petición de oferta de servicios profesionales relativos a la ec-omc · 2019-07-19 ·...

Petición de oferta de servicios

profesionales relativos a la

EC-OMC

CGCOM: RFP servicios EC-OMC.

2

Información general

Control documental

Clasificación de seguridad: Confidencial

Entidad de destino:

Referencia: N/A

Versión: 0.4

Fecha edición: 16/07/2019

Fichero: CGCOM RFP EC-OMC v0r4.docx

Formato: OOXML

Autores: Equipo CGCOM

Estado formal

Preparado por: Revisado por: Aprobado por:

Nombre: NA

Fecha: 16/07/2019

Nombre: Equipo CGCOM

Fecha: 17/07/2019

Nombre: Com. Permanente

Fecha: 18/07/2019


3

Control de versiones

Versión Partes que cambian Descripción del

cambio

Autor del

cambio

Fecha del cambio

0.2 Original Creación del

documento

NA 16/07/2019

0.3 Todo Revisión del

documento

CGCOM 17/07/2019

0.4 Todo Revisión del

documento

NA 17/07/2019


4

Índice

Información general ......................................................................................................... 2

Control documental ................................................................................................................ 2

Estado formal.......................................................................................................................... 2

Control de versiones ............................................................................................................... 3

Índice ............................................................................................................................... 4

1 Introducción.............................................................................................................. 5

2 Contenido esencial del servicio del CGCOM ............................................................... 6

2.1 Catálogo de certificados ............................................................................................. 6

2.2 Entornos de firma y sello electrónico ......................................................................... 7

2.3 Arquitectura funcional del servicio de certificación ................................................... 8

3 Normas y estándares técnicos aplicables al servicio ................................................... 9

3.1 Expedición y gestión de los certificados ................................................................... 10

3.2 Creación de firma o sello electrónico a distancia ..................................................... 10

3.3 Generación y gestión de datos de creación de firma o sello electrónico por cuenta

del firmante o creador de sellos ........................................................................................... 11

4 Modelo de relación ................................................................................................. 13

4.1 Diseño del servicio .................................................................................................... 13

4.2 Transición del servicio .............................................................................................. 16

4.3 Operación del servicio .............................................................................................. 17

4.4 Finalización del servicio ............................................................................................ 18

5 Niveles mínimos de servicio .................................................................................... 18

6 Volumetría del servicio ............................................................................................ 19

7 Modelo de precio .................................................................................................... 20

8 Presentación de propuestas: lugar, plazo de presentación, formalidades y

documentación............................................................................................................... 20

9 Criterios de valoración para la adjudicación. ............................................................ 21


5

1 Introducción

El Consejo General de Colegios Oficiales de Médicos (en adelante, CGCOM) viene actuando

como prestador cualificado de servicios de confianza que expide diversos tipos de certificados,

conforme al Reglamento (UE) n° 910/2014 del Parlamento Europeo y del Consejo, de 23 de

julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las

transacciones electrónicas en el mercado interior y por la que se deroga la Directiva

1999/93/CE (en adelante, Reglamento eIDAS), y la Ley 59/2003, de 19 de diciembre, de firma

electrónica –en cuanto no ha sido desplazada por el Reglamento eIDAS–, como se puede ver

en la Lista de Confianza expedida por el órgano de supervisión.

En el modelo del CGCOM, la mayoría de componentes técnicos y de servicio se encuentra

gestionada de forma externa, significativamente los que sustentan la expedición de los citados

certificados, a un prestador cualificado de servicios de confianza. Ello viene motivado por la

mayor facilidad que ello supone para el cumplimiento por el CGCOM de sus obligaciones, y el

menor riesgo de infracción, en un ámbito altamente regulado.

La evolución de las necesidades del CGCOM, y de las entidades a las que presta servicio, han

motivado una propuesta de transformación del servicio actual, así como la decisión de unificar

en un solo prestador las diferentes prestaciones que hasta le fecha vienen siendo tratadas por

proveedores diversos.

Desde la perspectiva de la transformación del servicio, se aborda una simplificación del

catálogo de certificados a expedir, así como la puesta por la generación y gestión de datos de

creación de firma electrónica cualificada y sello electrónico cualificado por el CGCOM por

cuenta de sus titulares, en los términos previstos por el Reglamento eIDAS. En su

consecuencia, se eliminan los certificados en soporte software, pero se mantiene, en dos

casos, la expedición de certificados en tarjeta criptográfica. Por último, el CGCOM no expedirá

certificados de autenticación de sitio web, sino que podrá adquirir estos certificados al

prestador, si los ofrece.

Debido a la elevada complejidad técnica y a las estrictas exigencias de cumplimiento

normativo propias de esta actividad, el CGCOM ha decidido invitar a este procedimiento

únicamente a prestadores cualificados de servicios de confianza que ya ofrezcan estos


6

servicios. El modelo persigue seleccionar un prestador actualmente operativo en el mercado,

que parta de su conocimiento y experiencia para permitir al CGCOM actuar como prestador

de servicios de confianza “virtual”, en el sentido de que reutiliza la práctica totalidad de las

capacidades del prestador, con las adaptaciones estrictamente necesarias para adecuarse a

las necesidades de la comunidad de usuarios del CGCOM.

2 Contenido esencial del servicio del CGCOM

2.1 Catálogo de certificados

La autoridad de certificación del CGCOM debe permitir, al menos, la expedición de los

certificados que se indican a continuación:

- Certificados de persona física colegiada, en tarjeta (carné colegial). El carné deberá

incluir tres certificados diferentes:

o Certificado de identificación.

o Certificado cualificado de firma electrónica cualificada.

o Certificado de cifrado.

- Certificado cualificado de persona física colegiada, con generación y gestión de datos

de creación de firma electrónica cualificada por cuenta del firmante a cargo del

CGCOM.

- Certificado cualificado de persona física representante de persona jurídica/entidad sin

personalidad jurídica, con generación y gestión de datos de creación de firma

electrónica cualificada por cuenta del firmante a cargo del CGCOM.

- Certificados de persona física vinculada a tercero, en tarjeta. El carné deberá incluir

tres certificados diferentes:

o Certificado de identificación.


7

o Certificado cualificado de firma electrónica cualificada.

o Certificado de cifrado.

- Certificado cualificado de persona física vinculada a tercero, con generación y gestión

de datos de creación de firma electrónica cualificada por cuenta del firmante a cargo

del CGCOM.

- Certificado cualificado de persona jurídica, con generación y gestión de datos de

creación de sello electrónico cualificado por cuenta del firmante a cargo del CGCOM.

Se valorará que el prestador seleccionado suministre certificados cualificados de

autenticación de sitio web desde su propia autoridad de certificación, dentro del modelo de

relación con el CGCOM.

2.2 Entornos de firma y sello electrónico

Asimismo, el servicio del CGCOM debe permitir:

- La operativa de los firmantes y creadores de sello desde páginas web y servidores de

aplicaciones disponibles en Internet, y en particular, en la sede electrónica, y también

desde los servidores de las redes internas del CGCOM y de las entidades usuarias de

sus servicios.

- La operativa de firma digital (para firma electrónica cualificada y para sello electrónico

cualificado) en las aplicaciones estándar de los sistemas operativos empleados por el

CGCOM y las entidades usuarias de sus servicios, para lo cual el adjudicador deberá

aportar las librerías y componentes a instalar en los correspondientes equipos

(librerías PKCS#11 y CSP), en régimen de licencia de uso ilimitado.

- La operativa de firma en aplicaciones instaladas en terminales móviles del CGCOM, de

las entidades usuarias de sus servicios, o de las personas con las que se relacione,

incluyendo expresamente a los interesados y las autoridades y empleados, sin

limitación alguna.


8

2.3 Arquitectura funcional del servicio de certificación

El servicio ofertado debe constar de los siguientes componentes funcionales, pudiéndose

organizar como mejor se considere desde el punto de vista técnico:

El detalle de los componentes es el siguiente:

- Componente de autoridad de certificación (CA): se emplea para la creación y firma de

certificados basados en la identidad y otros atributos de un sujeto, verificados por la

autoridad de registro. También para la expedición de las listas de revocación de los

certificados.

- Componente de autoridad de registro (RA): se emplea para la tramitación de

solicitudes de certificados, la verificación de la identidad y, en su caso, otros atributos

de un sujeto, y la gestión de las solicitudes de revocación de los certificados.

- Componente de autoridad de validación (VA): se emplea para la información de estado

de revocación de certificados, mediante el protocolo OCSP.

- Componente de depósito: se emplea para la publicación de informaciones por parte

del prestador de servicios de certificación.


9

- Componente de aplicación de firma en servidor (SSASC): se emplea para la operación,

por el prestador de servicios de confianza, de un dispositivo remoto de creación de

firma o sello electrónico, en las modalidades avanzada o cualificada. El componente

consta de una aplicación de firma y de un dispositivo –en su caso, cualificado– de

creación de firma o sello.

- Componente de aplicación de creación de firma (SCASC): se emplea para la creación,

por el prestador de servicios de confianza, de firmas digitales conforme a las

especificaciones AdES.

3 Normas y estándares técnicos aplicables al servicio

El Reglamento eIDAS establece una serie de requisitos jurídicos en relación con los

prestadores de servicios de confianza, en particular en sus artículos 19 y 24, que deben ser

objeto de cumplimiento, especialmente por cuanto se refiere a los sistemas fiables y sus

procedimientos asociados, que pueden ser objeto de acreditación acudiendo a normas y

estándares técnicos normalmente voluntarios, sin perjuicio de que en algunos casos nos

encontremos ante verdaderos reglamentos técnicos obligatorios (significativamente, en el

caso de los dispositivos cualificados de creación de firma o sello electrónico).

En general, el servicio ofrecido al CGCOM debe garantizar el cumplimiento, mientras el

contrato se encuentre vigente, de todas las normas y estándares técnicos que resulten

obligatorios, así como de cualquiera que, siendo voluntaria, resulte aplicable en el marco de

la evaluación de la conformidad.

Desde la perspectiva de los controles aplicables, resulta aplicable la norma técnica ETSI EN 319

401 V2.2.1 (2018-04), que constituye base común para todos los servicios de confianza.


10

3.1 Expedición y gestión de los certificados

La expedición y gestión posterior de los certificados cualificados se deberá realizar conforme

a las normas ETSI EN 319 411, partes 1 y 2, ETSI EN 319 412, partes 1 a 5, y normas

relacionadas, vigentes en cada momento.

Los certificados de persona física representante deben cumplir, obligatoriamente, con las

exigencias previstas en el documento de Perfiles de Certificados electrónicos, versión 2.0, de

abril de 2016, disponible en el Portal de Administración Electrónica de la Administración

General del Estado.

3.2 Creación de firma o sello electrónico a distancia

La creación de la firma o sello electrónico a distancia se puede considerar como un servicio de

confianza en sí mismo, dado que la misma se cita expresamente en el artículo 3.16) del

Reglamento eIDAS.

Asimismo, el servicio de creación de firma o sello electrónico avanzado a distancia se recoge

de forma expresa en el listado de servicios de confianza contenido en el epígrafe 5.5.1.2 de la

especificación técnica ETSI TS 119 612 v2.1.1 (2015-07), referenciada en la Decisión de

Ejecución (UE) 2015/1505 de la Comisión de 8 de septiembre de 2015 por la que se establecen

las especificaciones técnicas y los formatos relacionados con las listas de confianza de

conformidad con el artículo 22, apartado 5, del Reglamento eIDAS, con el identificador

http://uri.etsi.org/TrstSvc/Svctype/AdESGeneration/

Nótese que se trata de un servicio que no puede ser objeto de cualificación, dado que el

Reglamento eIDAS no establece ningún requisito para el mismo (cfr. el artículo 3.17) del

Reglamento eIDAS). En su consecuencia, el servicio de creación de firma o sello electrónico

avanzado a distancia no se recoge de forma expresa en el listado de servicios cualificados de

confianza contenido en el epígrafe 5.5.1.1 de la especificación técnica ETSI TS 119 612.

El órgano de supervisión español no recoge, en su listado de servicios de confianza, sin

cualificación, el servicio de creación de firma o sello electrónico avanzado, por lo que se podría

entender que queda excluido del Reglamento eIDAS. Sin embargo, en todo caso debe

http://uri.etsi.org/TrstSvc/Svctype/AdESGeneration/


11

garantizarse que una firma o sello electrónico avanzado cumple los requisitos establecidos en

los artículos 26 y 36, respectivamente, del Reglamento eIDAS, algo que puede ser objeto de

verificación por parte del órgano de supervisión, y de evaluación de conformidad cuando el

servicio es prestado por un prestador de servicios de confianza (que lo ofrezca conjuntamente,

por ejemplo, con el servicio de expedición de certificados cualificados), como sucede en el

caso del CGCOM.

Desde la perspectiva de los controles aplicables, resulta aplicable la especificación ETSI TS 119

431-2 V1.1.1 (2018-12), que regula los componentes de servicio de los prestadores que

ofrecen soporte a la creación de la firma digital AdES, y que se refiere a estos prestadores

como “prestadores de servicio de aplicación de creación de firma” o “prestadores de servicio

de aplicación de creación de firma en servidor”.

Se garantizará el cumplimiento de la política de servicio identificada con el OID

0.4.0.19431.2.1.2.

3.3 Generación y gestión de datos de creación de firma o sello

electrónico por cuenta del firmante o creador de sellos

La generación y gestión de datos de creación de firma o sello electrónica por cuenta del

firmante o creador de sellos no se considera en ningún caso como un servicio de confianza,

dado que no se cita en el artículo 3.16) del Reglamento eIDAS.

En su consecuencia, estos servicios técnicos no se recogen de forma expresa en el listado de

servicios cualificados de confianza contenido en el epígrafe 5.5.1.1 de la especificación técnica

ETSI TS 119 612.

El Reglamento eIDAS ordena que la generación y gestión de datos de creación de firma

electrónica cualificada por cuenta del firmante sólo pueda ser realizada por un prestador de

servicios de confianza que se encuentre cualificado (norma que resulta aplicable a los sellos,

mutatis mutandis), pero no se opone a que la generación y gestión de datos de creación de

firma electrónica avanzada pueda ser realizada por un prestador no cualificado, o por una

entidad que no tenga la condición de prestador de servicios de confianza. En el caso del


12

CGCOM, sin embargo, esta operativa siempre se vincula a su actuación como prestador

cualificado.

En todo caso, es preciso demostrar que la generación o gestión de datos de creación de firma

o sello por cuenta del firmante o creador de sellos no afecta a las garantías de la firma o sello

electrónico (avanzado o cualificado, en función del caso).

Desde la perspectiva de los controles aplicables, resulta aplicable la especificación ETSI TS 119

431-1 V1.1.1 (2018-12), que regula los componentes de servicio de los prestadores que operan

un dispositivo remoto de creación de firma o sello –en su caso, cualificado–, y que también se

refiere a estos prestadores como “prestadores de servicio de aplicación de creación de firma

en servidor”.

Esta norma contiene importantes referencias a la norma de producto CEN EN 419 241-1,

relativa a los requisitos de los sistemas fiables que ofrecen soporte a la firma en servidor, tanto

para firma electrónica avanzada como cualificada. Esta norma define, entre otras cuestiones,

requisitos en relación con el cumplimiento del requisito del control exclusivo de los datos de

creación de la firma electrónica por parte del firmante, diferenciando dos niveles de control

exclusivo, en función del grado de confianza – en línea con el requisito contenido en el artículo

26.c) del Reglamento eIDAS –: SCAL2, que garantiza un elevado nivel de confianza, y SCAL1,

orientado a un bajo nivel de confianza.

En el servicio a contratar se considera la generación y gestión de datos de creación de firma o

sello electrónico cualificado en servidor.

Es previsible que el órgano de supervisión utilice las normas anteriores como criterio

interpretativo en relación con el cumplimiento de los requisitos del artículo 26 del Reglamento

eIDAS, lo que de forma natural exige la alineación de la solución con el nivel de control SCAL2

de CEN EN 419 241-1, tanto para la firma electrónica avanzada como para la firma electrónica

cualificada, por lo que se garantizará el cumplimiento de la política EUSCP definida en ETSI TS

119 431-1 e identificada con el OID 0.4.0.19431.1.1.3, para la firma electrónica cualificada y el

sello electrónico cualificado.

Las normas anteriormente indicadas se visualizan de forma gráfica en el siguiente gráfico,

extraído de la especificación técnica ETSI 119 431-1, Anexo C.1:


13

4 Modelo de relación

El CGCOM y el prestador seleccionado deberán establecer un modelo de relación que

garantice la correcta prestación del servicio.

En esta sección se identifican algunas cuestiones de especial importancia para su

consideración en el modelo de relación, pero cualquier otra cuestión no mencionada a

continuación deberá ser objeto de inclusión, en la medida en que resulte necesaria para la

prestación del servicio. En particular, se establecen restricciones de obligado cumplimiento

para el prestador, así como elementos a valorar como mejoras.

4.1 Diseño del servicio

Antes del inicio de las operaciones, debe abordarse la fase de diseño del servicio. Durante esta

fase, se deben considerar los siguientes requisitos:


14

Req. 01. El modelo de relación del CGCOM debe considerar a los siguientes actores:

a. El propio CGCOM, que actuará como prestador de los servicios, por lo que

ostentará la responsabilidad frente a terceros y el órgano de supervisión.

También intervendrá en los procesos de gestión de certificados cuando no se

haya delegado en un tercero.

b. Los Colegios Oficiales de Médicos, que intervendrán en los procesos de gestión

de certificados, especialmente en la gestión de solicitudes de todo tipo y en la

verificación de la identidad.

c. Los titulares de los certificados, que pueden ser los Colegios Oficiales de

Médicos, con los que el CGCOM mantiene una relación estatutaria, pero

también diferentes tipos de Entidades Sanitarias que precisan proveer de

certificados a sus profesionales.

Req. 02. El prestador seleccionado debe aportar el diseño de la arquitectura del servicio,

considerando los diferentes activos que se encuentren en las instalaciones del

prestador, en las del CGCOM o, en su caso, de los Colegios Oficiales de Médicos y

otros terceros que participen en los procesos. El diseño de esta arquitectura debe

incluir la inclusión de la autoridad de certificación del CGCOM en una jerarquía del

prestador, admitida o en procedimiento de admisión, en las principales aplicaciones

empleadas por los usuarios.

Req. 03. El prestador seleccionado debe realizar una propuesta de procesos de gestión del

ciclo de vida de los certificados a expedir, incluyendo la solicitud, la verificación de la

identidad y otros atributos de los solicitantes, la expedición, entrega (o transferencia

del control) y la aceptación de los certificados y las correspondientes claves, la

revocación de los certificados y la provisión de información de estado de los mismos.

Se valorará que los procedimientos sean íntegramente electrónicos, sin obtención de

documentación (original o copia) en soporte papel, sino su generación y

autenticación electrónica.


15

El prestador deberá garantizar que la propuesta puede ser objeto de cualificación,

para lo cual podrá basarse, con las necesarias adaptaciones, en sus propios

procedimientos.

Req. 04. El prestador seleccionado debe aportar una correcta definición de roles y

responsabilidades que cubra todo el servicio, sin perjuicio de los roles del CGCOM,

todo ello con la correspondiente matriz de segregación de funciones y los controles

de seguridad en el personal.

Req. 05. El procedimiento de expedición de certificados a personas físicas y jurídicas

colegiadas deberá comprobar esta condición de forma automatizada, mediante la

integración informática a través de servicio web con el registro del CGCOM.

Req. 06. El prestador debe encargarse de la expedición y envío de las tarjetas criptográficas

en aquellos tipos de certificados que lo precisen. Se deberá instalar, en el CGCOM, la

infraestructura necesaria para ofrecer servicios de respaldo a dicho proceso.

Req. 07. El prestador debe encargarse de la expedición de certificados con clave centralizada

durante los días inhábiles, incluyendo los sábados, domingos y festivos conforme al

calendario de la villa de Madrid.

Req. 08. Los componentes de servicio que conforman la arquitectura propuesta empleados

por el prestador seleccionado deberán ser los mismos que hayan sido objeto de

cualificación para los servicios propios del prestador.

El prestador podrá elegir emplear exactamente la misma infraestructura de que ya

dispone para la prestación de su propio servicio cualificado, siempre que garantice el

cumplimiento de los niveles de servicio acordados y la segregación lógica en el acceso

a los datos del CGCOM, o desplegar una instancia de dicha infraestructura dedicada

al CGCOM.

Este requisito se mantendrá durante todo el tiempo de la prestación del servicio, por

lo que el prestador seleccionado deberá proceder a sustituir, a su costa, cualquier

componente del servicio que haya dejado de resultar legalmente admisible.


16

Req. 09. El prestador seleccionado deberá diseñar el servicio para cumplir las normas y

estándares descritos en el epígrafe 3 de este documento. En concreto, se valorará su

compromiso legalmente vinculante a implementar, antes de un año, al menos una de

interfases de servicio descritas en la especificación técnica ETSI TS 119 432.

Req. 10. El prestador seleccionado deberá diseñar los planes de continuidad de negocio que

permitan el cumplimiento de las exigencias previstas en la normativa, incluyendo el

plan de contingencia y de recuperación frente al desastre. La estrategia de

continuidad deberá permitir el cumplimiento del acuerdo de nivel de servicio.

Req. 11. El prestador seleccionado deberá colaborar con el equipo del CGCOM en la

preparación de toda la documentación requerida para el servicio. Para ello podrá

reutilizar su propia documentación, con las necesarias adaptaciones, o deberá

aportar toda la información que resulte precisa para producir la documentación del

CGCOM.

4.2 Transición del servicio

Diseñado el servicio, para su puesta en funcionamiento debe abordarse la fase de transición

del servicio. Durante esta fase, se deben considerar los siguientes requisitos:

Req. 12. El prestador seleccionado deberá desarrollar las versiones adecuadas al CGCOM de

los procesos de gestión de la configuración y de activos, indicando los componentes

de servicio que se encuentran compartidos con terceros.

Req. 13. El prestador seleccionado deberá desarrollar una versión adecuada al CGCOM del

proceso de gestión del cambio, abordando especialmente la estrategia de migración

del servicio actualmente existente al nuevo servicio. Se deberá poder migrar a todos

los usuarios del servicio vigente al nuevo servicio en el plazo máximo de tres meses.

Req. 14. El prestador seleccionado deberá preparar un plan de despliegue del servicio,

incluyendo la instalación de una infraestructura específica para poder realizar las

pruebas del nuevo servicio, la creación de una autoridad de certificación de prueba,


17

la carga de los perfiles de certificados, la prueba de todo el ciclo de vida de gestión

de los certificados, y cualquier otra operación del servicio

Req. 15. Realizadas con éxito las pruebas, el prestador seleccionado deberá proceder al

despliegue del servicio, incluyendo la inicialización de sistemas criptográficos,

creación del material criptográfica, conforme a la correspondiente ceremonia de

autoridad de certificación, y pruebas de correcto funcionamiento. El prestador

seleccionado deberá aportar auditor con la cualificación suficiente para la ceremonia.

Req. 16. El prestador seleccionado deberá asumir el proceso y los costes de la evaluación de

la conformidad y de la cualificación posterior, y realizar a su costa cualesquiera

modificaciones precisas hasta lograr dicha cualificación.

4.3 Operación del servicio

Puesto en marcha el servicio, debe abordarse la fase de operación del servicio. Durante esta

fase, se deben considerar los siguientes requisitos:

Req. 17. El prestador seleccionado debe producir y aplicar un plan de gestión de peticiones y

problemas que se produzcan durante la operación del servicio, conforme al acuerdo

de nivel de servicio. Deberá también desarrollar un plan de gestión de cambios,

considerando cambios urgentes y cambios programados, correspondiente la

aprobación última de todo cambio al CGCOM.

Req. 18. El prestador seleccionado debe producir y aplicar un plan de gestión de incidentes,

que deberá dar respuesta a todos los requisitos legales y de las normas técnicas que

resulten aplicables. En este plan de gestión de incidentes se debe considerar el rol

del CGCOM como responsable legal del servicio frente al órgano de supervisión. El

prestador seleccionado deberá asumir la responsabilidad de detección y respuesta a

todos los incidentes de servicio y de seguridad que se puedan producir, involucrando

al CGCOM mediante un procedimiento de escalado apropiado.

Req. 19. El prestador seleccionado debe desarrollar y aplicar un plan de gestión de eventos,

tanto del servicio como de seguridad de la información, que permita en todo caso el


18

acceso, por parte del personal del CGCON, a la información de los eventos y pistas de

auditoría.

Req. 20. El prestador deberá asumir los costes de las evaluaciones periódicas de la

conformidad, así como de cualesquiera auditorías que pueda exigir el CGCOM o

cualquier organismo supervisor o autoridad de control.

4.4 Finalización del servicio

Req. 21. El prestador deberá desarrollar un plan de cese del servicio que permita el

cumplimiento de los requisitos legales y técnicos aplicables.

5 Niveles mínimos de servicio

Req. 22. El prestador seleccionado debe ofrecer, como parte de su propuesta contractual, un

Acuerdo de Nivel de Servicio que resulte apropiado a las exigencias legales y

regulatorias aplicables al servicio.

La propuesta que se realice no podrá ser inferior a la que el prestador seleccionado

ofrezca en cada momento a los restantes clientes a los que expide certificados

empleando su propia autoridad de certificación.

El Acuerdo deberá contemplar las necesarias penalizaciones por incumplimiento, que

serán consideradas como un aspecto esencial del contrato y un criterio de selección

de proveedor.

Req. 23. Sin perjuicio de lo anterior, el Acuerdo de Nivel de Servicio que se proponga por el

prestador seleccionado debe garantizar los siguientes requisitos:

a. Los servicios (expedición y gestión del ciclo de vida de los certificados,

generación y gestión de datos de creación de firma o sello y creación de firma


19

o sello a distancia) se deben encontrar operativos todos los días del año, con

un tiempo de indisponibilidad no superior a 4 horas, en cómputo diario, ni

acumulativamente al 1% en cómputo mensual.

b. La expedición de listas de revocación de certificados se sitúa en un plazo

máximo de 4 horas.

c. Las paradas programadas del servicio deben planificarse en el momento de

menor actividad y se realizarán de tal forma que afecten en el menor grado al

servicio.

6 Volumetría del servicio

A efectos de los compromisos contractuales que debe asumir el prestador en su propuesta,

se aportan datos acerca de la volumetría estimada:

- En la actualidad se dispone de, aproximadamente:

o 12.000 usuarios colegiados. El servicio debe permitir la posibilidad de escalar al

100% de los colegiados en España (aproximadamente, 283.000 usuarios)

o 540 usuarios administrativos. El servicio debe escalar al menos a 10.000

usuarios potenciales.

o 200 entidades. El servicio debe poder escalar al menos a 2.000 entidades

potenciales.

o 56 entidades actuando como RA. El servicio debe escalar sin limitación.

- Desde la perspectiva de la creación de la firma o sello electrónico, se estima un

volumen mínimo de al menos 20.000.000 firmas anuales, pero el servicio debe poder

escalar sin límite.


20

7 Modelo de precio

El prestador deberá ofrecer un precio unitario por cada tipo de usuario, sin que pueda

establecer un coste variable por volumen de firmas o sellos generados por los usuarios.

Sin embargo, asumiendo que un mayor volumen de firmas o sellos generado por los usuarios

tiene impacto en la infraestructura necesaria, el prestador deberá declarar la capacidad

máxima (número de firmas digitales anuales) que soporta la infraestructura cubierta por el

coste unitario por certificado, y podrá detallar el coste extra que supone la ampliación de la

capacidad. Este coste deberá detallarse en forma de número adicional de firmas digitales

anuales que se podrán generar mediante cada ampliación.

8 Presentación de propuestas: lugar, plazo de presentación,

formalidades y documentación

Lugar y plazo de presentación. Las propuestas se presentarán en el Registro del Consejo

General de Colegios Oficiales de Médicos, Plaza de las Cortes, 11, en mano, en horario de 9 a

14 horas antes del 16 de septiembre de 2019.

Se anotará en el Libro Registro la entrada lo que acreditará la recepción.


21

9 Criterios de valoración para la adjudicación.

• Criterio 1: Precio, primando la oferta más económica, siempre que cumpla las

exigencias mínimas de la petición de oferta.

• Criterio 2: Capacidad, flexibilidad y escalabilidad de la plataforma.

• Criterio 3. Número de firmas digitales (de firma y de sello) anuales que se pueden

crear dentro del coste unitario de usuario.

• Criterio 4: Acuerdo de Nivel de Servicio, valorándose el que ofrezca mayor

disponibilidad.

• Criterio 5: Solución que cubre un mayor número de plataformas para la creación

de firma y sello electrónico.

• Criterio 6: Mejoras ofrecidas por la solución adicionales a las exigencias de la

petición de oferta.

petición de oferta de servicios profesionales relativos a la ec-omc · 2019-07-19 ·...

Documents