SERVICIOS DE DESARROLLO, RENOVACIÓN, …...10 Anexo 2 97 del PPt Todo el anexo Nos pueden confirmar por favor que no es necesario en fase de presentación de oferta presentar los

1

En relación con el expediente en tramitación denominado “SERVICIOS DE DESARROLLO, RENOVACIÓN, MANTENIMIENTO y EVOLUCIÓN, DE LOS SISTEMAS DE INFORMACIÓN EN DIFERENTES ÁMBITOS DE LA COMUNIDAD DE MADRID. (SEIS LOTES)”, a adjudicar por procedimiento abierto mediante pluralidad de criterios, nº de expediente ECON/0000173/2020, se han recibido las siguientes consultas por parte de empresas interesadas en la licitación:

Nº Cuestión

Cláusula/Apartado Página Párrafo Descripción de la Consulta

1 Anexo1. Volumetrías de servicio

96 ¿Cuántas aplicaciones, separadas por lote 1, 2, 3, 4 y 5 son accesibles a través de internet?

2 Anexo1. Volumetrías de servicio

96 ¿Pueden proporcionarnos volumetría de horas que llevó la realización de cada aplicación accesible a través de internet para los lotes 1, 2, 3,4 y 5?

3 ANEXO 5. Conectividad del Adjudicatario

116 El apartado entero

¿Es necesario disponer de una línea de comunicaciones desde la sede del proveedor hasta la sede de Embajadores, como actualmente existe en el CMMA, o dado que el equipo del proveedor prestará el servicio desde sus instalaciones no será necesario?

4 11.1.5 Ajuste de Componentes y Modificación de la Cuota Fija


En la revisión anual de la producción del Equipo Base, donde se ajustará en caso de ser necesario la nueva Cuota Fija, en caso de que esta producción supere el límite del -10% o +10% durante el año. ¿Implicará algún tipo de penalización o bonificación en concepto de ajuste por facturación anual?



Con el objetivo de realizar la oferta económica y configuración del equipo óptimas solicitamos la siguiente información: No hemos sido capaces de identificar la relación entre los Roles del Servicio y los perfiles para la acreditación de los Currículos. Como ejemplo no hemos sido capaces de encontrar la correspondencia del Rol de Coordinador de Carril con el perfil

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

Ref: 65/387396.9/20

2

Nº Cuestión


del pliego. ¿Debe tener una categoría concreta?



No hemos sido capaces de identificar la distribución tecnológica y funcional de los perfiles del Equipo Base. Por ejemplo, en el caso concreto del Lote 3 no somos capaces de identificar que perfiles en el equipo base y el equipo extendido corresponden con las tecnologías Microsoft Dynamics o en el caso del Lote 1 no somos capaces de identificar la distribución de perfiles entre los ámbitos funcionales del pliego ( Justicia, Vivienda….)

7 8. CRITERIOS OBJETIVOS DE ADJUDICACIÓN DEL CONTRATO

20 Criterio número 2

En los criterios cualitativos evaluables mediante fórmulas se encuentra el compromiso de resolución de las vulnerabilidades de seguridad de las aplicaciones del lote accesibles en internet. De cara a llevar a cabo una evaluación económica del coste de esta mejora necesitaríamos, al menos, el listado de estos aplicativos para cada lote.

8 8. CRITERIOS OBJETIVOS DE ADJUDICACIÓN DEL CONTRATO

21 Criterio número 3

No hemos identificado en el lote las aplicaciones que forman parte de cada lote y la catalogación de éstas como Oro, Plata o Bronce. ¿Podrían facilitárnosla?

9 3.1 Entornos locales de prestación de servicios

106 El Adjudicatario en sus instalaciones, utilizará una Red de Área Local (LAN) integrada con mecanismos de acceso a los entornos de trabajo de Madrid Digital.

Necesitaríamos confirmación de si los costes de licencias identificadas en el pliego, tanto de cliente como de servidor, deben ser asumidos por el adjudicatario. Y si ese coste ha sido tenido en cuenta dentro de los costes fijos que forman parte de la Cuota Fija.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

3

Nº Cuestión


La provisión de la infraestructura local necesaria (Hardware y Software) para la prestación del servicio será responsabilidad del Adjudicatario.

10 Anexo 2 97 del PPt

Todo el anexo Nos pueden confirmar por favor que no es necesario en fase de presentación de oferta presentar los Cvs del personal de servicio que en esta fase es sólo una adscripción de medios y que dicha información solo se solicitara a los adjudicatarios.

11 Sobre 2 26 del PPt

Primer apartado

En el sobre 2 es únicamente necesario y valorable aportar el Anexo I (económico) y Anexo IX (aspectos valorables? Leyendo la página 26 del PPT no queda del todo claro si es necesario aportar una oferta técnica o con solamente esos anexos es válido para presentar oferta.

12 Anexo I 63 del PCAP

Todo el anexo En el Anexo I solicitan el total de base imponible, pero el servicio tiene una línea de cuota fija y otra de servicios variables. ¿Se debe desglosar el precio para ambos conceptos? Si fuese posible por favor detallen este punto para Lot 1-5 y 6 dado que entendemos que son diferentes en el modo de facturación.

13 Criterio C5 Mejora de las capacidades del equipo de trabajo estable

23 del PPT

El criterio Entendiendo que en el lote 6 tenemos una cuota fija y otra cuota variable, ¿de qué modo Madrid Digital hará uso de estas horas adicionales?

14 Tarifas costes fijos PCP 12

Cuadro Según PCP 12 el Servicio de Localización e intervención está asignado únicamente al lote 1.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

4

Nº Cuestión


Según PPT 35 el horario de intervención parece general a todos los servicios. Nos lo podrían por favor validar.

15 Tarifas costes fijos PCP 12

Cuadro El lote 6 existe cuota fija atendiendo a la PCP 12 existe el concepto cuota fija para el lote 6 mientras que luego se habla en modo de pago de solamente variable.

16 Criterio 5 PCP 23

Criterio 5 Las horas ofertas en el criterio 5 lote 6, caducan? Entiendo que son para todos los contratos incluidos las prórrogas.

17 Criterio 5 PCP 23

Criterio 5 Mientras haya horas adicionales en el lote 6 no utilizadas, ¿esto quiere decir que no podemos facturar las horas del equipo estable?

18 Fase de transición PCP 11

PCP 11 en el lote 6 el importe de Transición es 0. Eso significa que no se facturara nada al inicio del servicio? Se aplicara en esa fase las horas adicionales del criterio 5?

19 CRITERIO EVALUABLE Nº 2 22 del PCAP

Tabla descriptiva de la página de QlikSense

Entendemos que la construcción debe realizarse sobre la propia herramienta QlikSense de Madrid Digital y por tanto no se requiere que el adjudicatario aporte licenciamiento en este sentido. ¿es correcta esta interpretación=



¿En qué plataforma se encuentra QlikSense en Madrid Digital (Cloud / On Premise)? ¿Sobre qué producto (Enterprise, Local...)?



¿Cuál es el origen de datos para la construcción de esos cuadros de mando (cuales y cuantos)?



Para la construcción de estos Dashboards indicados por Madrid Digital, entendemos que la ETL no existe ya actualmente. ¿Es así?



¿Se prevé existan tareas posteriores a la construcción relacionadas con el mantenimiento o inclusión de nuevas métricas o parametrizaciones?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

5

Nº Cuestión


24 CPT - ANEXO 1. Volumetrías de Servicio

94 Resumen de volumetrías históricas promedio en horas anuales de servicio

Se pide más información sobre el reparto de horas o peticiones dedicadas a cada entorno tecnológico dentro de la Cuota Fija, no solo para las líneas de análisis y los carriles de desarrollo

25 CPA - PRESUPUESTO BASE DE LICITACIÓN

9 Precios unitarios

A nuestro entender, el Lote 6 debería contar también con una dotación de costes fijos asociada a la línea de comunicaciones. Por favor, confirmar si este supuesto es correcto.

26 CPA - CRITERIOS CUALITATIVOS EVALUABLES DE FORMA AUTOMÁTICA POR APLICACIÓN DE FÓRMULAS.

20 CRITERIO NUMERO 2

Se pide información sobre el número de aplicaciones por lote, que se encuentran expuestas a Internet sobre las que se realizará la auditoria de vulnerabilidades



El análisis de vulnerabilidades de las aplicaciones ¿será en un análisis de código estático más una prueba de penetración (Pentesting o Hacking ético) o solo sobre el código estático?



¿Existe una relación previa de auditorías previas sobre las vulnerabilidades a subsanar?



Entendemos que independientemente del equipo adicional que detecte las vulnerabilidades e indique la forma correcta de mitigarlas, dichas correcciones deberían ser atendidas y ejecutadas por el Equipo Base del lote correspondiente. Solicitamos confirmación.



Para la implementación del cuadro de mando se considera que cada uno de los lotes genera y entrega en un formato único común la información necesaria para alimentar el cuadro de mando, Por favor, confirmar si es correcto

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

6

Nº Cuestión




En caso contrario, de qué forma se accede a los datos origen? ¿Dispone MD licencias de conectores de Qliksense a estos origenes, en caso de ser necesarias?


24 (CRITERIO NUMERO 6) El Adjudicatario se obliga a Implantar una herramienta en modalidad servicio (prestado por el adjudicatario en sus instalaciones)…

Se pide confirmación sobre si es admisible implantar un ecosistema en modo cloud



¿Las licencias de desarrollo de Qliksense las proporcionará MD?



Se solicita que la implantación del CM para todas las aplicaciones esté finalizado durante el primer año de servicio. Sin embargo la implantación de la herramienta de ciclo de vida de los sistemas de los lotes no se requiere pasado año y medio del comienzo del servicio (Criterio 6 pg. 25). ¿Se podría ampliar el plazo de implantación del CM a año y medio para las aplicaciones que no tengan implantado JIRA a tiempo para realizar el CM? En caso de que todas las aplicaciones generen un formato unico para alimentar el CM, no afectaría el cambio de herramienta. Confirmar

35 1/8 21 1 PCAP - CRITERIO NÚMERO 2. ¿Se está utilizando para el análisis del TOP 10 de OWASP alguna herramienta de análisis de seguridad de código como Fortify o

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

7

Nº Cuestión


Kiuwan? ¿Se podría plantear el uso de las mismas para un previo análisis y tras el reporte modificar el código?

36 1/8 21 5 PCAP - CRITERIO NÚMERO 2. En este punto se comenta que se necesita un informe de seguimiento del progreso de la mitigación de las vulnerabilidades, ¿los informes comparativos que genera Fortify y Kiuwan con reportes y comparativas podrían ser válidos para apoyarse en ellos?

37 1/8 21 7 PCAP - CRITERIO NÚMERO 2. Cumplimentación Anexo 2. Al no existir volumetrías al respecto, ¿qué equipo mínimo exigen para su acreditación? Esto es extensivo al resto de criterios

38 1/8 20 Último PCAP - CRITERIO NÚMERO 2. ¿Existe algún informe previo o información que ayude a cuantificar y estimar las vulnerabilidades a resolver? Más adelante se alude a un "informe de Seguridad en los indicadores de número de vulnerabilidades". ¿Podrían compartir esta información?

¿Cómo han podido planificar que es posible su resolución en seis meses?

39 1/8 21 Último PCAP - CRITERIO NÚMERO 2. Tanto en este criterio, como en otros, dos equipos diferentes estarán trabajando sobre la misma aplicación. ¿Cómo se prevé controlar esta circunstancia? ¿Están dispuestos a no abordar evolutivos mientras existan correcciones de vulnerabilidad en curso?

40 1/8 21 Último PCAP - CRITERIO NÚMERO 3. ¿Para los cuadros de mando de Qlik Sense va a haber que realizar visualizaciones dinámicas e interactivas?

41 1/8 21 Último PCAP - CRITERIO NÚMERO 3. ¿Habría que compartir las

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

8

Nº Cuestión


aplicaciones a través de Qlik Sense Cloud?

42 1/8 21 Último PCAP - CRITERIO NÚMERO 3. ¿Sería necesario cargar datos que son públicos y asociarlos a información interna con Qlik Data Market?

43 1/8 23 2 PCAP - CRITERIO NÚMERO 4. No hemos encontrado información sobre los valores actuales de los indicadores de calidad de las aplicaciones, ni tampoco su escala (1-10, 1-100, etc.? ¿En base a que valores cuantitativos puede estimarse el esfuerzo requerido, y por tanto, la viabilidad del compromiso adquirido?

44 1/8 23 2 PCAP - CRITERIO NÚMERO 4. Además del análisis estático de código anterior, ¿sería necesario adicionalmente un análisis de código dinámico para ver si el código sigue un conjunto de reglas y ejecutar pruebas unitarias?

45 1/8 23 2 PCAP - CRITERIO NÚMERO 4. ¿Existe alguna herramienta de revisión de código colaborativa como Crucible u otra para llevar a cabo las auditorías para presentar tras ellas los informes?

46 1/8 23 2 PCAP - CRITERIO NÚMERO 4. Dentro del análisis de la calidad del código, ¿hay que realizar también pruebas de rendimiento y stress test?, ¿actualmente se dispone de alguna herramienta para ello como Load Runner o Jmeter?

47 1/8 24 Último PCAP - CRITERIO NÚMERO 6. En este punto indica una implantación de una herramienta para hacer el release management de producto, además, ¿sería necesaria la implantación de un ciclo ALM de CI/CD y la integración de las piezas del mismo con Jira Software?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

9

Nº Cuestión


48 1/8 24 Último PCAP - CRITERIO NÚMERO 6. En el detalle de los requisitos que deberá cumplir la herramienta, "Gestión de versiones: planificación, gestión y seguimiento" para Jira se podría integrar 1 proyecto con el repositorio de código GitHub, GitLab, Bitbucket. Actualmente, ¿qué gestor de control de código y versiones se tiene?

49 1/8 24 Último PCAP - CRITERIO NÚMERO 6. Para la implantación de Jira Software, ¿existe alguna preferencia que sea Server, Data Center o Cloud?

50 1/8 24 Último PCAP - CRITERIO NÚMERO 6. En la configuración de Jira Software, ¿cuántos proyectos habría que dar de alta en el mismo?, ¿habría que crear workflows, issues, custom fields, screens, dashboard, filtros y board independientes para cada uno?

51 1/8 24 Último PCAP - CRITERIO NÚMERO 6. En la configuración de Jira Software, ¿habría que realizar algún automatismo de algún tipo?, ¿cuántas issues habría que crear por proyecto? ¿y workflows por issues? ¿y screens? ¿y dashboards, filtros y board?

52 1/8 24 Último PCAP - CRITERIO NÚMERO 6. Para el seguimiento de las historias de usuario y del testing de las versiones, ¿es necesario la configuración del envío de notificaciones vía email o de algún tipo de plugin para gestionar el tiempo imputado además?

53 1/8 24 Último PCAP - CRITERIO NUMERO 6. La herramienta de gestión, ¿tendrá que validarse contra algún Active Directory o LDAP? ¿Qué tipo de roles y permisos además de los esquemas de seguridad se van a solicitar?

54 1/8 24 Último PCAP - CRITERIO NÚMERO 6. ¿Actualmente se está utilizando

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

10

Nº Cuestión


algún tipo de gestor documental cómo Confluence de Atlassian?

55 1/8 24 Último PCAP - CRITERIO NÚMERO 6. ¿Cuántos usuarios de Madrid Digital van a utilizar Jira?, ¿cuántos utilizarían el gestor documental?

56 1/8 24 Último PCAP - CRITERIO NÚMERO 6. ¿Se tiene alguna herramienta de gestión de artefactos como Nexus o Artifactory?

57 1/8 24 Último PCAP - CRITERIO NÚMERO 6. ¿Se tiene algún flujo ALM de CI/CD ya implantado?, ¿cuántos usuarios lo usan? Y si no se tiene, ¿cuántos usuarios lo usarían? ¿Qué herramientas se utilizan en dicho CI/CD actualmente (GitHub, GitLab, Bitbucket, Jenkins, Bamboo, SonarQube, HP Fortify, Kiuwan, etc.)?

58 1/8 24 Último PCAP - CRITERIO NÚMERO 6. ¿Cuántas integraciones habría que realizar entre Jira y las herramientas de CI/CD para la realización del tracking?

59 1/8 24 Último PCAP - CRITERIO NÚMERO 6. Previsiblemente, cada proveedor propondrá herramientas diferentes, y distintas personalizaciones; e incluso diferentes ciclos de vida. ¿Cómo contemplan homogeneizar y coordinar todas las actuaciones?

60 1/8 24 Último PCAP - CRITERIO NÚMERO 6. Gestión de versiones. Dado que no se contemplan migraciones, a partir de una versión dada se almacenarán en un repositorio (por ejemplo, git), y hasta entonces en otro (por ejemplo, SVN? ¿Cómo se pasarán a producción las versiones desde el repositorio del adjudicatario?

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

11

Nº Cuestión


61 14.4 PPT 80 1 de 14.4 El adjudicatario deberá realizar el análisis de las aplicaciones implantadas para solucionar problemas de continuidad. ¿Esto quiere decir que debe tener conocimiento funcional de todas las aplicaciones? ¿Esta tarea no debiera ser realizada por el resto de lotes? ¿Sobre qué aplicaciones se deben realizar estas tareas?

62 14.6 PPT 81 a,b,c,d Las tareas identificadas se entiende que se realizan sobre las herramientas de calidad y las evidencias de pruebas de seguridad, pero en ningún el adjudicatario del Lote 6 es responsable de la realización de dichas pruebas. ¿Es correcto?

63 Clausula 15 PPT 82 1 de clausula Madrid Digital, proporcionará carga de trabajo suficiente para tener el 100% de ocupación del equipo de trabajo fijo en la duración del contrato, de forma que este equipo será estable y no sufrirá fluctuaciones, y sus horas de trabajo serán facturadas íntegramente. ¿Es correcto?

64 Clausula 15 PPT 83 Penúltimo ¿Con qué anticipación comunicará MD la necesidad de incorporación de una persona? Se entiende que estará siempre circunscrito a los perfiles y tecnologías indicados en el pliego.

65 Clausula 15 PPT 83 Penúltimo En el caso de incorporación de nuevos recursos: ¿Hay una garantía mínima de semanas a realizar por la persona que deba incorporarse?

66 PCAP 78 Anexo 8 Para estimar el volumen de trabajo sobre la seguridad de las aplicaciones, sería necesario disponer del inventario completo de aplicaciones, así como las pruebas realizadas sobre las mismas. ¿Las pruebas a realizar tendrían que ser contra los entornos de producción? ¿Es

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

12

Nº Cuestión


precisa la corrección de todas las vulnerabilidades o sólo de aquéllas medias y altas?

67 PCAP 79 Anexo 9 - Lotes 1 a 5

¿A cuántas aplicaciones se ha pasado ya el análisis de vulnerabilidades? Con el fin de conocer la exhaustividad de las pruebas requeridas, sería necesario conocer qué análisis se ha realizado.

68 Clausula 15 PPT 82 Cuadro - Lote 6 Hay una persona con categoría de Ingeniero, pero que debe controlar 3 Tecnologías aparentemente disjuntas: Fatwire, Drupal y Access. ¿Habría posibilidad detallar cde cual de las tres debe ser especialista? De forma análoga con los perfiles de Ingeniero ET-X1, ET-02 y ET-04. Análogo con ET-08 ó ET-09

69 PPT 113 3.3.10 Descripción del ámbito Uniface: ¿Es necesario un Analista o un Técnico de Sistemas? ¿Podrían detallarnos la configuración o versiones?

70 PCAP 23 Criterio 4 Sobre la mejora de indicadores de calidad. Querríamos saber cómo se computa dicha mejora: ¿Cómo el sumatorio de todas las puntuaciones dividido por el número de módulos? Hay algunas aplicaciones que ya están a más de un 90% y no van a poder mejorarse un 10% anual. ¿Cómo se contabiliza ésto?

71 PCAP 20 Criterio 2 ¿La revisión y mitigación de vulnerabilidades a que hace referencia el criterio 2, se entiende como una tarea sin coste para la agencia?

72

CLÁUSULA 15 45 del PCAP

Bastanteo de poderes

En dicha página del PCAP se indica que el Bastanteo de Poderes se solicita como uno de los documentos requeridos en la PROPUESTA DE ADJUDICACIÓN.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

13

Nº Cuestión


Por otro lado, en la herramienta de licitación Licit@ para el expediente en cuestión, dentro del SOBRE Nº 1 hay un apartado para incluir la documentación del bastanteo de poderes (ver imagen). ¿es obligatorio incluir el bastante de poderes en el momento de envío de oferta?

73

Cláusula 2 del PCAP

Apartado 8. CRITERIOS OBJETIVOS DE ADJUDICACIÓN DEL CONTRATO

En la Cláusula 2 del PCAP, apartado 8. CRITERIOS OBJETIVOS DE ADJUDICACIÓN DEL CONTRATO, como parte del Criterio número 6, se cita “Si la herramienta propuesta es JIRA se le darán 5 puntos adicionales a los conseguidos”. ¿Podrían detallar la versión de Jira que actualmente tienen implantada y el alcance de dicha implantación actual?

74

PPT

Anexo II, del PPT: Requisitos y Cualificación de los Perfiles

En Anexo II, del PPT: Requisitos y Cualificación de los Perfiles, apartado 2.4 Analista, se solicita que dicho perfil haya superado algún examen de MS Dynamics de los que se citan. Dichos exámenes ya no están disponibles por parte de Microsoft, a excepción del MB2-716, que también desaparecerá en enero del 2021. ¿Podrían confirmar que sigue vigente el requerimiento para el perfil?

75

PCAP

Nos vamos a presentar a los 6 lotes ¿Necesitamos un documento de seguro de caución por cada uno de los lotes? ¿Podemos presentar un único documento de seguro de caución por el importe del 3% de la suma del presupuesto de todos los lotes? o, dado que solo se puede resultar adjudicatario de un solo

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

14

Nº Cuestión


lote, ¿podríamos presentar un seguro de caución únicamente por el importe del 3% del presupuesto del lote más alto?

1º.- ¿Cuántas aplicaciones, separadas por lote 1, 2, 3, 4 y 5 son accesibles a través de internet?

En contestación a su consulta se ha de indicar lo siguiente: Como referencia, el número de aplicaciones accesibles por internet en los diferentes lotes es: Lote 1: 36 aplicaciones Lote 2: 38 aplicaciones Lote 3: 34 aplicaciones Lote 4: 23 aplicaciones Lote 5: 10 aplicaciones El número de aplicaciones puede variar en el momento de inicio del contrato. Una aplicación puede tener varios módulos técnicos. Se contabiliza como accesible por Internet cuando tiene al menos un módulo accesible por internet.

2º.- ¿Pueden proporcionarnos volumetría de horas que llevó la realización de cada aplicación accesible a través de internet para los lotes 1, 2, 3,4 y 5?

En contestación a su consulta se ha de indicar lo siguiente: La estimación de un proyecto de desarrollo de aplicaciones depende de varios factores como el alcance definido, la tecnología utilizada, el nivel de cambios durante el proyecto, el equipo asignado, etc. Como referencia, sobre el tipo de aplicaciones accesibles por internet en la Comunidad de Madrid se indica que hay disponibles tanto aplicaciones que son consultas del ciudadano con diferente complejidad como aplicaciones que permiten realizar trámites administrativos complejos.

3º.- ¿Es necesario disponer de una línea de comunicaciones desde la sede del proveedor hasta la sede de Embajadores, como actualmente existe en el CMMA, o dado que el equipo del proveedor prestará el servicio desde sus instalaciones no será necesario?

En contestación a su consulta se ha de indicar lo siguiente: En el pliego de prescripciones técnicas, en el Anexo 5 "Conectividad del Adjudicatario” se detalla la solución definida actualmente de acceso a los sistemas de Madrid Digital y otros recursos necesarios para la prestación del servicio, considerando las distintas casuísticas.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

15

4º.- En la revisión anual de la producción del Equipo Base, donde se ajustará en caso de ser necesario la nueva Cuota Fija, en caso de que esta producción supere el límite del -10% o +10% durante el año. ¿Implicará algún tipo de penalización o bonificación en concepto de ajuste por facturación anual?

En contestación a su consulta se ha de indicar lo siguiente: En el pliego de prescripciones técnicas en la CLÁUSULA 11.1.5 “Ajuste de componentes y modificación de la cuota fija” se detalla la forma de ajuste de la Cuota Fija y en el Anexo X “Acuerdos de nivel de servicio” del pliego de cláusulas administrativas se detallan las penalizaciones por distintos conceptos que se pueden dar en este contrato.

5º.- No hemos sido capaces de identificar la relación entre los Roles del Servicio y los perfiles para la acreditación de los Currículos. Como ejemplo no hemos sido capaces de encontrar la correspondencia del Rol de Coordinador de Carril con el perfil del pliego. ¿Debe tener una categoría concreta?

En contestación a su consulta se ha de indicar lo siguiente: En el caso de los Lotes 1, 2, 3,4 y 5, en el pliego de prescripciones técnicas se dan indicaciones para que los licitadores configuren el equipo base: -Apartado 12.1.1 “Equipo Base”: en la página 70 desglosa en una tabla la composición mínima que debe tener el equipo base de cada Lote distribuido por perfil. -En el apartado 1.1 del Anexo 1 “Volumetrías del servicio”, en la página 93 se detalla por cada Lote, las horas de las funciones del equipo base que se estiman por perfil. -En el apartado 11.1.1 “Gobierno del servicio (componente C1)”, indica que los Coordinadores de carril son roles que pertenecen a "La componente Gobierno del Servicio (Componente C1)". Con la información de los puntos anteriores se puede configurar el equipo base. En el caso del Lote 6 en la cláusula 15 “Equipo de Trabajo” se indica los perfiles necesarios para cada Función a prestar servicio y la configuración del equipo de trabajo.

6º.- No hemos sido capaces de identificar la distribución tecnológica y funcional de los perfiles del Equipo Base. Por ejemplo, en el caso concreto del Lote 3 no somos capaces de identificar que perfiles en el equipo base y el equipo extendido corresponden con las tecnologías Microsoft Dynamics o en el caso del Lote 1 no somos capaces de identificar la distribución de perfiles entre los ámbitos funcionales del pliego (Justicia, Vivienda…)

En contestación a su consulta se ha de indicar lo siguiente: En el pliego de prescripciones técnicas, en el Anexo 1 “Volumetrías del servicio”, apartado 1.1 se informa de volumetrías de cada Lote por entorno tecnológico para servir como referencia para configurar el equipo base. Se basan en información histórica. No

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

16

debe asumirse que la distribución de trabajos durante la ejecución de este pliego coincida exactamente con los valores históricos indicados. En el caso de Microsoft Dynamics no se tiene información histórica de contratos previos de mantenimiento. En el pliego no se dan volumetrías por ámbito funcional. Respecto a los perfiles de Microsoft Dynamics se indican en el Anexo 2 “Requisitos y cualificación de los perfiles” en el perfil Analista.

7º.- En los criterios cualitativos evaluables mediante fórmulas se encuentra el compromiso de resolución de las vulnerabilidades de seguridad de las aplicaciones del lote accesibles en internet. De cara a llevar a cabo una evaluación económica del coste de esta mejora necesitaríamos, al menos, el listado de estos aplicativos para cada lote.

En contestación a su consulta se ha de indicar lo siguiente: Como referencia, el número de aplicaciones accesibles por internet en los diferentes lotes es: Lote 1: 36 aplicaciones Lote 2: 38 aplicaciones Lote 3: 34 aplicaciones Lote 4: 23 aplicaciones Lote 5: 10 aplicaciones El número de aplicaciones puede variar en el momento de inicio del contrato. Una aplicación puede tener varios módulos técnicos. Se contabiliza como accesible por Internet cuando tiene al menos un módulo accesible por internet.

8º.- No hemos identificado en el lote las aplicaciones que forman parte de cada lote y la catalogación de éstas como Oro, Plata o Bronce. ¿Podrían facilitárnosla?

En contestación a su consulta se ha de indicar lo siguiente: Esta información de detalle de la lista de aplicaciones por cada Lote se facilitará al inicio

de la fase de transición según se indica en la CLÁUSULA 6 “Lotes 1, 2, 3, 4 y 5 – Fases de la Prestación” del pliego de prescripciones técnicas. En el pliego de prescripciones técnicas en el Anexo 1 “Volumetrías del servicio”, apartado 1.1 se facilita como referencia las tablas con las volumetrías de las aplicaciones clasificadas por relevancia para el negocio ORO-PLATA-BRONCE por entorno tecnológico y Lote.

9º.- Necesitaríamos confirmación de si los costes de licencias identificadas en el pliego, tanto de cliente como de servidor, deben ser asumidos por el adjudicatario. Y si ese coste ha sido tenido en cuenta dentro de los costes fijos que forman parte de la Cuota Fija.

En contestación a su consulta se ha de indicar lo siguiente: En el pliego de prescripciones técnicas en Anexo 3 “Entornos Tecnológicos” se indica que " La provisión de la infraestructura local necesaria (Hardware y Software) para la

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

17

prestación del servicio será responsabilidad del Adjudicatario” y especifica que "Será responsabilidad del Adjudicatario, proporcionar las licencias en los puestos clientes de su propiedad".

10º.- Nos pueden confirmar por favor que no es necesario en fase de presentación de oferta presentar los Cvs del personal de servicio que en esta fase es sólo una adscripción de medios y que dicha información solo se solicitara a los adjudicatarios.

En contestación a su consulta se ha de indicar lo siguiente: En la cláusula 12 “Lotes 1,2,3,4 y 5- Equipo prestador del servicio” del pliego de prescripciones técnicas se indica "Una vez aceptada la propuesta de la mesa por el Órgano de Contratación, los servicios correspondientes requerirán al licitador que haya presentado la mejor oferta, la presentación por medios electrónicos, en el plazo de diez días hábiles, a contar desde el siguiente a aquel en que hubiera recibido el requerimiento, la entrega a la Agencia de la totalidad de los Currículo Vitae de los candidatos a componentes del Equipo Base". En la cláusula 15 “Lote 6- Equipo de Trabajo” del pliego de prescripciones técnicas se indica "Una vez aceptada la propuesta de la mesa por el Órgano de Contratación, los servicios correspondientes requerirán al licitador que haya presentado la mejor oferta, la presentación por medios electrónicos, en el plazo de diez días hábiles, a contar desde el siguiente a aquel en que hubiera recibido el requerimiento, la entrega a la Agencia de la totalidad de los Currículo Vitae de los candidatos a componentes del Equipo de Trabajo Estable".

11º.- En el sobre 2 es únicamente necesario y valorable aportar el Anexo I (económico) y Anexo IX (aspectos valorables) Leyendo la página 26 del PPT no queda del todo claro si es necesario aportar una oferta técnica o con solamente esos anexos es válido para presentar oferta.

En contestación a su consulta se ha de indicar lo siguiente: No es necesario aportar oferta técnica. En el pliego de cláusulas administrativas, la cláusula 1, apartado 9 “Documentación técnica a presentar en relación con los criterios objetivos de adjudicación del contrato”, se indica "En el Sobre N.º 2, junto con la proposición económica, se adjuntará una declaración responsable con el contenido mínimo que se señala en el Anexo IX del presente pliego. (Conforme se determina en los Criterios números 2, 3 4 y 5 del apartado 8 de la presente cláusula).

12º.- En el Anexo I solicitan el total de base imponible, pero el servicio tiene una línea de cuota fija y otra de servicios variables. ¿Se debe desglosar el precio para ambos conceptos? Si fuese posible por favor detallen este punto para Lot 1-5 y 6 dado que entendemos que son diferentes en el modo de facturación.

En contestación a su consulta se ha de indicar lo siguiente:

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

18

Según se describe en el Anexo I “Modelo de Proposición Económica” del pliego de cláusulas administrativas se debe indicar el importe máximo de la Base Imponible para todos los servicios sin desglosar conceptos.

13º.- Entendiendo que en el lote 6 tenemos una cuota fija y otra cuota variable, ¿de qué modo Madrid Digital hará uso de estas horas adicionales?

En contestación a su consulta se ha de indicar lo siguiente: En el pliego de cláusulas administrativas, se indica en la Cláusula 1 en el apartado 3 “Presupuesto base de licitación”. El Lote 6 dispone de un equipo fijo estable que facturará según los trabajos realizados (corresponde con el presupuesto estimado en la columna de “cuota fija” del Lote 6) y una estimación de presupuesto variable en caso de demanda necesaria adicional (corresponde con el presupuesto estimado en la columna “Servicios Bajo Demanda” del Lote 6)". Las horas adicionales se consumirán según se indica en la respuesta a la consulta número 16.

14º.- Según PCP 12 el Servicio de Localización e intervención está asignado únicamente al lote 1. Según PPT 35 el horario de intervención parece general a todos los servicios. Nos lo podrían por favor validar.

En contestación a su consulta se ha de indicar lo siguiente: En el pliego de prescripciones técnicas, en la Cláusula 8 “Lotes 1, 2, 3, 4 y 5 - Cartera de Servicios”, en el apartado 8.4 “Horario de Prestación del Servicio” se indica el horario general del servicio de mantenimiento aplicable a todos los lotes del 1 al 5 y, por otro lado, se explicita el horario para los Servicios de Mantenimiento bajo la modalidad de Localización e Intervención para aquellos casos que aplique, que en el caso de este pliego inicialmente sólo aplica al Lote 1.

15º.- El lote 6 existe cuota fija atendiendo a la PCP 12 existe el concepto cuota fija para el lote 6 mientras que luego se habla en modo de pago de solamente variable.

En contestación a su consulta se ha de indicar lo siguiente: Según se indica en el apartado 3 “Presupuesto base de licitación” del pliego de cláusulas administrativas "El Lote 6 dispone de un equipo fijo estable que facturará según los trabajos realizados (corresponde con el presupuesto estimado en la columna de “cuota fija” del Lote 6) y una estimación de presupuesto variable en caso de demanda necesaria adicional (corresponde con el presupuesto estimado en la columna “Servicios Bajo Demanda” del Lote 6)". Cuando se habla de cuota fija en el lote 6 se refiere a un equipo estable que factura las horas dedicadas a los trabajos encomendados. En la Cláusula 18. “Lote 6 - Certificación Mensual de los Servicios”, se explica el modo de facturación de los servicios del equipo.

16º.- Las horas ofertas en el criterio 5 lote 6, ¿caducan? Entiendo que son para todo el contrato incluido las prórrogas.


La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

19

Las mejoras ofertadas en el criterio 5 del pliego de cláusulas administrativas se consumirán durante todo el periodo de ejecución del contrato proporcionalmente a la duración del mismo. Las horas adicionales ofertadas serán las primeras que se consuman en cada anualidad de ejecución del contrato. El contrato se prorrogará con las mismas condiciones establecidas para el periodo de ejecución inicial incluidas las mejoras ofertadas.

17º.- Mientras haya horas adicionales en el lote 6 no utilizadas, ¿esto quiere decir que no podemos facturar las horas del equipo estable?

En contestación a su consulta se ha de indicar lo siguiente: Nos remitimos a la respuesta a la consulta número 16.

18º.- PCP 11 en el lote 6 el importe de Transición es 0. ¿Eso significa que no se facturara nada al inicio del servicio? ¿Se aplicará en esa fase las horas adicionales del criterio 5?

En contestación a su consulta se ha de indicar lo siguiente: En el pliego de prescripciones técnicas en la Cláusula 18 “Lote 6 - Certificación Mensual de los Servicios”, se explica el modo de facturación de los servicios del equipo. En el pliego de prescripciones técnicas CLÁUSULA 16 “Lote 6 - Fases de la Prestación”, en el apartado 16.1 se indica como es la fase de transición y como debe ser la incorporación de los diferentes perfiles del equipo estable ETe. Las horas adicionales se consumirán según se indica en la respuesta a la consulta número 16.

19º.- Entendemos que la construcción debe realizarse sobre la propia herramienta QlikSense de Madrid Digital y por tanto no se requiere que el adjudicatario aporte licenciamiento en este sentido. ¿es correcta esta interpretación?

En contestación a su consulta se ha de indicar lo siguiente: Madrid Digital aporta licencias de QlikSense para su uso en entorno productivo, pero no suministramos licencias de desarrollo.

20º.- ¿En qué plataforma se encuentra QlikSense en Madrid Digital (Cloud / On Premise)? ¿Sobre qué producto (Enterprise, Local...)?

En contestación a su consulta se ha de indicar lo siguiente: Madrid Digital dispone de una plataforma Qlik Sense Enterprise desplegada en nuestros servidores.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

20

21º.- ¿Cuál es el origen de datos para la construcción de esos cuadros de mando (cuales y cuantos)?

En contestación a su consulta se ha de indicar lo siguiente: El criterio 3 “DISEÑO, CONSTRUCCIÓN E IMPLANTACIÓN DE UN CUADRO DE MANDOS PARA EL GOBIERNO DEL SERVICIO DE LOS SISTEMAS DE INFORMACIÓN” tendrá una fase de diseño en la que se definirá el detalle que se solicita en la consulta. En cualquier caso, como referencia indicamos que los orígenes de datos serán los Sistemas de información de los que dispone la Agencia de Madrid Digital relacionados con las aplicaciones, cuya información aporte información relevante que permita obtener indicadores técnicos y las propias aplicaciones que permitan obtener indicadores de negocio para el gobierno eficiente de los sistemas de información de los Lotes 1, 2, 3, 4, 5 y 6. Como ejemplo será necesario obtener datos de distintas fuentes como: -Datos del servicio requerido, como incidencias, peticiones, consultas, quejas -Datos esfuerzo invertido en las aplicaciones. -Datos de monitorización del servicio de las aplicaciones -Datos específicos de negocio: solicitudes tramitadas, documentos emitidos, expedientes, etc. -Datos de uso de las aplicaciones: accesos, número de usuarios, etc.

22º.- Para la construcción de estos Dashboards indicados por Madrid Digital, entendemos que la ETL no existe ya actualmente. ¿es así?

En contestación a su consulta se ha de indicar lo siguiente: Actualmente no hay desarrollado un cuadro de mandos para el gobierno del servicio de las aplicaciones objeto de los lotes de este pliego.

23º.- ¿Se prevé existan tareas posteriores a la construcción relacionadas con el mantenimiento o inclusión de nuevas métricas o parametrizaciones?

En contestación a su consulta se ha de indicar lo siguiente: El criterio 3 “DISEÑO, CONSTRUCCIÓN E IMPLANTACIÓN DE UN CUADRO DE

MANDOS PARA EL GOBIERNO DEL SERVICIO DE LOS SISTEMAS DE

INFORMACIÓN” tiene como alcance el diseño, construcción e implantación del cuadro

de mandos.

En el criterio se especifica como requisito que sea "Definido de forma que permita la

incorporación de nuevas aplicaciones, nuevos indicadores técnicos y de negocio de

forma paramétrica".

Una vez puesto en uso y estabilizado el cuadro de mandos como cualquier sistema de

información deberá ser mantenido y evolucionado por el equipo de mantenimiento.

24º.- Se pide más información sobre el reparto de horas o peticiones dedicadas a cada entorno tecnológico dentro de la Cuota Fija, no solo para las líneas de análisis y los carriles de desarrollo

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

21

En contestación a su consulta se ha de indicar lo siguiente: En el pliego de prescripciones técnicas en el ANEXO 1 “Volumetrías de Servicio” se

indican varios gráficos y tablas que dan una visión global del servicio. En la Fase de

Transición del servicio se facilitará más documentación detallada según indica el pliego.

25º.- A nuestro entender, el Lote 6 debería contar también con una dotación de costes fijos asociada a la línea de comunicaciones. Por favor, confirmar si este supuesto es correcto.

En contestación a su consulta se ha de indicar lo siguiente: En el caso del Lote 6 no existe una dotación de costes fijos asociado a la línea de

comunicaciones a diferencia de los lotes 1 al 5.

26º.- Se pide información sobre el número de aplicaciones por lote, que se encuentran expuestas a Internet sobre las que se realizará la auditoria de vulnerabilidades

En contestación a su consulta se ha de indicar lo siguiente: Como referencia el número de aplicaciones accesibles por internet en los diferentes lotes es: Lote 1: 36 aplicaciones Lote 2: 38 aplicaciones Lote 3: 34 aplicaciones Lote 4: 23 aplicaciones Lote 5: 10 aplicaciones El número de aplicaciones puede variar en el momento de inicio del contrato. Una aplicación puede tener varios módulos técnicos. Se contabiliza como accesible por Internet cuando tiene al menos un módulo accesible por internet.

27º.- El análisis de vulnerabilidades de las aplicaciones ¿será en un análisis de código estático más una prueba de penetración (Pentesting o Hacking ético) o solo sobre el código estático?

En contestación a su consulta se ha de indicar lo siguiente: Queda a criterio del adjudicatario proponer y determinar el plan de revisión y mitigación

de vulnerabilidades y todas aquellas pruebas, análisis de seguridad, que sean precisas

para diagnosticar y proponer la mitigación de todas aquellas vulnerabilidades que

incumplan el top 10 de riesgos de seguridad del estándar OWASP.

28º.- ¿Existe una relación previa de auditorías previas sobre las vulnerabilidades a subsanar?


La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

22

Madrid Digital realiza auditorias, análisis de vulnerabilidades de forma periódica sobre sus aplicaciones expuestas en Internet. En todo caso, el adjudicatario debe ejecutar las pruebas de seguridad que considere de forma independiente, y sin estar condicionado a los resultados de estas auditorías.

29º.- Entendemos que independientemente del equipo adicional que detecte las vulnerabilidades e indique la forma correcta de mitigarlas, dichas correcciones deberían ser atendidas y ejecutadas por el Equipo Base del lote correspondiente. Solicitamos confirmación.


En el CRITERIO 2, se indica "todos los trabajos realizados serán sin coste adicional

para Madrid Digital y se realizarán con un equipo adicional a los equipos que prestan el

servicio objeto de cada Lote"

30º.- Para la implementación del cuadro de mando se considera que cada uno de los lotes genera y entrega en un formato único común la información necesaria para alimentar el cuadro de mando, Por favor, confirmar si es correcto


El alcance del CRITERIO 3 es el “Diseño, Construcción e Implantación de un cuadro

de mandos para el gobierno del servicio de los sistemas de información”, como

parte de la fase de diseño, se definirán las necesidades de cada Lote para alimentar el

cuadro de mandos en caso de que se considere necesario.

Se debe tener en cuenta que algunos indicadores se obtendrán para todos los lotes de

sistemas de información comunes.

31º.- ¿En caso contrario, de qué forma se accede a los datos origen? ¿Dispone MD licencias de conectores de Qliksense a estos orígenes, en caso de ser necesarias?


Durante la fase de diseño del cuadro de mandos se concretarán las características. En

todo caso, el Adjudicatario puede proponer funcionalidades e integraciones que

conlleven a conseguir el objetivo marcado por Madrid Digital.

32º.- Se pide confirmación sobre si es admisible implantar un ecosistema en modo cloud


La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

23

En el pliego de cláusulas administrativas en el Criterio número 6.- “Implantación de

una herramienta para la gestión de versiones y el ciclo de vida de los sistemas de

información de los ámbitos del lote”, se indica que el "Adjudicatario se obliga a

Implantar una herramienta en modalidad servicio (prestado por el adjudicatario en sus

instalaciones) " por lo que se puede considerar como opción que sea en modo cloud

siempre y cuando sea el Adjudicatario quien lo preste en modo servicio.

33º.- ¿Las licencias de desarrollo de Qliksense las proporcionará MD?

En contestación a su consulta se ha de indicar lo siguiente: Será responsabilidad del Adjudicatario proporcionar las licencias de desarrollo en los puestos clientes de su propiedad.

34º.- Se solicita que la implantación del CM para todas las aplicaciones esté finalizada durante el primer año de servicio. Sin embargo, la implantación de la herramienta de ciclo de vida de los sistemas de los lotes no se requiere pasado año y medio del comienzo del servicio (Criterio 6 pg. 25). ¿se podría ampliar el plazo de implantación del CM a año y medio para las aplicaciones que no tengan implantado JIRA a tiempo para realizar el CM? En caso de que todas las aplicaciones generen un formato único para alimentar el CM, no afectaría el cambio de herramienta. Confirmar


Ambos criterios cualitativos tienen objetivos diferentes. Según indica el pliego de

cláusulas administrativas los criterios deben cumplirse según se han definido en el

pliego.

35º.- PCAP - CRITERIO NÚMERO 2. ¿Se está utilizando para el análisis del TOP 10 de OWASP alguna herramienta de análisis de seguridad de código como Fortify o Kiuwan? ¿Se podría plantear el uso de las mismas para un previo análisis y tras el reporte modificar el código?


El Adjudicatario puede utilizar las herramientas de seguridad que considere, siempre

que cumpla con lo contemplado en el pliego técnico.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

24

36º.- PCAP - CRITERIO NÚMERO 2. En este punto se comenta que se necesita un informe de seguimiento del progreso de la mitigación de las vulnerabilidades, ¿los informes comparativos que genera Fortify y Kiuwan con reportes y comparativas podrían ser válidos para apoyarse en ellos?


En el pliego de cláusulas administrativas, en el CRITERIO 2 no se especifica el formato

y contenido del informe de seguimiento. En los comités de seguimiento del contrato se

acordará formato y contenido.

37º.- PCAP - CRITERIO NÚMERO 2. Cumplimentación Anexo 2. Al no existir volumetrías al respecto, ¿qué equipo mínimo exigen para su acreditación? Esto es extensivo al resto de criterios

En contestación a su consulta se ha de indicar lo siguiente: Como referencia, el número de aplicaciones accesibles por internet en los diferentes lotes es: Lote 1: 36 aplicaciones Lote 2: 38 aplicaciones Lote 3: 34 aplicaciones Lote 4: 23 aplicaciones Lote 5: 10 aplicaciones El número de aplicaciones puede variar en el momento de inicio del contrato. Una aplicación puede tener varios módulos técnicos. Se contabiliza como accesible por Internet cuando tiene al menos un módulo accesible por internet. El licitador debe configurar el equipo que considere necesario para el cumplimiento del

criterio al que se obliga contractualmente.

38º.- PCAP - CRITERIO NÚMERO 2. ¿Existe algún informe previo o información que ayude a cuantificar y estimar las vulnerabilidades a resolver? Más adelante se alude a un "informe de Seguridad en los indicadores de número de vulnerabilidades". ¿Podrían compartir esta información? ¿Cómo han podido planificar que es posible su resolución en seis meses?


Los informes de análisis de vulnerabilidades de seguridad que realiza Madrid Digital son

confidenciales y no pueden ser compartidos. Considérese que Madrid Digital sigue las

mejores prácticas y recomendaciones, como es OWASP y CVSS 3.0, en lo referente a

métricas de severidad e impacto de vulnerabilidades.

Madrid Digital considera, para cumplir los plazos solicitados, que se ejecutarán estas

tareas con un equipo adicional a los equipos que prestan el servicio objeto de cada Lote,

según se indica en el pliego.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

25

39º.- PCAP - CRITERIO NÚMERO 2. Tanto en este criterio, como en otros, dos equipos diferentes estarán trabajando sobre la misma aplicación. ¿Cómo se prevé controlar esta circunstancia? ¿Están dispuestos a no abordar evolutivos mientras existan correcciones de vulnerabilidad en curso?


En los equipos de trabajo de desarrollo de software, es práctica habitual la gestión de

varias versiones de código en paralelo, para ello deben seguir las mejores prácticas de

desarrollo, así como una adecuada coordinación entre equipos.

40º.- PCAP - CRITERIO NÚMERO 3. ¿Para los cuadros de mando de Qlik Sense va a haber que realizar visualizaciones dinámicas e interactivas?


Durante la fase de definición del Cuadro de Mandos se concretarán las características

de este. Desde MD consideramos importante que un cuadro de mandos tenga

visualizaciones interactivas.

41º.- PCAP - CRITERIO NÚMERO 3. ¿Habría que compartir las aplicaciones a través de Qlik Sense Cloud?


Actualmente las aplicaciones Qlik Sense son desplegadas en nuestra plataforma on-

premises. Pero la tendencia del mercado nos indica que probablemente en el futuro

existirán escenarios cloud o híbridos también para la plataforma Qlik Sense.

42º.- PCAP - CRITERIO NÚMERO 3. ¿Sería necesario cargar datos que son públicos y asociarlos a información interna con Qlik Data Market?


Durante la fase de definición del Cuadro de Mandos se concretarán las características

de este, pero no contemplamos inicialmente incorporar datos en Qlik Market.

43º.- PCAP - CRITERIO NÚMERO 4. No hemos encontrado información sobre los valores actuales de los indicadores de calidad de las aplicaciones, ni tampoco su escala (1-10, 1-100, etc).? ¿En base a que valores cuantitativos puede estimarse el esfuerzo requerido y, por tanto, la viabilidad del compromiso adquirido?


La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

26

Los indicadores de calidad de las aplicaciones siguen una escala del 1 al 10.

El cálculo de los valores cuantitativos de los indicadores sigue un procedimiento interno,

y de carácter reservado para el objeto en esta consulta.

44º.- PCAP - CRITERIO NÚMERO 4. Además del análisis estático de código anterior, ¿sería necesario adicionalmente un análisis de código dinámico para ver si el código sigue un conjunto de reglas y ejecutar pruebas unitarias?


En el ámbito del CRITERIO 4 y su valoración no es obligatorio un análisis de código

dinámico ni pruebas unitarias. Si es necesario durante el desarrollo de aplicaciones

nuevas.

En cambio, en el ámbito del modelo general de calidad software sí se hacen pruebas

dinámicas y sí es necesario aportar pruebas unitarias.

El modelo de calidad se compone de un catálogo de servicios con diferente grado de

profundidad y exigencia según criterio de Madrid Digital. Los servicios son:

• Revisión de código estático

• Análisis de seguridad al código

• Análisis dinámico de vulnerabilidades de seguridad

• Pruebas de regresión

• Pruebas de rendimiento

• Monitorización de rendimiento en el entorno productivo

En general, el proveedor realizará pruebas en sus instalaciones y con sus herramientas.

El proveedor aportará evidencias de la ejecución de las pruebas con resultados

satisfactorios, así como los casos de pruebas. Dependiendo del servicio y a criterio de

la unidad organizativa de calidad, se contrastará los resultados con los de las pruebas

sobre la infraestructura de Madrid Digital.

45º.- PCAP - CRITERIO NÚMERO 4. ¿Existe alguna herramienta de revisión de código colaborativa como Crucible u otra para llevar a cabo las auditorías para presentar tras ellas los informes?


La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

27

La unidad organizativa competente en Calidad de software en MD marca las directrices

sobre las herramientas de revisión de código para cumplimiento de la normativa de los

frameworks de MD.

La herramienta de revisión de código es Sonar. La herramienta emplea las reglas

precargadas y además un conjunto de reglas propias alineadas con la normativa

publicada en el portal de Arquitectura para cada tecnología.

46º.- PCAP - CRITERIO NÚMERO 4. Dentro del análisis de la calidad del código, ¿hay que realizar también pruebas de rendimiento y stress test?, ¿actualmente se dispone de alguna herramienta para ello como Load Runner o Jmeter?

En contestación a su consulta se ha de indicar lo siguiente: En el ámbito de la valoración de este criterio no es obligatorio realizar pruebas de rendimiento y stress test. No obstante, en el ámbito del modelo general de calidad software si es obligatorio realizar pruebas de rendimiento. El proveedor las hará en lo posible en sus instalaciones y con sus herramientas. El proveedor debe aportar evidencias de resultados satisfactorios, y los casos de pruebas. Independientemente, la unidad organizativa de Calidad contrastará esas evidencias con los resultados de las pruebas propias sobre la infraestructura de Madrid Digital, empleando los mismos casos de pruebas. Las herramientas son Silkperformer y Dynatrace.

47º.- PCAP - CRITERIO NÚMERO 6. En este punto indica una implantación de una herramienta para hacer el release management de producto, además, ¿sería necesaria la implantación de un ciclo ALM de CI/CD y la integración de las piezas del mismo con Jira Software?


En el Criterio 6 “Implantación de una herramienta para la gestión de versiones y

el ciclo de vida de los sistemas de información de los ámbitos del Lote” se indican

los requisitos que deben cumplirse por el Adjudicatario:

1. Gestión de versiones: planificación, gestión y seguimiento

2. Definición y seguimiento de la hoja de ruta definida.

3. Gestión ágil del BACKLOG.

4. Definición y seguimiento de historias de usuarios.

5. Gestión de las iteraciones (SPRINTS)

6. Seguimiento del TESTING de las versiones (incidencias asociadas a las versiones).

Siempre que se cumplan los requisitos especificados en el pliego el Adjudicatario podrá

proponer un plan de implantación que se consensuará con Madrid Digital.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

28

48º.- PCAP - CRITERIO NÚMERO 6. En el detalle de los requisitos que deberá cumplir la herramienta, "Gestión de versiones: planificación, gestión y seguimiento" para Jira se podría integrar 1 proyecto con el repositorio de código GitHub, GitLab, Bitbucket. Actualmente, ¿qué gestor de control de código y versiones se tiene?


Inicialmente no se contempla cambiar el repositorio de código. Actualmente se está

utilizando Subversion 1.12.2.

Siempre que se cumplan los requisitos especificados en el pliego el Adjudicatario podrá

proponer un plan de implantación que se consensuará con Madrid Digital.

49º.- PCAP - CRITERIO NÚMERO 6. Para la implantación de Jira Software, ¿existe alguna preferencia que sea Server, Data Center o Cloud?

En contestación a su consulta se ha de indicar lo siguiente: En el Criterio 6 “Implantación de una herramienta para la gestión de versiones y el ciclo de vida de los sistemas de información de los ámbitos del Lote” se indica “El Adjudicatario se obliga a Implantar una herramienta en modalidad servicio (prestado por el adjudicatario en sus instalaciones)". El Adjudicatario puede hacer propuestas sobre el tipo de la implantación siempre y cuando se cumplan los requisitos solicitados por Madrid Digital.

50º.- PCAP - CRITERIO NÚMERO 6. En la configuración de Jira Software, ¿cuántos proyectos habría que dar de alta en el mismo?, ¿habría que crear workflows, issues, custom fields, screens, dashboard, filtros y board independientes para cada uno?


En el Criterio 6 “Implantación de una herramienta para la gestión de versiones y

el ciclo de vida de los sistemas de información de los ámbitos del Lote”, se indica

que las aplicaciones a las que aplica son las clasificadas como ORO en los ámbitos de

cada Lote.

En el Anexo 1 del pliego de prescripciones técnicas se dan volumetrías de aplicaciones

ORO por Lote.

De igual forma, con respecto a la funcionalidad requerida en el Criterio 6 “Implantación

de una herramienta para la gestión de versiones y el ciclo de vida de los sistemas

de información de los ámbitos del Lote” se detallan los requisitos que deben

cumplirse por el Adjudicatario:

1. Gestión de versiones: planificación, gestión y seguimiento

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

29

2. Definición y seguimiento de la hoja de ruta definida.

3. Gestión ágil del BACKLOG.

4. Definición y seguimiento de historias de usuarios.

5. Gestión de las iteraciones (SPRINTS)

6. Seguimiento del TESTING de las versiones (incidencias asociadas a las versiones).

51º.- PCAP - CRITERIO NÚMERO 6. En la configuración de Jira Software, ¿habría que realizar algún automatismo de algún tipo?, ¿cuántas issues habría que crear por proyecto? ¿y workflows por issues? ¿y screens? ¿y dashboards, filtros y board?


La herramienta que se proponga por el Adjudicatario deberá configurarse para cumplir

los requisitos indicados en el pliego.

Durante la Fase de Transición el Adjudicatario presentará el plan de proyecto para la

implantación de la herramienta que deberá incluir un periodo de definición y

configuración.

52º.- PCAP - CRITERIO NÚMERO 6. Para el seguimiento de las historias de usuario y del testing de las versiones, ¿es necesario la configuración del envío de notificaciones vía email o de algún tipo de plugin para gestionar el tiempo imputado además?


En el Criterio número 6 “Implantación de una herramienta para la gestión de

versiones y el ciclo de vida de los sistemas de información de los ámbitos del

Lote" se indican los requisitos que debe cumplir la implantación de la herramienta.


implantación de la herramienta y se definirán los requisitos técnicos necesarios.

53º.- PCAP - CRITERIO NUMERO 6. La herramienta de gestión, ¿tendrá que validarse contra algún Active Directory o LDAP? ¿Qué tipo de roles y permisos además de los esquemas de seguridad se van a solicitar?


La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

30


implantación de la herramienta y se definirán los requisitos técnicos necesarios. En cualquier caso, indicar que se deberá integrar contra el DA de Microsoft instalado

actualmente en Madrid Digital.

54º.- PCAP - CRITERIO NÚMERO 6. ¿Actualmente se está utilizando algún tipo de gestor documental cómo Confluence de Atlassian?


Madrid Digital dispone de diferentes gestores documentales. Para el caso del criterio 6

durante la Fase de Transición el Adjudicatario presentará el plan de proyecto para la

implantación de la herramienta y se definirán los requerimientos técnicos necesarios

para cumplir con los requisitos solicitados.

55º.- PCAP - CRITERIO NÚMERO 6. ¿Cuántos usuarios de Madrid Digital van a utilizar Jira?, ¿cuántos utilizarían el gestor documental?


Los usuarios de Jira serán los equipos técnicos de Madrid Digital que gestionen

desarrollos y evoluciones de los Sistemas de Información.

Los usuarios del gestor documental dependerán de las funcionalidades que se ofrezcan

relacionadas con los requisitos que se indican en el criterio 6 sobre la implantación de

la herramienta.

56º.- PCAP - CRITERIO NÚMERO 6. ¿Se tiene alguna herramienta de gestión de artefactos como Nexus o Artifactory?


Madrid Digital utiliza Artifactory.

57º.- PCAP - CRITERIO NÚMERO 6. ¿Se tiene algún flujo ALM de CI/CD ya implantado?, ¿cuántos usuarios lo usan? Y si no se tiene, ¿cuántos usuarios lo usarían? ¿Qué herramientas se utilizan en dicho CI/CD actualmente (GitHub, GitLab, Bitbucket, Jenkins, Bamboo, SonarQube, HP Fortify, Kiuwan, etc...)?


Madrid Digital tiene ya iniciativas en marcha sobre integración continua y DEVOPS que

deberán ir avanzando según las capacidades disponibles.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

31

58º.- PCAP - CRITERIO NÚMERO 6. ¿Cuántas integraciones habría que realizar entre Jira y las herramientas de CI/CD para la realización del tracking?

En contestación a su consulta se ha de indicar lo siguiente: En el Criterio número 6 “Implantación de una herramienta para la gestión de

versiones y el ciclo de vida de los sistemas de información de los ámbitos del

Lote", se indican los requisitos que debe cumplir la implantación de la herramienta.

Durante la Fase de Transición el Adjudicatario presentará el plan de proyecto para la implantación de la herramienta y se definirán los requisitos técnicos necesarios.

59º.- PCAP - CRITERIO NÚMERO 6. Previsiblemente, cada proveedor propondrá herramientas diferentes, y distintas personalizaciones; e incluso diferentes ciclos de vida. ¿Cómo contemplan homogeneizar y coordinar todas las actuaciones?


En el Criterio número 6 “Implantación de una herramienta para la gestión de versiones

y el ciclo de vida de los sistemas de información de los ámbitos del Lote", se indican los

requisitos que debe cumplir la implantación de la herramienta

Todos los lotes deben cumplir los requisitos de forma que se tenga un alcance funcional

homogéneo. La coordinación de estos trabajos no es objeto de la valoración de este

criterio.

60º.- PCAP - CRITERIO NÚMERO 6. Gestión de versiones. Dado que no se contemplan migraciones, a partir de una versión dada se almacenarán en un repositorio (por ejemplo, git), y hasta entonces en otro (¿por ejemplo, SVN?) ¿Cómo se pasarán a producción las versiones desde el repositorio del adjudicatario?


El repositorio de código fuente no está planificado cambiarlo por otro sistema y seguirá

almacenándose en los servidores de Madrid Digital.

61º.- El adjudicatario deberá realizar el análisis de las aplicaciones implantadas para solucionar problemas de continuidad. ¿Esto quiere decir que debe tener conocimiento funcional de todas las aplicaciones? ¿Esta tarea no debiera ser realizada por el resto de lotes? ¿Sobre qué aplicaciones se deben realizar estas tareas?


La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

32

En el pliego de prescripciones técnicas, en la cláusula 2 "OBJETO Y AMBITO DE

ACTUACIÓN", en el apartado 2.2 del Lote 6 se indica:

"La prestación de los Servicios de mantenimiento, evolución y soporte técnico

especializado del objeto del lote se ceñirá a los entornos tecnológicos con actividad

discontinua en cada uno de los ámbitos funcionales, por tanto, no recogidos en los lotes

anteriores (lotes 1 a 5), siendo conveniente agrupar toda esta actividad en un único lote

(lote 6) para contar con masa crítica que permita la adecuada prestación de los servicios

con costes eficientes en estos entornos."

En este apartado 2.2 se adjunta una tabla con la cual resume la cobertura de ámbitos

funcionales y tecnológicos de cada lote.

En CLÁUSULA 16. Lote 6 – “Fases de la Prestación” se detalla en el apartado 16.1

la “Fase de Transición de entrada".

62º.- Las tareas identificadas se entiende que se realizan sobre las herramientas de calidad y las evidencias de pruebas de seguridad, pero en ningún el adjudicatario del Lote 6 es responsable de la realización de dichas pruebas. ¿Es correcto?


En el pliego de prescripciones técnicas en el apartado 14.6 “Control y Supervisión en

la evolución del producto y servicio” se indica que

"El adjudicatario dará soporte a MD en los trabajos necesarios para asegurar el nivel de

calidad adecuado en todas las fases del ciclo de vida de los sistemas de información".

Para estas tareas, si existen herramientas en MD que facilitan poder realizar las tareas

indicadas, que deberán utilizarse.

63º.- Madrid Digital, proporcionará carga de trabajo suficiente para tener el 100% de ocupación del equipo de trabajo fijo en la duración del contrato, de forma que este equipo será estable y no sufrirá fluctuaciones, y sus horas de trabajo serán facturadas íntegramente. ¿Es correcto?


En el pliego de prescripciones técnicas en la CLÁUSULA 15. “Lote 6 - Equipo de

Trabajo“, se detalla la configuración del equipo estable ETe que Madrid Digital ha

considerado mínimo para atender el servicio.

En la CLAUSULA 18. Lote 6, se detalla la certificación de los servicios.

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

33

64º.- ¿Con qué anticipación comunicará MD la necesidad de incorporación de una persona? Se entiende que estará siempre circunscrito a los perfiles y tecnologías indicados en el pliego.


En el pliego de prescripciones técnicas en la CLAUSULA 17. “Lote 6- Modelo de

Supervisión de la prestación”, se detallan los comités en los cuales se deben tratar la

necesidad de recursos y nuevos entornos tecnológicos.

La incorporación de cualquier recurso (ETe o adicional) está regulada por el indicador

de servicio GI01. En este indicador se detalla que “La Fecha de incorporación planificada

para el recurso i será la fecha de solicitud del recurso + 30 días naturales”, en caso de

no cumplirse esta condición habría posibles penalizaciones según se indica en el pliego

de cláusulas administrativas en el Anexo X, en los ANS del Lote 6.

65º.- En el caso de incorporación de nuevos recursos: ¿Hay una garantía mínima de semanas a realizar por la persona que deba incorporarse?


En el pliego de prescripciones técnicas en la CLAUSULA 15 Y 17 se detalla sobre el

equipo para el Lote 6.

En el pliego de cláusulas administrativas en el ANEXO X se detallan las penalizaciones

asociadas al equipo para el Lote 6.

Según se indica en la Cláusula 15 del pliego de prescripciones técnicas “cualquier

recurso adicional requerido respondería a situaciones de necesidad de refuerzo del

equipo para abordar peticiones de trabajo que superen la capacidad del mismo.

Finalizados los trabajos asociados a dicha petición que suscita la necesidad de refuerzo,

se procedería a la desincorporación de los recursos adicionales.”

66º.- Para estimar el volumen de trabajo sobre la seguridad de las aplicaciones, sería necesario disponer del inventario completo de aplicaciones, así como las pruebas realizadas sobre las mismas. ¿Las pruebas a realizar tendrían que ser contra los entornos de producción? ¿Es precisa la corrección de todas las vulnerabilidades o sólo de aquéllas medias y altas?


Como referencia el número de aplicaciones accesibles por internet en los diferentes lotes es: Lote 1: 36 aplicaciones

La

aute

ntic

idad

de

este

doc

umen

to s

e pu

ede

com

prob

ar e

n w

ww

.mad

rid.

org/

csv

med

iant

e el

sig

uien

te c

ódig

o se

guro

de

veri

fica

ción

: 09

8143

9409

5863

6062

9843

34

Lote 2: 38 aplicaciones Lote 3: 34 aplicaciones Lote 4: 23 aplicaciones Lote 5: 10 aplicaciones El número de aplicaciones puede variar en el momento de inicio del contrato. Una aplicación puede tener varios módulos técnicos. Se contabiliza como accesible por Internet cuando tiene al menos un módulo accesible por internet. Queda a criterio del adjudicatario proponer y determinar el plan de revisión y mitigación

de vulnerabilidades y todas aquellas pruebas, análisis de seguridad, que sean precisas

para diagnosticar y proponer la mitigación de todas aquellas vulnerabilidades que

incumplan el top 10 de riesgos de seguridad del estándar OWASP

Es preciso la corrección de todas las vulnerabilidades incumplan el top de riesgos de

seguridad del estándar OWASP.

67º.- ¿A cuántas aplicaciones se ha pasado ya el análisis de vulnerabilidades? Con el fin de conocer la exhaustividad de las pruebas requeridas, sería necesario conocer qué análisis se ha realizado.

En contestación a su consulta se ha de indicar lo siguiente: Los informes de análisis de vulnerabilidades de seguridad que realiza Madrid Digital son

confidenciales y no pueden ser compartidos. Considérese que MD sigue las mejores

prácticas y recomendaciones, como es OWASP y CVSS 3.0, en lo referente a métricas

de severidad e impacto de vulnerabilidades.

68º.- Hay una persona con categoría de Ingeniero, pero que debe controlar 3 Tecnologías aparentemente disjuntas: Fatwire, Drupal y Access. ¿Habría posibilidad detallar de cuál de las tres debe ser especialista? De forma análoga con los perfiles de Ingeniero ET-X1, ET-02 y ET-04. Análogo con ET-08 ó ET-09


En el pliego de prescripciones técnicas en el ANEXO 2 “Requisitos y Cualificación de

los Perfiles” se detalla el perfil de Ingeniero con la "Experiencia profesional" que se

requiere.

69º.- Descripción

Documents

SERVICIOS DE DESARROLLO, RENOVACIÓN, …...10 Anexo 2 97 del PPt Todo el anexo Nos pueden confirmar por favor que no es necesario en fase de presentación de oferta presentar los