PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE SERVICIOS DE CERTIFICACIÓN
Página 2 de 13
Índice PRIMERA: INTRODUCCIÓN...4 SEGUNDA: OBJETO DEL CONTRATO...5 TERCERA: REQUERIMIENTOS TÉCNICOS...7 CUARTA: SERVICIOS DE INSTALACIÓN Y MANTENIMIENTO...11 QUINTA: DECLARACIÓN DE PRÀCTICAS DE CERTIFICACIÓN...12 SEXTA: SEGURIDAD...12 SÉPTIMA: PLAZO DE EJECUCIÓN DEL PROYECTO...12 OCTAVA: FORMA DE PAGO...13 Página 3 de 13
PRIMERA: INTRODUCCIÓN La Dirección General de Tecnología y Comunicaciones es el órgano responsable de dotar de infraestructuras de tecnología de la información a las distintas aplicaciones y servicios del Govern de les Illes Balears. Actualmente hay conectadas a la red corporativa del Govern de les Illes Balears 7.000 estaciones de trabajo. La Ley 11/2007, Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, obliga a la Administración a ofrecer sus servicios al Ciudadano de forma telemática a partir del 31 de diciembre de 2009. Esta ley se basa en el uso de aplicaciones informáticas para posibilitar la relación del Ciudadano con la Administración, de manera segura y accesible, mediante el uso de certificados reconocidos. Esta Ley expresa el derecho a los ciudadanos a solicitar a sus Administraciones servicios avanzados y eficientes que garanticen el acceso a los mismos de forma telemática. Surge así la necesidad de incorporación de la firma electrónica a los procesos del Govern de les Illes Balears, mediante el uso de la tecnología de certificados digitales (certificados de funcionario y de ciudadano). El uso de certificados de funcionario es un paso más de cara a la introducción de la tramitación electrónica en todos los procedimientos administrativos del Govern de les Illes Balears, según las exigencias de la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos. Permitirá que cualquier funcionario del Govern pueda firmar electrónicamente documentos que formen parte de procedimientos dentro de su ámbito de competencia con plena validez legal. Página 4 de 13
SEGUNDA: OBJETO DEL CONTRATO El objeto del contrato consiste en la contratación de: Servicios de certificación para el uso de los siguientes tipos de certificado: Certificados de empleado público, de acuerdo al artículo 19 de la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos Certificados de sede, de acuerdo al artículo 17 de la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos Certificados de sello de órgano, de acuerdo al artículo 19 de la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos Certificados genéricos de componente software. Certificados de servidor SSL. Estos servicios consistirán en: Generación y gestión de claves para la emisión de los certificados. Ha de permitir al Titular del certificado firmar electrónicamente cualquier documento, dentro del ámbito de sus competencias, con validez legal, de acuerdo a la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, con las obligaciones por parte del emisor de los certificados inherentes a la misma Registro de usuarios Emisión, revocación y archivo de certificados de clave pública Publicación de certificados y del Registro de Certificados Los servicios tendrán una duración de 2 años. Suministro y personalización del soporte hardware de almacenamiento para cada certificado de persona física emitido, basado en tarjetas criptográficas con contraseña de acceso, así como el software necesario para el acceso por parte de las diferentes aplicaciones al certificado almacenado. Se incluirá soporte del software y hardware suministrado durante la duración del contrato. Como características mínimas, deben cumplir: Disponer de interfaz PKCS#11 para plataforma Microsoft, Linux y Apple. Página 5 de 13
Disponer de interfaz CryptoAPI, para plataformas Microsoft Capacidad para un mínimo de cuatro claves privadas y ocho certificados. Certificado de cumplimento de la norma CWA-14169 Se prevé que las necesidades mínimas en cuanto a emisión de certificados electrónicos: 1 Certificados de sede electrónica 20 Certificados de servidor 10 Certificados de componente 2000 Certificados de empleado público en dispositivo seguro 50 Sellos de órgano Página 6 de 13
TERCERA: REQUERIMIENTOS TÉCNICOS El servicio ofertado deberá cumplir los siguientes requisitos técnicos: Generación y gestión de claves Emisión de certificados reconocidos, según el Capítulo II de la Ley 9/2003, de 19 de diciembre, de Firma Electrónica El formato de los certificados emitidos se basará en las normas especificadas por la Unión Internacional de Telecomunicaciones, sector de normalización de las telecomunicaciones, en la Recomendación UIT-T X.509, de 31 de Marzo de 2000 o superiores (ISO/IEC 9594-8 de 2001). El formato será el correspondiente a la Versión 3 del certificado, especificado en esta norma. El certificado será valido para el uso con protocolos de comunicación estándares de mercado, tipo SSL, TLS, etc. Se proporcionarán todos aquellos elementos necesarios para solicitar y generar un certificado formado por una clave pública y otra privada, que permitan al titular (independientemente del tipo de certificado) firmar, identificarse y proteger la seguridad de sus comunicaciones a través de mecanismos de cifrado Las claves privadas del certificado permanecerán siempre bajo el control exclusivo del titular, y almacenadas en el soporte correspondiente. El licitador no almacenará en ningún caso las claves privadas. Archivo de claves públicas Las claves públicas de los certificados emitidos permanecerán archivadas en archivos seguros durante un periodo no menor de 8 años Las claves privadas son exclusivas de los titulares de los certificados. No se podrá utilizar diferentes certificados para una misma clave, ya sea pública o privada Registro de usuarios El registro podrá realizarse tanto por el propio licitador como por cualquier otra Administración Pública dependiente del Govern de les Illes Balears que esté debidamente autorizada. Página 7 de 13
El licitador indicará los requisitos técnicos, formativos y organizativos para llevar a cabo el citado registro en las oficinas de la Administración, aportando el material de formación y documentación necesaria a aquellas personas encargadas del registro. El licitador no podrá imputar gastos al Govern. por la implantación de oficinas de registro. Emisión, revocación y archivo de certificados de clave pública No ha de existir ninguna otra entidad u organismo con capacidad de emisión de los certificados del licitador. El licitador garantizará, por medio de su firma electrónica, la integridad y la identidad del titular del certificado. Para cada certificado emitido se garantizará que será exclusivamente el titular del mismo el poseedor de la clave privada, proporcionada en el momento de su emisión. El tiempo máximo en la emisión de un certificado será de 8 horas desde el momento de la acreditación de la identidad. El licitador no omitirá en ningún caso hechos conocidos que pudiesen afectar a la fiabilidad de los certificados. El licitador revocará un certificado emitido, desde la fecha en que tuviese conocimiento de cualquiera de los casos especificados en el Articulo 8 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica. El licitador pondrá a disposición del Govern de les Illes Balears los mecanismos seguros necesarios para permitir informar de cualquier circunstancia que pudiese provocar la inmediata revocación de un certificado emitido. Dichos mecanismos deben estar operativos de lunes a viernes, de 8:00 a 21:00. Opcionalmente, se podrán habilitar los mecanismos necesarios para que el propio titular del certificado pueda solicitar su suspensión o revocación, ya sea de forma telefónica o telemática. Mediante un centro de atención telefónica, cualquier titular de un certificado podrá resolver cualquier duda o incidencia relativa a la validez o utilización de los certificados. Página 8 de 13
Publicación de certificados de clave pública y registro de certificados Una vez emitido el certificado, el licitador deberá proporcionar un mecanismo estándar, gratuito y universal de consulta en línea de su estado de revocación. La revocación de un certificado provocará la inmediata publicación en el listado de certificados revocados. El listado de acceso revocados será un servicio de acceso telemático, en línea, siempre disponible y universal Información a incluir en los certificados Certificados de Sede: Descripción del tipo de certificado Nombre descriptivo de la sede electrónica Denominación de nombre del dominio / dirección IP Nombre de la entidad suscriptora Número de Identificación Fiscal de entidad suscriptora Sello de Órgano: Descripción del tipo de certificado Denominación de sistema o componente informático Nombre de la entidad suscriptora Número de Identificación Fiscal de entidad suscriptora Certificado de Empleado Público: Descripción del tipo de certificado Datos de identificación personal de titular del certificado Nombre de pila Primer Apellido Segundo Apellido NIF o NIE Nombre de la entidad en la que presta sus servicios Número de Identificación Fiscal de la entidad Opcionalmente: Dirección de correo electrónico Página 9 de 13
Cargo o puesto de trabajo. Número de Registro de Personal Certificados genérico de componente Descripción del tipo de certificado Descripción del certificado. Certificados de servidor Descripción del tipo de certificado. Nombre del servidor. Opcionalmente, su dirección IP. En cuanto a las tarjetas criptográficas suministradas, deben cumplir los siguientes requisitos: Soporte para certificados X.509 v3 Tarjetas asíncronas (protocolos T=0 y T=1) PC/SC "Interoperability Specifications for ICCs and Personal Computer Systems" ISO 7816 Especificaciones EMV 2000 Device Class Specification for USB Chip/Smart Card Interface Devices (CCID) CT-Api SPE (Secure Pin Entry) Class 2 reader Sistemas operativos soportados: Windows 98, ME, 2000, XP, XP 64bit, Linux, Mac OS X, Vista En caso de requerir la instalación de software en las estaciones de trabajo de los usuarios, la instalación debe poderse realizar de manera silenciosa y preconfigurada, para poder realizar la instalación instalaciones remotas de manera desatendida mediante las herramientas de instalación de software que dispone el Govern de les Illes Balears Página 10 de 13
CUARTA: SERVICIOS DE INSTALACIÓN Y MANTENIMIENTO El contratista deberá prestar los siguientes servicios, de acuerdo a los requerimientos técnicos descritos anteriormente: Emisión de certificados electrónicos. Validación electrónica de certificados electrónicos. Soporte técnico: resolución de incidencias y/o consultas técnicas de lunes a viernes, de 8:00 a 21:00 Formación y soporte a los agentes de las oficinas de registro. Página 11 de 13
QUINTA: DECLARACIÓN DE PRÀCTICAS DE CERTIFICACIÓN. El oferente incluirá un Plan de Trabajo detallado así como la Metodología a seguir en el que se explicará el contenido de cada una de las fases, los hitos y actividades, indicando las estimaciones de tiempo y perfil de las personas implicadas que puedan requerirse para llevarse a cabo. Adicionalmente, el oferente deberá detallar la declaración de prácticas de certificación para cada uno de los tipos de certificados indicados. SEXTA: SEGURIDAD Los oferentes aportarán una Memoria descriptiva de las medidas que adoptarán para asegurar la disponibilidad, confidencialidad e integridad de los datos manejados y de la documentación facilitada. Asimismo, deberán incluir en su oferta la designación de la persona o personas que, sin perjuicio de la responsabilidad propia de la empresa, estarán autorizadas para las relaciones con la Administración a efectos del uso correcto del material y de la información a manejar. Se adjuntará una descripción de su perfil profesional, y sólo podrán ser sustituidas con la conformidad de la Administración. El adjudicatario se compromete a no dar la información y datos proporcionados por la Administración, o cualquier uso no previsto en el presente Pliego. En particular, en cumplimiento de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de carácter Personal (LOPD), el contratista se compromete a: No aplicar o utilizar los datos personales obtenidos para fines distintos a los que figuran en el presente contrato y sus anexos, ni cederlos a terceros, ni tan siquiera para su conservación. Guardar secreto profesional respecto a ellos mismos, incluso después de finalizar la relación con el Govern de les Illes Balears. Trasladar las citadas obligaciones al personal que dediquen al cumplimiento del presente contrato. SÉPTIMA: PLAZO DE EJECUCIÓN DEL PROYECTO El plazo previsto para la ejecución de los servicios de emisión de certificados será de 2 años partir de la firma del contrato. Página 12 de 13
OCTAVA: FORMA DE PAGO. Mensualmente, el adjudicatario emitirá una factura donde se detallen los certificados emitidos en el periodo. Una vez validada y aceptada, se procederá a la tramitación del correspondiente expediente de pago. Dicha factura detallará para cada certificado el tipo de certificado emitido, la descripción del mismo y la unidad registral desde la que se ha realizado el proceso de registro. Página 13 de 13