Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Petición de oferta de servicios
profesionales relativos a la
EC-OMC
CGCOM: RFP servicios EC-OMC.
2
Información general
Control documental
Clasificación de seguridad: Confidencial
Entidad de destino:
Referencia: N/A
Versión: 0.4
Fecha edición: 16/07/2019
Fichero: CGCOM RFP EC-OMC v0r4.docx
Formato: OOXML
Autores: Equipo CGCOM
Estado formal
Preparado por: Revisado por: Aprobado por:
Nombre: NA
Fecha: 16/07/2019
Nombre: Equipo CGCOM
Fecha: 17/07/2019
Nombre: Com. Permanente
Fecha: 18/07/2019
CGCOM: RFP servicios EC-OMC.
3
Control de versiones
Versión Partes que cambian Descripción del
cambio
Autor del
cambio
Fecha del cambio
0.2 Original Creación del
documento
NA 16/07/2019
0.3 Todo Revisión del
documento
CGCOM 17/07/2019
0.4 Todo Revisión del
documento
NA 17/07/2019
CGCOM: RFP servicios EC-OMC.
4
Índice
Información general ......................................................................................................... 2
Control documental ................................................................................................................ 2
Estado formal.......................................................................................................................... 2
Control de versiones ............................................................................................................... 3
Índice ............................................................................................................................... 4
1 Introducción.............................................................................................................. 5
2 Contenido esencial del servicio del CGCOM ............................................................... 6
2.1 Catálogo de certificados ............................................................................................. 6
2.2 Entornos de firma y sello electrónico ......................................................................... 7
2.3 Arquitectura funcional del servicio de certificación ................................................... 8
3 Normas y estándares técnicos aplicables al servicio ................................................... 9
3.1 Expedición y gestión de los certificados ................................................................... 10
3.2 Creación de firma o sello electrónico a distancia ..................................................... 10
3.3 Generación y gestión de datos de creación de firma o sello electrónico por cuenta
del firmante o creador de sellos ........................................................................................... 11
4 Modelo de relación ................................................................................................. 13
4.1 Diseño del servicio .................................................................................................... 13
4.2 Transición del servicio .............................................................................................. 16
4.3 Operación del servicio .............................................................................................. 17
4.4 Finalización del servicio ............................................................................................ 18
5 Niveles mínimos de servicio .................................................................................... 18
6 Volumetría del servicio ............................................................................................ 19
7 Modelo de precio .................................................................................................... 20
8 Presentación de propuestas: lugar, plazo de presentación, formalidades y
documentación............................................................................................................... 20
9 Criterios de valoración para la adjudicación. ............................................................ 21
CGCOM: RFP servicios EC-OMC.
5
1 Introducción
El Consejo General de Colegios Oficiales de Médicos (en adelante, CGCOM) viene actuando
como prestador cualificado de servicios de confianza que expide diversos tipos de certificados,
conforme al Reglamento (UE) n° 910/2014 del Parlamento Europeo y del Consejo, de 23 de
julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las
transacciones electrónicas en el mercado interior y por la que se deroga la Directiva
1999/93/CE (en adelante, Reglamento eIDAS), y la Ley 59/2003, de 19 de diciembre, de firma
electrónica –en cuanto no ha sido desplazada por el Reglamento eIDAS–, como se puede ver
en la Lista de Confianza expedida por el órgano de supervisión.
En el modelo del CGCOM, la mayoría de componentes técnicos y de servicio se encuentra
gestionada de forma externa, significativamente los que sustentan la expedición de los citados
certificados, a un prestador cualificado de servicios de confianza. Ello viene motivado por la
mayor facilidad que ello supone para el cumplimiento por el CGCOM de sus obligaciones, y el
menor riesgo de infracción, en un ámbito altamente regulado.
La evolución de las necesidades del CGCOM, y de las entidades a las que presta servicio, han
motivado una propuesta de transformación del servicio actual, así como la decisión de unificar
en un solo prestador las diferentes prestaciones que hasta le fecha vienen siendo tratadas por
proveedores diversos.
Desde la perspectiva de la transformación del servicio, se aborda una simplificación del
catálogo de certificados a expedir, así como la puesta por la generación y gestión de datos de
creación de firma electrónica cualificada y sello electrónico cualificado por el CGCOM por
cuenta de sus titulares, en los términos previstos por el Reglamento eIDAS. En su
consecuencia, se eliminan los certificados en soporte software, pero se mantiene, en dos
casos, la expedición de certificados en tarjeta criptográfica. Por último, el CGCOM no expedirá
certificados de autenticación de sitio web, sino que podrá adquirir estos certificados al
prestador, si los ofrece.
Debido a la elevada complejidad técnica y a las estrictas exigencias de cumplimiento
normativo propias de esta actividad, el CGCOM ha decidido invitar a este procedimiento
únicamente a prestadores cualificados de servicios de confianza que ya ofrezcan estos
CGCOM: RFP servicios EC-OMC.
6
servicios. El modelo persigue seleccionar un prestador actualmente operativo en el mercado,
que parta de su conocimiento y experiencia para permitir al CGCOM actuar como prestador
de servicios de confianza “virtual”, en el sentido de que reutiliza la práctica totalidad de las
capacidades del prestador, con las adaptaciones estrictamente necesarias para adecuarse a
las necesidades de la comunidad de usuarios del CGCOM.
2 Contenido esencial del servicio del CGCOM
2.1 Catálogo de certificados
La autoridad de certificación del CGCOM debe permitir, al menos, la expedición de los
certificados que se indican a continuación:
- Certificados de persona física colegiada, en tarjeta (carné colegial). El carné deberá
incluir tres certificados diferentes:
o Certificado de identificación.
o Certificado cualificado de firma electrónica cualificada.
o Certificado de cifrado.
- Certificado cualificado de persona física colegiada, con generación y gestión de datos
de creación de firma electrónica cualificada por cuenta del firmante a cargo del
CGCOM.
- Certificado cualificado de persona física representante de persona jurídica/entidad sin
personalidad jurídica, con generación y gestión de datos de creación de firma
electrónica cualificada por cuenta del firmante a cargo del CGCOM.
- Certificados de persona física vinculada a tercero, en tarjeta. El carné deberá incluir
tres certificados diferentes:
o Certificado de identificación.
CGCOM: RFP servicios EC-OMC.
7
o Certificado cualificado de firma electrónica cualificada.
o Certificado de cifrado.
- Certificado cualificado de persona física vinculada a tercero, con generación y gestión
de datos de creación de firma electrónica cualificada por cuenta del firmante a cargo
del CGCOM.
- Certificado cualificado de persona jurídica, con generación y gestión de datos de
creación de sello electrónico cualificado por cuenta del firmante a cargo del CGCOM.
Se valorará que el prestador seleccionado suministre certificados cualificados de
autenticación de sitio web desde su propia autoridad de certificación, dentro del modelo de
relación con el CGCOM.
2.2 Entornos de firma y sello electrónico
Asimismo, el servicio del CGCOM debe permitir:
- La operativa de los firmantes y creadores de sello desde páginas web y servidores de
aplicaciones disponibles en Internet, y en particular, en la sede electrónica, y también
desde los servidores de las redes internas del CGCOM y de las entidades usuarias de
sus servicios.
- La operativa de firma digital (para firma electrónica cualificada y para sello electrónico
cualificado) en las aplicaciones estándar de los sistemas operativos empleados por el
CGCOM y las entidades usuarias de sus servicios, para lo cual el adjudicador deberá
aportar las librerías y componentes a instalar en los correspondientes equipos
(librerías PKCS#11 y CSP), en régimen de licencia de uso ilimitado.
- La operativa de firma en aplicaciones instaladas en terminales móviles del CGCOM, de
las entidades usuarias de sus servicios, o de las personas con las que se relacione,
incluyendo expresamente a los interesados y las autoridades y empleados, sin
limitación alguna.
CGCOM: RFP servicios EC-OMC.
8
2.3 Arquitectura funcional del servicio de certificación
El servicio ofertado debe constar de los siguientes componentes funcionales, pudiéndose
organizar como mejor se considere desde el punto de vista técnico:
El detalle de los componentes es el siguiente:
- Componente de autoridad de certificación (CA): se emplea para la creación y firma de
certificados basados en la identidad y otros atributos de un sujeto, verificados por la
autoridad de registro. También para la expedición de las listas de revocación de los
certificados.
- Componente de autoridad de registro (RA): se emplea para la tramitación de
solicitudes de certificados, la verificación de la identidad y, en su caso, otros atributos
de un sujeto, y la gestión de las solicitudes de revocación de los certificados.
- Componente de autoridad de validación (VA): se emplea para la información de estado
de revocación de certificados, mediante el protocolo OCSP.
- Componente de depósito: se emplea para la publicación de informaciones por parte
del prestador de servicios de certificación.
CGCOM: RFP servicios EC-OMC.
9
- Componente de aplicación de firma en servidor (SSASC): se emplea para la operación,
por el prestador de servicios de confianza, de un dispositivo remoto de creación de
firma o sello electrónico, en las modalidades avanzada o cualificada. El componente
consta de una aplicación de firma y de un dispositivo –en su caso, cualificado– de
creación de firma o sello.
- Componente de aplicación de creación de firma (SCASC): se emplea para la creación,
por el prestador de servicios de confianza, de firmas digitales conforme a las
especificaciones AdES.
3 Normas y estándares técnicos aplicables al servicio
El Reglamento eIDAS establece una serie de requisitos jurídicos en relación con los
prestadores de servicios de confianza, en particular en sus artículos 19 y 24, que deben ser
objeto de cumplimiento, especialmente por cuanto se refiere a los sistemas fiables y sus
procedimientos asociados, que pueden ser objeto de acreditación acudiendo a normas y
estándares técnicos normalmente voluntarios, sin perjuicio de que en algunos casos nos
encontremos ante verdaderos reglamentos técnicos obligatorios (significativamente, en el
caso de los dispositivos cualificados de creación de firma o sello electrónico).
En general, el servicio ofrecido al CGCOM debe garantizar el cumplimiento, mientras el
contrato se encuentre vigente, de todas las normas y estándares técnicos que resulten
obligatorios, así como de cualquiera que, siendo voluntaria, resulte aplicable en el marco de
la evaluación de la conformidad.
Desde la perspectiva de los controles aplicables, resulta aplicable la norma técnica ETSI EN 319
401 V2.2.1 (2018-04), que constituye base común para todos los servicios de confianza.
CGCOM: RFP servicios EC-OMC.
10
3.1 Expedición y gestión de los certificados
La expedición y gestión posterior de los certificados cualificados se deberá realizar conforme
a las normas ETSI EN 319 411, partes 1 y 2, ETSI EN 319 412, partes 1 a 5, y normas
relacionadas, vigentes en cada momento.
Los certificados de persona física representante deben cumplir, obligatoriamente, con las
exigencias previstas en el documento de Perfiles de Certificados electrónicos, versión 2.0, de
abril de 2016, disponible en el Portal de Administración Electrónica de la Administración
General del Estado.
3.2 Creación de firma o sello electrónico a distancia
La creación de la firma o sello electrónico a distancia se puede considerar como un servicio de
confianza en sí mismo, dado que la misma se cita expresamente en el artículo 3.16) del
Reglamento eIDAS.
Asimismo, el servicio de creación de firma o sello electrónico avanzado a distancia se recoge
de forma expresa en el listado de servicios de confianza contenido en el epígrafe 5.5.1.2 de la
especificación técnica ETSI TS 119 612 v2.1.1 (2015-07), referenciada en la Decisión de
Ejecución (UE) 2015/1505 de la Comisión de 8 de septiembre de 2015 por la que se establecen
las especificaciones técnicas y los formatos relacionados con las listas de confianza de
conformidad con el artículo 22, apartado 5, del Reglamento eIDAS, con el identificador
http://uri.etsi.org/TrstSvc/Svctype/AdESGeneration/
Nótese que se trata de un servicio que no puede ser objeto de cualificación, dado que el
Reglamento eIDAS no establece ningún requisito para el mismo (cfr. el artículo 3.17) del
Reglamento eIDAS). En su consecuencia, el servicio de creación de firma o sello electrónico
avanzado a distancia no se recoge de forma expresa en el listado de servicios cualificados de
confianza contenido en el epígrafe 5.5.1.1 de la especificación técnica ETSI TS 119 612.
El órgano de supervisión español no recoge, en su listado de servicios de confianza, sin
cualificación, el servicio de creación de firma o sello electrónico avanzado, por lo que se podría
entender que queda excluido del Reglamento eIDAS. Sin embargo, en todo caso debe
CGCOM: RFP servicios EC-OMC.
11
garantizarse que una firma o sello electrónico avanzado cumple los requisitos establecidos en
los artículos 26 y 36, respectivamente, del Reglamento eIDAS, algo que puede ser objeto de
verificación por parte del órgano de supervisión, y de evaluación de conformidad cuando el
servicio es prestado por un prestador de servicios de confianza (que lo ofrezca conjuntamente,
por ejemplo, con el servicio de expedición de certificados cualificados), como sucede en el
caso del CGCOM.
Desde la perspectiva de los controles aplicables, resulta aplicable la especificación ETSI TS 119
431-2 V1.1.1 (2018-12), que regula los componentes de servicio de los prestadores que
ofrecen soporte a la creación de la firma digital AdES, y que se refiere a estos prestadores
como “prestadores de servicio de aplicación de creación de firma” o “prestadores de servicio
de aplicación de creación de firma en servidor”.
Se garantizará el cumplimiento de la política de servicio identificada con el OID
0.4.0.19431.2.1.2.
3.3 Generación y gestión de datos de creación de firma o sello
electrónico por cuenta del firmante o creador de sellos
La generación y gestión de datos de creación de firma o sello electrónica por cuenta del
firmante o creador de sellos no se considera en ningún caso como un servicio de confianza,
dado que no se cita en el artículo 3.16) del Reglamento eIDAS.
En su consecuencia, estos servicios técnicos no se recogen de forma expresa en el listado de
servicios cualificados de confianza contenido en el epígrafe 5.5.1.1 de la especificación técnica
ETSI TS 119 612.
El Reglamento eIDAS ordena que la generación y gestión de datos de creación de firma
electrónica cualificada por cuenta del firmante sólo pueda ser realizada por un prestador de
servicios de confianza que se encuentre cualificado (norma que resulta aplicable a los sellos,
mutatis mutandis), pero no se opone a que la generación y gestión de datos de creación de
firma electrónica avanzada pueda ser realizada por un prestador no cualificado, o por una
entidad que no tenga la condición de prestador de servicios de confianza. En el caso del
CGCOM: RFP servicios EC-OMC.
12
CGCOM, sin embargo, esta operativa siempre se vincula a su actuación como prestador
cualificado.
En todo caso, es preciso demostrar que la generación o gestión de datos de creación de firma
o sello por cuenta del firmante o creador de sellos no afecta a las garantías de la firma o sello
electrónico (avanzado o cualificado, en función del caso).
Desde la perspectiva de los controles aplicables, resulta aplicable la especificación ETSI TS 119
431-1 V1.1.1 (2018-12), que regula los componentes de servicio de los prestadores que operan
un dispositivo remoto de creación de firma o sello –en su caso, cualificado–, y que también se
refiere a estos prestadores como “prestadores de servicio de aplicación de creación de firma
en servidor”.
Esta norma contiene importantes referencias a la norma de producto CEN EN 419 241-1,
relativa a los requisitos de los sistemas fiables que ofrecen soporte a la firma en servidor, tanto
para firma electrónica avanzada como cualificada. Esta norma define, entre otras cuestiones,
requisitos en relación con el cumplimiento del requisito del control exclusivo de los datos de
creación de la firma electrónica por parte del firmante, diferenciando dos niveles de control
exclusivo, en función del grado de confianza – en línea con el requisito contenido en el artículo
26.c) del Reglamento eIDAS –: SCAL2, que garantiza un elevado nivel de confianza, y SCAL1,
orientado a un bajo nivel de confianza.
En el servicio a contratar se considera la generación y gestión de datos de creación de firma o
sello electrónico cualificado en servidor.
Es previsible que el órgano de supervisión utilice las normas anteriores como criterio
interpretativo en relación con el cumplimiento de los requisitos del artículo 26 del Reglamento
eIDAS, lo que de forma natural exige la alineación de la solución con el nivel de control SCAL2
de CEN EN 419 241-1, tanto para la firma electrónica avanzada como para la firma electrónica
cualificada, por lo que se garantizará el cumplimiento de la política EUSCP definida en ETSI TS
119 431-1 e identificada con el OID 0.4.0.19431.1.1.3, para la firma electrónica cualificada y el
sello electrónico cualificado.
Las normas anteriormente indicadas se visualizan de forma gráfica en el siguiente gráfico,
extraído de la especificación técnica ETSI 119 431-1, Anexo C.1:
CGCOM: RFP servicios EC-OMC.
13
4 Modelo de relación
El CGCOM y el prestador seleccionado deberán establecer un modelo de relación que
garantice la correcta prestación del servicio.
En esta sección se identifican algunas cuestiones de especial importancia para su
consideración en el modelo de relación, pero cualquier otra cuestión no mencionada a
continuación deberá ser objeto de inclusión, en la medida en que resulte necesaria para la
prestación del servicio. En particular, se establecen restricciones de obligado cumplimiento
para el prestador, así como elementos a valorar como mejoras.
4.1 Diseño del servicio
Antes del inicio de las operaciones, debe abordarse la fase de diseño del servicio. Durante esta
fase, se deben considerar los siguientes requisitos:
CGCOM: RFP servicios EC-OMC.
14
Req. 01. El modelo de relación del CGCOM debe considerar a los siguientes actores:
a. El propio CGCOM, que actuará como prestador de los servicios, por lo que
ostentará la responsabilidad frente a terceros y el órgano de supervisión.
También intervendrá en los procesos de gestión de certificados cuando no se
haya delegado en un tercero.
b. Los Colegios Oficiales de Médicos, que intervendrán en los procesos de gestión
de certificados, especialmente en la gestión de solicitudes de todo tipo y en la
verificación de la identidad.
c. Los titulares de los certificados, que pueden ser los Colegios Oficiales de
Médicos, con los que el CGCOM mantiene una relación estatutaria, pero
también diferentes tipos de Entidades Sanitarias que precisan proveer de
certificados a sus profesionales.
Req. 02. El prestador seleccionado debe aportar el diseño de la arquitectura del servicio,
considerando los diferentes activos que se encuentren en las instalaciones del
prestador, en las del CGCOM o, en su caso, de los Colegios Oficiales de Médicos y
otros terceros que participen en los procesos. El diseño de esta arquitectura debe
incluir la inclusión de la autoridad de certificación del CGCOM en una jerarquía del
prestador, admitida o en procedimiento de admisión, en las principales aplicaciones
empleadas por los usuarios.
Req. 03. El prestador seleccionado debe realizar una propuesta de procesos de gestión del
ciclo de vida de los certificados a expedir, incluyendo la solicitud, la verificación de la
identidad y otros atributos de los solicitantes, la expedición, entrega (o transferencia
del control) y la aceptación de los certificados y las correspondientes claves, la
revocación de los certificados y la provisión de información de estado de los mismos.
Se valorará que los procedimientos sean íntegramente electrónicos, sin obtención de
documentación (original o copia) en soporte papel, sino su generación y
autenticación electrónica.
CGCOM: RFP servicios EC-OMC.
15
El prestador deberá garantizar que la propuesta puede ser objeto de cualificación,
para lo cual podrá basarse, con las necesarias adaptaciones, en sus propios
procedimientos.
Req. 04. El prestador seleccionado debe aportar una correcta definición de roles y
responsabilidades que cubra todo el servicio, sin perjuicio de los roles del CGCOM,
todo ello con la correspondiente matriz de segregación de funciones y los controles
de seguridad en el personal.
Req. 05. El procedimiento de expedición de certificados a personas físicas y jurídicas
colegiadas deberá comprobar esta condición de forma automatizada, mediante la
integración informática a través de servicio web con el registro del CGCOM.
Req. 06. El prestador debe encargarse de la expedición y envío de las tarjetas criptográficas
en aquellos tipos de certificados que lo precisen. Se deberá instalar, en el CGCOM, la
infraestructura necesaria para ofrecer servicios de respaldo a dicho proceso.
Req. 07. El prestador debe encargarse de la expedición de certificados con clave centralizada
durante los días inhábiles, incluyendo los sábados, domingos y festivos conforme al
calendario de la villa de Madrid.
Req. 08. Los componentes de servicio que conforman la arquitectura propuesta empleados
por el prestador seleccionado deberán ser los mismos que hayan sido objeto de
cualificación para los servicios propios del prestador.
El prestador podrá elegir emplear exactamente la misma infraestructura de que ya
dispone para la prestación de su propio servicio cualificado, siempre que garantice el
cumplimiento de los niveles de servicio acordados y la segregación lógica en el acceso
a los datos del CGCOM, o desplegar una instancia de dicha infraestructura dedicada
al CGCOM.
Este requisito se mantendrá durante todo el tiempo de la prestación del servicio, por
lo que el prestador seleccionado deberá proceder a sustituir, a su costa, cualquier
componente del servicio que haya dejado de resultar legalmente admisible.
CGCOM: RFP servicios EC-OMC.
16
Req. 09. El prestador seleccionado deberá diseñar el servicio para cumplir las normas y
estándares descritos en el epígrafe 3 de este documento. En concreto, se valorará su
compromiso legalmente vinculante a implementar, antes de un año, al menos una de
interfases de servicio descritas en la especificación técnica ETSI TS 119 432.
Req. 10. El prestador seleccionado deberá diseñar los planes de continuidad de negocio que
permitan el cumplimiento de las exigencias previstas en la normativa, incluyendo el
plan de contingencia y de recuperación frente al desastre. La estrategia de
continuidad deberá permitir el cumplimiento del acuerdo de nivel de servicio.
Req. 11. El prestador seleccionado deberá colaborar con el equipo del CGCOM en la
preparación de toda la documentación requerida para el servicio. Para ello podrá
reutilizar su propia documentación, con las necesarias adaptaciones, o deberá
aportar toda la información que resulte precisa para producir la documentación del
CGCOM.
4.2 Transición del servicio
Diseñado el servicio, para su puesta en funcionamiento debe abordarse la fase de transición
del servicio. Durante esta fase, se deben considerar los siguientes requisitos:
Req. 12. El prestador seleccionado deberá desarrollar las versiones adecuadas al CGCOM de
los procesos de gestión de la configuración y de activos, indicando los componentes
de servicio que se encuentran compartidos con terceros.
Req. 13. El prestador seleccionado deberá desarrollar una versión adecuada al CGCOM del
proceso de gestión del cambio, abordando especialmente la estrategia de migración
del servicio actualmente existente al nuevo servicio. Se deberá poder migrar a todos
los usuarios del servicio vigente al nuevo servicio en el plazo máximo de tres meses.
Req. 14. El prestador seleccionado deberá preparar un plan de despliegue del servicio,
incluyendo la instalación de una infraestructura específica para poder realizar las
pruebas del nuevo servicio, la creación de una autoridad de certificación de prueba,
CGCOM: RFP servicios EC-OMC.
17
la carga de los perfiles de certificados, la prueba de todo el ciclo de vida de gestión
de los certificados, y cualquier otra operación del servicio
Req. 15. Realizadas con éxito las pruebas, el prestador seleccionado deberá proceder al
despliegue del servicio, incluyendo la inicialización de sistemas criptográficos,
creación del material criptográfica, conforme a la correspondiente ceremonia de
autoridad de certificación, y pruebas de correcto funcionamiento. El prestador
seleccionado deberá aportar auditor con la cualificación suficiente para la ceremonia.
Req. 16. El prestador seleccionado deberá asumir el proceso y los costes de la evaluación de
la conformidad y de la cualificación posterior, y realizar a su costa cualesquiera
modificaciones precisas hasta lograr dicha cualificación.
4.3 Operación del servicio
Puesto en marcha el servicio, debe abordarse la fase de operación del servicio. Durante esta
fase, se deben considerar los siguientes requisitos:
Req. 17. El prestador seleccionado debe producir y aplicar un plan de gestión de peticiones y
problemas que se produzcan durante la operación del servicio, conforme al acuerdo
de nivel de servicio. Deberá también desarrollar un plan de gestión de cambios,
considerando cambios urgentes y cambios programados, correspondiente la
aprobación última de todo cambio al CGCOM.
Req. 18. El prestador seleccionado debe producir y aplicar un plan de gestión de incidentes,
que deberá dar respuesta a todos los requisitos legales y de las normas técnicas que
resulten aplicables. En este plan de gestión de incidentes se debe considerar el rol
del CGCOM como responsable legal del servicio frente al órgano de supervisión. El
prestador seleccionado deberá asumir la responsabilidad de detección y respuesta a
todos los incidentes de servicio y de seguridad que se puedan producir, involucrando
al CGCOM mediante un procedimiento de escalado apropiado.
Req. 19. El prestador seleccionado debe desarrollar y aplicar un plan de gestión de eventos,
tanto del servicio como de seguridad de la información, que permita en todo caso el
CGCOM: RFP servicios EC-OMC.
18
acceso, por parte del personal del CGCON, a la información de los eventos y pistas de
auditoría.
Req. 20. El prestador deberá asumir los costes de las evaluaciones periódicas de la
conformidad, así como de cualesquiera auditorías que pueda exigir el CGCOM o
cualquier organismo supervisor o autoridad de control.
4.4 Finalización del servicio
Req. 21. El prestador deberá desarrollar un plan de cese del servicio que permita el
cumplimiento de los requisitos legales y técnicos aplicables.
5 Niveles mínimos de servicio
Req. 22. El prestador seleccionado debe ofrecer, como parte de su propuesta contractual, un
Acuerdo de Nivel de Servicio que resulte apropiado a las exigencias legales y
regulatorias aplicables al servicio.
La propuesta que se realice no podrá ser inferior a la que el prestador seleccionado
ofrezca en cada momento a los restantes clientes a los que expide certificados
empleando su propia autoridad de certificación.
El Acuerdo deberá contemplar las necesarias penalizaciones por incumplimiento, que
serán consideradas como un aspecto esencial del contrato y un criterio de selección
de proveedor.
Req. 23. Sin perjuicio de lo anterior, el Acuerdo de Nivel de Servicio que se proponga por el
prestador seleccionado debe garantizar los siguientes requisitos:
a. Los servicios (expedición y gestión del ciclo de vida de los certificados,
generación y gestión de datos de creación de firma o sello y creación de firma
CGCOM: RFP servicios EC-OMC.
19
o sello a distancia) se deben encontrar operativos todos los días del año, con
un tiempo de indisponibilidad no superior a 4 horas, en cómputo diario, ni
acumulativamente al 1% en cómputo mensual.
b. La expedición de listas de revocación de certificados se sitúa en un plazo
máximo de 4 horas.
c. Las paradas programadas del servicio deben planificarse en el momento de
menor actividad y se realizarán de tal forma que afecten en el menor grado al
servicio.
6 Volumetría del servicio
A efectos de los compromisos contractuales que debe asumir el prestador en su propuesta,
se aportan datos acerca de la volumetría estimada:
- En la actualidad se dispone de, aproximadamente:
o 12.000 usuarios colegiados. El servicio debe permitir la posibilidad de escalar al
100% de los colegiados en España (aproximadamente, 283.000 usuarios)
o 540 usuarios administrativos. El servicio debe escalar al menos a 10.000
usuarios potenciales.
o 200 entidades. El servicio debe poder escalar al menos a 2.000 entidades
potenciales.
o 56 entidades actuando como RA. El servicio debe escalar sin limitación.
- Desde la perspectiva de la creación de la firma o sello electrónico, se estima un
volumen mínimo de al menos 20.000.000 firmas anuales, pero el servicio debe poder
escalar sin límite.
CGCOM: RFP servicios EC-OMC.
20
7 Modelo de precio
El prestador deberá ofrecer un precio unitario por cada tipo de usuario, sin que pueda
establecer un coste variable por volumen de firmas o sellos generados por los usuarios.
Sin embargo, asumiendo que un mayor volumen de firmas o sellos generado por los usuarios
tiene impacto en la infraestructura necesaria, el prestador deberá declarar la capacidad
máxima (número de firmas digitales anuales) que soporta la infraestructura cubierta por el
coste unitario por certificado, y podrá detallar el coste extra que supone la ampliación de la
capacidad. Este coste deberá detallarse en forma de número adicional de firmas digitales
anuales que se podrán generar mediante cada ampliación.
8 Presentación de propuestas: lugar, plazo de presentación,
formalidades y documentación
Lugar y plazo de presentación. Las propuestas se presentarán en el Registro del Consejo
General de Colegios Oficiales de Médicos, Plaza de las Cortes, 11, en mano, en horario de 9 a
14 horas antes del 16 de septiembre de 2019.
Se anotará en el Libro Registro la entrada lo que acreditará la recepción.
CGCOM: RFP servicios EC-OMC.
21
9 Criterios de valoración para la adjudicación.
• Criterio 1: Precio, primando la oferta más económica, siempre que cumpla las
exigencias mínimas de la petición de oferta.
• Criterio 2: Capacidad, flexibilidad y escalabilidad de la plataforma.
• Criterio 3. Número de firmas digitales (de firma y de sello) anuales que se pueden
crear dentro del coste unitario de usuario.
• Criterio 4: Acuerdo de Nivel de Servicio, valorándose el que ofrezca mayor
disponibilidad.
• Criterio 5: Solución que cubre un mayor número de plataformas para la creación
de firma y sello electrónico.
• Criterio 6: Mejoras ofrecidas por la solución adicionales a las exigencias de la
petición de oferta.