Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
1
CONTRATO DE SERVICIOS. ASISTENCIA TÉCNICA PARA EL SUMINISTRO E IMPLANTACIÓN DE UN NUEVO EQUIPAMIENTO PARA LA MEJORA EN LA GESTIÓN DE LA SEGURIDAD PERIMETRAL TIC DE LA RED INFORMÁTICA CORPORATIVA DE LA AUTORIDAD PORTUARIA DE LA BAHÍA DE CÁDIZ (Ref. CA-041-17)
PLIEGO DE PRESCRIPCIONES TÉCNICAS
Í N D I C E: 1. ANTECEDENTES .................................................................................................. 2 2. JUSTIFICACIÓN DE LA NECESIDAD ................................................................... 4 3. OBJETIVOS A CONSEGUIR ................................................................................. 6 4. OBJETO DEL PLIEGO .......................................................................................... 7 5. ALCANCE DE LOS TRABAJOS ............................................................................ 8 6. DESCRIPCIÓN DE LOS TRABAJOS. ................................................................... 9
6.1 SITUACIÓN ACTUAL ..................................................................................... 9 6.2 SITUACIÓN FINAL ....................................................................................... 10 6.3 REQUERIMIENTOS TÉCNICOS .................................................................. 10
6.3.1 REQUERIMIENTO GENÉRICOS .......................................................... 11 6.3.2 REQUERIMIENTOS ESPECÍFICOS ..................................................... 11
6.4 REQUERIMIENTOS FUNCIONALES ........................................................... 19 6.4.1 REQUERIMIENTOS GENÉRICOS ........................................................ 19
7. DESARROLLO Y EJECUCIÓN DE LOS TRABAJOS. ......................................... 19 8. IMPLANTACIÓN DEL SISTEMA ......................................................................... 21 9. FORMACIÓN. ...................................................................................................... 22 10. DOCUMENTACIÓN FINAL A ENTREGAR. ..................................................... 23 11. RECEPCIÓN DEL PROYECTO ....................................................................... 24 12. SOPORTE Y MANTENIMIENTO ...................................................................... 24 13. SEGUIMIENTO Y CONTROL. ......................................................................... 24 14. PERIODO DE GARANTÍA:............................................................................... 25 15. PROPIEDAD INTELECTUAL. .......................................................................... 26 16. CONFIDENCIALIDAD DE LOS TRABAJOS..................................................... 26 17. PROTECCIÓN DE DATOS .............................................................................. 26 18. TRANSFERENCIA DE CONOCIMIENTO Y TECNOLOGÍA. ............................ 29 19. PRESUPUESTO. ............................................................................................. 29 20. PLAZO DE REALIZACIÓN. .............................................................................. 29
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
2
1. ANTECEDENTES
La Autoridad Portuaria de la Bahía de Cádiz (APBC) dispone desde hace muchos
años dentro de su Infraestructura Tecnológica que proporciona soporte a la Red
Informática Corporativa (RIC) de un equipamiento indispensable y clave para la
interconexión de sistemas de información conforme a los denominados Sistemas de
Protección de Perímetro (SPP), entendidos como aquellas plataformas tecnológicas
compuestas por una arquitectura heterogénea de recursos hardware y software,
también denominados Dispositivos de Seguridad de Perímetro (DPP), que tienen la
finalidad de mediar (analizar y proteger) en el tráfico de entrada y salida en dichos
puntos de interconexión.
Dicho equipamiento ha venido transformándose en el tiempo en función de distintos
factores, entre los que destacan la propia evolución de la tecnología y el mercado, los
niveles de seguridad requeridos, los servicios prestados y las normativas aplicables.
Entre dichas normativas aplicables destaca especialmente el Esquema Nacional de
Seguridad (ENS) que, con la finalidad de crear las condiciones necesarias de
confianza en el uso de medios electrónicos a través de medidas para garantizar la
seguridad de los sistemas, los datos, las comunicaciones y los servicios, establece la
obligatoriedad de proteger el perímetro de los sistemas a interconectar, en particular si
se utilizan redes públicas total o parcialmente, así como de analizar los riesgos
derivados de la interconexión de los sistemas controlando su punto de unión, con la
propuesta y disposición de un marco de referencia y apoyo en la serie de documentos
STIC-CCN (para el objeto de este expediente según las recomendaciones y
nomenclatura de la Guía CCN-STIC-811).
En el caso concreto de la APBC, en los orígenes, la RIC constaba de un número muy
limitado de equipos con un direccionamiento único, pocas conexiones externas y sin
necesidad de enrutamiento, por lo que los problemas de interconexión de sistemas se
resolvían puntualmente con dispositivos de Conexión Directa (DPP-0) o de Filtros de
Paquetes (DPP-1).
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
3
En el devenir del tiempo esta RIC fue creciendo y evolucionando hasta que en el año
2003 la APBC procedió a la publicación y prestación de servicios electrónicos al
exterior. Este hecho conllevó un gran cambio en la arquitectura tecnológica disponible
para implantar una configuración tipo SPP-2 (Zona Desmilitarizada) basada en el
principio de la doble protección en la que ya es necesaria la utilización de dispositivos
Cortafuegos (DPP-2) y Guarda o Proxy (DPP-3).
En aquella primera implantación se dispusieron elementos hardware para ambos tipos
de dispositivos. Con posterioridad se ha pasado por distintas plataformas y distintas
versiones acorde al crecimiento del catálogo de servicios y sistemas de la APBC.
En relación al dispositivo Proxy (DPP-3) el equipo inicial se virtualizó cuando la APBC
dispuso de esta tecnología. Con escasa evolución operativa, funcional y de servicio
este dispositivo no necesita adecuación.
En relación al dispositivo Cortafuegos (DPP-2) desde un primer momento se eligió la
solución empresarial de CheckPoint. Inicialmente a través de un “appliance” de Nokia
sobre el que estaba instalado el FW-1. Con posterioridad se migró a una plataforma
basada en Windows sobre la que se instaló la versión R55. Con el progresivo y
continuo aumento de las necesidades de conexión, la privacidad de la información y la
criticidad de la seguridad perimetral, resultó necesario la actualización hacia una
arquitectura en capas que posibilitara la inclusión de otros módulos para asegurar el
análisis de amenazas y la gestión de las políticas de acceso, que se consiguió con la
versión R75 en un servidor físico dedicado HP Proliant con varias interfaces de red. En
la actualidad, considerando que este equipamiento deberá estar sujeto a constante
evolución, este dispositivo consta de:
• Servidor físico obsoleto: Servidor HP Proliant DL 380
• Sistema Operativo Windows 2012 R2
• Software CheckPoint versión R77 con los siguientes módulos contratados:
o IPS (Intrusion Pevention System)
o URL y Control de Aplicaciones
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
4
Relacionado con lo anterior, en un Expedientes previo a éste (CA-045-15), en el que
se abordó el Plan de Adecuación al ENS de la APBC, se incluyó un módulo adicional
para una consultoría específica sobre la Seguridad Perimetral TIC de la Organización.
Como resultado del mismo, además de otras acciones ya realizadas por técnicos
propios, la consultoría determinó que, para la categoría de los sistemas existentes, la
arquitectura y configuración del SPP de la APBC es la correcta (SPP-2), si bien el
dispositivo concreto que la soporta (DPP-2) es inadecuado para las prestaciones que
se necesitan, recomendando su actualización.
En resumen, la actual plataforma tecnológica que soporta el SPP de la APBC:
• No es adecuada para los requerimientos exigidos por el ENS
• Necesita una actualización hardware y software para poder evolucionar
2. JUSTIFICACIÓN DE LA NECESIDAD
En el ámbito tecnológico actual, la complejidad y criticidad de las infraestructuras
telemáticas que dan cobertura a los activos TIC que soportan los procesos de negocio
de cualquier Organización está en continua evolución, ocurriendo que, para asegurar
las mejores condiciones de seguridad, disponibilidad y funcionamiento, necesitan estar
actualizados y soportados.
En este sentido, la renovación del equipamiento SPP de la APBC, además de suponer
una inversión en seguridad TIC siempre aconsejada y necesaria, se justifica para
superar la actual situación descrita en los Antecedentes. En relación a esta última:
Requerimientos dispositivos DPP-2 Plan Adecuación ENS APBC:
La consultoría ya realizada propone la actualización del dispositivo actual por un nuevo
diseño en Alta Disponibilidad mediante un “Cluster” que permita un continuo y eficaz
aseguramiento de los servicios.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
5
Esta propuesta implica la Implementación de un Cortafuegos de Nueva Generación
(NGFW), entendido como aquellos dispositivos DPP-2 en los que son capaces de
coexistir las siguientes características:
• detectar y bloquear ataques sofisticados a través de la definición de políticas a
nivel de aplicación, protocolo y puerto,
• que además de las funcionalidades tradicionales también permitan gestionar
funcionalidad UTM (Universal Threat Management) más otras como control de
ancho de banda, inspección HTTPS, SSL y TLS, prevención DLP, protección
de amenazas conocidas y desconocidas, gestión VPN, etc…,
• y que también, bien de forma nativa o mediante módulos o herramientas
adicionales, posibiliten otras funcionalidades más avanzadas como habilitación
segura de aplicaciones, clasificación de tráfico, facilidad de gestión, reducción
de la cantidad de reglas, disminución del coste total de propiedad, prevención
de pérdida de datos, prevención de intrusiones, filtro de contenidos, defensa
basada en reputación y, por supuesto, mayor seguridad.
La implantación de este nuevo equipamiento de seguridad en la APBC, además de
que se han convertido en un DEBER SER para las empresas de hoy en día ante el
tamaño, incidencia y peligrosidad de las amenazas cibernéticas, permitiría a la
Organización disponer de un producto de última generación en ciclo de vida que
habilitaría la actualización y mantenimiento del mismo así como la integración de
módulos adicionales que pudieran aumentar la funcionabilidad, fiabilidad y seguridad
de su protección perimetral TIC.
Actualización del dispositivo actual para poder evolucionar:
La gran mayoría de los proveedores del mercado aconsejan la implantación de los
dispositivos DPP-2 tipo NGFW como el descrito anteriormente (y necesario para la
APBC) en máquinas físicas, a ser posible en modo nativo (“appliances”) y no en
entornos virtualizados.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
6
En la APBC, con un parque de servidores corporativos consolidado y virtualizado, ya
no se disponen de máquina físicas de última generación para cubrir esta necesidad,
en menor medida redundantes para poder garantizar la Alta Disponibilidad. Sólo existe
la actual, obsoleta con recursos muy limitados que ni siquiera permitirían habilitar
todas las nuevas funcionalidades muy necesarias como la inspección SSL.
La implantación de este nuevo equipamiento de seguridad en la APBC, constituido por
elementos hardware y software en modo nativo para un rendimiento óptimo según las
recomendaciones, permitiría a la Organización disponer de una plataforma SPP
específica integrada en la RIC con un alto nivel de procesamiento para satisfacer el
incremento de las necesidades planteadas para mayor seguridad y capacidad de las
comunicaciones y el volumen de información que debe gestionarse, así como la
posibilidad de integración y control de nuevas herramientas de seguridad TIC (sonda).
3. OBJETIVOS A CONSEGUIR
Los objetivos que se persiguen con esta Asistencia Técnica para el suministro e
implantación de un nuevo equipamiento de Seguridad Perimetral en la RIC de la
APBC, que deben interpretarse dentro del marco global de modernización técnica y
administrativa del Organismo, se relacionan a continuación.
• Disponer de una plataforma tecnológica SPP operativa y actualizada que
soporte la seguridad perimetral TIC de la Organización.
• Superar las limitaciones técnicas y funcionales reportadas en la plataforma
tecnológica actualmente operativa.
• Atender los requerimientos del Plan de Adecuación al ENS.
• Considerar una solución integral, no soluciones independientes, que cubran las
necesidades para la gestión de la seguridad y las comunicaciones
• Gestionar la seguridad de accesos en la RIC de la APBC mejorando tanto el
rendimiento como el nivel de protección con tecnologías de inspección
profunda de tráfico, identificación de aplicaciones de usuario, antivirus,
aplicación de políticas de autorización, y filtrado y prevención de intrusiones.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
7
• Gestión eficiente del tráfico de la RIC de la APBC.
• Resaltar la importancia de la tecnología en la APBC en relación a la gestión y
soporte de sus procesos de negocio, más la necesidad de seguir invirtiendo y
evolucionando en ciberseguridad.
• Considerar la importancia de esta plataforma tecnológica SPP en la necesidad
de tenerla siempre actualizada y en soporte de mantenimiento para disponer
de sus adaptaciones y mejoras con el menor esfuerzo posible.
• Implantación de sistemas que proporcione una mejor planificación de la
respuesta a contingencias con reducción de riesgos de fallo.
• Implantación de sistemas orientados a la disposición, gestión y análisis on-line
de la información.
• Implantación de sistemas que confluyan con el mercado para garantizar la
convivencia de los mismos con otras herramientas relacionadas.
• Coherencia con la implantación actual favoreciendo el control y gestión de los
administradores del sistema.
4. OBJETO DEL PLIEGO
El objeto del presente Pliego de Prescripciones Técnicas es describir los trabajos y
fijar las condiciones técnicas que regirán el “CONTRATO DE SERVICIOS.
ASISTENCIA TÉCNICA PARA EL SUMINISTRO E IMPLANTACIÓN DE UN
NUEVO SISTEMA DE PROTECCIÓN PERIMETRAL (SPP) PARA LA RED
INFORMÁTICA CORPORATIVA (RIC) DE LA AUTORIDAD PORTUARIA DE
LA BAHÍA DE CÁDIZ”
El objeto del Contrato es la realización de una Asistencia Técnica que incluya el
suministro de los productos, incluidas licencias y/o suscripción, y servicios necesarios
que permita conseguir los objetivos marcados con anterioridad y con el cumplimiento
de los requerimientos técnicos y funcionales que se describirán a continuación.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
8
5. ALCANCE DE LOS TRABAJOS
El alcance de los productos y servicios a contratar descritos en el presente Expediente
consistirán en una Asistencia Técnica que básicamente contemple:
• Suministro e implantación de un dispositivo Cortafuegos (SPP-2) tipo NGFW
compuesto de hardware y software en alta disponibilidad a integrar en la RIC
de la APBC como elemento principal de seguridad.
Dentro de este tratamiento genérico se habrá de considerar:
• Suministro del equipamiento propuesto, con todos los componentes adicionales
que se necesiten, incluido licenciamiento.
• Interconexión del nuevo equipamiento en la arquitectura general de la RIC
según las recomendaciones del proveedor y las especificaciones de la APBC.
• Instalación y configuración de todos los módulos y funcionalidades del nuevo
equipamiento de acuerdo a la solución propuesta y requerimientos de la APBC.
• Pruebas de funcionamiento y explotación.
• Importación de la actual configuración en explotación en el equipamiento actual
con traslado de políticas y reglas.
• Migración del servicio actual sin incidencia operativa.
• Discontinuidad y apagado del equipamiento de soporte del servicio actual.
• Consideración y disponibilidad de los Servicios Profesionales necesarios y
suficientes para llevar a cabo con éxito todas las actividades del proyecto.
• Realización de todos los trabajos en paralelo a la disposición actual con
supervisión de los técnicos de la APBC en entornos diferentes.
Por supuesto, con carácter general, todos estos trabajos deberán completarse con:
• Elaboración y presentación de toda la documentación y entregables del
proyecto, definidos según corresponda y con las referencias y certificados
correspondientes.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
9
• Formación al equipo TIC de la APBC.
• Definición y aplicación de los Servicios Profesionales que cada Licitador
considere oportunos para cubrir el conjunto de los requerimientos técnicos y
funcionales descritos en este Expediente.
El alcance de estos trabajos se realizará en una única fase de forma continua y
homogénea tanto para todos los productos a suministrar e implantar como para las
medidas propuestas y los entregables del proyecto.
6. DESCRIPCIÓN DE LOS TRABAJOS.
En el ámbito del Contrato amparado por el presente Pliego, para cumplir con el Objeto,
Objetivos y Alcance del mismo, los trabajos a desarrollar para la prestación de esta
Asistencia Técnica para la APBC, además del cumplimiento de lo ofertado en las
propuestas de cada Licitador, deberán cumplir y desarrollarse siguiendo
escrupulosamente las estipulaciones de la APBC.
Una descripción detallada de estos trabajos y su cobertura, su incidencia con la
situación actual, la repercusión en la situación final que se desea alcanzar, así como la
descripción los requerimientos técnicos y funcionales que se exigen a los mismos, se
describen a continuación en este mismo apartado.
6.1 SITUACIÓN ACTUAL
Basado en el alcance los todos los trabajos implicados, la situación actual del
desarrollo de estos productos es la siguiente:
En la APBC se dispone de un equipamiento SPP conforme a las necesidades de la
Organización constituido en una arquitectura SPP-2 también conforme y refrendada
por el Plan de Adecuación al ENS pero que incorpora a un dispositivo Cortafuegos
DPP-2 muy mejorable y que no cumple con los requerimientos de dicho Plan en
relación a la categoría de los sistemas a proteger.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
10
Para ampliar la información anterior, las Empresas Licitadoras, si lo consideraran
necesario, en fase de oferta y/o al inicio del proyecto, podrán plantear ante la División
TIC e Innovación la realización de un análisis y consultoría para contrastar o extender
los datos suministrados en este Pliego.
6.2 SITUACIÓN FINAL
Basado en los objetivos a alcanzar y el alcance de los trabajos a desarrollar, la
situación final habrá de contemplar el correcto cumplimiento de los primeros y la
efectiva aplicación de los segundos, así como la entrega y disposición de todos los
productos y resultados generados.
Para ello la APBC pretende la sustitución del actual dispositivo Cortafuegos DPP-2 por
medio de un nuevo elemento equivalente de última tecnología tipo NGFW compuesto
por hardware y software en modo nativo y en alta disponibilidad que, además de
proporcionar todas las funcionalidades de estos nuevos dispositivos, atienda los
requerimientos de Plan de Adecuación al ENS y las nuevas necesidades operativas de
la Organización.
En el mismo sentido que antes, para ampliar la información anterior, así como para
comprobar tanto la aplicabilidad y gobernanza de las medidas a implementar como
también comprobar la convergencia e integración del equipamiento TIC, las Empresas
Licitadores, si lo consideraran necesario, en fase de oferta y/o al inicio del proyecto,
podrán plantear ante la División TIC e Innovación la realización de un análisis y
consultoría para concretar cualquiera de sus propuestas.
6.3 REQUERIMIENTOS TÉCNICOS
Teniendo en cuanta la homogeneidad y completitud de los trabajos a desarrollar, que
se quieren extender a los productos y resultados previstos, se consideran
requerimientos técnicos tanto genéricos como específicos.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
11
6.3.1 REQUERIMIENTO GENÉRICOS
Los trabajos amparados por esta Asistencia Técnica para la APBC deberán cumplir
con los siguientes requerimientos genéricos mínimos:
• Escalable y actualizable en todos sus resultados de forma que éstos últimos
constituyan la base para las futuras renovaciones normativas que fueran de
aplicación por la evolución tecnológica o legislativa.
• Completa y en modalidad “llave en mano”, incluyendo todos los productos y
servicios contratados, todos los entregables desarrollados y todos los
componentes adicionales tanto para la correcta aplicación de todas las
medidas implementadas como para la posterior implantación de los planes de
mejora y futuro recomendados.
• Acorde a las metodologías, productos, servicios y gestión de los sistemas y
tecnologías de la información y las comunicaciones en la APBC con
identificación previa de la gestión de riesgos y cambios.
• Las especificaciones técnicas descritas en este apartado serán consideradas
mínimas para el cumplimiento de las condiciones del presente Pliego.
6.3.2 REQUERIMIENTOS ESPECÍFICOS
Los requerimientos técnicos específicos de esta Asistencia Técnica se analizan en
detalle a continuación para cada uno de los productos y servicios descritos en el
Alcance de los Trabajos.
En el supuesto que ya se solicita un dispositivo DPP-2 tipo NGFW, sus características
técnicas específicas deben cumplir la siguiente relación de requisitos:
Consideraciones básicas y comunes:
Asegurando el siguiente cumplimiento de mínimos:
• Solución con arquitectura en Alta Disponibilidad (HA)
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
12
• Solución de seguridad perimetral con “sandboxing” para la protección frente a
amenazas conocidas y desconocidas.
• Solución que proporcione diferentes mecanismos de “cluster”, para su
despliegue según mejor se adapte a la red. Al menos cada uno de los
siguientes: activo/pasivo, activo/activo en modo “unicast” (siendo uno de los
equipos un "pivot" que distribuya el tráfico), activo/activo “multicast”, VRRP.
• Solución con posibilidad de identificar aplicaciones web/URL en base al
certificado emitido por el servidor.
• Solución con capacidad de crecimiento y actualización mediante paquetes de
alto rendimiento y capacidad para implementar cortafuegos virtuales.
Plataforma de gestión de la seguridad:
Asegurando el siguiente cumplimiento de mínimos:
• Entidad certificadora interna x.509 CA (Certificate Autority) con capacidad de
generar certificados en los “gateways” y usuarios para permitir un autenticación
sencilla para crear VPNs y autenticar la comunicación entre los diferentes
elementos de la solución de seguridad.
• Disponer de mecanismos para facilitar a la organización de las políticas de
reglas, por ejemplo utilizando etiquetas y/o títulos de sección.
• Opción de añadir alta disponibilidad de la plataforma de gestión, disponiendo
de un servidor en “standby”, que automáticamente sincronice con el principal
sin hacer uso de elementos externos de almacenamiento ni balanceo.
• Permitir que la regla de seguridad este activa durante un intervalo de tiempo y
fecha/hora de expiración.
• Permitir definir grupos de objetos con exclusiones de otros grupos.
• Permitir la administración diferida; independencia en la gestión de las reglas de
acceso y las de seguridad.
• Permitir que más de un administrador trabaje de forma simultánea en modo
escritura sobre la misma política de seguridad y haciendo uso del mismo tipo
de interface.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
13
• Permitir definir dos capas de reglas acceso sobre una misma política,
totalmente diferenciadas, pudiendo indicar que usuarios puedan administrar
cada una de ellas.
• Gestión se realizará desde un servidor aparte y no desde los propios Firewalls.
• La gestión no podrá realizarse mediante HTTPS.
• Capacidad de granular el control de acceso pudiendo definir que un
administrador solo tenga control sobre un conjunto de reglas especifico.
• Capacidad de presentar tanto la parte de “logging” como de “reporting” desde
un navegador HTML sin acceder a la gestión de políticas.
• Capacidad de visualizar los logs específicos de una regla en la misma vista en
la que se visualizan las políticas.
• Constituir una plataforma de gestión unificada para los “clusters” de la parte
externa y el “cluster” de la parte interna.
• Admitir configurar reglas en base a distintos orígenes de usuarios, grupos o
máquinas de Directorio Activo, sin necesidad de especificar la dirección IP.
Para esto debe poder obtener esta identidad de todas y cada una de las
siguientes formas: conexión directa con un “Domain Controller” desde el
equipo, sin necesidad de agente; conexión mediante un agente instalado en un
equipo externo; obtención mediante un agente de “Terminal Server”; obtención
mediante “RADIUS Accounting”.
• En relación con el punto anterior, deben poder identificarse usuarios que
accedan desde un Terminal Server, mediante un agente instalado en este
servidor que relacione el tráfico generado con su puerto origen y usuario
correspondiente.
• Compartir identidades de usuario de Directorio Activo entre varios
“firewalls/gateways”, sin necesidad de agente externo y sin necesidad de que
cada uno de ellos haga las mismas consultas.
• Poder limitar el ancho de banda de subida o bajada en la misma base de reglas
de firewall de aplicaciones, de forma que para una determinada aplicación, no
se permita más de cierto ancho de banda, de subida o bajada. Es
imprescindible que esto se pueda definir como acción por regla en la propia
base de reglas.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
14
• Proporcionar un contador de cuántas veces hizo "match" cada regla (“hit
count”) en el panel de configuración de la base de reglas.
• Proporcionar la funcionalidad propia de correlación de logs y eventos,
unificando los logs de los clúster centrales y los distribuidos.
• Proporcionar un mecanismo propio sencillo, integrado en su propia consola,
para gestión de cumplimiento normativo y buenas prácticas. Debe proporcionar
informes de cumplimiento de, al menos, las siguientes normativas: ISO 27001,
ISO 27002, ISO/IEC 27001/2013, NERC CIP, PCI DSS, CobiT, etc. La política
de seguridad de monitorizará de forma continua y automática, indicando el
grado de cumplimiento en cada una de sus normas y la acción a tomar para
configurarla adecuadamente.
Servicio IPS (Intrusion Prevention System):
Asegurando el siguiente cumplimiento de mínimos:
• Disponer de un mecanismo de bypass configurable de forma gráfica, que
permita definir un umbral para CPU y memoria, con el objetivo de que si en
algún momento o la memoria o la CPU supera dicho umbral, la función de IPS
quede inhabilitada automáticamente proporcionando más recursos al equipo.
• Capacidad de añadir una excepción directamente desde el propio log del
evento, evitando tener que ir a la configuración especifica de excepciones.
• Estar recomendado por compañías independientes de análisis de IPS del
mercado, como NSS Labs.
• Opción de proteger solo los hosts internos, de forma que pueda activarse
rápidamente con una sola casilla de configuración, que solo se apliquen las
protecciones de IPS que correspondan para proteger a la red interna.
• Proporcionar al menos dos perfiles/políticas que puedan ser utilizados
inmediatamente.
• Disponer de mecanismo “fail-open” basado en software, configurable según
umbrales de uso de CPU y memoria, a definir mediante el propio interfaz
gráfico de configuración.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
15
• Soportar excepciones de red basadas en origen, en destino o en una
combinación de ambos, de forma que sobre este tráfico no se aplique ninguna
protección de IPS. También debe poder permitir establecer excepciones por
protecciones específicas de IPS, independientemente del origen o destino y sin
necesidad de configurar ninguna regla en la base de reglas de firewall.
• Disponer de un mecanismo centralizado de correlación de eventos y reporting,
del mismo fabricante, y que permita correlar eventos de IPS con las de otras
funcionalidades y equipos del mismo fabricante, como Control de Aplicaciones,
URL Filtering, AntiVirus, Anti-Bot, Firewall, etc.
• Configurar perfiles con una política global que active o desactive las
protecciones en base a los siguientes criterios: impacto de rendimiento,
severidad, nivel de confiabilidad y tipo de protección: cliente o servidor.
• Capaz de realizar captura de paquetes para protecciones específicas, para su
posterior investigación.
• Proporcionar protección de protocolos de voz sobre IP.
• Incluir un mecanismo pata importar firmas SNORT, con un máximo de por lo
menos 2000 firmas.
• Permitir al administrador bloquear fácilmente tráfico entrante y/o saliente
basado en países, sin necesidad de gestionar manualmente los rangos de IP
correspondientes al país.
• Disponer una GUI de gestión con capacidad de pasar fácilmente a la definición
de firmas del IPS pulsando directamente sobre los logs del IPS
Servicio SSO con soluciones Cloud:
Asegurando el siguiente cumplimiento de mínimos:
• Posibilidad de hacer SSO con servicios en la nube; entre ellos google apps y
office 365.
Servicio VPN (Virtual Private Network):
Asegurando el siguiente cumplimiento de mínimos:
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
16
• Capacidad para ejercer de terminador de túneles IPSec (LANtoLAN y
ClientoLAN) con algoritmos de encriptación e integración en LDAP.
• Capacidad de configurar de forma gráfica comunidades de VPN site-site con
varias topologías.
• Paquete mínimo de 10 usuarios, con posibilidades de ampliación de licencias,
indicando características de adquisición y costes adicionales.
Control de aplicaciones:
Asegurando el siguiente cumplimiento de mínimos:
• Proporcionar la mayor capacidad de identificación y control, permitiendo al
administrador crear políticas granulares, basadas en usuarios/grupos. Debe de
tener capacidad de detección de más de 7500 aplicaciones nativas y más de
255.000 sub-aplicaciones y widgets.
• Posibilidad de que el cliente final pueda definir sus propias reglas de control por
aplicaciones propias y/o específicas. Capacidad de definir reglas de filtraje que
incluyan múltiples categorías.
• Capacidad de limitar el ancho de banda de una aplicación pudiendo controlar
tanto el volumen de tráfico de la subida como la bajada sobre la misma regla
de acceso que la aplicación.
Prevención de entrada de malware de dia zero (Zero-day malware)
Asegurando el siguiente cumplimiento de mínimos:
• Prevenir la entrada de amenazas de día zero de forma dinámica antes de que
se genere una firma estática, tanto para smtp como http y sin hacer uso de
ningún agente en el pc de usuario ni en cualquier otro elemento que no sea el
cortafuego principal. El objetivo es evitar que se infecte el llamado “paciente
zero” y que el malware llegue a entrar en la organización.
• Proporcionar tecnología de emulación (“sandboxing”) con capacidad de análisis
tanto a nivel de Sistema operativo, como de CPU.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
17
• Disponer de un motor de análisis de amenazas de día zero con soporte para
documentos de tamaño superior a 101Mb.
• Complementar con el tratamiento de contenido activo en ficheros ofimáticos y
PDFs que entren por correo electrónico. La herramienta ha de poder
configurarse para que pueda extraer todo el contenido dinámico del fichero
(macros, javascripts, formularios,…) e incluso entregar el fichero en formato
PDF al usuario. Dicha acción se debe de realizar en tiempo real sobre el propio
Gateway en un tiempo inferior a 5sg. En caso de que el usuario tenga que
acceder al fichero original, es necesario garantizar que el usuario podrá
rescatar el fichero de forma autónoma, siempre y cuando el módulo de
sandboxing haya indicado que el fichero no es malicioso, este proceso debe de
quedar registrado.
Identificación reactiva frente a amenazas
Asegurando el siguiente cumplimiento de mínimos:
• La solución propuesta ha de proporcionar de forma explícita un módulo para
identificar maquinas infectadas, identificando conexiones contra C&C
(Command & Control).
• Identificar y proporcionar herramientas adicionales que cubran las todas estas
necesidades, aunque no formen parte de este pliego, por lo que no debe de
estar incluida en el alcance económico.
Capacidades
Asegurando el siguiente cumplimiento de mínimos:
• Distribución enracable, con todos los elementos necesarios.
• Rendimiento (condiciones de laboratorio):
o Firewall: 50 Gbps.
o IPS: 13 Gbps.
o NGFW: 11 Gbps
o Threat Prevention: 6 Gbps
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
18
o VPN: 10 Gbps.
o 150.000 conex/sec.
o 3/6/12M concurrent connections
• Conectividad: Puertos con al menos la siguiente distribución:
o 8 puertos GbE Base-T.
o 1 puerto Ligths-Out para configuración remota.
o 1 puerto de consola de gestión.
o 1 puerto USB 3.0
o 1 slots de expansión para puertos 10GbE Fiber
• 8 BG RAM, con capacidad de expansión hasta 32 GB
• 1 HDD 512 GB, con capacidad de expansión para otro similar
• 1 AC power Supply
Licenciamiento y Soporte
Asegurando el siguiente cumplimiento de mínimos:
• Inclusión de todo el licenciamiento necesario, tanto por adquisición como por
suscripción cuando corresponda, para garantizar el funcionamiento de todos
los requerimientos mínimos de la solución propuesta.
• Las licencias por suscripción deben incluir el primer año de servicio y el coste
de renovación, valorándose las ampliaciones de este plazo.
• Se deberá considerar dentro del alcance del proyecto un servicio de soporte
durante el primer año de servicio, indicando el nivel de servicio propuesto.
• El soporte deberá ser proporcionado por el mismo integrador, por lo que deberá
disponer de las acreditaciones CCSP/CSP que lo garanticen.
Otras propuestas de servicios. Mejoras:
En relación a esta última actividad no se consideran trabajos mínimos, si bien se
valorará especialmente las propuestas de mejora sobre los productos y servicios
cubiertos por este Pliego así como cualquier otro que las Empresas Licitadoras crean
que se debe contemplar en el ámbito de este Expediente.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
19
6.4 REQUERIMIENTOS FUNCIONALES
Teniendo en cuanta la homogeneidad de los trabajos previstos, que se quiere extender
a los productos y resultados previstos, sólo se considera un conjunto mínimo de
requerimientos funcionales genéricos.
6.4.1 REQUERIMIENTOS GENÉRICOS
La solución buscada estará dotada de las siguientes características generales:
• El proyecto y sus entregables se consideran como un conjunto único.
• Previa definición del flujo de eventos y determinación de las interacciones
previstas con el personal y Unidades Organizativas de la APBC.
• Garantía de crecimiento, escalabilidad y estabilidad para las nuevas
consultorías o auditorías que se necesitaran.
• Análisis de la información obtenida en las reuniones con el personal implicado,
teniendo en cuenta los objetivos del proyecto y los recursos disponibles, con
redacción de toda esta información entendible al alcance de todos.
• Las transformaciones a realizar en los Sistemas TIC para alcanzar los objetivos
marcados y cumplir con los requisitos establecidos deberán realizarse sin
interceder en los sistemas en explotación.
• Las horas de consultoría en las instalaciones de la APBC se considerarán de
formación continua para los responsables TIC de la Organización.
7. DESARROLLO Y EJECUCIÓN DE LOS TRABAJOS.
Los trabajos, en su conjunto y en cada una de sus partes, se desarrollarán y
ejecutarán con estricta sujeción al presente Pliego de Prescripciones Técnicas, al
Pliego de Cláusulas Generales que lo acompaña, la Ley 30/2007, a la orden FOM
1698/2013, y a las Normas Oficiales que en él se citan.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
20
La APBC designará un Responsable Técnico para la coordinación del proyecto, la
monitorización de los trabajos y los productos y resultados de esta Asistencia Técnica.
Dicho Responsable Técnico de la APBC desempeñará funciones directoras y
establecerá los criterios y líneas generales de actuación de la Empresa Adjudicataria,
siempre conforme a su propuesta final, a fin de que la implantación del suministro y del
servicio se realice de manera correcta.
Para ello, dicha propuesta final deberá describir en detalle, como mínimo, lo siguiente:
• Solución técnica: con referencias a los productos y servicios suministrados para
garantizar la cobertura de los requerimientos planteados en este Pliego.
• Gestión del proyecto: indicando la metodología a utilizar, especificando fases,
plazos, recursos, hitos, tareas y entregables del Plan del Proyecto.
• Evaluación y control del proyecto: en términos de coste, tiempo y alcance
planteado, incidiendo en la definición, planificación, ejecución, implantación,
pruebas, documentación, formación y entrega de trabajos contratados.
Durante el desarrollo del Contrato se deberán mantener reuniones periódicas que
permitan organizar y validar el avance del proyecto, así como la entrega periódica de
la documentación relativa a actas de reuniones, planificaciones, estudios, análisis,
desarrollos, manuales, y cualesquiera otras que el Responsable Técnico del proyecto
requiera. La periodicidad será determinada por éste último.
Durante la ejecución de los trabajos objeto del Contrato y en la fase de soporte
técnico, el Adjudicatario se compromete, en todo momento, a facilitar a las personas
designadas por el Responsable Técnico del proyecto la información y documentación
que éstas soliciten.
El impacto que supone la implantación de una plataforma como la que es objeto de
este Pliego hace necesario que, a lo largo de la ejecución de todo el proyecto, se
gestione el cambio que conlleva. Dicho cambio se deberá evaluar en:
• Organización y arranque del proyecto
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
21
• Creación de la estructura de gestión y equipos de trabajo
• Difusión del proyecto
La APBC exigirá la disponibilidad absoluta e inmediata y la dedicación exclusiva del
equipo propuesto para el proyecto durante el desarrollo y ejecución del mismo.
Todos los trabajos se llevarán a cabo en las instalaciones de la Empresa Adjudicataria
y de la APBC. En este último caso, se considerará como horario de servicio el de
acceso a las instalaciones de la APBC.
Para el desarrollo de los trabajos, el Adjudicatario utilizará sus propias licencias de uso
de las herramientas necesarias para el proyecto, así como de las herramientas
auxiliares y utilidades que pudiera necesitar.
8. IMPLANTACIÓN DEL SISTEMA
Una vez realizado el suministro de todos los componentes del nuevo sistema,
incluyendo toda la documentación, y concluidas con éxito todas las pruebas definidas
en el correspondiente Plan de Pruebas destinadas a certificar que el sistema cumple
con todos las especificaciones funcionales y técnicas, se procederá a la implantación
del mismo en el entorno de producción.
Dicha implantación se realizará según el enfoque global del servicio descrito en las
ofertas y cumpliendo las especificaciones de la descripción metodológica propuesta en
el correspondiente Plan de Implantación. En el caso en que dicha metodología esté
basada en el uso de herramientas informáticas, la oferta incluirá todas las licencias de
uso que fuesen necesarias.
Si durante la fase de paso a producción se pusieran de manifiesto deficiencias que no
hubieran sido descubiertas durante las pruebas, no se procederá al despliegue
generalizado del sistema hasta que dichas deficiencias fueran resueltas por el
Adjudicatario, sin coste adicional para la APBC, y con posibilidad de imposición de las
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
22
penalizaciones recogidas en el presente Pliego si ello supusiera retrasos en los hitos
y/o plazos de ejecución del proyecto.
La metodología utilizada debe permitir que la infraestructura de la plataforma,
hardware y software, contemplen la posibilidad de la realización de prototipos del
sistema de cara a facilitar las labores de validación y definición de las especificaciones
por parte de los usuarios.
El proceso de implantación y despliegue generalizado del sistema deberá ajustarse a
los distintos procesos definidos, o que se definan con posterioridad, por los
responsables de los Sistemas TIC de la APBC en la intención de minimizar la
interacción del nuevo sistema con otros sistemas que ya están en producción.
En particular, en ningún caso se realizarán paradas de servicio de los sistemas en
producción para la implantación de cualquier componente del nuevo proyecto,
debiendo consensuarse con el Responsable Técnico de la APBC los mejores
momentos para hacerlo, aún fuera del horario de servicio si fuera necesario, y sin que
estos posibles retrasos en los hitos y la implantación del proyecto pudieran ser
achacables a la APBC de manera alguna.
9. FORMACIÓN.
Las Empresas Licitadoras deberán ofertar un Plan de Formación como complemento
de esta Asistencia Técnica para instruir al personal técnico de la APBC que se
determine. En particular, dicho Plan de Formación deberá incluir:
• Nombre, contenido y duración de los cursos.
• Perfiles de formadores y personal al que va dirigido.
• Ciclos, plazas, condiciones de acceso y modalidad.
La formación deberá impartirse en modo presencial en las dependencias que designe
la APBC, proporcionando la documentación necesaria para ello, no considerándose
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
23
propuestas inferiores a 10 horas. Debido al carácter de la Asistencia Técnica, con gran
parte de trabajos de consultoría, la formación propuesta podrá simultanearse con el
resto de los trabajos a desarrollar.
Adicionalmente podrán ofertarse otras propuestas formativas “on-line” que
complementen la formación propuesta.
10. DOCUMENTACIÓN FINAL A ENTREGAR.
La documentación final a entregar incluirá, como mínimo, los siguientes documentos:
• Documentación entregable del proyecto:
o Memoria Descriptiva del proyecto y la arquitectura del sistema.
o Descripción Técnica detallada del proyecto y de sus elementos
o Especificaciones Técnicas de hardware y software.
o Relación de licencias de uso de la plataforma.
o Informes de integración con tecnología y servicios actuales.
o Manuales de usuario y administración de los nuevos sistemas.
o Planes Específicos: de Acción, de Adecuación, de Pruebas, de
Contingencia, de Continuidad del Negocio y de Concienciación.
o Cualquier otra que se considere.
• Documentación Administrativa:
o Plan de Gestión del Cambio
o Manual de Procedimientos
o Plan de Difusión y Comunicación.
La entrega de dicha documentación se realizará a la finalización de los trabajos, en
papel y soporte electrónico (en un formato estándar), no considerándose finalizado el
proyecto hasta entonces. Dicha documentación será requerimiento obligatorio para la
aceptación, recepción y abono de los trabajos desarrollados. Además, siempre que la
APBC lo estime conveniente, el Adjudicatario se compromete a entregar resultados
parciales de los trabajos desarrollados.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
24
11. RECEPCIÓN DEL PROYECTO
Una vez terminada esta Asistencia Técnica, se haya entregado toda la documentación
exigida, y se hayan realizado los cursos de formación, el Responsable Técnico del
proyecto preparará el Acta de Recepción del mismo y propondrá el acto para la firma
entre el Adjudicatario y la APBC.
En dicho acto también se firmarán y aprobarán los entregables presentados y los
Planes de Adecuación previstos.
12. SOPORTE Y MANTENIMIENTO
Tras la firma del Acta de Recepción del proyecto se dará por cerrada una primera
versión del mismo y se iniciarán las fases de Soporte y Mantenimiento.
El Adjudicatario ofrecerá, con cargo el proyecto, un servicio de soporte mediante los
niveles de servicio estándar que considere durante un plazo mínimo de un (1) año tras
la recepción del mismo que deberá valorar para todo tipo de consultas relacionadas
con el alcance y ámbito de aplicación de esta Asistencia Técnica.
13. SEGUIMIENTO Y CONTROL.
Para ejercer las funciones de seguimiento, control e inspección que se deriven del
desarrollo del Contrato que se establezca, la APBC cuenta con su Responsable
Técnico ante la empresa y con todos los medios personales y materiales de la
Organización.
No obstante, la APBC podrá tomar en cualquier momento las medidas de control que
considere oportunas para la vigilancia del correcto cumplimiento de las obligaciones a
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
25
que está sometido el Adjudicatario como consecuencia del presente Pliego y de las
que se contemplen en el Contrato que de él se derive.
Cualquier infracción o incumplimiento del Contrato será comunicado al Adjudicatario a
través de su representante ante la APBC, mediante la correspondiente acta de
incidencias que deberá ser, en cualquier caso, aceptada y firmada por él mismo.
Será suficiente motivo de rescisión de Contrato, el levantamiento de cinco actas
documentadas y probadas de incumplimiento de Contrato. En dicho supuesto la
Empresa Adjudicataria procederá en un plazo máximo de 30 días a cesar en la
ejecución de los servicios contratados, sin que la APBC se vea obligada a satisfacer
cantidad alguna en concepto de indemnización y, en todo caso, con pérdida de la
fianza por parte del Adjudicatario.
14. PERIODO DE GARANTÍA:
El Adjudicatario deberá garantizar la buena calidad de los productos que suministre e
implante, la plena operatividad y funcionalidad de todos los componentes del nuevo
proyecto según las necesidades y requerimientos de la APBC, así como la corrección
de errores de software por un periodo de dos (2) años. Se valorará la ampliación de
dicho plazo. Si durante el mismo se observasen defectos imputables a las
características de los productos suministrados o implantados, el Adjudicatario estará
obligado a reponer los que hayan resultado inadecuados o defectuosos.
En todos los casos la garantía de los productos utilizados contará desde la firma del
Acta de Recepción del proyecto, y en ningún caso dicho plazo de garantía contará
desde la adquisición o instalación física de dichos elementos.
La garantía incluirá todos los mantenimientos preventivos especificados por el
fabricante, y las reparaciones necesarias, con la sustitución de elementos deteriorados
por cualquier avería que pudiera producirse.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
26
Durante este periodo se garantizará igualmente el mantenimiento correctivo de los
trabajos realizados, encaminado a corregir los errores del software, así como el
mantenimiento evolutivo o de actualización legal (cambios de normativa) que fueran
necesarios.
15. PROPIEDAD INTELECTUAL.
Todos los derechos de propiedad intelectual y de ‘Copyrigth’ que se puedan derivar de
los trabajos de implantación del nuevo producto, sin considerar ni a éste ni a sus
licencias, serán propiedad exclusiva de la APBC, que podrá bien reproducirlos o
divulgarlos total o parcialmente, bien utilizarlos para otras iniciativas, proyectos o
convenios, obligándose las partes a otorgar el documento oportuno cuando éste sea
necesario, para la debida constancia pública de este hecho ante cualquier Organismo
o Registro de cualquier ámbito.
El Adjudicatario será responsable de los daños y perjuicios que se deriven del
incumplimiento de esta obligación.
16. CONFIDENCIALIDAD DE LOS TRABAJOS.
Todos los trabajos que desarrolle el Adjudicatario en esta Asistencia Técnica para la
APBC tienen carácter confidencial, según las directrices y recomendaciones de
mejores prácticas en la gestión de la seguridad de la información definidas en el
estándar ISO-17799, por lo que deberá adoptar los medios necesarios para evitar su
difusión fuera del ámbito de influencia de la APBC.
17. PROTECCIÓN DE DATOS
En la medida en que la prestación y cumplimiento del presente Contrato impliquen el
acceso del Adjudicatario a datos de carácter personal incorporados a ficheros de los
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
27
que sea titular la APBC, el tratamiento de dichos datos por parte del Adjudicatario
deberá realizarse en la forma y condiciones siguientes:
• El acceso del Adjudicatario a los datos del fichero para la prestación de
servicios pactados en el Contrato no tendrá la consideración legal de
comunicación o cesión de datos a los efectos previstos en la Ley Orgánica
15/1999, de 23 de diciembre, de Protección de Datos de Carácter Personal
(LOPD), sino de acceso por cuenta de tercero según lo previsto en dicha Ley.
• Los datos del fichero serán propiedad exclusiva de la APBC, extendiéndose
esta propiedad a cuantas elaboraciones realice el Adjudicatario con ocasión del
cumplimiento del Contrato.
• A efectos de la prestación de servicios por parte del Adjudicatario a la APBC, el
primero tendrá la condición de encargado del tratamiento y se sujetará al deber
de confidencialidad y seguridad de los datos personales a los que tenga
acceso conforme a la normativa que resulte aplicable, obligándose
específicamente a lo siguiente:
o Utilizar y aplicar los datos personales con la finalidad exclusiva del
cumplimiento del objeto del Contrato.
o Adoptar las medidas de índole técnica y organizativa necesarias
establecidas en la Ley LOPD y en las normas reglamentarias que la
desarrollen, que garanticen la seguridad de los datos personales y
eviten su alteración, pérdida, acceso o tratamiento no autorizado,
habida cuenta del estado de la tecnología, la naturaleza de los datos
objeto de tratamiento y los riesgos a qué los mismos estén expuestos,
ya provengan de la acción humana o del medio físico o natural.
o Aplicar las medidas de seguridad del nivel que correspondan en función
de los datos a tratar de conformidad con lo previsto en el Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el desarrollo de
la LOPD.
o Mantener la más absoluta confidencialidad sobre los datos personales a
los que tenga acceso para la prestación de servicios así como los que
resulten de su tratamiento cualquiera que sea el soporte en el que se
hubieran obtenido.
Puerto de laBahía de Cádiz
Autoridad Portuaria de la Bahía de Cádiz
28
o No comunicar ni ceder los datos del fichero a otra persona, ni siquiera
para su conservación, debiendo destruir los datos personales a los que
haya tenido acceso, así como los que resulten derivaos de su
tratamiento, al igual que cualquier soporte o documento en los que
conste algún dato de carácter personal objeto de tratamiento, salvo que
la APBC solicite expresamente su devolución.
o Guardar secreto profesional de todos los datos de carácter personal que
conozca o a los que tenga acceso en la ejecución del Contrato.
Igualmente, se obliga a custodiar e impedir el acceso a los datos de
carácter personal a cualquier tercero ajeno. Las anteriores obligaciones
se extienden a toda persona que pudiera intervenir en cualquier fase del
tratamiento por parte del Adjudicatario.
o Comunicar y hacer cumplir a sus empleados las obligaciones
contenidas en los apartados anteriores y, en particular, las relativas al
deber de secreto y medidas de seguridad.
El Adjudicatario se comprometerá a comunicar de forma urgente cualquier posible fallo
que detecte en su sistema de tratamiento y gestión de la información que haya tenido
o pueda tener como consecuencia la puesta en conocimiento de terceros de
información confidencial obtenido durante la ejecución del Contrato.
Asimismo, a la finalización del Contrato el Adjudicatario quedará obligado a la entrega,
o destrucción en caso de ser solicitada, de cualquier información obtenido o generada
como consecuencia de la prestación del servicio objeto del Contrato.
En la intención de obtener el máximo de garantías respecto a la capacidad de las
Empresas Licitadoras para el cumplimiento de la LOPD y la confidencialidad de los
trabajos, se valorará muy positivamente que dichas empresas tengan implantado un
Sistema de Seguridad de la Información, certificado según la norma UNE ISO/IEC
27001, por una Entidad de Certificación debidamente acreditada en España.