PROCEDIMIENTO ABIERTO

Transcripción

1 PLIEGO DE PRESCRIPCIONES TÉCNICAS QUE REGIRÁN LA REALIZACIÓN DEL CONTRATO DE SERVICIOS DE IMPLANTACIÓN DE UNA SOLUCIÓN DE GESTIÓN DE USUARIOS E IDENTIDADES Y UN SISTEMA DE AUTENTICACIÓN ÚNICO PARA EL SERVICIO RIOJANO DE SALUD PROCEDIMIENTO ABIERTO

2 ÍNDICE 1. REQUISITOS TÉCNICOS CONTEXTUALIZACIÓN DEL PROYECTO INTRODUCCIÓN OBJETIVOS Y ALCANCE DEL PROYECTO SITUACION ACTUAL ORGANIZACIÓN Y PROCEDIMIENTOS FUENTES DE INFORMACIÓN SERVICIOS Y RECURSOS ASOCIADOS A LOS REPOSITORIOS SISTEMAS DE AUTENTICACIÓN REQUISITOS TÉCNICOS PARTICULARES COMPONENTE 1: HERRAMIENTA DE GESTIÓN DE IDENTIDADES COMPONENTE 2: HERRAMIENTA DE SINGLE SIGN-ON COMPONENTE 3: FASE DE DEFINICIÓN Y PLANIFICACIÓN DEL PROYECTO COMPONENTE 4: FASE DE ANÁLISIS Y DISEÑO DE LA SOLUCIÓN COMPONENTE 5: FASE DE IMPLANTACIÓN DE LA HERRAMIENTA DE GESTIÓN DE IDENTIDADES COMPONENTE 6: FASE DE IMPLANTACIÓN DE LA SOLUCIÓN DE SINGLE SIGN-ON COMPONENTE 7: FASE DE INTEGRACIÓN CON EL PILOTO DE AUTENTICACIÓN MEDIANTE TARJETAS CRIPTOGRÁFICAS COMPONENTE 8: SOPORTE Y MANTENIMIENTO EVOLUTIVO DEL SISTEMA COMPONENTE 9: JORNADA DE SERVICIOS PROFESIONALES ESPECIALIZADOS EN SEGURIDAD DE LA INFORMACIÓN TIEMPO Y FORMA DE EJECUCIÓN REQUERIMIENTOS METODOLÓGICOS PLANIFICACIÓN, DIRECCIÓN Y SEGUIMIENTO DE LOS TRABAJOS INICIO DE LOS TRABAJOS PLAZOS DE EJECUCIÓN SUSTITUCIÓN DE LOS MEDIOS PERSONALES HORARIO Y LUGAR DE REALIZACIÓN DE ACTUACIONES OBLIGACIÓN DE INFORMACIÓN Y DOCUMENTACIÓN PROCEDIMIENTO DE ACEPTACIÓN DE ACTUACIONES ACUERDOS DE NIVEL DE SERVICIO CONTROL ECONÓMICO Y DE FACTURACIÓN CONTROL DE FACTURACIÓN HITOS DE FACTURACIÓN FORMATO Y CONTENIDO DE LA PROPUESTA PROPUESTA RELATIVA A LOS CRITERIOS CUYA VALORACIÓN DEPENDE DE UN JUICIO DE VALOR (sobre 3) INTRODUCCIÓN RESUMEN EJECUTIVO CARACTERÍSTICAS TÉCNICAS SOLUCIÓN PROPUESTA Página 2 de 61

3 COMPROMISO DE EJECUCIÓN Y ACUERDO DE NIVEL DE SERVICIO MEJORAS PROPUESTA RELATIVA A LOS CRITERIOS CUANTIFICABLES MEDIANTE LA MERA APLICACIÓN DE FÓRMULAS (sobre 4) PROPOSICIÓN ECONÓMICA MODELO DE PROPOSICIÓN ECONÓMICA Nota: Cualquier consulta en relación con el presente procedimiento de adjudicación debe dirigirse por correo electrónico a la dirección sg.contratacion.consultas@red.es indicando: Asunto: número de expediente; Cuerpo: nombre de la empresa, datos de la persona que realiza la consulta y texto de la consulta. Página 3 de 61

4 1. REQUISITOS TÉCNICOS 1.1. CONTEXTUALIZACIÓN DEL PROYECTO INTRODUCCIÓN El Servicio Riojano de Salud (SERIS) ha realizado un importantísimo esfuerzo en los últimos años por extender el uso de los servicios informáticos a todos los profesionales del sistema sanitario con el objetivo de mejorar la atención sanitaria al ciudadano. Como consecuencia de este proceso de extensión de servicios para la atención sanitaria, se están incorporando sistemáticamente decenas de nuevos usuarios a los sistemas de información, lo que origina un constante movimiento, tanto de altas/bajas de usuarios como de renovación o cambio de contraseñas para los mismos, que requieren tiempos de actuación inmediatos para no entorpecer el proceso asistencial. Por otra parte, la reglamentación en materia de medidas de seguridad y protección de datos de carácter personal y más concretamente del real decreto 1720/2007 obliga a mantener un registro permanente y actualizado de todos los usuarios con acceso a los sistemas de información, así como a registrar los diferentes accesos de los usuarios a los datos. En la situación actual esa información de registro se encuentra dispersa entre los diferentes sistemas de información y por ello su conocimiento y explotación exige un importante esfuerzo manual. Por todo ello se ha convertido en una necesidad fundamental la mejora de la situación actual. El primero de los proyectos que va a contribuir a mejorar esta situación ha sido la puesta en marcha de una solución NAC (Control de acceso a la red), que ha permitido controlar el acceso a determinados recursos, en base a la identidad del usuario y al equipo desde el que se accede. El segundo de los proyectos es el que trata de poner en marcha una solución para la gestión unificada de las cuentas de usuarios y de los accesos a los recursos informáticos disponibles, solución que debe llevar incorporada las herramientas de auditoría necesarias para garantizar el cumplimiento, en cuanto a registros, de lo que se establece tanto en la Ley Orgánica de Protección de datos (LO 15/1999), como en el Real Decreto de desarrollo de la misma (RD 1720/2007). Por esta razón el SERIS, después de analizar las tecnologías disponibles en el mercado, ha decidido implantar un sistema para la gestión eficiente del ciclo de vida de las cuentas de usuarios, y un control de accesos que, a la vez que sincronice los diferentes entornos y automatice las labores de administración de los recursos, mejore la disponibilidad de los servicios, refuerce las posibilidades de control auditor y facilite el cumplimiento de las políticas de seguridad. Asimismo ha decidido implantar un sistema single sign-on o autenticación única, que permita a los usuarios acceder a las aplicaciones para las que tiene autorización, utilizando un único nombre usuario y contraseña o un sistema de autenticación fuerte basado en tokens o tarjetas inteligentes. Página 4 de 61

5 OBJETIVOS Y ALCANCE DEL PROYECTO El objetivo general de esta licitación es el desarrollo de un proyecto para dar respuesta a las distintas necesidades de negocio tanto funcional como organizativo en lo que a la Gestión de Identidades Corporativas dentro del SERIS se refiere. Para ello será necesario tener en cuenta la parte organizativa y la técnica. Optimización de aspectos organizativos: En cuanto a la parte organizativa del proyecto, se deberá revisar y adaptar los procedimientos organizativos en lo relativo a la Gestión de identidades existentes en la actualidad dentro de la organización. Asimismo se revisarán las personas y servicios involucrados en dicho ciclo de gestión y se propondrá una solución al problema planteado con la tecnología seleccionada. No es objetivo del proyecto proponer un cambio en la organización, definir procesos de difícil implantación o establecer determinadas políticas que puedan provocar un rechazo por parte de los usuarios, dada la naturaleza de la organización, dificultando de esta manera el objetivo fundamental del proyecto. Por el contrario, sí es objetivo del proyecto la automatización de procesos ya existentes, mejorándolos en lo posible sin incurrir en grandes molestias para la operativa normal de los usuarios y del personal involucrado en el ciclo de vida de la identidad de un usuario del sistema. Optimización de aspectos técnicos: En cuanto a la parte técnica, se deberá revisar el estado actual de los diferentes sistemas y repositorios de usuarios, y proceder a la implantación de la herramienta de gestión de identidades seleccionada para que sea capaz de integrar la gestión de las identidades gestionadas por esos repositorios de acuerdo a las especificaciones y detalles técnicos que se describen en este pliego. Para ello se deberá dar respuesta a todos los aspectos planteados en el pliego y por tanto se responderá a cada uno de los requisitos planteados y opcionalmente se aportarán mejoras a la plataforma tecnológica ofertada por el licitador. Dada la variedad de repositorios existentes y la cantidad de servicios que se prestan en la red corporativa del Servicio Riojano de Salud, la organización se plantea alcanzar los siguientes objetivos: Definición de una serie de roles estándar como base fundamental para determinar las atribuciones de los usuarios en cuanto a accesos a los sistemas de información. Establecimiento de un repositorio central, directorio o metadirectorio que permita establecer un control de auditoría sobre los usuarios y sus accesos autorizados y garantice la coherencia de todo el sistema y su sostenibilidad a medida que se incorporen nuevas aplicaciones. Página 5 de 61

6 Automatización del proceso de provisión de usuarios, es decir, establecer los procesos y las herramientas capaces de detectar un movimiento en la organización y, en base a los perfiles definidos, proveer de credenciales en todos los sistemas para los que el usuario esté por defecto autorizado. Definición y establecimiento de los procesos de gestión de usuarios en todo su ciclo de vida, desde su incorporación a la organización o del inicio de su relación profesional hasta el cese de su relación, cualquiera que ésta fuera. Incluyendo la definición de los flujos de autorización por parte de los responsables organizativos o las aplicaciones. Identificación de los procesos de excepción a la regla anterior y establecimiento de los procedimientos de autorización expresa que permitan otorgar acceso a un sistema no establecido por defecto. Implantación de un sistema de autenticación única (Enterprise Single Sign On) que permita la automatización en el logon de acceso a los diferentes sistemas, tanto con mecanismos de usuario / contraseña como con mecanismos de autenticación fuerte basado en tarjetas inteligentes y certificados digitales. Identificación de las excepciones al caso anterior (equipos de trabajo compartidos entre otros) y resolución de la problemática de los mismos. Sincronizar las contraseñas de las diferentes aplicaciones, teniendo en cuenta las políticas de cada una de ellas, y dotar de capacidad de autoservicio al sistema de manera que los usuarios finales puedan cambiar o resetear sus credenciales, solicitar el alta en diferentes aplicaciones, etcétera. Incorporar la funcionalidad de monitorización del sistema para facilitar las tareas de control y auditoria llevadas a cabo por los responsables de sistemas del SERIS. Definir una identidad corporativa que permita cumplir con las regulaciones de seguridad existentes y que proporcione un mayor control sobre el acceso a los repositorios SITUACION ACTUAL En la actualidad, el procedimiento de gestión de claves y usuarios, se realiza de forma manual en casi todo su desarrollo, lo que origina una importante carga de trabajo tanto para los propios usuarios como para el Departamento de Informática. Esta carga se hace crítica en períodos pre-vacacionales en que se incorpora un importante número de trabajadores sustitutos, o en el periodo de recepción de nuevos profesionales en periodos de formación (MIR/FIR/TER ) La integración de los repositorios de usuarios no existe, aunque desde hace algún tiempo sí se ha venido aplicando la política de consolidación de usuarios, en la medida de lo Página 6 de 61

7 posible, alrededor del Directorio Activo. Así, se ha convertido, junto a la base de datos de personal, en el principal repositorio de identidades de la organización. Por otro lado, el despliegue de nuevos servicios informáticos requiere de una gestión rápida a la hora de proceder a proporcionar, revocar o renovar las credenciales de los usuarios para de esta manera no interferir con el proceso asistencial ORGANIZACIÓN Y PROCEDIMIENTOS El alcance organizativo del proyecto abarca a toda la organización. Para una mejor identificación de los roles, esta organización se representará en base a: a) Los responsables de los procesos del ciclo de vida de los usuarios Órganos de dirección (direcciones y subdirecciones). Todas las organizaciones cuentan con sus órganos de Dirección corporativa así como diferentes direcciones responsables de diversas áreas de negocio. En el SERIS, por citar algunos, existe la Gerencia, la Dirección Médica (Primaria y Especializada), la Dirección de Enfermería, la Dirección de Gestión Económica, la Dirección de Gestión de Personal. Ellos son los responsables últimos de la gestión de los usuarios de sus respectivas direcciones. Jefaturas de servicio, sección y área. Son los responsables funcionales de las diferentes áreas, tanto asistenciales como no asistenciales. Sobre ellos recae la mayor parte de la responsabilidad de la gestión y organización de los servicios y por tanto la responsabilidad directa y operativa de la gestión de las identidades del personal a su cargo. Supervisores y responsables de enfermería. El colectivo de enfermería (DUE s y Auxiliares de enfermería) representa un porcentaje muy alto sobre el total de la organización. El colectivo de supervisoras (en atención especializada) y el de responsables de enfermería es, junto al grupo anterior, sobre el que recae la responsabilidad jerárquica y operativa de la gestión del colectivo de las identidades que más modificaciones sufren a lo largo de su vida, debido fundamentalmente a los cambios de destino (planta), o la necesidad de sustitución inmediata de buena parte de este personal tanto por ausencias justificadas (vacaciones y otros conceptos), como por bajas por IT. Coordinadores. En Atención Primaria son los responsables de los centros de salud y consultorios asociados. Organizan la operativa de los centros, junto a las responsables de enfermería y son por tanto, también, responsables del proceso. Departamento de gestión de personal (RRHH). En este momento no son parte esencial del proceso. Deben ser elemento crítico porque sobre ellos recae la responsabilidad de conocer en cada momento la situación de un Página 7 de 61

8 trabajador y su adscripción a un determinado puesto de trabajo. El nivel de integración de la información residente en los sistemas de información de Personal y Nóminas con el resto de los sistemas es prácticamente nulo. Departamento de Informática (Centro de atención a usuarios). Son probablemente el elemento más crítico del proceso. Sobre ellos recae la responsabilidad de generar, modificar o cancelar las diferentes cuentas de acceso a los sistemas a la vez que generan los registros de auditoría necesaria, y registrar o inventariar los accesos autorizados para cada usuario. b) Proceso de gestión de usuarios y contraseñas La organización dispone de un procedimiento formal de gestión de usuarios y contraseñas, cuyo propietario es el departamento de informática. Este documento podrá ser consultado por el licitador. Además dispone de un canal de comunicación a través de la intranet, que facilita la solicitud y el registro de las diferentes peticiones que se realizan, a la vez que permite evaluar la calidad del servicio prestado, sobre todo en lo que se refiere a tiempos de atención. Sin embargo, la gestión (alta/baja/modificación) de los diferentes usuarios en los diferentes sistemas, se realiza de forma manual, es decir, que es un operador o un técnico quien realiza los cambios necesarios para otorgar las credenciales a un determinado usuario. Tampoco está completamente normalizado la definición de roles, sino que ésta se hace en base al conocimiento de los actores responsables de los procesos. No existe comunicación entre los movimientos de la base de datos de personal (SIGPYN) y el Departamento de Informática. Esto no supone un problema insalvable para aquellos movimientos que suponen altas o modificaciones porque es el superior jerárquico quien se encarga de realizar la solicitud. Sin embargo, sí plantea un problema a la hora de gestionar las bajas de los usuarios, que a menudo no son comunicadas, y por tanto no son ejecutadas. Esto supone que puede existir un volumen importante de usuarios aún activos, que ya no tengan ninguna relación laboral con el SERIS. Otro problema importante lo plantean las altas de personal sustituto y los movimientos de personal titular, sobre todo en el área de enfermería, que deben ejecutarse casi en tiempo real. En estos casos es el técnico de guardia quien atiende la solicitud fuera de jornada y procede a la creación o actualización de los roles de un usuario. En tales casos es frecuente que el problema se solvente facilitando un conjunto de credenciales y permisos mínimos que permitan al personal realizar su función. Es responsabilidad del técnico proceder a la regularización de esa identidad tan pronto como sea posible. Tras la generación de los usuarios, el personal de guardia del Centro de Atención a Usuarios, procede a actualizar el inventario de sistemas a los que ese usuario tiene acceso. Sin embargo, si este proceso se realiza en un momento diferente de la provisión, que es lo habitual en el caso de las actuaciones fuera de la jornada laboral, puede suponer que en ocasiones no llegue a completarse, con el consiguiente desajuste entre usuario y autorizaciones. c) Asignación de nombres de usuario Página 8 de 61

9 Existe en la organización un documento de asignación de nombres de usuario. Esta política está basada en el uso de la inicial del nombre (nombres) y el primer apellido. Se recurre al segundo apellido para evitar duplicidades. Sin embargo esta política ha demostrado no ser suficientemente consistente debido al problema que plantea la regulación en materia de accesos a la historia clínica, y que obliga a mantener durante al menos 5 años los registros de acceso, lo que en la práctica significa inutilizar un nombre de usuario aunque sólo se haya usado durante un minuto. El problema detectado radica en que dicho nombre, que por política intenta mantenerse en todos los sistemas, a menudo no puede mantenerse o presenta conflictos. Por esta razón el adjudicatario deberá proceder a realizar una auditoría de los principales sistemas, con el objetivo de regularizar y unificar los nombres de usuario en las diferentes aplicaciones y de esta manera conseguir la homogenización de las diferentes cuentas de usuario que existen en los diferentes sistemas de información. d) Organización de los repositorios El directorio activo es, junto a la base de datos de personal y nominas (SIGPYN), el principal repositorio de usuarios de la organización. SIGPYN es, y debe seguir siendo, el repositorio central en el que se recogen todos las datos del usuario y del puesto que ocupa. Los roles establecidos deberán tener en cuenta que la definición de los mismos deberá poder soportarse sobre los atributos que están definidos en la base de datos de SIGPYN o que con un esfuerzo razonable puedan definirse en la misma. SIGPYN tiene como único cometido la gestión del personal de la organización, mientras el Directorio Activo cumple con otra serie de misiones entre las que están la autenticación en el dominio Microsoft, en la plataforma de correo electrónico y en otra serie de aplicaciones o servicios (NAC, Sharepoint, ERP ). Sin embargo, numerosas aplicaciones mantienen sus propios repositorios de usuarios tanto a efectos de autenticación como para la definición de roles o perfiles de los usuarios. Los más representativos de estos repositorios son los que se detallan en el apartado del presente pliego. e) Procedimientos Los procedimientos formales relacionados con la solicitud, gestión y/o aprobación de cuentas de acceso de usuario y claves se encuentran a disposición de los licitadores y serán suministrados previa petición y aceptación de los correspondientes acuerdos de confidencialidad. Página 9 de 61

10 FUENTES DE INFORMACIÓN Como se ha adelantado en párrafos anteriores, el SERIS dispone de diversas fuentes de información de usuarios que requieren ser integradas en la solución propuesta. El adjudicatario deberá garantizar la integración en el sistema de gestión de identidades de, al menos, los siguientes repositorios de usuarios: 1. Base de datos de personal y nóminas: actualmente sobre base de datos Oracle. 2. Directorio de Microsoft: Directorio Activo. 3. Directorio LDAP de la aplicación de historia clínica electrónica (Selene): directorio LDAP de IBM y base de datos ORACLE. 4. Usuarios del sistema de almacenamiento de imagen radiológica (RIS/PACS): Base de datos ORACLE 5. Correo electrónico: plataformas Exchange de Microsoft. 6. Usuarios del sistema de gestión de personal y nóminas (SIGPYN): Base de datos ORACLE 7. Usuarios del sistema ERP: Base de datos Informix. 8. Usuarios de los sistemas de información de Laboratorio y Anatomía Patológica: actualmente sobre base de datos Caché de InterSystems. 9. Usuarios de aplicaciones departamentales: actualmente sobre base de datos Informix aunque debe considerarse la posibilidad de migrar a entorno Oracle. 10. Usuarios de la aplicación de gestión de la farmacia hospitalaria (Athos de APD): 11. Usuarios de la aplicación de gestión de dietas (cocina hospitalaria) (Arinka de Arinka Systems): 12. Usuarios de la aplicación de gestión de la historia clínica electrónica en el ámbito de la atención primaria (OMI de Stacks) 13. Usuarios del sistema de gestión para el tratamiento con anticoagulantes orales (TAO de Roche) 14. Usuarios de la aplicación de Anatomía patológica (PATWIN de Novasoft) A modo de resumen, se adjunta la tabla siguiente: Repositorio Tipo Proveedor Número de usuarios (estimación) Directorio Activo Directorio Microsoft BBDD Personal Base de datos Oracle Laboratorio Base de datos InterSystems 200 Correo electrónico Directorio Microsoft (Exchange) HCE (Selene especializada) Directorio IBM-Siemens HCE (Selene ATP) Directorio 500 HCE (RIS-PACS) Directorio 150 Aplicaciones departamentales Base de datos Informix (IBM) Farmacia Base de datos Oracle 100 ERP Base de datos Informix Cocina Base de datos Oracle 400 TAO Base de datos Oracle 200 Página 10 de 61

11 Anatomía Patológica Base de datos Oracle 60 Tabla 1.1 Repositorios de usuarios del SERIS A continuación se describen brevemente los distintos tipos de repositorios del SERIS: a) Repositorio de RRHH El Sistema de Gestión de Personal (SIGPYN) mantiene la base de datos de usuarios en la que aparecen todos los empleados de SERIS, hagan uso o no de alguno de los sistemas de información. Esta aplicación utiliza una base de datos Oracle 10g para esta tabla de usuarios y debe ser considerada como una de las fuentes principales de información y como propietaria de la mayor parte de los datos de cada usuario. Según el procedimiento estándar, un empleado causará alta en la organización cuando sus datos aparezcan en este repositorio. Esta situación de alta o cualquier cambio sobre la misma (traslado, cambio de puesto, ) deberá desencadenar varios procedimientos de alta en diversas aplicaciones. Sin embargo, como se describirá más adelante, existen excepciones a este mecanismo de alta en la empresa. Estas excepciones deben ser tenidas en cuenta a la hora de enumerar y automatizar los procedimientos de aprovisionamiento de usuarios. b) Microsoft Active Directory Este directorio actúa como directorio corporativo de la compañía, siendo la base de usuarios principal para los sistemas de información. Mantiene un número de usuarios variable entre y 4.000, y sirve como repositorio de usuarios para múltiples aplicaciones, como se verá más adelante. El aprovisionamiento en este directorio partirá, principalmente, de las altas en la base de datos de recursos humanos, aunque está sujeto también a los procedimientos excepcionales ya mencionados. El D.A. es un repositorio de usuarios que no sólo se utiliza como mecanismo de autenticación en el dominio de Microsoft corporativo, sino que además es un elemento básico de autenticación para otras aplicaciones o servicios como: La plataforma de correo electrónico (Exchange) La solución de Control de acceso a le red (NAC) La aplicación de Gestión de incidencias del Departamento de Informática (DNA Helpdesk) La aplicación ERP Los servicios basados en la plataforma Sharepoint (MS) En general, las cuentas de usuario de dominio cumplen con una política de seguridad establecida en cuanto a la longitud, complejidad, caducidad y reutilización cuyo objetivo es intentar garantizar la seguridad. Además las cuentas de usuario son nominales, y está prohibido el uso de usuarios genéricos, salvo que circunstancias de causa mayor obliguen a lo contrario. Página 11 de 61

12 Estos casos, funcionalmente justificados, están acotados e identificados y el objetivo es ir haciéndolos desaparecer progresivamente por lo que se valorará cualquier acción encaminada a conseguir este fin. c) Directorios LDAP Como soporte a otras aplicaciones dentro de SERIS se encuentran desplegados varios directorios, todos ellos con interfaz LDAP. Cada uno de ellos albergará un número variable de usuarios, dependiendo del propósito particular de cada directorio. Los procedimientos de aprovisionamiento de usuarios para estos repositorios deben ser recopilados y documentadas convenientemente como parte de este proyecto. Entre todos ellos, probablemente el más importante es el LDAP de usuarios de la aplicación de Historia Clínica Electrónica o HCE (SELENE de Siemens). d) Sistemas Unix/Linux/Windows Algunas aplicaciones utilizan como repositorio de usuarios la tabla de usuarios del sistema en el que se hospedan. Adicionalmente, los administradores, operadores y responsables de cada aplicación deben acceder a estos sistemas para su quehacer diario, lo que convierte a los sistemas en si mismos en aplicaciones que deben ser gestionadas por el sistema de gestión de identidades. Los sistemas referidos en este punto se circunscriben a sistemas operativos UNIX/Linux y Windows. Los procedimientos de aprovisionamiento de usuarios para estos repositorios deben ser recopilados y documentadas convenientemente como parte de este proyecto. e) Bases de datos de usuarios Un número importante de aplicaciones corporativas, utilizan además de sus correspondientes bases de datos, una serie de repositorios de usuarios almacenados también en tablas de las bases de datos. Una parte muy importante de estas BBDD son ORACLE, aunque también existen repositorios en bases de datos Informix o MySQL. Entre las aplicaciones que utilizan este tipo de repositorio se encuentran aquellas que trabajan con el concepto de rol o perfil, es decir, que no se limitan a controlar el acceso a la aplicación sino que gestionan ese acceso en base al rol que ese usuario desempeña. Como referencia podemos citar entre este tipo de aplicaciones, aunque no es una lista completa, las siguientes: HCE (SELENE) SIGPYN ERP (AXIONAL) RIS/PACS TAONET Página 12 de 61

13 Todas ellas utilizan tablas de bases de datos ORACLE para establecer los roles de los diferentes usuarios, excepto la base de datos del ERP (Axional de Deister) que utiliza Informix. f) Repositorios propietarios Otras aplicaciones departamentales o de ámbito restringido tienen repositorios particulares que deberán ser analizados e integrados en el sistema de gestión de usuarios. Estas aplicaciones, habitualmente con un número reducido de usuarios, son desarrollos a medida o aplicaciones de ámbito muy particular que no se integran en repositorios de usuarios comunes, como un LDAP o Active Directory SERVICIOS Y RECURSOS ASOCIADOS A LOS REPOSITORIOS Los repositorios descritos en el punto anterior dan servicio a multitud de aplicaciones, algunas de ellas con particularidades en cuanto a la operativa diaria o en cuanto al aprovisionamiento de usuarios. A continuación se identifican las principales aplicaciones: a) Sistemas de Gestión de Personal (SIGPYN) Tal y como se ha descrito anteriormente, el Sistema de Gestión del Personal es la fuente primordial de información acerca de los usuarios, excepto quizás, por los procedimientos extraordinarios que deben ser recopilados, analizados, documentados e implementados como parte de este proyecto. Además contiene la información básica de los propios perfiles de usuarios de la aplicación. Dado el importante volumen de usuarios que deben acceder a la información del sistema y la variedad de autorizaciones que estos tienen, es crítico mantener este repositorio perfectamente actualizado. b) Dominio Windows Todos los PCs del SERIS están integrados en el dominio Windows. Los usuarios hacen logon en el dominio para acceder a las aplicaciones. Es, por tanto, fundamental que la información del Active Directory esté actualizada pues, como se ha mencionado, es la fuente principal de información para los sistemas de información. c) Correo electrónico Página 13 de 61

14 Para el ámbito de este proyecto se considerará desplegada una solución de correo Exchange, integrada con el AD. No todos los empleados de SERIS tienen una cuenta de correo, por lo que su alta en la base de datos de recursos humanos podrá o no desencadenar el proceso de provisión en esta plataforma. d) Selene (Historia Clínica) Aplicación fundamental en la operativa diaria del SERIS. Esta aplicación es utilizada desde los puestos de trabajo repartidos por todos los centros, en muchos casos de uso compartido. Una problemática especial a efectos de implantar correctamente la solución de single sign-on, es la que presentan los equipos compartidos. Hay que tener en cuenta que en estos equipos es habitual que el inicio de sesión en el dominio Windows se realice típicamente una vez al día, por el primer empleado que accede al puesto. Sin embargo, el acceso a las diversas aplicaciones como la Historia Clínica Electrónica, el correo electrónico, se lleva a cabo en numerosas ocasiones y por usuarios diferentes, lo que significa que en estos equipos la identidad del usuario no podrá garantizar de forma automática el acceso a las aplicaciones, sino que requerirá una autenticación adicional a la realizada en el Directorio Activo. e) Network Access Control (NAC) El sistema de control de acceso a las red, en adelante NAC, es un sistema de seguridad que autoriza o deniega el acceso a la red en base a determinada información que se recaba del usuario, y del equipo desde el que se conecta. Entre otros parámetros se comprueba: 1. Que el usuario pertenece a la organización, o trabaja para ella, es decir que dispone de usuario de dominio válido. 2. Que el equipo desde el que accede es un equipo propiedad del Sistema Público de Salud de La Rioja y cumple con los requisitos de seguridad establecidos. En base al resultado de este análisis, a la sesión del usuario se le asigna un rol, que le permitirá el acceso a determinadas aplicaciones, mientras que se le denegará el acceso a otras, bien de forma temporal hasta que se subsane la o las deficiencias de seguridad identificadas. A petición del licitador se facilitará un mayor detalle de la solución técnica implantada. Se pondrá a disposición del adjudicatario la información relativa a los perfiles y niveles de acceso establecidos en la solución NAC implantada. f) Infraestructura PKI Página 14 de 61

15 El SERIS ha desplegado una infraestructura de PKI para dotar, a medio plazo, a los empleados de un certificado digital. Los certificados de empleado se almacenarán en una tarjeta criptográfica, la tarjeta de identificación del empleado, que le permitirá tanto el acceso a dependencias del SERIS como a los sistemas de información. Esta autoridad de certificación local, basada en productos de Microsoft, está completamente integrada con el Directorio Activo SISTEMAS DE AUTENTICACIÓN En la actualidad el proceso de autenticación en todos los sistemas se basa en el uso de nombre de usuario y contraseña, excepto en el servidor de acceso remoto, en el que además debe usarse un sistema de autenticación basado en tokens de un solo uso. Excepto para unos pocos sistemas ya mencionados, la autenticación se realiza en base al usuario asignado en cada sistema, lo que ocasiona numerosos problemas por no haber una única política de renovación de contraseñas, y porque a menudo el usuario confunde las credenciales de acceso a los diferentes sistemas Para mejorar esta situación, es intención del Servicio Riojano de Salud implantar un mecanismo de autenticación única, que permita, de forma transparente al usuario, la autenticación en todos aquellos sistemas en los que dispone de credenciales. Asimismo este sistemas deberá permitir la renovación de las credenciales del usuario en todos los sistemas de forma simultánea y utilizando contraseñas de gran fortaleza. Por otro lado la solución deberá garantizar la interoperabilidad con sistemas de autenticación fuerte basado en el uso de certificados digitales. A tal efecto, la organización ya dispone de una Autoridad de certificación local basada en Microsoft y de un conjunto de tarjetas inteligentes capaces de almacenar varios certificados de usuario REQUISITOS TÉCNICOS PARTICULARES En este apartado se detallan los requisitos mínimos obligatorios de las actuaciones objeto del presente procedimiento de adjudicación, las cuales se detallan por componentes. Al presentar la oferta, el licitador deberá ajustarse a la terminología utilizada en este apartado. Las propuestas que ofrezcan características inferiores a las requeridas no serán tomadas en consideración en el presente procedimiento de adjudicación. El licitador puede ofertar prestaciones superiores a las solicitadas. Los requisitos detallados en este apartado no pretenden ser una relación exhaustiva de las características técnicas de las actuaciones demandadas en el presente pliego, éste sólo recoge las características relevantes de las actuaciones objeto del Concurso. Las ofertas de los licitadores deberán proporcionar la especificación técnica completa de dichas actuaciones. Página 15 de 61

16 Con el objeto de implantar sistema de gestión de identidades y una solución de autenticación única en el Servicio Riojano de Salud (objeto descrito detalladamente en el apartado 1.1 del presente pliego) se descompondrá el proyecto en, al menos, las ocho tareas o actuaciones definidas en este apartado: Servicio de definición y planificación del proyecto: análisis de la situación actual del SERIS en relación con la implantación del nuevo sistema de gestión de identidades y definición de los requisitos de planificación y gestión del proyecto. Suministro de las herramientas de gestión de identidades y single sign-on: Suministro de las licencias necesarias para la implantación de un sistema de gestión de identidades y una solución de single sign-on que permitan la integración con todos los sistemas del SERIS descritos en el presente pliego y proporcionen servicio a usuarios. Servicio de análisis y diseño de la solución: análisis y diseño del sistema de gestión de identidades y la solución de single sign-on de manera que satisfagan los objetivos y funcionalidades descritas en el apartado 1.1 y garanticen el cumplimiento de los requisitos funcionales y técnicos solicitados en el presente apartado. Servicio de implantación del sistema de gestión de identidades: desarrollo de la solución propuesta configurando y adaptando la infraestructura tecnológica existente en el SERIS en función a los requisitos definidos en la fase de Diseño. Ejecución del plan de despliegue diseñado para la implantación de la solución de gestión de identidades y la gestión del cambio para la aceptación por parte de los usuarios finales de la nueva solución. Servicio de implantación de la solución de single sign-on (SSO): desarrollo de la solución propuesta configurando y adaptando la infraestructura tecnológica existente en el SERIS en función a los requisitos definidos en la fase de Diseño. Ejecución del plan de despliegue diseñado para la implantación de la solución de SSO y la gestión del cambio para la aceptación por parte de los usuarios finales de la nueva solución. Servicio de implantación del piloto de autenticación: realización de una prueba piloto de autenticación utilizando mecanismos criptográficos (tarjetas inteligentes y certificados digitales), con al menos 100 usuarios, y soportada por la solución de SSO implantada en la fase anterior. Servicio de soporte y mantenimiento evolutivo: provisión de los distintos servicios de soporte de la solución durante los doce meses siguientes a la puesta en marcha del sistema y mantenimiento evolutivo de la solución en los doce meses siguientes a la adjudicación del contrato. Servicios profesionales especializados en seguridad de la información: jornada de servicios de consultoría en seguridad de la información. A continuación de describen cada una de estas actuaciones, identificándose: Página 16 de 61

17 Los requisitos técnicos, funcionales y de integración de la herramienta de gestión de identidades y single sign-on. La propuesta de requisitos adicionales será valorada positivamente siempre que el licitador demuestre de manera razonada su utilidad para el SERIS. Las actividades mínimas que componen cada una de las fases, los entregables que como mínimo se deberán aportar en cada una de ellas y la composición mínima del equipo de trabajo asociado a cada fase. La propuesta de nuevas tareas o entregables para cada una de estas fases, así como la incorporación de nuevos perfiles al equipo de trabajo, será valorado positivamente siempre que el licitador demuestre de manera razonada el impacto positivo de estas propuestas en la ejecución y resultados esperados de cada fase y del proyecto en general COMPONENTE 1: HERRAMIENTA DE GESTIÓN DE IDENTIDADES En la siguiente tabla se detallan los requerimientos obligatorios de la herramienta de gestión de identidades. El licitador deberá presentar una descripción detallada de las funcionalidades de dicha herramienta y justificar el cumplimiento de cada uno de los requisitos que se detallan a continuación. Se valorará la propuesta por parte del licitador de funcionalidades adicionales siempre que se consideren relevantes para el objeto de este proyecto. HERRAMIENTA DE GESTIÓN DE IDENTIDADES Requisitos de licenciamiento A través de este componente, el adjudicatario deberá suministrar las licencias necesarias para la implantación de un sistema de gestión de identidades que permita la integración con todos los sistemas del SERIS descritos en el presente pliego y proporcione servicio a usuarios. Con objeto de conocer el esquema de licenciamiento de la herramienta de gestión de identidades ofertada por el adjudicatario, éste deberá describir dicho esquema informando, como mínimo, si el licenciamiento es por usuarios, número de sistemas a integrar, tipo de conectores a utilizar o cualquier otro tipo de criterio de licenciamiento. Se deberán indicar también los distintos tipos de licencias que existen para la herramienta de gestión de identidades ofertada, indicando también las características de escalado de estas licencias y los requisitos HW y SW para la instalación de las mismas. Debido a la continua evolución y crecimiento del entorno tecnológico a administrar, se valorará positivamente que, para el entorno descrito, el licenciamiento dependa únicamente del número de usuarios y de las capacidades de la herramienta (módulos de integración) finalmente contratada, no valorándose positivamente que se cargue la licencia por número de sistemas a gestionar o por futuras evoluciones de los sistemas Página 17 de 61

18 HERRAMIENTA DE GESTIÓN DE IDENTIDADES operativos base para los que se licencie el software. No se pretende aquí que el licitador informe del listado de precios para cada licencia, únicamente conocer el esquema de licenciamiento aplicable. Sólo en la oferta económica que se presente (Sobre 4) deberá indicarse el precio de este componente. Requisitos funcionales Funcionalidades del sistema de gestión de identidades: El sistema debe poder realizar un proceso de reconciliación a través del cual: - Se descubran y recolecten todas las cuentas existentes en los sistemas integrados. - Se asigne a cada cuenta a la identidad digital correspondiente. - Se detecten cuentas huérfanas en los sistemas integrados. - Se puedan definir políticas de seguridad para evitar que una identidad digital tenga más de una cuenta en un servicio o aplicación. De este modo, se detectarán y evitarán las cuentas duplicadas. - Se detecten aquellas cuentas que no cumplan con las políticas de seguridad definidas porque han sido creadas o modificadas fuera de la herramienta de gestión de identidades. - Se detecten cuentas fuera de la política de seguridad (huérfanas, duplicadas o inactivas) y se puedan establecer las acciones correctoras pertinentes (borrar la cuenta, modificarla o simplemente informar de su existencia) El sistema debe permitir la simulación de políticas de aprovisionamiento antes de ser desplegadas en el entorno productivo. Soportará la definición de flujos de aprobación en el proceso de aprovisionamiento de usuarios. Cada sistema integrado en el Gestor de Identidades podrá disponer de un flujo de aprobación específico. Debe contemplar la delegación en los flujos de aprobación así como un sistema de autoservicio de contraseñas delegables en determinadas personas o roles de la organización para atender las solicitudes de máxima urgencia, tanto para la provisión de cuentas de acceso como de reseteo de contraseñas. Proporcionará un interfaz web para la definición de dichos flujos de aprobación. Se podrán asociar políticas de contraseñas específicas para cada uno de los sistemas integrados. El sistema debe permitir revalidar global o individualmente los permisos y roles concedidos a los usuarios. Página 18 de 61

19 HERRAMIENTA DE GESTIÓN DE IDENTIDADES El sistema podrá detectar e identificar, notificar o corregir, los cambios en el perfil de un usuario que hayan producido mediante las herramientas nativas de administración y que sean inconsistentes con lo establecido en el gestor de identidades. El sistema debe permitir asimismo, el establecimiento de políticas de separación de deberes y la monitorización del cumplimiento de las mismas. La solución debe permitir la definición de jerarquías de roles. La solución debe permitir la definición de roles dinámicos, que se asignen al usuario de forma automática en función de sus atributos. La solución debe permitir la definición de distintos perfiles de administración y limitar el acceso a las funciones de administración en función de dichos perfiles. Incluirá informes de auditoría y gestión predefinidos. La obtención de informes de auditoria no debe tener impacto alguno en el rendimiento de los sistemas del entorno productivo. Incluirá una herramienta que permita la modificación y creación de nuevos informes que pueda requerir Rioja Salud dentro del proyecto de implantación. Debe guardar información de los cambios producidos en las identidades de todos los sistemas integrados en el Gestor de Identidades. Esta información podrá ser explotada a través de los informes incluidos en el producto. Debe incluir informes sobre el proceso de certificación de usuarios, proceso a través del cual se certifica que cada usuario sigue necesitando los accesos con los que cuenta, para los responsables organizativos. La solución debe permitir la definición de interfaces diferenciadas en función del perfil de usuario que la utiliza, sin desarrollo adicional. La solución debe disponer de un interfaz de autoservicio desde la cual los usuarios puedan gestionar su identidad (modificar datos de su perfil como el teléfono, dirección, etc.), solicitar el cambio de contraseña en las cuentas asignadas o gestionar sus tareas pendientes en caso de los usuarios que sean aprobadores de flujos. Esta interfaz de autoservicio debe permitir también que se publiquen las aplicaciones y servicios gestionados por la herramienta de gestión de identidades (directorio activo, correo, VPNs, ) para que los usuarios, si fuese necesario, puedan solicitar el acceso a dichos servicios. La concesión de dichos accesos debe poder ser automática y gobernada por un flujo de aprobación definido a tal efecto. La solución proporcionará un interfaz web para que los jefes de servicio, supervisoras, personal de RRHH o personas que se determinen puedan entregar las contraseñas de todas las aplicaciones a los usuarios impresas en papel en cualquier momento. Requisitos técnicos Página 19 de 61

20 HERRAMIENTA DE GESTIÓN DE IDENTIDADES Infraestructura del sistema de gestión de identidades: La solución debe poder ejecutarse sobre servidores de aplicaciones J2EE. Debido a la actual infraestructura del SERIS, si la solución requiere el uso de una base de datos debería ser capaz de trabajar con bases de datos Oracle. Debe soportar arquitecturas de alta disponibilidad en todos los niveles. La solución se basará en conectores no intrusivos. Solamente se utilizarán agentes en aquellos casos que el sistema final no permita ser gestionado a través de un API remoto y sea necesario instalar un adaptador en el sistema para gestionarlo. No debe usarse ningún lenguaje propietario para la extensión/modificación de la funcionalidad de base del producto. Se valorará que sea Java el lenguaje utilizado para tales cambios. Deberá exponer las funciones de aprovisionamiento básico vía servicios web y soportar el estándar SPML (Service Provisioning Markup Language). Requisitos de integración El Gestor de Identidades deberá integrarse, desde el punto de vista de gestión de usuarios, con al menos los siguientes sistemas: 1. Base de datos de personal y nóminas: actualmente sobre base de datos Oracle. 2. Directorio de Microsoft: Directorio Activo. 3. Directorio LDAP de la aplicación de historia clínica electrónica (Selene): directorio LDAP de IBM y base de datos ORACLE. 4. Usuarios del sistema de almacenamiento de imagen radiológica (RIS/PACS): Base de datos ORACLE. 5. Correo electrónico: plataforma Exchange de Microsoft. 6. Usuarios del sistema de gestión de personal y nóminas (SIGPYN): Base de datos ORACLE. 7. Usuarios del sistema ERP: Base de datos Informix. 8. Usuarios de los sistemas de información de Laboratorio: actualmente sobre base de datos Caché de InterSystems. 9. Usuarios de aplicaciones departamentales: actualmente sobre base de datos Informix aunque debe considerarse la posibilidad de migrar a entorno Oracle. 10. Usuarios de la aplicación de gestión de la farmacia hospitalaria (Athos de APD). 11. Usuarios de la aplicación de gestión de dietas (cocina hospitalaria) (Arinka de Arinka Systems). Página 20 de 61

21 HERRAMIENTA DE GESTIÓN DE IDENTIDADES 12. Usuarios de la aplicación de gestión de la historia clínica electrónica en el ámbito de la atención primaria (OMI de Stacks). 13. Usuarios del sistema de gestión para el tratamiento con anticoagulantes orales (TAO de Roche). 14. Usuarios de la aplicación de Anatomía patológica (PATWIN de Novasoft). Siempre que sea posible, se utilizarán los conectores preconstruidos disponibles en el producto. Para aquellos sistemas para los que no existan conectores preconstruidos se utilizará el SDK disponible en la herramienta para el desarrollo de nuevos conectores. La solución de Gestión de Identidades deberá integrarse con la solución de Single Signon COMPONENTE 2: HERRAMIENTA DE SINGLE SIGN-ON En la siguiente tabla se detallan los requerimientos obligatorios de la herramienta de single sign-on. El licitador deberá presentar una descripción detallada de las funcionalidades de dicha herramienta y justificar el cumplimiento de cada uno de los requisitos que se detallan a continuación. Se valorará la propuesta por parte del licitador de funcionalidades adicionales siempre que se consideren relevantes para el objeto de este proyecto. HERRAMIENTA DE SINGLE SIGN-ON Requisitos de licenciamiento A través de este componente, el adjudicatario deberá suministrar las licencias necesarias para la implantación de una solución de single sign-on que permita la integración con todos los sistemas del SERIS descritos en el presente pliego y proporcione servicio a usuarios. Con objeto de conocer el esquema de licenciamiento de la solución de single sign-on ofertada por el adjudicatario, éste deberá describir dicho esquema informando, como mínimo, si el licenciamiento es por usuarios, número de sistemas a integrar, tipo de conectores a utilizar o cualquier otro tipo de criterio de licenciamiento. Se deberán indicar también los distintos tipos de licencias que existen para la herramienta de single sign-on ofertada, indicando también las características de escalado de estas licencias y los requisitos HW y SW para la instalación de las mismas. Debido a la continua evolución y crecimiento del entorno tecnológico a administrar, se Página 21 de 61

22 HERRAMIENTA DE SINGLE SIGN-ON valorará positivamente que, para el entorno descrito, el licenciamiento dependa únicamente del número de usuarios y de las capacidades de la herramienta (módulos de integración) finalmente contratada, no valorándose positivamente que se cargue la licencia por número de sistemas a gestionar o por futuras evoluciones de los sistemas operativos base para los que se licencie el software. No se pretende aquí que el licitador informe del listado de precios para cada licencia, únicamente conocer el esquema de licenciamiento aplicable. Sólo en la oferta económica que se presente (Sobre 4) deberá indicarse el precio de este componente. Requisitos funcionales Funcionalidades de la solución de single sing-on: Proporcionará mecanismos de single sign-on a aplicaciones de los siguientes tipos: web, cliente/servidor (Windows), accesibles mediante emulador de terminal (3270, 5250, telnet,...). Con el fin de facilitar la adaptación de la herramienta a los sistemas y aplicaciones del SERIS, se valorará que ésta no se base en lenguaje de scripting propietario. La solución debe proporcionar mecanismos amigables (como asistentes) para la generación de los diálogos de logon y cambio de contraseña de cada una de las aplicaciones a integrar en el sistema. En el contexto de la simplificación del acceso a las aplicaciones, se valorará la posibilidad de proporcionar a la aplicación otros datos además de las credenciales del usuario y de automatizar otras acciones además del proceso de logon. Debe incluir un componente que permita restaurar la contraseña de Windows a los usuarios finales desde la misma ventana de inicio de sesión y en base a la contestación de diferentes preguntas que el usuario haya rellenado la primera vez. En entornos de trabajo donde los equipos se utilicen de manera compartida entre varios usuarios deberá permitir que utilizando un usuario genérico para iniciar sesión en el equipo, diferentes usuarios puedan identificarse de manera univoca con acceso solamente a sus propias credenciales realizando todas las operaciones de single signon requeridas. En dichos entornos de trabajo deberá permitirse el cambio de usuario sin necesidad de cerrar la sesión del usuario genérico. En dichos entornos de trabajo el sistema debe disponer de mecanismos para cerrar las aplicaciones abiertas en el entorno cuando se produzca un cambio de usuario. En los mismos entornos anteriores, la solución debe permitir también un modo de operación multi-sesión con escritorios diferenciados para cada usuario y deberá permitirse el cambio de usuario sin necesidad de cerrar las sesiones existentes. Deberá poder administrarse remota y centralizadamente el comportamiento de la Página 22 de 61

23 HERRAMIENTA DE SINGLE SIGN-ON solución tanto en cuanto a la gestión de las credenciales y los contenedores de las mismas, como la caducidad, revocación y cacheo de credenciales. Debe permitir la posibilidad de que los usuarios puedan usar el componente de Single Sign-on en forma desconectada con el repositorio central (almacenando de forma segura en local los identificadores de usuarios y contraseñas de cada una de las aplicaciones integradas). Relacionado con el punto anterior, debe existir la posibilidad de habilitar/deshabilitar la caché de credenciales para el caso de clientes que puedan operar desconectados de la red. El sistema podrá ser configurado para que los usuarios nunca conozcan sus credenciales en todas las aplicaciones o en algunas de ellas. El sistema debe permitir la detección de las pantallas de cambio de contraseña de cada una de las aplicaciones integradas. El sistema debe ser capaz de auto-generar una nueva contraseña en caso de necesidad de cambio por parte de la aplicación integrada. En relación con el punto anterior, dicha auto-generación deberá funcionar en base a una política de contraseñas establecida desde la propia herramienta. Dichas políticas de contraseñas habrán de contener al menos los siguientes controles: número mínimo/máximo de caracteres, necesidad de caracteres especiales, no uso de contraseñas antiguas, no uso de palabras prohibidas, etc. El sistema debe proporcionar información de auditoria de los accesos del usuario a las aplicaciones sin impactar en las mismas. Incluirá informes de auditoría y gestión predefinidos. El usuario final podrá disponer de la funcionalidad de SSO en cualquier estación de trabajo que tenga instalado el software de SSO, aunque no sea la de uso habitual y sea la primera vez que utiliza dicha estación. En línea con el requerimiento anterior se valorará si la solución presentada permite almacenar de forma segura las credenciales de más de un usuario en la misma estación de trabajo. Igualmente, se valorará si el sistema permite establecer políticas de inactividad, para borrar de la estación de trabajo las credenciales de los usuarios que no hayan usado dicha estación de trabajo en un periodo determinado. Requisitos técnicos Infraestructura de la solución de Single sign-on: Deberá disponer de mecanismos que permitan aprovisionar contraseñas directamente en el sistema sin que los usuarios finales deban introducirlas, sin menoscabo que pueda habilitarse el proceso de solicitud de contraseñas a los usuarios finales para que ellos Página 23 de 61

24 HERRAMIENTA DE SINGLE SIGN-ON mismos las introduzcan. La solución debe ser no intrusiva, en el sentido en que no requerirá ninguna modificación a las aplicaciones existentes ni en el esquema actual del Active Directory. Será una solución basada en la instalación de un agente en cada uno de los puestos de los usuarios finales. Dicho agente será el encargado de proporcionar el identificador de usuario y contraseña a las diferentes aplicaciones de forma transparente al usuario final. Deberá poder utilizar como repositorio de autenticación Active Directory de Microsoft o un directorio LDAP v3.0 o una base de datos Oracle. Deberá poder integrarse con la autenticación de Windows utilizando el login de Windows para el acceso seguro a los identificadores de usuario y contraseñas de todas las aplicaciones integradas. Deberá poder integrarse con mecanismos de autenticación basados en certificados digitales X509.v3 almacenados en tarjeta criptográfica y mecanismos biométricos. Las instalaciones iniciales y los cambios generados a través de la administración del producto deberán poder ser distribuidos a través de ficheros con formato MSI (Microsoft Installer) COMPONENTE 3: FASE DE DEFINICIÓN Y PLANIFICACIÓN DEL PROYECTO En la siguiente tabla se detallan los requerimientos obligatorios de la fase de Definición y Planificación del proyecto. El licitador deberá presentar una descripción detallada de esta fase y las tareas, los entregables y el equipo de trabajo asociados a la misma. Se valorará, no obstante, la propuesta por parte del licitador de cualquier tarea, entregable o recurso adicional que se consideren relevantes para el objeto de esta fase. FASE 1: DEFINICIÓN Y PLANIFICACIÓN DEL PROYECTO Duración 5 jornadas 1 Descripción 1 Se entenderá por JORNADA un día de trabajo de 8 horas de duración Página 24 de 61

25 FASE 1: DEFINICIÓN Y PLANIFICACIÓN DEL PROYECTO El adjudicatario tomando como punto de partida la situación de actual descrita en el apartado 1.1 del presente pliego, y en colaboración con el Comité Técnico del proyecto, deberá realizar un análisis de alto nivel de los sistemas de información del SERIS, en relación con el actual sistema de control de acceso y gestión de identidades en Rioja Salud, que le permita: - Definir y planificar las fases y subfases que compondrán el proyecto de implantación y realizar una estimación de la duración y los profesionales necesarios para la realización de estos trabajos. - Definir los procesos transversales asociados únicamente a la gestión del proyecto. Tareas 1. Definición de los requisitos de planificación y gestión del proyecto El adjudicatario deberá realizar una primera valoración de los recursos necesarios para la realización del proyecto y elaborar un plan de proyecto que refleje las fases y subfases que lo componen y la duración estimada de las mismas. Plan de proyecto que, una vez aprobado por el Comité Técnico del proyecto (ver apartado del presente pliego), constituirá el baseline del mismo. Se deberán definir también en este punto los procesos transversales recomendados en la gestión de proyectos, procesos como el plan de gestión de las comunicaciones o el plan gestión de riesgos. En este último se deberán identificar y analizar posibles riesgos y factores críticos durante la ejecución del proyecto de implantación y elaborar un plan de acción que gestione estos riesgos y factores críticos. 2. Definición del plan de gestión del cambios Dentro de esta primera fase, el adjudicatario identificará los procesos y procedimientos de operación del SERIS que deberán ser revisados y rediseñados como consecuencia de la implantación de esta nueva herramienta de gestión de identidades y single sign-on (planes de pruebas, documentos de configuración, administración de sistemas, procedimientos de control de cambios, de monitorización, planes de recuperación, etc.) y se definirá las estrategias del proyecto en relación con las pruebas, formación y soporte. Entregables PLAN DE PROYECTO El adjudicatario deberá elaborar un Plan de Proyecto en que se analicen, diseñen y planifiquen cada una de las fases que compondrán el proyecto (en formato diagrama Página 25 de 61

26 FASE 1: DEFINICIÓN Y PLANIFICACIÓN DEL PROYECTO de Gantt y con descripción pormenorizada de las tareas a desarrollar), así como realizar una primera valoración de los recursos necesarios para la ejecución de cada una de estas fases. Este Plan de Proyecto, una vez aprobado por el Comité Técnico del proyecto (ver apartado del presente pliego), constituirá el baseline del mismo. PLAN DE GESTIÓN DE LAS COMUNICACIONES Diseño del plan de comunicación que estará destinado a, entre otros aspectos, planificar y asegurar el reporte de los avances del proyecto al Comité Técnico, facilitar el escalado de las incidencias o problemas que puedan afectar a la planificación del proyecto, coordinar las comunicaciones entre los técnicos del adjudicatario y los técnicos del SERIS, etcétera. PLAN DE ANÁLISIS Y GESTIÓN DE RIESGOS El adjudicatario deberá desarrollar un informe en el que identifiquen y analicen los riesgos y factores críticos que puedan surgir durante la ejecución del proyecto de implantación, así como la probabilidad de que ocurran y el impacto derivado de su materialización. Deberá elaborar también el plan de acción necesario para la gestión de estos riesgos y factores críticos. PLAN DE CAPACITACIÓN Y GESTIÓN DEL CAMBIO Informe en el se defina la estrategia de gestión del cambio del proyecto que facilite la transición de los usuarios, tanto usuarios finales como el personal técnico del SERIS, del antiguo sistema a la nueva solución de gestión de identidades. Para ello, el adjudicatario deberá incluir la lista de los procesos y procedimientos de operación del SERIS que deberán ser revisados y rediseñados como consecuencia de la implantación de esta nueva herramienta de gestión de identidades y single sign-on (planes de pruebas, documentos de configuración, administración de sistemas, procedimientos de control de cambios, de monitorización, planes de recuperación, etc.). Deberá definir también en este documento el procedimiento de pruebas, los planes de formación a los usuarios finales y personal de soporte, el procedimiento para impartir estas formaciones y difundir las guías de usuarios y el procedimiento de soporte a las nuevas soluciones implantadas. Equipo de trabajo Recursos profesionales que como mínimo formarán parte del equipo de trabajo en esta fase y el perfil técnico de cada uno de ellos: Página 26 de 61

27 FASE 1: DEFINICIÓN Y PLANIFICACIÓN DEL PROYECTO (1) un director de proyecto, (1 ) consultor de seguridad La descripción del perfil técnico de cada uno de estos recursos profesionales se define en el apartado del Pliego de Condiciones Particulares. El licitador deberá aportar, a efectos de la verificación de solvencia técnica y profesional, los Currícula Vitarum y certificaciones oficiales del personal propuesto para esta fase COMPONENTE 4: FASE DE ANÁLISIS Y DISEÑO DE LA SOLUCIÓN En la siguiente tabla se detallan los requerimientos obligatorios de la fase de Análisis y Diseño de la Solución. El licitador deberá presentar una descripción detallada de esta fase y las tareas, entregables y el equipo de trabajo asociados a la misma. Se valorará, no obstante, la propuesta por parte del licitador de cualquier tarea, entregable o recurso adicional que se consideren relevantes para el objeto de esta fase. FASE 2: ANÁLISIS Y DISEÑO DE LA SOLUCIÓN Duración 70 jornadas Descripción En esta segunda fase del proyecto, el adjudicatario realizará el diseño de la plataforma que soporte las nuevas soluciones de gestión de identidades y single sign-on identificando los distintos componentes que formarán parte de este nuevo sistema y los elementos de la infraestructura del SERIS con los que se deberán integrar. Todos los elementos de esta nueva plataforma de gestión de identidades y single signon serán diseñados en base a los objetivos definidos por el Comité Técnico del proyecto: escalabilidad, alta disponibilidad, niveles fijados de calidad de servicio, etcétera. Queda fuera del objeto del contrato el suministro de los servidores necesarios para la puesta en marcha de la solución, no así software adicional que el adjudicatario pudiera proponer o necesitar para el despliegue de la solución tecnológica elegida. Deberán también analizarse y definirse en esta fase las siguientes piezas clave de la futura plataforma: Modelo de fuentes de identidad y el repositorio de identidades. Modelo de aprovisionamiento de identidades, junto con el modelo de Página 27 de 61

28 FASE 2: ANÁLISIS Y DISEÑO DE LA SOLUCIÓN autenticación y autorización. Modelo de protección de identidades. Tareas 1. Diseño técnico de la solución Diseño hardware de la infraestructura que soportará la solución de gestión de identidades y single sign-on propuesta por el licitador. En esta arquitectura deberá aparecer también detallado cualquier otro elemento anejo necesario para el sistema, tales como electrónica de red, balanceadores, sistemas de almacenamiento, etc., aunque estos elementos HW se encuentren fuera del alcance de este pliego. De igual manera, deberán especificarse todos los elementos software necesarios para la implantación que no forman parte de la solución propuesta por el licitador, como servidores de aplicaciones, y que deban ser proporcionados por el SERIS, se deberá indicar el número de unidades y licencias necesarias. En la oferta presentada se deberá indicar y relacionar todos los componentes software de la solución aportada, solución software que debe soportar la totalidad de las aplicaciones y servicios descritos en este pliego, indicando el número de unidades y las licencias necesarias. 2. Diseño e implantación del directorio corporativo Realización del diseño del repositorio de identidades, así como el esquema de interconexión entre el repositorio de identidades y las aplicaciones. Homogenización, depuración y correlación de las diferentes cuentas de usuario que a día de hoy existen en los diferentes sistemas de información del SERIS. Identificación de procesos batch que puedan estar creando usuarios duplicados en los distintos repositorios y de procesos que puedan estar creando registros huérfanos. Análisis de la identidad corporativa actual y propuesta de normalización de las identidades para los usuarios del SERIS. 3. Diseño de la gestión de identidades y el aprovisionamiento de usuarios Revisión de los actuales aspectos organizativos, roles, mecanismos de provisión y circuitos de aprobación. Definición de los roles asociados a cada tipo de usuario del SERIS y de los procedimientos de creación, modificación, deshabilitación y borrado de estos roles. Definición de los protocolos y procedimientos de actuación para la gestión del ciclo de vida completo de un usuario, incluyendo cambios de rol o modificaciones de perfiles en las aplicaciones que trabajan con modelos de roles, y procedimientos operativos Página 28 de 61

29 FASE 2: ANÁLISIS Y DISEÑO DE LA SOLUCIÓN varios. Definición de los flujos o procesos de aprobación basados en identidades. Se tratará de diseñar cómo las aplicaciones a aprovisionar usarán el repositorio de identidades para determinar las autorizaciones asignadas a las identidades. Identificación de las aplicaciones a integrar y los conectores que será necesario desarrollar. Diseñar el esquema de migración de la información de identidades al nuevo repositorio. Definición de los requerimientos y procesos necesarios para proteger la infraestructura tecnológica que soporte el sistema de gestión de identidades. 4. Diseño de la solución de single sign-on (SSO) Diseño de la estrategia de SSO, componentes y relaciones entre ellos, procurando la fácil integración con las aplicaciones y servicios del SERIS Identificación y selección de los repositorios y aplicativos objeto del SSO. Análisis de repositorios actuales y su método de integración. Análisis de la integración con mecanismos de autenticación fuerte Definición de roles de acceso a las aplicaciones, en función del usuario y/o grupo de usuarios. Diseño de la política de contraseñas y análisis del cumplimiento de la normativa existente de seguridad en contraseñas. Diseño de los mecanismos de sincronización y recuperación que faciliten la labor del usuario en la gestión de estas contraseñas con el objetivo de minimizar las incidencias que esta problemática puede generar (olvido, pérdida, complejidad ) en la atención o soporte a usuarios finales. 5. Diseño del plan de despliegue El adjudicatario deberá definir y describir detalladamente las fases requeridas para la implantación de las herramientas de gestión de integridades y single sign-on y su integración con el piloto del SERIS de autenticación mediante tarjetas criptográficas. El plan de despliegue propuesto por el adjudicatario deberá ser aprobado por el Comité Técnico del proyecto antes de su puesta en marcha. 6. Diseño del plan de contingencia El adjudicatario deberá definir el plan de contingencia que contenga las medidas técnicas y organizativas necesarias para garantizar la continuidad en los servicios Página 29 de 61

30 FASE 2: ANÁLISIS Y DISEÑO DE LA SOLUCIÓN proporcionados por Rioja Salud ante cualquier fallo de los nuevos sistemas implantados de gestión identidades y single sign-on. 7. Construcción de procesos operacionales Se definirán los procesos y procedimientos requeridos para dar un soporte efectivo a esta nueva infraestructura y se rediseñaran los procedimientos del SERIS para ser adaptados a la implantación de estas nuevas herramienta de gestión de identidades y single sign-on (planes de pruebas, documentos de configuración, administración de sistemas, procedimientos de control de cambios, de monitorización, planes de recuperación, etc.) Entregables DISEÑO TÉCNICO DE LA SOLUCIÓN Informe con la definición y documentación de la arquitectura final de la solución acorde a la arquitectura actual de los sistemas de información del SERIS. Se deberán indicar el número de servidores, roles de los servidores, software necesario en cada servidor y sus licencias, soluciones de comunicaciones, seguridad, almacenamiento y recuperación, alta disponibilidad y contingencia necesarias para dar soporte a las aplicaciones y servicios ofrecidos por el SERIS. PLAN DE DESPLIEGUE Documentos donde se definan las fases requeridas para la implantación de las herramientas de gestión de integridades y single sign-on y su integración con el piloto del SERIS de autenticación mediante tarjetas criptográficas. Plan de implantación del sistema de gestión de identidades. Plan de implantación de la solución de single sign-on. Plan de integración con el sistema de autenticación mediante tarjetas criptográficas. El plan de despliegue propuesto por el adjudicatario deberá ser aprobado por el Comité Técnico del proyecto antes de su puesta en marcha. PLAN DE CONTINGENCIA El adjudicatario deberá definir un plan de contingencia en el que se prevea y analice el comportamiento del sistema ante posibles fallos de cada uno de los elementos que lo componen, aunque se encuentren suficientemente redundados, y se indique el efecto o el alcance que produce el fallo de cada uno de estos elementos y la solución de contingencia a aplicar en cada caso para que los usuarios puedan seguir trabajando. A Página 30 de 61

31 FASE 2: ANÁLISIS Y DISEÑO DE LA SOLUCIÓN este respecto deberán evaluarse e indicarse en este informe los tiempos necesarios para la reposición del servicio en condiciones de contingencia. PROCESOS OPERACIONALES Se deberán desarrollan en esta fase todos los procedimientos de operación y los manuales de usuario final con el objetivo de dar un soporte efectivo a esta nueva infraestructura y facilitar la transición de los usuarios a la misma. El adjudicatario deberá elaborar, como mínimo, la siguiente documentación: Procedimiento de aprovisionamiento de identidades Procedimiento de autenticación y autorización. Documento de adecuación del nuevo sistema a la legalidad y a los estándares vigentes en materia de seguridad. Manuales de instalación para el personal de soporte así como las fuentes, guías de parametrización, codificación de scripts, conectores y agentes. Manuales de usuario, según perfil. Plan de pruebas realizado y resultados de las mismas. Plan de formación a usuarios finales y personal de soporte. Manual de prescripciones técnicas exigibles a cualquier nueva aplicación que tenga que incorporar el Sistema Público de Salud de La Rioja, para garantizar su integración e interoperabilidad con el Sistema de Gestión de Identidades. Guía para la integración de nuevas aplicaciones en el sistema de gestión de identidades. Guía para la integración de nuevas aplicaciones en la solución de single signon. Procedimiento de operaciones y soporte donde se detallen los procedimientos para actualizar, mantener y resolver problemas del entorno una vez haya sido implementado. Procedimiento de monitorización donde se describan los procedimientos de instalación y configuración de la funcionalidad de monitorización y la definición de la configuración de alertas y opciones de monitorización de la solución. Equipo de trabajo Recursos profesionales que como mínimo formarán parte del equipo de trabajo en esta fase y el perfil técnico de cada uno de ellos: Página 31 de 61

32 FASE 2: ANÁLISIS Y DISEÑO DE LA SOLUCIÓN (1) un director de proyecto, (2 ) dos consultores de seguridad La descripción del perfil técnico de cada uno de estos recursos profesionales se define en el apartado del Pliego de Condiciones Particulares. El licitador deberá aportar, a efectos de la verificación de solvencia técnica y profesional, los Currícula Vitarum y certificaciones oficiales del personal propuesto para esta fase COMPONENTE 5: FASE DE IMPLANTACIÓN DE LA HERRAMIENTA DE GESTIÓN DE IDENTIDADES En la siguiente tabla se detallan los requerimientos obligatorios de la fase de Implantación de la herramienta de gestión de identidades. El licitador deberá presentar una descripción detallada de esta fase y las tareas, entregables y el equipo de trabajo asociados a la misma. Se valorará, no obstante, la propuesta por parte del licitador de cualquier tarea, entregable o recurso adicional que se consideren relevantes para el objeto de esta fase. FASE 3: IMPLANTACIÓN DE LA HERRAMIENTA DE GESTIÓN DE IDENTIDADES Duración 60 jornadas Descripción Durante esta fase, el adjudicatario implantará la solución de gestión de identidades propuesta configurando y adaptando la infraestructura tecnológica existente en el SERIS en función a lo definido en la anterior fase de Análisis y diseño de la solución y ejecutando el plan de despliegue definido y aprobado previamente en dicha fase. Tras la implantación de esta nueva infraestructura, todos los componentes deberán ser probados de forma aislada y, una vez validadas las pruebas unitarias, se procederá a realizar las pruebas de integración, necesarias para asegurar el perfecto funcionamiento global del sistema implantado, de los procedimientos operacionales desarrollados, así como del plan de formación fijado. Tareas 1. Implementación del entorno de desarrollo y pruebas Implementación del directorio global Implantación de la herramienta de gestión de identidades: Página 32 de 61

33 FASE 3: IMPLANTACIÓN DE LA HERRAMIENTA DE GESTIÓN DE IDENTIDADES Construcción del entorno de desarrollo y pruebas mediante la configuración de todos los recursos HW y SW, ajenos a la solución, así como los elementos de red, seguridad, etc., que soporten la nueva infraestructura de gestión de identidades. Instalación y configuración de todos los elementos software de la solución de gestión de identidades. Implementación de los distintos módulos de gestión de autenticación y autorización, así como los conectores con las distintas aplicaciones. Se debe contemplar que se puedan personalizar ciertas funcionalidades de los conectores o incluso construir conectores personalizados para los casos en que se considere necesario. Implantación del modelo de protección de identidades mediante la construcción de los procesos necesarios para proteger la infraestructura tecnológica que soporte el sistema de gestión de identidades. Implementación del sistema de un autoservicio de usuarios / contraseñas que permita tanto el reseteo de contraseñas como la provisión de usuarios en aquellos escenarios en los que por necesidades de servicio el ciclo de vida no es el estándar. 2. Configuración e integración del módulo de monitorización Puesta en marcha de los mecanismos de auditoría y seguimiento de la actividad de usuarios y activos de información para el análisis de riesgos y el cumplimiento de normativas de seguridad y del documento de seguridad del Servicio Riojano de Salud. La funcionalidad de monitorización deberá permitir: Revisar y controlar el acceso (roles, privilegios) a las aplicaciones y componentes de la infraestructura. Generar un repositorio consolidado del histórico de acciones realizadas sobre el sistema. Generar informes de auditoría a partir de la información contenido en dicho repositorio. Configurar alarmas o informes sobre situaciones específicas predefinidas: inactividad en determinado periodo, no utilización de recursos 3. Pruebas unitarias y de integración Verificar el entorno de desarrollo y definir y coordinar la realización de las pruebas de forma unitaria de cada componente del sistema de gestión de identidades: Verificación de la arquitectura de autorización y autenticación. Verificar y coordinar la realización de las pruebas de forma unitaria de la solución de Página 33 de 61

34 FASE 3: IMPLANTACIÓN DE LA HERRAMIENTA DE GESTIÓN DE IDENTIDADES autenticación y autorización. Verificación de la protección de identidades. Verificar y coordinar la aplicación de las medidas de seguridad definidas en la fase de Análisis y diseño de la solución e implantadas en el entorno de desarrollo creado. Verificación del desarrollo de las pruebas, formación y soporte. Verificar y distribuir los materiales de formación (usuario final y técnica), y los procedimientos de soporte para el sistema de gestión de identidades. Definir, coordinar la realización de las pruebas de integración que aseguren el funcionamiento de los diferentes componentes del sistema integrados y verifiquen la comunicación entre los mismos. Definir y coordinar la realización de las pruebas de rendimiento con el fin de determinar cuáles son los niveles de crecimiento que puede soportar el sistema, con la identificación de los cuellos de botella que aparezcan para los distintos niveles de carga que puedan ser simulados. 4. Paso a producción Coordinación y verificación del despliegue: Verificar los entornos de preproducción y producción para el sistema de gestión de identidades y coordinar su pase a producción. Verificación de las pruebas previas al despliegue: Verificar todas las pruebas pertinentes del sistema de gestión de Identidades: unitarias, de integración y de rendimiento en el entorno de preproducción. Consolidación de los datos de usuarios en el repositorio único de integración. Coordinación del despliegue masivo: Coordinar la implantación del sistema de gestión de identidades en el entorno de producción. 5. Ejecución del plan de gestión del cambio Acorde al entregable Plan de capacitación y gestión del cambio, elaborado en la fase previa de Definición y planificación de proyecto y diseñado con objeto de reducir el impacto de los cambios asociados a la implantación de la solución de gestión de identidades, tanto desde el punto de vista de los usuarios como de la calidad del servicio proporcionado, el adjudicatario deberá, entre otras actividades: o Difundir los nuevos procedimientos operacionales e impartir la formación definida en el plan de capacitación al personal de administración que se encarga actualmente de la gestión de usuarios del SERIS o Identificar las guías de usuario que deberán usarse para ayudar en la transición de los usuarios a la nueva arquitectura, publicación las mismas y ejecución del plan de formación a los usuarios finales. Página 34 de 61

35 FASE 3: IMPLANTACIÓN DE LA HERRAMIENTA DE GESTIÓN DE IDENTIDADES 6. Pruebas de aceptación Definición de los casos de uso que serán probados para garantizar la validación formal del nuevo sistema de gestión de identidades frente a los requisitos de usuario y ejecución de estos casos de uso. Tras la realización de las pruebas por parte de un grupo de usuarios finales, el adjudicatario deberá elaborar un informe donde se refleje que los resultados de las mismas están alineados con los requisitos funcionales de la nueva infraestructura. Entregables PLAN DE PRUEBAS UNITARIAS Y DE INTEGRACIÓN Informe de resultados de las pruebas realizadas en esta fase, pruebas unitarias, de integración de rendimiento y de usuario; resultados que deberán demostrar el cumplimiento de los requisitos técnicos y funcionales del nuevo sistema. ACTA DE INSTALACIÓN DEL SISTEMA DE GESTIÓN DE IDENTIDADES Acta que contenga un checklist pormenorizado de las tareas relacionadas con la instalación y configuración del sistema de gestión de identidades. Esta acta deberá ser firmada y sellada por los técnicos del adjudicatario y por el responsable del SERIS designado para tal efecto con el objetivo de justificar la ejecución de estas actividades asociadas a esta fase por parte del adjudicatario. PLAN DE PRUEBAS DE ACEPTACIÓN Informe donde se definan de los casos de uso que serán testeados para garantizar la aceptación del nuevo sistema de gestión de identidades por parte los usuarios y donde se reflejen los resultados de estas pruebas de aceptación, resultados que deberán demostrar el cumplimiento de los requisitos funcionales de la nueva infraestructura. Equipo de trabajo Recursos profesionales que como mínimo formarán parte del equipo de trabajo en esta fase y el perfil técnico de cada uno de ellos: (1) un director de proyecto, (2 ) dos consultores de seguridad La descripción del perfil técnico de cada uno de estos recursos profesionales se define en el apartado del Pliego de Condiciones Particulares. El licitador deberá aportar, a efectos de la verificación de solvencia técnica y profesional, los Currícula Vitarum y certificaciones oficiales del personal propuesto para esta fase Página 35 de 61

36 COMPONENTE 6: FASE DE IMPLANTACIÓN DE LA SOLUCIÓN DE SINGLE SIGN-ON En la siguiente tabla se detallan los requerimientos obligatorios de la fase de Implantación de la solución de single sign-on. El licitador deberá presentar una descripción detallada de esta fase y las tareas, entregables y el equipo de trabajo asociados a la misma. Se valorará, no obstante, la propuesta por parte del licitador de cualquier tarea, entregable o recurso adicional que se consideren relevantes para el objeto de esta fase. FASE 4: IMPLANTACIÓN DE LA SOLUCIÓN DE SINGLE SIGN-ON Duración 30 jornadas Descripción Durante esta fase, el adjudicatario desarrollará la solución de single sign-on (SSO) propuesta configurando y adaptando la infraestructura tecnológica existente en el SERIS en función a lo definido en la anterior fase de Análisis y diseño de la solución y ejecutando el plan de despliegue definido y aprobado previamente en dicha fase. Tras la implantación de esta nueva infraestructura, todos los componentes deberán ser probados de forma aislada y, una vez validadas las pruebas unitarias, se procederá a realizar las pruebas de integración, necesarias para asegurar el perfecto funcionamiento global del sistema implantado, de los procedimientos operacionales desarrollados, así como del plan de capacitación fijado. Tareas 1. Implementación del entorno de desarrollo y pruebas La implantación de la solución de autenticación única ofertada para, al menos, 10 aplicativos corporativos que serán seleccionados durante el proceso de consultoría previa: Construcción del entorno de desarrollo y pruebas mediante la configuración de todos los recursos HW y SW, ajenos a la solución, así como los elementos de red, seguridad, etc., que soporten la nueva solución de SSO. Instalación y configuración de todos los elementos software de la solución de SSO garantizando el correcto acceso a las aplicaciones. Establecer un canal cifrado de intercambio de contraseñas entre los sistemas. 2. Pruebas unitarias y de integración Página 36 de 61

37 FASE 4: IMPLANTACIÓN DE LA SOLUCIÓN DE SINGLE SIGN-ON Verificar el entorno de desarrollo y definir y coordinar la realización de las pruebas de forma unitaria de cada componente de la solución de SSO. Definir, coordinar la realización de las pruebas de integración que aseguren el funcionamiento de los diferentes componentes del sistema integrados y verifiquen la comunicación entre los mismos. Definir y coordinar la realización de las pruebas de rendimiento con el fin de determinar cuáles son los niveles de crecimiento que puede soportar el sistema, con la identificación de los cuellos de botella que aparezcan para los distintos niveles de carga que puedan ser simulados. Verificar y distribuir los materiales de formación (usuario final y técnica), y los procedimientos de soporte para la solución de SSO. 3. Paso a producción Coordinación y verificación del despliegue: Verificar los entornos de preproducción y producción para el sistema de SSO y coordinar su pase a producción. Verificación de las pruebas previas al despliegue: Verificar todas las pruebas pertinentes de la solución de SSO: unitarias, de integración y de rendimiento en el entorno de preproducción. Coordinación del despliegue masivo: Coordinar la implantación de la solución de SSO en el entorno de producción. 4. Ejecución del plan de gestión del cambio Acorde al entregable Plan de capacitación y gestión del cambio, elaborado en la fase previa de Definición y planificación de proyecto y diseñado con objeto de reducir el impacto de los cambios asociados a la implantación de la solución de SSO, tanto desde el punto de vista de los usuarios como de la calidad del servicio proporcionado, el adjudicatario deberá, entre otras actividades: o Difundir los nuevos procedimientos operacionales e impartir la formación definida en el plan de capacitación al personal de administración que se encarga actualmente de la gestión de usuarios del SERIS. o Identificar las guías de usuario que deberán usarse para ayudar en la transición de los usuarios a la nueva arquitectura, publicación las mismas y ejecución del plan de formación a los usuarios finales. 5. Pruebas de aceptación Definición de los casos de uso que serán probados para garantizar la validación formal de la nueva solución de SSO frente a los requisitos de usuario y ejecución de estos casos de uso. Tras la realización de las pruebas por parte de un grupo de usuarios Página 37 de 61

38 FASE 4: IMPLANTACIÓN DE LA SOLUCIÓN DE SINGLE SIGN-ON finales, el adjudicatario deberá elaborar un informe donde se refleje que los resultados de las mismas están alineados con los requisitos funcionales de la nueva infraestructura. Entregables PLAN DE PRUEBAS UNITARIAS Y DE INTEGRACIÓN Informe de resultados de las pruebas realizadas en esta fase, pruebas unitarias, de integración de rendimiento y de usuario; resultados que deberán demostrar el cumplimiento de los requisitos técnicos y funcionales del nuevo sistema. ACTA DE INSTALACIÓN DEL SISTEMA DE GESTIÓN DE IDENTIDADES Acta que contenga un checklist pormenorizado de las tareas relacionadas con la instalación y configuración de la solución de SSO. Esta acta deberá ser firmada y sellada por los técnicos del adjudicatario y por el responsable del SERIS designado para tal efecto con el objetivo de justificar la ejecución de estas actividades asociadas a esta fase por parte del adjudicatario. PLAN DE PRUEBAS DE ACEPTACIÓN Informe donde se definan de los casos de uso que serán testeados para garantizar la aceptación de la nueva solución de SSO por parte los usuarios y donde se reflejen los resultados de estas pruebas de aceptación, resultados que deberán demostrar el cumplimiento de los requisitos funcionales de la nueva infraestructura. Equipo de trabajo Recursos profesionales que como mínimo formarán parte del equipo de trabajo en esta fase y el perfil técnico de cada uno de ellos: (1) un director de proyecto, (1 ) un consultor de seguridad La descripción del perfil técnico de cada uno de estos recursos profesionales se define en el apartado del Pliego de Condiciones Particulares. El licitador deberá aportar, a efectos de la verificación de solvencia técnica y profesional, los Currícula Vitarum y certificaciones oficiales del personal propuesto para esta fase Página 38 de 61

39 COMPONENTE 7: FASE DE INTEGRACIÓN CON EL PILOTO DE AUTENTICACIÓN MEDIANTE TARJETAS CRIPTOGRÁFICAS En la siguiente tabla se detallan los requerimientos obligatorios de la fase de Integración con el piloto de autenticación mediante tarjetas criptográficas. El licitador deberá presentar una descripción detallada de esta fase y las tareas, entregables y el equipo de trabajo asociados a la misma. Se valorará, no obstante, la propuesta por parte del licitador de cualquier tarea, entregable o recurso adicional que se consideren relevantes para el objeto de esta fase. FASE 5: INTEGRACIÓN CON EL PILOTO DE AUTENTICACIÓN MEDIANTE TARJETAS CRIPTOGRÁFICAS Duración 10 jornadas Descripción La fase de pilotaje del sistema de autenticación y autorización basado en el uso de tarjetas inteligentes consistirá en el despliegue y comprobación del correcto funcionamiento de la solución de control de acceso mediante tarjetas de empleado que contendrán uno o más certificados digitales. Uno de ellos será el emitido por la Autoridad de certificación local de Microsoft y otro será un certificado digital emitido por una Autoridad de Certificación Reconocida. La solución de acceso ya ha sido diseñada previamente a la implantación de las soluciones de gestión de identidades y single sign-on solicitadas en el presente pliego. Por ello, el adjudicatario deberá revisar y rediseñar los procedimientos definidos por el SERIS para la operativa del sistema de autenticación para que se integren los procedimientos propios de sus soluciones de gestión de identidades y SSO. Aunque posiblemente la solución de autenticación basada en tarjeta se extienda a toda la organización, se estima que el número de usuarios para este pilotaje será de aproximadamente el 5% de los usuarios de la organización. Tareas Esta fase incluirá, al menos, las tareas relacionadas con la: Definición del modelo de organización y los procedimientos operativos asociados al control de acceso basado en tarjetas criptográficas. Verificación de los procedimientos necesarios para la emisión de las tarjetas y la grabación de los certificados (Autoridades de registro y Certificación). Verificación de los procedimientos de contingencia necesarios para subsanar los problemas ocasionados por el olvido o extravío de una tarjeta. Página 39 de 61

40 FASE 5: INTEGRACIÓN CON EL PILOTO DE AUTENTICACIÓN MEDIANTE TARJETAS CRIPTOGRÁFICAS Verificación de los circuitos de trabajo. Revisión de los casos de uso identificados. Formación de los agentes involucrados en los procedimientos de emisión, cancelación o renovación. Verificación del funcionamiento. Entregables Comprobación del correcto funcionamiento de los procedimientos de autenticación y autorización. Comprobación del funcionamiento de los casos de uso identificados, y muy especialmente de los relacionados con los errores de identificación, acceso no autorizados, intentos de acceso con certificados no reconocidos, certificados caducados o certificados revocados. PROCESOS OPERACIONALES MODIFICADOS Procedimientos del SERIS relacionados con la solución de acceso basada en el uso de tarjetas criptográficas que han sido rediseñados por el adjudicatario para que se integren los procedimientos propios de sus soluciones de gestión de identidades y SSO. ACTA DE VERIFICACIÓN DEL PILOTO DE AUTENTICACIÓN Acta que contenga un checklist con todos los procedimientos y los casos de uso identificados y con los resultados de las comprobaciones realizadas sobre los mismos. Esta acta deberá ser firmada y sellada por los técnicos del adjudicatario y por el responsable del SERIS designado para tal efecto con el objetivo de justificar la ejecución de estas actividades asociadas a esta fase por parte del adjudicatario. Equipo de trabajo Recursos profesionales que como mínimo formarán parte del equipo de trabajo en esta fase y el perfil técnico de cada uno de ellos: (1) un director de proyecto, (1 ) un consultor de seguridad La descripción del perfil técnico de cada uno de estos recursos profesionales se define en el apartado del Pliego de Condiciones Particulares. El licitador deberá aportar, a efectos de la verificación de solvencia técnica y profesional, los Currícula Vitarum y certificaciones oficiales del personal propuesto para esta fase Página 40 de 61

41 COMPONENTE 8: SOPORTE Y MANTENIMIENTO EVOLUTIVO DEL SISTEMA En la siguiente tabla se detallan los requerimientos obligatorios del servicio de Soporte y mantenimiento evolutivo del sistema. El licitador deberá presentar una descripción detallada de esta fase y las tareas, entregables y el equipo de trabajo asociados a la misma. Se valorará, no obstante, la propuesta por parte del licitador de cualquier tarea o recurso adicional que se consideren relevantes para el objeto de esta fase. SOPORTE Y MANTENIMIENTO EVOLUTIVO DEL SISTEMA Descripción Tras la finalización de la implantación del sistema de gestión de identidades y la solución de single sign-on y la aceptación de los trabajos asociados por parte del Comité Técnico del proyecto, el adjudicatario deberá prestar los servicios de soporte al SERIS. Estos servicios de soporte, y por tanto este componente, se define como: El soporte de la solución durante el primer año de funcionamiento, que comenzará con la puesta en marcha completa del sistema. Queda fuera del objeto del contrato el suministro de los servidores necesarios para la puesta en marcha de la solución, no así el software adicional que el adjudicatario pudiera proponer o necesitar para el despliegue de la solución tecnológica elegida. El mantenimiento evolutivo de la solución implantada y la adecuación a nuevos requerimientos funcionales o a nuevos aplicativos que pudieran surgir en los 12 meses siguientes a la adjudicación del contrato. El licitador deberá indicar en este apartado lo que costaría extender estos servicios de soporte y mantenimiento a cinco (5) años. Este dato no será objeto de valoración (ni técnica ni económica) en el presente proceso de licitación, se solicita con el fin de que el licitador se comprometa a este presupuesto si posteriormente el SERIS decidiese contratar dicha ampliación de servicios. Tareas Para la resolución de problemas que pudieran surgir en versiones bajo soporte Oracle, la empresa adjudicataria deberá prestar soporte técnico al SERIS, así como un servicio de actualización del software. Estos servicios incluirán como mínimo las siguientes actuaciones: Actualizaciones de programas, correcciones, alertas de seguridad y de parches críticos. Actualizaciones fiscales, legales y normativas. Versiones mayores de productos y tecnología, que incluyen versiones generales de mantenimiento, versiones de funcionalidad seleccionada y actualizaciones de documentación. Página 41 de 61

42 SOPORTE Y MANTENIMIENTO EVOLUTIVO DEL SISTEMA Acceso a uno o varios portales on-line de soporte con la posibilidad de registrar peticiones de servicio en línea, a menos que otra cosa se indique. Asistencia en las peticiones de servicio las 24 horas del día y 7 días a la semana (24x7). Las peticiones de servicio se podrán llevar a cabo a través de una página web, por correo electrónico o por teléfono. Obligaciones de la empresa La empresa adjudicataria poseerá una infraestructura acreditada para asesorar desde el primer momento al Servicio Riojano de Salud y para afrontar la gestión del servicio objeto de este pliego. La empresa adjudicataria será responsable de la administración del servicio, ejerciendo la supervisión del mismo por medio de personal técnico que poseerá la formación adecuada para la prestación del mismo hasta la finalización del proyecto. La empresa adjudicataria deberá proporcionar apoyo técnico y de producto, tanto presencial como remoto, para garantizar el despliegue en tiempo de la solución de gestión de identidades y el sistema de single sign-on en el Servicio Riojano de Salud. Equipo de trabajo El adjudicatario deberá poner a disposición de este proyecto los técnicos de soporte que sean necesarios para asegurar el cumplimiento de los Acuerdos de Nivel de Servicio solicitados en el apartado del presente pliego COMPONENTE 9: JORNADA DE SERVICIOS PROFESIONALES ESPECIALIZADOS EN SEGURIDAD DE LA INFORMACIÓN Este componente se define como una jornada de servicio de consultoría en seguridad de la información de un técnico especializado. El licitador deberá aportar la acreditación de los conocimientos y certificaciones oficiales del personal propuesto para prestar los servicios solicitados en este componente. Algunos de los servicios de consultoría que podrían ser solicitados el adjudicatario serán: Servicios de auditoría informática que permitan valorar la confiabilidad de los sistemas del SERIS, en base a los criterios generales de integridad, disponibilidad y confidencialidad de la información contenida. Página 42 de 61

43 Servicios de asesoramiento relacionados con la planificación y toma de decisiones para abordar acciones vinculadas con la seguridad de los sistemas informáticos: planes directores, selección de herramientas, consultoría tecnológica, etc. Servicios relacionados con el asesoramiento en aspectos regulatorios que analicen cómo afecta cualquier tipo de ley o norma a los sistemas de información del SERIS y los servicios de consultoría que ayuden al SERIS a adaptarse a su cumplimiento. Servicios de consultoría que ayuden a identificar, cuantificar y resolver las principales amenazas informáticas que puedan afectar a los sistemas del SERIS. Entre estos servicios podrían solicitarse: diseño de planes de continuidad de negocio, análisis de riesgos, evaluación y mejora del sistema de gestión de la seguridad de la información, etcétera. Servicios de consultoría en materia de seguridad técnica que ayuden a detectar y solucionar los principales problemas técnicos de los activos informáticos. Entre ellos, podrían solicitarse proyectos de hacking ético, análisis forense, bastionado, etc. Para cada conjunto de servicios solicitados, y previamente a su contratación, el adjudicatario deberá realizar una propuesta en la que se analicen, entre otros aspectos: Alcance y objetivos del proyecto. Planificación detallada del proyecto que contenga una descripción pormenorizada de las tareas a realizar, duración de las mismas y recursos profesionales asociados a cada una de ellas Descripción del equipo de trabajo y la dedicación de cada uno de los profesionales que lo componen. Propuesta económica donde se indique el coste del proyecto y el número de jornadas profesionales (Componente 9) que será necesario pedir para afrontar dicho presupuesto. A la finalización de estos servicios de consultoría en materia de seguridad de la información, el adjudicatario deberá entregar los partes de horas asociados a los servicios prestados. Estos partes de horas deberán ser firmados y sellados por los técnicos del adjudicatario y por el responsable del SERIS designado para tal efecto con el objetivo de justificar la ejecución de estas actividades por parte del adjudicatario TIEMPO Y FORMA DE EJECUCIÓN REQUERIMIENTOS METODOLÓGICOS Con el fin de garantizar la calidad del servicio ofrecido por el Sistema Público de Salud de La Rioja, el adjudicatario, tal y como se indica en el apartado del Pliego de Condiciones Particulares, deberá contar con un sistema de gestión de los servicios de TI basado en la serie de normas europeas en la materia, y utilizar una metodología basada en Página 43 de 61

44 las buenas prácticas y recomendaciones de ITIL para la prestación de los servicios objeto del presente contrato. En concreto, será imprescindible la adecuación precisa de los elementos hardware y software que conforman la instalación a: 1) GESTION DE CONFIGURACIONES a) Se proveerá de documentación completa de todos los elementos, y de las relaciones entre ellos y con otros elementos existentes propiedad del SERIS. En especial con el directorio activo, base de datos de personal y otras bases de datos objeto de la integración. b) Se proveerá de documentación completa de todas las configuraciones y en especial de las realizadas particularmente para el caso objeto del contrato. c) Siguiendo con el Plan de Capacitación solicitado en el apartado del presente pliego, se formará al personal del SERIS en estas configuraciones. d) Se proveerá de documentación del licenciamiento de estos elementos. e) Se proveerá de documentación de recuperación de desastres totales y parciales de todos los elementos de configuración. f) Se proveerá documentación de contratos de mantenimiento de estos elementos expresando los SLA asociados. g) Sólo se considerarán en el proyecto elementos de software y hardware que estén dentro del ciclo de vida de producto, en producción con soporte del fabricante, tanto para su provisión por parte del adjudicatario como para sugerir su implantación por parte del SERIS. h) Esta documentación se mantendrá en el repositorio corporativo del SERIS, y el adjudicatario realizará una auditoría trimestral de su actualización. 2) GESTION DE CAMBIOS a) El adjudicatario se responsabiliza de realizar los cambios que sean necesarios en la configuración y programación de la plataforma que provea y administre, para compatibilizarla con versiones futuras de los elementos de configuración del SERIS, en el plazo de 6 meses a partir de la notificación. En especial con versiones del Directorio Activo, Oracle, cambios en las bases de datos objeto de la integración, y versiones de sistemas operativos y otro software que se utilice. b) El adjudicatario informará previamente de los cambios en los elementos de configuración que provea y administre, para su autorización. c) El adjudicatario realizará los cambios que supongan un impacto en la continuidad del servicio en horario de fin de semana, informando del tiempo que tardará la operación, y en coordinación con el responsable designado del Comité Técnico del proyecto. d) Cualquier cambio que suponga un impacto en la continuidad del servicio contará con un plan de vuelta atrás específico. Página 44 de 61

45 e) El Comité Técnico del proyecto se reserva el derecho de solicitar un cambio de emergencia al contratante por causa de fuerza mayor. En todo caso, dicho cambio será analizado y valorado para determinar si entra dentro del alcance del presente proceso de licitación. 3) GESTION DE VERSIONES a) El adjudicatario deberá realizar una propuesta compatible y soportada con las versiones principales de software que se emplean en el SERIS en relación con el suministro objeto del contrato, que son: (1) Directorio activo Windows 2008 R2 en modo nativo R2. (2) Sistemas operativos Windows 2008 R2, Windows 2008, Windows 2003 R2 y Windows 2003 en servidores y XP SP3, Vista y Windows 7 en cliente. (3) Navegador Explorer Versión 6, 7 y 8. (4) Oracle V. 10. (5) VMWare VSphere, Hyper-V. (6) Hardware Hewlett Packard. b) El adjudicatario pondrá a disposición del SERIS, de forma permanente, el software que está en producción, en el repositorio corporativo de software, además de los procedimientos de instalación del mismo. c) El adjudicatario trabajará en un entorno de pruebas de forma sistemática antes de poner en producción una versión. d) Siguiendo con el Plan de Capacitación solicitado en el apartado del presente pliego, el adjudicatario formará al personal del SERIS en las versiones de software que están en producción. 4) GESTION DE INCIDENTES Y PROBLEMAS a) El adjudicatario se responsabiliza de la resolución de incidentes que se den durante la fase de implantación cumpliendo con los SLAs definidos en el apartado del presente pliego. b) El adjudicatario colaborará en la resolución de incidentes que se den durante la explotación cumpliendo con los SLAs definidos en el apartado del presente pliego. c) El adjudicatario empleará la herramienta de gestión de incidentes corporativa del SERIS. d) Siguiendo con el Plan de Capacitación solicitado en el apartado del presente pliego, el adjudicatario formará al personal del SERIS en la plataforma objeto de este contrato y en la gestión de las incidencias que se derivan de su uso. Página 45 de 61

46 e) Si se determina la existencia de un problema en la plataforma que esté generando incidentes de forma recurrente el adjudicatario se responsabiliza de su subsanación sin coste y a la mayor brevedad posible. 5) GESTION DE LA CAPACIDAD a) El adjudicatario realizará una auditoría inicial y posteriormente anuales para la gestión de la capacidad de la plataforma, basada en la predicción de la demanda del cliente. b) El Comité Técnico del proyecto podrá solicitar la ejecución la solución provista por el adjudicatario en un entorno virtualizado con VMWare, Hyper-V o en entorno real, y de cambiar el modelo en cualquier momento, sin perjuicio de ningún otro derecho. c) El Comité Técnico del proyecto, bajo petición del SERIS, se reserva el derecho de monitorizar el estado de salud del sistema con sus herramientas corporativas, en especial Microsoft System Center Operations Manager, sin perjuicio de ningún otro derecho. 6) GESTION DE LA CONTINUIDAD a) El adjudicatario designará una persona de su organización, responsable de la gestión de la continuidad del negocio en relación con el suministro objeto del contrato. b) El adjudicatario realizará un estudio del impacto de la interrupción del servicio contratado en el negocio. c) El adjudicatario proveerá de procedimientos de recuperación de desastres en función del estudio anterior, que se documentarán en el repositorio corporativo del SERIS. d) El adjudicatario probará los procedimientos anteriores semestralmente, y se deberá informar al Comité Técnico del proyecto y al SERIS de su cumplimiento. e) Siguiendo con el Plan de Capacitación solicitado en el apartado del presente pliego, el adjudicatario formará al personal del SERIS en relación con los planes de recuperación de desastres. 7) GESTION DE LA SEGURIDAD a) El Comité Técnico del proyecto, bajo solicitud del SERIS, se reserva los siguientes derechos en cualquier momento, sin perjuicio de ningún otro: (1) Derecho de actualizar los parches críticos de seguridad de toda la plataforma en el plazo de una semana a partir de su publicación, y de la instalación de un antivirus de reconocida calidad, con objeto de reducir los riesgos de desastre por virus. (2) Derecho de instalar una herramienta de copias de seguridad de reconocida calidad. Página 46 de 61

47 (3) Derecho de presentar el interfaz que prefiera para realizar la integración con las herramientas que aporte el adjudicatario para evitar desastres por corrupción, o mala programación de esta herramienta. Por ejemplo Servicios Web, scripts o procedimientos autorizados, accesos con usuarios restringidos en seguridad, o cualquier otro. b) El adjudicatario informará inmediatamente de cualquier parche de seguridad que afecte a su plataforma, y lo instalará en la semana inmediata a su publicación por parte del fabricante PLANIFICACIÓN, DIRECCIÓN Y SEGUIMIENTO DE LOS TRABAJOS Corresponde a Red.es la supervisión y planificación generales de los trabajos, proponer las modificaciones convenientes o, en su caso, proponer la suspensión de los mismos si existiese causa suficientemente motivada. A tal efecto, Red.es designará a un responsable del Contrato, cuyas funciones en relación con el presente pliego serán: Velar por el cumplimiento de los trabajos exigidos y ofertados. Emitir las certificaciones parciales de recepción de los mismos. Corresponde al Servicio Riojano de Salud colaborar con el Comité Técnico del proyecto para definir los objetivos del mismo y velar por su cumplimiento. A tal efecto, el SERIS designará a un Director de Proyecto cuyas funciones en relación con el presente pliego serán: Designar a los medios personales del SERIS que colaboren con el adjudicatario y con el Comité Técnico del proyecto poniendo a su disposición aquellas informaciones y recursos necesarios para poder realizar las actuaciones objeto de este contrato en el tiempo y forma establecidos. Colaborar en el desbloqueo de los problemas o incidencias que puedan surgir durante la ejecución del proyecto y que pueden afectar al cumplimiento de los plazos y objetivos definidos. Red.es, a través del responsable del Contrato, informará al Director de Proyecto del SERIS de la evolución de las actuaciones y trabajarán de manera conjunta con el fin de analizar, valorar y resolver las incidencias que, en su caso, se produzcan durante la ejecución del proyecto. Corresponde al adjudicatario la ejecución, la dirección y la coordinación directa de los medios personales que realicen las actuaciones objeto del Contrato. A tal efecto, el adjudicatario designará a un Jefe de Proyecto cuyas funciones en relación con el presente pliego serán: Definir un modelo de relación adecuado para la gestión del proyecto que se adapte a las necesidades de Red.es y del Servicio Riojano de Salud y detallar los Página 47 de 61

48 elementos funcionales y organizativos que permitan un seguimiento y control del suministro del servicio. Dirigir a los medios personales que realicen las Actuaciones impartiendo al efecto las órdenes e instrucciones necesarias para la ejecución de las mismas. Realizar la gestión y seguimiento de los acuerdos de nivel de servicio, realizar la gestión de los incidentes y problemas y liderar la gestión del cambio. Realizar las funciones de contacto directo de los medios personales que realicen las Actuaciones. Esta figura de Jefe de Proyecto deberá tener dedicación total para el desarrollo del proyecto y poseer una cualificación técnica necesaria y apropiada para el correcto desempeño de los trabajos inherentes al puesto. Salvo acuerdo contrario entre Red.es y la empresa adjudicataria, el Jefe de Proyecto será el único interlocutor válido para todas las tareas de planificación, dirección y seguimiento de las actuaciones contempladas en el presente pliego. Red.es, a través del responsable del Contrato, comunicará todas las directrices relativas a la supervisión general de los trabajos objeto del Contrato al Jefe de Proyecto y en ningún caso dará órdenes o instrucciones directas a los medios técnicos que de forma concreta realicen dichos trabajos. Red.es, a través del responsable del Contrato, podrá fijar reuniones periódicas con el Jefe de Proyecto, con el fin de determinar, analizar y valorar las incidencias que, en su caso, se produzcan en ejecución del Contrato. El Comité Técnico del proyecto estará formado, como mínimo, por el responsable del Contrato de Red.es, el Director del proyecto designado por el SERIS y el Jefe de proyecto del adjudicatario. Comité que será constituido al inicio del proyecto y se encargará de: Controlar el adecuado desarrollo del proyecto en todos sus aspectos más estratégicos y, en especial, velar por el cumplimiento del alcance definido, el ajuste a los plazos globales establecidos (plan de proyecto) y la satisfacción de obligaciones contractuales adquiridas por todas las partes implicadas; Aprobar las posibles modificaciones del alcance del proyecto; Aprobar la priorización y repriorización de las líneas de actuación del proyecto; Validar y aprobar la puesta en producción de las distintas fases y/o aplicaciones que constituyen el proyecto; Adoptar acuerdos en todos aquellos puntos conflictivos que se detecten; Dar el visto bueno técnico a los trabajos y entregables realizados por el adjudicatario en cada una de las fases, hito de aceptación que permitirá la facturación de estos servicios. Página 48 de 61

49 Los miembros del Comité Técnico deberán al reunirse como mínimo al inicio del proyecto y al finalizar cada una de las fases del mismo, sin embargo, podrán convocarse reuniones extraordinarias ante cualquier problema, incidencia o retraso que pueda poner en peligro los objetivos del proyecto INICIO DE LOS TRABAJOS La fecha de inicio del contrato que se determinará de conformidad con lo establecido en el apartado 4 del Pliego de Cláusulas Particulares. Sin perjuicio de lo anterior, transcurridos 7 días desde la adjudicación definitiva del contrato, el adjudicatario deberá estar en disposición de iniciar la prestación efectiva de los servicios a los que se refiere el apartado 1.2 del presente pliego PLAZOS DE EJECUCIÓN El plazo de duración del contrato será de 24 meses a partir de la fecha de firma del contrato. El adjudicatario no podrá superar los plazos máximos de suministro y ejecución definidos por Red.es para cada uno de los componentes descritos en el apartado 1.2 del presente pliego. El plazo para la fase de Definición y planificación del proyecto (Componente 3) será desde el momento de la notificación de la solicitud formal de implantación efectiva realizada por Red.es, mientras que los plazos de las fases sucesivas (Componentes 4, 5, 6, 7, 8) se contabilizan desde la finalización de la fase anterior. Suministro del sistema de gestión de identidades (Componente 1) y de la solución de single sign-on (Componente 2): el plazo máximo de entrega, una vez realizado el pedido por parte de Red.es, será de una (1) semana (contada en días naturales). Fase de Definición y planificación del proyecto : cinco (5) jornadas laborables a contar desde el inicio del proyecto. Fase de Análisis y diseño de la solución : setenta (70) jornadas laborables a contar desde la aprobación, por parte del Comité Técnico del proyecto, de las tareas y entregables asociados a la fase anterior. Fase de Implantación de la herramienta de gestión de identidades : treinta (60) jornadas laborables a contar desde la aprobación, por parte del Comité Técnico del proyecto, de las tareas y entregables asociados a la fase anterior. Fase de Implantación de la solución de single sign-on : quince (30) jornadas laborables a contar desde la aprobación, por parte del Comité Técnico del proyecto, de las tareas y entregables asociados a la fase anterior. Fase de Integración con el piloto de autenticación mediante tarjetas criptográficas : diez (10) jornadas laborables a contar desde la aprobación, por Página 49 de 61

50 parte del Comité Técnico del proyecto, de las tareas y entregables asociados a la fase anterior. Fase de Soporte y mantenimiento evolutivo del sistema : doce (12) meses desde la puesta en marcha completa del sistema. Se considerará que el sistema está en completo funcionamiento cuando todas las tareas y entregables del proyecto hayan sido aprobados por parte del Comité Técnico. Red.es podrá modificar y ajustar los plazos propuestos por el adjudicatario dependiendo de las necesidades y prioridades que se establezcan. El incumplimiento de lo anterior, dará lugar a la aplicación de las correspondientes penalizaciones, reflejadas en el apartado 6 del Pliego de Condiciones Particulares y en el contrato SUSTITUCIÓN DE LOS MEDIOS PERSONALES La valoración final de la productividad y calidad de los trabajos del personal que preste el Servicio corresponde al Responsable del Contrato, siendo potestad suya solicitar el cambio de los medios personales por otros de igual categoría, mediante aviso de cinco (5) días de antelación a la empresa adjudicataria. La sustitución deberá realizarse en un plazo máximo de dos (2) días contados a partir de la finalización del plazo de preaviso de cinco (5) días. La empresa adjudicataria deberá contar con una plantilla suficiente y con personal debidamente cualificado para realizar las labores descritas en este pliego. En caso de enfermedad, vacaciones, huelga u otro tipo de situación, la empresa adjudicataria tomará las medidas oportunas para mantener siempre personal que pueda atender el servicio. Si durante la ejecución del contrato, la empresa adjudicataria propusiera el cambio del personal que realiza el Servicio, la sustitución de dicho personal requerirá en todo caso el cumplimiento de las siguientes condiciones: Justificación escrita, detallada y suficiente, explicando el motivo que suscita el cambio. Presentación de posibles candidatos con un perfil de cualificación técnica igual o superior a la de la persona que se pretende sustituir. Aceptación del candidato por parte del Responsable del Contrato. En todo caso, la solicitud del cambio deberá realizarse con QUINCE (15) días de antelación. El incumplimiento de lo anterior, dará lugar a la aplicación de las correspondientes penalizaciones, reflejadas en el apartado 6 del Pliego de Condiciones Particulares y en el contrato. Página 50 de 61

51 HORARIO Y LUGAR DE REALIZACIÓN DE ACTUACIONES Los servicios se prestarán en los Centros de Proceso de Datos que el Servicio Riojano de Salud tiene establecidos y en aquellos centros de La Rioja que Red.es establezca y donde proceda realizar los servicios de implantación solicitados en el presente pliego. Adicionalmente a lo anterior, en la sede de Red.es se realizarán las funciones de definición y seguimiento de tareas relativas a las actividades anteriormente identificadas. Salvo indicación específica para cualquiera de las tareas contempladas en el objeto del Contrato, todos los servicios objeto de esta contratación quedarán sujetos en horario y calendario a las necesidades del SERIS y tratando de garantizar la continuidad del servicio asistencial que este organismo presta. En los Planes de Proyecto iniciales se propondrán calendarios concretos y horarios de servicio adaptados a la criticidad y el impacto el nuevo sistema de Gestión de Identidades y la solución de Single Sign-on puedan tener sobre los Sistemas de Información del SERIS. Los calendarios y horarios definitivos serán aprobados por el Comité Técnico, el cual podrá introducir modificaciones sobre los inicialmente propuestos por razones de continuidad del servicio. En todo caso, los gastos de desplazamiento y manutención correrán a cargo del adjudicatario OBLIGACIÓN DE INFORMACIÓN Y DOCUMENTACIÓN Durante la ejecución de los trabajos objeto del Contrato, el adjudicatario se compromete, en todo momento, a facilitar a los responsables designados por Red.es la información y documentación que éstos soliciten para disponer de un pleno conocimiento de las circunstancias en que se desarrollan los trabajos, así como de los eventuales problemas que puedan plantearse y de las tecnologías, métodos y herramientas utilizados para resolverlos. Asimismo, el adjudicatario se compromete, en todo momento, a cumplir los procedimientos establecidos por Red.es. En este sentido, el adjudicatario deberá informar al responsable del Contrato, con la periodicidad necesaria, sobre distintos aspectos del funcionamiento y calidad de las actuaciones realizadas. Entre ellos será necesario presentar un informe, en el formato que defina Red.es, de cumplimiento de las actuaciones objeto del Contrato con la periodicidad que establezca Red.es. Asimismo el adjudicatario estará obligado a asistir y colaborar a través del personal que éste designe, en las reuniones de seguimiento del proyecto definidas por el responsable de Red.es, quién se compromete a citar con la debida antelación al personal del adjudicatario, a los efectos de poder facilitar su asistencia. Página 51 de 61

52 Como parte de las tareas objeto del Contrato, el adjudicatario se compromete a generar la documentación de los trabajos realizados, de acuerdo con los entregables solicitados para cada una de las fases descritas en el apartado 1.2 del presente pliego y según los criterios que establezca en cada caso el Responsable del Contrato. Los retrasos en la entrega de esta documentación serán considerados retrasos en la ejecución de las fases a las que correspondan, siendo aplicables por tanto las penalizaciones reflejadas en el apartado 6 del Pliego de Condiciones Particulares. Toda la documentación generada por el adjudicatario en ejecución del Contrato será propiedad exclusiva de Red.es sin que el contratista pueda conservarla, ni obtener copia de la misma o facilitarla a terceros sin la expresa autorización por escrito del Responsable del Contrato, que la concederá, en su caso, previa petición formal del contratista con expresión del fin. Salvo indicación expresa en contrario, las especificaciones, informes, diagramas, planos, dibujos y cualquier otro documento relativo al objeto del Contrato serán aportados en castellano, cualquiera que sea el soporte y/o formato utilizado para la transmisión de información. Toda la documentación del proyecto deberá ser entregada en papel y soporte digital. Red.es definirá los formatos (PDF, HTML, etc.) y procedimientos de entrega de la documentación. El adjudicatario proporcionará sin coste adicional para Red.es una copia en soporte informático, en CD-DVD, con toda la documentación que se vaya generando durante la prestación de las Actuaciones objeto del Contrato, así como a la finalización de las mismas. La documentación entregada seguirá el procedimiento de gestión de la documentación de Red.es PROCEDIMIENTO DE ACEPTACIÓN DE ACTUACIONES Según sea la planificación y los hitos marcados en el lanzamiento de cada fase del proyecto, el adjudicatario remitirá periódicamente los entregables correspondientes a cada una de estas fases. El adjudicatario será el responsable de la calidad (claridad, concisión, utilidad, veracidad, ) de la documentación entregada, para lo cual deberá designar, al inicio de cada proyecto, un responsable de documentación con conocimientos acreditados en este tipo de labores, que se encargará de recopilar y revisar toda la documentación antes de remitirla a Red.es. La entrega y aprobación de estos entregables al final de cada fase por parte del Comité Técnico del proyecto será requisito indispensable para poner realizar la facturación de los servicios. Página 52 de 61

53 ACUERDOS DE NIVEL DE SERVICIO Los licitadores deberán proponer en sus ofertas su compromiso de ejecución y un Acuerdo de Nivel de Servicio que establezca las condiciones de calidad y eficacia de los trabajos realizados y las penalizaciones aplicables que en ningún caso serán inferiores a las indicadas en el apartado 6 del pliego de Cláusulas Particulares. Sin perjuicio del cumplimiento del resto de requisitos exigidos en este pliego, no se tendrá en cuenta en el presente procedimiento de adjudicación la oferta que no presente un compromiso de ejecución en el que el licitador establezca: Compromiso de realización de los servicios de análisis, diseño e implantación de la herramienta de gestión de identidades y la solución de single sign-on dentro de los plazos especificados en los apartados 1.2.3, 1.2.4, 1.2.5, y del presente pliego. Acuerdo de Nivel de Servicio (ANS) en los servicios de Soporte y mantenimiento evolutivo del sistema, servicios descritos en el apartado del presente pliego, para el mantenimiento de la calidad del servicio definido. Para la asistencia de las peticiones asociadas a estos servicios de soporte y mantenimiento, el centro de gestión de fabricante tendrá un horario de atención telefónica 24x7. Las peticiones de servicio se podrán llevar a cabo a través de una página web, por correo electrónico o por teléfono. El tiempo de respuesta de las incidencias variará en función del nivel de gravedad de la solicitud de servicio y, en todo caso, no superará el establecido en la siguiente tabla: NIVEL DE SERVICIO PARA LOS TIEMPOS DE RESPUESTA ANTE INCIDENCIAS GRAVEDAD Gravedad 1 DEFINICIÓN El uso de los programas soportados queda interrumpido o tan gravemente afectado, que impide seguir trabajando de manera razonable. Completa pérdida del servicio. La operativa es crítica y la situación es de emergencia. Una petición de servicio de Gravedad 1 presenta, al menos, una de las siguientes características: Corrupción de datos. Una función crítica documentada no está disponible. El sistema se queda colgado de forma TIEMPO DE RESPUESTA MÁXIMA 2 horas Página 53 de 61

54 indefinida, causando retrasos inaceptables o indefinidos en recursos o respuestas. El sistema está caído y se vuelve a caer repetidamente después de intentar reiniciarlo. Gravedad 2 Gravedad 3 Se experimenta una pérdida de servicio severa. Prestaciones importantes se encuentran no disponibles sin que exista una solución alternativa aceptable; sin embargo, las operaciones pueden continuar de forma restringida. Se experimenta una pérdida de servicio menor. El impacto es una inconveniencia que puede necesitar una solución alternativa para restaurar la funcionalidad. 7 horas NBD Gravedad 4 Se solicita información, una mejora o el esclarecimiento de la documentación relativa al software, pero el funcionamiento del mismo no se ve afectado. No se experimenta ninguna pérdida de servicio. El resultado no impide el funcionamiento de un sistema. NBD Las penalizaciones que asume el adjudicatario para el caso de incumplimiento de estos objetivos mínimos en ningún caso serán inferiores a las establecidas en el apartado 6 del Pliego de Cláusulas Particulares CONTROL ECONÓMICO Y DE FACTURACIÓN CONTROL DE FACTURACIÓN La facturación de los trabajos realizados se efectuará sobre la base de una adecuada administración de recursos por parte del adjudicatario y teniendo en cuenta los siguientes extremos: Durante la ejecución de los trabajos y con anterioridad a la expedición de las certificaciones, se comprobará la adecuación del personal contratado a los requerimientos exigidos a los efectos previstos en este pliego. En las reuniones periódicas se evaluarán todas aquellas incidencias acontecidas que se hubieran originado en el cumplimiento de los objetivos planificados y hayan repercutido en detrimento y perjuicio de las actuaciones objeto del Contrato. Página 54 de 61

55 Cuando a juicio del Responsable del Contrato tales incidencias fueran imputables al adjudicatario por falta de responsabilidad, incompetencia, negligencia u otras causas análogas, la facturación quedará minorada por el importe correspondiente, conforme a las penalizaciones establecidas en el apartado 6 del Pliego de Condiciones Particulares y en el Contrato, y por el coste que suponga para Red.es la resolución de dichas incidencias. El adjudicatario, siempre previa conformidad de Red.es con los trabajos realizados en ejecución del Contrato, emitirá las facturas en las fechas y con las condiciones referidas en el apartado del presente Pliego de Prescripciones Técnicas, denominado Hitos de facturación. Las facturas deberán emitirse con el formato fijado por Red.es, en todo caso deberán contener el desglose de los impuestos indirectos aplicables indicando el número de expediente del Contrato, y se corresponderán en forma y contenido con el correspondiente pedido realizado por Red.es debiendo hacer constar el número de pedido HITOS DE FACTURACIÓN La facturación se realizará tras la aceptación por parte de Red.es y del Comité Técnico del proyecto de las actividades y la documentación soporte para cada uno de los hitos de facturación y corresponderá al importe de los servicios incluidos en dicho hito: HITO SUMINISTRO HERRAMIENTA GESTIÓN DE IDENTIDADES: Suministro de las licencias necesarias para la implantación de un sistema de gestión de identidades que permita la integración con todos los sistemas del SERIS descritos en el presente pliego y proporcione servicio a usuarios. HITO SUMINISTRO HERRAMIENTA DE SINGLE SIGN-ON: Suministro de las licencias necesarias para la implantación de una solución de single sign-on que permita la integración con todos los sistemas del SERIS descritos en el presente pliego y proporcione servicio a usuarios. HITO DEFINICIÓN Y PLANIFICACIÓN: Conclusión de la fase Definición y Planificación del proyecto y aceptación de las tareas y documentación correspondientes. En este hito se contemplan servicios y los entregables descritos en el apartado del presente pliego. HITO ANÁLISIS Y DISEÑO: Conclusión de la fase Análisis y diseño de la solución y aceptación de las tareas y documentación correspondientes. En este hito se contemplan servicios y los entregables descritos en el apartado del presente pliego. HITO IMPLANTACIÓN GESTION IDENTIDADES: Conclusión de la fase Implantación de la herramienta de gestión de identidades y aceptación de las tareas y documentación correspondientes. En este hito se contemplan servicios y los entregables descritos en el apartado del presente pliego. Página 55 de 61

56 HITO IMPLANTACIÓN SINGLE SIGN-ON: Conclusión de la fase Implantación de la solución de single sign-on y aceptación de las tareas y documentación correspondientes. En este hito se contemplan servicios y los entregables descritos en el apartado del presente pliego. HITO INTEGRACIÓN CON PILOTO: Conclusión de la fase Integración con el piloto de autenticación mediante tarjetas criptográficas y aceptación de las tareas y documentación correspondientes. En este hito se contemplan servicios y los entregables descritos en el apartado del presente pliego. HITO SERVICIOS DE SOPORTE: Conclusión de la fase Integración con el piloto de autenticación mediante tarjetas criptográficas y aceptación de las tareas y documentación correspondientes. En este hito se contemplan servicios descritos en el apartado del presente pliego. 2. FORMATO Y CONTENIDO DE LA PROPUESTA Con carácter general, la información presentada debe estar estructurada de forma clara y concisa. La propuesta no debe contener referencias a documentos externos o anexos no incluidos cuando éstos sean puntos clave en la valoración de la propuesta. Con independencia de que el licitador pueda adjuntar a la propuesta relativa a los criterios cuya valoración depende de un juicio de valor (sobre 3) cuanta información complementaria considere de interés, ésta deberá estar obligatoriamente estructurada con el formato normalizado que se detalla en el apartado siguiente. Red.es se reserva el derecho a exigir a los licitadores que presenten documentación que acredite la veracidad de la información presentada en la oferta, o bien información adicional sobre el contenido de la misma, estando el licitador obligado a ello. Red.es podrá requerir a los licitadores que formulen por escrito las aclaraciones necesarias para la comprensión de algún aspecto de sus proposiciones. En ningún caso se admitirá que en proceso de aclaraciones el licitador varíe los términos expresados en su propuesta. Sólo se admitirá la información que facilite el análisis de la solución propuesta inicialmente. La presentación de propuestas deberá cumplir las prescripciones del Pliego de Condiciones Particulares. Adicionalmente, la propuesta relativa a los criterios cuya valoración depende de un juicio de valor (sobre 3) y la propuesta relativa a los criterios cuantificables mediante la mera aplicación de fórmulas (sobre 4), deberán incluir la información y presentar la estructura que se detalla a continuación. Página 56 de 61

57 2.1. PROPUESTA RELATIVA A LOS CRITERIOS CUYA VALORACIÓN DEPENDE DE UN JUICIO DE VALOR (sobre 3) La propuesta relativa a los criterios cuya valoración depende de un juicio de valor, además de presentarse por escrito, deberá adjuntarse en soporte electrónico. IMPORTANTE: A los efectos del cumplimiento de lo establecido en los artículos 26 y 30.2 del Real Decreto 817/2009, de 8 de mayo, por el que se desarrolla parcialmente la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público, el licitador no deberá incluir en el sobre 3 información de la oferta que, de conformidad con el apartado 10.2 del Pliego de Condiciones Particulares, sea valorada de forma cuantificable mediante la mera aplicación de fórmulas. En caso contrario la oferta de dicho licitador NO será tenida en cuenta en el presente procedimiento. La propuesta deberá incluir los siguientes apartados y en el mismo orden: INTRODUCCIÓN Debe incluir como mínimo: Identificación de la propuesta. Relación a modo de índice de la documentación incluida en la que el licitador deberá numerar y nombrar los documentos aportados con un máximo de cinco entradas. Aceptación con carácter general de las condiciones de los pliegos. Datos de la empresa licitadora RESUMEN EJECUTIVO El licitador deberá sintetizar su propuesta prestando especial atención a los aspectos más destacables de la oferta en relación a los requisitos, el acuerdo de nivel de servicio y las mejoras ofrecidas CARACTERÍSTICAS TÉCNICAS SOLUCIÓN PROPUESTA Se deberá incluir la información requerida en el apartado 1.2 del presente pliego, que consistirá en una enumeración del cumplimiento de todos los requisitos, tareas, entregables, etc. solicitados en el presente pliego, ordenada estrictamente según la secuencia seguida en el apartado correspondiente. Para los Componente 1 y 2, definidos en los apartados y de este pliego, se seguirá de forma estricta y obligatoria la siguiente estructura de presentación: Página 57 de 61

58 Descripción de las funcionalidades soportadas por la solución y las características técnicas más relevantes. Esta descripción no podrá exceder las cuatro (4) páginas para cada una de las herramientas SW solicitadas. Tabla de concordancia entre los requisitos y características exigidos en la definición y los correspondientes a la solución propuesta por el licitador; en caso de que la solución contenga mejoras sobre los requisitos solicitados se deberán especificar brevemente. Los requisitos y características de cada uno de estos componentes deberán aparecer ordenados según la secuencia seguida en el apartado correspondiente. El formato de la tabla deberá ser similar al que se recoge a continuación: Componente 1 Concordancia con solicitado Mejoras [Requisito 1] [ ] [ ] [ ] [ ] [ ] Tabla 2.1 Tabla Resumen Relación de características adicionales que describen la solución propuesta para cumplir las funcionalidades y requisitos solicitados. Para el resto de componentes del apartado 1.2 se seguirá de forma estricta, siempre que así aplique, la siguiente estructura de presentación: Compromiso de cumplimiento de los plazos de ejecución definidos para cada uno de los componentes. Enfoque del licitador y definición de los objetivos y resultados clave tras la ejecución de cada una de las fases descritas en base a la información facilitada en el presente pliego. Breve descripción del modo en que el licitador abordará las tareas requeridas para cada fase o componente y posible proposición de tareas adicionales. Breve descripción del contenido de los entregables requeridos y posible proposición de entregables adicionales. Compromiso de cumplimiento con el equipo de trabajo requerido para cada componente COMPROMISO DE EJECUCIÓN Y ACUERDO DE NIVEL DE SERVICIO Se deberá incluir la descripción de las medidas dispuestas por el oferente para asegurar la calidad de los trabajos, las metodologías y los medios materiales para garantizar el adecuado cumplimiento del Contrato. Página 58 de 61

59 Se deberán describir en detalle los compromisos de ejecución y los Acuerdos de Nivel de Servicio ofrecidos indicando el cumplimiento de los requisitos de actuación y los parámetros de referencia establecidos en el apartado del presente pliego, las penalizaciones previstas para el caso de incumplimiento y cualquier aspecto adicional propuesto que supere los mismos MEJORAS Se entenderá por mejora toda propuesta de servicios o prestación superior en relación con el objeto del Contrato no incluida en los requisitos de los Pliegos. En ningún caso se podrá proponer como mejora el ofrecimiento de un número superior al requerido de los mismos bienes o servicios que constituyen el objeto del Contrato. El importe de estas mejoras estará necesariamente incluido en el precio global ofertado PROPUESTA RELATIVA A LOS CRITERIOS CUANTIFICABLES MEDIANTE LA MERA APLICACIÓN DE FÓRMULAS (sobre 4) El licitador presentará su propuesta siguiendo el modelo que se adjunta al presente pliego para la proposición económica. La información contenida en el sobre 4, además de presentarse por escrito, deberá adjuntarse en soporte electrónico, en el que se incluirán las tablas, en formato hoja de cálculo, con la totalidad de los datos necesarios para la valoración automática de las proposiciones. Se reitera que la información solicitada en el presente apartado, que se incluirá en el sobre 4, no se deberá incluir en ningún caso en el sobre 3. En caso contrario la oferta del licitador no será tenida en cuenta en el presente procedimiento PROPOSICIÓN ECONÓMICA La proposición se presentará siguiendo el modelo en formato hoja de cálculo que se refiere en el siguiente apartado y que se adjunta al presente pliego. El precio de la proposición corresponde a un escenario hipotético (en cuanto a las actuaciones concretas objeto de la contratación) definido exclusivamente a los efectos de valorar las propuestas económicas de los licitadores. No obstante lo señalado anteriormente, los precios unitarios propuestos serán vinculantes para el licitador. La proposición económica se estructurará proporcionando precios para los conceptos que se enumeran a continuación. Todos los precios se deben proporcionar en Euros, calculados y presentados con DOS decimales e IVA EXCLUIDO. Página 59 de 61

60 (P 1 ): Precio unitario IVA EXCLUÍDO - del COMPONENTE 1, Herramienta de Gestión de identidades que permita la integración con todos los sistemas del SERIS descritos en el presente pliego y proporcione servicio a usuarios. (P 2 ): Precio unitario IVA EXCLUÍDO - del COMPONENTE 2, Solución de single sign-on que permita la integración con todos los sistemas del SERIS descritos en el presente pliego y proporcione servicio a usuarios. (P 3 ): Precio unitario IVA EXCLUÍDO - para el COMPONENTE 3, Fase de Definición y Planificación del proyecto. (P 4 ): Precio unitario IVA EXCLUÍDO - para el COMPONENTE 4, Fase de Análisis y diseño de la solución. (P 5 ): Precio unitario IVA EXCLUÍDO - para el COMPONENTE 5, Fase de implantación de la herramienta de gestión de identidades. (P 6 ): Precio unitario IVA EXCLUÍDO - para el COMPONENTE 6, Fase de implantación de la solución de single sign-on. (P 7 ): Precio unitario IVA EXCLUÍDO - para el COMPONENTE 7, Fase de integración con el piloto de autenticación mediante tarjetas criptográficas. (P 8 ): Precio unitario IVA EXCLUÍDO - para el COMPONENTE 8, Servicios de soporte y mantenimiento evolutivo. (P 9 ): Precio unitario IVA EXCLUÍDO - para el COMPONENTE 9, Jornada de servicios profesionales especializados en materia de seguridad de la información. La fórmula que se establece para el cálculo del PRECIO DE OFERTA, que se corresponde con un escenario hipotético definido a los solos efectos de valorar económicamente las ofertas, es la siguiente: Precio Oferta (Pi) = (P 1 ) + (P 2 ) + (P 3 ) + (P 4 ) + (P 5 ) + (P 6 ) + (P 7 ) + (P 8 ) + (P 9 ) Todos los precios se deben proporcionar en Euros, con DOS decimales y SIN IVA. El precio de la oferta no podrá exceder de la cantidad de TRESCIENTOS UN MIL SETECIENTOS VEINTICUATRO EUROS ( ), IVA excluido. Cualquier oferta que supere dicha cantidad no será tomada en consideración en el presente procedimiento de adjudicación MODELO DE PROPOSICIÓN ECONÓMICA El modelo de proposición económica se adjunta como anexo al presente Pliego de Prescripciones Técnicas. Página 60 de 61

61 Identificador: Ks+i5ADTWYSkAD4rsomDHy7rXN8= En Madrid, a 29 de abril de 2010 SEBASTIÁN MURIEL HERRERO CARLOS CANO DOMÍNGUEZ DIRECTOR GENERAL DE RED.ES DIRECTOR DE OPERACIONES Firmado por: CARLOS CANO DOMINGUEZ Fecha firma: 29/04/2010 Firmado por: SEBASTIAN MURIEL HERRERO Fecha firma: 05/05/2010 Página 61 de 61