicaciones se realizará sobre un sistema diferente y separado del de producción, no debiendo existir herramientas o datos de desarrollo en el entorno de producción (p.ej: no hay compiladores en los sistemas de producción). Deberá aplicarse una metodología de desarrollo reconocida, la cual:

- tome en consideración los aspectos de seguridad a lo largo de todo el ciclo de vida.

- trate específicamente los datos usados en pruebas. - permita la inspección del código fuente.

Deberán formar parte integral del diseño del sistema los mecanismos de identificación y autenticación, los mecanismos de la información tratada y la generación y tratamiento de pistas de auditoría. Las pruebas anteriores a la implantación o modificación del sistema de información no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente. El adjudicatario dispondrá de un plan de pruebas para comprobar el correcto funcionamiento de la aplicación antes de pasar a producción. A través de dichas pruebas se comprobará que se cumplen los criterios de aceptación en materia de seguridad y que no se deteriora la seguridad de otros componentes del servicio. Las pruebas se realizarán en un entorno aislado (pre-producción). Las pruebas de aceptación tampoco se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente.

FIRMADO


Pagina 21 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


Previamente a la entrada en servicio se realizará un análisis de vulnerabilidades y se resolverán las posibles vulnerabilidades detectadas, así como una prueba de penetración. La entrada en servicio de las aplicaciones requerirá la autorización de la Diputación de Valencia, una vez acreditadas todas las garantías previstas en el presente apartado.

FIRMADO


Pagina 22 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




63B23C24-807D6BA4-1AB25A66-AE6E549


I.18 PROTECCIÓN DE SERVICIOS Y APLICACIONES WEB Los subsistemas dedicados a la publicación de información deberán ser protegidos frente a las amenazas que les son propias.

a) Cuando la información tenga algún tipo de control de acceso, se garantizará la imposibilidad de acceder a la información obviando la autenticación, en particular tomando medidas en los siguientes aspectos:

• Se evitará que el servidor ofrezca acceso a los documentos por vías alternativas al protocolo determinado.

• Se prevendrán ataques de manipulación de URL.

• Se prevendrán ataques de manipulación de fragmentos de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página, conocido en terminología inglesa como "cookies".

• Se prevendrán ataques de inyección de código.

b) Se prevendrán intentos de escalado de privilegios.

c) Se prevendrán ataques de "cross site scripting".

d) Se prevendrán ataques de manipulación de programas o dispositivos que realizan una acción en representación de otros, conocidos en terminología inglesa como "proxies" y, sistemas especiales de almacenamiento de alta velocidad, conocidos en terminología inglesa como "cachés".

Se emplearán "certificados cualificados de autenticación del sitio web" acordes a la normativa europea en la materia.

FIRMADO


Pagina 23 de 23

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica


ANEXO II PLATAFORMA ADM ELEC


92E1F6E3-5094FB10-0CBDE358-095F067


ANEXO – II

CONJUNTO DE MEDIDAS DE ÍNDOLE TÉCNICA Y ORGANIZATIVAS NECESARIAS QUE

GARANTICEN LA SEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL

II.1 DOCUMENTO DE SEGURIDAD

El adjudicatario dispondrá de un documento de seguridad que deberá contener la

identificación de los ficheros o tratamientos que se traten en concepto de encargado, con

referencia expresa al contrato o documento que regule las condiciones del encargo, así como

de la identificación del responsable (cada entidad local usuaria de la plataforma) y del período

de vigencia del encargo.

Esta obligación del adjudicatario no supone delegación de las entidades locales responsables

de los datos para la llevanza del documento de seguridad de éstas en relación con los ficheros

y tratamientos afectados por la prestación del servicio.

El documento de seguridad del adjudicatario se ajustará en su contenido y previsiones a lo

dispuesto en el artículo 88 del Real Decreto 1720/2007, de 21 de diciembre, por el que se

aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de

protección de datos de carácter personal (RDLOPD), en la medida de la prestación del servicio.

II.2 RESPONSABLE DE SEGURIDAD

Se aplicará lo dispuesto en el artículo 95 RDLOPD. El responsable de seguridad designado por

el adjudicatario podrá ser el mismo que el citado en el apartado “I.6 Competencias de

seguridad” del ANEXO I.

II.3 ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES

Se aplicará lo dispuesto en el artículo 85 RDLOPD.

II.4 RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DEL ENCARGADO DEL

TRATAMIENTO


II.5 FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS


II.6 FUNCIONES Y OBLIGACIONES DEL PERSONAL

FIRMADO


Pagina 1 de 3

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




92E1F6E3-5094FB10-0CBDE358-095F067


Se aplicará lo dispuesto en el artículo 89 RDLOPD. Esta obligación del adjudicatario se integrará

en las medidas recogidas en el apartado “I.5 Gestión del Personal” del ANEXO I y se

complementará con lo establecido en los apartados “I.1 Normativa de Seguridad” y “I.2

Procedimientos de Seguridad” del citado ANEXO.

II.7 REGISTRO DE INCIDENCIAS

Se aplicará lo dispuesto en los artículos 90 y 100 RDLOPD. Esta obligación del adjudicatario se

integrará en las medidas recogidas en el apartado “I.12 Gestión de Incidencias” del ANEXO I.

II.8 CONTROL DE ACCESOS


II.9 GESTIÓN DE SOPORTES Y DOCUMENTOS

Se aplicará lo dispuesto en los artículos 92 y 97 RDLOPD. Esta obligación del adjudicatario se

integrará en las medidas recogidas en el apartado “I.13 Protección de la información

almacenada y en tránsito” del ANEXO I.

II.10 IDENTIFICACIÓN Y AUTENTICACIÓN

Se aplicará lo dispuesto en los artículos 93 Y 98 RDLOPD.

II.11 COPIAS DE RESPALDO Y RECUPERACIÓN


II.12 AUDITORÍA

Se aplicará lo dispuesto en el artículo 96 RDLOPD. Esta obligación del adjudicatario se integrará

en las medidas recogidas en el apartado “I.16 Auditoría de la Seguridad” del ANEXO I.

II.13 CONTROL DE ACCESO FÍSICO


II.14 MEDIDAS DE SEGURIDAD DE NIVEL ALTO

FIRMADO


Pagina 2 de 3

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica




92E1F6E3-5094FB10-0CBDE358-095F067


Cuando en virtud de la naturaleza de los datos personales tratados resulten de aplicación las

medidas de seguridad de nivel alto, además de las medidas recogidas en los trece apartados

anteriores se implementará lo dispuesto en los artículos 101 a 104 RDLOPD.

FIRMADO


Pagina 3 de 3

Est

a es

una

cop

ia im

pres

a de

l doc

umen

to e

lect

róni

co g

ener

ada

por

la a

plic

ació

n in

form

átic

a P

orta

firm

as.

Med

iant

e el

cód

igo

de v

erifi

caci

ón p

uede

com

prob

ar la

val

idez

de

la fi

rma

elec

trón

ica

de lo

s do

cum

ento

s fir

mad

os e

n la

dire

cció

n w

eb: h

ttps:

//ww

w.s

ede.

diva

l.es/

open

cms/

open

cms/

port

al/in

dex.

jsp?

opci

on=

verif

ica

mnh licitaciones - gestión y alerta de...

Documents