FAQ - EXPEDIENTE 067/12-SI Servicio de certificación de calidad de aplicaciones y productos software Apartado 7.2.2 Solvencia técnica y profesional específica (Pliego de Condiciones Particulares: Los apartados a) y b) se justificarían con la ISO 9001? a) El licitador deberá contar con un sistema de aseguramiento de la calidad basado en la serie de normas europeas en la materia, cuyo alcance cubrirá los procesos, actividades y localizaciones geográficas objeto del Contrato certificados por organismos conformes a las normas europeas relativas a la certificación o certificación equivalente. A estos efectos deberá aportarse certificación que demuestre que el licitador, cuenta con dicho sistema de asegura-miento de la calidad. ISO 9001:2000 b) El licitador deberá contar con un sistema de gestión de la seguridad de la información basado en la serie de normas europeas en la materia, cuyo alcance cubrirá los procesos, actividades y localizaciones geográficas objeto del Contrato certificados por organismos conformes a las normas europeas relativas a la certificación o certificación equivalente. A estos efectos deberá aportarse certificación que demuestre que el licitador, cuenta con dicho sistema de aseguramiento de la calidad ISO 27001 En el caso de presentarnos a esta licitación en UTE con otra compañía, ambas empresas deben cumplir la solvencia económica, financiera, técnica tanto general como específica?. Se podrían complementar la solvencia de ambas empresa si alguna de ellas no cumple con uno de los requisitos recogidos en el pliego? Al presentarse en UTE, es suficiente con que una de las empresas que componen la UTE cumpla con los requisitos de solvencia específica. En este caso al tratarse de la solvencia económica específica, bastaría con que una de las empresas la cumpliera o bien la suma de ellas. El adjudicatario llevará a cabo la gestión, instalación y administración del Software Base de los Aplicaciones en el entorno de Preproducción? El adjudicatario realizará la administración, gestión y operación de los aplicativos, bases de datos, y todo aquello que sea necesario para realizar las certificaciones correctamente en el entorno de Preproducción. El adjudicatario llevará a cabo la gestión, instalación y administración del entorno de compilación? No hay entorno de compilación, entiendo que se refiere esta pregunta al entorno de Preproduccion, entorno soportado por Red.es y responsabilidad de Red.es el soporte, gestión y administración del Sistema Operativo, Hardware, Almacenamiento, Virtualización, SMTP, DNS y balanceadores.. Cuál es el sistema de control de versiones utilizado actualmente en Red.es? Actualmente se está utilizando Subversion.
Cuál son las herramientas que dan actualmente soporte a las distintas actividades de certificación? Esta información no es relevante para el concurso. El adjudicatario deberá dar soporte a los entornos de demo y al entorno de portales? El adjudicatario debe dar soporte al entorno de producción, pero de forma ocasional se podría requerir soporte en los entornos de demo y portales. Pueden detallarnos las tareas de integración que deberá llevar a cabo el adjudicatario? Parametrización y configuración tanto de aplicativo como de bbdd, compilación, generación de desplegables o cualquier otra actividad necesaria para ayudar en el despliegue de aplicativos. Pueden detallarnos las tareas englobadas dentro del Alineamiento con la CMDB? Cuál es la herramienta utilizada actualmente para la implementación la CMDB? Las tareas se definirán según surjan las necesidades. La herramienta que se utiliza es Remedy. La gestión de los datos de prueba recae en el servicio de Certificación de Aplicaciones, en el equipo de desarrollo o en otro departamento de Red.es? Los datos de prueba los utilizará el servicio de certificación para las actividades de En el PPA, punto 6, página 23, punto (iv), se hace referencia a una penalización de: Hasta un 20% sobre la facturación total mensual, por cada incidencia/problema surgido durante las pruebas de certificación.. Puesto que la identificación de incidencias en el entorno de certificación es una de las actividades del servicio demandado, Nos podrían ampliar esta información? Esto se refiere a que si durante la realización de las pruebas de certificación, por algún tipo de error, se produjese algún problema en el aplicativo de producción, base de datos de producción u otros, se penalizaría con este porcentaje. En el PPT página 5 se hace referencia a la Verificación del modelo de procesos/maqueta. Se puede aportar más información sobre esta actividad?, Se trata de alguna de las siguientes validaciones?: Validación de la maqueta del desarrollo software? Validación del seguimiento del proceso/metodología de desarrollo? Validación del flujo de procesos de la aplicación?
Se refiere a una primera verificación del análisis Funcional, el modelo de datos, casos de uso, trazabilidad requisitos - casos de uso, etc. En el PPT punto 1.1.3.6 se indican competencias requeridas. Puesto que la gestión de los entornos es responsabilidad de Red.es y el servicio se encarga de la instalación y parametrización de las aplicaciones. Nos podrían ampliar información sobre las competencias directamente relacionadas con gestión de infraestructura: Gestión de Volúmenes en Discos, Configuración y Administración de Routers, etc.? Red.es es el responsable del soporte, gestión y administración del Sistema Operativo, Hardware, Almacenamiento, Virtualización, SMTP, DNS, balanceadores, routers y gestión de volúmenes de discos. En el punto 1.1.3.3 apartados A12 y A7 se hace referencia a un porcentaje mínimo de cobertura de código del 70% y 90% respectivamente. Se refiere a cobertura de procesos de negocio, a cobertura de clases/programas, de métodos/funciones o a cobertura de código a nivel de línea y caminos de ejecución? Se refiere a cobertura de código a nivel de línea y caminos de ejecución. En el punto 1.1.1.1 del PPT, en el epígrafe relacionado con entorno de pruebas se indica que en este entorno se realizarán las pruebas de usuario. Podría ampliar esta información?, con posterioridad se indica que las pruebas de aceptación se realizan sobre el entorno de Preproducción. En algunos puede que sea necesario realizarlas sobre el entorno de pruebas. En el punto 1.1.3.3 del PPT se hace referencia en varias ocasiones al término agenda. Podrían ampliar información sobre este término? Se refiere a Scripts, datos de prueba, casos de prueba,? La agenda se refiere a las pruebas que son necesarias realizar por el servicio de Datos de la consulta: en relación al cumplimiento de la solvencia técnica 7.2.2 b) El licitador deberá contar con un sistema de gestión de la seguridad de la información basado en la serie de normas europeas en la materia, cuyo alcance cubrirá los procesos, actividades y localizaciones geográficas objeto del Contrato certificados por organismos conformes a las normas europeas relativas a la certificación o certificación equivalente. A estos efectos deberá aportarse certificación que demuestre que el licitador, cuenta con dicho sistema de aseguramiento de la calidad. ISO 27001 Nuestra compañía cuenta con la certificación ISO 15504 (SPICE) relativa a la calidad en la gestión del ciclo de desarrollo del software, la cual incluye procesos específicos relativos a la seguridad de la información y gestión del riesgo. se considerará acreditativa dicha certificación en sustitución de la ISO 27001? No es posible aceptar la ISO/IEC 15504 en sustitución de la ISO/IEC 27000 dado que afectan a distintos ámbitos de negocio. - La serie ISO/IEC 15504 (también conocida como SPICE). Son un conjunto de normas cuyo ámbito es evaluar y mejorar la capacidad y madurez de los procesos. En principio no es específica para el software, pero se usa normal y principalmente junto con la ISO/IEC 12207 (que contiene buenas prácticas, a nivel procesos, para el desarrollo y mantenimiento software), en la evaluación y mejora de la calidad del
proceso de desarrollo y mantenimiento de software. En resumen, y en este contexto, la unión de ambas normas aplica específica y explícitamente al desarrollo mantenimiento del software. - La serie ISO/IEC 27000. Son un conjunto de normas cuyo ámbito es la seguridad, buenas prácticas para mantener los Sistemas de Gestión de la Seguridad de la Información (SGSI). Dentro de la serie (del conjunto de normas relacionadas), la ISO/IEC 27001 es certificable, y especifica los requisitos para la implantación del SGSI. En resumen, aplica a la gestión de la seguridad. En muchos casos se ve a ISO/IEC 27000 como una ampliación de uno de los numerosos procesos que trata la ISO 20000, el proceso de seguridad Documento: ppt_067.pdf Apartado: 1.2.7. NIVEL DE SERVICIO Párrafo: 6. Duración de certificaciones. Los tiempos máximos para una certificación completa por tipo de proyecto serán: Certificación de proyectos pequeños: 5 días laborables desde el inicio de la Certificación de proyectos grandes: 10 días laborables desde el inicio de la Certificación rápida de parche y script: 2 días laborables desde su solicitud. Pregunta: Al leer el pliego se entiende que la certificación de un producto puede realizarse a lo largo de todo su ciclo de vida, comenzando por las fases iniciales en las que podría hacerse una verificación de documentación (requisitos, diseños, etc.) hasta las fases finales como la implantación en la que podría realizarse una Verificación del plan de despliegue, pasando por los controles de pruebas funcionales y otros tipos de pruebas en fases de desarrollo y certificación, es decir, no todas las verificaciones se hacen de forma seguida. Este planteamiento choca con el concepto de tiempos máximos para una certificación, que parece un planteamiento lineal en el que el tiempo parece que se debe contar a partir de la entrega del software (fase de desarrollo / fase de certificación). Cómo debemos entender este concepto de tiempos máximos? RESPUESTA: Los tiempos máximos de certificación comienzan a contar una vez que se ha recibido el aplicativo, la documentación, y puede contener todas las fases que se describen en el pliego, o sólo algunas según se establezca. En el tercer párrafo de la página 15 del PPT se especifica esto: Una vez realizada la entrega por parte del desarrollador, se inicia la certificación de la misma según la planificación prevista. En este momento comienza a contar los tiempos establecidos para realizar una En el PPT se establecen SLAs a nivel de solicitud de certificaciones en forma de: tiempos de respuesta, capacidad productiva, etc La duda es que no nos queda claro qué puede llegar a tener entidad de certificación durante la ejecución del servicio y que le aplicarían todos los SLAs definidos. Para nosotros podría ser el ejemplo completo que aparece en el PPT en las páginas 15 a 19 (todas las An) o podría ser solicitudes únicas para cada Punto de Control del ciclo de vida del desarrollo de Software definidos en las páginas 5 a 6 del PPT.
Es decir y siendo prácticos, se podría dar el caso de que una sola petición de certificación de Red.es al Servicio de Certificación tenga el alcance de todos los Puntos de Control descritos en el PPT y para la que le aplicarían todos los SLAs definidos o Red.es realizaría una petición de certificación por cada Punto de Control y para cada una le aplicarían los SLAs de manera independiente? A continuación se describen en que puntos se aplican los SLAs del pliego: 1. Número de certificaciones en paralelo de nuevos aplicativos o versiones: seis certificaciones al mismo tiempo independientemente del número de certificaciones rápidas que se estén llevando a cabo las páginas 15 a 19 (todas las An) 2. Número de certificaciones rápidas de parches o scripts en paralelo: seis al mismo tiempo, independientemente del resto de certificaciones de otro tipo que se estén llevando a cabo. las páginas 15 a 19 (todas las An) 3. Tiempo de información de incidencias de instalación: Los errores encontrados en la instalación de aplicativos deben ser informados en un plazo máximo de 2 días laborables desde el inicio de la las páginas 15 a 19 (todas las An) 4. Incidencias en la implantación en producción: incidencias y problemas en la instalación y puesta en marcha de aplicativos, parches y cualquier entregable cuya instalación o implantación ha sido certificada y no se hayan detectado por motivos imputables a Servicio de Certificación. las páginas 15 a 19 (todas las An) 5. Incidencias y problemas durante la explotación de aplicativos, parches y cualquier entregable que hayan sido certificados y no se hayan detectado por motivos imputables a Servicio de Certificación. las páginas 15 a 19 (todas las An) 6. Duración de certificaciones. las páginas 15 a 19 (todas las An) 7. Tiempo de planificación de certificación: El tiempo desde que se solicita una certificación hasta que se devuelve una planificación para su certificación debe ser inferior a 8 horas laborables. Afecta a todo el servicio. 8. Tiempo de respuesta a comentarios de certificación en Jira: En relación a los tiempos de respuesta para comentarios y preguntas solicitadas en Jira en tickets de incidencias abiertas durante una certificación debe ser inferior a 4 horas. Afecta a todo el servicio. Una petición de certificación puede incluir todos los puntos de control, no hay certificaciones distintas por cada punto de control. En relación a la ISO 27001, estamos en proceso de obtención de la misma. Si presentamos un justificante sobre el estado de la misma, podría quedar subsanado este punto? El pliego indica que se debe presentar justificación de estar en posesión de la certificación, en caso de estar en proceso de su obtención deberán presentar aquella documentación que
estimen oportuna y que será evaluada por la mesa junto con el resto de documentación en el momento de revisión de la documentación administrativa. Se utiliza algún tipo de herramienta para generar los modelos de base de datos? No se solicita una herramienta específica, cada licitador puede utilizar la que desee. Criterios y método de decisión empleados en cada certificación para la selección de los diferentes tipos de actividad que pueden ser incluidos en ella. Así mismo si hay actividades obligatorias, excluyentes, número máximo y/o mínimo de ellas, etc.. Las actividades se elegirán en función de las necesidades o requerimiento del aplicativo a certificar Volumen de actividades (o reparto porcentual de las mismas) llevadas a cabo actualmente en el servicio. El servicio de certificación mensualmente comprenderá entre 10 y 12 certificaciones. Previsión de las actividades que fundamentalmente se realizarían durante la ejecución del contrato y/o porcentaje de aplicación de cada una. En su defecto y a partir de los datos actuales que pudieran ser facilitados, fiabilidad de extrapolar los mismo al contrato objeto del concurso. No es posible facilitar esta previsión por desconocimiento de la misma. Los tiempos máximos para una certificación completa por tipo de proyecto serán: Certificación de proyecto pequeño: 5 días laborables desde el inicio de la Certificación de proyecto grande: 10 días laborables desde el inicio de la Certificación rápida de parche y script: 2 días laborables desde su solicitud. El volumen de certificaciones que se llevan a cabo durante un mes está comprendida entre diez y doce certificaciones mensuales. Tal y como se ha descrito anteriormente en el caso de reentregas se contará por cada tres reentregas como una única Pregunta 1: Teniendo en cuenta que una certificación incluye la realización de una serie de controles QA o actividades (descritas en el pliego como A1 hasta A13), sería un dato importante para estimar la capacidad del servicio saber que esfuerzos medios en horas se imputan actualmente en cada tipo de certificación, sobre todo en las de proyecto. Pueden facilitarnos este dato? RESPUESTA 1: El dato solicitado es muy variable, puesto que depende de la complejidad del proyecto y del aplicativo a certificar, en un mismo tipo de certificación con dos tags/aplicativos distintitos la estimación de horas de esfuerzo es diferente no hay un patrón definido. Pregunta 2: Entendemos que hay un presupuesto para los 18 meses del contrato en el que el número de certificaciones a realizar podrá ser variable, es decir, se ejecutarán más o menos certificaciones en función de las necesidades que Red.es tenga en cada momento. No obstante, entendemos que cada certificación será estimada y tendrá asignado un esfuerzo en
horas, por tanto el número de certificaciones a realizar también tendrá una limitación presupuestaria. Es correcto? Por ejemplo, el servicio ofertado puede tener la capacidad requerida para atender hasta doce certificaciones mensuales pero esto no significa que el presupuesto permita hacer doce certificaciones cada mes Es correcto? RESPUESTA 2: El servicio de certificación mensualmente comprenderá entre 10 y 12 certificaciones, y el presupuesto debe permitir este número.