Referencia: N201300706

PLIEGO DE PRESCRIPCIONES TÉCNICAS QUE HA DE REGIR LA ADJUDICACIÓN POR PROCEDIMIENTO ABIERTO, DEL CONTRATO DE ADQUISICIÓN Y MANTENIMIENTO DE UNA SOLUCIÓN DE GESTIÓN DE IDENTIDADES PARA MUTUAL MIDAT CYCLOPS, MUTUA DE ACCIDENTES DE TRABAJO Y ENFERMEDADES PROFESIONALES DE LA SEGURIDAD SOCIAL Nº 1 (EN ADELANTE: MC MUTUAL). APROBADO POR LA REPRESENTACIÓN DEL ÓRGANO DE CONTRATACIÓN DE MUTUAL MIDAT CYCLOPS, MUTUA DE ACCIDENTES DE TRABAJO Y ENFERMEDADES PROFESIONALES DE LA SEGURIDAD SOCIAL Nº 1 EN FECHA 25 DE SEPTIEMBRE DE 2013. Referencia: N201300706 Página 1 / 45

ÍNDICE: CLÁUSULA 1ª - OBJETO DEL CONTRATO... 3 CLÁUSULA 2ª - DESCRIPCIÓN DEL ENTORNO ACTUAL.... 5 CLÁUSULA 3ª - REQUERIMIENTOS TÉCNICOS... 8 CLÁUSULA 4ª - EQUIPO DE TRABAJO....19 CLÁUSULA 5ª - PROYECTO DE IMPLEMENTACIÓN....24 CLÁUSULA 6ª - SOPORTE Y MANTENIMIENTO....34 CLÁUSULA 7ª - GESTIÓN DEL CONTRATO....43 Página 2 / 45

CLÁUSULA 1ª - OBJETO DEL CONTRATO 1.1.- El objeto del contrato consiste en el Suministro y Mantenimiento de una Solución para la Gestión de Identidades de MUTUAL MIDAT CYCLOPS, Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social número 1 (en adelante, MC MUTUAL o LA MUTUA), por obsolescencia de la actualmente implantada bajo Control-SA de BMC, de conformidad con las especificaciones contenidas en el presente Pliego de Prescripciones Técnicas y en el Pliego de Condiciones Particulares. La solución de gestión de identidades para los usuarios de MC MUTUAL deberá estar basada en una aplicación que ofrezca funcionalidades de registro de los permisos de acceso a los diferentes sistemas ofrecidos por la mutua y por terceros, aprovisionamiento de cuentas, gestión de contraseñas, definición de políticas de seguridad, y generación de informes, entre otras. Los trabajos a realizar son los que se enumeran a continuación: Análisis de los requerimientos de MC MUTUAL en el ámbito de la gestión de identidades a partir de la aplicación actual, los sistemas finales, y los procedimientos y procesos de trabajo. Diseño de la arquitectura de la solución, definición del modelo de comunicación con cada sistema final. Suministro de la aplicación de gestión de identidades e instalación sobre la infraestructura ofrecida por MC MUTUAL. Parametrización de la aplicación, carga de los datos de MC MUTUAL e integración de los sistemas finales. Configuración del entorno de explotación y monitorización. Formación y Traspaso de conocimientos. Puesta en producción. Servicios de soporte, mantenimiento y actualización del software suministrado. Servicios de Consultoría en Gestión de Identidades. Página 3 / 45

El personal técnico designado por el adjudicatario para la prestación del servicio, cuando tenga lugar de forma presencial, realizará los trabajos en las oficinas sitas en Avenida Josep Tarradellas 14-18 y Avenida Diagonal 394, de Barcelona. 1.2.- Requerimientos técnicos. En las cláusulas del presente Pliego de Prescripciones Técnicas se especifican los trabajos a realizar, así como la descripción de los productos, perfiles profesionales, conocimientos específicos y dedicación de los recursos humanos que se estiman necesarios para su ejecución. Asimismo, se especifican los trabajos a realizar en el proyecto de migración de la actual aplicación de gestión de identidades de MC MUTUAL a la nueva solución propuesta, así como los perfiles profesionales, conocimientos específicos y dedicación de los recursos humanos que se estiman necesarios para la ejecución de dicho proyecto. El incumplimiento de las prescripciones establecidas, tanto en lo relativo a los requerimientos generales como en los trabajos a realizar o en los perfiles profesionales, supondrá la exclusión de la oferta del proceso de valoración. El adjudicatario deberá garantizar la implementación de la última versión/actualización del producto ofertado y dicha versión deberá cumplir lo estipulado en el presente Pliego. El adjudicatario deberá garantizar la continuidad de la solución ofertada durante el plazo de vigencia del contrato, y deberá presentar una hoja de ruta de la aplicación que demuestre el compromiso del fabricante de evolucionar, mantener y dar soporte técnico durante al menos 5 años a contar desde la fecha real de implementación de la herramienta. 1.3.- Alcance del servicio. El alcance y ejecución del contrato se ajustará a lo dispuesto en el presente Pliego de Prescripciones Técnicas así como en el Pliego de Condiciones Particulares. Página 4 / 45

CLÁUSULA 2ª - DESCRIPCIÓN DEL ENTORNO ACTUAL. 2.1.- Introducción. MC MUTUAL dispone de una solución de gestión de identidades basada en la aplicación Control SA del fabricante BMC. Fue implementada en el año 2004 cubriendo funcionalidades básicas y desde entonces, se ha ido actualizando y ampliando la funcionalidad progresivamente. Mediante la gestión de identidades se registran y controlan los códigos de acceso de las aplicaciones informáticas que permiten a MC MUTUAL desarrollar toda su actividad. El gran número de usuarios y la variedad de aplicaciones con las que interactúan en su trabajo del día a día hacen que resulte imprescindible la existencia de una herramienta de ayuda para la gestión de identidades de forma ágil. Además, la criticidad de la información con la que trabajan los usuarios de MC MUTUAL, en muchos casos datos sanitarios, obliga a que dicha gestión se realice de forma segura. Por todo ello se requiere el uso de la herramienta de gestión de identidades. Recientemente el fabricante de la aplicación Control SA ha vendido el producto a otro proveedor que propone una línea de evolución del mismo que no se adecua a las necesidades de MC MUTUAL. Asimismo, el fabricante ha dejado de dar soporte a la versión que hay instalada actualmente en la Mutua, con el consiguiente riesgo para el servicio en caso de incidencia técnica sobre la aplicación. Para migrar a una versión de producto soportada se requiere abordar un proyecto cuyo esfuerzo económico no es justificable porque se trata de un paso intermedio de poco recorrido que obligaría en un breve periodo de tiempo a volver a abordar un nuevo proyecto de migración. Además, el plan evolutivo de la solución que propone el fabricante no ofrece garantías de continuidad del producto a medio plazo. Por todo ello, MC MUTUAL la presente licitación responde a la necesidad de MC MUTUAL de adquirir una herramienta de gestión de identidades que se adecue a sus necesidades, y que presente un recorrido de evolución con garantías como mínimo a cinco años vista. Página 5 / 45

2.2.- Descripción del Entorno Actual. Las funcionalidades que están cubiertas por la solución actual para la Gestión de Identidades de MC MUTUAL son: Repositorio de identidades: 2000 usuarios Sincronización de contraseñas en sus 7 aplicaciones más usadas Aprovisionamiento para las aplicaciones habituales Autoservicio de contraseñas La autenticación de los usuarios para acceder a los sistemas se basa en usuario/contraseña. Únicamente en casos excepcionales se utiliza certificado digital en soporte token USB (acceso remoto desde Internet para proveedores). La solución actual de gestión de identidades se basa en el producto Control SA instalado en un servidor Solaris v10 y Base de Datos Oracle 10g. Existen diferentes perfiles de trabajo dentro del área de Administración de Usuarios en función de la actividad que desarrollan: operadores, administradores, consulta total. Las aplicaciones integradas en la gestión de identidades con sincronización de contraseñas y aprovisionamiento de cuentas son: Directorio Activo, MCXXI (aplicación de negocio), Gestiona (aplicación de negocio sobre nueva infraestructura), Oracle Portal (intranet), Autoservicio del Empleado (gestión de recursos humanos Meta4), correo electrónico Lotus Notes, BPM. Además, la aplicación Savac (gestión de clínica) únicamente dispone de sincronización de contraseñas. La fuente de los datos es Oracle Portal. RRHH introduce aquí manualmente los datos de altas/bajas/modificaciones de los empleados, y desde el área de Administración de Usuarios, manualmente se dan de alta los usuarios en Control SA y por extensión en las aplicaciones integradas en función de los perfiles profesionales de las personas. Las solicitudes del personal externo las envían los supervisores correspondientes a Administración de Usuarios mediante la aplicación de ticketing. Existe un flujo de autorizaciones basado en el envío de correos electrónicos para aprobar aquellos permisos que no se ajustan al estándar de la mutua. Página 6 / 45

El metadirectorio reside sobre el Directorio Activo de Microsoft. Desde aquí se aplica la política de contraseñas, se capturan los cambios periódicos y se transfieren al resto de sistemas para su sincronización. La regeneración de las contraseñas de usuario en caso de olvido o bloqueo la gestionan de forma autónoma a partir de una utilidad de Control SA basada en preguntas desafío/respuesta que deben haber sido informadas previamente. Control SA registra la actividad realizada desde la aplicación de tal forma que permite auditar las acciones realizadas desde Administración de Usuarios y la actividad de sincronización y regeneración de contraseñas. Control SA se utiliza también como repositorio de registro de los usuarios de aplicaciones de terceros (Seguridad Social, proveedores, etc.), con el único objetivo de mantener el inventario y darlos de baja cuando dejan de ser necesarios. Externalización del Centro de Proceso de Datos de MC MUTUAL. MC MUTUAL se encuentra inmerso en un proceso de externalización de la infraestructura del CPD lo que afectará a la mayoría de los servicios informáticos, entre ellos la gestión de identidades. Además, también podrán verse afectados ciertos sistemas finales como el correo electrónico, que podrán pasar a la modalidad de cloud. El entorno descrito en este Pliego de Prescripciones Técnicas corresponde a la situación en el momento de publicación de la presente licitación. En virtud de lo expuesto anteriormente, la solución propuesta deberá adaptarse progresivamente a la nueva infraestructura de HW/SW que se proporcione desde el CPD externalizado, migrando desde la actual plataforma existente a la futura con las menores complicaciones posibles. Página 7 / 45

CLÁUSULA 3ª - REQUERIMIENTOS TÉCNICOS La solución ofertada para la Gestión de Identidades de MC MUTUAL deberá cumplir los siguientes requerimientos en los diferentes apartados de funcionalidad, configuración/adaptabilidad, extensibilidad/integrabilidad, usabilidad/amigabilidad y fabricante. 3.1.- Funcionalidad. Se identificarán en este apartado los requerimientos funcionales y la estandarización de datos que, como mínimo, deberá ofrecer la solución propuesta. 3.1.1.- Normalización. Funciones que permiten adecuar ciertos valores y funciones a los estándares habituales utilizados en MC MUTUAL. Cálculo de email y código de usuario según las reglas predeterminadas que defina MC MUTUAL y que se basarán en el nombre y apellidos del nuevo empleado. Conservación de los códigos de usuario y direcciones email utilizadas con anterioridad para evitar repeticiones al asignar los nuevos. Se deben tener en cuenta los activos y los dados de baja. Posibilidad de modificar manualmente los valores propuestos por la aplicación para las altas de usuarios, antes de que se ejecuten definitivamente. Posibilidad de crear atributos personalizados a las necesidades de MC como el puesto de trabajo, la ubicación geográfica, el perfil de acceso, etc. y basar reglas en función de ellos Posibilidad de crear reglas distintas de cálculo para usuarios internos y externos 3.1.2.- Provisioning. Los procesos relacionados con el alta/baja/modificación de usuarios deberán cubrir como mínimo: Utilización de la aplicación Meta4 de RRHH como repositorio de entrada de los datos. Automatización del proceso de alta, baja y modificación de usuarios desde la introducción de datos realizada en Meta4 por RRHH Página 8 / 45

Portal para peticiones de acceso a servicios, aplicaciones, etc. Utilizar el Cargo de una persona para calcular el perfil tipo (grupo) en la aplicación corporativa MCXXI, la cuota en la cuenta de correo electrónico, la cuota en la carpeta de red, etc. Utilizar el Servicio (unidad funcional de la estructura jerárquica) para calcular la unidad organizativa (OU) del Directorio Activo, la ubicación de la carpeta de red (servidor), etc. Añadir nuevos valores en ciertos atributos como la Oficina cuando son añadidos en la tabla genérica de la que se tiene que abastecer el gestor de identidades. Carga de la política de roles, perfiles y permisos de MC según puesto de trabajo. Propagación de los cambios realizados sobre la fuente de los datos Meta4 o sobre el gestor de identidades a los distintos repositorios de sistemas finales según perfil o tipo de usuario. Gestión de grupos de Directorio Activo de Windows, Lotus Notes, Savac, Oracle Portal, Service Desk (Computer Associates), Web-Extranet, BPM, Sciforma (BBDD), Unix y Bases de datos en general Conservación de la información sobre las identidades dadas de baja con todo su histórico de cuentas, indicando fecha de baja y con la posibilidad de incorporar comentarios como por ejemplo el motivo, sin coste adicional de licencias Creación de usuarios automática a partir de peticiones realizadas en la aplicación Service Desk de Computer Associates. Captura de información complementaria a la identidad desde los distintos repositorios de cuentas finales y actualización en la base de datos del gestor de identidades. 3.1.3.- Metadirectorio. La solución deberá ofrecer las siguientes posibilidades: Cumplirá la función de repositorio de todas las identidades y cuentas de la compañía Posibilidad de mantener toda la información referente a la identidad con todas sus características. Los campos podrán variar según la aplicación o entorno que se esté activando. Mantenimiento del catálogo de aplicaciones y/o entornos de la compañía. Posibilidad de organizar las identidades en contenedores o agrupaciones para organizar mejor la información a nivel de repositorio, utilizando criterios como la ubicación geográfica o el colectivo profesional. Página 9 / 45

Se podrá asociar a una identidad múltiples cuentas, incluso de un mismo sistema final. Posibilidad de almacenar información de cuentas de aplicaciones externas asociadas a una identidad con código de usuario distinto al código padre. Mantenimiento de identidades históricas (bajas) con todas sus cuentas asociadas. Posibilidad de mantener cuentas de baja, asociadas a una identidad, sin dar de baja la identidad en su totalidad. Indicando fecha y motivo baja. 3.1.4.- Autenticación/Autorización. En el apartado de autenticación y autorización la solución deberá soportar: Definir política de contraseñas: longitud mínima/máxima, complejidad, caducidad, bloqueo/desbloqueo. Posibilidad de regirse por política de contraseñas del Directorio Activo de Windows. Posibilidad de gestionar aplicaciones (Ej. Autoservicio del Empleado) que utilizan una segunda contraseña. Mecanismos de seguridad para garantizar, para aquellas aplicaciones que la tengan, que el usuario sea el único conocedor de su segunda contraseña y del proceso de regeneración de la misma. Sincronización de contraseñas ya sea mediante la aplicación o mediante Windows DA ó Oracle LDAP. Interfaz web usuario para regeneración de contraseña a base de preguntas desafío/respuesta. Posibilidad de que el usuario utilice sus propias preguntas de desafío. Soporte de Windows GINA para acceder al interface de autoservicio de contraseñas sin abrir sesión. Almacenamiento encriptado de contraseñas. Contenedor o asociación de certificados digitales de usuario. Aviso de caducidad de certificados digitales de usuario. Asociación de DNIe a las cuentas de usuario. Página 10 / 45

3.1.5.- SSO (Single Sign On). Si bien la funcionalidad Single Sign On no se contempla en el alcance del presente contrato, la herramienta ofertada deberá disponer de dicha opción para poder cubrir la referida funcionalidad, en su caso. A tal efecto, el licitador deberá incluir en su oferta una breve descripción de dicha funcionalidad y su arquitectura. 3.2.- Configuración y Adaptabilidad. La herramienta propuesta se deberá poder personalizar con las características de imagen propias de MC MUTUAL. La adaptación deberá hacerse sin necesidad de recurrir a desarrollos complejos y se podrán extraer de forma sencilla informes sobre la actividad. 3.2.1.- Requerimientos Generales. Posibilidad de personalizar la aplicación con los iconos, logos y colores de la imagen corporativa de MC MUTUAL. Posibilidad de adaptar la aplicación a los requerimientos y particularidades de MC MUTUAL mediante parametrización evitando en lo posible las adaptaciones mediante desarrollos. 3.2.2.- Gobierno. Posibilidad de gestionar diversos perfiles en la herramienta diferenciando los permisos de los usuarios administradores, auditores, operadores y usuarios generales. Consulta de uso de los accesos por parte de cada identidad. El sistema sólo debe ser utilizado y operado por personal autorizado. 3.2.3.- Reporting. La solución ofertada deberá contar con las siguientes funcionalidades: Generación de informes parametrizables para explotar y consultar la información cruzando diferentes criterios: identidades, cuentas, roles, ubicaciones, utilización, grupos, actividad, etc. Página 11 / 45

Exportación del resultado de los informes a Excel. Conservación del histórico de toda la actividad relacionada con el sistema. Consulta de indicadores de uso y otras métricas. 3.2.4.- Webservices Disponibilidad de métodos para consulta de información e integración con otras aplicaciones o entornos. La solución ofertada deberá cubrir las funcionalidades ya existentes e integrar como mínimo, los mismos sistemas con los que se integra el aplicativo actual de Gestión de Identidades de MC MUTUAL, BMC Control SA. 3.3.-Extensibilidad e integrabilidad. La solución deberá ser suficientemente flexible para aceptar la ampliación con nuevos sistemas finales y más usuarios. 3.3.1.- Nuevas aplicaciones. Disponibilidad de servicios de integración con nuevas aplicaciones. La herramienta deberá contar con utilidades que permitan integrar aplicaciones mediante parametrización y evitando tener que recurrir a desarrollos y programas complejos, de tal forma que MC MUTUAL cuente con la autonomía suficiente para integrar aplicaciones sin necesidad de disponer de personal altamente cualificado. A tal efecto, el adjudicatario deberá realizar un traspaso de conocimientos y formación suficientes para que el personal de MC MUTUAL adquiera esa autonomía. 3.3.2.- Conectores. La solución deberá contar con los siguientes conectores: Lotus Notes Lotus Notes 8,5,1 Enterprise Server (UNIX/Notes). Oracle Portal OAS 10.1.3.0 (UNIX/Oracle). Windows Active Directory Windows/Windows. Solaris. BBDD Oracle y SQL Server. Página 12 / 45

Además, se valorará la disponibilidad de estos otros conectores: Exchange. Meta4 META4 EMIND 1.1 (UNIX/Oracle). Oracle Financials (UNIX/Oracle). CA Service Desk Manager (Windows/Oracle). 3.3.3.- Aplicaciones de carácter general. Se deberán integrar las siguientes aplicaciones: MCXXI : aplicación corporativa de desarrollo propio basada en Oracle Forms y en base de datos Oracle (v10.2.04). SAVAC (UNIX/Oracle): paquete de gestión clínica. Microsoft CRM 3.0 (Windows/SQL Server) Web Extranet UNIX/Oracle IIS, Apache, SQL Server. (Desarrollo propio) 3.3.4.- Accesos básicos. Se deberán integrar las siguientes aplicaciones: Autoservicio empleado: aplicación de recursos humanos (META4 EMIND 1.1 (UNIX/Oracle) Se valorará la integración de las siguientes aplicaciones: Smart Smart 11r1 (Windows/Oracle) 3.3.5.- Aplicaciones departamentales. Otras aplicaciones susceptibles de ser integradas: BPM Aqualogic BPM (Unix/Oracle) o equivalente. Cognos 10 (UNIX/Oracle). Página 13 / 45

Liferay 6 (Unix/Oracle). PACS - Synapse 3.2.1 (SR-320). Cubos Qlikview 6.3.4. SCIForma: gestión de proyectos. Powercenter: herramienta de desarrollo. 3.3.6.- Recursos especiales de administración. Windows Active Directory Unix BDD 3.3.7.- Aplicaciones en Cloud. La solución ofertada deberá permitir la integración con aplicaciones en Cloud. 3.4.- Usabilidad y amigabilidad. La solución deberá ser suficientemente inteligible y sencilla de utilizar para el personal que actualmente ya utiliza la aplicación de gestión de identidades Control SA, y el licitador deberá ofrecer la formación necesaria para su correcta operación. 3.4.1.- Interfaz. La interfaz de usuario de la herramienta de gestión de identidades deberá tener las siguientes características: Interfaz web multibrowser: compatible con distintos navegadores. Imprescindible Internet Explorer. Deseable disponibilidad de versión para smartphone y/o tablets. Agilidad y sencillez en la utilización de la consola: Navegación y organización de los conceptos en la página intuitivas. Aspecto gráfico de la aplicación cuidado y agradable Eficacia: la organización de la interfaz proporcionará la información necesaria en pocos clics y deberá disponer de ayudas on-line. Página 14 / 45

AJAX: la interfaz de usuario incorpora AJAX para su presentación más ágil y con mejores refrescos. Aspecto de la Interfaz de usuario final del módulo de preguntas desafío/respuesta intuitivo y amigable. 3.4.2.- Idioma. En el apartado de idiomas, la herramienta deberá ofrecer: Castellano: Disponibilidad versión en castellano para el interfaz de usuario y administrador Versatilidad: Deseable el contar con múltiples idiomas instalados y operativos en la misma instalación. Selección idioma: Deseable la posibilidad de seleccionar el idioma para la interfaz. 3.4.3.- Administración. Fácilidad de operación del sistema: una interfaz gráfica de fácil uso para las tareas de operación y administración del sistema. Acciones de copia de entidades: Posibilidad de realizar altas a partir de copiar una identidad a otra, una cuenta a otra, etc. Herramientas basadas en asistentes: para facilitar las operaciones a realizar, así como las tareas de administración y configuración. 3.4.4.- Búsqueda. Motor de búsquedas: El sistema proporcionará un motor de búsqueda de elementos con múltiples criterios. 3.5.- Plataforma tecnológica. La infraestructura hardware y software sobre la que se instale la solución deberá cumplir los siguientes requerimientos: Página 15 / 45

3.5.1.- Requerimientos Generales. La infraestructura HW sobre la que se instalará la solución ofertada será suministrada y mantenida por MC MUTUAL en su Centro de Proceso de Datos. No se aceptarán soluciones en Cloud. La solución debe estar basada en una plataforma web Posibilidad de disponer de la solución en alta disponibilidad 3.5.2.- Lenguaje. Lenguaje de programación JAVA 3.5.3.- Base de datos. La solución deberá poder instalarse sobre las bases de datos: Imprescindible: Oracle. Deseable: SQL Server. 3.5.4.- Servidor. La solución deberá poder instalarse sobre las tecnologías de servidor: Instalación compatible sobre servidor UNIX como SO y/o Microsoft Windows Server. Servidor aplicaciones soportado: Weblogic. Otros servidores aplicaciones deseables Tomcat, Apache, IIS. 3.5.5.- Seguridad y acceso. La autenticación se basará en usuario y password. El acceso a la base de datos será autenticado. La autenticación de la solución deberá poderse integrar con DA. La autenticación de la solución estará integrada con LDAP. Página 16 / 45

Se deberán registrar en un log los fallos de acceso al sistema, así como las acciones dentro del mismo denegadas por falta de permisos. Deberá disponer de granularidad en la seguridad a diferentes niveles: de identidad, cuentas, grupos, tipos, etc. 3.5.6.- Administración. Deberá contar con un sistema de backup integrado o permitir que se pueda realizar el backup automatizado desde software específico como Legato. Cuando se perciban eventos y/o errores del sistema, estas situaciones quedarán reflejadas en un log. Deberá integrarse con la herramienta de SIEM de centralización de logs utilizada en MC Mutual (RSA EnVision). El Gestor de Identidades ofertado deberá enviar el log de actividad al SIEM. Deberá integrarse con la herramienta de monitorizació utilizada en MC Mutual (BMC Patrol), o equivalente, en caso de sustitución. Desde dicha herramienta se monitorizará el funcionamiento de los servicios del Gestor de Identidades. 3.5.7.- Escalabilidad. Deberá ser escalable en los siguientes aspectos: Identidades. Cuentas. Aplicaciones. Sistema. Tecnologías. Funcionalidades: nuevos conectores. Portabilidad: deseable la existencia de utilidades que faciliten el cambio de entorno. Migración o actualización: deseable la existencia de utilidades de migración a nuevas versiones. Página 17 / 45

3.6.- Requerimientos Generales. Roadmap del producto: el fabricante deberá ofrecer un compromiso de evolución del producto que asegure la continuidad del mismo como mínimo durante un plazo de CINCO (5) AÑOS. Consolidación del producto: la fecha de lanzamiento de la primera versión del producto ofertado deberá ser como mínimo TRES (3) AÑOS anterior a la fecha de presentación de la oferta por parte del licitador. Última versión liberada: la fecha de última versión/actualización del producto ofertado deberá ser como máximo DIECIOCHO (18) MESES anterior a la fecha de presentación de la oferta por parte del licitador. Perdurabilidad de las versiones y versión más antigua operativa soportada: la fecha de la versión operativa más antigua que es soportada por el fabricante debe ser como mínimo DIECIOCHO (18) MESES anterior a la fecha de presentación de la oferta por parte del licitador. Documentación. Se ofrece acceso a una base de conocimiento digital de la solución. Se ofrecen manuales de administración y uso de la solución. Licencias. Tipología licencia: si el licenciamiento es por identidades, no deben contabilizarse las dadas de baja, aunque se conserve la información sobre las mismas en la herramienta, Control licencias: si la herramienta controla el exceso de licencias, la acción en caso de sobrepasarse será informativa, y no de bloqueo de uso, para que MC MUTUAL pueda regularizar la situación a la mayor brevedad posible. Página 18 / 45

CLÁUSULA 4ª - EQUIPO DE TRABAJO. 4.1.- Recursos asignados. El Equipo de Trabajo adscrito por el adjudicatario a la ejecución de los trabajos de los que es objeto este pliego, estará formado COMO MÍNIMO por los siguientes perfiles técnicos y de gestión: PERFIL PROFESIONAL JEFE DE PROYECTO TÉCNICO SISTEMAS Y SEGURIDAD CONSULTOR DE PROCESOS GI TÉCNICO DE PROCESOS GI CÓDIGO JP TSS CP TP El número de recursos asignados a la realización de los servicios descritos anteriormente será el que la empresa adjudicataria estime necesarios para cumplir con las necesidades indicadas. 4.2.- Requerimientos Técnicos. Los trabajos a realizar para cada uno de los perfiles profesionales solicitados son los que se indican a continuación: PERFIL PROFESIONAL TRABAJOS A REALIZAR JEFE DE PROYECTO Análisis de la situación actual Análisis de requerimientos. Estimación de esfuerzos y planificación de trabajos. Coordinación, supervisión y seguimiento del desarrollo del proyecto. Presentación de los entregables Coordinación de las reuniones de seguimiento con el cliente. Gestión de Riesgos: identificación de forma cualitativa y cuantitativa de posibles riesgos y acciones mitigadoras Interlocución con el equipo de trabajo: usuarios y responsable interno de TI. Coordinación de la puesta en marcha. Finalización: conclusión y aceptación del proyecto, recibiendo la conformidad del resultado, realizando la entrega y recopilando la documentación generada. Página 19 / 45

TÉCNICO DE SISTEMAS Y SEGURIDAD Definir la infraestructura hardware y software sobre la que se apoya la solución: máquinas, recursos, sistema operativo, base de datos, versiones Configurar la plataforma con los parámetros adecuados a la solución de gestión de identidades teniendo en cuenta criterios de buenas prácticas de seguridad. Instalar la aplicación y configurar los servicios de base CONSULTOR DE PROCESOS DE GESTIÓN DE IDENTIDADES Análisis de impacto de requerimientos. Elaboración del Análisis Funcional. Análisis y elaboración de los procesos de gestión de identidades. Diseño del modelo de datos. Diseño de los flujos de datos Diseño de los informes Asesorar en las cuestiones sobre las que tienen un conocimiento especializado. Ofrecer una opinión experta, pericia y conocimientos relativos a los requisitos del negocio, técnicos y de usuario que han de tenerse en cuenta en el desarrollo del sistema de información. Elaboración del plan de pruebas funcionales. Validación del resultado de las pruebas funcionales. TÉCNICO DE PROCESOS DE GESTIÓN DE IDENTIDADES Estimación de esfuerzos y planificación de trabajos asignados. Elaboración de Diseño Técnico. Definición del modelo de datos. Customización de la aplicación de acuerdo a los requerimientos. Desarrollo de los módulos necesarios para adecuar el comportamiento de la aplicación al diseño técnico Preparar y ejecutar las cargas iniciales de datos Coordinación, supervisión y seguimiento del equipo asignado para el desarrollo del trabajo. Interlocución usuarios y responsable interno de TI. Traspaso de conocimientos al personal de TI. Asimismo, la oferta de servicios incluirá la gestión del proyecto, el seguimiento de la calidad, las reuniones e informes del seguimiento propiamente dicho, y cuantas tareas se estime necesarias para la gestión de la prestación del servicio, indicando la empresa licitadora, los recursos que estime necesarios para este cometido, de conformidad con lo estipulado en la Cláusula 7ª del presente Pliego de Prescripciones Técnicas. A tal efecto, la empresa licitadora deberá indicar en su oferta los recursos que integren el Equipo de Trabajo adscrito por el adjudicatario a la ejecución del proyecto, incluyendo el número de recursos, la cantidad de horas previstas por perfiles y por recursos, y la Página 20 / 45

dedicación y roles que ejercerán durante el transcurso de la prestación del servicio, desglosado por fases, cumplimentando para ello las tablas que se muestran a continuación: PERFIL PROFESIONAL PERFIL 1 PERFIL N RECURSOS CÓDIGO NOMBRE Y APELLIDOS RECURSO 1 RECURSO 2 RECURSO N RECURSO 1 RECURSO 2 RECURSO N PERFIL PROFESIONAL PERFIL 1 PERFIL N RECURSOS RECURSO 1 RECURSO 2 RECURSO N RECURSO 1 RECURSO 2 RECURSO N DEDICACIÓN FASE 1 FASE 2 FASE N horas % horas % horas % TOTAL 100 100 100 TOTAL HORAS Se advierte a las empresas licitadoras que todos los perfiles profesionales ofertados que integren el Equipo de Trabajo, deberán estar perfectamente identificados con el correspondiente Código indicado en el apartado 4.1. En caso que la propuesta técnica incluya otros perfiles adicionales no contemplados en dicho apartado deberán identificarse con el Código OTROS. 4.3.- Capacitación técnica y funcional del equipo de trabajo. 4.3.1- Conocimientos requeridos. Los recursos asignados por el adjudicatario al equipo de trabajo en su conjunto deberán reunir un adecuado conocimiento de la totalidad de productos y sistemas que conforman el entorno de la solución de gestión de identidades Página 21 / 45